Kann die Geschäftsführung IT-Sicherheitspflichten nach NIS2 an Dienstleister abgeben?

Die Umsetzung kann ausgelagert werden. Die Verantwortung nicht. §38 BSIG hält die Geschäftsleitung persönlich für die Überwachung der Risikomanagementmaßnahmen verantwortlich — unabhängig davon, wer die Umsetzung übernimmt.

Was genau muss die Geschäftsführung nach §38 BSIG nachweisen?

Dass Zuständigkeiten intern klar geregelt sind, dass Maßnahmen regelmäßig überprüft werden und dass Ergebnisse nachvollziehbar dokumentiert sind. Es geht nicht um technische Detailkenntnisse — sondern um belegbare Steuerung.

Was in der Verantwortung
der Geschäftsführung bleibt

§38 BSIG · persönliche Haftung der Leitungsorgane

Schulungspflicht · Billigung · Kenntnisnahme

Haftung nicht durch Vertrag ausschließbar

Betreiberverantwortung · §38 BSIG

Die Infrastruktur wechselt den Ort, aber die Betreiberverantwortung bleibt.

Ob Server im eigenen Keller stehen oder bei einem Cloud-Anbieter — die Frage, wer dafür verantwortlich ist, dass das Unternehmen sicher betrieben wird, beantwortet NIS2 klar: die Geschäftsführung. Vier Punkte lassen sich nicht auslagern:

Festlegenwas geschützt werden muss — Systeme, Daten, Prozesse, Abhängigkeiten

Entscheidenwelche Sicherheitsmaßnahmen umgesetzt werden und in welcher Priorität

Sicherstellendass diese Maßnahmen tatsächlich funktionieren — nicht nur dokumentiert sind

Nachweisendass das Unternehmen gesteuert wird — nicht nur, dass Leistungen erbracht wurden

Rechtliche Einordnung

§38 BSIG hält Leitungsorgane persönlich für die Überwachung der Risikomanagementmaßnahmen verantwortlich. Diese Haftung ist nach §38 Abs. 2 BSIG ausdrücklich nicht durch Vertrag ausschließbar — weder gegenüber dem Unternehmen noch gegenüber der Einrichtung.

Outsourcing als Prüfstein

Wo Verantwortung sichtbar wird — oder offen bleibt.

Outsourcing überträgt Betrieb und Infrastruktur an einen Dienstleister. Die Betreiberpflicht verbleibt im Unternehmen — unabhängig davon, ob Server bei AWS, Azure oder Google laufen.

Beim Cloud-Betrieb oder Managed Service lässt sich Folgendes auslagern: Betrieb, Wartung, Updates, physische Rechenzentrumsicherheit.

Eignet sich zur Auslagerung: Betrieb, Wartung und technische Umsetzung — also alles was der Dienstleister operativ erledigt: Server betreiben, Updates einspielen, Backups durchführen.

Bleibt intern: Entscheiden, welche Daten und Systeme schutzbedürftig sind. Regelmäßig prüfen, ob der Dienstleister das auch wirklich liefert. Und: das Recht einfordern, dessen Arbeit im Zweifel auch zu prüfen — das muss im Vertrag stehen, und es muss tatsächlich genutzt werden.

Unternehmen, die externe Auditrechte wahrnehmen und dokumentieren sowie regelmäßige Reviews durchsetzen, steuern aktiv. In der Praxis schafft der Vertrag den rechtlichen Rahmen — NIS2 erwartet die dokumentierte Durchsetzung. Genau diesen Unterschied macht eine Prüfsituation sichtbar.

Aktuell beobachtet · Wirtschaftsprüfung

NIS2 taucht jetzt auch im Jahresabschluss auf.

Wirtschaftsprüfer beginnen, NIS2-Vorsorge im Rahmen der Abschlussprüfung abzufragen. Das ist kein Zufall: Fehlende Cybersicherheits-Governance ist ein messbares Unternehmensrisiko — und damit prüfungsrelevant.

Wer die Vorbereitungszeit nutzt, um nachweisbare Strukturen aufzubauen — dokumentierte Zuständigkeiten, geprüfte Maßnahmen, belegte GF-Einbindung — ist in Audit und Prüfsituation schnell aussagefähig. Unternehmen mit Lücken bleibt dann nur die Rechtfertigung.

Praktische Einordnung

Die BSI-Erwartung ist nicht, dass betroffene Unternehmen NIS2 kurzfristig im vollen Umfang erfüllen. Das Ziel ist, dass die interne Umsetzung nachgewiesen und nachvollziehbar gesteuert wird.

Zusammenfassung

Einzelne Maßnahmen reichen nicht. Steuerung entscheidet.

Ein Schulungsnachweis zeigt, dass geschult wurde. Ein Dienstleistervertrag zeigt, dass etwas ausgelagert wurde. Beides beantwortet Einzelfragen — es steuert aber nichts.

Steuerung bedeutet: Das Unternehmen weiß, was getan wird, warum — und mit welchem Ergebnis. Es prüft regelmäßig. Es passt an. Das lässt sich nicht auslagern. Und es ist das, was nach §38 BSIG erwartet wird.

Nachweis · §38 BSIG

GF-Einbindung nachweisbar dokumentieren

Der GF-Nachweis nach §38 BSIG dokumentiert Kenntnisnahme, Schulungsteilnahme und Billigung der Maßnahmen durch die Geschäftsleitung — nachvollziehbar und direkt verwendbar.

GF-Nachweis ansehen → ← Zurück zur Übersicht

Weiter im Pfad

DownloadGF-Nachweis §38 BSIG ContentMeldepflicht §32 BSIG Einordnung§28 BSIG Betroffenheit