Was §38 BSIG bedeutet — und warum er neu ist
Die persönliche Haftung der Geschäftsführung für Cybersicherheitsversäumnisse ist in dieser Form neu im deutschen Recht. §38 BSIG stellt klar: Leitungsorgane — Geschäftsführer, Vorstände und vergleichbare Positionen — können bei Verstößen persönlich in die Haftung genommen werden.
Das ist ein fundamentaler Unterschied zur bisherigen Praxis. Bisher trafen Bußgelder das Unternehmen als juristische Person. Nach NIS2 können sie die Führungsperson direkt treffen.
Was das Gesetz konkret verlangt
§38 BSIG verpflichtet Leitungsorgane zu drei Kernpflichten:
1. Genehmigung der Sicherheitsmaßnahmen
Die Geschäftsführung muss die Umsetzung der in §30 BSIG vorgeschriebenen Maßnahmen formell genehmigen — aktiv beschließen, nicht nur dulden.
In der Praxis: Vorlage der Sicherheitskonzepte in der Geschäftsführungssitzung, dokumentierter Beschluss, nachvollziehbare Verantwortungszuweisung. Eine formlose Beauftragung der IT-Abteilung genügt nicht.
2. Überwachung der Umsetzung
Die Genehmigung reicht nicht aus. Leitungsorgane müssen aktiv überwachen, dass die genehmigten Maßnahmen tatsächlich umgesetzt werden — durch regelmäßige Berichterstattung, messbare Kennzahlen und dokumentierte Kontrollmechanismen.
3. Schulungspflicht für das Leitungsorgan selbst
§38 Abs. 4 BSIG verpflichtet Leitungsorgane, an Schulungen zur Cybersicherheit teilzunehmen und dieses Wissen aktuell zu halten. Die Teilnahme muss dokumentiert werden.
Warum Haftungsfreistellung ausgeschlossen ist
Das Gesetz schließt ausdrücklich aus, dass Unternehmen ihre Leitungsorgane von der Haftung freistellen. Entsprechende Klauseln in Anstellungsverträgen sind unwirksam. Auch nachträgliche Freistellungsvereinbarungen greifen nicht.
Prüfen Sie, ob Ihre D&O-Versicherung NIS2-spezifische Bußgelder abdeckt — und lesen Sie das Kleingedruckte.
Die Bußgeldrahmen im Überblick
Besonders wichtige Einrichtungen (Anhang I, mind. 250 MA oder mind. 50 Mio. € Umsatz):
- Bis zu 10 Millionen Euro, oder
- Bis zu 2 % des weltweiten Jahresumsatzes (jeweils der höhere Betrag)
Wichtige Einrichtungen (alle anderen betroffenen Unternehmen):
- Bis zu 7 Millionen Euro, oder
- Bis zu 1,4 % des weltweiten Jahresumsatzes
Darüber hinaus kann das BSI bei schwerwiegenden Verstößen die vorübergehende Untersagung der Tätigkeit als Leitungsorgan aussprechen — ein in Deutschland bisher nicht gekanntes Instrument.
Was Geschäftsführer jetzt konkret tun müssen
Schritt 1: Betroffenheit klären — Sektor, Größe, Konzernzugehörigkeit.
Schritt 2: Beim BSI registrieren — Pflicht für alle betroffenen Einrichtungen.
Schritt 3: ISB benennen — intern oder extern; koordiniert die Umsetzung, entbindet aber nicht von der Governance-Verantwortung.
Schritt 4: Risikoanalyse beauftragen und genehmigen — Ergebnis muss im Protokoll dokumentiert genehmigt werden.
Schritt 5: Maßnahmenplan beschließen — Welche §30-BSIG-Maßnahmen werden bis wann umgesetzt? Dokumentierter Beschluss mit Verantwortlichkeiten und Fristen.
Schritt 6: Schulung absolvieren — NIS2-Schulung für Führungskräfte, Teilnahme dokumentieren. Nicht optional.
Schritt 7: Regelmäßige Berichterstattung einrichten — Mindestens vierteljährlich einen Sicherheitsbericht erhalten und die Kenntnisnahme dokumentieren.
Der häufigste Fehler: "Das macht die IT"
NIS2 als reines IT-Projekt zu behandeln und vollständig zu delegieren ist der häufigste Fehler. §38 BSIG ist eindeutig: IT kann umsetzen, aber Genehmigung, Überwachung und Schulung liegen beim Leitungsorgan persönlich.
Die IT-Abteilung trägt keine Bußgelder. Der externe Dienstleister auch nicht.
Wann drohen Konsequenzen?
Das NIS2UmsuCG ist seit Oktober 2024 in Kraft. Das BSI ist befugt, Unternehmen auf Einhaltung zu prüfen und Bußgelder zu verhängen, sobald Fristen für Registrierung und Umsetzung abgelaufen sind.
Unternehmen ohne eingeleitete Maßnahmen befinden sich in einem Bereich erhöhter Haftungsrisiken — für das Unternehmen und seine Führungspersonen persönlich.