Der CEO als Cyber-Experte? Was NIS-2 für die Geschäftsleitung vorschreibt

Von |31.07.2024|
IT-Security, NIS2
NIS2 Teil 2 - Was NIS-2 für die Geschäftsleitung vorschreibt - Titelbild

Cybersicherheit rückt stärker in die Verantwortung der Unternehmensleitung. Wir fassen für dich zusammen, welche neuen Regeln durch die Umsetzung der NIS-2-Richtlinie auf Geschäftsführer zukommen.

Die meisten CEOs wissen es längst: Cyberattacken gehören heute zu den größten Risiken für Unternehmen aus nahezu allen Branchen. Sie führen zu erheblichen finanziellen Verlusten und erschüttern das Vertrauen von Kunden und Partnern. Im Worst Case bedrohen sie die Existenz der Firma. Bei kritischen Infrastrukturen können erfolgreiche Cyberangriffe zudem weitreichende Folgen für Gesellschaft und Wirtschaft haben.

Dennoch haben in der Vergangenheit nicht alle Führungskräfte die notwendige Sorgfalt an den Tag gelegt, um ihr Unternehmen angemessen zu schützen. Cyber Security wurde aus Sicht des Managements immer wieder als reines Versicherungsthema abgestempelt oder der alleinigen Verantwortung der IT-Abteilung unterstellt. Doch damit ist jetzt Schluss. Mit der NIS-2 Richtlinie nimmt der Gesetzgeber europaweit die Geschäftsleitung in die Pflicht. Bei betroffenen Unternehmen schlüpft sie gesetzlich vorgeschrieben in die Rolle des Cyber-Managers.

Wie die Geschäftsleitung künftig die Cybersicherheit verantwortet

Für alle von NIS-2 betroffenen Unternehmen – sowohl wesentliche als auch wichtige Einrichtungen – führt die Richtlinie drei wesentliche Vorgaben für die Geschäftsführung ein. Sie sind im Abschnitt über Risikomanagementmaßnahmen und Berichtspflichten im Bereich der Cybersicherheit vermerkt (NIS2-Richtlinie, Artikel 20 über Governance, Abs. 1 und 2).

Billigungs- und Überwachungspflicht

Die Geschäftsführung muss in ihrer Einrichtung die im Rahmen von NIS-2 vorgeschriebenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen und ihre Umsetzung überwachen.

Verschärfte Haftung

Die Richtlinie schreibt den Mitgliedstaaten explizit vor, sicherzustellen, dass die Leitungsorgane „für Verstöße […]” durch die betroffenen Einrichtungen verantwortlich gemacht werden können.

Schulungspflicht

Die Geschäftsführung soll nicht nur sicherstellen, dass Mitarbeiter Weiterbildungen im Bereich der Cybersicherheit erhalten. Sie muss auch selbst an Schulungen teilnehmen. Ziel ist es, „ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtungen erbrachten Dienste zu erwerben.“

Wie Mitgliedsstaaten die Regeln umsetzen

Bei der Umsetzung der Richtlinie in nationales Recht müssen die Mitgliedsstaaten die genannten Vorgaben für die Leitungsorgane berücksichtigen. Dabei gibt es jedoch gewisse Spielräume. Im Detail können sich die gesetzlichen Vorgaben deshalb von Land zu Land unterscheiden. Unternehmen müssen jeweils die nationale Gesetzgebung berücksichtigen.

Für österreichische Unternehmen ist das Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) ausschlaggebend. Die Regeln für die Leitungsorgane sind hier im 2. Abschnitt, § 31, Abs. 1 bis 3 festgelegt.

In Deutschland sind die Vorgaben für CEOs in § 38 des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) festgelegt – im Abschnitt „Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen“.

Was die Regeln in der Praxis bedeuten

Müssen sich CEOs also künftig im Kapuzenpulli um die Konfiguration der Firewall kümmern und Cyberangriffe eigenständig abwehren? Nein, sie können die operative Umsetzung natürlich weiterhin an die IT-Abteilung und externe Dienstleister delegieren. Die Verantwortung für die Cybersicherheit bleibt hingegen bei ihnen. Sie haften im äußersten Fall direkt für Versäumnisse.

Die antiquierte Vorstellung, dass Cybersicherheit nur ein IT-Thema ist, wird damit ad acta gelegt. In den von NIS-2 betroffenen wesentlichen und wichtigen Einrichtungen muss sich die Geschäftsführung intensiver mit den Risiken beschäftigen und die Maßnahmen für die Mitigierung dieser Risiken aktiv managen. Das dafür nötige Know-how müssen sich CEOs über Schulungen aneignen.

Die neuen Pflichten gelten zwar nur für die CEOs von Unternehmen, die von NIS-2 betroffen sind. Es ist aber davon auszugehen, dass die neue Praxis auch für nicht betroffene Unternehmen eine Signalwirkung hat. Die Stoßrichtung ist klar: Cybersecurity wird zur Chefsache.

Weitere Infos zum Thema:
NIS-2, Teil 1: Cyber-Resilienz wird Pflicht: Welche Firmen von NIS-2 betroffen sind
NIS-2, Teil 3: NIS-2 Konformität: Welche Maßnahmen Unternehmen umsetzen müssen
NIS-2, Teil 4: Was NIS-2 für die Berichtspflicht von Sicherheitsvorfällen bedeutet

Alle Informationen zur techbold NIS-2 Beratung und Umsetzung.

Wir beantworten gerne alle Fragen.

Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier

Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren
Mehr Informationen
Evelyn Heinrich / Head of Account Management

Evelyn Heinrich

Head of Account Management

oder ein Account Manager aus ihrem Team melden sich umgehend.