Der CEO als Cyber-Experte? Was NIS-2 für die Geschäftsleitung vorschreibt

Von |31.07.2024|
NIS2 Teil 2 - Was NIS-2 für die Geschäftsleitung vorschreibt - Titelbild

Cybersicherheit rückt stärker in die Verantwortung der Unternehmensleitung. Wir fassen für dich zusammen, welche neuen Regeln durch die Umsetzung der NIS-2-Richtlinie auf Geschäftsführer zukommen.

Die meisten CEOs wissen es längst: Cyberattacken gehören heute zu den größten Risiken für Unternehmen aus nahezu allen Branchen. Sie führen zu erheblichen finanziellen Verlusten und erschüttern das Vertrauen von Kunden und Partnern. Im Worst Case bedrohen sie die Existenz der Firma. Bei kritischen Infrastrukturen können erfolgreiche Cyberangriffe zudem weitreichende Folgen für Gesellschaft und Wirtschaft haben.

Dennoch haben in der Vergangenheit nicht alle Führungskräfte die notwendige Sorgfalt an den Tag gelegt, um ihr Unternehmen angemessen zu schützen. Cyber Security wurde aus Sicht des Managements immer wieder als reines Versicherungsthema abgestempelt oder der alleinigen Verantwortung der IT-Abteilung unterstellt. Doch damit ist jetzt Schluss. Mit der NIS-2 Richtlinie nimmt der Gesetzgeber europaweit die Geschäftsleitung in die Pflicht. Bei betroffenen Unternehmen schlüpft sie gesetzlich vorgeschrieben in die Rolle des Cyber-Managers.

Wie die Geschäftsleitung künftig die Cybersicherheit verantwortet

Für alle von NIS-2 betroffenen Unternehmen – sowohl wesentliche als auch wichtige Einrichtungen – führt die Richtlinie drei wesentliche Vorgaben für die Geschäftsführung ein. Sie sind im Abschnitt über Risikomanagementmaßnahmen und Berichtspflichten im Bereich der Cybersicherheit vermerkt (NIS2-Richtlinie, Artikel 20 über Governance, Abs. 1 und 2).

Billigungs- und Überwachungspflicht

Die Geschäftsführung muss in ihrer Einrichtung die im Rahmen von NIS-2 vorgeschriebenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen und ihre Umsetzung überwachen.

Verschärfte Haftung

Die Richtlinie schreibt den Mitgliedstaaten explizit vor, sicherzustellen, dass die Leitungsorgane „für Verstöße […]“ durch die betroffenen Einrichtungen verantwortlich gemacht werden können.

Schulungspflicht

Die Geschäftsführung soll nicht nur sicherstellen, dass Mitarbeiter Weiterbildungen im Bereich der Cybersicherheit erhalten. Sie muss auch selbst an Schulungen teilnehmen. Ziel ist es, „ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtungen erbrachten Dienste zu erwerben.“

Wie Mitgliedsstaaten die Regeln umsetzen

Bei der Umsetzung der Richtlinie in nationales Recht müssen die Mitgliedsstaaten die genannten Vorgaben für die Leitungsorgane berücksichtigen. Dabei gibt es jedoch gewisse Spielräume. Im Detail können sich die gesetzlichen Vorgaben deshalb von Land zu Land unterscheiden. Unternehmen müssen jeweils die nationale Gesetzgebung berücksichtigen.

Für österreichische Unternehmen ist das Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) ausschlaggebend. Die Regeln für die Leitungsorgane sind hier im 2. Abschnitt, § 31, Abs. 1 bis 3 festgelegt.

In Deutschland sind die Vorgaben für CEOs in § 38 des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) festgelegt – im Abschnitt „Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen“.