NIS2-Haftung der Geschäftsleitung

Die NIS2-Haftung der Geschäftsleitung ist persönlich,so steuern Sie Ihre Verantwortlichkeit, bevor die Durchsetzung greift

Aktualisiert am 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die Geschäftsleitungen dabei unterstützt, ihre persönlichen Haftungspflichten nach NIS2 mit auditfähigen Verantwortlichkeitsstrukturen zu erfüllen.

Nach der NIS2-Richtlinie können Geschäftsleitungen für Versäumnisse in der Cybersicherheits-Governance persönlich haftbar gemacht werden,einschliesslich Bussen von bis zu €10 Millionen oder 2 % des weltweiten Umsatzes. Den meisten Führungsteams fehlen bislang die Verantwortlichkeitsstrukturen, um ihre Sorgfaltspflicht nachzuweisen. Diese Seite erklärt, was gefordert ist und wie Sie diese Lücke schliessen.

Kostenloser 12-seitiger Leitfaden. Kein Verkaufsgespräch erforderlich. Behandelt die Pflichten nach Artikel 20 & 32, die Bussgeldstrukturen und eine Checkliste zur Verantwortlichkeit der Geschäftsleitung.

Genutzt von Datenschutz- und Compliance-Teams in ganz Europa

In der Schweiz gehostet DSGVO-konform Europäische Datenhaltung
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
NIS2-Verantwortlichkeitsrahmen

Was die NIS2-Haftung und Verantwortlichkeit der Geschäftsleitung tatsächlich verlangt

Sechs strukturelle Anforderungen, die jede Geschäftsleitung erfüllen muss, um ihre Sorgfaltspflicht nach der NIS2-Richtlinie nachzuweisen,unabhängig davon, welche Software Sie einsetzen.

1

Formelle Genehmigung und Dokumentation der Cybersicherheitsmassnahmen

Geschäftsleitungen müssen die nach Artikel 21 ergriffenen Massnahmen formell genehmigen. Das bedeutet dokumentierte Vorstandsbeschlüsse, unterzeichnete Richtlinien und versionierte Nachweise,nicht eine mündliche Absprache in einer Quartalssitzung. Ohne einen auditfähigen Nachweispfad haben Sie keine Verteidigung, wenn die Aufsichtsbehörden einen Beleg verlangen.

NIS2-Richtlinie, Artikel 20(1),Genehmigungspflichten der Geschäftsleitung

2

Laufende Aufsicht und Rezertifizierung über alle Einheiten hinweg

Die Genehmigung ist kein einmaliges Ereignis. Die Geschäftsleitung muss die Umsetzung fortlaufend überwachen,durch wiederkehrende Überprüfungszyklen, Statusberichte der operativen Teams und dokumentierte Rezertifizierung. Bei Unternehmensgruppen mit mehreren Einheiten muss dies in jeder Tochtergesellschaft nachweisbar sein,nicht nur am Hauptsitz.

Ein Flugzeughersteller erreichte mit Priverion in 6 Monaten eine zu 100 % automatisierte Rezertifizierung über alle Einheiten hinweg

3

Verpflichtende Cybersicherheitsschulungen für Geschäftsleitungen

Artikel 20(2) verlangt, dass Mitglieder der Geschäftsleitung Schulungen absolvieren, um Risiken zu erkennen und Cybersicherheitspraktiken zu beurteilen. Schulungen müssen dokumentiert, rollengerecht und regelmässig aufgefrischt werden. Eine einmalige Präsentation aus dem Jahr 2023 wird einer Aufsichtsbehörde, die 2025 Ihre Verantwortlichkeitslage prüft, nicht genügen.

NIS2-Richtlinie, Artikel 20(2),verpflichtende Cybersicherheitsschulungen für die Geschäftsleitung

4

Governance der Vorfallreaktion mit klaren Eskalationswegen

Artikel 23 schreibt eine Frühwarnung innerhalb von 24 Stunden und eine vollständige Meldung innerhalb von 72 Stunden nach erheblichen Vorfällen vor. Die Geschäftsleitung muss dokumentierte Eskalationswege, definierte Rollen und Belege über während eines Vorfalls getroffene Governance-Entscheidungen vorweisen können. Das persönliche Haftungsrisiko steigt drastisch, wenn die Vorfallreaktion ad hoc erfolgt.

NIS2-Richtlinie, Artikel 23,Meldefristen für Vorfälle und Pflichten der Geschäftsleitung

5

Aufsicht über Lieferketten- und Drittparteienrisiken

Artikel 21(2)(d) verlangt Sicherheitsmassnahmen für die Lieferkette. Geschäftsleitungen müssen nachweisen, dass sie das Risikomanagement von Drittparteien genehmigt und überwacht haben,nicht nur, dass der Einkauf einen Lieferantenfragebogen durchgeführt hat. Eine Sichtbarkeit der Lieferantenrisikolage über alle Einheiten hinweg auf Vorstandsebene ist heute eine regulatorische Erwartung, kein Nice-to-have.

Zurzach Care erreichte mit Priverion eine 100-prozentige Abdeckung der Lieferantenrisikobewertung

6

Konsistenz über Einheiten und Rechtsräume hinweg

Für Gruppen, die in mehreren EU-Mitgliedstaaten tätig sind, muss die Verantwortlichkeit der Geschäftsleitung in jedem Rechtsraum nachweisbar sein, in dem eine Einheit als wesentlich oder wichtig eingestuft ist. Fragmentierte, von Einheit zu Einheit unterschiedliche Ansätze schaffen Lücken, die Aufsichtsbehörden bei grenzüberschreitenden Prüfungen gezielt aufzuspüren geschult sind.

NIS2-Richtlinie, Artikel 20 und 21,grenzüberschreitende Pflichten der Geschäftsleitung

Diesen Verantwortlichkeitsrahmen manuell aufzubauen,über mehrere Einheiten, Rechtsräume und Rezertifizierungszyklen hinweg,ist der Punkt, an dem die meisten Organisationen ins Stocken geraten. Genau dieses Problem wurde Priverion entwickelt zu lösen.

200+

Eingesparte Stunden bei der Compliance-Vorbereitung

Medtec sparte über 200 Stunden bei der Vorbereitung auf die ISO-27001-Zertifizierung,Zeit, die zuvor für das manuelle Zusammentragen von Verarbeitungstätigkeiten über Abteilungen hinweg aufgewendet wurde.

60%

Weniger Zeitaufwand für Compliance-Administration

Basierend auf den ersten 6 Monaten eines Flugzeugherstellers,verglichen werden die Gesamtbetriebskosten einschliesslich Implementierung, Lizenzierung und laufender Reduktion des Administrationsaufwands.

3 Mt.

Der Zeitplan für ISO 27001 wurde übertroffen

Medtec beschleunigte die Auditbereitschaft für ISO 27001 um 3 Monate,dank Priverions automatisierten Nachweispaketen und integrierten Compliance-Workflows.

Mit Blick auf den Wettbewerb

Warum Teams im Mittelstand von OneTrust zu Priverion wechseln

OneTrust wurde für Fortune-500-Unternehmen mit eigenen Compliance-Teams entwickelt. Wenn Sie den Datenschutz über mehrere Tochtergesellschaften hinweg ohne eine 20-köpfige Abteilung betreiben, brauchen Sie eine Plattform, die zu Ihrer Realität passt,nicht zu deren Organigramm.

Das OneTrust-Erlebnis

In den USA gehostete Infrastruktur

Daten werden auf US-Boden verarbeitet, dem CLOUD Act und dem Überwachungszugriff nach FISA 702 unterworfen,was für europäische Organisationen ein laufendes Schrems-II-Risiko schafft.

Enterprise-Komplexität, Enterprise-Preis

Preise pro Modul und pro Nutzer, die unvorhersehbar in die Höhe schiessen. Funktionen, die hinter Zusatzpaketen verborgen sind. Teams im Mittelstand zahlen Enterprise-Tarife für Funktionen, die sie womöglich nie nutzen.

Monate bis zum Live-Betrieb

Komplexe Implementierungen, die dedizierte Beraterinnen und Berater erfordern. Steile Lernkurven, die in den Fachbereichen Widerstand gegen die Einführung hinterlassen.

Über 200 oberflächliche Integrationen

Marktplatz-Konnektoren, die Wartungsaufwand erzeugen. Integrationsbreite statt -tiefe bedeutet mehr Konfigurationsarbeit für Ihr Team.

Breiter Funktionsumfang, verwässerter Fokus

ESG, Ethik-Hotlines, Cookie-Einwilligung, Drittparteienrisiko,OneTrust versucht, alles abzudecken. Das Datenschutz-Programmmanagement wird zu einer Funktion unter Dutzenden, nicht zum Kernzweck.

Das Priverion-Erlebnis

In der Schweiz entwickelt, in der Schweiz gehostet

Sämtliche Daten werden innerhalb der Schweizer Infrastruktur verarbeitet,ausserhalb der Reichweite US-amerikanischer Überwachungsgesetze. Die europäische Datenhaltung ist unsere Identität, keine Preisstufe. Garantierte Sicherheit bei grenzüberschreitenden Übermittlungen in einer Welt nach Schrems II.

Vorhersehbare All-inclusive-Preise

Der Preis richtet sich nach der Anzahl der Gesellschaften und der Unternehmensgrösse,nicht pro Nutzer oder pro Modul. Keine Expansionsfallen. Ihr CFO kann die Compliance-Kosten ohne Überraschungen planen.

Einsatzbereit in Wochen, nicht in Monaten

Ein Flugzeughersteller erreichte innerhalb der ersten 6 Monate eine Reduktion des Compliance-Administrationsaufwands um 60 %. Die Fachbereiche nutzen die Plattform tatsächlich, weil die Benutzeroberfläche für Datenschutzpraktikerinnen und -praktiker entwickelt wurde, nicht für IT-Beraterinnen und -Berater.

Flugzeughersteller,gemessen über die ersten 6 Monate nach der Einführung

Tiefe Integrationen, die zählen

Wir integrieren tief mit HR-, Beschaffungs- und IT-Asset-Management-Systemen,den Workflows, die den Datenschutzbetrieb tatsächlich antreiben. Keine oberflächlichen Konnektoren, die mehr Wartung als Nutzen erzeugen.

Datenschutz ist unser gesamter Fokus

Verarbeitungsverzeichnis, DSFA, Lieferantenbewertungen, Vorfallmanagement, Bearbeitung von Betroffenenanfragen, Compliance mit dem AI Act,alles in einer Plattform, eigens für das gruppenweite Datenschutz-Programmmanagement entwickelt. Wir machen weder Cookie-Einwilligung noch Ethik-Hotlines, und das ist Absicht.

Kostenlose Ressource

NIS2-Briefing zur Haftung der Geschäftsleitung herunterladen

Ein 12-seitiger Leitfaden zu den Pflichten nach Artikel 20 & 32, den Bussgeldstrukturen und einer Schritt-für-Schritt-Checkliste zur Verantwortlichkeit der Geschäftsleitung. Geschrieben für Datenschutzbeauftragte, CISOs und Leiterinnen und Leiter Recht, die Compliance über mehrere Einheiten hinweg steuern.

Kein Spam. Kein Verkaufsgespräch. Wir senden Ihnen das PDF direkt in Ihren Posteingang.

Das ist enthalten:

  • Pflichten nach Artikel 20: Was Geschäftsleitungen genehmigen und beaufsichtigen müssen
  • Bussgeldstrukturen nach Artikel 32: Persönliches Haftungsrisiko für Führungskräfte
  • Checkliste zur Verantwortlichkeit der Geschäftsleitung: 14-Punkte-Rahmen, bereit für das Audit
  • Compliance über mehrere Einheiten: Wie Sie Konsistenz über Tochtergesellschaften hinweg nachweisen
  • Vorlage für Vorfall-Governance: Eskalationswege und Dokumentationsanforderungen
  • Schulungsanforderungen: Was nach Artikel 20(2) als ausreichend gilt

Schluss mit dem Datenschutz in Tabellen

Sehen Sie, wie gruppenweites Datenschutzmanagement aussieht, wenn es wirklich funktioniert

In 30 Minuten zeigen wir Ihnen, wie Organisationen wie ein Flugzeughersteller den Compliance-Administrationsaufwand um 60 % gesenkt haben,und wie Ihr Team vom Jagen nach Tabellen zu einem strategischen Datenschutzprogramm übergeht.

Wochen, nicht Monate

Durchschnittliche Zeit bis zum Live-Betrieb

Keine Preise pro Nutzer

Vorhersehbare Kosten, keine Expansionsfallen

100 % in der Schweiz gehostet

Europäische Datenhaltung garantiert

30-minütigen Rundgang buchen

Keine Verpflichtung. Kein Verkaufsgespräch. Nur ein Gespräch über Ihr Datenschutzprogramm.

The Privacy Compliance Briefing

Monatliche Einblicke zur DSGVO-Durchsetzung, zu Aktualisierungen des Schweizer revDSG und zu Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.

Kein Spam. Jederzeit abbestellbar.

Über diese Seite — Quellen, Definitionen und FAQ

Das Wichtigste auf einen Blick — NIS2-Haftung und Verantwortlichkeit der Geschäftsleitung

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) führt eine persönliche Haftung für Geschäftsleitungen ein, die es versäumen, Massnahmen zum Cybersicherheits-Risikomanagement zu genehmigen, zu beaufsichtigen und zu dokumentieren. Die Artikel 20 und 21 verlangen eine formelle Governance auf Vorstandsebene, verpflichtende Schulungen, die Aufsicht über die Lieferkette und Konsistenz über Einheiten hinweg. Die Bussen erreichen für wesentliche Einheiten 10 Millionen Euro oder 2 % des weltweiten Umsatzes. Organisationen brauchen auditfähige Nachweispfade — dokumentierte Beschlüsse, versionierte Richtlinien und wiederkehrende Rezertifizierung — um ihre Sorgfaltspflicht bei aufsichtsrechtlichen Prüfungen nachzuweisen.

Definitionen

Was ist NIS2?

NIS2 (Richtlinie (EU) 2022/2555) ist die aktualisierte Richtlinie der Europäischen Union zur Netz- und Informationssicherheit, die die ursprüngliche NIS-Richtlinie (2016/1148) ablöst. Sie erweitert den Geltungsbereich der erfassten Einheiten, verschärft die Pflichten zum Cybersicherheits-Risikomanagement und führt eine direkte persönliche Haftung für Geschäftsleitungen ein. Volltext — EUR-Lex

Was ist die Haftung der Geschäftsleitung nach NIS2?

Die Haftung der Geschäftsleitung nach NIS2 bezieht sich auf die persönliche Verantwortlichkeit natürlicher Personen in Führungspositionen für Versäumnisse in der Cybersicherheits-Governance. Artikel 20(1) besagt, dass Geschäftsleitungen Massnahmen zum Cybersicherheits-Risikomanagement genehmigen und deren Umsetzung beaufsichtigen müssen. Die Mitgliedstaaten können Sanktionen — einschliesslich vorübergehender Verbote der Ausübung von Führungsfunktionen — gegen Personen verhängen, die diese Pflichten verletzen. NIS2-Richtlinie, Artikel 20 — EUR-Lex

Was ist eine Geschäftsleitung nach NIS2?

Eine Geschäftsleitung ist in Artikel 32(6) definiert als die natürlichen Personen, die auf höchster Führungsebene für die Einheit verantwortlich sind, einschliesslich Vorständen, Geschäftsführenden und gleichwertigen Governance-Strukturen je nach nationalem Gesellschaftsrecht.

Was ist eine DSFA?

Eine Datenschutz-Folgenabschätzung (DSFA) ist eine strukturierte Risikobewertung, die nach Artikel 35 der DSGVO erforderlich ist, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen zur Folge hat. Die DSFA ist zwar ein Konzept der DSGVO, doch NIS2-erfasste Einheiten führen häufig parallele Cybersicherheits-Risikobewertungen durch, die sich mit den Anforderungen der DSFA überschneiden. DSGVO Artikel 35 — gdpr-info.eu

Häufig gestellte Fragen

Was ist die NIS2-Haftung der Geschäftsleitung?

Nach der NIS2-Richtlinie (Richtlinie (EU) 2022/2555) können Geschäftsleitungen wesentlicher und wichtiger Einheiten für Versäumnisse in der Cybersicherheits-Governance persönlich haftbar gemacht werden. Artikel 20 verlangt von der Geschäftsleitung, Massnahmen zum Cybersicherheits-Risikomanagement zu genehmigen und deren Umsetzung zu beaufsichtigen. Laut ENISA «hebt die NIS2-Richtlinie die Messlatte für die Verantwortlichkeit der Geschäftsleitung in der Cybersicherheit deutlich an». Die Bussen können 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes erreichen, je nachdem, welcher Betrag höher ist. NIS2-Richtlinie — EUR-Lex

Welche NIS2-Artikel definieren die Verantwortlichkeitspflichten des Managements?

Die Artikel 20 und 21 der NIS2-Richtlinie definieren die Pflichten der Geschäftsleitung. Artikel 20(1) verlangt die formelle Genehmigung von Cybersicherheitsmassnahmen. Artikel 20(2) schreibt Cybersicherheitsschulungen für Mitglieder der Geschäftsleitung vor. Artikel 21 legt die technischen und organisatorischen Massnahmen fest, die umgesetzt werden müssen, einschliesslich der Lieferkettensicherheit nach Artikel 21(2)(d). Artikel 23 ergänzt die Meldefristen für Vorfälle — Frühwarnung innerhalb von 24 Stunden und vollständige Meldung innerhalb von 72 Stunden. NIS2-Richtlinie, Artikel 20–23 — EUR-Lex

Welche Bussen drohen Führungskräften bei Verstössen gegen NIS2?

Für wesentliche Einheiten können die Verwaltungsbussen 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes erreichen, je nachdem, welcher Betrag höher ist (Artikel 34(4)). Für wichtige Einheiten können die Bussen 7 Millionen Euro oder 1,4 % des Umsatzes erreichen (Artikel 34(5)). Die Mitgliedstaaten können zudem eine persönliche Haftung natürlicher Personen in Führungspositionen verhängen, einschliesslich vorübergehender Verbote der Ausübung von Führungsfunktionen (Artikel 32(5)). NIS2-Richtlinie, Artikel 32 & 34 — EUR-Lex

Wie wirkt sich die NIS2-Vorfallmeldung auf die Haftung der Geschäftsleitung aus?

Artikel 23 der NIS2-Richtlinie verlangt eine Frühwarnung innerhalb von 24 Stunden und eine vollständige Vorfallmeldung innerhalb von 72 Stunden nach Kenntnisnahme eines erheblichen Vorfalls. Geschäftsleitungen müssen dokumentierte Eskalationswege und Aufzeichnungen über Governance-Entscheidungen vorhalten. Laut den NIS2-Leitlinien der ENISA erhöht die Nichteinhaltung dieser Fristen das persönliche Haftungsrisiko für Mitglieder der Geschäftsleitung. ENISA — Themenseite zur NIS-Richtlinie

Verlangt NIS2 Cybersicherheitsschulungen für Vorstandsmitglieder?

Ja. Artikel 20(2) der NIS2-Richtlinie verlangt ausdrücklich, dass Mitglieder der Geschäftsleitung Schulungen absolvieren, die ausreichen, um Risiken zu erkennen und Praktiken des Cybersicherheits-Risikomanagements zu beurteilen. Schulungen müssen dokumentiert, rollengerecht und regelmässig aufgefrischt werden. Eine einmalige Schulung erfüllt die fortlaufende Pflicht nicht — Aufsichtsbehörden erwarten Belege für regelmässige Auffrischungsprogramme.

Wie können Organisationen die Verantwortlichkeit der Geschäftsleitung nach NIS2 nachweisen?

Organisationen sollten Folgendes vorhalten: (1) dokumentierte Vorstandsbeschlüsse zur Genehmigung von Cybersicherheitsmassnahmen, (2) versionierte Richtlinien mit Nachweispfaden, (3) wiederkehrende Aufsichtszyklen mit Statusberichten, (4) Schulungsnachweise für alle Mitglieder der Geschäftsleitung, (5) Eskalationsverfahren für Vorfälle mit Entscheidungsprotokollen und (6) Lieferketten-Risikobewertungen mit Sichtbarkeit auf Vorstandsebene. Eine zentralisierte GRC-Plattform kann die Erfassung von Nachweisen und die Rezertifizierung über mehrere Einheiten und Rechtsräume hinweg automatisieren.

Wie wirkt NIS2 mit den DSGVO-Pflichten zusammen?

NIS2 und die DSGVO begründen sich überschneidende, aber unterschiedliche Pflichten. Die DSGVO konzentriert sich auf den Schutz personenbezogener Daten, während NIS2 die Netz- und Informationssicherheit umfassender adressiert. Artikel 35 von NIS2 regelt ausdrücklich das Verhältnis und verlangt eine Zusammenarbeit zwischen Aufsichtsbehörden und Datenschutzbehörden. Organisationen, die beiden unterliegen, müssen sicherstellen, dass ihre Governance-Rahmen das Cybersicherheits-Risikomanagement (NIS2) und die Datenschutz-Folgenabschätzungen (DSGVO) abgestimmt adressieren. DSGVO-Volltext — gdpr-info.eu

Welche Einheiten gelten nach NIS2 als wesentlich oder wichtig?

Die Anhänge I und II der NIS2-Richtlinie listen die Sektoren auf. Wesentliche Einheiten umfassen Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, die Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum. Wichtige Einheiten umfassen Post- und Kurierdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, das verarbeitende Gewerbe, digitale Anbieter und Forschung. Die Einstufung bestimmt das Aufsichtsregime und die maximalen Bussgeldhöhen. NIS2-Richtlinie, Anhänge I & II — EUR-Lex

Statistiken & Kontext

Laut dem Bericht NIS Investments 2023 der ENISA betrug das mittlere Cybersicherheitsbudget für NIS-erfasste Einheiten in der EU rund 7,3 % der IT-Ausgaben, doch nur 37 % der befragten Organisationen verfügten über einen formellen Vorfallreaktionsplan, der innerhalb der vorangegangenen 12 Monate getestet worden war. Die NIS2-Richtlinie erweiterte die Zahl der erfassten Sektoren von 7 (unter NIS1) auf 18, und die Europäische Kommission schätzte, dass über 160'000 Einheiten in der gesamten EU in den Geltungsbereich fallen würden. Die Fristen von 24 Stunden für die Frühwarnung und 72 Stunden für die vollständige Meldung nach Artikel 23 sind deutlich enger als das 72-Stunden-Fenster der DSGVO für die Meldung von Verletzungen und erhöhen den Druck auf Geschäftsleitungen, eine operative Vorfall-Governance aufrechtzuerhalten. ENISA — NIS Investments 2023

NIS2-Bussgeldvergleich — Wesentliche vs. wichtige Einheiten

KriteriumWesentliche EinheitenWichtige Einheiten
Maximale Verwaltungsbusse10 Millionen Euro oder 2 % des weltweiten Umsatzes7 Millionen Euro oder 1,4 % des weltweiten Umsatzes
AufsichtsregimeEx-ante- und Ex-post-AufsichtNur Ex-post-Aufsicht
Persönliche Haftung der GeschäftsleitungJa — Artikel 32(5)Ja — Artikel 32(5)
Vorübergehendes FührungsverbotJa — Ermessen der MitgliedstaatenJa — Ermessen der Mitgliedstaaten
Frühwarnung bei Vorfällen24 Stunden (Artikel 23)24 Stunden (Artikel 23)
Vollständige Vorfallmeldung72 Stunden (Artikel 23)72 Stunden (Artikel 23)
Verpflichtende CybersicherheitsschulungJa — Artikel 20(2)Ja — Artikel 20(2)

Quelle: Richtlinie (EU) 2022/2555 — EUR-Lex