NIS2-Artikel 20: 5 Verantwortlichkeiten, die die Geschäftsleitung nicht mehr delegieren kann

Artikel 20 der Richtlinie 2022/2555 macht Cybersicherheit formal zur Sache der Geschäftsleitung. In Deutschland konkretisiert das NIS2-Umsetzungsgesetz die Pflichten der Leitungsorgane wesentlicher und wichtiger Einrichtungen. Fünf persönliche Verantwortlichkeiten lassen sich nicht mehr vollständig an IT, CISO oder Prüfungsausschuss delegieren.

Verantwortung 1 — Risikomanagementmaßnahmen förmlich genehmigen

Die Richtlinie verlangt, dass das Leitungsorgan die Maßnahmen nach Artikel 21 förmlich „genehmigt" — nicht nur zur Kenntnis nimmt. Betroffen sind zehn Bereiche: Risikoanalyse, Vorfallsbehandlung, Geschäftskontinuität, Lieferkettensicherheit, Kryptografie, Zugriffssteuerung, Mehrfaktor-Authentifizierung, Cyberhygiene, Personalsicherheit, Bewertung der Wirksamkeit. Die Genehmigung muss protokolliert sein, mindestens jährlich, mit dokumentierter Abstimmung.

Verantwortung 2 — Umsetzung dauerhaft überwachen

Eine einmalige Genehmigung reicht nicht aus. Das Leitungsorgan erhält regelmäßige Berichte über Risikobehandlung, Vorfälle, Ergebnisse von Penetrationstests, Budgetverbrauch und Konformität mit internen Rahmenwerken. Vierteljährliche Berichte sind in wesentlichen Einrichtungen Marktstandard. Aufsicht bedeutet kritische Kapazität — ein Leitungsorgan, das ein Cybersicherheitsbudget von 0,3 % des Umsatzes ohne Hinterfragen des Sektor-Medians (laut ENISA rund 1 bis 2 %) genehmigt, kann nicht glaubhaft machen, seiner Aufsichtspflicht nachgekommen zu sein.

Verantwortung 3 — Persönliche Haftung bei Pflichtverletzung

Artikel 32 Absatz 6 erlaubt es dem BSI und den zuständigen Behörden, bei schweren Verstößen individuelle Tätigkeitsverbote gegen Führungskräfte auszusprechen. Die Haftung wird am Maßstab der Sorgfaltspflicht geprüft. Wer proportionale Maßnahmen genehmigt, überwacht und angemessen finanziert hat, wird für einen Einzelvorfall nicht persönlich belangt. Wer wiederholte CISO-Warnungen ignoriert oder dokumentiert notwendige Budgets verweigert hat, sehr wohl.

Verantwortung 4 — Cybersicherheitsschulung absolvieren

Artikel 20 Absatz 2 verpflichtet Mitglieder der Leitungsorgane, eine Schulung zu absolvieren, die sie in die Lage versetzt, Risiken und Managementpraktiken zu identifizieren sowie deren Auswirkungen auf die angebotenen Dienste zu beurteilen. Die Teilnahme muss dokumentiert werden. Ein Modul von 4 bis 8 Stunden pro Jahr, erneuert bei jedem Mandatswechsel, gilt als angemessen. Das BSI erwartet zudem, dass Einrichtungen ihre Mitarbeitenden regelmäßig schulen — ohne Personalschulung ist die Erfüllung der Artikel-21-Pflichten praktisch nicht möglich.

Verantwortung 5 — Angemessene Ressourcen zuweisen

Eine Genehmigung ohne Budget ist eine leere Genehmigung. Das Leitungsorgan validiert jährlich das Cybersicherheitsbudget (als Anteil am IT-Budget), die dedizierten Mitarbeiter (CISO, SOC, Sicherheitsingenieure) und externe Dienstleister. Reife wesentliche Einrichtungen weisen 8 bis 12 % des IT-Budgets für Cybersicherheit aus, mit mindestens einem Vollzeit-CISO, der direkt dem Vorstand berichtet.

Worauf das BSI bei einer Prüfung achtet

Protokolle des Leitungsorgans zur Cybersicherheit, förmliche Genehmigungsbeschlüsse, regelmäßige CISO-Berichte, Schulungsnachweise, unterzeichnete ISMS-Richtlinie, mehrjähriger Sicherheitsbudgetplan, validierte Risikolandkarte und Vorfallregister. Fehlen schriftliche Nachweise, wird dies als Mangel an Sorgfalt gewertet.

Wo anfangen

Vier Schritte für die ersten zwölf Monate. Erstens: Cybersicherheit als ständigen Tagesordnungspunkt auf Vorstandsebene einrichten, mindestens vierteljährlich. Zweitens: eine Einführungsschulung für alle Mitglieder mit namentlicher Teilnahmebescheinigung organisieren. Drittens: strukturiertes Dossier erstellen lassen — Risikolandkarte, Behandlungsplan, Budget, Kennzahlen. Viertens: das Dossier förmlich in der Sitzung genehmigen, mit detailliertem Protokoll.

*Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar.*