NIS2 Geschäftsführerhaftung: §38 BSIG erklärt

§38 BSIG nimmt die Geschäftsleitung persönlich in die Pflicht: Sie muss die NIS2-Risikomanagementmaßnahmen selbst umsetzen, überwachen und haftet bei schuldhafter Verletzung mit dem Privatvermögen. Rund 29.000 Unternehmen in Deutschland sind betroffen. Mit dem Vor-Check von NIS2Compass prüfen Sie Ihren Status in wenigen Minuten.

Was regelt §38 BSIG zur Geschäftsführerhaftung?

§38 BSIG ist die zentrale Pflichtennorm für die Leitungsebene. Die Vorschrift verlagert die Verantwortung für NIS2 ausdrücklich auf die Geschäftsleitung selbst und macht sie persönlich greifbar. Sie gilt für besonders wichtige und für wichtige Einrichtungen nach den Kategorien des §28 BSIG.

Die Norm besteht aus drei Bausteinen, die zusammen die Haftungslogik bilden:

• Absatz 1 (Umsetzungspflicht): Die Geschäftsleitung muss die Risikomanagementmaßnahmen nach §30 BSIG umsetzen und deren Umsetzung aktiv überwachen. Diese Pflicht ist nicht an die IT-Abteilung abtretbar.
• Absatz 2 (Haftung): Bei schuldhafter Verletzung dieser Pflichten haftet die Geschäftsleitung persönlich gegenüber der eigenen Einrichtung. Es handelt sich um eine Innenhaftung, also einen Anspruch des Unternehmens gegen seine eigenen Leitungspersonen.
• Absatz 3 (Schulungspflicht): Die Geschäftsleitung muss an Schulungen zu Cybersicherheit teilnehmen. Diese Pflicht ist persönlich und nicht delegierbar.

Für die Praxis bedeutet das eine klare Botschaft an die Führungsebene. Die Geschäftsleitung kann sich nicht darauf zurückziehen, dass NIS2 ein reines IT-Thema sei. Sie trägt die rechtliche Letztverantwortung und muss sich nachweisbar damit befassen.

Wichtig für die interne Argumentation: NIS2 ist keine Zukunftsmusik. Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft und setzt die zugrunde liegende EU-Richtlinie in deutsches Recht um. Damit gelten die Pflichten aus §38 BSIG bereits heute, nicht erst nach einer Übergangsfrist.

Den vollständigen Wortlaut finden Sie im BSIG auf gesetze-im-internet.de. Wer als ISB die Geschäftsleitung überzeugen möchte, sollte §38 als Hebel nutzen. NIS2Compass unterstützt diese Argumentation mit strukturiertem Fachwissen und einem klaren Umsetzungspfad entlang der gesetzlichen Pflichten.

Welche Pflichten hat die Geschäftsleitung nach §38 BSIG?

§38 BSIG verpflichtet die Geschäftsleitung persönlich zur Umsetzung, Überwachung und Schulung. Sie muss die Risikomanagementmaßnahmen nach §30 BSIG umsetzen, ihre Umsetzung aktiv überwachen und regelmäßig an Schulungen teilnehmen. Diese Verantwortung ist gesetzlich nicht vollständig an die IT-Abteilung delegierbar.

Der §38 BSIG richtet sich direkt an die Leitungsebene, nicht an die Fachabteilung. Die Pflichten bauen auf den zehn Mindestmaßnahmen des §30 BSIG auf, etwa Risikoanalyse, Incident Handling, Backup und Lieferkettensicherheit.

Pflicht 1: Umsetzung der §30-Maßnahmen (§38 Abs. 1). Die Geschäftsleitung muss die nach §30 BSIG zu ergreifenden Risikomanagementmaßnahmen umsetzen. Sie kann die operative Arbeit delegieren, bleibt aber rechtlich verantwortlich. Der zugrunde liegende Art. 20 NIS2-Richtlinie spricht von "billigen und überwachen". In der Praxis bedeutet das: Die Geschäftsleitung muss die Maßnahmen formal verantworten, also billigen und genehmigen.

Pflicht 2: Überwachung der Umsetzung (§38 Abs. 1). Der finale deutsche Wortlaut lautet "umzusetzen und ihre Umsetzung zu überwachen". "Das macht die IT schon" genügt rechtlich nicht. Erforderlich sind sichtbares Management-Engagement und dokumentierte Governance-Prozesse, etwa regelmäßige Lageberichte des ISB an die Geschäftsleitung.

Pflicht 3: Persönliche Schulungsteilnahme (§38 Abs. 3). Die Geschäftsleitung muss regelmäßig an Schulungen teilnehmen, um Cyberrisiken und Maßnahmen selbst bewerten zu können. Der Gesetzgeber rechnet mit einem Aufwand von mindestens rund einem halben Tag, also etwa vier Stunden alle drei Jahre. Diese Teilnahme ist persönlich und nicht delegierbar.

Damit verschiebt §38 BSIG die Verantwortung erstmals klar auf die oberste Ebene. Welche Maßnahmen konkret umzusetzen sind, zeigt der strukturierte NIS2 Guide von NIS2Compass, der Sie durch alle §30-Pflichten führt. Wie die Schulungspflicht für Mitarbeiter und Leitung in der Praxis aussieht, erläutert unser Beitrag zu Schulungen als NIS2-Risikofaktor.

Wann haftet die Geschäftsführung persönlich mit dem Privatvermögen?

Persönlich mit dem Privatvermögen haftet die Geschäftsleitung erst, wenn sie ihre Pflichten nach §38 BSIG schuldhaft verletzt und dadurch ein Schaden entsteht. Das Bußgeld nach §65 BSIG trifft dagegen das Unternehmen, nicht direkt die Geschäftsführer. Beide Mechanismen sind streng zu trennen.

NIS2Compass weist auf zwei getrennte Sanktionswege hin, die in der Praxis häufig verwechselt werden.

Bußgeld gegen das Unternehmen (§65 BSIG): Bei Verstößen drohen Geldbußen gegen die Einrichtung. Für besonders wichtige Einrichtungen sind es bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist. Für wichtige Einrichtungen gelten bis zu 7 Mio. EUR oder 1,4 % des Umsatzes. Diese Bußgelder zahlt das Unternehmen, nicht das Privatvermögen der Geschäftsleitung. Den genauen Wortlaut finden Sie in §65 BSIG auf gesetze-im-internet.de. Eine ausführliche Einordnung bietet unser Beitrag zu den NIS2-Bußgeldern und drohenden Strafen.

Persönliche Innenhaftung der Geschäftsleitung (§38 Abs. 2 BSIG): Verletzt die Geschäftsleitung ihre Umsetzungs- und Überwachungspflichten schuldhaft, haftet sie ihrer eigenen Einrichtung für den entstandenen Schaden. Maßgeblich sind die gesellschaftsrechtlichen Regeln der Rechtsform, etwa §43 GmbHG für Geschäftsführer oder §93 AktG für Vorstände. Es handelt sich um eine Innenhaftung gegenüber dem eigenen Unternehmen, nicht um eine direkte Außenhaftung gegenüber Dritten oder dem BSI.

Ein verbreiteter Irrtum betrifft die GmbH: Die Haftungsbeschränkung der GmbH schützt Geschäftsführer nicht vor dieser persönlichen Organhaftung. Sie wirkt nach außen gegenüber Gläubigern, nicht im Innenverhältnis zwischen Geschäftsführer und Gesellschaft.

Konkret greift die Haftung, wenn ein Schaden entsteht, etwa durch einen Sicherheitsvorfall oder ein Bußgeld gegen das Unternehmen, und die Geschäftsleitung ihre §38-Pflichten schuldhaft verletzt hat. Beispiele: keine §30-Maßnahmen veranlasst, keine Überwachung dokumentiert.

„Nicht das Bußgeld selbst, sondern die Innenhaftung nach §38 Abs. 2 ist das eigentliche persönliche Risiko für Geschäftsführer. Der beste Schutz ist eine lückenlose Dokumentation der Billigung und Überwachung der Maßnahmen." — Dr. Markus Hartmann, Senior Compliance-Berater

Können Geschäftsführer die NIS2-Verantwortung delegieren?

Operative Aufgaben lassen sich delegieren, die Letztverantwortung nicht. §38 BSIG verankert die Verantwortung für die Risikomanagementmaßnahmen bei der Geschäftsleitung. Sie kann die Umsetzung übertragen, bleibt aber überwachungspflichtig. Die persönliche Schulungspflicht nach §38 Abs. 3 ist gar nicht delegierbar.

Welche Aufgaben dürfen abgegeben werden?

Die konkrete Umsetzung der §30-Maßnahmen ist delegierbar. Geschäftsführer können die Ausführung an die IT-Leitung, den ISB oder externe Dienstleister übertragen. Das ist in der Praxis üblich und sinnvoll, da die Geschäftsleitung selten über die nötige technische Tiefe verfügt.

Warum bleibt die Verantwortung trotzdem oben?

Delegation der Ausführung entbindet nicht von der Überwachungspflicht. Die Geschäftsleitung muss sich nachweisbar vergewissern, dass delegierte Aufgaben tatsächlich erledigt werden. Dazu gehören die sorgfältige Auswahl, eine klare Instruktion und die laufende Kontrolle der beauftragten Person.

Die Schulungspflicht nach §38 Abs. 3 ist nicht delegierbar. Die Geschäftsleitung muss persönlich an den Schulungen teilnehmen. Sie kann nicht den IT-Leiter stellvertretend schulen lassen. Diese Pflicht zielt bewusst auf die Leitungsebene selbst.

Gilt das für KRITIS und kleinere Einrichtungen gleichermaßen?

Für KRITIS-Betreiber und besonders wichtige Einrichtungen gelten zusätzlich strengere Pflichten als für wichtige Einrichtungen. Die Geschäftsleitungs-Verantwortung nach §38 BSIG gilt jedoch für beide Kategorien gleichermaßen (§28 BSIG).

Für IT-Leiter ergibt sich daraus ein praktischer Ansatzpunkt. Weil die Letztverantwortung oben bleibt, liegt eine saubere Dokumentation der Delegation im unmittelbaren Interesse der Geschäftsleitung: Wer macht was, wer berichtet wann. Genau hier können Sie konkret unterstützen und die Governance-Struktur aufbauen. Der NIS2 Guide von NIS2Compass führt in Kapitel 1 Schritt für Schritt durch die Verantwortungs- und Governance-Struktur, passende Vorlagen finden Sie in der Template Library.

Wie überzeugen IT-Leiter die Geschäftsführung von NIS2?

NIS2 ist keine reine IT-Aufgabe, sondern Chefsache. Der Hebel ist §38 BSIG: Diese Norm verpflichtet die Geschäftsleitung persönlich und schafft IT-Leitern starke Argumente, um die Umsetzung verbindlich auf die Führungsebene zu heben.

• Mit dem Gesetzeswortlaut argumentieren: §38 BSIG macht NIS2 zur persönlichen Pflicht der Geschäftsleitung, nicht zur reinen IT-Aufgabe. Die Verantwortung lässt sich nicht an die IT-Abteilung abschieben.
• Mit der persönlichen Haftung argumentieren: §38 Abs. 2 begründet eine persönliche Innenhaftung. Die GmbH-Haftungsbeschränkung schützt die Geschäftsleitung davor nicht.
• Mit der nicht delegierbaren Schulungspflicht argumentieren: §38 Abs. 3 verlangt die persönliche Teilnahme der Geschäftsleitung an Schulungen. Eine Stellvertretung ist nicht vorgesehen.
• Mit Dokumentation als Schutz argumentieren: Eine dokumentierte Billigung und Überwachung der §30-Maßnahmen ist der beste Nachweis bei einer BSI-Prüfung und entlastet die Geschäftsleitung.

NIS2Compass liefert mit dem NIS2 Guide (Kapitel 1: Governance und Geschäftsleitungs-Dokumentation) und der Template Library die Struktur, um genau diese Nachweise systematisch aufzubauen. Wo Ihr Unternehmen aktuell steht, zeigt der kostenlose Vor-Check ohne Login.

Praxisszenario: Ransomware ohne §38-Nachweis

Ein mittelständischer Maschinenbauer mit rund 140 Mitarbeitern gilt als wichtige Einrichtung und wird von Ransomware getroffen. Die IT hatte zwar einige der zehn §30-Mindestmaßnahmen umgesetzt, doch die Geschäftsleitung hatte diese nie formal gebilligt.

Es gab keine dokumentierte Überwachung, und kein Mitglied der Geschäftsleitung hatte je an einer Schulung teilgenommen. Bei der Aufarbeitung des Vorfalls lässt sich deshalb keine §38-Konformität nachweisen.

Die Folgen sind erheblich. Das Unternehmen riskiert ein Bußgeld nach §65 BSIG von bis zu 7 Mio. Euro oder 1,4 Prozent des Jahresumsatzes. Zugleich steht die Geschäftsleitung persönlich im Risiko der Innenhaftung nach §38 Abs. 2.

Der Lerneffekt: Hätte der IT-Leiter frühzeitig die Billigung und Überwachung dokumentieren lassen, wäre die Geschäftsleitung deutlich besser geschützt gewesen. Eine Gegenüberstellung der Wege zeigt der Beitrag NIS2 mit Berater oder selbst umsetzen.

Häufig gestellte Fragen

Gilt §38 BSIG auch für GmbH-Geschäftsführer?

Ja, §38 BSIG gilt unabhängig von der Rechtsform. Die Vorschrift bindet die Geschäftsleitung jeder betroffenen besonders wichtigen und wichtigen Einrichtung. Für GmbH-Geschäftsführer verweist die Haftung nach §38 Abs. 2 auf die gesellschaftsrechtlichen Regeln, also §43 GmbHG.

Die GmbH-Haftungsbeschränkung schützt nicht vor dieser persönlichen Organhaftung im Innenverhältnis.

Haftet die Geschäftsleitung mit dem Privatvermögen?

Das ist möglich. Bußgelder nach §65 BSIG treffen zunächst das Unternehmen. Die persönliche Vermögenshaftung der Geschäftsleitung ergibt sich dagegen aus §38 Abs. 2 BSIG: eine Innenhaftung gegenüber der eigenen Einrichtung bei schuldhafter Pflichtverletzung. Diese Innenhaftung kann das Privatvermögen der Geschäftsleitung betreffen.

Was passiert, wenn die Geschäftsleitungs-Schulung fehlt?

Die Schulungspflicht nach §38 Abs. 3 ist verbindlich und persönlich. Fehlt der Nachweis regelmäßiger Teilnahme, ist das eine Pflichtverletzung, die im Schadensfall die Haftung begründen kann und bei einer BSI-Prüfung negativ auffällt.

Der Aufwand bleibt überschaubar: Der Gesetzgeber rechnet mit rund einem halben Tag alle drei Jahre.

Kann die Geschäftsführung die NIS2-Haftung delegieren?

Nein, die Letztverantwortung bleibt bei der Geschäftsleitung. Operative Aufgaben sind an IT oder ISB delegierbar, die Überwachungspflicht und die persönliche Schulungspflicht nach §38 Abs. 3 jedoch nicht.

Delegation entbindet nicht von der Verantwortung nach §38 BSIG.

Wie kann sich die Geschäftsleitung absichern?

Der beste Schutz ist lückenlose Dokumentation. Eine nachweisbare Billigung der §30-Maßnahmen, dokumentierte Überwachung (z.B. ISB-Lageberichte) und Schulungsnachweise belegen die Erfüllung der Pflichten aus §38 BSIG.

NIS2Compass liefert mit dem NIS2 Guide und fertigen Vorlagen die Struktur dafür. Wo Sie stehen, zeigt der Vor-Check in wenigen Minuten.

Quellen

• Gesetze im Internet: BSIG (§§ 28, 30, 38, 65)
• EUR-Lex: NIS2-Richtlinie (Richtlinie (EU) 2022/2555), Art. 20
• Deutscher Bundestag: Gesetzesfolgenabschätzung zum NIS2UmsuCG, Drucksache 20/13184