NISG
AnmeldenKostenlos prüfen

NIS2 & Geschäftsführerhaftung in Österreich: Was das Leitungsorgan wirklich verantwortet

NISG-Plattform-RedaktionStand Juni 20265 Min Lesezeit

In Kürze: Das NISG 2026 macht die Geschäftsführung (das Leitungsorgan) persönlich verantwortlich — aber nicht in dem Sinne, dass sie Bußgelder „aus der eigenen Tasche" zahlt. Das Leitungsorgan muss die Risikomanagementmaßnahmen (§ 32) sicherstellen und beaufsichtigen und an Schulungen teilnehmen (§ 31). Geldstrafen treffen primär die juristische Person (§ 44). Die schärfste persönliche Folge ist die vorübergehende Untersagung der Leitungsfunktion — und die gilt nur für wesentliche Einrichtungen (§ 39 Abs. 4 Z 2). Sind Sie betroffen? → Geltungsbereich prüfen.

Rund um NIS2 kursiert die Schlagzeile, Geschäftsführer:innen würden „mit bis zu 10 Mio. Euro persönlich haften". Das ist verkürzt und in dieser Form falsch. Dieser Beitrag trennt den Mythos von dem, was das NISG 2026 (BGBl. I Nr. 94/2025) tatsächlich anordnet — und zeigt, wie das Leitungsorgan sein Risiko senkt.

Mythos vs. Gesetz

⚠️ Wichtig: „Der Geschäftsführer zahlt das Bußgeld privat" ist kein zutreffendes Bild des NISG. Die hohen Strafrahmen (bis 10 Mio. € / 2 % bzw. 7 Mio. € / 1,4 %) richten sich gegen die Einrichtung (die juristische Person), nicht gegen das Privatvermögen der Geschäftsführung. Die persönliche Dimension liegt woanders: in der nicht delegierbaren Aufsichtspflicht und — nur bei wesentlichen Einrichtungen — im möglichen Tätigkeitsverbot.

Was das Leitungsorgan verantwortet (§ 31)

Das NISG weist die Verantwortung ausdrücklich der Unternehmensspitze zu:

  • § 31 Abs. 1 — Sicherstellen und Beaufsichtigen: Die Leitungsorgane wesentlicher und wichtiger Einrichtungen haben die Einhaltung der Risikomanagementmaßnahmen (§ 32) sicherzustellen und zu überwachen. Diese Pflicht ist nicht an die IT-Abteilung delegierbar — sie bleibt Leitungsaufgabe.
  • § 31 Abs. 2 — Schulungspflicht: Leitungsorgane müssen an spezifischen Cybersicherheitsschulungen teilnehmen; den Mitarbeitenden sind regelmäßig entsprechende Schulungen anzubieten.

Mehr dazu: NIS2 & Geschäftsleitung – Pflichten & Schulung.

Wer wird bestraft — Einrichtung oder Person? (§ 44, § 45)

Ebene Was droht Rechtsgrundlage
Juristische Person (Einrichtung) Verwaltungsstrafe bis 10 Mio. € / 2 % (wesentlich) bzw. 7 Mio. € / 1,4 % (wichtig) bei inhaltlichen Verstößen (§ 31/§ 32/§ 34); je der höhere Betrag § 45 Abs. 2/3
Juristische Person Strafbarkeit, wenn Führungspersonen den Verstoß begangen oder mangelnde Aufsicht ihn ermöglicht hat § 44 Abs. 3/4
Leitungsorgan (Person) bei wesentlichen Einrichtungen: vorübergehende Untersagung der Leitungsfunktion per Bescheid (Eintragung beim Firmenbuchgericht) § 39 Abs. 4 Z 2

Zuständig für die Verhängung der Geldstrafen sind die Bezirksverwaltungsbehörden (§ 44 Abs. 1). Die Cybersicherheitsbehörde beaufsichtigt und ordnet an, verhängt aber nicht selbst die Geldstrafen. Die volle Strafsystematik: NIS2-Strafen & Sanktionen.

Die persönliche FolgeTätigkeitsverbot (§ 39 Abs. 4 Z 2)

Die schärfste persönliche Konsequenz ist kein Bußgeld, sondern ein Berufsausübungseingriff: Die Behörde kann Leitungsorganen einer wesentlichen Einrichtung (einschließlich rechtlicher Vertreter) mit Bescheid vorübergehend untersagen, Leitungsaufgaben wahrzunehmen. Wichtig zur Einordnung:

  • Diese Maßnahme gilt nur für wesentliche Einrichtungen, nicht für wichtige.
  • Sie gilt nicht für Stellen der öffentlichen Verwaltung (§ 39 Abs. 6).
  • Sie ist aufzuheben, sobald die Mängel nachweislich behoben sind (§ 39 Abs. 5).

Und das Privatvermögen?

Das NISG schafft keine pauschale persönliche Zahlungspflicht der Geschäftsführung gegenüber der Behörde. Unabhängig vom NISG kann die Geschäftsführung allerdings gegenüber der eigenen Gesellschaft nach allgemeinem Gesellschaftsrecht für Sorgfaltspflichtverletzungen in die Verantwortung genommen werden — das NISG verschärft die Sorgfaltsanforderungen (durch die ausdrückliche § 31-Aufsichtspflicht), begründet aber selbst keine eigene zivilrechtliche Haftungsnorm. Die konkrete gesellschaftsrechtliche Ausgestaltung ist Frage des Einzelfalls und der Rechtsberatung.

💡 Tipp: Auch das Doppelbestrafungsverbot ist relevant: Hat die Datenschutzbehörde für dasselbe Verhalten bereits eine DSGVO-Geldbuße verhängt, ist eine zusätzliche NISG-Strafe ausgeschlossen (§ 44 Abs. 7).

Wie das Leitungsorgan sein Risiko senkt

„Enthaftung" im Wortsinn gibt es nicht — wohl aber eine nachweisbare Sorgfalt, die im Prüf- und Sanktionsfall zählt:

  1. Betroffenheit und Einstufung dokumentieren (wesentlich/wichtig/außerhalb). Kostenloser Check
  2. § 32-Maßnahmen umsetzen und belegen — gefahrenübergreifend, Stand der Technik. → Die 10 Maßnahmen
  3. Aufsicht aktiv ausüben und protokollieren (§ 31 Abs. 1): Billigung der Maßnahmen, regelmäßige Berichte, Beschlüsse.
  4. Schulungen nachweisen (§ 31 Abs. 2) — für das Leitungsorgan selbst und die Belegschaft.
  5. Prüffeste Nachweise führen: wer hat wann was entschieden und umgesetzt.

Eine Plattform mit unveränderlichen Snapshots und einem manipulationssicheren Audit-Ledger unterstützt das Leitungsorgan dabei, diese Sorgfalt prüffest zu dokumentieren.

Sorgfalt nachweisbar machen

Vom Geltungsbereich über die § 32-Maßnahmen bis zum prüffesten Nachweis — die Plattform unterstützt das Leitungsorgan bei seiner Aufsichtspflicht. Jetzt Betroffenheit prüfen

Häufige Fragen (FAQ)

Haftet der Geschäftsführer bei NIS2 mit dem Privatvermögen? Das NISG begründet keine pauschale persönliche Zahlungspflicht gegenüber der Behörde; die hohen Geldstrafen treffen die juristische Person (§ 44, § 45). Eine zivilrechtliche Verantwortung gegenüber der eigenen Gesellschaft kann sich nach allgemeinem Gesellschaftsrecht ergeben — das ist Frage des Einzelfalls.

Was muss die Geschäftsführung nach NIS2 konkret tun? Die Risikomanagementmaßnahmen (§ 32) sicherstellen und beaufsichtigen und an Cybersicherheitsschulungen teilnehmen (§ 31). Diese Aufsichtspflicht ist nicht delegierbar.

Kann einem Geschäftsführer die Funktion entzogen werden? Bei wesentlichen Einrichtungen kann die Behörde die Wahrnehmung von Leitungsaufgaben vorübergehend untersagen (§ 39 Abs. 4 Z 2); aufzuheben, sobald die Mängel behoben sind. Für die öffentliche Verwaltung gilt das nicht (§ 39 Abs. 6).

Wer verhängt die Strafen? Die Bezirksverwaltungsbehörden (§ 44 Abs. 1). Eine NISG-Strafe entfällt, wenn für dasselbe Verhalten bereits eine DSGVO-Geldbuße verhängt wurde (§ 44 Abs. 7).

Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS – NISG 2026, BGBl. I Nr. 94/2025, nis.gv.at, WKO.