NIS-2 zwingt Vorstände in die Haftung für Cybersicherheit

Die Zeit, in der Cybersicherheit reine IT-Sache war, ist vorbei. Neue Gesetze, geopolitischer Druck und persönliche Haftungsrisiken machen IT-Risiken zur Chefsache in deutschen Vorständen. Wer seine Aufsichtspflicht vernachlässigt, muss mit juristischen Konsequenzen rechnen.

Rechtsexperten warnten am vergangenen Freitag eindringlich vor der sogenannten „Stepping-Stone“-Haftung. Dieses juristische Konzept bedeutet: Vorstandsmitglieder können persönlich für IT-Sicherheitspannen haften, wenn sie ihre Kontrollpflichten vernachlässigen. Die bloße Ernennung eines IT-Sicherheitschefs (CISO) reicht als Schutzschild nicht mehr aus.

Die Vorstände müssen aktiv nachweisen, dass sie ausreichend Ressourcen bereitstellen, unabhängige Experten für Audits engagieren und eine durchgängige Compliance-Kultur im Unternehmen etabliert haben. Cybersicherheit wird damit zur direkten Aufsichtspflicht, vergleichbar mit Finanzprüfung oder gesetzlicher Compliance.

Passend zum Thema Cybersicherheit: Viele Vorstände unterschätzen, wie schnell ein IT‑Vorfall zur persönlichen Haftungsfrage wird. Ein kostenloses E‑Book erklärt konkret, welche organisatorischen Maßnahmen, welche Dokumentationen und welche Entscheidungsprotokolle jetzt unverzichtbar sind – praxisnah, mit Checklisten und verständlichen Vorlagen statt Juristendeutsch. Es behandelt NIS‑2‑Anforderungen, erste Schritte zur Krisenorganisation und wie Sie sich vor Bußgeldern und persönlichen Konsequenzen schützen. Jetzt Cyber‑Security‑Leitfaden für Entscheider herunterladen

NIS-2-Umsetzung: Der Countdown läuft

Der Druck auf deutsche Unternehmen ist seit Inkrafttreten des NIS-2-Umsetzungsgesetzes Anfang Dezember massiv gestiegen. Rund 30.000 bisher nicht regulierte Unternehmen aus Energie, Transport und digitalen Diensten müssen nun handeln.

Das Gesetz macht die Geschäftsleitung explizit verantwortlich. Sie muss Sicherheitsmaßnahmen genehmigen und deren Umsetzung überwachen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen strikten Zeitplan vorgegeben. Die erste Registrierungsphase via „Mein Unternehmenskonto“ sollte bis Jahresende abgeschlossen sein. Ab dem 6. Januar 2026 startet das neue Meldeportal des BSI.

Die Strafen bei Verstößen sind drastisch: hohe Geldbußen und im Extremfall ein vorübergehendes Berufsverbot für Manager. Diese Sanktion unterstreicht den strategischen Stellenwert der neuen Regelungen.

Geopolitische Bedrohungen validieren neuen Ansatz

Die Dringlichkeit der Vorstandsverantwortung wurde am Wochenende durch neue geopolitische Bedrohungsanalysen unterstrichen. Dänische und deutsche Behörden bestätigten, dass staatlich unterstützte Akteure hinter jüngsten Angriffen auf kritische Infrastrukturen stecken.

In Dänemark wurden Angriffe auf eine Wasser-versorgung russischen Gruppen zugeschrieben. In Deutschland reagierte das Außenministerium auf einen Angriff auf die Flugsicherung vom August 2024 und lud den russischen Botschafter ein. Verantwortlich soll die GRU-nahe Gruppe APT28 sein.

Diese Vorfälle zeigen: Es geht nicht mehr nur um den Diebstahl von Daten. Gegner zielen auf den physischen Betriebsablauf von Unternehmen und können ganze Lieferketten lahmlegen. Die Konsequenz für Vorstände: Krisenmanagement und Business Continuity müssen zentral von der Geschäftsführung gesteuert werden – und nicht isoliert in IT-Abteilungen.

Theorie vs. Praxis: Die Resilienz-Lücke bleibt

Trotz des klaren Handlungsdrufs klafft eine Lücke zwischen regulatorischem Anspruch und betrieblicher Realität. Zwar ist das Problembewusstsein in Vorständen gestiegen, doch Investitionen und echte Widerstandsfähigkeit hinken oft hinterher.

Laut dem „2025 Cybersecurity Almanac“ werden bis Jahresende 35 % der Fortune-500-Unternehmen Vorstandsmitglieder mit Cybersicherheits-Expertise haben – ein deutlicher Anstieg gegenüber 2021 (17 %), aber bei weitem nicht genug. Die rasante Integration von KI in Cyberangriffe, etwa bei automatisierten Phishing-Kampagnen, erfordert zudem Vorstandsentscheidungen für KI-gestützte Abwehrmechanismen.

Ein entscheidender Faktor ist die Dokumentation. Protokolle von Vorstandsdiskussionen und getroffenen Entscheidungen zur IT-Sicherheit werden zum essenziellen Schutz für die Manager selbst. Diese „defensive Governance“ soll im Ernstfall belegen, dass der Vorstand „angemessene Schritte“ zum Risikomanagement unternommen hat.

Ausblick 2026: Von der Vorbereitung zur Durchsetzung

Im ersten Quartal 2026 geht es von der Theorie in die Praxis. Mit dem Start des BSI-Meldeportals am 6. Januar wird die administrative Umsetzungsfähigkeit der Unternehmen auf die Probe gestellt.

Erste Klagen oder behördliche Maßnahmen gegen Vorstände wegen Verletzung ihrer Sorgfaltspflicht werden für Ende 2026 erwartet, sobald die NIS-2-Durchsetzungsmechanismen greifen. Parallel treibt die EU mit dem Digital Operational Resilience Act (DORA), der seit Januar 2025 voll gilt, strenge Anforderungen im Finanzsektor voran. Diese dürften zum „Goldstandard“ auch für andere Branchen werden.

Die Botschaft des Dezembers 2025 an alle Vorstände ist eindeutig: Cybersicherheit ist kein technisches IT-Problem mehr. Es geht um persönliche Haftung, nationale Sicherheit und letztlich um das Überleben des Unternehmens.

PS: Die aktuelle Bedrohungslage – von APT‑Angriffen bis zu KI‑gestützten Phishing‑Kampagnen – verlangt sofortige, pragmatische Maßnahmen. Ein kostenloser Praxis‑Guide zeigt vier prioritäre Schritte, mit denen Sie Ihr Unternehmen ohne teure Komplett‑Investitionen besser schützen, Meldepflichten nach NIS‑2 erfüllen und Vorstandsdokumentationen für Audits aufbereiten. Inklusive Vorlagen für Protokolle und Erstmaßnahmen. Gratis‑E‑Book: Cyber‑Security‑Awareness für Führungskräfte anfordern