Neue Pflichten für CEOs mit Blick auf Cybersecurity
Neue Pflichten für CEOs mit Blick auf Cybersecurity
Brüssel verschärft die Anforderungen an IT-Sicherheit in Unternehmen und forciert deren Einhaltung durch eine weitreichende Haftung
Von Jörg Wünschel *)
Am 16. Januar 2023 ist die Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („Network-and-Information-Security-Richtlinie 2“ / „NIS 2-Richtlinie“) in Kraft getreten. Sie ist spätestens bis zum 17. Oktober 2024 in nationales Recht umzusetzen.
Ziel der Richtlinie ist es, die unionsweite Cybersicherheit noch weiter zu stärken. Denn Hackerangriffe können nicht nur einen enormen, insbesondere finanziellen Schaden für das einzelne betroffene Unternehmen zur Folge haben, sondern auch volkswirtschaftliche und gesamtgesellschaftliche Schäden verursachen, wenn etwa ein zentraler Internetknotenpunkt aufgrund eines Cyberangriffs ausfällt, ein Ampelsystem attackiert oder ein Krankenhaus in seinem Betrieb gestört wird.
Nicht zuletzt bestehen aber auch Risiken aufgrund von (Wirtschafts-)Spionage, wenn sensible Informationen – etwa aufgrund unzureichend geschützter IT-Systeme – erlangt werden können.
Spürbare Verschärfung
Wenngleich es bereits schon jetzt Vorgaben zur Cybersicherheit mit vergleichbarer Zielrichtung gibt, so gelten diese dennoch als unzureichend. Denn sie beschränken sich im Wesentlichen auf kritische Infrastrukturen und digitale Dienste, während zugleich das bislang erreichte Schutzniveau in den EU-Mitgliedsstaaten deutliche Unterschiede aufzeigt.
Vor diesem Hintergrund sah sich die EU veranlasst, die bestehenden Vorschriften durch einen umfassenden Katalog von zu erfüllenden Mindestsicherheitsmaßnahmen zu verschärfen sowie den Kreis der Verpflichteten von bislang 7 auf 18 Sektoren wesentlich zu erweitern.
Betroffen von der NIS 2-Richtlinie bzw. von dem entsprechenden Umsetzungsgesetz sind jedenfalls all jene Unternehmen, die mehr als 50 Mitarbeiter beschäftigen, einen Jahresumsatz von mehr als 10 Mill. Euro aufweisen und zu einem der folgenden Sektoren zählen: Bankwesen und Finanzmarktinfrastrukturen, Digitale Infrastruktur, Anbieter digitaler Dienste, Verarbeitendes Gewerbe/Herstellung von Waren, Lebensmittel, Energie, Chemie, Verkehrswesen, Gesundheitswesen, Verwaltung von IKT-Diensten (B2B), Post- und Kurierdienste, Forschung, öffentliche Verwaltung, Trink- und Abwasser sowie Abfallwirtschaft, Weltraum.
Nicht allein Größe zählt
Unabhängig von ihrer Größe werden Unternehmen auch allein aufgrund ihrer wahrgenommenen Aufgabe beziehungsweise angebotenen Dienstleistung verpflichtet, so etwa bestimmte IT-Dienstleister wie DNS-Diensteanbieter oder qualifizierte Vertrauensdienste, die digitale Signaturen bereitstellen.
Ferner ermächtigt die Richtlinie die EU-Mitgliedsstaaten, den Adressatenkreis um Unternehmen zu erweitern, wenn zu befürchten ist, dass der Ausfall ihrer Dienste zu erheblichen gesamtgesellschaftlichen beziehungsweise gesamtwirtschaftlichen Auswirkungen führt.
Alle von der NIS 2-Richtlinie erfassten Unternehmen werden zur Ergreifung von technischen, operativen und organisatorischen Maßnahmen verpflichtet, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme beherrschen und die Auswirkungen von möglichen Sicherheitsvorfällen verhindern oder möglichst gering halten zu können.
Regelmäßige Schulungen
Zur Beurteilung, welche Maßnahmen zu ergreifen sind, sind zum einen die Eintrittswahrscheinlichkeit eines Sicherheitsvorfalls und zum anderen dessen potentielle Auswirkungen sowohl auf das Unternehmen als auch auf die Gesellschaft und die Wirtschaft insgesamt zu berücksichtigen. Je größer dieses Risiko und diese Auswirkungen sein können, um so weitreichendere Maßnahmen sind vorzusehen. Zumindest haben die betroffenen Unternehmen wirksame Maßnahmen zu implementieren – und diese zu dokumentieren –, um Cybersicherheitsrisiken erkennen, durch Einsatz von Zugriffskontrollen und Verschlüsselungstechniken vermeiden und Sicherheitsvorfälle unter Aufrechterhaltung des Betriebs bewältigen zu können. Vor allem sind die Mitarbeiter durch regelmäßige Schulungen zu sensibilisieren und ihnen ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Begegnung von Cybersicherheitsrisiken zu vermitteln. Begleitet werden die zu treffenden Vorkehrungen ferner von umfassenden Melde- und Berichtspflichten, sollte ein Sicherheitsvorfall eingetreten sein. Nicht zuletzt ist ebenso die Sicherheit innerhalb der Lieferkette sicherzustellen.
Kritische Infrastruktur
Unternehmen, welche nach der Richtlinie als wesentliche Einrichtungen definiert werden, also etwa zur kritischen Infrastruktur zählen oder sich bestimmten sensiblen Sektoren zuordnen lassen, trifft darüber hinaus eine proaktive Nachweispflicht, dass die von ihnen getroffenen Maßnahmen ausreichend sind. Diese Unternehmen können zudem anlasslos von der zuständigen Behörde auf NIS 2-Compliance überprüft werden.
CEOs sind ihrerseits nunmehr verpflichtet, das Cybersicherheitsrisikomanagement sowohl zu prüfen und gegebenenfalls anzupassen als auch dessen Umsetzung und Einhaltung zu überwachen. Das erfordert, dass sie für die Bewertung der vorgesehenen Maßnahmen ihrerseits hinreichende Kenntnis hinsichtlich Cyberrisiken erwerben und insbesondere zur Bewertung der Angemessenheit der zu ergreifenden Maßnahmen auch das mögliche Schadensausmaß – nicht nur für das eigene Unternehmen – zutreffend ermitteln können. Essentiell wird insofern der konstante und enge Austausch mit den IT-Teams werden, insbesondere weil sich Cyberrisiken beständig ändern und insofern kontinuierliche Anpassungen an das Cybersicherheitsrisikomanagement notwendig werden.
Harte Sanktionen
Verstöße gegen die vorgenannten Pflichten sind sanktionsbewehrt. Je nach Einordnung des Unternehmens als wesentliche oder wichtige Einrichtung können neben der Aussetzung der Betriebsgenehmigung auch Geldbußen in Höhe von bis zu 10 Mill. Euro oder 2% des Jahresumsatzes beziehungsweise in Höhe von bis zu 7 Mill. Euro oder 1,4% des Jahresumsatzes verhängt werden – stets je nachdem welcher Betrag höher ist.
Neben dem Unternehmen unterliegen auch die CEOs selbst der Haftung. Sofern diese ihre – nicht delegierbaren – Pflichten verletzen, haften sie dem Unternehmen gegenüber persönlich auf den entstandenen Schaden. Insbesondere bei Produktionsausfällen besteht insofern ein erhebliches Haftungsrisiko. Das Unternehmen kann diese Haftung weder ausschließen noch auf Ansprüche verzichten.
Mit dem Digital Operational Resilience Act (Verordnung [EU] 2022/2554; „DORA“) hat die EU als lex specialis einen weiteren Rechtsakt erlassen, der die digitale Resilienz erhöhen und EU-weit harmonisieren soll, und zwar für fast alle Unternehmen des Finanzsektors. Hinsichtlich dieser Unternehmen sollen nach der NIS 2-Richtlinie jene Vorschriften nicht anzuwenden sein, die sich auf das Cybersicherheitsrisikomanagement, die Berichtspflichten sowie auf die Aufsicht und die Durchsetzung beziehen. Stattdessen gelten die diesbezüglichen – und strengeren – Vorgaben von DORA.
Abgrenzung zu DORA
Nach den bereits vorliegenden Gesetzgebungsentwürfen und Diskussionspapieren zeichnet es sich zudem ab, dass der deutsche Gesetzgeber jene Unternehmen des Finanzsektors, welche bereits von DORA verpflichtet werden, aus dem Adressatenkreis des NIS 2-Umsetzungsgesetzes nehmen möchte.
Die Bedeutung der NIS 2-Richtlinie und ihre Auswirkungen sind – nicht zuletzt aufgrund der vorgesehenen persönlichen Haftung von CEOs – kaum zu unterschätzen.
Zwar hat der deutsche Gesetzgeber noch bis zum 17. Oktober 2024 Zeit, die Richtlinie umzusetzen. Da die zu ergreifenden Maßnahmen aber sehr umfassend sind, sollte bereits frühzeitig damit begonnen werden, die bereits bestehenden Cybersicherheitsmaßnahmen zu sichten, auf NIS 2-Compliance zu überprüfen und Sicherheitslücken zu schließen sowie die NIS 2-Compliance ausführlich zu dokumentieren.
Erhebliche Kosten
Darüber hinaus sind auch die Verträge mit Geschäftspartnern innerhalb einer Lieferkette NIS 2-konform anzupassen. All dies kann erhebliche Kosten verursachen. Noch höhere Kosten dürften jedoch mögliche Geldbußen bei fehlender NIS 2-Compliance verursachen und erst recht ein „erfolgreicher“ Angriff auf die Netzwerk- und Informationssicherheit des Unternehmens.
*) Dr. Jörg Wünschel ist Rechtsanwalt in der Kanzlei GSK Stockmann.