SaaSFort Seit dem 6. Dezember 2025 gilt das NIS2UmsuCG. Keine Übergangsfrist, kein Aufschub. §38 BSIG verpflichtet Geschäftsführer persönlich, Risikomanagementmaßnahmen zu genehmigen und deren Umsetzung zu überwachen. Wer das nicht tut, haftet mit dem Privatvermögen.
Das betrifft nicht nur Konzerne. Jeder SaaS-Anbieter, der als „wichtige Einrichtung” nach NIS2 klassifiziert ist — und das schließt viele B2B-Softwareunternehmen ab 50 Mitarbeitern oder 10 Mio. € Umsatz ein — fällt unter diese Regelung.
Was §38 BSIG konkret verlangt
§38 Abs. 1 BSIG verpflichtet die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen zu drei konkreten Pflichten:
- Genehmigung der Risikomanagementmaßnahmen nach §30 BSIG
- Überwachung der Umsetzung dieser Maßnahmen
- Regelmäßige Schulungsteilnahme zu Cybersicherheitsrisiken
Laut Greenberg Traurig: operative Aufgaben dürfen delegiert werden, die übergeordnete Verantwortung bleibt bei der Geschäftsführung. Sie können einen CISO einstellen — die Haftung bleibt bei Ihnen.
Entscheidend: Ein Verzicht auf Ersatzansprüche gegen die Geschäftsleitung ist gesetzlich ausgeschlossen. Kein Gesellschafterbeschluss und keine Satzungsklausel kann diese Haftung aufheben. Morrison Foerster bestätigt: die Verantwortung ist nicht vollständig delegierbar.
Bußgelder: Drei Stufen, die wehtun
Das NIS2UmsuCG staffelt Bußgelder nach Einrichtungstyp und Verstoß:
| Verstoßart | Besonders wichtige Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Fehlende Risikomanagementmaßnahmen (§30) | Bis €10 Mio. oder 2% Jahresumsatz | Bis €7 Mio. oder 1,4% Jahresumsatz |
| Fehlende BSI-Registrierung | Bis €500.000 | Bis €500.000 |
| Verstoß gegen Meldepflichten | Bis €500.000 | Bis €500.000 |
Für ein SaaS-Unternehmen mit €5 Mio. Jahresumsatz bedeutet die Höchststrafe bei fehlenden Sicherheitsmaßnahmen: €7 Mio. Die Registrierungsfrist beim BSI lief am 6. März 2026 ab — 18.500 Unternehmen haben sie verpasst.
Persönliche Haftung vs. Unternehmensstrafe
Die Bußgelder treffen das Unternehmen. Die persönliche Haftung nach §38 trifft Sie als Geschäftsführer darüber hinaus — für Schäden, die durch pflichtwidrige Unterlassung entstehen. Laut secjur.com kann die Geschäftsleitung für die entstandenen Schäden persönlich in Anspruch genommen werden, wenn sie die Überwachungspflicht verletzt.
Ein Praxisbeispiel: Ihr SaaS-Produkt wird gehackt, weil bekannte Sicherheitslücken nicht behoben wurden. Ihr Kunde — eine NIS2-regulierte Einrichtung — erleidet Schaden und macht Regressansprüche geltend. Als Geschäftsführer haften Sie persönlich, wenn Sie die Umsetzung der Sicherheitsmaßnahmen nicht nachweislich überwacht haben.
D&O-Versicherung: Kein Freifahrtschein
Viele Geschäftsführer verlassen sich auf ihre D&O-Versicherung (Directors & Officers). Das ist riskant:
- Cyber-Ausschlüsse: Einige D&O-Policen schließen Cybervorfälle oder regulatorische Bußgelder explizit aus. Laut Noerr müssen bestehende Policen dringend auf NIS2-Deckung geprüft werden.
- Wissentlichkeitsausschluss: Wenn Sie von Sicherheitsmängeln wussten und nichts unternommen haben, greift die D&O-Versicherung nicht.
- Regress des Unternehmens: Das Unternehmen kann Schadensersatz von Ihnen als Geschäftsführer verlangen — und ein Verzicht darauf ist nach §38 BSIG ausgeschlossen.
Prüfen Sie jetzt Ihre D&O-Police: Deckt sie NIS2-bezogene Ansprüche? Enthält sie Cyber-Ausschlüsse? Wenn ja, verhandeln Sie eine Erweiterung — bevor ein Vorfall eintritt.
Was „Überwachung” konkret bedeutet
§38 verlangt keine technische Expertise von der Geschäftsführung. Er verlangt ein nachweisbares Überwachungssystem. Im Klartext:
Dokumentierte Prozesse statt einmaliger Projekte. Das BSI prüft nicht, ob Sie einmal ein Sicherheitsaudit gemacht haben. Es prüft, ob ein kontinuierliches System existiert — mit regelmäßigen Berichten, definierten Verantwortlichkeiten und nachvollziehbaren Maßnahmen. Cortina Consult beschreibt dies als „laufendes System, das Nachweise automatisiert produziert.”
Was Auditoren sehen wollen:
- Regelmäßige Sicherheitsberichte an die Geschäftsleitung (mindestens quartalsweise)
- Risikobewertungen mit dokumentierten Maßnahmen und Fristen
- Schulungsnachweise der Geschäftsleitung selbst
- Externe Prüfberichte als unabhängige Validierung
Compliance-Nachweis in 4 Schritten aufbauen
Für SaaS-Geschäftsführer, die heute mit Null anfangen:
Schritt 1: Externen Sicherheitsstatus prüfen (Tag 1)
Scannen Sie Ihre Domain kostenlos — 60 Prüfungen in 21 Kategorien, A-F Note, unter 60 Sekunden. Das Ergebnis zeigt Ihren aktuellen Stand aus Sicht eines externen Auditors. Kein Account nötig.
Schritt 2: NIS2-Compliance-Report generieren (Tag 1)
SaaSFort bildet alle Scan-Ergebnisse auf die 10 Maßnahmen des Artikel 21(2) NIS2 ab. Generieren Sie Ihren NIS2-Compliance-PDF — kostenlos über die öffentliche API. Das PDF dokumentiert, welche Maßnahmen erfüllt sind und wo Lücken bestehen.
Schritt 3: Kritische Lücken schließen (Woche 1-4)
Beheben Sie zuerst, was Ihre Note auf D oder F drückt: abgelaufene TLS-Zertifikate, fehlende Security Headers, offene Admin-Pfade. Jeder behobene Punkt verbessert Ihren NIS2-Compliance-Prozentsatz messbar.
Schritt 4: Kontinuierliches Monitoring einrichten (ab Woche 2)
Einmalige Scans reichen nicht als §38-Nachweis. Richten Sie wöchentliche automatische Scans ein — oder integrieren Sie SaaSFort direkt in Ihre CI/CD-Pipeline. Jeder Deploy löst einen Scan aus. Das generiert den lückenlosen Nachweis, den §38 verlangt.
SaaSFort Starter kostet €9/Monat. Ein Beratergutachten zur NIS2-Compliance kostet €200-500/Stunde. Der vollständige Leitfaden steht im SaaS Security Playbook 2026 — kostenloser Download.
FAQ
Bin ich als SaaS-CEO von §38 BSIG betroffen?
Wenn Ihr Unternehmen als „wichtige Einrichtung” oder „besonders wichtige Einrichtung” nach NIS2 eingestuft ist — ja. Für SaaS-Unternehmen gelten die Schwellenwerte: ab 50 Mitarbeiter oder €10 Mio. Jahresumsatz im Sektor „Digitale Infrastruktur” oder „IKT-Dienste”. Auch wenn Sie selbst nicht reguliert sind: Ihre Kunden in der NIS2-Lieferkette werden Compliance-Nachweise von Ihnen verlangen.
Kann ich die Haftung an meinen CISO delegieren?
Nein. Operative Aufgaben dürfen delegiert werden, die Genehmigungs- und Überwachungspflicht nach §38 bleibt bei der Geschäftsleitung. Taylor Wessing bestätigt: die übergeordnete Verantwortung ist nicht übertragbar.
Was passiert, wenn ich die §30-Maßnahmen nicht genehmige?
Sie verstoßen gegen §38 BSIG. Das Unternehmen riskiert Bußgelder bis €10 Mio. Sie persönlich haften für Schäden, die durch die Unterlassung entstehen. Und Ihre D&O-Versicherung prüft, ob Sie wissentlich gehandelt haben.
Reicht ein jährlicher Penetrationstest als Nachweis?
Nein. §30 BSIG verlangt fortlaufende Risikoanalysen und Sicherheitsmaßnahmen — nicht punktuelle Tests. Continuous Security Monitoring mit automatisierten Scans zwischen den Pentests ist der Standard, den Auditoren 2026 erwarten.
Welche Schulungen muss ich als Geschäftsführer nachweisen?
§38 Abs. 1 verlangt „regelmäßige” Teilnahme an Schulungen zu Cybersicherheitsrisiken. Die genaue Frequenz ist nicht definiert — secjur.com empfiehlt mindestens jährlich, besser halbjährlich. Dokumentieren Sie jede Schulung mit Datum, Inhalt und Teilnahmebestätigung.
Wie unterscheidet sich die Haftung von der DSGVO?
Die DSGVO richtet sich primär an das Unternehmen. §38 BSIG richtet sich direkt an die Geschäftsleitung als natürliche Person. Der Verzicht auf Ersatzansprüche ist bei NIS2 gesetzlich ausgeschlossen — bei der DSGVO gibt es diese Regelung nicht.
Prüfen Sie jetzt Ihren NIS2-Status. Kostenloser Scan — 60 Prüfungen, A-F Note, unter 60 Sekunden. Dann NIS2-Compliance-PDF generieren als ersten Nachweis für §38.
Dalla lettura all'azione
Scansionate il vostro dominio gratuitamente. Primi risultati in meno di 10 secondi — senza registrazione.