Was in der Verantwortung
der Geschäftsführung bleibt
Verantwortung für IT-Sicherheit ist nach §38 BSIG Führungsaufgabe. Was das bedeutet, zeigt sich nicht im Unterschreiben einer Richtlinie — sondern darin, ob Maßnahmen regelmäßig überprüft und bei Bedarf angepasst werden.
Die Infrastruktur wechselt den Ort, aber die Betreiberverantwortung bleibt.
Ob Server im eigenen Keller stehen oder bei einem Cloud-Anbieter — die Frage, wer dafür verantwortlich ist, dass das Unternehmen sicher betrieben wird, beantwortet NIS2 klar: die Geschäftsführung. Vier Punkte lassen sich nicht auslagern:
§38 BSIG hält Leitungsorgane persönlich für die Überwachung der Risikomanagementmaßnahmen verantwortlich. Diese Haftung ist nach §38 Abs. 2 BSIG ausdrücklich nicht durch Vertrag ausschließbar — weder gegenüber dem Unternehmen noch gegenüber der Einrichtung.
Wo Verantwortung sichtbar wird — oder offen bleibt.
Outsourcing überträgt Betrieb und Infrastruktur an einen Dienstleister. Die Betreiberpflicht verbleibt im Unternehmen — unabhängig davon, ob Server bei AWS, Azure oder Google laufen.
Beim Cloud-Betrieb oder Managed Service lässt sich Folgendes auslagern: Betrieb, Wartung, Updates, physische Rechenzentrumsicherheit.
Unternehmen, die externe Auditrechte wahrnehmen und dokumentieren sowie regelmäßige Reviews durchsetzen, steuern aktiv. In der Praxis schafft der Vertrag den rechtlichen Rahmen — NIS2 erwartet die dokumentierte Durchsetzung. Genau diesen Unterschied macht eine Prüfsituation sichtbar.
NIS2 taucht jetzt auch im Jahresabschluss auf.
Wirtschaftsprüfer beginnen, NIS2-Vorsorge im Rahmen der Abschlussprüfung abzufragen. Das ist kein Zufall: Fehlende Cybersicherheits-Governance ist ein messbares Unternehmensrisiko — und damit prüfungsrelevant.
Wer die Vorbereitungszeit nutzt, um nachweisbare Strukturen aufzubauen — dokumentierte Zuständigkeiten, geprüfte Maßnahmen, belegte GF-Einbindung — ist in Audit und Prüfsituation schnell aussagefähig. Unternehmen mit Lücken bleibt dann nur die Rechtfertigung.
Die BSI-Erwartung ist nicht, dass betroffene Unternehmen NIS2 kurzfristig im vollen Umfang erfüllen. Das Ziel ist, dass die interne Umsetzung nachgewiesen und nachvollziehbar gesteuert wird.
Einzelne Maßnahmen reichen nicht. Steuerung entscheidet.
Ein Schulungsnachweis zeigt, dass geschult wurde. Ein Dienstleistervertrag zeigt, dass etwas ausgelagert wurde. Beides beantwortet Einzelfragen — es steuert aber nichts.
Steuerung bedeutet: Das Unternehmen weiß, was getan wird, warum — und mit welchem Ergebnis. Es prüft regelmäßig. Es passt an. Das lässt sich nicht auslagern. Und es ist das, was nach §38 BSIG erwartet wird.
§65 BSIG: Bußgeldrisiken und dokumentierte Sorgfalt
§65 BSIG regelt die Bußgeldvorschriften im BSI-Gesetz. Für die Geschäftsleitung ist dieser Paragraph vor allem deshalb relevant, weil Bußgeldrisiken nicht isoliert entstehen, sondern an konkrete Pflichten anknüpfen: Risikomanagementmaßnahmen, Meldepflichten, Registrierung, Auskunft, Mitwirkung und Nachweisführung.
Die praktische Frage lautet deshalb nicht nur, ob ein Dokument existiert. Die Geschäftsführung sollte nachvollziehen können, welche Risiken, Ausnahmen, Maßnahmenstände oder Vorfälle ihr vorgelegt wurden, welche Entscheidung daraus entstanden ist — und welche Wiedervorlage gilt.
Der Geschäftsführungsnachweis im Arbeitsplatz schafft keine Haftungsfreiheit und ersetzt keine rechtliche Bewertung. Der Arbeitsbereich dokumentiert, dass ein relevanter Arbeitsstand der Geschäftsführung bekannt war, welche Entscheidung oder Auflage getroffen wurde — und wie die Umsetzung weiter überwacht werden soll.
Die Bußgeldrahmen nach §65 BSIG unterscheiden zwischen wichtigen und besonders wichtigen Einrichtungen und können bei schweren Verstößen erhebliche Größenordnungen erreichen. Je nach Einrichtungstyp und Verstoß reichen die Obergrenzen bis zu 10 Mio. € oder 2 % des Umsatzes beziehungsweise bis zu 7 Mio. € oder 1,4 % des Umsatzes. Für die Geschäftsleitung ist entscheidend, nicht die Höhe abstrakt einzuschätzen, sondern konkrete Pflichten nachweisbar zu erfüllen. Das ist der Ansatzpunkt für strukturierte Prüfsituationen.
GF-Einbindung nachweisbar dokumentieren
Der GF-Nachweis nach §38 BSIG dokumentiert Kenntnisnahme, Schulungsteilnahme und Billigung der Maßnahmen durch die Geschäftsleitung — nachvollziehbar und direkt verwendbar.