§ 38 BSIG

Geschäftsleitungspflichten und persönliche Innenhaftung im NIS2UmsuCG

· Kategorie: NIS2 · Compliance-Kit
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

§ 38 BSIG (in Kraft seit 06.12.2025) verpflichtet die Geschäftsleitung wesentlicher und wichtiger Einrichtungen, die Risikomanagement-Maßnahmen nach § 30 zu billigen, ihre Umsetzung zu überwachen und an Schulungen teilzunehmen. Bei schuldhaften Pflichtverletzungen sieht § 38 Abs. 5 eine persönliche Innenhaftung gegenüber der Einrichtung vor — Verzicht oder Vergleich erst nach 3 Jahren möglich.

Was ist § 38 BSIG?

§ 38 BSIG ist die schärfste Norm für NIS2-Compliance: Sie zieht die Geschäftsleitung persönlich in die Pflicht. Die Pflichten:

  1. Abs. 1: Billigung der Risikomanagement-Maßnahmen nach § 30 — nicht delegierbar an IT oder Compliance-Abteilung
  2. Abs. 2: Überwachung der Umsetzung
  3. Abs. 3: Pflicht zur Teilnahme an Schulungen — zur Erkennung und Bewertung von Cybersicherheitsrisiken
  4. Abs. 5: Persönliche Innenhaftung gegenüber der Einrichtung bei schuldhafter Pflichtverletzung; Verzicht / Vergleich erst nach 3 Jahren möglich (vergleichbar §93 Abs. 4 AktG)

Praxisbeispiel

Ein Geschäftsführer eines Versicherungsunternehmens (wichtige Einrichtung) verzichtet darauf, eine MFA-Lösung trotz expliziter Empfehlung des CISO zu billigen — Kostengrund. Sechs Monate später wird das Unternehmen Opfer eines Ransomware-Angriffs, der über kompromittierte Admin-Accounts erfolgt. Schaden: 2,5 Mio. EUR.

Mögliche Folgen: BSI-Bußgeld bis 7 Mio. EUR / 1,4 % Umsatz; persönliche Haftung des GF nach § 38 Abs. 5 für die 2,5 Mio. EUR Schaden gegenüber der Einrichtung; Vorstand-Innenhaftung bei AG zusätzlich nach §93 AktG. D&O-Versicherung deckt nicht zwingend, wenn grobe Fahrlässigkeit nachweisbar.

Häufig gestellte Fragen

Wie oft muss die GF geschult werden?
Das BSIG nennt keine konkrete Frequenz. BSI-Empfehlung: bei Antritt + jährliche Auffrischung. Praxis-Standard: Halbjährlich für GL von wesentlichen Einrichtungen, jährlich für wichtige.
Reicht eine Online-Schulung?
Ja. § 38 Abs. 3 verlangt nur 'Schulung', nicht Präsenz. Wichtig: Nachweis (Zertifikat, Wissens-Quiz). Online-Lösungen mit Quiz erfüllen die Anforderung.
Können sich GF gegen § 38 Abs. 5 versichern?
D&O-Versicherungen decken § 38 grundsätzlich. ABER: Grobe Fahrlässigkeit (z. B. bewusstes Ignorieren von CISO-Empfehlungen) ist häufig vom Schutz ausgeschlossen. Vorab Versicherungs-Vertrag prüfen.

Siehe auch