{"id":14480,"date":"2025-07-22T04:04:08","date_gmt":"2025-07-22T04:04:08","guid":{"rendered":"https:\/\/newestek.com\/?p=14480"},"modified":"2025-07-22T04:04:08","modified_gmt":"2025-07-22T04:04:08","slug":"nis2-umsetzungsgesetz-geschaftsleitung-haftet-mit-privatvermogen","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=14480","title":{"rendered":"NIS2-Umsetzungsgesetz: Gesch\u00e4ftsleitung haftet mit Privatverm\u00f6gen"},"content":{"rendered":"<div>\n<div id=\"remove_no_follow\">\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<section class=\"wp-block-bigbite-multi-title\">\n<div class=\"container\"><\/div>\n<\/section>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<figure class=\"wp-block-image size-large is-resized\"> srcset=&#8221;https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?quality=50&amp;strip=all 3817w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=300%2C168&amp;quality=50&amp;strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=768%2C432&amp;quality=50&amp;strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=1024%2C576&amp;quality=50&amp;strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=1536%2C864&amp;quality=50&amp;strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=2048%2C1152&amp;quality=50&amp;strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=1240%2C697&amp;quality=50&amp;strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=150%2C84&amp;quality=50&amp;strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=854%2C480&amp;quality=50&amp;strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=640%2C360&amp;quality=50&amp;strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=444%2C250&amp;quality=50&amp;strip=all 444w&#8221; width=&#8221;1024&#8243; height=&#8221;576&#8243; sizes=&#8221;(max-width: 1024px) 100vw, 1024px&#8221;&gt;<figcaption class=\"wp-element-caption\">NIS2-Vers\u00e4umnisse k\u00f6nnen teuer werden \u2013 nicht nur furs Unternehmen, sondern auch f\u00fcr die Gesch\u00e4ftsleitung pers\u00f6nlich.<\/figcaption><\/figure>\n<p class=\"imageCredit\">Raushan_films | shutterstock.com<\/p>\n<\/div>\n<p>Angesichts <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/Lageberichte\/Lagebericht2024.pdf?__blob=publicationFile&amp;v=5\" target=\"_blank\" rel=\"noreferrer noopener\">der sich stets versch\u00e4rfenden Cyberbedrohungslage<\/a> (nicht nur in Deutschland) hat sich der europ\u00e4ische Gesetzgeber in den letzten Jahren intensiv mit dem Thema IT-Sicherheit <a href=\"https:\/\/www.csoonline.com\/article\/3494286\/nis2-dora-data-act-co-die-wichtigsten-security-gesetze-im-uberblick.html\" target=\"_blank\">befasst<\/a>. Im Januar\u00a02023 traten gleich drei Gesetze in diesem Zusammenhang in Kraft:<\/p>\n<ul class=\"wp-block-list\">\n<li>die <a href=\"https:\/\/eur-lex.europa.eu\/eli\/dir\/2022\/2555\/oj\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>NIS2-Richtlinie<\/strong><\/a>,<\/li>\n<li>die <a href=\"https:\/\/eur-lex.europa.eu\/eli\/dir\/2022\/2557\/oj\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>CER-Richtlinie<\/strong><\/a>, sowie<\/li>\n<li><a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/DE\/TXT\/?uri=CELEX%3A32022R2554\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>DORA<\/strong><\/a>.<\/li>\n<\/ul>\n<p>W\u00e4hrend <a href=\"https:\/\/www.csoonline.com\/article\/3622265\/dora-steht-vor-der-tur.html\" target=\"_blank\">DORA<\/a> als Verordnung unmittelbar Anwendung fand und seit Januar\u00a02025 gilt, m\u00fcssen die <a href=\"https:\/\/www.csoonline.com\/article\/3491626\/eu-security-richtlinie-6-tipps-zur-nis2-umsetzung.html\" target=\"_blank\">NIS2<\/a>\u2013 und die CER-Richtlinie erst in nationales Recht umgesetzt werden. Daf\u00fcr hatte der deutsche Gesetzgeber initial bis zum 17.\u00a0Oktober\u00a02024 Zeit. Und noch in diesem Monat des Vorjahres wurde \u00fcber die Entw\u00fcrfe f\u00fcr das NIS-2-Umsetzungs- und Cybersicherheitsst\u00e4rkungsgesetz (<strong>NIS2UmsuCG<\/strong>) und das Gesetz zur Umsetzung der CER-Richtlinie (<strong>KRITIS-Dachgesetz<\/strong>) durch den 20.\u00a0Bundestag beraten.<\/p>\n<p>Dann kam es allerdings zum Bruch der Ampelkoalition, wodurch diese diese Entw\u00fcrfe dem Grundsatz der sachlichen Diskontinuit\u00e4t zum Opfer fielen. Soll hei\u00dfen: S\u00e4mtliche Gesetzesvorhaben, die nicht vor Ende der Legislaturperiode beschlossen wurden, m\u00fcssen im neuen (respektive aktuellen) Bundestag erneut eingebracht und beraten werden.<\/p>\n<h2 class=\"wp-block-heading\" id=\"der-nis2-marathon\">Der NIS2-Marathon<\/h2>\n<p>Nachdem insgesamt 19 EU-Mitgliedsstaaten die NIS2-Richtlinie nicht oder nur unvollst\u00e4ndig <a href=\"https:\/\/digital-strategy.ec.europa.eu\/de\/policies\/nis-transposition\" target=\"_blank\" rel=\"noreferrer noopener\">umgesetzt haben<\/a>, droht die Europ\u00e4ische Kommission damit, ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland zu er\u00f6ffnen. Der Bundesgesetzgeber muss nun binnen zwei Monaten reagieren und die erforderlichen Ma\u00dfnahmen ergreifen, um dieses Verfahren und damit verbundene Bu\u00dfgelder zu vermeiden. Dass es binnen dieser zwei Monate noch mit dem NIS2UmsuCG und dem KRITIS-Dachgesetz klappt, ist zu bezweifeln. Immerhin: Dem federf\u00fchrenden Bundesministerium des Innern zufolge, ist aufgrund des \u00fcblichen Gesetzgebungsprozesses und der naher\u00fcckenden Sommerpause Ende 2025 mit einer Umsetzung zu rechnen.<\/p>\n<p>Trotz dieser Unsicherheiten mit Blick auf die Umsetzung gibt, sollten sich Unternehmen allerdings <a href=\"https:\/\/www.computerwoche.de\/article\/3807643\/nur-37-prozent-der-deutschen-firmen-sind-nis-2-konform.html\" target=\"_blank\">nicht zur\u00fccklehnen<\/a>, sondern sich vielmehr gezielt mit den Vorschriften besch\u00e4ftigen. So k\u00f6nnen sie,<\/p>\n<ul class=\"wp-block-list\">\n<li>einerseits pr\u00fcfen, ob sie in den Anwendungsbereich fallen und<\/li>\n<li>andererseits entsprechende Ma\u00dfnahmen vorbereiten.<\/li>\n<\/ul>\n<p>Da der europ\u00e4ische Gesetzgeber mit den Richtlinien die grobe Richtung vorgibt, lohnt sich vor allem ein Blick darauf, wie die Entw\u00fcrfe in der letzten Legislaturperiode umgesetzt werden sollten. Denn es ist damit zu rechnen, dass auch die Entw\u00fcrfe der aktuellen Bundesregierung \u2013 jedenfalls, soweit es Unternehmen betrifft \u2013 im Wesentlichen \u00e4hnlich aussehen werden. Deshalb liegt den Ausf\u00fchrungen zur nationalen Umsetzung der NIS2-Richtlinie der Gesetzentwurf der Bundesregierung mit Bearbeitungsstand vom 26.\u00a0Mai\u00a02025 zugrunde \u2013 zur Umsetzung des KRITIS-Dachgesetzes wird auf den Gesetzentwurf vom 27.\u00a0November\u00a02024 zur\u00fcckgegriffen.<\/p>\n<h2 class=\"wp-block-heading\" id=\"nis2umsucg-mehr-unternehmen-betroffen\">NIS2UmsuCG: Mehr Unternehmen betroffen<\/h2>\n<p>Bislang gilt in Deutschland das IT-Sicherheitsgesetz\u00a02.0. Adressaten sind Betreiber kritischer Infrastrukturen (<strong>KRITIS-Betreiber<\/strong>), deren Ausfall oder Beeintr\u00e4chtigung dramatische Folgen f\u00fcr die \u00f6ffentliche Ordnung h\u00e4tte. Dazu z\u00e4hlen etwa Anbieter digitaler Dienste (Online-Suchmaschinen, Cloud Computing, Onlinemarktpl\u00e4tze) und Unternehmen, die im besonderen \u00f6ffentlichen Interesse stehen.<\/p>\n<p>Wer betroffen ist, soll sich zuk\u00fcnftig vor allem nach den Sektoren, in denen die jeweiligen Unternehmen t\u00e4tig sind, richten. So sah es das Kernst\u00fcck des NIS2UmsuCG \u2013 die Anpassung des BSI-Gesetzes (<strong>BSIG-E<\/strong>), des deutschen IT-Sicherheitsgesetzes zur NIS2 Umsetzung \u2013 vor. Unterschieden wird bei den Adressaten vor allem zwischen \u201cwichtigen\u201d und \u201cbesonders wichtigen\u201d Einrichtungen. Hinzu kommen \u201cBetreiber kritischer Anlagen\u201d und weitere Anbieter. Nur Unternehmen mit weniger als 50\u00a0Besch\u00e4ftigten oder einem Jahresumsatz und einer Jahresbilanz von unter zehn\u00a0Millionen\u00a0Euro fallen <strong>nicht<\/strong> in den Anwendungsbereich \u2013 soweit nicht eine Ausnahme greift. Allein in Deutschland werden daher rund <strong>30.000 zus\u00e4tzliche Unternehmen<\/strong> vom NIS2UmscCG betroffen sein.<\/p>\n<p>Nach dem Entwurf eines Gesetzes zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundz\u00fcge des Informationssicherheitsmanagements in der Bundesverwaltung von Mai 2025 werden dabei vor allem erfasst:<\/p>\n<figure class=\"wp-block-table is-style-regular\">\n<div class=\"overflow-table-wrapper\">\n<table class=\"has-fixed-layout\">\n<tbody>\n<tr>\n<td><strong>Kategorie<\/strong><\/td>\n<td><strong>Unternehmensgr\u00f6\u00dfe<\/strong><\/td>\n<td><strong>Sektoren<\/strong><\/td>\n<\/tr>\n<tr>\n<td><strong>Besonders wichtige Einrichtung (\u00a7\u00a028 Abs.\u00a01 BSIG-E)<\/strong><\/td>\n<td><strong>Gro\u00dfunternehmen<\/strong>:<br \/>Unternehmen ab 250 Mitarbeiter oder<br \/>\u2265 50 Mio. Umsatz + \u2265 43 Mio. Jahresbilanz<\/td>\n<td><strong>Sektoren mit hoher Kritikalit\u00e4t und Teilsektoren<\/strong>: <a href=\"https:\/\/www.openkritis.de\/it-sicherheitsgesetz\/sektor_energie.html\">Energie<\/a>, <a href=\"https:\/\/www.openkritis.de\/it-sicherheitsgesetz\/sektor_transport-verkehr.html\">Transport und Verkehr<\/a>, Finanz- und Versicherungswesen, <a href=\"https:\/\/www.openkritis.de\/it-sicherheitsgesetz\/sektor_gesundheit.html\">Gesundheit<\/a>, <a href=\"https:\/\/www.openkritis.de\/it-sicherheitsgesetz\/sektor_wasser.html\">Trinkwasser, Abwasser<\/a>, <a href=\"https:\/\/www.openkritis.de\/it-sicherheitsgesetz\/sektor_informationstechnik-telekommunikation.html\">ITK-Dienste<\/a>, <a href=\"https:\/\/www.openkritis.de\/it-sicherheitsgesetz\/sektor_weltraum.html\">Weltraum<\/a><\/td>\n<\/tr>\n<tr>\n<td>\u00a0<\/td>\n<td><strong>Mittlere Unternehmen<\/strong>: Unternehmen ab 50 Mitarbeiter oder<br \/>\u2265 10 Mio. Umsatz + \u2265 10 Mio. Jahresbilanz<\/td>\n<td>Anbieter \u00f6ffentlicher TK-Netze und TK-Dienste<\/td>\n<\/tr>\n<tr>\n<td>\u00a0<\/td>\n<td><strong>unerheblich<\/strong><\/td>\n<td>Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste<\/td>\n<\/tr>\n<tr>\n<td><\/td>\n<td><strong>unerheblich<\/strong><\/td>\n<td><strong>Betreiber kritischer Anlagen<\/strong> (KRITIS-Betreiber) iSd Rechtsverordnung <strong>Neu: Digitale Energiedienste<\/strong><\/td>\n<\/tr>\n<tr>\n<td>\u00a0<\/td>\n<td><strong>unerheblich<\/strong><\/td>\n<td>\u00a0Bundesverwaltung<\/td>\n<\/tr>\n<tr>\n<td><strong>Wichtige Einrichtung (\u00a7\u00a028 Abs.\u00a02 BSIG-E)<\/strong><\/td>\n<td><strong>Mittlere Unternehmen<\/strong> (s.o.) \u00a0<\/td>\n<td><strong>Sektoren mit hoher Kritikalit\u00e4t und Teilsektoren<\/strong>: <a href=\"https:\/\/www.openkritis.de\/it-sicherheitsgesetz\/sektor_transport-verkehr.html\">Transport und Verkehr<\/a>, Finanz- und Versicherungswesen, <a href=\"https:\/\/www.openkritis.de\/it-sicherheitsgesetz\/sektor_gesundheit.html\">Gesundheit<\/a>, <a href=\"https:\/\/www.openkritis.de\/it-sicherheitsgesetz\/sektor_wasser.html\">Trinkwasser, Abwasser<\/a>, <a href=\"https:\/\/www.openkritis.de\/it-sicherheitsgesetz\/sektor_informationstechnik-telekommunikation.html\">ITK-Dienste<\/a>, <a href=\"https:\/\/www.openkritis.de\/it-sicherheitsgesetz\/sektor_weltraum.html\">Weltraum<\/a> <em>oder<\/em> <strong>Sonstige kritische Sektoren und Teilsektoren<\/strong>: Transport\/Verkehr (Post und Kurier), Chemie, Forschung, Verarbeitendes Gewerbe, Digitale Dienste, Lebensmittel, Entsorgung<\/td>\n<\/tr>\n<tr>\n<td><\/td>\n<td><strong>unerheblich<\/strong><\/td>\n<td>Vertrauensdienste<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/figure>\n<p>Welche Unternehmen als \u201cBetreiber kritischer Anlagen\u201d erfasst sein werden, kann erst bestimmt werden, nachdem eine erg\u00e4nzende Rechtsverordnung erlassen wurde (vgl. \u00a7\u00a7\u00a02 Nr.\u00a022, 28 Abs.\u00a01, 56 Abs.\u00a04 BSIG-E), die entsprechende Schwellenwerte (etwa Unternehmensgr\u00f6\u00dfe, Nutzeranzahl) definiert.<\/p>\n<p>Die bisherige Kritik, dass potenziell betroffene Wirtschaftsakteure wie auch -verb\u00e4nde nicht hinreichend eingebunden werden, wurde im aktuellen Referentenentwurf vom Mai 2025 ber\u00fccksichtigt: Demnach sind nun auch potenziell betroffene Wirtschaftsakteure anzuh\u00f6ren, bevor das Bundesministerium des Innern im Rahmen des \u00a7\u00a056\u00a0BSIG-E per erg\u00e4nzender Rechtsverordnung t\u00e4tig wird. Damit werden potenziell betroffene Wirtschaftsakteure unmittelbar an der Rechtssetzung beteiligt, die sie betrifft.<\/p>\n<h2 class=\"wp-block-heading\" id=\"der-nis2umsucg-pflichtenkatalog\">Der NIS2UmsuCG-Pflichtenkatalog<\/h2>\n<p>Unterliegt ein Unternehmen dem <a>NIS2UmscuCG <\/a>hat es diverse Pflichten zu erf\u00fcllen. Der Umfang dieser Pflichten ist dabei davon abh\u00e4ngig, ob es sich um eine \u201cwichtige\u201d, \u201cbesonders wichtige\u201d oder um eine \u201ckritische Anlage\u201d handelt. Grunds\u00e4tzlich sollen die Pflichten im BSI-Gesetz geregelt werden. F\u00fcr ein paar Sektoren, wie den TK-, Energie- oder Finanzsektor, gelten (auch) Spezialvorschriften (vgl. \u00a7\u00a028 Abs.\u00a01 a.E., 2 a.E., 4, 30, 31 BSIG-E). F\u00fcr den Finanzsektor wird die NIS2-Richtlinie durch DORA als sektorspezifischer Rechtsakt verdr\u00e4ngt.<\/p>\n<p>Alle Einrichtungen, die in den Anwendungsbereich des BSIG-E fallen, sind jedoch verpflichtet, technische und organisatorische Ma\u00dfnahmen zum Schutz ihrer IT-Systeme und -Prozesse zu treffen. Diese Ma\u00dfnahmen sollten dem <a href=\"https:\/\/www.csoonline.com\/article\/3605017\/das-gehort-in-ihr-security-toolset.html\" target=\"_blank\">aktuellen Stand der Technik<\/a> entsprechen und das Risiko eines Schadenseintritts angemessen ber\u00fccksichtigen \u2013 wobei Faktoren wie die Gr\u00f6\u00dfe der Einrichtung und potenzielle Sicherheitsvorf\u00e4lle zu ber\u00fccksichtigen sind. Hinzu kommt k\u00fcnftig auch ein umfassendes Risikomanagement, dass auch die Lieferketten eines Unternehmens abdeckt. Zudem wird es eine grunds\u00e4tzliche Registrierungspflicht sowie vorfallabh\u00e4ngige Meldepflichten (mit einer Erstmeldefrist von 24\u00a0Stunden) geben, um St\u00f6rungen von Verf\u00fcgbarkeit, Integrit\u00e4t, Authentizit\u00e4t und Vertraulichkeit von IT-Systemen zu vermeiden und die Auswirkungen von Sicherheitsvorf\u00e4llen m\u00f6glichst gering zu halten. Ferner ist gegen\u00fcber dem Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) nachzuweisen, dass die Vorgaben erf\u00fcllt werden. Das BSI wird die betroffenen Unternehmen au\u00dferdem \u00fcberwachen \u2013 \u201cbesonders wichtige\u201d Einrichtungen proaktiv und \u201cwichtige\u201d reaktiv.<\/p>\n<p>Im Vergleich zum Gesetzentwurf der Ampelkoalition aus dem Oktober 2024 sind in Bezug auf die <a href=\"https:\/\/www.computerwoche.de\/article\/2803348\/was-ist-risk-management.html\" target=\"_blank\">Risikomanagement<\/a>-Ma\u00dfnahmen nur marginale \u00c4nderungen ersichtlich. Diese beschr\u00e4nken sich auf eine Konkretisierung dieser Ma\u00dfnahmen nach \u00a7\u00a030 BSIG-E.<\/p>\n<h2 class=\"wp-block-heading\" id=\"geschaftsleitung-haftet-fur-risikomanagement\">Gesch\u00e4ftsleitung haftet f\u00fcr Risikomanagement<\/h2>\n<p>Die Gesch\u00e4ftsleitung tr\u00e4gt die Hauptverantwortung daf\u00fcr, dass die Risikomanagement-Ma\u00dfnahmen implementiert und \u00fcberwacht werden \u2013 allerdings kann sie nach dem aktuellen Entwurf vom Mai 2025 f\u00fcr Monitoring-Zwecke auch Dritte hinzuziehen. Das macht auch Sinn: Informationssicherheitsma\u00dfnahmen, wie <a href=\"https:\/\/www.csoonline.com\/article\/3856335\/7-wege-daten-besser-zu-verschlusseln.html\" target=\"_blank\">schutzw\u00fcrdige Daten zu verschl\u00fcsseln<\/a>, sollten idealerweise von der IT-Abteilung implementiert werden.<\/p>\n<p>Nach dem Gesetzentwurf des BSIG-E geh\u00f6rt zur Gesch\u00e4ftsleitung gem\u00e4\u00df \u00a7\u00a02 Nr.\u00a013 BSIG\u2011E \u201ceine nat\u00fcrliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur F\u00fchrung der Gesch\u00e4fte und zur Vertretung einer besonders wichtigen Einrichtung oder wichtigen Einrichtung berufen ist\u201d. W\u00fcnschenswert w\u00e4re, dass der neue Bundestag hier eine klarere Regelung trifft. Nach dem Gesetzentwurf bleibt n\u00e4mlich unklar, ob dar\u00fcber hinaus auch dienst- beziehungsweise arbeitsvertraglich vertretungsbefugte Personen haftbar gemacht werden k\u00f6nnen.<\/p>\n<p>Festgelegt ist jedoch, dass die Gesch\u00e4ftsleitung regelm\u00e4\u00dfig an entsprechenden <a href=\"https:\/\/www.csoonline.com\/article\/3492034\/security-awareness-trainings-schulungen-richtig-managen.html\" target=\"_blank\">Schulungen<\/a> teilnehmen muss. Wie genau diese Schulungen, sowie die korrespondierenden Dokumentationspflichten ausgestaltet werden sollen, bleibt das BSIG-E allerdings schuldig. Wichtig ist vor allem, dass die Gesch\u00e4ftsleitung mit ihrem Privatverm\u00f6gen verschuldensabh\u00e4ngig haften soll (vgl. \u00a7\u00a038 Abs.\u00a02 BSIG-E i.V.m. der jeweils einschl\u00e4gigen Haftungsnorm wie \u00a7\u00a093 Abs.\u00a02 S.\u00a01 AktG, \u00a7\u00a043 Abs.\u00a02 GmbHG). Wenn die gesellschaftsrechtlichen Normen keine Haftung vorsehen, haftet die Gesch\u00e4ftsleitung unter Umst\u00e4nden direkt nach \u00a7\u00a038 Abs.\u00a02 S.\u00a02 BSIGE. Diese Haftung sollen die Organe der Gesch\u00e4ftsleitung nicht vertraglich ausschlie\u00dfen k\u00f6nnen \u2013 entsprechende Verzichts- und Vergleichsvereinbarungen unwirksam sein.<\/p>\n<p>Zwar finden sich bereits im Gesellschafts- und Ordnungswidrigkeitenrecht Regelungen, die eine Haftung der Gesch\u00e4ftsleitung vorsehen \u2013 so beispielsweise die Verpflichtung \u201czur Sorgfalt eines ordentlichen Gesch\u00e4ftsmannes\u201d (\u00a7\u00a043 Abs.\u00a01 GmbHG). \u00a7\u00a038 Abs.\u00a01 BSIG-E bezieht Cybersicherheit nun aber ausdr\u00fccklich in die Pflichten der Gesch\u00e4ftsleitung ein. Zudem kann vor\u00fcbergehend auch die Wahrnehmung der Leitungsaufgaben untersagt werden.<\/p>\n<h2 class=\"wp-block-heading\" id=\"nis2-umsetzungsgesetz-hohe-busgelder-drohen\">NIS2-Umsetzungsgesetz: Hohe Bu\u00dfgelder drohen<\/h2>\n<p>Auch den Unternehmen selbst drohen bei einem Versto\u00df erhebliche Geldbu\u00dfen, n\u00e4mlich <strong>bis zu zehn\u00a0Millionen Euro<\/strong> (vgl.\u00a0\u00a7 65 Abs.\u00a05 BSIG-E) oder <strong>zwei\u00a0Prozent des weltweiten Vorjahresumsatzes<\/strong>. Zu \u00a0beachten ist au\u00dferdem, dass aufgrund der unterschiedlichen Schutzzwecke auch eine Bestrafung auf Grundlage mehrerer Gesetze grunds\u00e4tzlich m\u00f6glich ist (etwa bei einem gleichzeitigen Datenschutzversto\u00df).<\/p>\n<p>Da sich die politische Mehrheitslage ver\u00e4ndert hat und nun eine CDU-gef\u00fchrte Bundesregierung f\u00fcr die Umsetzung der NIS2-Richtlinie zust\u00e4ndig ist, sind \u00c4nderungen im laufenden Gesetzgebungsverfahren m\u00f6glich. Insbesondere Regelungen zur Einbindung staatlicher Stellen k\u00f6nnten \u00fcberarbeitet werden. So k\u00f6nnte etwa das BSI k\u00fcnftig befugt sein, Komponenten zu untersagen, und gegebenenfalls auch als Meldestelle f\u00fcr Schwachstellen zum Einsatz kommen. Die endg\u00fcltige Ausgestaltung des NIS2UmsuCG bleibt zun\u00e4chst politisch wie inhaltlich offen.<\/p>\n<p>Angesichts der drohenden Konsequenzen sollten Unternehmen dringend pr\u00fcfen,<\/p>\n<ul class=\"wp-block-list\">\n<li>ob sie in den Anwendungsbereich des NIS2UmsuCG fallen,<\/li>\n<li>ob bereits entsprechende Ma\u00dfnahmen implementiert wurden, und<\/li>\n<li>an welchen Stellen noch Handlungsbedarf besteht.<\/li>\n<\/ul>\n<p>Die Pflicht, die eigenen Systeme zu sch\u00fctzen, sollten Sie nicht als Einschr\u00e4nkung sehen. Schlie\u00dflich kann das auch eine Chance sein, Ihr Unternehmen besser gegen <a href=\"https:\/\/www.csoonline.com\/article\/3577944\/diese-unternehmen-hats-schon-erwischt.html\" target=\"_blank\">Cyberbedrohungen<\/a> zu wappnen. (fm)<\/p>\n<p><strong>Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong><a href=\"https:\/\/www.csoonline.com\/de\/newsletters\/signup\/\" target=\"_blank\"><strong>Unser kostenloser Newsletter<\/strong><\/a><strong> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>srcset=&#8221;https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?quality=50&amp;strip=all 3817w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=300%2C168&amp;quality=50&amp;strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=768%2C432&amp;quality=50&amp;strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=1024%2C576&amp;quality=50&amp;strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=1536%2C864&amp;quality=50&amp;strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=2048%2C1152&amp;quality=50&amp;strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=1240%2C697&amp;quality=50&amp;strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=150%2C84&amp;quality=50&amp;strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=854%2C480&amp;quality=50&amp;strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=640%2C360&amp;quality=50&amp;strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Raushan_films-shutterstock_2452558257_16z9.jpg?resize=444%2C250&amp;quality=50&amp;strip=all 444w&#8221; width=&#8221;1024&#8243; height=&#8221;576&#8243; sizes=&#8221;(max-width: 1024px) 100vw, 1024px&#8221;&gt;NIS2-Vers\u00e4umnisse k\u00f6nnen teuer werden \u2013 nicht nur furs Unternehmen, sondern auch f\u00fcr die Gesch\u00e4ftsleitung pers\u00f6nlich. Raushan_films | shutterstock.com Angesichts der sich stets versch\u00e4rfenden Cyberbedrohungslage (nicht nur in Deutschland) hat sich der europ\u00e4ische Gesetzgeber in den letzten Jahren intensiv&#8230; <\/p>\n<p class=\"more\"><a class=\"more-link\" href=\"https:\/\/newestek.com\/?p=14480\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14480","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14480","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14480"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14480\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14480"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14480"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14480"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}