Skip to the main content.

3 minute gelesen

NIS-2: Die neue Geschäftsführerhaftung und ihre Tücken

NIS-2: Die neue Geschäftsführerhaftung und ihre Tücken

Das Bundeskabinett hat kürzlich den Entwurf zur Umsetzung der EU-Sicherheitsrichtlinie NIS-2 beschlossen. Dieser Schritt markiert einen bedeutenden Wendepunkt in der deutschen IT-Sicherheitslandschaft und erhöht den Druck auf Unternehmen, ihre Sicherheitsmaßnahmen zu verbessern. Die NIS-2-Direktive bringt nicht nur strengere Sicherheitsanforderungen mit sich, sondern legt auch die Verantwortung direkt in die Hände der Geschäftsführung und nimmt diese bei Nichteinhaltung der Vorgaben persönlich ins Visier. Was das konkret für die Geschäftsführung der betroffenen Unternehmen bedeutet und welche Auswirkungen die Neuerungen auf den Versicherungsschutz von Leitungsorganen haben, erfahren Sie in diesem Blogbeitrag.

Die zweite Netzwerk- und Informationssicherheitsrichtlinie (NIS-2) der Europäischen Union wurde entwickelt, um den Schutz kritischer Infrastrukturen und digitaler Dienste in der EU zu stärken. Mit dem Ziel, die Widerstandsfähigkeit und die Reaktionsfähigkeit von Unternehmen gegenüber Cyberbedrohungen zu verbessern, verpflichtet NIS-2 Unternehmen und Organisationen ab 50 Mitarbeitenden und einem Jahresumsatz ab zehn Millionen Euro bis zum 17. Oktober 2024, umfassende Sicherheitsmaßnahmen umzusetzen. Im Vergleich zu ihrem Vorgänger, der NIS-Direktive, erweitert NIS-2 den Geltungsbereich auf zusätzliche Sektoren und erhöht die Anforderungen an die Sicherheitsvorkehrungen. Dazu gehören technische und organisatorische Maßnahmen sowie ein Incident-Response-Plan, regelmäßige Penetrationstests und die Einführung eines ISMS nach Standards wie z.B. ISO27001 oder BSI IT-Grundschutz. Gleichzeitig nimmt NIS-2 Geschäftsführer und Vorstände in die Verantwortung.

Verschärfte Geschäftsführerhaftung: Was das konkret bedeutet

Eine der bedeutendsten Änderungen der NIS-2-Direktive betrifft die Haftung der Leitungsorgane. Die neue Richtlinie verpflichtet Geschäftsführer, Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit zu genehmigen und deren Durchführung zu überwachen. Es gehört ebenfalls zu ihren Aufgaben, an Schulungen zur Cybersicherheit teilzunehmen und diese regelmäßig für alle Mitarbeitenden bereitzustellen.

Nach Artikel 20 der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) können Führungskräfte im Falle eines Cyberangriffs, der auf eine Nichteinhaltung der Sicherheitsanforderungen zurückzuführen ist, nun persönlich haftbar gemacht werden. Das bedeutet, dass sie bei Versäumnissen nicht nur rechtliche Konsequenzen tragen, sondern auch finanziellen Schadenersatz leisten müssen. Denn die NIS-2-Richtlinie sieht vor, dass Geschäftsführer und andere Leitungspositionen von Unternehmen für die Einhaltung der Sicherheitsmaßnahmen mit ihrem Privatvermögen haften. Für Unternehmen aus dem Bereich „Essential Entities“, bzw. wesentlicher Einrichtungen, kann das Bußgeld dabei maximal zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen. Bei Unternehmen, die zu den „Important Entities“ bzw. wichtiger Einrichtungen gehören, gelten Geldbußen bis zu einer Höhe von sieben Millionen Euro oder 1,4 Prozent des weltweiten Umsatzes.

Darüber hinaus kann es natürlichen Personen verboten werden, Leitungsfunktionen auf der Ebene der Geschäftsführung oder des Vorstands in Unternehmen wesentlicher Einrichtungen auszuüben.

Cyber- und D&O Versicherungen: Kein Allheilmittel für die Leitungsebene

Mit einer Cyberversicherung wollen sich viele Unternehmen gegen die finanziellen Folgen eines Cyberangriffs absichern. Dafür müssen allerdings einige Voraussetzungen erfüllt werden wie die Implementierung aktueller Sicherheitssysteme und ein dokumentiertes Sicherheitskonzept. Wenn durch Cyberkriminelle ein Schaden entsteht und ein Verschulden des Unternehmens festgestellt wird, kann die Versicherung die Deckung ablehnen und die Geschäftsführung haftbar gemacht werden. In diesem Fall sprang gewöhnlich bis jetzt die Directors-and-Officers-Versicherung für die Schadensabdeckung ein, sofern diese abgeschlossen wurde.

Geschäftsführungen, Vorstände und Aufsichtsräte waren bisher durch eine D&O-Versicherung vor Schadensansprüchen durch fahrlässige Pflichtverletzung geschützt. Das ändert sich jedoch mit der NIS-2-Direktive: Die neue EU-Richtlinie führt die persönliche Haftung der Leitungsorgane für die Umsetzung der Cybersicherheitsmaßnahmen ein. Wenn die Geschäftsführung eines Unternehmens die NIS-2-Anforderungen nicht erfüllt und es zu einem Sicherheitsvorfall kommt, geht die D&O-Versicherung prinzipiell von Fahrlässigkeit aus und verweigert mit sehr hoher Wahrscheinlichkeit die Schadensregulierung. Somit ist die Gefahr groß, dass die Geschäftsführung keinen Versicherungsschutz mehr bei Cybervorfällen genießt und mit ihrem privaten Vermögen für den Schaden haften muss.


Schritte zur Minimierung der (Haftungs-)Risiken

Für Unternehmen und ihre Geschäftsführer sollte der Schutz vor Cyberangriffen und damit die Verbesserung der IT-Sicherheit höchste Priorität sein. Um das Risiko der persönlichen Haftung zu minimieren und den Versicherungsschutz im Falle eines Cyberangriffs zu gewährleisten, ist es ratsam, sich strikt an die NIS-2-Vorgaben zu halten und alle Maßnahmen sorgfältig zu dokumentieren. Hierbei steht die Aktualisierung der Sicherheitsinfrastruktur im Fokus. Geschäftsführer sollten sicherstellen, dass alle Systeme auf dem neuesten Stand sind und den aktuellen Sicherheitsstandards entsprechen. Die Durchführung regelmäßiger Risikobewertungen ist entscheidend, um potenzielle Schwachstellen frühzeitig zu erkennen und zu beheben. Um das Bewusstsein für Cyberrisiken zu schärfen, sollten Führungskräfte in regelmäßige Schulungen für alle Mitarbeiterinnen und Mitarbeiter investieren.

Sind die notwendigen Ressourcen zur Umsetzung der NIS-2-Anforderungen im Unternehmen nicht gegeben, lohnt es sich, Unterstützung durch erfahrene Dienstleister wie IT-Compliance Consultants oder NIS-2 Consulting zu beziehen. Während sich die hausinterne IT-Abteilung auf ihre Kernaufgaben fokussieren kann, lassen sich viele Anforderungen über Managed Security Services wie Managed Detection and Response abdecken: Dabei überwachen qualifizierte IT Security Spezialisten die IT-Systeme, identifizieren Schwachstellen und sind in der Lage, Cyberbedrohungen frühzeitig zu erkennen und zu bekämpfen. Durch die Einbindung dieser Managed Security Services in eine umfassende Cybersicherheitsstrategie kann ein angemessenes Sicherheitsniveau erreicht werden.

Fazit 

Die NIS-2-Richtlinie verstärkt den Druck auf Geschäftsführer, die IT-Sicherheitsstandards in ihren Unternehmen zu erhöhen. Während Cyberversicherungen einen wichtigen Schutz bieten können, ist es wichtig, die Bedingungen und Einschränkungen des Versicherungsschutzes genau zu kennen, die sich mit der Einführung der NIS-2-Direktive für die Leitungsorgane eines Unternehmens drastisch ändern können. Letztendlich liegt es in der Verantwortung der Geschäftsführung, proaktive Maßnahmen zu ergreifen, um sowohl das Unternehmen als auch sich selbst vor den finanziellen und rechtlichen Folgen eines Cyberangriffs zu schützen.


Dirk Wocke

Compliance Manager, indevis

Das könnte Sie auch interessieren:

NIS-2-Fahrplan: Wie Unternehmen die Richtlinie erfüllen und mehr Cybersicherheit erzielen

4 minuutin luku

NIS-2-Fahrplan: Wie Unternehmen die Richtlinie erfüllen und mehr Cybersicherheit erzielen

Für die deutsche Wirtschaft bedeutet NIS-2 zwar eine neue Ära der Cybersicherheit, viele Unternehmen sind aber mit den anstehenden Herausforderungen der neuen Richtlinie überfordert. Erfahren Sie in diesem Blogbeitrag, wie Organisationen die NIS-2-Direktive erfüllen und ihre Cybersicherheit stärken können. Außerdem erläutert der Beitrag wichtige Schritte und Vorteile für die Zukunftssicherheit Ihres Unternehmens.

Supply Chain im Fokus: Auswirkungen von NIS-2 auf Lieferketten und Cybersicherheit

5 minuutin luku

Supply Chain im Fokus: Auswirkungen von NIS-2 auf Lieferketten und Cybersicherheit

Die Einführung der NIS-2-Richtlinie durch die Europäische Union markiert einen wichtigen Schritt zur Verbesserung der Cybersicherheit. In diesem Beitrag erfahren Sie, wie die NIS-2-Richtlinie die Lieferketten beeinflusst und welche Maßnahmen Unternehmen und ihre Dienstleister und Zulieferer ergreifen sollten, um sich darauf vorzubereiten.

Höchste Eisenbahn für NIS-2: Diese Maßnahmen sollten Unternehmen jetzt umsetzen

4 minuutin luku

Höchste Eisenbahn für NIS-2: Diese Maßnahmen sollten Unternehmen jetzt umsetzen

Durch die Neufassung der EU-Direktive NIS werden nicht nur die Mindestanforderungen an die Cybersicherheit, sondern auch die Anzahl der betroffenen Unternehmen deutlich erhöht. Erfahren Sie, welche 5 Maßnahmen Unternehmen jetzt ergreifen sollten, um die Anforderungen der neuen NIS-2-Richtlinie zu erfüllen und ihre Organisation gegen Cyberbedrohungen zu schützen.