Geschäftsführerhaftung bei Vergehen gegen NIS2

Hintergrund: Was ist die NIS2-Richtlinie?

2016 führte die Europäische Union die EU-Richtlinie zur Netzwerk- und Informationssicherheit (Network and Information Security Directive, NIS-Richtlinie) ein. Da die Häufigkeit und Härte von Cyberangriffen auf europäische Unternehmen in den folgenden Jahren zunahmen, hat die EU die Richtlinie weiterentwickelt und 2022 die zweite Fassung veröffentlicht.  

Die NIS2-Richtlinie verpflichtet mehr Unternehmen und Branchen als bisher dazu, Sicherheitsvorkehrungen zu treffen, um die Auswirkungen von Cyberattacken auf den Geschäftsbetrieb zu reduzieren und Informationen und Daten in Unternehmen besser zu schützen.

Mehr zu den Hintergründen und den Unterschieden zur NIS1-Richtlinie erfahren Sie in unserer Übersicht zur NIS2-Richtlinie.

Neue Pflichten und Verantwortlichkeiten für Geschäftsführer

Die NIS2-Richtlinie schreibt für Unternehmen verschiedene Maßnahmen vor, zum Beispiel Verfahren zur Cyberhygiene, Notfallpläne und regelmäßige Sicherheitsüberprüfungen und Risikobewertungen. Geschäftsführer sind laut Artikel 20 der neuen NIS2-Richtlinie dazu verpflichtet, die Einhaltung der NIS2-Vorgaben persönlich zu überwachen.  

Der Gesetzgeber erwartet von der Geschäftsleitung unter anderem, aktiv zu handeln und ein solides Sicherheitsmanagement im Unternehmen zu etablieren. Neu ist die Vorgabe, dass die Geschäftsführung dazu verpflichtet ist, selbst an Sicherheitsschulungen teilzunehmen.

Da die NIS2-Richtlinie für mehr Unternehmen gilt als ihre Vorgängerin, müssen sich künftig mehr Führungsebenen mit IT-Sicherheit auseinandersetzen.

Verstöße gegen die NIS2-Richtlinie: Konsequenzen für Geschäftsführer

Halten Unternehmen die Vorgaben der NIS2-Richtlinie nicht ein, müssen sie im schlimmsten Fall mit empfindlichen Geldstrafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes rechnen.  

Die Folgen von Verstößen gegen die NIS2-Richtlinie sind allerdings nicht nur finanzieller Natur, sondern gefährden die Reputation eines Unternehmens und können darüber hinaus die Geschäftsführung treffen.

Erfolgt ein Cyberangriff auf das Unternehmen, weil keine ausreichenden Sicherheitsmaßnahmen implementiert wurden, kann die Führungsebene dafür persönlich haftbar gemacht werden. Das gilt auch, wenn ein Verstoß auf Unachtsamkeit oder Nachlässigkeit der IT-Abteilung zurückzuführen ist.  

Die folgenden Szenarien zeigen beispielhaft, wie sich mangelhafte Schutzvorkehrungen auswirken können:

• In der IT-Infrastruktur bestehen Schwachstellen, die über längere Zeit nicht behoben wurden und Angreifern als Einfallstor dienten.

• Das Unternehmen hat keine angemessenen Mitarbeiterschulungen zur Cybersicherheit durchgeführt, weshalb Angreifer mit einer Phishing-Attacke Erfolg hatten.

• Es ist keine angemessene Risikobewertung oder Sicherheitsüberprüfung der eingesetzten Systeme erfolgt, wodurch Datenlecks entstanden und Informationen in die falschen Hände geraten sind.

Besonders kritisch können solche Fehler für verantwortliche Personen werden, wenn man ihnen grobe Fahrlässigkeit oder sogar Vorsatz nachweisen kann.

Was bedeutet Informationssicherheit konkret und was ist der Unterschied zur IT-Sicherheit? Jetzt informieren

Wie können Unternehmen und Geschäftsführer sich absichern?

Geschäftsführer sind verpflichtet, sich über die Anforderungen der NIS2 zu informieren und sicherzustellen, dass alle notwendigen Maßnahmen ergriffen werden. Außerdem müssen sie dafür sorgen, dass in ihrem Unternehmen Schulungen für die Cybersicherheit stattfinden und selbst daran teilnehmen.

Proaktives Handeln ist entscheidend, wenn Führungskräfte ihr Unternehmen und sich selbst vor rechtlichen Konsequenzen schützen wollen. Um die Haftung zu minimieren, sollten Geschäftsführer und IT-Verantwortliche deshalb eine Reihe von Maßnahmen ergreifen:

• Schulungen anbieten und wahrnehmen: Alle Mitarbeiter inklusive der Geschäftsführung müssen regelmäßig an Schulungen teilnehmen, um über die neuesten Cyberbedrohungen und Sicherheitslösungen informiert zu sein.

• Audits durchführen lassen: Regelmäßige Sicherheitsaudits sorgen dafür, dass Schwachstellen frühzeitig identifiziert und effektiv behoben werden können.

• Sicherheitslösungen etablieren: Unternehmen sollten in geeignete Netzwerksicherheits- und Datenschutzsoftware investieren, die den aktuellen Bedrohungen gewachsen ist.

• Up to date bleiben: Damit im Unternehmen ausreichend Know-how vorhanden ist, um Cyberangriffe abzuwehren, empfiehlt es sich, neben Schulungen auf die Zusammenarbeit mit externen Experten und Datenschutzbeauftragten zu setzen. So stellen Unternehmen sicher, dass sie neben der NIS2 auch andere Richtlinien wie die DSGVO korrekt umsetzen.

Durch diese proaktiven Maßnahmen können potenzielle Sicherheitslücken frühzeitig geschlossen und die Einhaltung der NIS2 sichergestellt werden.

Tipp: Ein Informationssicherheitsmanagementsystem (ISMS) hilft Ihnen, Ihr Unternehmen effektiv und strategisch gegen Gefahren aus dem Cyberraum abzusichern und gibt Ihnen die Chance, sich eine begehrte ISO-27001-Zertifizierung zu sichern.

‍

‍