Cyberangriffe sind längst kein Thema mehr, das nur die IT-Abteilung betrifft. Sie treffen Unternehmen im Kern – von der Produktion über sensible Daten bis hin zur Markenreputation. Mit der NIS2-Richtlinie verschärft die EU die Anforderungen an die digitale Sicherheit erheblich – und nimmt erstmals auch Geschäftsführung, Vorstand und Aufsichtsrat ausdrücklich in die Pflicht. Unternehmen, die ihre IT-Sicherheit vernachlässigen, riskieren damit nicht nur operative Ausfälle und Reputationsverluste, sondern auch die persönliche Haftung ihrer Entscheidungsträger. In diesem Beitrag erfahren Sie, was die neuen Pflichten konkret bedeuten, welche Konsequenzen drohen – und wie ein MDR-Service (Managed Detection and Response) dabei helfen kann, Sicherheitsrisiken wirksam zu kontrollieren.
Mit der Einführung der NIS2-Richtlinie (Network and Information Security Directive 2) verfolgt die Europäische Union das Ziel, die Cyberresilienz kritischer und wesentlicher Einrichtungen zu erhöhen. Die Richtlinie verschärft nicht nur bestehende Anforderungen, sondern dehnt ihre Gültigkeit auch auf deutlich mehr Unternehmen aus – unabhängig von Branche oder Größe. Damit wird IT-Sicherheit endgültig zum Teil der unternehmerischen Sorgfaltspflicht. Entscheidend ist: Die Verantwortung liegt nicht mehr allein in der IT-Abteilung, sondern bei der Unternehmensführung selbst. Geschäftsführung, Vorstand und Aufsichtsrat müssen nachweislich dafür sorgen, dass Risiken erkannt, bewertet und mit angemessenen Maßnahmen adressiert werden – andernfalls drohen empfindliche Strafen bis hin zur persönlichen Haftung.
Warum Cybersecurity zur Führungsaufgabe wird
Die verschärfte Bedrohungslage durch staatlich gesteuerte Hackergruppen, Ransomware-Angriffe oder Sicherheitslücken in Softwareprodukten zwingt Unternehmen zum Umdenken. Laut Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden täglich Hunderttausende neue Schadprogramme registriert. Eine Bitkom-Studie zeigt, dass 2024 ein Schaden von 266,6 Milliarden Euro für die deutsche Wirtschaft entstanden ist. Angesichts dieser Zahlen ist klar: Ein reaktives Sicherheitskonzept reicht nicht mehr aus. IT-Sicherheit muss proaktiv organisiert, kontinuierlich verbessert und in ein ganzheitliches Risikomanagement integriert werden. Genau hier setzt die NIS2-Richtlinie an – mit klaren Pflichten für die Führungsebene.
Die rechtliche Verantwortung für die Cybersicherheit eines Unternehmens ist längst nicht mehr abstrakt. Verletzen Geschäftsführung oder Aufsichtsrat ihre Pflichten zur digitalen Sicherheit – etwa durch fehlende Schutzmaßnahmen oder unzureichendes Risikomanagement –, drohen nicht nur Bußgelder in Millionenhöhe. Auch zivilrechtliche oder sogar strafrechtliche Konsequenzen sind möglich. So sieht das neue BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor. Datenschutzverstöße können sogar mit bis zu 4 % geahndet werden. Die persönliche Haftung der Entscheidungsträger ist damit keine theoretische Option mehr, sondern ein reales Risiko – besonders in Fällen von Fahrlässigkeit oder mangelnder Vorsorge.
Klare Pflichten für Geschäftsführung und Aufsichtsrat
Gesetzlich sind Geschäftsführungen und Vorstände verpflichtet, angemessene Vorkehrungen zur IT-Sicherheit zu treffen. Diese Pflicht ergibt sich aus den allgemeinen Sorgfaltsanforderungen, wie sie etwa im Aktien- und GmbH-Recht verankert sind (§§ 93 Abs. 1 S. 1 AktG, 43 Abs. 1 GmbHG). Unternehmen müssen heute nicht nur technische Schutzmechanismen auf dem neuesten Stand halten, sondern auch organisatorische Strukturen schaffen, um Cyberrisiken effektiv zu erkennen, zu bewerten und zu minimieren.
Das bedeutet konkret: Die Unternehmensleitung muss sich kontinuierlich über aktuelle Bedrohungen und regulatorische Entwicklungen im Bereich der Cybersecurity informieren und daraus resultierende Risiken systematisch analysieren. Sie trägt die Gesamtverantwortung für die digitale Resilienz des Unternehmens und muss gewährleisten, dass die Maßnahmen zum Schutz von IT-Systemen und sensiblen Daten lückenlos ineinandergreifen – von der Netzwerksicherheit bis hin zu Notfallplänen bei Angriffen. Diese Anforderungen gelten nicht nur als technische Herausforderung, sondern sind zunehmend auch als Compliance-Aufgabe anerkannt.
Auch der Aufsichtsrat rückt stärker in den Fokus. Als Kontrollorgan ist er dafür zuständig, die Geschäftsführung bei der Umsetzung ihrer Cybersecurity-Pflichten zu überwachen (§§ 111 Abs. 1, 76 Abs. 1 AktG). Er muss sicherstellen, dass digitale Risiken korrekt bewertet und durch wirksame Maßnahmen adressiert werden. Angesichts der potenziellen Schadenshöhe durch Datenschutzverletzungen, Systemausfälle oder Betriebsunterbrechungen hat die Aufsichtspflicht in diesem Bereich eine strategische Dimension angenommen. Strukturen, Prozesse und Schutzmaßnahmen zur IT-Sicherheit müssen daher nicht nur vorhanden, sondern auch dauerhaft auf ihre Effizienz und Wirksamkeit hin überprüft werden.
Cyberversicherung: Kein Freifahrtschein bei Cyberangriffen
Im Rahmen eines umfassenden Risikomanagements gewinnt auch der Abschluss einer Cyberversicherung zunehmend an Bedeutung. Sie kann helfen, finanzielle Folgen eines Cyberangriffs abzufedern – etwa bei Betriebsunterbrechungen, Datenwiederherstellung oder Haftungsansprüchen Dritter. Doch eine Versicherung ersetzt keine proaktive Sicherheitsstrategie. Denn sie greift nur unter bestimmten Bedingungen und deckt in der Regel keine Schäden ab, die durch grob fahrlässiges oder vorsätzliches Verhalten entstanden sind. Zudem ist der Versicherungsschutz häufig an den Nachweis geknüpft, dass im Unternehmen angemessene technische und organisatorische Schutzmaßnahmen umgesetzt wurden. Wird eine solche Vorsorge vernachlässigt und ein Sicherheitsvorfall als vermeidbar eingestuft, kann die Versicherung die Leistung verweigern. Kommt es zusätzlich zu einem Pflichtverstoß der Unternehmensleitung, kann die Geschäftsführung persönlich haftbar gemacht werden.
Bislang sprang in solchen Fällen oft die Directors-and-Officers-Versicherung (D&O) ein, die für Schäden aufgrund fahrlässiger Pflichtverletzungen von Leitungsorganen aufkommt. Doch mit der NIS2-Richtlinie ändert sich auch hier die Rechtslage grundlegend. Denn die neue EU-Richtlinie führt die ausdrückliche persönliche Verantwortung von Geschäftsführung, Vorstand und Aufsichtsrat für die Umsetzung von Cybersicherheitsmaßnahmen ein. Wird ein Verstoß gegen diese Vorgaben festgestellt – etwa aufgrund fehlender Prävention oder unzureichender Reaktion auf ein bekanntes Risiko –, gilt dies nicht mehr nur als Organisationsmangel, sondern als potenzielle Fahrlässigkeit im rechtlichen Sinne. Die Geschäftsleitung steht dann im Ernstfall mit ihrem privaten Vermögen in der Haftung – ein Risiko, das nicht nur finanziell, sondern auch reputationsseitig existenzbedrohend sein kann.
Wer also seine IT-Sicherheit strukturiert aufstellt – etwa durch MDR-Services oder ein kontinuierlich weiterentwickeltes Risikomanagement –, verbessert nicht nur seine Sicherheitslage, sondern auch seine Verhandlungsposition gegenüber Versicherern. Cyberversicherungen sind damit kein Ersatz, sondern eine Ergänzung einer durchdachten Cybersecurity-Strategie.
Die Bedeutung von Managed Detection and Response
Viele Unternehmen setzen im Bereich Cybersecurity primär auf technische Schutzmaßnahmen – Firewalls, Antivirensysteme oder Patch-Management. Doch gerade bei raffiniert getarnten Angriffen, bei denen sich Bedrohungen über Wochen unbemerkt in der IT-Infrastruktur ausbreiten, ist menschliche Expertise unverzichtbar. Hier kommen sogenannte MDR-Services (Managed Detection and Response) ins Spiel. Sie bieten einen 24/7-Schutz durch erfahrene Bedrohungsexperten in einem Security Operations Center (SOC), die Angriffe in Echtzeit analysieren, priorisieren und gezielt abwehren – oft noch bevor Schaden entsteht. Der MDR-Service von indevis etwa ergänzt bestehende IT-Teams und stellt sicher, dass Unternehmen selbst komplexe Attacken frühzeitig erkennen und effektiv bekämpfen können. Für Geschäftsführungen bedeutet das: höhere Sicherheit, bessere Reaktionsgeschwindigkeit und eine wertvolle Entlastung bei der Einhaltung der Compliance-Vorgaben.
Fazit: Jetzt handeln und Haftung vermeiden
Die NIS2-Richtlinie macht unmissverständlich klar, dass Cybersecurity heute zur unternehmerischen Kernverantwortung gehört. Sie verlangt von Unternehmensleitungen nicht nur organisatorisches Risikomanagement, sondern auch konkrete technische und personelle Maßnahmen. Wer jetzt nicht handelt, riskiert nicht nur wirtschaftlichen Schaden, sondern auch persönliche Konsequenzen. Ein MDR-Service kann dabei ein entscheidender Baustein sein, um Angriffe effektiv zu verhindern, regulatorische Anforderungen zu erfüllen und die eigene Haftung zu minimieren. Für zukunftsfähige Cybersecurity gilt deshalb: Verantwortung beginnt an der Spitze.
