Der CEO als Cyber-Experte? Was NIS-2 für die Geschäftsleitung vorschreibt
Cybersicherheit rückt stärker in die Verantwortung der Unternehmensleitung. Wir fassen für dich zusammen, welche neuen Regeln durch die Umsetzung der NIS-2-Richtlinie auf Geschäftsführer zukommen.
Die meisten CEOs wissen es längst: Cyberattacken gehören heute zu den größten Risiken für Unternehmen aus nahezu allen Branchen. Sie führen zu erheblichen finanziellen Verlusten und erschüttern das Vertrauen von Kunden und Partnern. Im Worst Case bedrohen sie die Existenz der Firma. Bei kritischen Infrastrukturen können erfolgreiche Cyberangriffe zudem weitreichende Folgen für Gesellschaft und Wirtschaft haben.
Dennoch haben in der Vergangenheit nicht alle Führungskräfte die notwendige Sorgfalt an den Tag gelegt, um ihr Unternehmen angemessen zu schützen. Cyber Security wurde aus Sicht des Managements immer wieder als reines Versicherungsthema abgestempelt oder der alleinigen Verantwortung der IT-Abteilung unterstellt. Doch damit ist jetzt Schluss. Mit der NIS-2 Richtlinie nimmt der Gesetzgeber europaweit die Geschäftsleitung in die Pflicht. Bei betroffenen Unternehmen schlüpft sie gesetzlich vorgeschrieben in die Rolle des Cyber-Managers.
Wie die Geschäftsleitung künftig die Cybersicherheit verantwortet
Für alle von NIS-2 betroffenen Unternehmen – sowohl wesentliche als auch wichtige Einrichtungen – führt die Richtlinie drei wesentliche Vorgaben für die Geschäftsführung ein. Sie sind im Abschnitt über Risikomanagementmaßnahmen und Berichtspflichten im Bereich der Cybersicherheit vermerkt (NIS2-Richtlinie, Artikel 20 über Governance, Abs. 1 und 2).
Billigungs- und Überwachungspflicht
Die Geschäftsführung muss in ihrer Einrichtung die im Rahmen von NIS-2 vorgeschriebenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen und ihre Umsetzung überwachen.
Verschärfte Haftung
Die Richtlinie schreibt den Mitgliedstaaten explizit vor, sicherzustellen, dass die Leitungsorgane „für Verstöße […]“ durch die betroffenen Einrichtungen verantwortlich gemacht werden können.
Schulungspflicht
Die Geschäftsführung soll nicht nur sicherstellen, dass Mitarbeiter Weiterbildungen im Bereich der Cybersicherheit erhalten. Sie muss auch selbst an Schulungen teilnehmen. Ziel ist es, „ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtungen erbrachten Dienste zu erwerben.“
Wie Mitgliedsstaaten die Regeln umsetzen
Bei der Umsetzung der Richtlinie in nationales Recht müssen die Mitgliedsstaaten die genannten Vorgaben für die Leitungsorgane berücksichtigen. Dabei gibt es jedoch gewisse Spielräume. Im Detail können sich die gesetzlichen Vorgaben deshalb von Land zu Land unterscheiden. Unternehmen müssen jeweils die nationale Gesetzgebung berücksichtigen.
Für österreichische Unternehmen ist das Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) ausschlaggebend. Die Regeln für die Leitungsorgane sind hier im 2. Abschnitt, § 31, Abs. 1 bis 3 festgelegt.
In Deutschland sind die Vorgaben für CEOs in § 38 des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) festgelegt – im Abschnitt „Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen“.