Home Blog BSIG-Novelle birgt neue h…
Zurück
seitz.digital

BSIG-Novelle birgt neue haftungsrechtliche Risiken für Geschäftsleiter

Home Blog BSIG-Novelle birgt neue h…
Zurück
Autoren
Profilbild von Jens Neldner
Jens Neldner
Profilbild von Philipp Barring
Philipp Barring
Datum

13. Mai 2026

Diesen Beitrag teilen

Mit der Novellierung des BSI-Gesetzes (Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen) zur Umsetzung der NIS-2-Richtlinie der EU (2022/2555) wird Cybersicherheit erstmals ausdrücklich zur persönlichen Pflicht von Geschäftsführern und Vorständen. Der Gesetzgeber nimmt nunmehr hierfür die Unternehmensleitung selbst in die Pflicht – mit sämtlichen haftungsrechtlichen Konsequenzen. Besonders in Konzernstrukturen entstehen dadurch neue Risikodimensionen. Cybersicherheit ist damit keine rein technische Fragestellung mehr, sondern ein zentraler Bestandteil der Organisations- und Überwachungspflichten auf Leitungsebene.

Anwendungsbereich des BSIG

Ob ein Unternehmen unter den Anwendungsbereich des novellierten BSIG fällt, hängt nicht allein von seiner Größe ab. Maßgeblich sind vor allem die sog. Kritikalität jeweils erbrachten Dienstleistung für die Allgemeinheit, zum anderen das Erreichen bestimmter Schwellenwerte in Bezug auf Beschäftigtenzahl sowie Umsatz oder Bilanzsumme. Gerade im Konzernumfeld führt diese Systematik dazu, dass auch Gesellschaften erfasst sein können, die sich bislang nicht als „kritisch“ eingeordnet haben. Für Geschäftsleiter ist dies von erheblicher Bedeutung, denn eine unzutreffende Selbsteinschätzung – etwa die Annahme, das eigene Unternehmen sei „zu klein“ – kann unmittelbar zu Compliance-Defiziten und persönlichen Haftungsrisiken führen.

Der Anwendungsbereich des BSIG knüpft in erster Linie an die Zugehörigkeit zu besonders schützenswerten Sektoren an. Dazu zählen unter anderem die Energie-, Wasser- und Abwasserversorgung, die Lebensmittelproduktion und -versorgung, die Transport- und Verkehrsinfrastruktur, die Telekommunikation, das Gesundheitswesen, das Finanz- und Bankwesen sowie digitale Infrastrukturen wie Cloud-, DNS- oder Managed-Service-Anbieter. Unternehmen in diesen Bereichen können unabhängig von ihrer eigenen Größe erfasst sein, weshalb für die Geschäftsleitung eine belastbare und dokumentierte Einordnung zwingend erforderlich ist.

Das Gesetz unterscheidet zudem zwischen besonders wichtigen und wichtigen Einrichtungen. Besonders wichtige Einrichtungen sind unter anderem Betreiber kritischer Anlagen, zentrale digitale Infrastrukturen sowie große Unternehmen relevanter Sektoren, sofern sie mindestens 250 Mitarbeitende beschäftigen oder einen Jahresumsatz von mehr als 50 Millionen Euro bei zugleich über 43 Millionen Euro Bilanzsumme erzielen. Als wichtige Einrichtungen gelten kleinere Unternehmen derselben Sektoren, wenn sie mindestens 50 Mitarbeitende haben oder einen Jahresumsatz bzw. eine Bilanzsumme von mehr als 10 Millionen Euro erreichen. Diese Einstufung entscheidet nicht nur über die Intensität der behördlichen Aufsicht und den Bußgeldrahmen, sondern prägt faktisch auch das persönliche Risikoprofil von Geschäftsführern und Vorständen.

Konzernrechtliche Zurechnung

Besonders praxisrelevant ist die konzernrechtliche Zurechnung von Schwellenwerten. Mitarbeiterzahlen und Umsätze von Partnerunternehmen sowie von verbundenen Unternehmen werden anteilig oder vollständig berücksichtigt. Dadurch können selbst kleinere Gesellschaften allein aufgrund ihrer Konzernzugehörigkeit unter das BSIG fallen. Eine bewusste Aufsplitterung von Strukturen bietet insoweit keinen Schutz. Im Gegenteil erhöht mangelnde Transparenz innerhalb des Konzerns das Risiko persönlicher Pflichtverletzungen auf Ebene der Geschäftsleitung.

Zwar sieht das Gesetz bestimmte Ausnahmen vor, deren Reichweite jedoch begrenzt ist. Tätigkeiten von lediglich untergeordneter Bedeutung können unter Umständen außer Betracht bleiben, wobei diese Ausnahme unionsrechtlich umstritten ist und keine verlässliche Grundlage zur Haftungsvermeidung bietet. Daneben kann auf eine IT-systemische Unabhängigkeit abgestellt werden, wenn IT-Systeme tatsächlich eigenständig betrieben und verantwortet werden. Maßgeblich ist hierbei nicht die formale Organisationsstruktur, sondern die tatsächliche Entscheidungsbefugnis über IT-Systeme. Gerade hierin zeigt sich der Kern der neuen Haftungslogik: Geschäftsleiter haften nicht für Organisationspläne auf dem Papier, sondern für die gelebte Realität im Unternehmen.

Neuer Pflichtenkatalog für Geschäftsleiter

Fällt ein Unternehmen in den Anwendungsbereich des BSIG, greift ein umfassender Pflichtenkatalog, dessen Einhaltung ausdrücklich der Geschäftsleitung zugewiesen ist. Zentrale Bedeutung kommt dabei dem Risikomanagement und der Umsetzung technischer und organisatorischer Maßnahmen zu. Unternehmen müssen geeignete, wirksame und verhältnismäßige Vorkehrungen treffen, um die Verfügbarkeit, Integrität und Vertraulichkeit ihrer IT-Systeme sicherzustellen. Besonders haftungssensibel sind in diesem Zusammenhang belastbare Risikoanalysen, dokumentierte Sicherheitskonzepte, wirksame Zugriffskontrollen einschließlich Multi-Faktor-Authentifizierung sowie Maßnahmen zur Absicherung der Lieferkette, etwa durch vertragliche Vorgaben und funktionierendes Patch-Management. Für Unternehmen digitaler Sektoren gelten darüber hinaus verbindliche europäische Durchführungsstandards. Ein bloßes „Best-Effort-Management“ genügt den gesetzlichen Anforderungen nicht.

Neu und haftungsrechtlich besonders brisant ist die persönliche Schulungspflicht der Geschäftsleitung. Diese Schulungen müssen regelmäßig, mindestens alle drei Jahre, persönlich und einrichtungsspezifisch erfolgen und sind nicht delegierbar. Reine Standardschulungen reichen nicht aus. Unterlassene oder unzureichende Schulungen können als eigenständige Pflichtverletzung der Geschäftsleitung gewertet werden.

Hinzu kommen umfassende Registrierungs- und Meldepflichten. Unternehmen müssen sich innerhalb von drei Monaten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und erhebliche Sicherheitsvorfälle fristgerecht melden. Die Erstmeldung hat binnen 24 Stunden zu erfolgen, eine Folgemeldung innerhalb von 72 Stunden und eine Abschlussmeldung spätestens nach einem Monat. Verspätete oder unvollständige Meldungen zählen in der Praxis zu den klassischen Ansatzpunkten für Bußgelder und den Vorwurf eines Organisationsversagens.

Fazit und Praxis

Die BSIG-Novelle markiert einen klaren haftungsrechtlichen Wandel für Organe: IT-Compliance bzw. Cybersecurity wird damit ausdrücklich zur Pflicht der Geschäftsleitung gemacht und damit integraler Bestandteil der Leitungs- und Überwachungspflichten von Geschäftsführern und Vorständen. Gerade im Konzernumfeld ist es entscheidend, die Anwendbarkeit des Gesetzes sorgfältig zu prüfen, IT-Abhängigkeiten realistisch zu bewerten, Schulungen konsequent durchzuführen und zu dokumentieren sowie Verantwortlichkeiten klar zu regeln. Für die Praxis bedeutet dies, dass eine frühzeitige und systematische Analyse der Konzernstruktur sowie eine konzernweit abgestimmte Umsetzung der Cybersicherheitsanforderungen unerlässlich sind, um Rechtssicherheit zu schaffen und persönliche Haftungs- sowie Sanktionsrisiken wirksam zu minimieren.

BSIG-Novelle birgt neue haftungsrechtliche Risiken für Geschäftsleiter

Mit der Novellierung des BSI-Gesetzes (Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen) zur Umsetzung der NIS-2-Richtlinie der EU (2022/2555) wird Cybersicherheit erstmals ausdrücklich zur persönlichen Pflicht von Geschäftsführern und Vorständen. Der Gesetzgeber nimmt nunmehr hierfür die Unternehmensleitung selbst in die Pflicht – mit sämtlichen haftungsrechtlichen Konsequenzen. Besonders in Konzernstrukturen entstehen dadurch neue Risikodimensionen. Cybersicherheit ist damit keine rein technische Fragestellung mehr, sondern ein zentraler Bestandteil der Organisations- und Überwachungspflichten auf Leitungsebene.

Anwendungsbereich des BSIG

Ob ein Unternehmen unter den Anwendungsbereich des novellierten BSIG fällt, hängt nicht allein von seiner Größe ab. Maßgeblich sind vor allem die sog. Kritikalität jeweils erbrachten Dienstleistung für die Allgemeinheit, zum anderen das Erreichen bestimmter Schwellenwerte in Bezug auf Beschäftigtenzahl sowie Umsatz oder Bilanzsumme. Gerade im Konzernumfeld führt diese Systematik dazu, dass auch Gesellschaften erfasst sein können, die sich bislang nicht als „kritisch“ eingeordnet haben. Für Geschäftsleiter ist dies von erheblicher Bedeutung, denn eine unzutreffende Selbsteinschätzung – etwa die Annahme, das eigene Unternehmen sei „zu klein“ – kann unmittelbar zu Compliance-Defiziten und persönlichen Haftungsrisiken führen.

Der Anwendungsbereich des BSIG knüpft in erster Linie an die Zugehörigkeit zu besonders schützenswerten Sektoren an. Dazu zählen unter anderem die Energie-, Wasser- und Abwasserversorgung, die Lebensmittelproduktion und -versorgung, die Transport- und Verkehrsinfrastruktur, die Telekommunikation, das Gesundheitswesen, das Finanz- und Bankwesen sowie digitale Infrastrukturen wie Cloud-, DNS- oder Managed-Service-Anbieter. Unternehmen in diesen Bereichen können unabhängig von ihrer eigenen Größe erfasst sein, weshalb für die Geschäftsleitung eine belastbare und dokumentierte Einordnung zwingend erforderlich ist.

Das Gesetz unterscheidet zudem zwischen besonders wichtigen und wichtigen Einrichtungen. Besonders wichtige Einrichtungen sind unter anderem Betreiber kritischer Anlagen, zentrale digitale Infrastrukturen sowie große Unternehmen relevanter Sektoren, sofern sie mindestens 250 Mitarbeitende beschäftigen oder einen Jahresumsatz von mehr als 50 Millionen Euro bei zugleich über 43 Millionen Euro Bilanzsumme erzielen. Als wichtige Einrichtungen gelten kleinere Unternehmen derselben Sektoren, wenn sie mindestens 50 Mitarbeitende haben oder einen Jahresumsatz bzw. eine Bilanzsumme von mehr als 10 Millionen Euro erreichen. Diese Einstufung entscheidet nicht nur über die Intensität der behördlichen Aufsicht und den Bußgeldrahmen, sondern prägt faktisch auch das persönliche Risikoprofil von Geschäftsführern und Vorständen.

Konzernrechtliche Zurechnung

Besonders praxisrelevant ist die konzernrechtliche Zurechnung von Schwellenwerten. Mitarbeiterzahlen und Umsätze von Partnerunternehmen sowie von verbundenen Unternehmen werden anteilig oder vollständig berücksichtigt. Dadurch können selbst kleinere Gesellschaften allein aufgrund ihrer Konzernzugehörigkeit unter das BSIG fallen. Eine bewusste Aufsplitterung von Strukturen bietet insoweit keinen Schutz. Im Gegenteil erhöht mangelnde Transparenz innerhalb des Konzerns das Risiko persönlicher Pflichtverletzungen auf Ebene der Geschäftsleitung.

Zwar sieht das Gesetz bestimmte Ausnahmen vor, deren Reichweite jedoch begrenzt ist. Tätigkeiten von lediglich untergeordneter Bedeutung können unter Umständen außer Betracht bleiben, wobei diese Ausnahme unionsrechtlich umstritten ist und keine verlässliche Grundlage zur Haftungsvermeidung bietet. Daneben kann auf eine IT-systemische Unabhängigkeit abgestellt werden, wenn IT-Systeme tatsächlich eigenständig betrieben und verantwortet werden. Maßgeblich ist hierbei nicht die formale Organisationsstruktur, sondern die tatsächliche Entscheidungsbefugnis über IT-Systeme. Gerade hierin zeigt sich der Kern der neuen Haftungslogik: Geschäftsleiter haften nicht für Organisationspläne auf dem Papier, sondern für die gelebte Realität im Unternehmen.

Neuer Pflichtenkatalog für Geschäftsleiter

Fällt ein Unternehmen in den Anwendungsbereich des BSIG, greift ein umfassender Pflichtenkatalog, dessen Einhaltung ausdrücklich der Geschäftsleitung zugewiesen ist. Zentrale Bedeutung kommt dabei dem Risikomanagement und der Umsetzung technischer und organisatorischer Maßnahmen zu. Unternehmen müssen geeignete, wirksame und verhältnismäßige Vorkehrungen treffen, um die Verfügbarkeit, Integrität und Vertraulichkeit ihrer IT-Systeme sicherzustellen. Besonders haftungssensibel sind in diesem Zusammenhang belastbare Risikoanalysen, dokumentierte Sicherheitskonzepte, wirksame Zugriffskontrollen einschließlich Multi-Faktor-Authentifizierung sowie Maßnahmen zur Absicherung der Lieferkette, etwa durch vertragliche Vorgaben und funktionierendes Patch-Management. Für Unternehmen digitaler Sektoren gelten darüber hinaus verbindliche europäische Durchführungsstandards. Ein bloßes „Best-Effort-Management“ genügt den gesetzlichen Anforderungen nicht.

Neu und haftungsrechtlich besonders brisant ist die persönliche Schulungspflicht der Geschäftsleitung. Diese Schulungen müssen regelmäßig, mindestens alle drei Jahre, persönlich und einrichtungsspezifisch erfolgen und sind nicht delegierbar. Reine Standardschulungen reichen nicht aus. Unterlassene oder unzureichende Schulungen können als eigenständige Pflichtverletzung der Geschäftsleitung gewertet werden.

Hinzu kommen umfassende Registrierungs- und Meldepflichten. Unternehmen müssen sich innerhalb von drei Monaten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und erhebliche Sicherheitsvorfälle fristgerecht melden. Die Erstmeldung hat binnen 24 Stunden zu erfolgen, eine Folgemeldung innerhalb von 72 Stunden und eine Abschlussmeldung spätestens nach einem Monat. Verspätete oder unvollständige Meldungen zählen in der Praxis zu den klassischen Ansatzpunkten für Bußgelder und den Vorwurf eines Organisationsversagens.

Fazit und Praxis

Die BSIG-Novelle markiert einen klaren haftungsrechtlichen Wandel für Organe: IT-Compliance bzw. Cybersecurity wird damit ausdrücklich zur Pflicht der Geschäftsleitung gemacht und damit integraler Bestandteil der Leitungs- und Überwachungspflichten von Geschäftsführern und Vorständen. Gerade im Konzernumfeld ist es entscheidend, die Anwendbarkeit des Gesetzes sorgfältig zu prüfen, IT-Abhängigkeiten realistisch zu bewerten, Schulungen konsequent durchzuführen und zu dokumentieren sowie Verantwortlichkeiten klar zu regeln. Für die Praxis bedeutet dies, dass eine frühzeitige und systematische Analyse der Konzernstruktur sowie eine konzernweit abgestimmte Umsetzung der Cybersicherheitsanforderungen unerlässlich sind, um Rechtssicherheit zu schaffen und persönliche Haftungs- sowie Sanktionsrisiken wirksam zu minimieren.

News
Aktuelle News
Deal News
Seitz berät die REWE Group bei der Übernahme von bis zu 40 Tegut Märkten
05. Mai 2026
Pressemitteilung
Seitz berät BioNTech bei der geplanten Übertragung von mRNA-Technologien auf das neue U...
13. März 2026
Deal News
Seitz berät die Eigentümer der Eshop Guide GmbH beim Verkauf an die Strix Gruppe
06. März 2026
E-Mail Tel
Footer Mood

Bitte warten...