Die Verantwortung der Leitungsorgane nach NIS 2 / NISG 2026

Cybersecurity ist Chefsache geworden

Mit der NIS‑2-Richtlinie und ihrer nationalen Umsetzung (in Österreich insbesondere durch das NISG 2026) hat der europäische Gesetzgeber einen klaren Paradigmenwechsel vollzogen: Cybersicherheit ist nicht mehr nur eine technische Aufgabe der IT-Abteilung, sondern eine originäre Verantwortung der Unternehmensleitung.

Leitungsorgane sind nun unmittelbar verpflichtet, die Umsetzung von Cybersicherheitsmaßnahmen aktiv zu steuern, zu überwachen und dafür rechtlich einzustehen. Diese Entwicklung ist für viele Unternehmen weniger eine völlig neue Pflicht – vielmehr handelt es sich um eine deutliche Konkretisierung bereits bestehender gesellschaftsrechtlicher Verantwortlichkeiten.

Was versteht man unter einem „Leitungsorgan“?

Der Begriff des Leitungsorgans ist funktional zu verstehen. Gemeint sind jene natürlichen Personen, die zur Führung der Geschäfte und zur Vertretung eines Unternehmens berufen sind.

Typischerweise umfasst dies:

• Geschäftsführer einer GmbH
• Vorstandsmitglieder einer AG
• vergleichbare organschaftliche Vertreter anderer juristischer Personen

Entscheidend ist nicht die konkrete Bezeichnung, sondern die tatsächliche Leitungs- und Entscheidungsfunktion im Unternehmen. Leitungsorgane tragen die Gesamtverantwortung für die Organisation, Steuerung und Kontrolle des Unternehmens – und damit auch für dessen Cybersicherheitsstrategie.

Konkrete Pflichten nach NIS 2

Die NIS‑2-Richtlinie verpflichtet Leitungsorgane ausdrücklich, sich aktiv mit Cybersicherheit auseinanderzusetzen und Verantwortung zu übernehmen.

Zu den zentralen Pflichten zählen insbesondere:

1. Genehmigung und Überwachung

Leitungsorgane müssen die Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen und deren Umsetzung überwachen.

Das bedeutet konkret:

• keine bloße Delegation an die IT-Abteilung
• sondern aktive Befassung auf Managementebene
• sowie regelmäßige Kontrolle und Bewertung

2. Strategische Verantwortung

Die Geschäftsleitung trägt die Gesamtverantwortung für die Umsetzung der NIS‑2-Anforderungen und muss sicherstellen, dass geeignete organisatorische und technische Maßnahmen existieren.

Cybersicherheit wird damit Teil der Unternehmensstrategie und der Governance-Struktur.

3. Schulungs- und Weiterbildungspflichten

Mitglieder der Leitungsorgane sind verpflichtet, regelmäßig Schulungen zu absolvieren, um Risiken erkennen, bewerten und steuern zu können.

Dies unterstreicht, dass fehlendes technisches Detailwissen kein Entlastungsargument mehr darstellt.

4. Persönliche Haftung

Die Richtlinie sieht ausdrücklich vor, dass Leitungsorgane für Verstöße gegen die Cybersicherheitsanforderungen verantwortlich gemacht werden können.

Damit wird die Umsetzungspflicht individuell zurechenbar – ein wesentlicher Unterschied zur früheren Rechtslage.

Keine völlig neue Pflicht: Parallelen zum GmbH- und Aktiengesellschaftsrecht

Auch wenn NIS 2 neue, spezifische Anforderungen formuliert, wurzelt die Verantwortung der Leitungsorgane tief im bestehenden Gesellschaftsrecht.

Sowohl im GmbH- als auch im Aktiengesellschaftsrecht gilt:

• Geschäftsleiter müssen die Sorgfalt eines ordentlichen Geschäftsleiters anwenden
• sie sind verpflichtet, ein funktionierendes Compliance- und Risikomanagementsystem einzurichten
• sie haften bei Pflichtverletzungen gegenüber der Gesellschaft

Cybersicherheitsrisiken fallen heute eindeutig unter diese allgemeinen Sorgfalts- und Organisationspflichten.

Die NIS‑2-Regelungen konkretisieren diese Pflichten lediglich für den Bereich der IT- und Informationssicherheit und erhöhen gleichzeitig den regulatorischen Druck sowie die behördliche Kontrollintensität.

Sanktionsmöglichkeiten: Mehr als nur Geldbußen

Ein besonders relevanter Aspekt für Leitungsorgane ist das verschärfte Sanktionsregime.

Neben empfindlichen Geldstrafen sieht die NIS‑2-Systematik auch persönliche Maßnahmen vor. Dazu zählt insbesondere:

Vorübergehende Absetzung von Leitungsorganen

Bei schweren Verstößen kann vorgesehen werden, dass Mitglieder des Leitungsorgans vorübergehend von ihren Funktionen ausgeschlossen werden.

Diese Maßnahme hat erhebliche praktische Auswirkungen:

• unmittelbarer Eingriff in die Geschäftsführung
• reputationsschädigende Wirkung
• mögliche Auswirkungen auf laufende Verträge und Finanzierung

Sie zeigt deutlich, dass Cybersicherheitsverstöße nicht mehr nur als technisches Problem, sondern als ernstzunehmendes Governance-Versagen gewertet werden.

Praktische Konsequenzen für die Geschäftsleitung

Die neuen Anforderungen führen zu einer klaren Erwartung an Leitungsorgane:

1. Aktive Einbindung

Cybersecurity muss fixer Bestandteil von Management-Meetings und Entscheidungsprozessen sein.

2. Strukturierte Governance

Unternehmen benötigen klare Verantwortlichkeiten, Reporting-Strukturen und dokumentierte Entscheidungsprozesse.

3. Nachweisbarkeit

Die Geschäftsleitung muss jederzeit belegen können, dass sie ihren Pflichten nachkommt – etwa durch:

• Protokolle
• Schulungen
• Risikoberichte
• interne Kontrollmechanismen

4. Integration in das Risikomanagement

Cybersicherheit ist integraler Bestandteil des unternehmensweiten Risikomanagementsystems und nicht isoliert zu betrachten.

Fazit

Die NIS 2-Richtlinie und das NISG 2026 machen unmissverständlich klar: Cybersicherheit ist Führungsverantwortung.

Leitungsorgane können sich nicht mehr auf operative Ebenen zurückziehen, sondern müssen aktiv steuern, überwachen und Verantwortung übernehmen. Die gesetzlichen Vorgaben knüpfen dabei an bestehende gesellschaftsrechtliche Pflichten an, verschärfen diese jedoch erheblich durch konkrete Anforderungen und neue Sanktionsmöglichkeiten.

Für Geschäftsführer und Vorstände bedeutet das: Wer Cybersicherheit nicht zur Priorität macht, setzt sich nicht nur wirtschaftlichen Risiken, sondern auch persönlicher Haftung und regulatorischen Konsequenzen aus.

‍