Managementverantwortung unter NIS2: billigen, überwachen, verantworten
Kernaussage
NIS2 verschiebt die Cybersicherheit von der IT-Abteilung in das Leitungsorgan. Nach Artikel 20 der Richtlinie (EU) 2022/2555 müssen die Leitungsorgane wesentlicher und wichtiger Einrichtungen die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und können für Verstöße verantwortlich gemacht werden. Hinzu kommt die Pflicht zu regelmäßigen Schulungen der Leitungsebene.
Damit ist Cybersicherheit keine delegierbare Fachaufgabe mehr, sondern eine Leitungspflicht mit möglicher persönlicher Konsequenz. Die Botschaft für die Führung lautet: Die Durchführung ist delegierbar, die Verantwortung nicht. Billigung und Aufsicht müssen nachweisbar beim Leitungsorgan liegen.
Problem in der Praxis
In vielen Organisationen wird Informationssicherheit faktisch nach unten delegiert. Der CISO oder die IT-Leitung entscheidet, das Leitungsorgan nimmt allenfalls einmal im Jahr einen Statusbericht entgegen. Formale Billigung der Risikomanagementmaßnahmen, dokumentierte Aufsicht und Schulungsnachweise der Leitung fehlen.
Diese Konstellation ist unter NIS2 ein Problem. Prüft eine Aufsichtsbehörde, ob das Leitungsorgan seine Pflichten erfüllt hat, reicht ein passiv entgegengenommener Bericht nicht aus. Gefragt ist ein belegbarer Steuerungsbeitrag: Welche Maßnahmen hat das Leitungsorgan wann gebilligt, auf welcher Grundlage, und wie hat es die Umsetzung überwacht?
Die zweite Lücke ist das Verständnis von Haftung. Viele Führungskräfte gehen davon aus, dass eine Cyberversicherung oder die Bestellung eines CISO sie schützt. Die persönliche Verantwortung der Leitungsebene lässt sich so aber nicht wegorganisieren.
CISO-Einordnung
Für den CISO verändert Artikel 20 die Rolle: Sicherheit wird vom technischen Projekt zur Governance-Aufgabe, die das Leitungsorgan einbinden muss. Der CISO ist damit weniger isolierter Umsetzer und mehr Zulieferer für Leitungsentscheidungen. Drei Pflichten des Leitungsorgans strukturieren diese Aufgabe:
- Billigen: aktiv genehmigen statt nur zur Kenntnis nehmen. Das setzt entscheidungsreif aufbereitete Maßnahmen voraus.
- Überwachen: die Umsetzung kontrollieren über eine wiederkehrende Aufsichtsmechanik mit aussagekräftigen Kennzahlen statt einer einmaligen Präsentation.
- Verantworten: das Leitungsorgan kann für Verstöße verantwortlich gemacht werden. Die nationale Umsetzung kann zusätzliche Konsequenzen vorsehen, in schweren Fällen etwa eine vorübergehende Aussetzung von Leitungsfunktionen.
Gegenstand von Billigung und Aufsicht sind die Risikomanagementmaßnahmen nach Artikel 21: ein gefahrenübergreifender, am Stand der Technik orientierter und verhältnismäßiger Ansatz mit Mindestbereichen von Risikoanalyse über Incident Handling, Business Continuity und Lieferkettensicherheit bis zu Cyberhygiene, Schulungen, Kryptografie und Zugriffskontrolle. Artikel 20 ist also kein abstrakter Appell, sondern verweist auf einen konkreten Maßnahmenkatalog.
Umsetzungsperspektive
Aus CISO-Sicht übersetzt sich Artikel 20 in eine Governance-Mechanik. Sinnvoll ist ein kleiner, dauerhaft betreibbarer Kern statt einer einmaligen Compliance-Aktion:
- Dokumentierte Billigung der Risikomanagementmaßnahmen durch das Leitungsorgan, mit Datum, Entscheidungsgrundlage und Verantwortlichen.
- Wiederkehrender Aufsichtsrhythmus, in dem das Leitungsorgan über Umsetzungsstand, offene Risiken, Vorfälle und Abweichungen entscheidet.
- Managementtaugliches Reporting, das Risiken in Geschäftslogik übersetzt statt in technischen Detailberichten zu enden.
- Nachweisbarer, regelmäßig wiederholter Schulungspfad für die Mitglieder des Leitungsorgans.
- Anbindung der NIS2-Pflichten an ein bestehendes ISMS, damit Billigung und Aufsicht auf einem laufenden Regelkreis aufsetzen.
Praktisch braucht die Tagesordnung des Leitungsorgans einen festen Sicherheitspunkt, und jede wesentliche Entscheidung muss eine Protokollspur hinterlassen. Diese Spur ist im Zweifel der Nachweis, dass die Leitungspflichten erfüllt wurden.
Typische Fehler
- Cybersicherheit wird vollständig an CISO oder IT delegiert, ohne dass das Leitungsorgan billigt und überwacht.
- Das Leitungsorgan nimmt Berichte nur entgegen, trifft aber keine dokumentierten Entscheidungen.
- Die Pflichtschulung der Leitung wird ausgelassen oder nicht nachgewiesen.
- Persönliche Verantwortung wird mit Versicherung verwechselt und als wegdelegierbar behandelt.
- NIS2 wird als reine Dokumentenpflicht behandelt, ohne laufenden Aufsichtsrhythmus.
- Nationale Detailregelungen werden ignoriert, weil man sich allein am Richtlinientext orientiert.
Risiken und Trade-offs
Die persönliche Verantwortung erhöht den Handlungsdruck, kann aber zu Aktionismus führen. Ein zu formalistischer Ansatz erzeugt Beschlüsse und Schulungsnachweise, ohne die Sicherheitslage zu verbessern. Das Leitungsorgan erfüllt dann formal seine Pflichten, steuert aber nicht.
Umgekehrt überfordert ein zu tiefes Eintauchen der Leitung in technische Details. Das Leitungsorgan muss billigen und überwachen, nicht selbst implementieren. Entscheidungen gehören auf die richtige Flughöhe: wesentlich, risikoorientiert, nachweisbar.
Ein weiterer Trade-off ist Geschwindigkeit gegen Sorgfalt. Aufsichtsdruck verleitet dazu, schnell formale Haken zu setzen. Tragfähig ist aber nur eine Governance, die im Regelbetrieb funktioniert und Prüfungen standhält.
Entscheidungspunkte
- Welches Gremium ist das verantwortliche Leitungsorgan im Sinne der nationalen Umsetzung, und wie wird dessen Billigung verankert?
- In welchem Rhythmus und in welcher Tiefe überwacht das Leitungsorgan die Umsetzung der Risikomanagementmaßnahmen?
- Wie werden Billigung, Aufsicht und Schulung so dokumentiert, dass sie einer behördlichen Prüfung standhalten?
- Fällt die Einrichtung unter das Regime für wesentliche oder für wichtige Einrichtungen, und welche Aufsichts- und Sanktionsfolgen ergeben sich daraus?
Praktische Empfehlungen
- Verankern Sie einen festen Sicherheitspunkt in der Leitungsagenda und protokollieren Sie Billigung und Aufsichtsentscheidungen.
- Bereiten Sie Risikomanagementmaßnahmen entscheidungsreif auf, sodass die Leitung auf Geschäftslogik statt auf Technikdetails entscheidet.
- Etablieren Sie einen Aufsichtsrhythmus mit wenigen, aussagekräftigen Kennzahlen zu Umsetzung, Risiken und Vorfällen.
- Planen Sie regelmäßige Schulungen der Leitung fest ein und dokumentieren Sie Teilnahme und Inhalte.
- Setzen Sie die NIS2-Governance auf ein bestehendes oder neues ISMS auf, statt parallele Strukturen zu schaffen.
- Prüfen Sie verbindliche Details, Schwellen und Fristen immer auch in der nationalen Umsetzung.
Relevante Normreferenzen
- Richtlinie (EU) 2022/2555 (NIS2), insbesondere Artikel 20 (Governance) in Verbindung mit Artikel 21 (Risikomanagementmaßnahmen): EU-Recht, frei zitierbar mit Quellenangabe (ABl. L 333 vom 27.12.2022).
- Nationale Umsetzung, in Deutschland das NIS2-Umsetzungsgesetz: maßgeblich für verbindliche Details, Schwellen und Fristen. Stand vor Nutzung prüfen.
- ISO/IEC 27001: Referenz für ein ISMS zur praktischen Umsetzung der Maßnahmen. Nur als Referenz, keine Wiedergabe von Normtext.
Häufige Fragen
Kann die Geschäftsführung die Cybersicherheit an den CISO delegieren?+
Die Durchführung ja, die Verantwortung nicht. Nach Artikel 20 muss das Leitungsorgan die Risikomanagementmaßnahmen selbst billigen und deren Umsetzung überwachen.
Haften Führungskräfte unter NIS2 persönlich?+
Die Leitungsorgane können für Verstöße der Einrichtung gegen die Risikomanagementmaßnahmen nach Artikel 21 verantwortlich gemacht werden. Umfang und Folgen, etwa eine vorübergehende Aussetzung von Leitungsfunktionen in schweren Fällen, richten sich nach der nationalen Umsetzung.
Muss sich die Leitung schulen lassen?+
Ja. Artikel 20 sieht regelmäßige Schulungen der Mitglieder der Leitungsorgane vor; die Teilnahme sollte nachweisbar dokumentiert werden.
Was genau muss das Leitungsorgan billigen?+
Die Risikomanagementmaßnahmen nach Artikel 21, einen gefahrenübergreifenden Maßnahmenkatalog von Risikoanalyse über Incident Handling und Business Continuity bis Lieferkettensicherheit und Zugriffskontrolle. Verbindliche Schwellen und Fristen ergeben sich aus der nationalen Umsetzung.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen NIS-2 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: nis2-002.
