Die Richtlinie (EU) 2022/2555 (im Folgenden NIS-2-Richtlinie) etabliert einen neuen unionsrechtlichen Standard für die Cybersicherheit und nimmt erstmals explizit die obersten Unternehmensorgane – Vorstände, Geschäftsführungen und Aufsichtsräte – in die Pflicht. Der Beitrag analysiert die mit der NIS-2-Richtlinie einhergehenden Governance-Vorgaben und beleuchtet die haftungsrechtlichen Konsequenzen für Leitungsorgane bei Verstößen gegen die Risikomanagementpflichten. Aufbauend auf bestehenden gesellschaftsrechtlichen Sorgfaltsnormen (ua § 91 AktG, § 25 GmbHG) wird aufgezeigt, wie die Richtlinie die Rolle der Unternehmensführung bei der Sicherstellung von IT-Sicherheit fundamental neu definiert. Neben der Erörterung der normativen Grundlagen und der konkreten Anforderungen an Risikoanalyse, Schutzmaßnahmen und Meldepflichten stehen auch Fragen der Organhaftung, Schulungspflichten und Delegationsgrenzen im Fokus. Abschließend wird der Stand der nationalen Umsetzung in Österreich (NISG 2024) und Deutschland kritisch dargestellt. Dieser Beitrag bietet damit insbesondere Aufsichtsräten eine praxisorientierte Orientierung zur Einordnung und Umsetzung der Vorgaben der NIS-2-Richtlinie im Rahmen ihrer Überwachungsaufgabe. Cybersicherheit wird zur Leitungsaufgabe – mit rechtlich verbindlicher Wirkung.
