Der CEO als Cyber-Experte? Was NIS-2 für die Geschäftsleitung vorschreibt
Cybersicherheit rückt stärker in die Verantwortung der Unternehmensleitung. Wir fassen für dich zusammen, welche neuen Regeln durch die Umsetzung der NIS-2-Richtlinie auf Geschäftsführer zukommen.
Die meisten CEOs wissen es längst: Cyberattacken gehören heute zu den größten Risiken für Unternehmen aus nahezu allen Branchen. Sie führen zu erheblichen finanziellen Verlusten und erschüttern das Vertrauen von Kunden und Partnern. Im Worst Case bedrohen sie die Existenz der Firma. Bei kritischen Infrastrukturen können erfolgreiche Cyberangriffe zudem weitreichende Folgen für Gesellschaft und Wirtschaft haben.
Dennoch haben in der Vergangenheit nicht alle Führungskräfte die notwendige Sorgfalt an den Tag gelegt, um ihr Unternehmen angemessen zu schützen. Cyber Security wurde aus Sicht des Managements immer wieder als reines Versicherungsthema abgestempelt oder der alleinigen Verantwortung der IT-Abteilung unterstellt. Doch damit ist jetzt Schluss. Mit der NIS-2 Richtlinie nimmt der Gesetzgeber europaweit die Geschäftsleitung in die Pflicht. Bei betroffenen Unternehmen schlüpft sie gesetzlich vorgeschrieben in die Rolle des Cyber-Managers.
Wie die Geschäftsleitung künftig die Cybersicherheit verantwortet
Für alle von NIS-2 betroffenen Unternehmen – sowohl wesentliche als auch wichtige Einrichtungen – führt die Richtlinie drei wesentliche Vorgaben für die Geschäftsführung ein. Sie sind im Abschnitt über Risikomanagementmaßnahmen und Berichtspflichten im Bereich der Cybersicherheit vermerkt (NIS2-Richtlinie, Artikel 20 über Governance, Abs. 1 und 2).
Billigungs- und Überwachungspflicht
Die Geschäftsführung muss in ihrer Einrichtung die im Rahmen von NIS-2 vorgeschriebenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen und ihre Umsetzung überwachen.
Verschärfte Haftung
Die Richtlinie schreibt den Mitgliedstaaten explizit vor, sicherzustellen, dass die Leitungsorgane „für Verstöße […]” durch die betroffenen Einrichtungen verantwortlich gemacht werden können.
Schulungspflicht
Die Geschäftsführung soll nicht nur sicherstellen, dass Mitarbeiter Weiterbildungen im Bereich der Cybersicherheit erhalten. Sie muss auch selbst an Schulungen teilnehmen. Ziel ist es, „ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtungen erbrachten Dienste zu erwerben.“
Wie Mitgliedsstaaten die Regeln umsetzen
Bei der Umsetzung der Richtlinie in nationales Recht müssen die Mitgliedsstaaten die genannten Vorgaben für die Leitungsorgane berücksichtigen. Dabei gibt es jedoch gewisse Spielräume. Im Detail können sich die gesetzlichen Vorgaben deshalb von Land zu Land unterscheiden. Unternehmen müssen jeweils die nationale Gesetzgebung berücksichtigen.
Für österreichische Unternehmen ist das Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) ausschlaggebend. Die Regeln für die Leitungsorgane sind hier im 2. Abschnitt, § 31, Abs. 1 bis 3 festgelegt.
In Deutschland sind die Vorgaben für CEOs in § 38 des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) festgelegt – im Abschnitt „Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen“.
Was die Regeln in der Praxis bedeuten
Müssen sich CEOs also künftig im Kapuzenpulli um die Konfiguration der Firewall kümmern und Cyberangriffe eigenständig abwehren? Nein, sie können die operative Umsetzung natürlich weiterhin an die IT-Abteilung und externe Dienstleister delegieren. Die Verantwortung für die Cybersicherheit bleibt hingegen bei ihnen. Sie haften im äußersten Fall direkt für Versäumnisse.
Die antiquierte Vorstellung, dass Cybersicherheit nur ein IT-Thema ist, wird damit ad acta gelegt. In den von NIS-2 betroffenen wesentlichen und wichtigen Einrichtungen muss sich die Geschäftsführung intensiver mit den Risiken beschäftigen und die Maßnahmen für die Mitigierung dieser Risiken aktiv managen. Das dafür nötige Know-how müssen sich CEOs über Schulungen aneignen.
Die neuen Pflichten gelten zwar nur für die CEOs von Unternehmen, die von NIS-2 betroffen sind. Es ist aber davon auszugehen, dass die neue Praxis auch für nicht betroffene Unternehmen eine Signalwirkung hat. Die Stoßrichtung ist klar: Cybersecurity wird zur Chefsache.
Weitere Infos zum Thema:
NIS-2, Teil 1: Cyber-Resilienz wird Pflicht: Welche Firmen von NIS-2 betroffen sind
NIS-2, Teil 3: NIS-2 Konformität: Welche Maßnahmen Unternehmen umsetzen müssen
NIS-2, Teil 4: Was NIS-2 für die Berichtspflicht von Sicherheitsvorfällen bedeutet
Alle Informationen zur techbold NIS-2 Beratung und Umsetzung.
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Wir benötigen deine Zustimmung, um das Formular laden zu können.
Mehr Informationen
Jochen Jasch
Leitung Kundenbetreuung
oder ein Account Manager aus seinem Team meldet sich umgehend.