Purpose

NIS2 macht Cybersicherheit zur Chefsache: Die Geschäftsleitung muss die Risikomaßnahmen billigen, überwachen und sich schulen lassen — und haftet bei Pflichtverletzung persönlich. Das deutsche Recht setzt dies in § 38 BSIG (n.F.) um, flankiert vom Bußgeldtatbestand § 65 BSIG. Dieser Skill bewertet die Leitungsverantwortung, prüft die Nachweislage und schätzt das Haftungs- und Bußgeldrisiko ab.

Inputs

  • Einordnung der Einrichtung (besonders wichtig / wichtig — § 28 BSIG)
  • Organstruktur (Geschäftsführer, Vorstand, ggf. Aufsichtsrat)
  • Stand der Billigung der § 30-Maßnahmen (Beschluss vorhanden?)
  • Überwachungsroutine (Reporting-Linien, Berichtsfrequenz)
  • Absolvierte Schulungen der Leitungsorgane (Nachweise)
  • Konzernumsatz (für Bußgeldobergrenze)

Sub-Agent Architecture

Drei gedankliche Rollen. Ein Pflichten-Agent zerlegt § 38 BSIG / Art. 20 NIS2-RL in die drei Kernpflichten (Billigung, Überwachung, Schulung) und prüft je Pflicht den Erfüllungsstand. Ein Nachweis-Agent sammelt die Dokumentation (Beschlüsse, Reportings, Schulungsnachweise), die im Streitfall die Pflichterfüllung belegt. Ein Haftungs-Agent bewertet das Bußgeldrisiko nach § 65 BSIG und das organschaftliche Innenhaftungsrisiko. Entscheidungen über organisatorische Konsequenzen trifft die Einrichtung selbst.

Process

1. Adressat der Leitungspflichten (§ 38 BSIG)

  • Pflichtadressat sind die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen.
  • Die Verantwortung ist nicht vollständig delegierbar; Delegation an CISO/IT entlastet nicht von der Letztverantwortung.

2. Die drei Kernpflichten (Art. 20 NIS2-RL / § 38 BSIG)

PflichtInhalt
BilligungFörmliche Billigung der Risikomanagementmaßnahmen nach § 30 BSIG (Organbeschluss)
ÜberwachungLaufende Überwachung der Umsetzung der gebilligten Maßnahmen
SchulungRegelmäßige Schulung der Leitungsorgane, um Cyberrisiken bewerten zu können; Schulungsangebote auch für Beschäftigte

3. Verzahnung mit § 30 BSIG

  • Die Billigungs- und Überwachungspflicht bezieht sich konkret auf die zehn Mindestmaßnahmen des § 30 BSIG.
  • Ohne dokumentierte Billigung ist die Maßnahmenumsetzung formell unvollständig.

4. Persönliche Haftung und Innenhaftung

  • § 38 Abs. 2 BSIG ordnet die persönliche Haftung der Leitungsorgane für die Einhaltung der Pflichten an.
  • Daneben greifen die allgemeinen organschaftlichen Haftungsregime (§ 43 GmbHG, § 93 AktG) im Innenverhältnis.

5. Bußgeld (§ 65 BSIG)

  • Besonders wichtige Einrichtungen: Bußgeld bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag).
  • Wichtige Einrichtungen: bis 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.
  • Das Bußgeld trifft die Einrichtung; die persönliche Verantwortlichkeit der Leitung kann zusätzlich aufsichts- und gesellschaftsrechtlich relevant werden.

Risks and Common Mistakes

  • Persönliche Haftung unterschätzt — § 38 BSIG adressiert die Leitungsorgane unmittelbar; eine reine Delegation an die IT entlastet nicht.
  • Schulung der Leitung ausgelassen — die Schulungspflicht trifft die Geschäftsleitung selbst, nicht nur die Belegschaft; fehlende Nachweise sind ein Prüfbefund.
  • Billigung nur mündlich — ohne dokumentierten Organbeschluss zu den § 30-Maßnahmen fehlt der Nachweis der Pflichterfüllung.
  • Bußgeld-Dimension verkannt — die Obergrenzen des § 65 BSIG bemessen sich am weltweiten Konzernumsatz.

Sources

Statute

Sekundärliteratur

  • Eckhardt, NIS2, 1. Aufl. 2024
  • Greenberg Traurig, „NIS2 in Germany — Cybersecurity as a board-level issue"

Output Format

NIS2-LEITUNGSVERANTWORTUNG — <Einrichtung> — <Datum>

I.    Einordnung (§ 28 BSIG)               [besonders wichtig / wichtig]
II.   Kernpflichten (§ 38 BSIG / Art. 20 NIS2-RL)
      Billigung der § 30-Maßnahmen          [Beschluss vorhanden? Ja/Nein]
      Überwachung                            [Reporting-Linie / Frequenz]
      Schulung der Leitung                   [Nachweise vorhanden? Ja/Nein]
III.  Nachweislage                          [vollständig / Lücken]
IV.   Persönliche Haftung                   [Risikoeinschätzung]
V.    Bußgeldrahmen (§ 65 BSIG)            [bis 10 Mio. € / 2 % bzw. 7 Mio. € / 1,4 %]

Sofortmaßnahmen:
  - Organbeschluss zu § 30-Maßnahmen
  - Schulungstermin Leitung
Nächster Schritt: <…>

Related Skills in NIS2

View SKILL.md on GitHub