FAQ: Haftung & Strafe - Risiko der Leitung in 2026
Haftung & Sanktionen
Sicherheit ist im Jahr 2026 endgültig zur „Chefsache“ geworden. Mit dem Inkrafttreten des KRITIS-Dachgesetzes und der NIS-2-Umsetzung wurden die Daumenschrauben bei Non-Compliance deutlich angezogen. Es geht nicht mehr nur um abstrakte Bußgelder für Unternehmen, sondern um die persönliche Verantwortung der Geschäftsführung. Diese FAQ erläutert die drakonischen Strafen bei Meldeversäumnissen, die potenziell existenzbedrohende Privathaftung und die Befugnisse des BSI, Führungskräfte sogar vorübergehend des Amtes zu entheben.
Kontaktieren Sie uns bei weiteren Fragen gerne:
FAQ: Risikomanagement für Entscheider 2026
Welche Pflichten hat die Geschäftsleitung konkret bei KRITIS-Betreibern?
Die Geschäftsleitungen sind gesetzlich verpflichtet, die vorgeschriebenen Resilienzmaßnahmen umzusetzen. Sie müssen deren Einhaltung durch geeignete Organisationsmaßnahmen sicherstellen und die Umsetzung kontinuierlich überwachen.
Können Geschäftsführer persönlich für Schäden haftbar gemacht werden?
Ja. Wenn Geschäftsleitungen ihre Umsetzungs- und Überwachungspflichten schuldhaft verletzen, haften sie dem Betreiber gegenüber für den daraus entstandenen Schaden.
Stimmt es, dass die Haftung bis ins Privatvermögen reicht?
Das ist korrekt. Die Haftung für schuldhaft verursachte Schäden kann im Ernstfall auch das Privatvermögen der Geschäftsführer betreffen. Eine „Verantwortungsdiffusion“ soll durch die klare Zuweisung der Organhaftung im KRITIS-DachG und BSIG-E verhindert werden.
Wie hoch ist das maximale Bußgeld bei Verstößen gegen die Meldepflicht?
Verstöße gegen die Meldepflicht (§ 8 Abs. 2 S. 1), etwa wenn Angaben nicht, falsch oder verspätet übermittelt werden, können mit einem Bußgeld von bis zu 500.000 € geahndet werden.
Welche Strafen drohen bei der Nichtübermittlung von Auditergebnissen?
Werden Ergebnisse von Audits oder Prüfungen nicht, unvollständig oder verspätet an das BBK bzw. BSI übermittelt, droht ein Bußgeld von bis zu 200.000 €.
Was passiert, wenn behördliche Anordnungen ignoriert werden?
Werden Sicherheitsanforderungen oder spezifische Auflagen trotz behördlicher Anordnung (§ 16 Abs. 2 – 5) nicht erfüllt, kann dies mit bis zu 100.000 € sanktioniert werden.
Gibt es Sanktionen für die Verweigerung des Zutritts zu Geschäftsräumen?
Ja. Wer den Zugang zu Geschäftsräumen verweigert oder verlangte Unterlagen und Auskünfte falsch oder unvollständig vorlegt, muss mit Bußgeldern von bis zu 50.000 € rechnen.
Kann das BSI einem Geschäftsführer die Leitung untersagen?
In extremen Fällen ja. Wenn Anordnungen des BSI beharrlich missachtet werden, kann die Behörde der Geschäftsleitung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen (§ 64 Abs. 6 Nr. 2 BSIG-E).
Wie hängen die Bußgelder des BSIG-E und des KRITIS-Dachgesetzes zusammen?
Die Bußgeldvorschriften beider Gesetze bestehen nebeneinander. Während das KRITIS-DachG die physische Resilienz fokussiert, greift das BSIG-E bei Verstößen gegen die Cybersicherheit. Beide fügen sich in das bestehende Recht zur Organhaftung ein.
Was gilt als „schuldhafte“ Pflichtverletzung?
Schuldhaft handelt eine Geschäftsleitung bereits dann, wenn sie notwendige Maßnahmen fahrlässig unterlässt, also die im Verkehr erforderliche Sorgfalt bei der Überwachung der Sicherheitsstandards vermissen lässt.
Gibt es eine Fortbildungspflicht für Führungskräfte?
Ja, im Rahmen der NIS-2-Umsetzung (BSIG-E) sind Führungskräfte verpflichtet, regelmäßig an Schulungen teilzunehmen, um die notwendigen Kenntnisse zur Identifizierung und Bewertung von Cybersicherheitsrisiken zu erlangen.
Welche Fristen gelten für die Umsetzung nach der Identifizierung?
Betreiber haben nach der Identifizierung wenig Zeit: Die Risikoanalyse muss in weniger als 9 Monaten vorliegen. Resilienzmaßnahmen, das Meldewesen und die Pflichten der Geschäftsleitung müssen in weniger als 10 Monaten aktiv umgesetzt sein.
Werden Bußgelder gegen das Unternehmen oder die Person verhängt?
Bußgelder gemäß § 24 KRITIS-DachG richten sich primär gegen den Betreiber (das Unternehmen). Die Schadensersatzpflicht aus § 20 betrifft hingegen das Innenverhältnis zwischen Unternehmen und Geschäftsführung, was zur persönlichen Inanspruchnahme führt.
Lohnt sich das Risiko des Abwartens?
Angesichts der hybriden Bedrohungslage und der klaren gesetzlichen Fristen im Jahr 2026 ist Abwarten keine Option mehr. Die Resilienzsteigerung wird als langanhaltender Impuls für die gesamte Branche gesehen.