- Bedeutung
- Unternehmensleitung / Geschäftsführung
- Pflicht unter NIS2
- Maßnahmen freigeben und überwachen
- Schulung
- Verpflichtend
- Haftung
- Persönlich möglich
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist das Leitungsorgan?
Das Leitungsorgan (englisch management body) ist die Führungsebene eines Unternehmens – etwa Geschäftsführung, Vorstand oder vergleichbare Leitungsgremien. Unter NIS2 trägt es die Letztverantwortung für die Cybersicherheit der gesamten Einrichtung. Damit benennt die Richtlinie eine konkrete, persönlich verantwortliche Adresse: Cybersicherheit ist keine reine IT-Angelegenheit mehr, sondern eine Aufsichts- und Führungspflicht. Das Leitungsorgan ist somit der personelle Anker der Governance – jene Stelle, an der Verantwortung für Risiken und Maßnahmen letztlich zusammenläuft.
Konkrete Pflichten
- Risikomanagement-Maßnahmen billigen und freigeben
- ihre Umsetzung überwachen
- an verpflichtenden Schulungen teilnehmen
Persönliche Haftung
Neu und folgenreich: Bei Verstößen gegen die Risikomanagement-Pflichten kann die Leitung persönlich haften; zusätzlich drohen der Einrichtung Bußgelder bis 10 Mio. Euro bzw. 2 Prozent des weltweiten Jahresumsatzes bei wesentlichen und bis 7 Mio. Euro bzw. 1,4 Prozent bei wichtigen Einrichtungen. Cybersicherheit lässt sich damit nicht mehr vollständig an die IT delegieren – die operative Umsetzung schon, die Verantwortung bleibt oben.
⚠ Hinweis zur persönlichen HaftungEin einfacher Geschäftsführerbeschluss „IT macht das schon" reicht als Entlastung nicht. Die Haftung trifft die Leitung persönlich, nicht nur die Einrichtung. Wer Maßnahmen weder freigibt noch nachweislich überwacht, kann sich im Schadensfall nicht auf Unkenntnis berufen – Cybersicherheit ist seit NIS2 ausdrücklich Chefsache und damit eine Sorgfaltspflicht, deren Verletzung regresspflichtig sein kann.
Pflichten der Geschäftsleitung im Klartext
Was die Leitung tun muss – und was sie unterlassen sollte:
- Do: Risikomanagement-Maßnahmen aktiv billigen und die Freigabe protokollieren.
- Do: An den verpflichtenden Schulungen selbst teilnehmen, nicht nur Mitarbeitende schicken.
- Do: Umsetzung und Wirksamkeit regelmäßig überprüfen lassen und sich berichten lassen.
- Don't: Verantwortung pauschal an die IT-Abteilung „abgeben" – delegierbar ist die Umsetzung, nicht die Letztverantwortung.
- Don't: Cybersicherheit nur anlassbezogen nach einem Vorfall auf die Tagesordnung setzen.
- Don't: Freigaben mündlich erteilen, ohne sie nachvollziehbar zu dokumentieren.
Was das praktisch bedeutet
Das Leitungsorgan muss Sicherheit verstehen, nicht selbst umsetzen. Verständliche Berichte, klare Entscheidungsvorlagen und nachvollziehbare Nachweise sind dafür entscheidend. So lässt sich etwa die Geschäftsführung eines IT-Dienstleisters quartalsweise einen Risikobericht vorlegen, gibt darin priorisierte Maßnahmen frei und dokumentiert ihre Schulungsteilnahme. Solche dokumentierten Freigaben sind zugleich der Nachweis, dass die Leitung ihrer gesetzlichen Billigungs- und Überwachungspflicht tatsächlich nachgekommen ist. Kommt es zu einem erheblichen Vorfall, greift zudem die NIS2-Meldekette mit Erstmeldung binnen 24 Stunden, Folgemeldung nach 72 Stunden und Abschlussbericht nach einem Monat – Prozesse, deren Funktionsfähigkeit die Leitung verantwortet.
Nächste Schritte
Vier Punkte für die nächste Leitungssitzung:
- Prüfen, ob Ihre Einrichtung registrierungspflichtig ist – die BSI-Erstfrist lief am 6. März 2026 ab, eine Nachregistrierung ist weiterhin möglich.
- Cybersicherheit als festen Tagesordnungspunkt in die Sitzungsordnung aufnehmen.
- Verantwortlichkeiten zwischen Leitung, IT-Sicherheit und Fachbereichen schriftlich abgrenzen.
- Die eigene Schulungsteilnahme terminieren und dokumentieren.
Cybersicherheit gehört deshalb fest in die Sitzungsordnung der Leitungsebene, statt anlassbezogen behandelt zu werden. Wiederkehrende Tagesordnungspunkte zu Risikolage, Maßnahmenstatus und offenen Vorfällen schaffen eine durchgängige Befassung und entlasten die Leitung im Haftungsfall. Das wirkt im Ernstfall. Wer Verantwortlichkeiten zwischen Geschäftsführung, IT-Sicherheit und Fachbereichen zusätzlich schriftlich abgrenzt, hält Delegation und Letztverantwortung sauber getrennt und macht aus der abstrakten NIS2-Pflicht einen nachvollziehbaren Führungsprozess, der die Sicherheit der Einrichtung erkennbar trägt und im Prüfungsfall belegbar bleibt.
Weiterführende Quelle: BSI – NIS-2 regulierte Unternehmen
Häufige Fragen
Was ist das Leitungsorgan bei NIS2?
Das Leitungsorgan ist die Führungsebene eines Unternehmens, etwa Geschäftsführung, Vorstand oder ein vergleichbares Leitungsgremium. Unter der seit dem 6. Dezember 2025 geltenden NIS2-Umsetzung muss es die Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und an verpflichtenden Schulungen teilnehmen. Das Leitungsorgan trägt damit die Letztverantwortung für die Cybersicherheit der gesamten Einrichtung, die seither ausdrücklich eine Aufsichts- und Führungspflicht ist und keine reine IT-Angelegenheit mehr.
Haftet die Geschäftsführung bei NIS2?
Ja, bei Verstößen gegen die Risikomanagement-Pflichten kann das Leitungsorgan persönlich in die Verantwortung genommen werden. Zusätzlich drohen der Einrichtung Bußgelder bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes bei wesentlichen sowie bis 7 Mio. Euro oder 1,4 Prozent bei wichtigen Einrichtungen. Die operative Umsetzung lässt sich delegieren, die Letztverantwortung der Leitung bleibt jedoch bestehen und kann regresspflichtig sein.
Muss die Leitung selbst Sicherheit umsetzen?
Nein, die technische Umsetzung der Sicherheitsmaßnahmen kann an die IT-Abteilung oder Dienstleister delegiert werden. Das Leitungsorgan muss die Maßnahmen jedoch verstehen, formal freigeben und ihre Umsetzung überwachen sowie an verpflichtenden Schulungen teilnehmen, um Risiken beurteilen und fundierte Entscheidungen treffen zu können. Dokumentierte Freigaben dienen zugleich als Nachweis, dass die Leitung ihrer gesetzlichen Billigungs- und Überwachungspflicht nachgekommen ist.