Das Bundeskabinett hat kürzlich den Entwurf zur Umsetzung der EU-Sicherheitsrichtlinie NIS-2 beschlossen. Dieser Schritt markiert einen bedeutenden Wendepunkt in der deutschen IT-Sicherheitslandschaft und erhöht den Druck auf Unternehmen, ihre Sicherheitsmaßnahmen zu verbessern. Die NIS-2-Direktive bringt nicht nur strengere Sicherheitsanforderungen mit sich, sondern legt auch die Verantwortung direkt in die Hände der Geschäftsführung und nimmt diese bei Nichteinhaltung der Vorgaben persönlich ins Visier. Was das konkret für die Geschäftsführung der betroffenen Unternehmen bedeutet und welche Auswirkungen die Neuerungen auf den Versicherungsschutz von Leitungsorganen haben, erfahren Sie in diesem Blogbeitrag.
Die zweite Netzwerk- und Informationssicherheitsrichtlinie (NIS-2) der Europäischen Union wurde entwickelt, um den Schutz kritischer Infrastrukturen und digitaler Dienste in der EU zu stärken. Mit dem Ziel, die Widerstandsfähigkeit und die Reaktionsfähigkeit von Unternehmen gegenüber Cyberbedrohungen zu verbessern, verpflichtet NIS-2 Unternehmen und Organisationen ab 50 Mitarbeitenden und einem Jahresumsatz ab zehn Millionen Euro bis zum 17. Oktober 2024, umfassende Sicherheitsmaßnahmen umzusetzen. Im Vergleich zu ihrem Vorgänger, der NIS-Direktive, erweitert NIS-2 den Geltungsbereich auf zusätzliche Sektoren und erhöht die Anforderungen an die Sicherheitsvorkehrungen. Dazu gehören technische und organisatorische Maßnahmen sowie ein Incident-Response-Plan, regelmäßige Penetrationstests und die Einführung eines ISMS nach Standards wie z.B. ISO27001 oder BSI IT-Grundschutz. Gleichzeitig nimmt NIS-2 Geschäftsführer und Vorstände in die Verantwortung.
Verschärfte Geschäftsführerhaftung: Was das konkret bedeutet
Eine der bedeutendsten Änderungen der NIS-2-Direktive betrifft die Haftung der Leitungsorgane. Die neue Richtlinie verpflichtet Geschäftsführer, Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit zu genehmigen und deren Durchführung zu überwachen. Es gehört ebenfalls zu ihren Aufgaben, an Schulungen zur Cybersicherheit teilzunehmen und diese regelmäßig für alle Mitarbeitenden bereitzustellen.
Nach Artikel 20 der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) können Führungskräfte im Falle eines Cyberangriffs, der auf eine Nichteinhaltung der Sicherheitsanforderungen zurückzuführen ist, nun persönlich haftbar gemacht werden. Das bedeutet, dass sie bei Versäumnissen nicht nur rechtliche Konsequenzen tragen, sondern auch finanziellen Schadenersatz leisten müssen. Denn die NIS-2-Richtlinie sieht vor, dass Geschäftsführer und andere Leitungspositionen von Unternehmen für die Einhaltung der Sicherheitsmaßnahmen mit ihrem Privatvermögen haften. Für Unternehmen aus dem Bereich „Essential Entities“, bzw. wesentlicher Einrichtungen, kann das Bußgeld dabei maximal zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen. Bei Unternehmen, die zu den „Important Entities“ bzw. wichtiger Einrichtungen gehören, gelten Geldbußen bis zu einer Höhe von sieben Millionen Euro oder 1,4 Prozent des weltweiten Umsatzes.
Darüber hinaus kann es natürlichen Personen verboten werden, Leitungsfunktionen auf der Ebene der Geschäftsführung oder des Vorstands in Unternehmen wesentlicher Einrichtungen auszuüben.
Cyber- und D&O Versicherungen: Kein Allheilmittel für die Leitungsebene
Mit einer Cyberversicherung wollen sich viele Unternehmen gegen die finanziellen Folgen eines Cyberangriffs absichern. Dafür müssen allerdings einige Voraussetzungen erfüllt werden wie die Implementierung aktueller Sicherheitssysteme und ein dokumentiertes Sicherheitskonzept. Wenn durch Cyberkriminelle ein Schaden entsteht und ein Verschulden des Unternehmens festgestellt wird, kann die Versicherung die Deckung ablehnen und die Geschäftsführung haftbar gemacht werden. In diesem Fall sprang gewöhnlich bis jetzt die Directors-and-Officers-Versicherung für die Schadensabdeckung ein, sofern diese abgeschlossen wurde.
Geschäftsführungen, Vorstände und Aufsichtsräte waren bisher durch eine D&O-Versicherung vor Schadensansprüchen durch fahrlässige Pflichtverletzung geschützt. Das ändert sich jedoch mit der NIS-2-Direktive: Die neue EU-Richtlinie führt die persönliche Haftung der Leitungsorgane für die Umsetzung der Cybersicherheitsmaßnahmen ein. Wenn die Geschäftsführung eines Unternehmens die NIS-2-Anforderungen nicht erfüllt und es zu einem Sicherheitsvorfall kommt, geht die D&O-Versicherung prinzipiell von Fahrlässigkeit aus und verweigert mit sehr hoher Wahrscheinlichkeit die Schadensregulierung. Somit ist die Gefahr groß, dass die Geschäftsführung keinen Versicherungsschutz mehr bei Cybervorfällen genießt und mit ihrem privaten Vermögen für den Schaden haften muss.
Schritte zur Minimierung der (Haftungs-)Risiken
Für Unternehmen und ihre Geschäftsführer sollte der Schutz vor Cyberangriffen und damit die Verbesserung der IT-Sicherheit höchste Priorität sein. Um das Risiko der persönlichen Haftung zu minimieren und den Versicherungsschutz im Falle eines Cyberangriffs zu gewährleisten, ist es ratsam, sich strikt an die NIS-2-Vorgaben zu halten und alle Maßnahmen sorgfältig zu dokumentieren. Hierbei steht die Aktualisierung der Sicherheitsinfrastruktur im Fokus. Geschäftsführer sollten sicherstellen, dass alle Systeme auf dem neuesten Stand sind und den aktuellen Sicherheitsstandards entsprechen. Die Durchführung regelmäßiger Risikobewertungen ist entscheidend, um potenzielle Schwachstellen frühzeitig zu erkennen und zu beheben. Um das Bewusstsein für Cyberrisiken zu schärfen, sollten Führungskräfte in regelmäßige Schulungen für alle Mitarbeiterinnen und Mitarbeiter investieren.
Sind die notwendigen Ressourcen zur Umsetzung der NIS-2-Anforderungen im Unternehmen nicht gegeben, lohnt es sich, Unterstützung durch erfahrene Dienstleister wie IT-Compliance Consultants oder NIS-2 Consulting zu beziehen. Während sich die hausinterne IT-Abteilung auf ihre Kernaufgaben fokussieren kann, lassen sich viele Anforderungen über Managed Security Services wie Managed Detection and Response abdecken: Dabei überwachen qualifizierte IT Security Spezialisten die IT-Systeme, identifizieren Schwachstellen und sind in der Lage, Cyberbedrohungen frühzeitig zu erkennen und zu bekämpfen. Durch die Einbindung dieser Managed Security Services in eine umfassende Cybersicherheitsstrategie kann ein angemessenes Sicherheitsniveau erreicht werden.
Fazit
Die NIS-2-Richtlinie verstärkt den Druck auf Geschäftsführer, die IT-Sicherheitsstandards in ihren Unternehmen zu erhöhen. Während Cyberversicherungen einen wichtigen Schutz bieten können, ist es wichtig, die Bedingungen und Einschränkungen des Versicherungsschutzes genau zu kennen, die sich mit der Einführung der NIS-2-Direktive für die Leitungsorgane eines Unternehmens drastisch ändern können. Letztendlich liegt es in der Verantwortung der Geschäftsführung, proaktive Maßnahmen zu ergreifen, um sowohl das Unternehmen als auch sich selbst vor den finanziellen und rechtlichen Folgen eines Cyberangriffs zu schützen.