Geschäftsführerhaftung bei Vergehen gegen NIS2

Letztes Update:
01
.
11
.
2024
Lesezeit:
0
Min
Die neue NIS2-Richtlinie der EU setzt das Thema Cybersicherheit ganz oben auf die Agenda von Unternehmen und insbesondere der Geschäftsleitung. Wer die IT-Systeme und Daten seines Unternehmens nicht ausreichend schützt und Schulungen schwänzt, muss mit Konsequenzen rechnen. Was CEOs jetzt wissen müssen.
Geschäftsführerhaftung bei Vergehen gegen NIS2
Die wichtigsten Erkenntnisse
  • Geschäftsführer tragen Verantwortung für den Schutz von IT-Systemen sowie Kunden- und Mitarbeiterdaten.
  • Cybersicherheit ist in der digitalen Welt unverzichtbar.
  • Die neue NIS2-Richtlinie betont die Bedeutung der Cybersicherheit und verpflichtet die Führungsebene, Unternehmen gegen moderne Bedrohungen abzusichern.
  • Proaktive Sicherheitsmaßnahmen sind notwendig, um die NIS2-Vorgaben sicher einzuhalten.
  • Wir unterstützen Sie dabei, diese Herausforderungen zu meistern und die Sicherheit Ihres Unternehmens langfristig zu gewährleisten.

Hintergrund: Was ist die NIS2-Richtlinie?

2016 führte die Europäische Union die EU-Richtlinie zur Netzwerk- und Informationssicherheit (Network and Information Security Directive, NIS-Richtlinie) ein. Da die Häufigkeit und Härte von Cyberangriffen auf europäische Unternehmen in den folgenden Jahren zunahmen, hat die EU die Richtlinie weiterentwickelt und 2022 die zweite Fassung veröffentlicht.  

Die NIS2-Richtlinie verpflichtet mehr Unternehmen und Branchen als bisher dazu, Sicherheitsvorkehrungen zu treffen, um die Auswirkungen von Cyberattacken auf den Geschäftsbetrieb zu reduzieren und Informationen und Daten in Unternehmen besser zu schützen.

Mehr zu den Hintergründen und den Unterschieden zur NIS1-Richtlinie erfahren Sie in unserer Übersicht zur NIS2-Richtlinie.

Neue Pflichten und Verantwortlichkeiten für Geschäftsführer

Die NIS2-Richtlinie schreibt für Unternehmen verschiedene Maßnahmen vor, zum Beispiel Verfahren zur Cyberhygiene, Notfallpläne und regelmäßige Sicherheitsüberprüfungen und Risikobewertungen. Geschäftsführer sind laut Artikel 20 der neuen NIS2-Richtlinie dazu verpflichtet, die Einhaltung der NIS2-Vorgaben persönlich zu überwachen.  

Der Gesetzgeber erwartet von der Geschäftsleitung unter anderem, aktiv zu handeln und ein solides Sicherheitsmanagement im Unternehmen zu etablieren. Neu ist die Vorgabe, dass die Geschäftsführung dazu verpflichtet ist, selbst an Sicherheitsschulungen teilzunehmen.

Da die NIS2-Richtlinie für mehr Unternehmen gilt als ihre Vorgängerin, müssen sich künftig mehr Führungsebenen mit IT-Sicherheit auseinandersetzen.

Verstöße gegen die NIS2-Richtlinie: Konsequenzen für Geschäftsführer

Halten Unternehmen die Vorgaben der NIS2-Richtlinie nicht ein, müssen sie im schlimmsten Fall mit empfindlichen Geldstrafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes rechnen.  

Die Folgen von Verstößen gegen die NIS2-Richtlinie sind allerdings nicht nur finanzieller Natur, sondern gefährden die Reputation eines Unternehmens und können darüber hinaus die Geschäftsführung treffen.

Erfolgt ein Cyberangriff auf das Unternehmen, weil keine ausreichenden Sicherheitsmaßnahmen implementiert wurden, kann die Führungsebene dafür persönlich haftbar gemacht werden. Das gilt auch, wenn ein Verstoß auf Unachtsamkeit oder Nachlässigkeit der IT-Abteilung zurückzuführen ist.  

Die folgenden Szenarien zeigen beispielhaft, wie sich mangelhafte Schutzvorkehrungen auswirken können:

NIS2-typische Fehler
  • In der IT-Infrastruktur bestehen Schwachstellen, die über längere Zeit nicht behoben wurden und Angreifern als Einfallstor dienten.
  • Das Unternehmen hat keine angemessenen Mitarbeiterschulungen zur Cybersicherheit durchgeführt, weshalb Angreifer mit einer Phishing-Attacke Erfolg hatten.
  • Es ist keine angemessene Risikobewertung oder Sicherheitsüberprüfung der eingesetzten Systeme erfolgt, wodurch Datenlecks entstanden und Informationen in die falschen Hände geraten sind.

Besonders kritisch können solche Fehler für verantwortliche Personen werden, wenn man ihnen grobe Fahrlässigkeit oder sogar Vorsatz nachweisen kann.

Was bedeutet Informationssicherheit konkret und was ist der Unterschied zur IT-Sicherheit? Jetzt informieren

Wie können Unternehmen und Geschäftsführer sich absichern?

Geschäftsführer sind verpflichtet, sich über die Anforderungen der NIS2 zu informieren und sicherzustellen, dass alle notwendigen Maßnahmen ergriffen werden. Außerdem müssen sie dafür sorgen, dass in ihrem Unternehmen Schulungen für die Cybersicherheit stattfinden und selbst daran teilnehmen.

Proaktives Handeln ist entscheidend, wenn Führungskräfte ihr Unternehmen und sich selbst vor rechtlichen Konsequenzen schützen wollen. Um die Haftung zu minimieren, sollten Geschäftsführer und IT-Verantwortliche deshalb eine Reihe von Maßnahmen ergreifen:

  • Schulungen anbieten und wahrnehmen: Alle Mitarbeiter inklusive der Geschäftsführung müssen regelmäßig an Schulungen teilnehmen, um über die neuesten Cyberbedrohungen und Sicherheitslösungen informiert zu sein.
  • Audits durchführen lassen: Regelmäßige Sicherheitsaudits sorgen dafür, dass Schwachstellen frühzeitig identifiziert und effektiv behoben werden können.
  • Sicherheitslösungen etablieren: Unternehmen sollten in geeignete Netzwerksicherheits- und Datenschutzsoftware investieren, die den aktuellen Bedrohungen gewachsen ist.
  • Up to date bleiben: Damit im Unternehmen ausreichend Know-how vorhanden ist, um Cyberangriffe abzuwehren, empfiehlt es sich, neben Schulungen auf die Zusammenarbeit mit externen Experten und Datenschutzbeauftragten zu setzen. So stellen Unternehmen sicher, dass sie neben der NIS2 auch andere Richtlinien wie die DSGVO korrekt umsetzen.

Durch diese proaktiven Maßnahmen können potenzielle Sicherheitslücken frühzeitig geschlossen und die Einhaltung der NIS2 sichergestellt werden.

Tipp: Ein Informationssicherheitsmanagementsystem (ISMS) hilft Ihnen, Ihr Unternehmen effektiv und strategisch gegen Gefahren aus dem Cyberraum abzusichern und gibt Ihnen die Chance, sich eine begehrte ISO-27001-Zertifizierung zu sichern.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Sabrina Quente
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von datenschutzexperte.de dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!