NIS2: Cybersicherheit wird Chefsache

1 week ago 5

Die digitale Transformation der deutschen Wirtschaft hat einen neuen regulatorischen Meilenstein erreicht. Mit dem Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) im Dezember 2025 hat der Gesetzgeber die Spielregeln für IT-Sicherheit grundlegend verschärft.1 War Informationssicherheit in der vergangenen Dekade primär eine technische Disziplin der IT-Abteilung, erhebt das neue Gesetz sie nun unmissverständlich zur zentralen Corporate-Governance-Pflicht.

Für Geschäftsführer, Vorstände und leitende Angestellte bedeutet dies eine fundamentale Verschiebung der Verantwortlichkeiten: Cybersicherheit ist nicht mehr delegierbar. Sie ist Chefsache. Wer dies ignoriert, riskiert nicht nur empfindliche Bußgelder für das Unternehmen, sondern zunehmend auch die persönliche Haftung.3Doch keine Sorge: Mit der richtigen Strategie lässt sich dieses komplexe Thema als Chance für eine robustere Unternehmenskultur nutzen.

In diesem Beitrag erfahren Sie, welche Pflichten Sie jetzt persönlich treffen, wie Sie arbeitsrechtliche Stolpersteine bei der Umsetzung vermeiden und wie Sie Ihre Belegschaft rechtssicher als „Human Firewall“ etablieren.

Kurz & Knapp: Das Wichtigste für Eilige (Management Summary)

  • Chefsache ist Gesetz: Die Verantwortung für IT-Sicherheit ist nach § 38 BSIG n.F. gesetzlich der Geschäftsleitung zugewiesen und darf nicht delegiert werden.

  • Persönliches Haftungsrisiko: Bei Pflichtverletzungen droht Geschäftsführern die persönliche Inanspruchnahme für Bußgelder und Schäden; die D&O-Versicherung greift hier oft nicht.

  • Schulungspflicht: Mitglieder der Geschäftsleitung müssen sich regelmäßig und nachweisbar zu Cyber-Risiken fortbilden.

  • Arbeitsrechtliche Grenzen: Die Überwachung von Mitarbeitern (z.B. durch Sicherheitssoftware) unterliegt der strengen Mitbestimmung des Betriebsrats (§ 87 BetrVG).

  • Haftung der Mitarbeiter: Ein unbedachter Klick auf einen Phishing-Link führt selten zur vollen Haftung des Arbeitnehmers – die Hürden für Regress und Kündigung sind hoch.

  • Lieferketten-Effekt: Auch wenn Sie nicht direkt betroffen sind, können Kunden vertraglich NIS2-Standards von Ihnen fordern.

Bin ich betroffen? Der neue Anwendungsbereich jenseits von KRITIS

Viele Führungskräfte wiegen sich in falscher Sicherheit, weil sie ihr Unternehmen nicht zur klassischen „Kritischen Infrastruktur“ (Wasser, Strom, Gesundheit) zählen. Das ist ein gefährlicher Irrtum. NIS2 erweitert den Kreis der betroffenen Unternehmen in Deutschland von ehemals wenigen Tausend auf geschätzte 30.000 bis 40.000 Betriebe.

Unterscheidung: „Besonders Wichtig“ vs. „Wichtig“

Das Gesetz unterscheidet nun zwischen „besonders wichtigen Einrichtungen“ (z.B. Energie, Verkehr, Bankwesen, Pharma, Rechenzentren) und „wichtigen Einrichtungen“ (z.B. Maschinenbau, Chemie, Lebensmittel, Abfallwirtschaft, digitale Dienste).

Die Faustformel für den Mittelstand:

Fallen Sie in einen der 18 regulierten Sektoren und haben Sie mehr als 50 Mitarbeiter oder über 10 Millionen Euro Jahresumsatz? Dann sind Sie höchstwahrscheinlich betroffen.

Praxis-Tipp: Prüfen Sie auch Ihre Konzernstruktur. Tochtergesellschaften können durch die Zugehörigkeit zu einer größeren Gruppe unter die Regelung fallen, selbst wenn sie isoliert betrachtet klein wären.

Eine Betroffenheitsanalyse ist der unverzichtbare erste Schritt.

Welche Pflichten hat die Geschäftsleitung persönlich?

Der Gesetzgeber hat mit der Neufassung des § 38 BSIG (BSI-Gesetz) die „Accountability“ (Rechenschaftspflicht) direkt im C-Level verankert. Es gibt drei zentrale Säulen, die Sie nicht an Ihren IT-Leiter oder CISO (Chief Information Security Officer) abtreten können:

1. Die Billigungspflicht

Sie müssen die Risikomanagementmaßnahmen nicht nur zur Kenntnis nehmen, sondern aktiv billigen und deren Umsetzung anordnen. Ein „Blindflug“ oder das bloße Abzeichnen von Konzepten reicht nicht mehr aus. Sie müssen verstehen, welche Risiken (z.B. Ransomware, Produktionsausfall) bestehen und warum bestimmte Schutzmaßnahmen (z.B. Backups, Segmentierung) ergriffen – oder aus Kostengründen unterlassen – werden.3

2. Die Überwachungspflicht

Es genügt nicht, Sicherheitstools zu kaufen. Sie müssen deren Einsatz überwachen. Das bedeutet: Lassen Sie sich regelmäßig (z.B. quartalsweise) Berichte vorlegen, die nicht nur technisches Kauderwelsch enthalten, sondern den Reifegrad Ihrer Sicherheit verständlich darstellen.17

3. Die Schulungspflicht

Dies ist ein Novum: Das Gesetz verlangt explizit, dass die Geschäftsleitung an Schulungen teilnimmt, um Risiken bewerten zu können.18

Achtung: Ohne Nachweis dieser Schulungen wird es im Schadensfall extrem schwer, vor Gericht darzulegen, dass man der Sorgfaltspflicht eines ordentlichen Kaufmanns (§ 43 GmbHG) nachgekommen ist. Ein ungeschulter Geschäftsführer gilt per Gesetz quasi als „nicht urteilsfähig“ in Cyber-Fragen.

Droht mir die persönliche Haftung für Cyber-Schäden?

Ja, das Haftungsregime hat sich verschärft. Während NIS2 primär Unternehmensbußgelder vorsieht (bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes) , entsteht das Risiko für Manager durch den sogenannten Innenregress.

Verhängt die Behörde ein Bußgeld gegen die GmbH, weil elementare Sicherheitsstandards fehlten, muss die Gesellschafterversammlung prüfen, ob sie sich dieses Geld vom Geschäftsführer zurückholt. Nach § 43 GmbHG und § 93 AktG haften Organe für Schäden, die durch schuldhafte Pflichtverletzungen entstehen.

Das Problem mit der „Business Judgment Rule“:

Normalerweise genießen Manager einen weiten Ermessensspielraum bei unternehmerischen Entscheidungen. Da NIS2 jedoch konkrete gesetzliche Pflichten (Stand der Technik, Schulung) vorschreibt, entfällt dieser Schutzraum oft. Wer gesetzliche Mindeststandards ignoriert, handelt pflichtwidrig.

Vorsicht bei der D&O-Versicherung:

Viele D&O-Policen (Manager-Haftpflicht) haben Ausschlussklauseln für Bußgelder oder für Schäden, die auf „wissentlicher Pflichtverletzung“ beruhen. Wenn Sie trotz Warnung Ihres IT-Leiters das Budget für notwendige Patches streichen, könnte der Versicherer dies als bedingten Vorsatz werten und die Deckung verweigern.

Arbeitsrecht: Haften Mitarbeiter, wenn sie auf Phishing-Links klicken?

Ein klassisches Szenario: Trotz Firewall gelangt eine perfekt gefälschte E-Mail („Bewerbung.pdf.exe“) ins Postfach eines HR-Mitarbeiters. Er klickt, die Ransomware verschlüsselt den Server. Der Schaden geht in die Millionen. Kann der Arbeitgeber den Mitarbeiter in Regress nehmen?

Hier gilt der arbeitsrechtliche Grundsatz des innerbetrieblichen Schadensausgleichs, den das Bundesarbeitsgericht (BAG) entwickelt hat :

  1. Leichteste Fahrlässigkeit: (Einmaliges „Verklicken“ im Stress). Der Mitarbeiter haftet nicht. Das ist reines Betriebsrisiko.

  2. Mittlere Fahrlässigkeit: (Sorgfalt außer Acht gelassen, aber nicht extrem). Der Schaden wird geteilt.

  3. Grobe Fahrlässigkeit: (Verhalten, bei dem „jedem hätte einleuchten müssen“, dass das gefährlich ist – z.B. Deaktivieren des Virenscanners, um privat zu surfen). Der Mitarbeiter haftet, aber meist gedeckelt(oft auf ca. 3 Bruttomonatsgehälter).

  4. Vorsatz: Volle Haftung (sehr selten bei Cyberangriffen durch Externe).

Fazit für Führungskräfte:

Setzen Sie nicht auf Abschreckung oder Regressdrohungen. Investieren Sie stattdessen in technische Barrieren und eine positive Fehlerkultur. Wenn Mitarbeiter Angst haben, einen Klick zu melden, bleibt der Angriff zu lange unentdeckt.

Kündigung wegen IT-Sicherheitsverstößen – geht das?

Auch hier sind die Hürden hoch. Eine verhaltensbedingte Kündigung setzt in der Regel eine vorherige Abmahnung voraus.22 Ein einzelner unbedachter Klick auf eine Phishing-Mail rechtfertigt meist keine Kündigung, da Kriminelle heute täuschend echt agieren („Social Engineering“).

Anders sieht es aus, wenn Mitarbeiter explizite Sicherheitsweisungen missachten, etwa durch die Nutzung privater USB-Sticks trotz Verbots oder exzessives privates Surfen auf unsicheren Seiten, wodurch Viren eingeschleust werden. Hier hat die Rechtsprechung (z.B. LAG Köln) Kündigungen durchaus bestätigt.

Praxis-Tipp: Sorgen Sie für glasklare IT-Richtlinien. Nur wenn Verbote (z.B. zur Privatnutzung von Dienstgeräten) schriftlich fixiert und den Mitarbeitern bekannt sind, können Sie Verstöße wirksam sanktionieren.

Bremser oder Partner? Der Betriebsrat und die IT-Überwachung

NIS2 fordert moderne Systeme zur Angriffserkennung (z.B. EDR/XDR, SIEM). Diese Tools scannen permanent Netzwerke und Endgeräte. Dabei fallen zwangsläufig Daten an, die Rückschlüsse auf das Verhalten und die Leistung von Mitarbeitern zulassen (z.B. Wer arbeitet wann? Wer surft wo?).

Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat bei der Einführung solcher „technischen Überwachungseinrichtungen“ ein zwingendes Mitbestimmungsrecht.

Typischer Konflikt:

Der IT-Sicherheitsbeauftragte will „Full Visibility“ (alles sehen), der Betriebsrat fürchtet die „gläserne Belegschaft“.

Wenn Sie den Betriebsrat hier übergehen, riskieren Sie, dass die Einführung der Sicherheitssoftware gerichtlich gestoppt wird – ein Desaster für die Compliance.

Lösungsansatz:

Schließen Sie eine Rahmenbetriebsvereinbarung IT-Sicherheit. Vereinbaren Sie darin ein striktes Verwertungsverbot: Daten aus Sicherheitstools dürfen ausschließlich zur Abwehr von Cybergefahren genutzt werden, niemals zur Leistungs- oder Verhaltenskontrolle.27 Argumentieren Sie, dass IT-Sicherheit Arbeitsplatzsicherung ist: Ein gehacktes Unternehmen kann keine Gehälter zahlen.

Was Sie jetzt konkret tun sollten

Um Haftungsrisiken zu minimieren und Ihr Unternehmen wetterfest zu machen, empfehlen wir folgende Schritte:

  1. Status klären: Führen Sie eine Betroffenheitsanalyse durch. Sind Sie „besonders wichtig“ oder „wichtig“?

  2. Schulung absolvieren: Buchen Sie zeitnah eine NIS2-Schulung für die gesamte Geschäftsleitung und dokumentieren Sie die Teilnahme.

  3. Richtlinien aktualisieren: Überprüfen Sie Arbeitsverträge, IT-Nutzungsrichtlinien und Betriebsvereinbarungen. Sind Themen wie Homeoffice-Sicherheit und BYOD (Bring Your Own Device) rechtssicher geregelt?.

  4. D&O prüfen: Lassen Sie Ihre Versicherungspolicen auf Deckungslücken im Bereich Cyber-Regress checken.

  5. Notfallplan üben: Haben Sie eine Meldeliste? Wissen Sie, wen Sie nachts um 3 Uhr anrufen müssen, um die 24-Stunden-Meldepflicht an das BSI einzuhalten?.

Sicherheit als Kulturfrage

NIS2 ist mehr als ein bürokratisches Monster. Es ist der Anstoß, Cybersicherheit als das zu behandeln, was sie ist: Eine existenzielle Voraussetzung für modernes Wirtschaften. Als Führungskraft haben Sie es in der Hand, dieses Thema aus der Technikecke in die Mitte der Unternehmenskultur zu holen. Mit juristischer Weitsicht und einem wertschätzenden Umgang mit den Mitarbeitern schaffen Sie nicht nur Compliance, sondern echte Resilienz.

Haben Sie Fragen zur rechtssicheren Ausgestaltung Ihrer IT-Richtlinien oder zur Einbindung des Betriebsrats bei Sicherheitsmaßnahmen?

Die Kanzlei Pöppel Rechtsanwälte steht Ihnen mit fundierter Expertise im Arbeitsrecht zur Seite, um Ihr Unternehmen sicher durch den Paragrafendschungel der digitalen Arbeitswelt zu navigieren.

Meta-Informationen für SEO

  • Meta-Titel:  (59 Zeichen)

  • Meta-Beschreibung:  (159 Zeichen)

  • URL-Slug: /

Read Entire Article
  1. Homepage
  2. AI News DE
  3. NIS2: Cybersicherheit wird Chefsache

Related

OpenAI reserviert angeblich 50 Milliarden Dollar für Mitarbeiter-Aktienprogramm

OpenAI reserviert angeblich 50 Milliarden Dollar für Mitarbe...

8 minutes ago 0
Neue Methode von Deepseek stabilisiert Signale beim Training großer KI-Modelle

Neue Methode von Deepseek stabilisiert Signale beim Training...

20 minutes ago 0
Trumps Atomkraft-Offensive: Ehrgeizige Ziele, fragwürdige Umsetzung

Trumps Atomkraft-Offensive: Ehrgeizige Ziele, fragwürdige Um...

1 hour ago 0