NIS2 § 30 BSIG ab März 2026: Persönliche Haftung der Geschäftsleitung — was Personen-Prüfung jetzt leisten muss
Antwort vorab: Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) tritt mit Übergangsfristen schrittweise in Kraft — § 30 BSIG zur persönlichen Haftung der Geschäftsleitung ist seit März 2026 voll wirksam. Geschäftsleiter haften nach § 30 Abs. 2 BSIG persönlich für Verstöße gegen Cybersecurity-Pflichten, wenn sie nicht selbst die erforderliche Sorgfalt nachweisen können. Diese Sorgfalt setzt strukturiertes Personen-Vetting (Schulung, Kompetenz, Auffälligkeitsprüfung) voraus.
Situation: NIS2 erweitert den deutschen Pflichtenkreis von rund 4.500 KRITIS-Betreibern auf etwa 30.000 „wesentliche" und „wichtige" Einrichtungen (BSI-Schätzung). Complication: § 30 BSIG schafft eine Geschäftsleitungs-Haftung, die in dieser Schärfe in der deutschen Cybersecurity-Regulierung neu ist — vergleichbar nur mit § 25c KWG im Bankenrecht. Resolution: Dieser Artikel zeigt, welche Personen-Prüfungen Geschäftsleiter selbst durchlaufen müssen, um die Haftungsbefreiung nach § 30 Abs. 3 BSIG zu tragen.
Was § 30 BSIG konkret regelt
§ 30 Abs. 1 BSIG: Die Geschäftsleitung muss Maßnahmen zur Beherrschung von Cybersicherheits-Risiken billigen und überwachen. Sie muss an einschlägigen Schulungen „regelmäßig" teilnehmen.
§ 30 Abs. 2 BSIG: Bei schuldhafter Verletzung dieser Pflichten haftet die Geschäftsleitung der Einrichtung gegenüber gesamtschuldnerisch — persönlich, nicht nur für die Einrichtung.
§ 30 Abs. 3 BSIG: Haftungsbefreiung möglich, wenn der einzelne Geschäftsleiter nachweist, dass er die „Sorgfalt eines ordentlichen Geschäftsleiters" angewandt hat (analog § 93 AktG).
Der Sorgfaltsmaßstab fragt: Hatte die Person die erforderliche Cybersecurity-Kompetenz? Wurde sie weitergebildet? Wurden Anzeichen für Compliance-Risiken (z. B. frühere Beteiligung an Datenpannen) bei Bestellung verifiziert?
Drei Personen-Prüfungs-Säulen für NIS2-Geschäftsleiter
Säule 1: Bestellungs-Vetting. Bei jeder Geschäftsleitungs-Bestellung in einer „wesentlichen" oder „wichtigen" Einrichtung ist eine NIS2-Eignungsprüfung zu dokumentieren. Komponenten:
Lebenslauf-Verifikation mit Cybersecurity-Schwerpunkt (Stationen, Rollen)
Sanktions- und PEP-Screening (EU, UN, OFAC, SECO)
Adverse Media Screening mit Fokus auf Cybersecurity-Vorfälle in vorherigen Funktionen
Strafregister-Auszug bei sicherheitsrelevanten Funktionen (mit gesonderter Rechtsgrundlage Art. 10 DSGVO)
Säule 2: Schulungsnachweis. § 30 Abs. 1 verlangt „regelmäßige" Teilnahme an Cybersecurity-Schulungen. Best Practice: mindestens jährlich, mit dokumentierten Lerninhalten, Prüfungsabschluss und Zertifikat. Die Schulungsanbieter müssen NIS2-spezifisch ausbilden — generische „Cyber-Awareness"-Trainings sind nicht ausreichend.
Säule 3: Ongoing-Monitoring. Adverse-Media-Alerts und periodische Re-Screenings (alle 24 Monate) erkennen, wenn ein Geschäftsleiter nach Bestellung Auffälligkeiten entwickelt. Das ist der einzige Mechanismus, der ein laufendes Risiko-Bild aufrecht erhält.
Wie das BSI prüft
Das BSI hat im April 2026 erste Stichproben-Audits angekündigt. Nach Hinweisen aus der Industrie konzentrieren sich die Audits auf:
1. Vorlage der Schulungsdokumentation für die letzten 12 Monate für jeden Geschäftsleiter.
2. Nachweis, dass bei der letzten Bestellung eines Geschäftsleiters eine NIS2-Eignungsprüfung dokumentiert wurde.
3. Risikoklassifikationsmatrix der Geschäftsleitungs-Rollen — wer hat welche Cybersecurity-relevante Verantwortung?
Typische Failure-Patterns aus den ersten Audit-Monaten
Pattern 1: „Cybersecurity ist Sache der IT-Leitung." Diese Argumentation läuft direkt in § 30 BSIG hinein — die Pflicht zur Geschäftsleitungs-Kenntnis ist nicht delegierbar.
Pattern 2: „Wir haben einen externen DPO/CISO, der schult uns ad hoc." Reicht nicht. „Regelmäßig" im Sinne § 30 Abs. 1 meint dokumentierte, strukturierte Schulungen, nicht Beratungsgespräche.
Pattern 3: „Personen-Prüfung ist HR-Aufgabe." Bei sicherheitsrelevanten Funktionen ist die Verzahnung zu § 30 BSIG explizit. HR-Stand-alone-Vetting ohne BSIG-Bezug erfüllt die Pflichten nicht.
Verwandte Artikel
Nabil El Berr
Diesen Artikel gelesen? Sprich 30 Min mit unserem Head of Sales.
Die hier beschriebenen Prüfungen automatisiert Indicium: DSGVO-konform, EU/Schweizer Hosting, audit-fester Trail, Reports in 8–30 Minuten. Drei Insight-Essential-Reports kannst Du ohne Kreditkarte testen.
Mabon Hein, Head of Sales · 30 Min · Keine Sales-Pitch
