TL;DR
NIS2 Artikel 20 macht Leitungsorgane (Vorstände, Geschäftsführer, CEOs) persönlich haftbar für Cybersicherheitsverstöße. Sie müssen Sicherheitsmaßnahmen aktiv genehmigen, an Schulungen teilnehmen und können bei grober Vernachlässigung vorübergehend von ihren Funktionen suspendiert werden. Das Delegieren an einen CISO befreit nicht von dieser Haftung.
Die persönliche Haftung von Führungskräften für Cybersicherheit ist die größte Neuerung von NIS2 gegenüber allen vorherigen EU-Cybersicherheitsregeln. Vor NIS2 war Cybersicherheit aus Sicht der persönlichen Haftung weitgehend das Problem der IT-Abteilung. NIS2 Artikel 20 beendet das.
Dieser Artikel erklärt, was Artikel 20 konkret verlangt, wer betroffen ist, welche Konsequenzen drohen und wie sich Führungskräfte schützen können.
Was Artikel 20 genau verlangt
Der vollständige Text von NIS2 Artikel 20 enthält vier Kernpflichten für Leitungsorgane:
1
Genehmigung der Cybersicherheitsmaßnahmen
Das Leitungsorgan muss die Cybersicherheits-Risikomanagementmaßnahmen nach Artikel 21 aktiv genehmigen. Eine passive Kenntnisnahme reicht nicht. Es muss eine dokumentierte Genehmigung geben.
2
Überwachung der Umsetzung
Das Leitungsorgan ist verantwortlich dafür, die Umsetzung der Sicherheitsmaßnahmen zu überwachen. Es muss regelmäßige Berichte über den Sicherheitsstatus erhalten und bei wesentlichen Abweichungen handeln.
3
Pflicht zur Schulungsteilnahme
Mitglieder des Leitungsorgans müssen an Schulungen zu Cybersicherheitsrisiken teilnehmen. Die Schulung muss ausreichend sein, um Risiken erkennen und informierte Entscheidungen treffen zu können. Die Teilnahme ist zu dokumentieren.
4
Förderung der Mitarbeiterschulung
Das Leitungsorgan ist auch verantwortlich dafür, regelmäßige Cybersicherheitsschulungen für alle Mitarbeitenden zu fördern und sicherzustellen, dass diese tatsächlich stattfinden.
Wer gilt als 'Leitungsorgan'?
NIS2 definiert den Begriff 'Leitungsorgan' nicht abschließend und verweist auf nationales Gesellschaftsrecht. In der Praxis sind folgende Personen in den meisten EU-Ländern betroffen:
Vorstandsmitglieder (AG)
Gesamtverantwortung für strategische Entscheidungen
Geschäftsführer (GmbH)
Operative Leitung und Außenvertretung
CEO / Managing Director
Höchste operative Führungskraft
CTO / CSO in leitender Funktion
Wenn Teil des formalen Leitungsorgans
Aufsichtsrat (situationsabhängig)
Je nach nationaler Umsetzung und Einbeziehung
Gleichwertige Führungsgremien
Z.B. Executive Committee, Management Board
Leitende Angestellte unterhalb des formalen Leitungsorgans (etwa ein CISO, der nicht im Vorstand sitzt) können ebenfalls haftbar gemacht werden, wenn ihnen klare Aufgaben übertragen wurden und sie diese grob vernachlässigt haben. Die Haupthaftung nach Artikel 20 liegt jedoch beim formalen Leitungsorgan.
Die Schulungspflicht: Was ist 'ausreichend'?
NIS2 verlangt, dass das Training ausreicht, um Cybersicherheitsrisiken zu erkennen und deren Auswirkungen auf die Dienste der Einrichtung zu bewerten. Artikel 20(2) spezifiziert, dass die Schulung regelmäßig zu wiederholen ist.
Was das konkret bedeutet, liegt noch nicht vollständig in behördlicher Praxis fest. ENISA und mehrere nationale Behörden haben jedoch Richtlinien veröffentlicht. Folgende Inhalte gelten als Mindeststandard für Management-Schulungen:
✓Grundlagen von Cyberbedrohungen (Ransomware, Phishing, Supply-Chain-Angriffe)
✓Die 10 NIS2-Artikel-21-Maßnahmen: Überblick und Verantwortung des Leitungsorgans
✓Die 24h/72h/1-Monat Meldepflichten nach Artikel 23
✓Persönliche Haftungsrisiken für Leitungsorgane nach Artikel 20
✓Überblick über aktuelle Cyberangriffe und ihre Auswirkungen in der eigenen Branche
✓Grundzüge der NIS2-Bußgeldstruktur und Durchsetzungspraxis
✓Rollenspezifische Handlungen im Ernstfall (Genehmigungen, Kommunikation, Eskalation)
✓Mindestens jährliche Wiederholung oder bei wesentlichen Änderungen
📊 Quick TestFind out if your company is in scope
Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?
Check NIS2 Scope →Wann können Führungskräfte suspendiert werden?
NIS2 Artikel 32(5) und 33(5) geben Behörden in Wesentlichen und Wichtigen Einrichtungen die Befugnis, die vorübergehende Suspendierung von Führungskräften als Reaktion auf wiederholte oder schwerwiegende Verstöße zu fordern. Das ist eine der schärfsten Sanktionen im gesamten NIS2-Rahmen.
⚠️VoraussetzungenDie Suspendierung ist nur möglich, wenn die Einrichtung ihre Verpflichtungen wiederholt oder grob vernachlässigt hat. Eine einmalige Nichterfüllung führt in der Regel nicht zur Suspendierung. Es muss ein Muster der Nichterfüllung oder ein einzelner besonders schwerwiegender Verstoß vorliegen.
⏱️DauerDie Suspendierung ist temporär und muss verhältnismäßig sein. NIS2 nennt keine Höchstdauer. Die genaue Ausgestaltung liegt beim nationalen Recht. Einige Mitgliedsstaaten haben Höchstfristen von drei bis sechs Monaten festgelegt.
👔Betroffene PersonenDie Suspendierung betrifft natürliche Personen in leitenden Funktionen (CEO, Vorstandsmitglieder). Sie bedeutet nicht die Auflösung des Unternehmens, sondern nur die Entfernung dieser Person aus ihrer Führungsfunktion für einen definierten Zeitraum.
📣ÖffentlichkeitNIS2 erlaubt es Behörden, Informationen über Verstöße zu veröffentlichen, einschließlich der verantwortlichen natürlichen Personen. Eine Suspendierung kann damit öffentlich bekannt werden, was zusätzliche Reputationsschäden mit sich bringt.
Schützt die Delegation an einen CISO vor Haftung?
Das ist eine der häufigsten Fragen aus Führungsetagen. Die kurze Antwort: Nein. Die Bestellung eines CISO oder IT-Sicherheitsbeauftragten ist eine gute Praxis, überträgt aber die Verantwortung des Leitungsorgans nach NIS2 nicht auf diese Person.
Artikel 20 ist eindeutig: Das Leitungsorgan ist verantwortlich und kann haftbar gemacht werden. Die Delegation operativer Aufgaben an einen CISO ist erlaubt und sinnvoll. Aber das Leitungsorgan muss die Maßnahmen aktiv genehmigen, die Umsetzung überwachen, selbst an Schulungen teilnehmen und sicherstellen, dass die Ressourcen für eine angemessene Cybersicherheit vorhanden sind.
ℹ️ Der wichtige Unterschied
Ein CISO kann für die operative Umsetzung haftbar gemacht werden, wenn er seine Aufgaben grob vernachlässigt. Aber das enthebt das Leitungsorgan nicht seiner eigenen Verantwortung nach Artikel 20. Beide können gleichzeitig haftbar gemacht werden.
Praktische Schritte für Führungskräfte
1
NIS2-Betroffenheit förmlich feststellen
Lassen Sie prüfen und dokumentieren, ob Ihre Organisation als Wesentliche oder Wichtige Einrichtung einzustufen ist. Holen Sie dafür ein schriftliches Rechtsgutachten ein oder nutzen Sie die Einstufung Ihrer zuständigen Behörde. Dieser Schritt schützt Sie vor dem Vorwurf, die eigene Betroffenheit ignoriert zu haben.
2
Sicherheitsmaßnahmen förmlich genehmigen
Lassen Sie die Cybersicherheitsstrategie und die Artikel-21-Maßnahmen als eigenständigen Tagesordnungspunkt in einer Vorstandssitzung genehmigen. Protokollieren Sie die Genehmigung im Sitzungsprotokoll. Das ist Ihr Nachweis gegenüber einer Behörde.
3
Schulung absolvieren und dokumentieren
Nehmen Sie an einer NIS2-Schulung für Führungskräfte teil und sichern Sie Teilnahmenachweise (Zertifikat, Einladung, Anwesenheitsliste). Mindestens einmal jährlich wiederholen. Schulungsanbieter, die auf NIS2-Management-Training spezialisiert sind, stellen entsprechende Zertifikate aus.
4
Regelmäßige Sicherheitsberichte erhalten
Verlangen Sie quartalsweise Berichte vom CISO oder IT-Sicherheitsbeauftragten über den Umsetzungsstand der Sicherheitsmaßnahmen, aktuelle Bedrohungen und offene Risiken. Wenn Sie keine Berichte erhalten, erfüllen Sie Ihre Überwachungspflicht nicht.
5
Ressourcen bereitstellen
NIS2 verlangt, dass das Leitungsorgan ausreichende Ressourcen für Cybersicherheit zur Verfügung stellt. Dokumentieren Sie Budgetgenehmigungen für Cybersicherheitsmaßnahmen explizit. Abgelehnte Budgetanträge des CISO können im Schadensfall als Beleg für Vernachlässigung verwendet werden.
Unterschiede zwischen Wesentlichen und Wichtigen Einrichtungen
Die Pflichten nach Artikel 20 gelten für beide Einrichtungstypen. Der Unterschied liegt in der Aufsichtsintensität:
| Aspekt | Wesentliche Einrichtung (Art. 32) | Wichtige Einrichtung (Art. 33) |
|---|
| Aufsichtstyp | Proaktiv (ex-ante): Behörde kann jederzeit prüfen | Reaktiv (ex-post): Behörde prüft bei konkretem Anlass |
| Art. 20 Geltung | Ja, volle Geltung | Ja, volle Geltung |
| Max. Bußgeld (Einrichtung) | €10 Mio. oder 2 % Umsatz | €7 Mio. oder 1,4 % Umsatz |
| Suspendierung möglich | Ja (Art. 32(5)) | Ja (Art. 33(5)) |
| Audit-Häufigkeit | Regelmäßig, auch unangekündigt | Bei Hinweisen auf Verstöße |
Wie ist Ihr Compliance-Stand?
Prüfen Sie zunächst, ob NIS2 auf Ihre Organisation zutrifft, und bewerten Sie dann Ihre Artikel-21-Maßnahmen.
Häufige Fragen
Kann ein Vorstandsmitglied persönlich mit einer Geldstrafe belegt werden?▾
NIS2 selbst sieht primär Bußgelder gegen die Einrichtung als juristische Person vor. Die persönliche Haftung nach Artikel 20 bezieht sich in erster Linie auf die Suspendierung. Ob einzelne Länder zusätzlich persönliche Geldbußen vorsehen, hängt von der nationalen Umsetzung ab. Deutschland und Österreich haben in ihren NIS2-Umsetzungsgesetzen Regelungen für persönliche Haftung eingeführt.
Gilt Artikel 20 auch für Non-Profit-Organisationen und öffentliche Einrichtungen?▾
Ja. NIS2 gilt grundsätzlich auch für öffentliche Einrichtungen und Non-Profits, wenn sie in einem der 18 Sektoren tätig sind. Die Haftungsregeln nach Artikel 20 gelten entsprechend für deren Leitungsorgane, wobei die nationalen Umsetzungsgesetze Sonderregelungen für öffentliche Einrichtungen enthalten können.
Schützt eine D&O-Versicherung vor NIS2-Haftung?▾
Directors & Officers (D&O) Versicherungen decken in der Regel persönliche Haftungsansprüche ab. Die Abdeckung von NIS2-spezifischen Sanktionen hängt von den Versicherungsbedingungen ab. Prüfen Sie Ihre D&O-Police auf Ausschlüsse für regulatorische Sanktionen und sprechen Sie mit Ihrem Versicherer über den NIS2-Kontext.
Was gilt als 'grobe Vernachlässigung' im Sinne von NIS2?▾
NIS2 definiert diesen Begriff nicht präzise. In der Rechtspraxis gilt als grob fahrlässig, wenn jemand die nach den Umständen gebotene Sorgfalt in einem besonders schwerwiegenden Maß verletzt. Im NIS2-Kontext könnte das bedeuten: keine Sicherheitsmaßnahmen trotz bekannter Risiken, keine Schulungen trotz Aufforderung durch die Behörde, oder Ignorieren von Vorfallsmeldungen.
Wie oft muss die Management-Schulung wiederholt werden?▾
NIS2 verlangt 'regelmäßige' Schulungen. ENISA empfiehlt mindestens einmal jährlich. Bei wesentlichen Änderungen der Bedrohungslage, nach einem Sicherheitsvorfall oder bei Änderungen im Leitungsorgan sollte zusätzlich geschult werden. Die Schulung muss inhaltlich ausreichend sein, um Risiken erkennen und bewerten zu können.