MGMSYS ist ein modulares Compliance-Cockpit mit mehr als 70 Fachmodulen fuer DSGVO, ISO 27001, NIS2, TISAX, EU AI Act, CRA, CSRD, BFSG, EntgT, GPSR, ISO 9001, ISO 14001, ISO 50001, DORA, LkSG und weitere Regelwerke. Es ist eine mandantenfaehige SaaS-Plattform mit Hosting in Deutschland.

Kann ich MGMSYS kostenlos testen?

Ja, MGMSYS bietet einen kostenlosen Testzugang mit allen Modulen. Es wird lediglich eine Unternehmens-E-Mail-Adresse benoetigt – keine Kreditkarte, keine Verpflichtung.

Wo werden die Daten gespeichert?

Alle Daten werden ausschliesslich in Deutschland verarbeitet und gespeichert, in einem ISO 27001-zertifizierten Rechenzentrum. Es bestehen keine Abhaengigkeiten von US-Cloud-Anbietern.

Welche Zertifizierungen und Standards werden unterstuetzt?

MGMSYS unterstuetzt unter anderem DSGVO, ISO 27001, ISO 9001, ISO 14001, ISO 50001, NIS2, TISAX, DIN 27076, EU AI Act (KIMS), GPSR und das Hinweisgeberschutzgesetz (HinSchG).

Ist MGMSYS mandantenfaehig?

Ja, MGMSYS ist vollstaendig mandantenfaehig mit strikter PostgreSQL Schema-Isolation. Jeder Mandant arbeitet in einer vollstaendig getrennten Umgebung mit eigenem Branding, eigenen Benutzern und eigener Konfiguration.

Bietet MGMSYS eine API an?

Ja, MGMSYS verfuegt ueber eine vollstaendige externe REST-API mit API-Schluesseln, Scopes (read/readwrite), modulbasierter Zugriffsbeschraenkung, Rate-Limiting und OpenAPI/Swagger-Dokumentation.

Welche Pflichten treffen die Geschäftsleitung bei NIS2 persönlich?

Leitungsorgane müssen die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und an Schulungen teilnehmen. Diese Pflichten sind in Art. 20 NIS2 und in § 38 BSIG verankert und nicht vollständig delegierbar.

Haftet die Geschäftsleitung wirklich persönlich?

Ja. § 38 BSIG sieht eine Verantwortlichkeit der Geschäftsleitung für die Billigung und Überwachung der Maßnahmen vor. Pflichtverletzungen können zur Innenhaftung gegenüber der eigenen Einrichtung führen. Ein Verzicht auf Ersatzansprüche ist nur eng begrenzt möglich.

Kann ich die Verantwortung an die IT oder einen CISO delegieren?

Die operative Umsetzung darf delegiert werden, die Letztverantwortung für Billigung und Überwachung bleibt jedoch bei der Geschäftsleitung. Sie braucht dafür eine dokumentierte Berichtslinie, um ihrer Überwachungspflicht nachzukommen.

Ist die Schulung der Geschäftsleitung verpflichtend?

Ja. NIS2 verpflichtet Leitungsorgane ausdrücklich, an Schulungen teilzunehmen, um Cyberrisiken bewerten zu können. MGMSYS bildet ein Leitungs-Curriculum ab und führt den Teilnahmenachweis revisionssicher.

Wie weist die Geschäftsleitung ordnungsgemäßes Handeln nach?

Durch dokumentierte Billigungsentscheidungen, eine regelmäßige Berichtslinie über den Maßnahmenstatus und nachgewiesene Schulungsteilnahmen. MGMSYS hält diese Governance-Nachweise zentral und exportierbar vor – die Entlastungsgrundlage im Haftungsfall.

EU-Richtlinie 2022/2555 · § 38 BSIG

NIS2 & Geschäftsleitung – Pflichten und Haftung

NIS2 hebt die Cybersicherheit auf die Vorstands- und Geschäftsführungsebene. Leitungsorgane müssen die Risikomanagementmaßnahmen ausdrücklich billigen, ihre Umsetzung überwachen und sich selbst schulen lassen. Wer diese Pflichten verletzt, haftet persönlich – eine Delegation an die IT entlastet nicht.

Testzugang starten

Unverbindlich testen – keine Verpflichtung, keine automatische Vertragsbindung.

Drei Kernpflichten

Was Leitungsorgane jetzt tun müssen

NIS2 (Art. 20) und das deutsche Umsetzungsrecht adressieren die Geschäftsleitung unmittelbar. Aus der Richtlinie ergeben sich drei nicht delegierbare Pflichten.

Billigung

Maßnahmen genehmigen

Die Leitungsorgane müssen die ergriffenen Risikomanagementmaßnahmen ausdrücklich billigen. Das setzt voraus, dass sie deren Inhalt kennen und nachvollziehbar entschieden haben – ein bloßes Abnicken genügt nicht.

Überwachung

Umsetzung kontrollieren

Die Geschäftsleitung muss die Umsetzung der Maßnahmen fortlaufend überwachen. Sie braucht dafür eine regelmäßige, belastbare Berichtslinie über Status, Wirksamkeit und offene Risiken.

Schulung

Selbst Wissen aufbauen

Leitungsorgane sind verpflichtet, an Schulungen teilzunehmen, um Risiken und Cybersicherheitspraktiken bewerten zu können. Die Teilnahme ist nachzuweisen.

§ 38 BSIG

Persönliche Haftung der Geschäftsleitung

Das deutsche Umsetzungsrecht verankert die Verantwortung der Geschäftsleitung in § 38 BSIG. Anders als bei vielen anderen Compliance-Themen lässt sich die Haftung hier nicht durch organisatorische Delegation auflösen.

Innenhaftung gegenüber dem Unternehmen

Verletzen Geschäftsleiter ihre Pflicht zur Billigung und Überwachung der Risikomanagementmaßnahmen, haften sie der Einrichtung für den daraus entstehenden Schaden – nach den allgemeinen gesellschaftsrechtlichen Sorgfaltsmaßstäben. Ein Verzicht oder Vergleich über Ersatzansprüche ist nur eng begrenzt möglich.

Keine Entlastung durch Delegation

Die operative Umsetzung darf an IT, CISO oder Dienstleister übertragen werden – die Letztverantwortung für Billigung und Überwachung bleibt jedoch beim Leitungsorgan. Wer überwachen muss, braucht dokumentierte Berichte und Entscheidungen, um sich im Streitfall entlasten zu können.

Genau hier liegt der praktische Hebel: Eine nachvollziehbare Dokumentation von Billigungsentscheidungen, Berichtslinien und Schulungsteilnahmen ist die beste Verteidigung der Geschäftsleitung. Wie die übrigen NIS2-Pflichten zusammenspielen, zeigt die NIS2-Hauptseite.

Pflichtschulung

Schulung der Geschäftsleitung – nachweisbar

Die Schulungspflicht ist keine Empfehlung, sondern Gesetz. MGMSYS bildet ein eigenes Leitungs-Curriculum ab und führt den Teilnahmenachweis, der bei einer Aufsichtsprüfung verlangt werden kann.

1
Risikoverständnis aufbauen
Die Schulung vermittelt Leitungsorganen, Cyberrisiken einzuordnen und Cybersicherheitspraktiken sowie deren Auswirkungen auf das Unternehmen zu bewerten – Grundlage jeder belastbaren Billigungsentscheidung.
2
Regelmäßig wiederholen
Cyberrisiken und Stand der Technik verändern sich. MGMSYS hinterlegt Wiederholungsintervalle und erinnert die Geschäftsleitung automatisch, bevor ein Nachweis ausläuft.
3
Teilnahme dokumentieren
Jede Teilnahme wird mit Datum und Inhalt revisionssicher festgehalten. Der Teilnahmenachweis ist jederzeit exportierbar und gehört zur Governance-Dokumentation.

Governance

Belastbare Berichtslinie für die Leitung

Damit die Geschäftsleitung billigen und überwachen kann, braucht sie eine Berichtslinie, die nicht auf Zuruf funktioniert. MGMSYS liefert den Leitungsorganen den Überblick, der ihre Verantwortung trägt.

Management-Cockpit

Status der Art.-21-Maßnahmen, offene Risiken und überfällige Aufgaben auf einen Blick – die Grundlage für eine dokumentierte Billigungsentscheidung und für die regelmäßige Managementbewertung.

Audit-Trail der Entscheidungen

Wer hat wann was gebilligt und überwacht? Entscheidungen, Berichte und Schulungsnachweise sind nachvollziehbar dokumentiert – die zentrale Entlastungsgrundlage im Haftungsfall.

Häufige Fragen

Welche Pflichten treffen die Geschäftsleitung bei NIS2 persönlich?: Leitungsorgane müssen die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und an Schulungen teilnehmen. Diese Pflichten sind in Art. 20 NIS2 und in § 38 BSIG verankert und nicht vollständig delegierbar.
Haftet die Geschäftsleitung wirklich persönlich?: Ja. § 38 BSIG sieht eine Verantwortlichkeit der Geschäftsleitung für die Billigung und Überwachung der Maßnahmen vor. Pflichtverletzungen können zur Innenhaftung gegenüber der eigenen Einrichtung führen. Ein Verzicht auf Ersatzansprüche ist nur eng begrenzt möglich.
Kann ich die Verantwortung an die IT oder einen CISO delegieren?: Die operative Umsetzung darf delegiert werden, die Letztverantwortung für Billigung und Überwachung bleibt jedoch bei der Geschäftsleitung. Sie braucht dafür eine dokumentierte Berichtslinie, um ihrer Überwachungspflicht nachzukommen.
Ist die Schulung der Geschäftsleitung verpflichtend?: Ja. NIS2 verpflichtet Leitungsorgane ausdrücklich, an Schulungen teilzunehmen, um Cyberrisiken bewerten zu können. MGMSYS bildet ein Leitungs-Curriculum ab und führt den Teilnahmenachweis revisionssicher.
Wie weist die Geschäftsleitung ordnungsgemäßes Handeln nach?: Durch dokumentierte Billigungsentscheidungen, eine regelmäßige Berichtslinie über den Maßnahmenstatus und nachgewiesene Schulungsteilnahmen. MGMSYS hält diese Governance-Nachweise zentral und exportierbar vor – die Entlastungsgrundlage im Haftungsfall.

NIS2 ist Chefsache – mit persönlicher Haftung

MGMSYS gibt der Geschäftsleitung die Berichtslinie, die Billigungsdokumentation und die Schulungsnachweise, die § 38 BSIG verlangt. Der Testzugang ist unverbindlich – keine automatische Vertragsbindung.

Jetzt kostenlosen Zugang anfordern