NIS-2 Geschäftsführer-Haftung: Persönliche Verantwortung ab Oktober 2026

07. April 2026

Mit dem NISG 2026 haftet die Geschäftsführung erstmals persönlich für die Einhaltung von Cybersicherheitsmaßnahmen. Das ist kein theoretisches Risiko: Ab 1. Oktober 2026 können Strafen bis zu 10 Millionen Euro verhängt werden — und Leitungsorgane können dafür persönlich zur Verantwortung gezogen werden.

Was bedeutet persönliche Haftung konkret?

Das NISG 2026 verpflichtet die Leitungsorgane — also Geschäftsführer, Vorstände und vergleichbare Funktionen — zu drei konkreten Pflichten: Sie müssen die Risikomanagementmaßnahmen zur Cybersicherheit billigen. Sie müssen deren Umsetzung überwachen. Und sie müssen persönlich an spezifischen Cybersicherheitsschulungen teilnehmen. Keine dieser Pflichten kann an IT-Leiter, Compliance-Beauftragte oder externe Berater delegiert werden.

Warum das ein Paradigmenwechsel ist

Bisher war Cybersicherheit in den meisten Unternehmen eine IT-Angelegenheit. Das NISG 2026 macht sie zur Chefsache — mit persönlichen Konsequenzen. Wenn ein Cybersicherheitsvorfall eintritt und das Unternehmen seine Pflichten nicht erfüllt hat, kann die Geschäftsführung persönlich haftbar gemacht werden. Das betrifft nicht nur große Konzerne: Jedes betroffene Unternehmen ab mittlerer Größe (50 Mitarbeiter oder 10 Mio. EUR Umsatz) in einem der 18 regulierten Sektoren fällt unter diese Regelung.

Die drei Pflichten der Geschäftsführung im Detail

1. Billigung der Risikomanagementmaßnahmen

Die Geschäftsführung muss die Cybersicherheitsmaßnahmen nicht nur kennen, sondern aktiv billigen. Das setzt voraus, dass Sie die Risikolandschaft Ihres Unternehmens verstehen, die Maßnahmen nachvollziehen können und eine informierte Entscheidung über deren Angemessenheit treffen. Ein bloßes Abnicken reicht nicht aus.

2. Überwachung der Umsetzung

Es reicht nicht, Maßnahmen zu beschließen — Sie müssen auch deren Umsetzung überwachen. Das bedeutet regelmäßige Berichte, definierte KPIs und ein dokumentiertes Monitoring. Die Geschäftsführung muss nachweisen können, dass sie die Umsetzung aktiv begleitet hat.

3. Persönliche Schulungspflicht

Jedes Leitungsorgan muss persönlich an Cybersicherheitsschulungen teilnehmen, die spezifisch auf die Führungsebene zugeschnitten sind. Online-Kurse für Mitarbeiter zählen nicht. Die Schulungen müssen auf die Entscheidungsebene ausgerichtet sein und das Verständnis für Cyberrisiken im Geschäftskontext vermitteln.

Was bei Verstößen droht

Die Sanktionen sind erheblich: Für wesentliche Einrichtungen Geldstrafen bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4% des Jahresumsatzes. Dazu kommt die persönliche Haftung der Geschäftsführung — ein Risiko, das keine D&O-Versicherung pauschal abdeckt.

Was Sie als Geschäftsführer jetzt tun sollten

Die Frist bis 1. Oktober 2026 mag komfortabel wirken — ist sie aber nicht. Ein vollständiges Risikomanagementsystem aufzubauen, zu dokumentieren und die Geschäftsführung zu schulen, dauert erfahrungsgemäß 3 bis 6 Monate. Wer im April 2026 anfängt, hat gerade noch genug Zeit. Prüfen Sie jetzt, ob Ihr Unternehmen betroffen ist. Lassen Sie eine Gap-Analyse durchführen. Planen Sie Ihre persönliche Cybersicherheitsschulung. Und dokumentieren Sie alles — denn im Ernstfall müssen Sie nachweisen, dass Sie Ihre Pflichten erfüllt haben.

Als Certified NIS Expert unterstütze ich Geschäftsführer und Vorstände dabei, ihre persönlichen NIS-2-Pflichten zu verstehen und strukturiert umzusetzen. In einem kostenlosen 20-Minuten-Erstgespräch klären wir Ihre Betroffenheit und den optimalen Fahrplan. Jetzt Termin vereinbaren.

Weiterlesen

Rechtliche Grundlagen der Geschäftsführer-Haftung unter NIS-2

Die persönliche Haftung von Geschäftsführern im Bereich Cybersicherheit ist kein österreichisches Sonderphänomen — sie ist eine zentrale Anforderung der EU NIS-2-Richtlinie (2022/2555). Artikel 20 der Richtlinie verpflichtet Leitungsorgane ausdrücklich dazu, Cybersicherheits-Risikomanagementmaßnahmen zu billigen und deren Umsetzung zu überwachen. Bei Pflichtverletzung haften sie persönlich.

In Österreich wird dies durch das NISG 2026 in nationales Recht überführt. Die österreichische Rechtsinformationsplattform (RIS) stellt den vollständigen Gesetzestext bereit. Geschäftsführer sollten sich insbesondere mit den Anforderungen an Schulungspflichten, Risikoanalysen und Meldeprozesse vertraut machen. Die ENISA bietet zudem praxisnahe Umsetzungsleitfäden.

Um das Haftungsrisiko zu minimieren, empfiehlt sich eine regelmäßige Dokumentation aller Cybersicherheitsmaßnahmen. Eine lückenlose Nachweisführung zeigt im Ernstfall, dass die Sorgfaltspflichten eingehalten wurden. Unternehmen sollten zudem prüfen, ob eine Directors-and-Officers-Versicherung (D&O) die neuen Cyberrisiken abdeckt.

Neueste Artikel

Bleiben Sie mit den neuesten Artikeln zu Technologie, Gesundheit, Finanzen und mehr auf dem Laufenden. Entdecken Sie aufschlussreiche Inhalte für eine fundierte Entscheidungsfindung.

Legal4Startups

5 min

NISG 2026: Was sich für österreichische Unternehmen ab Oktober ändert

Legal4Startups

7 min