NIS2 Geschäftsführerhaftung: Warum E-Mail-Sicherheit jetzt Chefsache ist
NIS2 macht Cybersicherheit zur persönlichen Haftung der Geschäftsleitung. Was das für E-Mail-Sicherheit bedeutet und was Geschäftsführer jetzt tun müssen.
3 minNIS2 & Compliance
NIS2 Geschäftsführerhaftung: Warum E-Mail-Sicherheit jetzt Chefsache ist
Seit dem 6. Dezember 2025 gilt in Deutschland ein neues Zeitalter der Cybersicherheit. Mit dem NIS2-Umsetzungsgesetz haftet die Geschäftsleitung erstmals persönlich für die Umsetzung von Cybersicherheitsmaßnahmen. E-Mail-Sicherheit steht dabei ganz oben auf der Agenda – denn über 90 % aller Cyberangriffe beginnen mit einer E-Mail.
§38 BSIG: Persönliche Haftung der Geschäftsleitung
Das novellierte BSI-Gesetz ist in diesem Punkt unmissverständlich:
Die Geschäftsleitung muss die Risikomanagementmaßnahmen nach §30 billigen und deren Umsetzung überwachen. Kommt sie dieser Pflicht nicht nach, haftet sie persönlich.
Das bedeutet konkret:
- Billigung: Die Geschäftsleitung muss die Maßnahmen kennen und formal genehmigen
- Überwachung: Es reicht nicht, die IT-Abteilung zu beauftragen – die Umsetzung muss nachweislich kontrolliert werden
- Persönliche Haftung: Bei Pflichtverletzung haften Geschäftsführer mit ihrem Privatvermögen
Was passiert bei einem E-Mail-Sicherheitsvorfall?
Stellen Sie sich folgendes Szenario vor: Ein Mitarbeiter öffnet eine Phishing-Mail, Ransomware verschlüsselt kritische Systeme, Kundendaten werden exfiltriert.
Ohne NIS2-konforme Maßnahmen droht:
- Meldepflicht: 24 Stunden Frühwarnung an das BSI, 72 Stunden für den vollständigen Bericht
- Bußgeld: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
- Persönliche Haftung: Die Geschäftsleitung wird zur Verantwortung gezogen
- Reputationsschaden: Öffentliche Bekanntmachung des Vorfalls
Die Bußgeld-Staffelung nach NIS2
| Kategorie | Maximales Bußgeld |
|---|---|
| Besonders wichtige Einrichtungen | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
Bemessungsgrundlage ist jeweils der höhere Betrag. Bei einem Unternehmen mit 600 Mio. € Umsatz wären das bis zu 12 Mio. € Bußgeld.
Die häufigsten E-Mail-Risiken für Geschäftsführer
1. Business Email Compromise (BEC)
Angreifer geben sich als CEO oder CFO aus und weisen Überweisungen an. Durchschnittlicher Schaden: 130.000 € pro Vorfall.
2. Phishing & Spear-Phishing
Weitere Artikel
Die neuesten Beiträge aus unserem Blog.
8 minProdukt-Updates / News
Conbool Disclaimer Add‑in für Outlook – Jetzt im Microsoft Store
E‑Mail‑Signaturen zentral steuern, rechtssichere Disclaimer einbinden und den Unternehmensauftritt in Outlook vereinheitlichen – ohne manuelle Frickelei. Das Conbool Disclaimer Add‑in ist ab sofort…
3 minIT-Sicherheit / E-Mail Verschlüsselung
SecureMail: E-Mail-Verschlüsselung ohne Plugin-Chaos und Portal-Frust
Vergessen Sie komplizierte Portale und HTML-Anhänge. Erfahren Sie, wie Sie mit Conbool SecureMail E-Mails in M365 adaptiv und BSI-konform verschlüsseln.
4 minIT-Sicherheit / Vergleich
Email Security Gateway Vergleich 2026: Worauf es wirklich ankommt
Die Auswahl des richtigen Email Security Gateways ist entscheidend für die Sicherheit der Unternehmenskommunikation. Dieser Vergleich zeigt die wichtigsten Kriterien und typische Fallstricke.