· machCon · IT-Sicherheit · 3 min read
§38 NIS2UmsuCG: Neue Leitungsverantwortung in der Cybersicherheit
Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 ist Cybersicherheit rechtlich zur Chefsache geworden. §38 verpflichtet die Geschäftsleitung zu aktiver Überwachung und persönlicher Haftung.
Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) am 6. Dezember 2025 beginnt für viele deutsche Unternehmen eine neue Phase der Cybersicherheitsregulierung. Das Gesetz setzt die europäische NIS-2-Richtlinie in nationales Recht um und erweitert den Anwendungsbereich gegenüber der bisherigen Rechtslage deutlich. Dadurch sind wesentlich mehr Unternehmen und Einrichtungen als bisher zu verbindlichen Cybersicherheitsmaßnahmen und Meldepflichten verpflichtet.
Besondere Bedeutung kommt § 38 zu: Er definiert erstmals eindeutig und rechtlich verbindlich die Verantwortung der Geschäftsleitung für die Cybersicherheit im Unternehmen. Cybersicherheit ist seit dem 6. Dezember 2025 nicht mehr allein in der Zuständigkeit der IT, sondern eine zentrale Führungsaufgabe.
1. Wer zählt zur Geschäftsleitung?
Der Gesetzgeber hat den Begriff der Geschäftsleitung bewusst weit gefasst. Er umfasst alle natürlichen Personen, die aufgrund gesetzlicher Regelungen, der Satzung oder des Gesellschaftsvertrags mit der Leitung und Vertretung eines Unternehmens betraut sind. Dazu gehören unter anderem:
- Geschäftsführer
- Vorstandsmitglieder
- Mitglieder der obersten Führungsebene wie CEO, CFO, COO, CIO oder CSO
- geschäftsführende Gesellschafter
- persönlich haftende Gesellschafter (Komplementäre)
2. Deutlich mehr Unternehmen sind betroffen als bisher
Der Anwendungsbereich ist deutlich größer als bei der bisherigen NIS-Richtlinie. Das Gesetz gilt für Organisationen und Unternehmen aus insgesamt 18 kritischen und wichtigen Sektoren (Anhang 1 und 2). In der Folge steigt die Zahl der betroffenen Einrichtungen in Deutschland erheblich.
Ein besonders wichtiger Aspekt: Die Einbeziehung der Lieferkette. Auch Unternehmen, die formal nicht direkt unter NIS-2 fallen, können verpflichtet sein, erhöhte Sicherheitsanforderungen zu erfüllen, wenn sie für eine wesentliche oder wichtige Einrichtung tätig sind.
3. Die neuen, rechtsverbindlichen Pflichten der Unternehmensleitung
§38 BSIG definiert die Verantwortung der Geschäftsleitung in drei klaren Absätzen:
- §38 Abs. 1 BSIG: Verantwortung für Umsetzung und Überwachung der IT-Sicherheitsmaßnahmen
- §38 Abs. 2 BSIG: gesellschaftsrechtliche Binnenhaftung
- §38 Abs. 3 BSIG: verpflichtende Schulung der Geschäftsleitung
Diese Regelungen bilden eine geschlossene Verantwortungs- und Haftungskette. Konkret bedeutet das unter anderem:
- Ein wirksames Sicherheitsmanagement etablieren (ISMS)
- Risikoanalysen initiieren und bewerten
- Sicherheitsmaßnahmen freigeben
- Ausreichende personelle und finanzielle Ressourcen bereitstellen
- Regelmäßige Lage- und Statusberichte einfordern
- Klare Sicherheitsziele definieren und Verantwortlichkeiten eindeutig festlegen
Ein einfaches „Delegieren an die IT” reicht nicht mehr aus.
4. Die Meldepflichten: klar geregelt mit kurzen Fristen
Mit dem NIS-2-Umsetzungsgesetz gelten verschärfte und eindeutig definierte Meldepflichten bei erheblichen Sicherheitsvorfällen:
| Frist | Meldepflicht |
|---|---|
| 24 Stunden | Erstmeldung beim BSI |
| 72 Stunden | Zwischenmeldung mit ersten Erkenntnissen |
| 1 Monat | Abschlussbericht mit vollständiger Analyse |
Verstöße gegen diese Meldepflichten können erhebliche Bußgelder nach sich ziehen, selbst dann, wenn der eigentliche Vorfall nur einen begrenzten Schaden verursacht hat.
5. Sanktionen und persönliche Haftung
Mit Wirkung ab 06.12.2025 gelten in Deutschland folgende Sanktionsstufen:
- Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes
- Besonders wichtige Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
Hinzu kommt die persönliche Haftung der Geschäftsleitung — auch ohne Verschulden.
Fazit
Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 06.12.2025 ist Cybersicherheit rechtlich endgültig zur Chefsache geworden. §38 verpflichtet die Geschäftsleitung zu aktiver Überwachung, fundierten Entscheidungen und nachweisbaren Sicherheitsmaßnahmen.
Unternehmen, die frühzeitig handeln, klare Strukturen schaffen und Verantwortlichkeiten ernst nehmen, profitieren langfristig von höherer Resilienz und weniger Sanktionsrisiken. Wer dagegen abwartet, riskiert nicht nur Bußgelder, sondern auch eine potenzielle Haftung der Führungsebene.
Ist Ihr Unternehmen NIS-2-ready? Jetzt kostenlosen NIS-2-Check anfragen.
