MilesGuard
EN
VerwaltungsratHaftungCyber-GovernanceKMU

Cyberrisiken im Verwaltungsrat: Haftung und Pflichten in der Schweiz

24. April 2026|7 Min. Lesezeit

Der Verwaltungsrat trägt die Oberverantwortung für das Risikomanagement, auch für Cyberrisiken. Bei einem Vorfall kann er persönlich haftbar gemacht werden. Was VR-Mitglieder wissen und tun müssen.

Ein Ransomware-Angriff legt Ihr Unternehmen für zwei Wochen lahm. Der Betriebsunterbruch kostet CHF 800'000, dazu kommen Forensik, Kommunikation und Reputationsschaden. In der nächsten VR-Sitzung stellt ein Aktionär die Frage: Hat der Verwaltungsrat seine Sorgfaltspflicht erfüllt? Gab es ein dokumentiertes Risikomanagementsystem? Wurden angemessene Schutzmassnahmen beschlossen? Wenn die Antwort nein lautet, steht die persönliche Haftung im Raum.

Rechtliche Grundlagen der VR-Haftung

Art. 716a OR weist dem Verwaltungsrat die unübertragbare und unentziehbare Aufgabe der Oberleitung und der Ausgestaltung des Rechnungswesens, der Finanzkontrolle und der Finanzplanung zu. Die bundesgerichtliche Rechtsprechung interpretiert dies zunehmend so, dass das Risikomanagement, einschliesslich Cyberrisiken, Teil dieser Oberleitung ist. Art. 754 OR regelt die Haftung: VR-Mitglieder haften für Schäden, die sie durch Verletzung ihrer Pflichten verursachen. Die Haftung ist persönlich, solidarisch und kann auch bei Delegation bestehen bleiben, wenn die Aufsicht ungenügend war.

Was der VR konkret tun muss

Drei Massnahmen sind das Minimum. Erstens: Lassen Sie sich mindestens halbjährlich über die Cyberrisiko-Lage rapportieren, dokumentiert im VR-Protokoll. Der Bericht sollte die aktuelle Bedrohungslage, den Stand der Schutzmassnahmen, offene Risiken und das verbleibende Restrisiko umfassen. Zweitens: Beschliessen Sie ein Informationssicherheitsbudget und stellen Sie sicher, dass es im Verhältnis zum Risiko steht. Als Faustregel gelten 5 bis 10% des IT-Budgets für Security. Drittens: Stellen Sie sicher, dass ein Incident-Response-Plan existiert und jährlich getestet wird.

Delegation und Aufsichtspflicht

Der VR kann die operative Umsetzung der Cybersicherheit an die Geschäftsleitung oder einen CISO delegieren. Die Aufsichtspflicht bleibt aber beim VR. Konkret bedeutet das: Der VR muss die Qualifikation der beauftragten Person prüfen, klare Aufträge erteilen, regelmässig kontrollieren und bei erkannten Mängeln handeln. Auch die FINMA verschärft seit 2025 die Anforderungen an die Cyber-Governance: Die Aufsichtsmitteilung 05/2025 verlangt von regulierten Instituten dokumentierte Störungstoleranzen und Stresstests. Diese Standards strahlen als Best Practice auch auf nicht-regulierte Unternehmen aus.

Persönliche Absicherung für VR-Mitglieder

Eine D&O-Versicherung (Directors and Officers) deckt die persönliche Haftung ab, ersetzt aber nicht die Sorgfaltspflicht. Im Schadensfall prüft der Versicherer, ob der VR seine Pflichten erfüllt hat. Dokumentierte Beschlüsse, regelmässige Risikoberichte und nachweisbare Massnahmen sind die beste Absicherung. MilesGuard erstellt für Verwaltungsräte eine Cyber-Governance-Dokumentation: Risikobeurteilung, Massnahmenübersicht, Berichtsvorlagen für VR-Sitzungen und ein jährliches Cyber-Briefing. Damit erfüllen Sie Ihre Sorgfaltspflicht nachweisbar.

Quellen

  • [1] OR Art. 716a / Art. 754 (fedlex.admin.ch)
  • [2] FINMA Aufsichtsmitteilung 05/2025
  • [3] BACS s-u-p-e-r.ch
Teilen:LinkedIn

Weitere Beiträge

CISO-as-a-Service: Braucht mein KMU einen Sicherheitsverantwortlichen?

5. Februar 2026

ISG-Meldepflicht: Was Schweizer Unternehmen jetzt wissen müssen

6. April 2026

Cybersecurity für Treuhänder: So schützen Sie Mandantendaten

20. April 2026

Passende Dienstleistungen

CISO as a Service →Sicherheitsaudits →
Miles Strässle

Miles Strässle

Gründer, MilesGuard GmbH

Sicherheitsfragen? Sprechen Sie mit uns.

Unsere Blog-Beiträge werden laufend auf der Originalseite aktualisiert. Für individuelle Beratung stehen wir Ihnen jederzeit zur Verfügung.

Erstgespräch vereinbaren