RegSus Consulting GmbH

Finden Sie Ihren Hebel in der IT

NIS2-Haftung trifft die Geschäftsführung. Die IT-Abteilung kann das nicht abfedern.

Das NIS2-Umsetzungsgesetz ist seit 6. Dezember 2025 in Kraft. § 38 BSIG macht Geschäftsführer persönlich haftbar für Risikomanagement-Versäumnisse. In 70 Prozent der Unternehmen ist NIS2 ausschließlich in der IT-Abteilung verankert. Das ist kein Compliance-Problem, sondern ein strukturelles Schnittstellen-Problem zwischen IT und Fachbereich. Die Haftung lässt sich nicht delegieren. Die Verantwortung auch nicht.

Viele IT-Leiter warten noch auf einen „August-Termin“ für die persönliche Geschäftsführer-Haftung. Den gibt es nicht. Das Gesetz gilt seit Anfang Dezember 2025, die erste BSI-Registrierungspflicht ist am 6. März 2026 abgelaufen. Wer NIS2 immer noch als IT-Projekt führt, hat das eigentliche Problem nicht verstanden.

Auf einen Blick
  • Das NIS2-Umsetzungsgesetz ist seit 6. Dezember 2025 in Kraft — § 38 BSIG macht Geschäftsführer persönlich haftbar, nicht delegierbar.
  • In 70 % der Unternehmen liegt NIS2 ausschließlich bei der IT, das eigentliche Risiko (Schatten-IT, KI-Nutzung im Fachbereich) bleibt unsichtbar.
  • Bußgelder bis 10 Mio. EUR oder 2 % vom Weltumsatz bei Verstößen; persönliche Schulungspflicht für jede Person der Geschäftsleitung.
  • Lösung ist kein IT-Projekt, sondern ein IS-Management-Team nach BSI-Standard mit echten Fachbereichs-Vertretern (Three-Lines-of-Defense).
  • Wer NIS2 als IT-Projekt führt, baut eine Compliance-Fassade, und haftet beim Vorfall persönlich.

Warum reicht NIS2-Compliance in der IT-Abteilung nicht?

Die NIS2-Sensor-Studie 2026 der Wiener Beratung CERTAINITY (N=300 österreichische Unternehmen ab 50 Mitarbeitenden) zeigt eine ernüchternde Zahl: In über 70 Prozent der Unternehmen ist NIS2 ausschließlich in der IT-Abteilung als Projekt verankert. Die Richtlinie betrifft aber die gesamte Organisation.

Das Muster kennen IT-Leiter seit Jahren. Der Fachbereich kauft Tools ohne Freigabe, weil die IT zu langsam ist. Die IT wird zum Risiko-Verwalter für Systeme, die sie nicht kennt. Anforderungen werden über den Zaun geworfen, eine Seite nennt das Kommunikation, die andere nennt es Mehrarbeit. Bei NIS2 wiederholt sich exakt dieses Spielfeld. Die IT inventarisiert Assets, definiert Maßnahmen, schreibt Richtlinien (alles ohne den Fachbereich, der die Prozesse tatsächlich kennt). Sechs Monate später kommt der Auditor und findet: SaaS-Tools im Marketing, ChatGPT-Nutzung im Vertrieb, ein Cloud-Service in der HR-Abteilung. Alles nicht im Asset-Register. Alles persönliche Haftung der Geschäftsführung.

Was verlangt § 38 BSIG von der Geschäftsführung wirklich?

§ 38 BSIG ist präzise formuliert. Die Geschäftsleitung muss die Risikomanagement-Maßnahmen nach § 30 BSIG billigen und ihre Umsetzung überwachen. Sie haftet bei schuldhaft verursachten Schäden persönlich nach den allgemeinen Regeln des Gesellschaftsrechts (§ 43 GmbHG, § 93 AktG). Sie muss sich persönlich schulen lassen.

Drei Dinge sind dabei oft missverstanden. Erstens ist die Pflicht zur Überwachung eine Bringschuld der Geschäftsführung, keine Holschuld der IT. Wer sich nicht aktiv kümmert, hat schon verloren. Zweitens gilt die Schulungspflicht individuell für jede Person der Geschäftsleitung, nicht für das Gremium. Drittens definiert die BSI-Handreichung zur Geschäftsleitungsschulung drei Kompetenzfelder: Risikoerkennung, Risikomanagement, Auswirkungsbewertung. Wer diese Themen nicht selbst durchdrungen hat, kann auch nicht überwachen, was die IT umsetzt.

Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (je nachdem, was höher ist) für besonders wichtige Einrichtungen.

Was kostet eine kaputte Schnittstelle zwischen IT und Fachbereich?

Die Zahlen sind eindeutig. Laut Bitkom-Wirtschaftsschutz-Studie 2025 (N=1.002 Unternehmen) entsteht in Deutschland jährlich ein Schaden von 289,2 Milliarden Euro durch Datendiebstahl, Spionage und Sabotage. 70 Prozent davon, also 202,4 Milliarden Euro, entfallen auf Cyberangriffe. 59 Prozent der Unternehmen halten Cyberangriffe inzwischen für existenzbedrohend. 2022 waren es noch unter 10 Prozent.

In meiner Beratungspraxis sehe ich das exakte Muster, das diese Zahlen produziert. Die IT inventarisiert, was sie kennt. Der Fachbereich nutzt, was er braucht. Beide Seiten handeln im guten Glauben. Bei einem Vorfall stellt sich heraus, dass das eigentliche Risiko nie auf dem Radar war: eine Schatten-SaaS-Anwendung im Vertrieb, ein ungeprüfter LLM-Dienst im Marketing, ein BYOD-Gerät mit Zugriff auf Kundendaten. Die Bitkom-Daten zur Schatten-KI sind dabei nur die Spitze: 10 Prozent der Beschäftigten nutzen KI ohne Wissen des Arbeitgebers (Verdopplung gegenüber 2024). Der Microsoft Work Trend Index 2024 (N=31.000 Wissensarbeiter) zeigt, dass 78 Prozent aller KI-Nutzer ihre eigenen Tools mitbringen. Bei kleineren und mittleren Unternehmen sogar 80 Prozent.

Wissen Sie, welche Tools Ihr Fachbereich ohne Sie nutzt?
Der WERT³ Quick-Check zeigt Ihnen in 10 Minuten, wo Ihre IT-Fachbereich-Schnittstelle hakt und wo Ihre größten Compliance-Risiken liegen. Kostenlos, ohne Verkaufsgespräch.
WERT³ Quick-Check starten

Wie sieht eine NIS2-Governance aus, die wirklich funktioniert?

Das BSI hat die Antwort längst gegeben. Im IT-Grundschutz definiert das Bundesamt ein IS-Management-Team als Mindeststandard. Mindestens vertreten: Geschäftsleitung, ISB/CISO, Datenschutzbeauftragter, IT-Verantwortliche, Vertreter der Fachverfahren und Geschäftsprozesse. Im BSI-Beispielunternehmen RECPLAST sitzen explizit der kaufmännische Leiter, die Rechtsabteilung und ein Vertriebsmitarbeiter mit am Tisch. Nicht im CC. Nicht zur Information. Mit Stimmrecht.

Die Logik dahinter ist einfach. Nur der Fachbereich weiß, welche Daten sein Prozess verarbeitet, welche SaaS-Tools tatsächlich im Einsatz sind und welche KI-Anwendungen die Mitarbeitenden nutzen. Die IT kann das nicht erraten. Der CISO kann es nicht inventarisieren, wenn niemand es ihm sagt. Die Geschäftsführung kann es nicht überwachen, wenn der Fachbereich nicht accountable für die Risikobewertung seines eigenen Prozesses ist.

In der Praxis heißt das: Die Geschäftsführung trägt die Letztverantwortung (nicht delegierbar). Der CISO verantwortet die Methodik. Die Process Owner in den Fachbereichen sind operativ accountable für die Risikobewertung ihrer Prozesse. Das ist keine Theorie, sondern das Three-Lines-of-Defense-Modell, das in Banken seit MaRisk Standard ist.

Was bedeutet das konkret für IT-Leiter im Mittelstand?

Drei Dinge müssen jetzt passieren. Die Geschäftsführung muss verstehen, dass die Haftung sie persönlich trifft. Wer das delegiert, hat die Pflichtverletzung bereits begangen. Es muss ein interdisziplinäres IS-Management-Team eingerichtet werden mit echten Fachbereichs-Vertretern, nicht mit IT-Liaisons. Und es müssen genehmigte Alternativen für Schatten-IT und Schatten-KI bereitgestellt werden, denn Verbote funktionieren nicht. 49 Prozent der deutschen Mitarbeitenden würden ihre privaten KI-Tools auch bei einem Verbot weiter nutzen.

Zusammengefasst bedeutet das: NIS2 ist kein Compliance-Projekt für die IT, sondern ein Governance-Projekt für die Geschäftsführung. Wer das umdreht, baut eine Compliance-Fassade vor das eigentliche Risiko. Das hilft beim Audit. Es hilft nicht beim Vorfall. Und es hilft nicht, wenn der Bußgeldbescheid an die Geschäftsführung persönlich geht.

Wenn Sie das Schnittstellen-Problem an der Wurzel verstehen wollen
Emails über den Zaun werfen ist keine Kommunikation“ zeigt anhand von fünf Kräften, warum Projekte scheitern, obwohl alle ihren Job machen. Das Buch zur WERT³-Methodik. 318 Seiten, April 2026 erschienen.
Buch ansehen

Häufige Fragen

Wann tritt die persönliche Geschäftsführer-Haftung nach NIS2 in Kraft?

Die persönliche Haftung nach § 38 BSIG gilt bereits seit dem Inkrafttreten des NIS2-Umsetzungsgesetzes am 6. Dezember 2025. Eine Übergangsfrist gibt es nicht. Die erste Registrierungspflicht beim BSI lief am 6. März 2026 ab.

Warum reicht es nicht, NIS2 in der IT-Abteilung umzusetzen?

Weil 70 Prozent aller NIS2-Risiken außerhalb der IT entstehen. Schatten-IT im Vertrieb, KI-Nutzung im Marketing, SaaS-Tools in HR. Die IT kann nur inventarisieren, was sie kennt. Der Fachbereich muss accountable für die Risikobewertung seiner eigenen Prozesse sein.

Welche Bußgelder drohen bei NIS2-Verstößen?

Für besonders wichtige Einrichtungen drohen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent. Zusätzlich kann die Geschäftsführung persönlich für schuldhaft verursachte Schäden haften.

Wie erkennen IT-Leiter, ob ihre NIS2-Governance trägt?

Wenn die Risikobewertung im IS-Management-Team mit echten Fachbereichs-Vertretern stattfindet (nicht im IT-Silo), wenn die Geschäftsführung selbst geschult ist und wenn das Asset-Register die tatsächlich genutzten Tools abbildet. Der WERT³ Quick-Check zeigt in 10 Minuten, wo die Schnittstelle hakt.

René Schröder, Berater für IT-Wirksamkeit.