Deep Dive 26: Board-Haftung im regulatorischen Kontext

Zentrale These

Moderne Verwaltungsräte navigieren zugleich unter drei regulatorischen Haftungsregimen (DORA, NIS2, AI Act), die unterschiedliche Haftungslogiken, Trainingsanforderungen und Dokumentationspflichten vorsehen. Die fehlende Harmonisierung schafft Governance-Lücken, die bei Audits und Enforcement-Maßnahmen offenbart werden.

Regulierung	DORA, NIS2, AI Act
Thema	Board-Haftung unter drei parallelen Haftungsregimen
Kernfrage	Wie navigieren Boards die unterschiedlichen Haftungslogiken von DORA, NIS2 und AI Act?
Relevanz	Verwaltungsräte, Finanzinstitute, kritische Infrastrukturen
Referenz	DORA Art. 5, NIS2 Art. 20, AI Act Art. 26

1. DORA Artikel 5: Board-Verantwortung im Finanzsektor

DORA (Digital Operational Resilience Act) Art. 5 begründet eine strikte Managementverantwortung für das Board: Genehmigung, Überwachung und Verantwortung für das ICT-Risiko-Management-Framework.

DORA Art. 5 Haftungslogik

Wer: Geschäftsleitung und Board (finanzielle Unternehmen). Wofuer: Genehmigung des Frameworks, Oversight, Accountability. Sanktion: Betriebliche, öffentliche und persönliche Haftung (abhängig von MS).

Das Besondere: DORA verlangt aktive Genehmigung und nicht nur passive Kontrolle. Ein Board, das ein Framework akzeptiert aber nicht verstanden hat, erfüllt die Anforderung nicht.

2. NIS2 Artikel 20: Management-Haftung im kritischen Infrastruktur-Kontext

NIS2 (Network and Information Systems Directive 2) Art. 20 erweitert die Haftung auf alle wesentlichen und wichtigen Entitäten (nicht nur Finanzsektor): Genehmigung von Cybersicherheits-Risikomaßnahmen, Überwachung der Umsetzung, persönliche Haftung. Besonderheit: Trainingsanforderung (Art. 20(2)) – das Board muss auf Cyber-Risiken trainiert sein.

"Verwaltungsräte müssen nach NIS2 nicht nur das Cybersicherheits-Framework genehmigen, sondern aktiv Wissen über die zugeordneten Risiken nachweisen."

NIS2-Haftung ist nicht sektorbeschränkt, sondern abhängig von Kritikalität. Das schafft ein ganz anderes Governance-Problem als DORA.

3. AI Act Artikel 26: Organisationale Verantwortung für High-Risk-Systeme

Der AI Act Art. 26 verlagert die Verantwortung stärker auf die organisatorische Ebene. Deployer von High-Risk-AI-Systemen müssen sicherstellen, dass Human Oversight, Monitoring und Incident Reporting implementiert sind. Die Haftungslogik ist weniger direkt persönlich, stärker organisational und risikoklassifizierungsabhängig.

Risikoklassifizierung im AI Act

Nicht jede KI ist High-Risk. Ein Kreditvergabesystem: High-Risk. Ein Chatbot zur Kundenunterstützung: Low-Risk. Die Board-Haftung hängt stark davon ab, welche AI-Systeme tatsächlich eingesetzt sind.

4. Vergleichende Analyse: Drei Haftungslogiken

Dimension	DORA	NIS2	AI Act
Wer ist haftbar	Board+Management (Finanzsektor)	Board+Management (alle kritischen Entitäten)	Deployer/Org (gesamte Wirtschaft)
Wofür	ICT Framework, Risiko-Governance	Cybersecurity-Maßnahmen, Training	Human Oversight, Monitoring, Compliance
Art der Haftung	Persönlich + organisational	Persönlich + organisational	Organisational (mit Delegierungsoption)
Sanktion	Geldbuße, Sperre, persönliche Haftung	Geldbuße, persönliche Haftung (national)	Geldbuße 6–7% Umsatz (gestaffelt)
Training-Anforderung	Nicht explizit, aber implied	Explizit (Art. 20(2))	Nur für Human-Oversight-Personal
Dokumentation	Framework-Dokumentation, Risiko-Register	Risk-Assessment, Umsetzungsnachweis	Risk-Assessment, Audit-Trail, Incident-Reports

5. Die Governance-Lücke: Fehlende Harmonisierung

Viele Verwaltungsräte verstehen nicht, dass sie nicht unter einer, sondern unter mehreren parallelen Haftungsregimen operieren. Ein Finanzunternehmen mit kritischen Infrastrukturfunktionen und KI-Einsatz steht unter DORA und NIS2 und AI Act.

Praxis-Problem

Ein Board genehmigt ein ICT-Framework (DORA). Das gleiche Framework wird aber nicht unter NIS2-Training diskutiert. Eine KI-basierte Datenanalyse wird deployed ohne zu wissen, ob sie unter AI Act Art. 26 fällt. Ergebnis: drei separate Compliance-Fehler, eine Haftungsexplosion.

6. Schweizer Dimension: OR Art. 716a und die Regulatory-Gap

Die Schweiz hat keinen direkten NIS2- oder AI-Act-Äquivalent, aber:

OR Art. 716a verlangt Sorgfalt und Verantwortung vom VR bei Risikomanagement
FINMA-Zirkuläre (u.a. zu Cybersecurity) schreiben vor, dass die Bank einen VR-genehmigten Cybersecurity-Governance hat
Marktdruck und Kontraktualität: Großbanken und Regulatoren verlangen, dass Schweizer Unternehmen DORA/NIS2-konform agieren, auch ohne direktes Schweizer Gesetz
AI Act Exposure: Auch in der Schweiz: wenn Systeme in der EU oder mit EU-Effekt deployed sind, gilt der AI Act

7. Fallstudie: Deutsche-Schweizer Finanzdienstleister

Fallstudie: Der Überraschte VR

Ein deutsch-schweizer Finanzdienstleister (rund 500 Mitarbeiter, grenzüberschreitend tätig) wird von der deutschen Aufsicht einer Routineauditorischen Überprüfung unterzogen.

Befund 1 (DORA): Das "ICT Risk Management Framework" war schriftlich dokumentiert, aber niemals vom VR formal genehmigt. Die IT-Abteilung hatte es entworfen; das Management bestätigte informell. Das ist nicht DORA-konform. Sanktion: Verwaltungsmaßnahme, Nachbesserung.

Befund 2 (NIS2): Das Unternehmen war als "wichtige Entität" klassifiziert, aber das Board hatte kein strukturiertes Training zu Cybersecurity-Risiken absolviert. Art. 20(2) NIS2 wird verletzt. Frage der Nationalität: der deutsche Staat eröffnet Verfahren.

Befund 3 (AI Act): Das Unternehmen nutzt ein KI-basiertes Bonitäts-Scoring-System (High-Risk nach Art. 26). Die Implementierung hat keinen formalen "Human-Oversight-Prozess" (etwa: Mensch überprüft AI-Entscheidungen bei Grenzfällen). Nicht konforme Dokumentation.

Ergebnis: Drei parallele Verstöße aus einer fehlenden Board-Governance. Nicht drei separate technische Fehler, sondern ein systematisches Governanceproblem: Der VR wusste nicht, dass er unter drei Regimen operierte.

8. Praktische Empfehlungen: Ein Governance-Rahmen

8.1 Vereinigte Governance-Architektur

Statt drei separate Compliance-Regimes zu pflegen, sollte der VR eine integrierte Governance-Architektur etablieren, die alle drei Regime unter einem Dach abdeckt:

Single Risk-Framework: Ein Board-Approved "Digital Risk Governance Framework", das DORA, NIS2 und AI Act Anforderungen vereint
Quartalsweise Board-Session zu den drei Dimensionen: ICT Risk, Cybersecurity, AI Compliance
Dedizierter "Audit&Risk"-Ausschuss oder eine spezielle Task-Force

8.2 Training und Board-Kompetenz

NIS2 Art. 20(2) expliziert es: Das Board muss trainiert sein. Dasselbe sollte für DORA und AI Act gelten. Empfehlung:

Initiales Board-Training: 1–2 Tage zu Digital Risk, Cybersecurity, AI Governance
Halbjährliche Updates zu Regulatory Changes
Dokumentation der Schulung (Trainer, Inhalte, Teilnehmer)

8.3 Dokumentations-Architektur

Drei Regimes = drei potenzielle Audits. Die Dokumentation muss wechselseitig sein:

Board-Resolutionen (genehmigt, datiert, unterzeichnet)
Risk Register (ICT + Cyber + AI)
Implementierungs-Nachweise (z.B. Human-Oversight-Prozess für KI)
Training-Protokolle (Namen, Daten, Inhalte)
Audit-Trail (wer hat was genehmigt, wann)

Praxis-Tipp

Eine zentrale "Compliance Matrix" (Spreadsheet oder Tool) mit den Spalten: DORA-Anforderung, NIS2-Anforderung, AI-Act-Anforderung, Erfüllt?, Owner, Evidence, Nächste Review. Aktualisiert monatlich. Das erspart bei Audits unglaublich viel Zeit.

Vier zentrale Learnings

Mehrschichtiges Haftungsrisiko: Moderne Verwaltungsräte operieren gleichzeitig unter drei oder mehr Haftungsregimen. DORA, NIS2 und AI Act sind keine Alternativen – sie sind kumulative Pflichten. Das Versäumnis eines einzigen Regimes kann Enforcement-Maßnahmen auslösen.

Unterschiedliche Haftungslogiken verlangen unterschiedliche Governancemuster: DORA: Framework-Genehmigung. NIS2: Training + Genehmigung. AI Act: Risiko-Klassifizierung + Oversight. Ein generisches Governance-Modell reicht nicht.

Dokumentation ist der Kernbeweis: Bei Enforcement setzen Regulatoren äußerst auf Dokumentation. Board Resolutionen, Training-Nachweise, Risk Assessments, Audit Trails müssen wasserdicht sein.

Swiss Exposure trotz fehlender Gesetze: Schweizer Unternehmen, die in der EU aktiv oder von dort reguliert sind, sind de facto DORA/NIS2/AI-Act-pflichtig. OR 716a ist ein Unterbau, aber nicht ausreichend.

Weiter vertiefen

Leitfaden

Leitfaden DORA

Board-Verantwortung und ICT-Governance im Finanzsektor.

Lesen →

Leitfaden

Leitfaden NIS2

Management-Haftung und Cybersecurity-Governance in kritischen Infrastrukturen.

Lesen →

Deep Dive

Deep Dive 3: ICT Risk Management

Warum Architektur entscheidender ist als Risikotabellen.

Lesen →

← Deep Dive 25 Alle Deep Dives Deep Dive 27 →