Managerhaftung nach NIS 2 Neue Pflichten und Risiken für Geschäftsleitungen

Die D&O‑Versicherung (Directors‑ and Officers‑Versicherung, auch Managerhaftpflicht genannt) ist ein zentrales Instrument, um Führungskräfte vor Schadensersatzansprüchen aufgrund beruflicher Fehlentscheidungen zu schützen. Mit dem Anfang Dezember in Kraft getretenen NIS‑2‑Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das die europäische NIS‑2‑Richtlinie in nationales Recht überführt, steigt die persönliche Verantwortung von Geschäftsführern und Vorständen jedoch deutlich.

Die Richtlinie fordert verschärfte Sicherheitsmaßnahmen, kurze Meldefristen bei sicherheitsrelevanten Vorfällen und nimmt die oberste Leitungsebene ausdrücklich in die Haftung. Damit stellt sich die entscheidende Frage: Bieten bestehende D&O‑Versicherungen ausreichenden Schutz oder entstehen neue, teils gravierende Deckungslücken?

Viele Mittelständler erstmals betroffen

Die NIS‑2‑Richtlinie gilt für Unternehmen in bestimmten kritischen Sektoren, sofern sie mindestens 50 Beschäftigte haben oder einen Jahresumsatz bzw. eine Bilanzsumme von mindestens 10 Mio. Euro erreichen.

Zu diesen Sektoren gehören: Energie, Verkehr, Banken und Finanzmärkte, Gesundheitswesen, Trinkwasser und Abwasser, Digitale Infrastruktur, Öffentliche Verwaltung, Post- und Kurierdienste, Lebensmittel, Chemie, Maschinenbau, Kunststoffe sowie digitale Dienste.

Damit rücken auch zahlreiche mittelständische Unternehmen in den Geltungsbereich der Richtlinie. Experten gehen von rund 30.000 betroffenen Unternehmen in Deutschland aus.

Neue persönliche Haftungsregeln nach § 38 BSIG

Die zentralen Cybersicherheitspflichten für Geschäftsleitungen ergeben sich aus dem neuen § 38 BSIG. Der Gesetzgeber formuliert klare Vorgaben:

§ 38 Abs. 1 BSIG Pflicht:
Geschäftsleitungen müssen alle nach § 30 BSIG erforderlichen Risikomanagementmaßnahmen umsetzen und deren Einhaltung überwachen.

§ 38 Abs. 2 BSIG Haftung:
Bei Verstößen haften sie persönlich für schuldhaft verursachte Schäden, nach den jeweils geltenden gesellschaftsrechtlichen Bestimmungen (z. B. § 43 Abs. 2 GmbHG oder § 93 Abs. 2 AktG).

§ 38 Abs. 3 BSIG Schulungspflicht:
Geschäftsleitungen müssen regelmäßig an Schulungen teilnehmen, um Risiken erkennen und bewerten zu können.

Besonders relevant, bei einem Schaden müssen Geschäftsführer oder Vorstände nachweisen, dass sie ihren Pflichten ordnungsgemäß nachgekommen sind. Diese Beweislastumkehr erhöht das Haftungsrisiko zusätzlich. Erfasst werden sowohl fahrlässige als auch vorsätzliche Pflichtverletzungen.

Hohe Bußgelder drohen

Das BSIG sieht bei Pflichtverletzungen empfindliche Bußgelder vor:

• bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes bei besonders wichtigen Einrichtungen
• bis zu 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes bei wichtigen Einrichtungen
• bis zu 2 Mio. EUR bei Verstößen gegen Meldepflichten
• bis zu 500.000 EUR bei Verstößen gegen Registrierungspflichten

Ob Bußgelder unter den Schadensbegriff einer D&O‑Versicherung fallen, ist in der Praxis stark umstritten.

Welche Risiken deckt die D&O‑Versicherung und welche nicht?

Zwar greifen viele D&O‑Policen grundsätzlich auch bei Haftungsfällen im Zusammenhang mit IT‑Sicherheit. Nicht versichert sind aber:

• vorsätzliche oder wissentliche Pflichtverletzungen
• vorsätzlich verursachte Schäden (regulärer Ausschluss)
• direkte Bußgelder gegen das Unternehmen
• Kosten für IT‑Forensik und Wiederherstellung
• Lösegeldzahlungen bei Ransomware
• Betriebsunterbrechungsschäden

Diese Ausschlüsse ergeben sich u. a. aus den Musterbedingungen des GDV

„Kein Versicherungsschutz besteht wegen vorsätzlicher Schadenverursachung oder durch wissentliches Abweichen von Gesetz, Vorschrift, Beschluss, Vollmacht oder Weisung oder durch sonstige wissentliche Pflichtverletzung durch eine versicherte Person.“ (A‑7.1 GdV‑AVB D&O) Für Bußgeldregressforderungen gilt oft: nur „soweit dem kein gesetzliches Versicherungsverbot entgegensteht“. Das führt zu erheblichen Unsicherheiten.

Cyber‑Versicherung als notwendige Ergänzung

Da klassische D&O‑Versicherungen viele NIS‑2‑bedingte Risiken nicht abdecken, ist die Kombination mit einer Cyber‑Versicherung heute praktisch unerlässlich. Eine Cyber‑Police schützt u. a. vor IT‑Forensik‑Kosten, Systemwiederherstellung, Betriebsunterbrechungen durch Cyberangriffe, Cyber‑Erpressung und Lösegeldforderungen, Reputationsschäden, Unterstützung bei Meldepflichten sowie (teilweise) Bußgeldregressansprüchen.

NIS 2 verschärft die persönliche Verantwortung der Geschäftsleitung deutlich und sorgt für neue Haftungsfelder, die klassische D&O‑Policen oft nicht ausreichend abdecken. Für Unternehmen bedeutet das, ohne zusätzlichen Cyber‑Schutz entstehen gefährliche Deckungslücken.