Seit dem NIS2-Umsetzungsgesetz (Dezember 2025) hat sich die Rolle des Geschäftsführers grundlegend verändert. IT ist nicht mehr Hilfsabteilung, sondern Chefsache mit persönlicher Haftung. Dieser Artikel zeigt, was sich konkret geändert hat, welche IT-Pflichten Sie als GF persönlich tragen, wie das vCIO-Konzept den klassischen IT-Leiter ersetzt — und wie eine pragmatische Cyber-Risikoanalyse in 5 Schritten aussieht. Mit Praxisbeispiel aus Hamburg.
Was sich für Geschäftsführer 2026 geändert hat
Bis 2024 konnten Geschäftsführer kleiner und mittlerer Unternehmen IT-Themen weitgehend an einen externen Dienstleister oder einen einzelnen Admin abgeben. Seit dem 6. Dezember 2025 ist das nicht mehr möglich. Das NIS2-Umsetzungsgesetz hat die Spielregeln verändert — und mit ihnen die persönliche Verantwortung der Unternehmensleitung.
Drei Punkte sind neu:
- Persönliche Haftung: §38 BSIG verpflichtet Geschäftsführer, IT-Sicherheitsmaßnahmen selbst freizugeben und ihre Umsetzung zu überwachen. Wer das nicht tut, haftet mit dem Privatvermögen. Die Bußgelder reichen bis 10 Mio. Euro oder 2 % des weltweiten Konzernumsatzes — je nachdem, was höher ist.
- Schulungspflicht: Geschäftsführer müssen regelmäßig an Cybersecurity-Trainings teilnehmen. Nicht der IT-Admin, nicht der Datenschutzbeauftragte. Sie selbst.
- Lieferketten-Wirkung: Auch wenn Ihr Unternehmen nicht direkt unter NIS2 fällt — Ihre größeren Kunden tun es. Sie werden Sicherheitsnachweise von Ihnen verlangen, weil sie sonst selbst nicht compliant sind. Das betrifft viele Hamburger Mittelständler ab 2026 sehr direkt.
Quellen: BSI-Lagebericht 2025, NIS2-Umsetzungsgesetz §38 BSIG, Bitkom-Wirtschaftsschutzstudie 2025.
Operative Führung vs. strategische IT-Verantwortung
Die klassische Trennung lautete: operative Führung (Tagesgeschäft) trennt sich von strategischer Führung (langfristige Ausrichtung). In der IT galt: Den Betrieb übernimmt der Admin oder Dienstleister, die Strategie macht der Geschäftsführer „bei Gelegenheit”.
Diese Trennung funktioniert 2026 nicht mehr. Die operative IT (Backups, Updates, Monitoring) kann ausgelagert werden. Die strategischen Entscheidungen müssen Sie als Geschäftsführer treffen — und dokumentieren. Was ist eine strategische IT-Entscheidung?
- Welche Daten sind unser kritischer Asset (Kundendaten, Konstruktionsdaten, Buchhaltung)?
- Welches Risiko akzeptieren wir — und welches nicht?
- Wieviel Budget investieren wir in IT-Sicherheit pro Jahr?
- Wer hat Zugriff auf was — und nach welchen Regeln?
- Was passiert, wenn morgen alles verschlüsselt ist?
Diese fünf Fragen müssen Sie beantworten können. Nicht der IT-Dienstleister. Sie sind der „accountable”, er ist der „responsible”. Die Unterscheidung ist juristisch entscheidend.
Wir starten jede Zusammenarbeit mit einer Cyber-Risikoanalyse gemeinsam mit der Geschäftsführung. Nicht um Angst zu machen, sondern um ehrlich zu sehen, wo Sie stehen — und was als Erstes passieren muss.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Die fünf neuen IT-Pflichten des Geschäftsführers (Tabelle)
Eine Übersicht der konkreten Pflichten, die Sie 2026 nicht mehr delegieren können — und was hinter jeder Pflicht steht:
| Pflicht | Was bedeutet das konkret? | Aufwand pro Jahr |
|---|---|---|
| Risikoanalyse freigeben | Die wichtigsten Cyber-Risiken bewerten und schriftlich genehmigen. Mindestens jährlich aktualisieren. | 4–6 Stunden |
| Sicherheitsmaßnahmen billigen | MFA, Backup-Strategie, Endpoint-Schutz, Zugriffsrechte: Sie unterschreiben, dass es Ihrem Risiko entspricht. | 2–3 Stunden |
| Cybersecurity-Schulung absolvieren | Mindestens 1× pro Jahr, dokumentiert. Inhalt: Phishing, Social Engineering, Notfallreaktion. | 2 Stunden |
| Notfallplan unterschreiben | Was passiert, wenn alles steht? Wer ruft wen? Wer entscheidet über Lösegeld? | 3–4 Stunden |
| Lieferanten prüfen | IT-Dienstleister, Cloud-Anbieter, Hosting: Sind sie selbst sicher? Verträge mit Sicherheitsklauseln. | 2–4 Stunden |
Summe: Etwa 13–19 Stunden pro Jahr. Das ist die untere Grenze für ein KMU mit überschaubarer IT. Bei direkter NIS2-Betroffenheit kommen Reporting-Pflichten und externe Audits hinzu — dann sind 30–40 Stunden realistisch.
Das vCIO-Konzept: Strategische IT-Leitung ohne Vollzeit-CIO
Ein klassischer Chief Information Officer (CIO) kostet im Großraum Hamburg zwischen 120.000 und 180.000 Euro Jahresgehalt — plus Sozialabgaben. Für ein Unternehmen mit 20–80 Mitarbeitern unbezahlbar. Genau für diese Lücke wurde das vCIO-Modell entwickelt: Virtual Chief Information Officer.
Ein vCIO übernimmt die strategische IT-Leitung — extern, flexibel, abrufbar. Konkret:
- IT-Strategie-Roadmap. Ein 3-Jahres-Plan: Welche Systeme bleiben, welche werden ersetzt? Welche Cloud-Migration steht an? Welche Sicherheitsinvestitionen?
- Budgetplanung. Lizenzkosten, Hardware-Erneuerung, externe Dienstleister, Schulung. Ein realistisches IT-Budget über 12 Monate — kein Bauchgefühl mehr.
- Quartalsweise Reviews mit der Geschäftsführung. Was hat sich verändert? Welche neuen Risiken? Welche Projekte priorisieren wir? Reporting auf Augenhöhe — kein Tech-Sprech.
- Lieferanten- und Vertragsmanagement. Microsoft-Lizenzen, Hardware-Verträge, Internet-Provider, Backup-Anbieter. Der vCIO kennt den Markt und verhandelt.
- Compliance-Tracking. NIS2, DSGVO, branchenspezifische Anforderungen (TI-Anbindung im Gesundheitswesen, GoBD bei Steuerkanzleien). Der vCIO sorgt dafür, dass nichts durchrutscht.
Bei hagel IT ist die vCIO-Funktion Teil unseres Managed-IT-Vertrags — kein Zusatzposten, sondern integraler Bestandteil. Wir nennen es im Alltag „Strategie-Termin”, aber inhaltlich ist es genau das: Strategische IT-Leitung für Mittelständler, die keinen eigenen IT-Direktor brauchen oder bezahlen können.
Ein Hamburger Architekturbüro mit 22 Mitarbeitern hatte keine eigene IT-Leitung. Server stand im Keller, Backup auf einer USB-Festplatte, kein Notfallplan. Der Geschäftsführer wusste, dass das nicht reicht — hatte aber weder Zeit noch Know-how. Nach 6 Monaten vCIO-Begleitung: BIM-Modelle in Microsoft 365, redundantes Cloud-Backup, MFA für alle Zugänge, Notfallplan auf 3 Seiten. Aufwand für den GF: ca. 12 Stunden im Jahr für Reviews und Freigaben. Investition: deutlich unter dem, was ein eigener IT-Leiter gekostet hätte.
Cyber-Risikoanalyse in 5 Schritten
Was ist der erste konkrete Schritt, mit dem Sie als Geschäftsführer Ihre IT-Verantwortung wahrnehmen? Eine strukturierte Cyber-Risikoanalyse. Bei hagel IT machen wir das so:
- Asset-Inventur (Tag 1, 60 Minuten). Was haben wir? Server, Cloud-Dienste, Endgeräte, Daten. Wir listen alles auf und priorisieren: Was ist geschäftskritisch? Welche Daten dürfen niemals verloren gehen?
- Risiko-Matrix (Tag 1, 90 Minuten). Pro Asset: Eintrittswahrscheinlichkeit × Schadenshöhe = Risiko-Score. Schwerpunkt auf den Top-5-Risiken. Hier kommt Ihre Geschäftserfahrung rein — Sie wissen am besten, was ein Tag Stillstand kostet.
- Maßnahmen-Workshop (Tag 2, 2 Stunden). Pro Top-Risiko: Welche Maßnahme reduziert es? Wie viel Aufwand? Wer macht es? Was ist „Quick Win" (MFA aktivieren, Backup testen) und was ist Projekt (Server in Cloud, neue Firewall)?
- 12-Monats-Plan (Tag 2, 90 Minuten). Quartalsweise Meilensteine. Budget pro Maßnahme. Verantwortlichkeiten. Sie unterschreiben den Plan — wir setzen ihn um. Quartalsweise Review-Termine sind fest.
- Dokumentation für die Akte (Tag 3, intern). Was haben wir entschieden? Welche Risiken akzeptieren wir bewusst? Diese Dokumentation ist Ihr Schutz im Haftungsfall — und Pflicht nach NIS2 und DSGVO.
Das Ganze dauert real 2,5 Arbeitstage — verteilt über etwa 3 Wochen. Am Ende haben Sie keinen abstrakten Compliance-Bericht, sondern einen handlungsfähigen Plan, den Sie in der nächsten Geschäftsführer-Sitzung verteidigen können.
Ich habe neun IT-Häuser angeschrieben. Nur drei haben ein Angebot geschickt, das ich als Nicht-ITler verstanden habe. hagel IT war eins davon.
IT-Budget realistisch planen
Eine der häufigsten Fragen im Erstgespräch: „Wieviel sollte ich für IT ausgeben?” Die ehrliche Antwort: Es kommt drauf an. Aber es gibt Richtwerte.
| Branche / Profil | IT-Budget (% vom Umsatz) | Begründung |
|---|---|---|
| Klassisches Handwerk, Bau (10–30 MA) | 2–4 % | Geringe Digitalisierungstiefe, primär Office + Buchhaltung |
| Mittelständischer Handel, Logistik (20–80 MA) | 3–6 % | ERP-System, Cloud-Synchronisation, mobile Devices |
| Beratung, Architektur, Steuer/Recht (10–40 MA) | 5–8 % | Daten sind das Geschäft, hohe Datenschutz-Anforderungen |
| Gesundheitswesen (Praxen, Pflege) | 6–9 % | TI-Anbindung, Branchen-Software, hohe Compliance |
| IT-getriebene KMU, SaaS, Online-Handel | 8–12 % | Plattform-Skalierung, hohe Verfügbarkeit, Cybersecurity |
Wichtiger als der Prozentsatz: Die Aufteilung. Eine sinnvolle Faustregel für ein KMU mit 30 Mitarbeitern (~3 Mio. Euro Umsatz, 4 % IT-Budget = 120.000 Euro/Jahr):
- 40 % laufender Betrieb: Managed IT, Lizenzen, Hardware-Abschreibung. Das, was monatlich auf der Rechnung steht.
- 20 % Cybersecurity: EDR, Backup, Awareness-Training, MFA. Nicht weniger.
- 20 % Strategische Projekte: Migration in die Cloud, neue Software, Modernisierung.
- 15 % Hardware-Erneuerung: Laptops alle 4 Jahre, Server alle 5 Jahre, Netzwerk alle 7 Jahre.
- 5 % Reserve / Schulung: Unvorhergesehenes, Weiterbildung.
Mit unserem IT-Kosten-Kalkulator können Sie Ihre eigenen Werte einsetzen und sehen sofort, wo Sie liegen.
Was passiert ohne IT-Verantwortung von oben?
Wir sehen es regelmäßig in Erstgesprächen — drei typische Szenarien:
Mitarbeiter nutzen private Dropbox, WhatsApp Business, Cloud-Tools ohne IT-Freigabe. Der Geschäftsführer weiß nichts davon — bis ein Datenleck auffliegt. Beispiel aus Hamburg: 4.000 Kundendatensätze in einer ungesicherten Google-Tabelle. Folge: DSGVO-Meldung, Bußgeld, Reputationsschaden.
„Wir haben Backup, das macht der Admin." Bei genauer Prüfung: Letzter erfolgreicher Restore-Test vor 2 Jahren. Bänder defekt. Cloud-Backup nicht versioniert. Bei einem Ransomware-Angriff komplett wertlos. Wir testen Backups bei Neukunden in der ersten Woche — die Trefferquote „fehlerhaft oder unvollständig" liegt bei rund 60 %.
Ein einziger IT-Mitarbeiter (intern oder extern) kennt alle Passwörter, alle Zugänge, alle Verträge. Er kündigt, wird krank, geht in Insolvenz. Der Geschäftsführer hat keine Dokumentation, keine Zugriffe, keine Übersicht. Wir hatten 2025 drei Hamburger Kunden in genau dieser Lage — Wiederherstellung dauerte 4–8 Wochen.
Alle drei Szenarien haben eine gemeinsame Wurzel: IT war nicht Chefsache. Niemand hat die strategischen Fragen aus Abschnitt 2 systematisch beantwortet.
Wie hagel IT mit Geschäftsführern arbeitet
Unser Ansatz ist auf Geschäftsführer kleiner und mittlerer Unternehmen zugeschnitten — meist 5 bis 150 Mitarbeitende, mit Fokus Hamburg und Norddeutschland. Drei Prinzipien:
1. Erstgespräch in 15 Minuten. Sie buchen einen Termin direkt im Kalender — kein Vertriebs-Funnel, kein „erst mal Demo”. 15 Minuten, in denen wir verstehen, wo Sie stehen und was als Erstes Sinn macht. Wenn wir nicht passen, sagen wir das auch.
2. Festpreis statt Stundenabrechnung. Sie zahlen einen festen Betrag pro Monat — Managed IT, Cybersecurity, Updates, Monitoring, Strategie-Termine. Keine Überraschungen. Keine Stundenzettel. Wenn etwas kaputtgeht, ist das unser wirtschaftliches Problem, nicht Ihres.
3. Direkter Draht zur Geschäftsführung. Sie haben die Mobilnummern von Jens und Philip. In kritischen Fällen klingelt das Telefon, nicht ein Ticket-System. Reaktion vertraglich 4 Stunden, real meist deutlich schneller.
Konkret bedeutet das: Eine vollständige Managed-IT-Betreuung deckt Betrieb, Sicherheit und Strategie ab. Für Unternehmen mit eigenem IT-Mitarbeiter, der entlastet werden muss, gibt es Co-Managed IT. Für reine Compliance-Themen (NIS2, DSGVO) bieten wir NIS2 & IT-Compliance-Beratung als eigenständige Leistung.
Mehr zur Cyber-Seite finden Sie auf unserer Cybersecurity-Service-Seite — und wenn Sie unseren Hamburger Standort und Anfahrt wissen wollen, hier: IT-Systemhaus Hamburg.
Weiterführende Artikel
- Cybersecurity in Hamburg — warum Geschäftsführer handeln müssen
- Co-Managed IT Services Hamburg
- Automatisierung von Routineaufgaben — Effizienz für KMU
IT besser aufstellen? Sprechen Sie mit uns.
15 Minuten. Kostenlos. Ihre IT-Situation — ehrlich bewertet, mit konkreten nächsten Schritten.
Erstgespräch buchen →
