- Bedeutung
- Führungs-, Verantwortungs- und Entscheidungsstrukturen
- Bezug zu NIS2
- Cybersicherheit ist Chefsache
- Haftung
- Leitungsebene haftet persönlich
- Verwandt
- GRC, Leitungsorgan
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist Governance?
Governance beschreibt die übergeordnete Steuerungsebene eines Unternehmens: Sie legt fest, wer für Sicherheit und Compliance verantwortlich ist und wie Entscheidungen getroffen, freigegeben, dokumentiert und überwacht werden. Governance sorgt dafür, dass Sicherheit bewusst gesteuert und nicht dem Zufall oder einzelnen IT-Mitarbeitern überlassen wird. Im Gegensatz zum konkreten Risikomanagement, das einzelne Risiken behandelt, gibt Governance den Rahmen vor: Ziele, Rollen, Verantwortlichkeiten und Berichtswege. Damit ist sie die strategische Klammer, in die Risikomanagement und Compliance eingebettet sind.
Governance unter NIS2
NIS2 macht Cybersicherheit ausdrücklich zur Aufgabe der Leitungsebene. Das Leitungsorgan muss die Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und sich selbst regelmäßig schulen lassen. Damit verschiebt die Richtlinie Cybersicherheit von einer reinen IT-Frage zu einer Führungs- und Aufsichtsaufgabe. Governance ist der Mechanismus, der diese gesetzlichen Erwartungen in konkrete Verantwortlichkeiten, Freigabeprozesse und Nachweise übersetzt – Voraussetzung dafür, dass eine Organisation ihre NIS2-Pflichten prüfsicher belegen kann.
Persönliche Haftung
Die Verantwortung lässt sich nicht mehr nach unten reichen. Bei Verstößen kann die Geschäftsleitung persönlich haften; zusätzlich drohen wesentlichen Einrichtungen Bußgelder bis 10 Mio. Euro bzw. 2 Prozent des weltweiten Jahresumsatzes, wichtigen Einrichtungen bis 7 Mio. Euro bzw. 1,4 Prozent. Da die NIS2-Pflichten seit dem 06.12.2025 in Kraft sind und die erste BSI-Registrierungsfrist am 06.03.2026 ablief – eine Nachregistrierung bleibt möglich –, sollte das Leitungsorgan jetzt belegen können, dass es Maßnahmen nicht nur einmal abgenickt, sondern fortlaufend gebilligt, überwacht und im Zweifel nachgesteuert hat. Operative Aufgaben darf die IT übernehmen. Die Letztverantwortung bleibt oben. Gute Governance senkt das Haftungsrisiko, weil Entscheidungen, Freigaben und Kontrollen lückenlos dokumentiert sind.
Governance, Risk und Compliance
Governance ist die erste Säule von GRC. Zusammen mit Risikomanagement und der Einhaltung gesetzlicher Pflichten bildet sie den Rahmen für gelebte Compliance – festgehalten in Policies. Stellen Sie sich einen mittelständischen Energieversorger vor, der nach Inkrafttreten von NIS2 ein vierteljährliches Sicherheits-Gremium einrichtet: Die Geschäftsführung lässt sich dort den Risikostatus berichten, gibt Maßnahmen frei und protokolliert jede Entscheidung im Sitzungsprotokoll, das später als Nachweis dient. Reden allein genügt nicht. Erst das Protokoll macht aus einer Absicht einen belastbaren Beleg dafür, dass Cybersicherheit tatsächlich auf Leitungsebene gesteuert wird.
Was müssen Sie konkret tun?
Governance bleibt abstrakt, bis sie in Termine, Freigaben und Protokolle übersetzt wird. Diese fünf Schritte machen den Anfang:
- Letztverantwortung benennen: Halten Sie schriftlich fest, dass das Leitungsorgan die Verantwortung für Cybersicherheit trägt – nicht die IT-Abteilung.
- Festen Berichtsrhythmus einführen: Mindestens vierteljährlich den Risikostatus an die Leitung berichten und die Sitzung protokollieren.
- Freigaben dokumentieren: Jede Billigung von Risikomanagement-Maßnahmen mit Datum, Gremium und Entscheidung nachweisbar festhalten.
- Leitungsschulung nachweisen: Die nach NIS2 verpflichtende Schulung der Leitungsebene terminieren und Teilnahmebelege archivieren.
- Registrierung prüfen: Falls die Erstfrist (06.03.2026) verpasst wurde, die Nachregistrierung beim BSI nachholen.
Wer entscheidet, wer setzt um?
Governance lebt von klar verteilten Rollen. Die folgende Übersicht trennt Entscheidung von Umsetzung:
| Aufgabe | Entscheidet | Setzt um |
|---|---|---|
| Risikomanagement-Maßnahmen billigen | Leitungsorgan | CISO / IT-Sicherheit |
| Umsetzung überwachen | Leitungsorgan | Compliance / interne Revision |
| Technische Schutzmaßnahmen betreiben | CISO / IT-Leitung | IT-Team / Dienstleister |
| Meldung an das BSI (24h / 72h / 1 Monat) | Leitungsorgan | Incident-Response / Meldebeauftragte |
Weiterführende Quelle: BSI – NIS-2 regulierte Unternehmen
Häufige Fragen
Was bedeutet Governance?
Governance umfasst die Führungs-, Verantwortungs- und Entscheidungsstrukturen, mit denen ein Unternehmen Sicherheit und Compliance steuert. Governance legt fest, wer welche Risiken trägt, wer Maßnahmen freigibt und wie deren Wirksamkeit überwacht und dokumentiert wird. Damit ist Governance die strategische Klammer, in die Risikomanagement und Compliance eingebettet sind. Sie sorgt dafür, dass Sicherheit bewusst gesteuert und nicht dem Zufall oder einzelnen IT-Mitarbeitern überlassen wird – mit klaren Zielen, Rollen und Berichtswegen.
Warum ist Governance bei NIS2 wichtig?
Die seit dem 06.12.2025 geltende NIS2-Richtlinie nimmt die Leitungsebene ausdrücklich in die Pflicht: Das Leitungsorgan muss die Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und sich selbst regelmäßig schulen lassen. Cybersicherheit wird damit von einer reinen IT-Frage zur Führungsaufgabe. Bei Verstößen drohen wesentlichen Einrichtungen Bußgelder bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes, wichtigen Einrichtungen bis 7 Mio. Euro oder 1,4 Prozent, zusätzlich zur persönlichen Haftung der Geschäftsleitung.
Kann man Cybersicherheit an die IT delegieren?
Operative Maßnahmen lassen sich an die IT oder an Dienstleister delegieren, die Letztverantwortung für Cybersicherheit jedoch nicht. Sie bleibt beim Leitungsorgan, das Sicherheit verstehen, steuern und nachweisen muss – auch wenn die technische Umsetzung woanders liegt. NIS2 verlangt, dass die Leitungsebene Maßnahmen billigt und ihre Umsetzung überwacht. Gute Governance senkt das Haftungsrisiko, weil Entscheidungen, Freigaben und Kontrollen lückenlos dokumentiert sind und so im Prüffall belegt werden können.