NIS2-Gesetz: Ab sofort haften Geschäftsführer persönlich für IT-Sicherheit

Für Deutschlands Geschäftsführer beginnt 2026 mit einer neuen rechtlichen Realität: Seit dem 6. Dezember 2025 gilt das verschärfte IT-Sicherheitsgesetz NIS2UmsuCG in voller Härte. Die Ära, in der Cybersicherheit reine IT-Sache war, ist endgültig vorbei. Ab sofort droht der Vorstand bei Fahrlässigkeit mit persönlicher Haftung.

Das neue Haftungsregime ist in Kraft

Die Übergangsfrist ist abgelaufen. Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verpflichtet die Unternehmensführung, IT-Risiken aktiv zu managen und entsprechende Maßnahmen persönlich abzusegnen. Juristen warnen: Die Einhaltung von IT-Sicherheitsstandards ist eine nicht delegierbare Pflicht der Geschäftsleitung. Wer fahrlässig handelt, muss mit Sanktionen rechnen, die den Schutz der juristischen Person durchbrechen – die Haftung wird persönlich.

Damit passt sich Deutschland strengeren EU-Vorgaben an. IT-Resilienz wird künftig genauso ernst genommen wie die Einhaltung von Finanzvorschriften.

Erster Praxistest: Kritische Lücken zu Jahreswechsel

Die neue Haftung wird bereits in den ersten Stunden des neuen Jahres auf die Probe gestellt. Wer glaubt, das Thema erst in der ersten Vorstandssitzung ansprechen zu müssen, könnte seine Sorgfaltspflicht bereits verletzt haben.

Zum einen wurde Ende Dezember eine kritische Schwachstelle in der Datenbank MongoDB (CVE-2025-14847) bekannt. US-Behörden bestätigten, dass Angreifer diese Lücke bereits aktiv ausnutzen, um sensible Daten auszulesen. Geschäftsführer müssen nun sicherstellen, dass ihre IT-Abteilungen dieses spezifische Problem fristgerecht gepatcht haben. Unterlassenes Handeln könnte im Schadensfall als Aufsichtsversäumnis gewertet werden.

Passend zum Thema Cyberrisiken und haftungsrelevante Schwachstellen — wie die jüngst ausgenutzte MongoDB-Lücke — sind Geschäftsführer jetzt persönlich in der Pflicht. Unser kostenloses E‑Book erklärt praxisnah, welche Sofortmaßnahmen Sie anordnen und wie Sie IT-Resilienz sowie Compliance nachweisbar dokumentieren, um persönliche Haftungsrisiken zu minimieren. Enthalten: priorisierte Maßnahmen, Reporting‑Vorlagen und Checklisten für Vorstandsbeschlüsse. Ideal für Geschäftsführer, Compliance-Manager und IT-Leads. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Zum anderen erreichte am 31. Dezember 2025 das Betriebssystem macOS Ventura sein „End of Life“. Geräte mit dieser Software erhalten keine Sicherheitsupdates mehr. Ab sofort gilt jedes Unternehmen, das solche ungepatchten Geräte im Netzwerk duldet, als nicht mehr „stand der Technik“-konform – eine klare Verletzung der NIS2-Anforderungen.

Diese Doppelbelastung ist ein erster Lackmustest für die Führungsetagen: Auch in der Ferienzeit müssen Geschäftsführer systemische Risiken kennen und unverzüglich Gegenmaßnahmen einleiten.

Besonderer Druck auf Gesundheitswesen und Finanzbranche

Das NIS2-Gesetz betrifft zwar viele Sektoren, doch auf zwei Branchen lastet besonderer Druck.

Im Gesundheitswesen macht ein neuer Leitfaden des Cyberintelligence Institute die Lage deutlich: Der „corporate veil“ schützt Führungskräfte nicht mehr, wenn sie angemessene Risikomanagement-Verfahren vernachlässigen. IT-Sicherheit ist hier direkt mit der Patientensicherheit verknüpft. Fahrlässigkeit kann somit nicht nur regulatorische, sondern strafrechtliche Konsequenzen haben.

Die Finanzbranche muss sich ab sofort auf verschärfte Kontrollen einstellen. Die zweite Phase des Digital Operational Resilience Act (DORA) beginnt. Das „Umsetzungsjahr“ 2025 ist vorbei. Ab 2026 erwarten Aufseher voll funktionsfähige Risikomanagement-Systeme für kritische IT-Dienstleister. Berichten zufolge werden Prüfungen im ersten Quartal genau hierauf fokussiert – mit empfindlichen Strafen bei Mängeln.

Vom IT-Problem zur Chefsache

Diese Entwicklungen erzwingen einen Kulturwandel in deutschen Vorstandsetagen. Das traditionelle Modell, bei dem der IT-Sicherheitschef (CISO) über den IT-Leiter (CIO) an die Geschäftsführung berichtet, gilt als überholt.

Künftig muss die Berichtslinie für Cyberrisiken direkt in den Vorstand führen. Geschäftsführer müssen zentrale Risikokennzahlen verstehen und die Aussagen ihrer Technikteams kritisch hinterfragen. Die „Business Judgment Rule“, die Entscheidungen der Geschäftsleitung schützt, greift nur, wenn diese auf angemessener Information basieren. Im Jahr 2026 schließt dies ein klares Verständnis der eigenen IT-Sicherheitslage ein – inklusive der Gefahr durch aktive Bedrohungen wie die MongoDB-Lücke.

Hinzu kommen deutlich höhere Dokumentationspflichten. Es reicht nicht mehr, sicher zu sein; Unternehmen müssen ihre Sicherheit auch nachweisen. Risikobewertungen, Incident-Response-Pläne und Vorstandsbeschlüsse müssen lückenlos dokumentiert sein. Dieses „Prinzip der Rechenschaftspflicht“ ist der Schlüssel, um im Ernstfall der persönlichen Haftung zu entgehen.

Erste Quartal 2026: Erwartete Schritte der Aufsicht

Für das erste Quartal 2026 prognostizieren Experten erste Durchsetzungsmaßnahmen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI), das durch NIS2 erweiterte Befugnisse hat.

Unternehmen sollten sich einstellen auf:
* Stichprobenartige Audits: Das BSI wird voraussichtlich Spot-Checks durchführen, insbesondere zur neuen Meldepflicht für erstmals erfasste Unternehmen.
* Präzedenzfall-Strafen: EU-weit werden Behörden die ersten hohen Geldbußen verhängen, um früh im Jahr eine abschreckende Wirkung zu erzielen.
* Lieferketten-Prüfungen: Da sowohl DORA als auch NIS2 die Sicherheit der Lieferkette betonen, werden Geschäftsführer zunehmend von ihren Geschäftskunden unter Druck gesetzt, ihre eigene IT-Resilienz nachzuweisen.

Die Botschaft für Geschäftsführer im Jahr 2026 ist eindeutig: IT-Resilienz schützt nicht mehr nur Daten, sondern die Betriebserlaubnis des Unternehmens – und das private Vermögen der Verantwortlichen. Die Vorbereitungszeit ist vorbei. Jetzt zählt nachweisbare Compliance.

PS: Sie wollen die Aufsichtstests und Spot-Checks durch BSI und DORA ohne böse Überraschungen bestehen? Dieses Gratis‑E‑Book bietet eine 4‑Schritte-Checkliste für Geschäftsführung und IT, präventive Maßnahmen gegen Phishing und Vorlagen zur lückenlosen Dokumentation von Vorstandsbeschlüssen. So können Sie Prüfern schnell nachweisen, dass Ihre Organisation „stand der Technik“ ist. Jetzt kostenlosen Cyber‑Resilienz‑Guide sichern