SaaSFort Seit dem 6. Dezember 2025 gilt das NIS2UmsuCG. Keine Übergangsfrist, kein Aufschub. §38 BSIG verpflichtet Geschäftsführer persönlich, Risikomanagementmaßnahmen zu genehmigen und deren Umsetzung zu überwachen. Wer das nicht tut, haftet mit dem Privatvermögen.
Das betrifft nicht nur Konzerne. Jeder SaaS-Anbieter, der als „wichtige Einrichtung” nach NIS2 klassifiziert ist — und das schließt viele B2B-Softwareunternehmen ab 50 Mitarbeitern oder 10 Mio. € Umsatz ein — fällt unter diese Regelung.
Was §38 BSIG konkret verlangt
§38 Abs. 1 BSIG verpflichtet die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen zu drei konkreten Pflichten:
- Genehmigung der Risikomanagementmaßnahmen nach §30 BSIG
- Überwachung der Umsetzung dieser Maßnahmen
- Regelmäßige Schulungsteilnahme zu Cybersicherheitsrisiken
Laut Greenberg Traurig: operative Aufgaben dürfen delegiert werden, die übergeordnete Verantwortung bleibt bei der Geschäftsführung. Sie können einen CISO einstellen — die Haftung bleibt bei Ihnen.
Entscheidend: Ein Verzicht auf Ersatzansprüche gegen die Geschäftsleitung ist gesetzlich ausgeschlossen. Kein Gesellschafterbeschluss und keine Satzungsklausel kann diese Haftung aufheben. Morrison Foerster bestätigt: die Verantwortung ist nicht vollständig delegierbar.
Bußgelder: Drei Stufen, die wehtun
Das NIS2UmsuCG staffelt Bußgelder nach Einrichtungstyp und Verstoß:
| Verstoßart | Besonders wichtige Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Fehlende Risikomanagementmaßnahmen (§30) | Bis €10 Mio. oder 2% Jahresumsatz | Bis €7 Mio. oder 1,4% Jahresumsatz |
| Fehlende BSI-Registrierung | Bis €500.000 | Bis €500.000 |
| Verstoß gegen Meldepflichten | Bis €500.000 | Bis €500.000 |
Für ein SaaS-Unternehmen mit €5 Mio. Jahresumsatz bedeutet die Höchststrafe bei fehlenden Sicherheitsmaßnahmen: €7 Mio. Die Registrierungsfrist beim BSI lief am 6. März 2026 ab — 18.500 Unternehmen haben sie verpasst. Die zweite häufige Bußgeld-Falle ist die 24-Stunden-Meldepflicht nach Artikel 23 — wer einen signifikanten Vorfall nicht rechtzeitig meldet, riskiert dasselbe Bußgeld wie die fehlende Registrierung. Eine vorbereitete BSI-Meldevorlage und Tabletop-Übung reduziert das Risiko, dass §38 BSIG-Pflichten unter Zeitdruck verletzt werden. Das vollständige kostenlose Incident-Readiness-Bundle bündelt die 24h/72h/1-Monats-Vorlagen, das Awareness-Clock-Worksheet und das BSI-Meldeportal-Field-Map in einem Paket — board-tauglicher Nachweis Ihrer §38-Aufsichtspflicht.
Persönliche Haftung vs. Unternehmensstrafe
Die Bußgelder treffen das Unternehmen. Die persönliche Haftung nach §38 trifft Sie als Geschäftsführer darüber hinaus — für Schäden, die durch pflichtwidrige Unterlassung entstehen. Laut secjur.com kann die Geschäftsleitung für die entstandenen Schäden persönlich in Anspruch genommen werden, wenn sie die Überwachungspflicht verletzt.
Ein Praxisbeispiel: Ihr SaaS-Produkt wird gehackt, weil bekannte Sicherheitslücken nicht behoben wurden. Ihr Kunde — eine NIS2-regulierte Einrichtung — erleidet Schaden und macht Regressansprüche geltend. Als Geschäftsführer haften Sie persönlich, wenn Sie die Umsetzung der Sicherheitsmaßnahmen nicht nachweislich überwacht haben.
Der einfachste Nachweis Ihrer §38-BSIG-Aufsichtspflicht: ein dokumentierter Self-Audit aller 10 Article-21(2)-Maßnahmen. Unsere kostenlose Excel-Vorlage zum NIS2-Article-21-Self-Audit deckt alle 10 Maßnahmen mit Status, Priorität, Verantwortlichkeit und Deadline-Spalten ab — board-tauglich, in einer Stunde befüllbar.
D&O-Versicherung: Kein Freifahrtschein
Viele Geschäftsführer verlassen sich auf ihre D&O-Versicherung (Directors & Officers). Das ist riskant:
- Cyber-Ausschlüsse: Einige D&O-Policen schließen Cybervorfälle oder regulatorische Bußgelder explizit aus. Laut Noerr müssen bestehende Policen dringend auf NIS2-Deckung geprüft werden.
- Wissentlichkeitsausschluss: Wenn Sie von Sicherheitsmängeln wussten und nichts unternommen haben, greift die D&O-Versicherung nicht.
- Regress des Unternehmens: Das Unternehmen kann Schadensersatz von Ihnen als Geschäftsführer verlangen — und ein Verzicht darauf ist nach §38 BSIG ausgeschlossen.
Prüfen Sie jetzt Ihre D&O-Police: Deckt sie NIS2-bezogene Ansprüche? Enthält sie Cyber-Ausschlüsse? Wenn ja, verhandeln Sie eine Erweiterung — bevor ein Vorfall eintritt.
Was „Überwachung” konkret bedeutet
§38 verlangt keine technische Expertise von der Geschäftsführung. Er verlangt ein nachweisbares Überwachungssystem. Im Klartext:
Dokumentierte Prozesse statt einmaliger Projekte. Das BSI prüft nicht, ob Sie einmal ein Sicherheitsaudit gemacht haben. Es prüft, ob ein kontinuierliches System existiert — mit regelmäßigen Berichten, definierten Verantwortlichkeiten und nachvollziehbaren Maßnahmen. Cortina Consult beschreibt dies als „laufendes System, das Nachweise automatisiert produziert.”
Was Auditoren sehen wollen:
- Regelmäßige Sicherheitsberichte an die Geschäftsleitung (mindestens quartalsweise)
- Risikobewertungen mit dokumentierten Maßnahmen und Fristen
- Schulungsnachweise der Geschäftsleitung selbst
- Externe Prüfberichte als unabhängige Validierung
Compliance-Nachweis in 4 Schritten aufbauen
Für SaaS-Geschäftsführer, die heute mit Null anfangen (detaillierter SaaS-Leitfaden: NIS2 für SaaS-Unternehmen):
Schritt 1: Externen Sicherheitsstatus prüfen (Tag 1)
Scannen Sie Ihre Domain kostenlos — 60 Prüfungen in 21 Kategorien, A-F Note, unter 60 Sekunden. Das Ergebnis zeigt Ihren aktuellen Stand aus Sicht eines externen Auditors. Kein Account nötig.
14 Tage kostenlos testen: Alle neuen Accounts erhalten automatisch den Growth-Plan (€19/Monat) — 50 Scans, Multi-Domain, NIS2-Export — für 14 Tage kostenlos. Keine Kreditkarte erforderlich. Danach Starter ab €9/Monat.
Schritt 2: NIS2-Compliance-Report generieren (Tag 1)
SaaSFort bildet alle Scan-Ergebnisse auf die 10 Maßnahmen des Artikel 21(2) NIS2 ab. Generieren Sie Ihren NIS2-Compliance-PDF — kostenlos über die öffentliche API. Das PDF dokumentiert, welche Maßnahmen erfüllt sind und wo Lücken bestehen.
Schritt 3: Kritische Lücken schließen (Woche 1-4)
Beheben Sie zuerst, was Ihre Note auf D oder F drückt: abgelaufene TLS-Zertifikate, fehlende Security Headers, offene Admin-Pfade. Jeder behobene Punkt verbessert Ihren NIS2-Compliance-Prozentsatz messbar.
Schritt 4: Kontinuierliches Monitoring einrichten (ab Woche 2)
Einmalige Scans reichen nicht als §38-Nachweis. Richten Sie wöchentliche automatische Scans ein — oder integrieren Sie SaaSFort direkt in Ihre CI/CD-Pipeline. Jeder Deploy löst einen Scan aus. Das generiert den lückenlosen Nachweis, den §38 verlangt.
SaaSFort ist ab €9/Monat verfügbar — oder 14 Tage kostenlos mit vollem Growth-Funktionsumfang testen (50 Scans/Monat, Multi-Domain, NIS2-Export, keine Kreditkarte erforderlich). Ein Beratergutachten zur NIS2-Compliance kostet €200-500/Stunde. Der vollständige Leitfaden steht im SaaS Security Playbook 2026 — kostenloser Download.
FAQ
Bin ich als SaaS-CEO von §38 BSIG betroffen?
Wenn Ihr Unternehmen als „wichtige Einrichtung” oder „besonders wichtige Einrichtung” nach NIS2 eingestuft ist — ja. Für SaaS-Unternehmen gelten die Schwellenwerte: ab 50 Mitarbeiter oder €10 Mio. Jahresumsatz im Sektor „Digitale Infrastruktur” oder „IKT-Dienste”. Auch wenn Sie selbst nicht reguliert sind: Ihre Kunden in der NIS2-Lieferkette werden Compliance-Nachweise von Ihnen verlangen.
Kann ich die Haftung an meinen CISO delegieren?
Nein. Operative Aufgaben dürfen delegiert werden, die Genehmigungs- und Überwachungspflicht nach §38 bleibt bei der Geschäftsleitung. Taylor Wessing bestätigt: die übergeordnete Verantwortung ist nicht übertragbar.
Was passiert, wenn ich die §30-Maßnahmen nicht genehmige?
Sie verstoßen gegen §38 BSIG. Das Unternehmen riskiert Bußgelder bis €10 Mio. Sie persönlich haften für Schäden, die durch die Unterlassung entstehen. Und Ihre D&O-Versicherung prüft, ob Sie wissentlich gehandelt haben.
Reicht ein jährlicher Penetrationstest als Nachweis?
Nein. §30 BSIG verlangt fortlaufende Risikoanalysen und Sicherheitsmaßnahmen — nicht punktuelle Tests. Continuous Security Monitoring mit automatisierten Scans zwischen den Pentests ist der Standard, den Auditoren 2026 erwarten.
Welche Schulungen muss ich als Geschäftsführer nachweisen?
§38 Abs. 1 verlangt „regelmäßige” Teilnahme an Schulungen zu Cybersicherheitsrisiken. Die genaue Frequenz ist nicht definiert — secjur.com empfiehlt mindestens jährlich, besser halbjährlich. Dokumentieren Sie jede Schulung mit Datum, Inhalt und Teilnahmebestätigung.
Wie unterscheidet sich die Haftung von der DSGVO?
Die DSGVO richtet sich primär an das Unternehmen. §38 BSIG richtet sich direkt an die Geschäftsleitung als natürliche Person. Der Verzicht auf Ersatzansprüche ist bei NIS2 gesetzlich ausgeschlossen — bei der DSGVO gibt es diese Regelung nicht.
Was tun, wenn das BSI bereits ein Prüfungsschreiben geschickt hat?
Die ersten 72 Stunden bestimmen den Verlauf. Nicht antworten, ohne Anwalt mandatiert zu haben. Nicht telefonieren, ohne Strategie. Der vollständige Ablauf — Stunde 0 bis 72, Schreiben-Typen, Verweigerungsgründe, erste schriftliche Antwort — steht im BSI-Prüfungsanordnung-Reaktionsplan.
Prüfen Sie jetzt Ihren NIS2-Status. Kostenloser Scan — 60 Prüfungen, A-F Note, unter 60 Sekunden. Neuer Account: 14 Tage Growth-Plan kostenlos (keine Kreditkarte). Dann NIS2-Compliance-PDF generieren als ersten Nachweis für §38.
Ready to put this into practice?
Two ways to start — pick what fits. Free Scan if you want to see your security grade in 60s with no commitment. Free 14-day Growth trial if you're ready to monitor multiple domains, export NIS2 reports, and download Deal Reports — no credit card required.
No credit card · Cancel anytime · GDPR-ready · EU-hosted