nisg26.at

NIS2 und die Geschäftsleitung: Pflichten und Schulung (§ 31)

In Kürze: NIS2 macht Cybersicherheit zur Chefsache. Das Leitungsorgan wesentlicher und wichtiger Einrichtungen muss die Einhaltung der Risikomanagementmaßnahmen (§ 32) sicherstellen und beaufsichtigen und an Cybersicherheitsschulungen teilnehmen (§ 31). Die operative Umsetzung ist delegierbar — die Verantwortung des Leitungsorgans bleibt bestehen.

Der vielleicht größte kulturelle Wandel von NIS2: Sicherheit ist nicht mehr „Sache der IT", sondern Führungsaufgabe — verankert in § 31 des österreichischen NISG (BGBl. I Nr. 94/2025).

Was verlangt § 31 konkret?

§ 31 richtet sich direkt an das Leitungsorgan (Vorstand, Geschäftsführung oder vergleichbares Organ) und gliedert sich in zwei Absätze:

Pflicht Was das Gesetz sagt Fundstelle
Sicherstellen & beaufsichtigen Das Leitungsorgan hat die Einhaltung der Risikomanagementmaßnahmen (§ 32) sicherzustellen und zu beaufsichtigen. § 31 Abs. 1
Eigene Schulung Mitglieder des Leitungsorgans müssen an spezifischen Cybersicherheitsschulungen teilnehmen. § 31 Abs. 2
Schulung der Belegschaft Die Einrichtung muss ihren Mitarbeitenden regelmäßig entsprechende Schulungen anbieten. § 31 Abs. 2

„Sicherstellen und beaufsichtigen" ist die österreichische Umsetzung dessen, was die NIS2-Richtlinie als „billigen und überwachen" bezeichnet: Das Leitungsorgan muss die Maßnahmen (§ 32) aktiv tragen, nicht nur zur Kenntnis nehmen — und sich ihre Wirksamkeit fortlaufend berichten lassen. Welche zehn Maßnahmenbereiche (a–j) § 32 umfasst, lesen Sie im Beitrag NIS2-Risikomanagementmaßnahmen.

Wer haftet — und wie?

Hier kursieren die meisten Halbwahrheiten. Die Lage nach NISG nüchtern:

  • Geldstrafen treffen primär die juristische Person. Sie können gegen das Unternehmen verhängt werden, wenn Führungspersonen den Verstoß begangen oder mangelnde Aufsicht ihn ermöglicht haben (§ 44 Abs. 3/4). Zuständig sind die Bezirksverwaltungsbehörden (§ 44 Abs. 1).
  • Der Strafrahmen für Verstöße gegen § 31/§ 32 liegt auf der höheren Stufe (§ 45 Abs. 1): bei wesentlichen Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes (der höhere Betrag), bei wichtigen Einrichtungen bis zu 7 Mio. € oder 1,4 % (der höhere Betrag).
  • Untersagung der Leitungsfunktion — nur bei wesentlichen Einrichtungen. Als zusätzliches Aufsichtsmittel kann die Behörde ausschließlich bei wesentlichen Einrichtungen einem Leitungsorgan (einschließlich rechtlicher Vertreter) die Wahrnehmung von Leitungsaufgaben mit Bescheid vorübergehend untersagen (§ 39 Abs. 4 Z 2); der Bescheid wird dem Firmenbuchgericht zur Eintragung übermittelt. Die Maßnahme ist aufzuheben, sobald die Mängel nachweislich behoben sind (§ 39 Abs. 5), und gilt nicht für Stellen der öffentlichen Verwaltung (§ 39 Abs. 6).
  • Kein Doppelschlag mit der DSGVO: Hat die Datenschutzbehörde für dasselbe Verhalten bereits eine DSGVO-Geldbuße verhängt, entfällt die NISG-Strafe (§ 44 Abs. 7 / § 45).

„Persönliche Haftung der Geschäftsführung" ist damit verkürzt: Es geht nicht um eine pauschale Privatzahlung der Geldstrafe, sondern um eine nicht delegierbare Verantwortung des Leitungsorgans — abgesichert durch Unternehmensstrafen und, bei wesentlichen Einrichtungen, durch die mögliche Untersagung der Leitungsfunktion. Details zu den Stufen und Beträgen finden Sie unter NIS2-Strafen. Ob Sie als wesentliche oder wichtige Einrichtung gelten, klärt der Beitrag wesentliche vs. wichtige Einrichtungen.

So setzen Sie § 31 praktisch um

  1. Governance-Punkt etablieren — „Cybersicherheit/NISG" als wiederkehrender Tagesordnungspunkt im Leitungsgremium, mit Status, Risiken und Fristen.
  2. Sicherstellung dokumentieren — Beschluss bzw. Protokoll, mit dem das Leitungsorgan die Umsetzung der § 32-Maßnahmen trägt.
  3. Beaufsichtigung verankern — Kennzahlen, Berichtswege und ein fester Review-Rhythmus, über den sich die Leitung die Wirksamkeit belegen lässt.
  4. Schulungen nachweisen — Teilnahme des Leitungsorgans und das regelmäßige Schulungsangebot für Mitarbeitende dokumentieren.

Entscheidend ist die Nachweisbarkeit: Im Aufsichtsfall sollte belegbar sein, dass die Leitung ihrer Verantwortung nachgekommen ist. Die NISG-Plattform unterstützt Sie dabei — Sie halten Governance-Beschlüsse, Aufsichtsnachweise und Schulungen als prüffeste Nachweise fest, mit unveränderlichen Snapshots und einem manipulationssicheren Audit-Ledger.

Warum das zählt

Die Governance-Pflicht ist der Hebel, mit dem NIS2 Sicherheit dauerhaft verankert: Wo das Leitungsorgan die Maßnahmen sicherstellen und beaufsichtigen muss — und Versäumnisse das Unternehmen empfindlich treffen können —, bekommt das Thema Budget und Aufmerksamkeit. Die Erstregistrierung betroffener Einrichtungen ist bis 31.12.2026 vorgesehen; die Governance- und Schulungsstrukturen sollten bis dahin stehen.

Erst Einstufung, dann Governance aufsetzen

Klären Sie zuerst Ihre Betroffenheit — daraus leiten sich Governance- und Schulungspflichten ab. Jetzt kostenlos prüfen

Häufige Fragen (FAQ)

Welche Pflichten hat die Geschäftsleitung bei NIS2? Das Leitungsorgan muss die Einhaltung der Risikomanagementmaßnahmen (§ 32) sicherstellen und beaufsichtigen sowie an Cybersicherheitsschulungen teilnehmen (§ 31). Zudem muss die Einrichtung ihren Mitarbeitenden regelmäßig Schulungen anbieten.

Haftet die Geschäftsleitung persönlich? Geldstrafen treffen primär die juristische Person (§ 44 Abs. 3/4). Zusätzlich kann die Behörde ausschließlich bei wesentlichen Einrichtungen einem Leitungsorgan die Leitungsfunktion vorübergehend untersagen (§ 39 Abs. 4 Z 2). Eine pauschale private Geldhaftung der Geschäftsführung sieht das NISG nicht vor.

Müssen sich Geschäftsführer schulen lassen? Ja. § 31 Abs. 2 verpflichtet die Mitglieder des Leitungsorgans zur Teilnahme an spezifischen Cybersicherheitsschulungen.

Welche Strafen drohen bei Verstoß gegen § 31? Verstöße gegen die Governance- und Risikomanagementpflichten fallen unter den höheren Strafrahmen (§ 45 Abs. 1): bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes bei wesentlichen, bis zu 7 Mio. € oder 1,4 % bei wichtigen Einrichtungen — jeweils der höhere Betrag.

Kann ich die Verantwortung an die IT delegieren? Die operative Umsetzung ja — die Verantwortung des Leitungsorgans, die Maßnahmen sicherzustellen und zu beaufsichtigen, bleibt jedoch bestehen und ist nicht delegierbar.

Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.