NIS2 Geschäftsführerhaftung: Warum E-Mail-Sicherheit jetzt Chefsache ist
NIS2 macht Cybersicherheit zur persönlichen Haftung der Geschäftsleitung. Was das für E-Mail-Sicherheit bedeutet und was Geschäftsführer jetzt tun müssen.
3 minNIS2 & Compliance
NIS2 Geschäftsführerhaftung: Warum E-Mail-Sicherheit jetzt Chefsache ist
Seit dem 6. Dezember 2025 gilt in Deutschland ein neues Zeitalter der Cybersicherheit. Mit dem NIS2-Umsetzungsgesetz haftet die Geschäftsleitung erstmals persönlich für die Umsetzung von Cybersicherheitsmaßnahmen. E-Mail-Sicherheit steht dabei ganz oben auf der Agenda – denn über 90 % aller Cyberangriffe beginnen mit einer E-Mail.
§38 BSIG: Persönliche Haftung der Geschäftsleitung
Das novellierte BSI-Gesetz ist in diesem Punkt unmissverständlich:
Die Geschäftsleitung muss die Risikomanagementmaßnahmen nach §30 billigen und deren Umsetzung überwachen. Kommt sie dieser Pflicht nicht nach, haftet sie persönlich.
Das bedeutet konkret:
- Billigung: Die Geschäftsleitung muss die Maßnahmen kennen und formal genehmigen
- Überwachung: Es reicht nicht, die IT-Abteilung zu beauftragen – die Umsetzung muss nachweislich kontrolliert werden
- Persönliche Haftung: Bei Pflichtverletzung haften Geschäftsführer mit ihrem Privatvermögen
Was passiert bei einem E-Mail-Sicherheitsvorfall?
Stellen Sie sich folgendes Szenario vor: Ein Mitarbeiter öffnet eine Phishing-Mail, Ransomware verschlüsselt kritische Systeme, Kundendaten werden exfiltriert.
Ohne NIS2-konforme Maßnahmen droht:
- Meldepflicht: 24 Stunden Frühwarnung an das BSI, 72 Stunden für den vollständigen Bericht
- Bußgeld: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
- Persönliche Haftung: Die Geschäftsleitung wird zur Verantwortung gezogen
- Reputationsschaden: Öffentliche Bekanntmachung des Vorfalls
Die Bußgeld-Staffelung nach NIS2
| Kategorie | Maximales Bußgeld |
|---|---|
| Besonders wichtige Einrichtungen | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
Bemessungsgrundlage ist jeweils der höhere Betrag. Bei einem Unternehmen mit 600 Mio. € Umsatz wären das bis zu 12 Mio. € Bußgeld.
Die häufigsten E-Mail-Risiken für Geschäftsführer
1. Business Email Compromise (BEC)
Angreifer geben sich als CEO oder CFO aus und weisen Überweisungen an. Durchschnittlicher Schaden: 130.000 € pro Vorfall.
2. Phishing & Spear-Phishing
More articles
The latest posts from our blog.
5 minIT Security / Email
Email Security Gateway: The Complete Guide for Businesses 2026
An Email Security Gateway is the central line of defense for business email communication. This guide explains how it works, what threats it blocks, and why it is essential for NIS2 and GDPR…
3 minIT Security / Comparison
Email Security Gateway Comparison 2026: What Really Matters
Choosing the right Email Security Gateway is critical for business communication security. This comparison shows the most important criteria and typical pitfalls.
