Cybersicherheit: Neue Richtlinie "NIS2" verpflichtet auch kleinere und mittlere Unternehmen
Die überarbeitete EU-Richtlinie für Network and Information Security (NIS 2) läutet eine Zeitenwende in der Bekämpfung von Cyberangriffen ein. Die aktualisierte Richtlinie nimmt nun auch kleine und mittlere Unternehmen (KMU) in die Pflicht. Damit soll die Cybersicherheit in Unternehmen europaweit gestärkt und die allgemeine Bedrohungslage reduziert werden.
Ein Beitrag von Miriam Marx, Rechtsanwältin und Head of Financial Lines bei MRH Trowe
Der Blick auf die Zahlen der von Cyber-Angriffen bedrohten Unternehmen erklärt, warum: 2022 waren bereits 84 Prozent aller Firmen in Deutschland Opfer eines Angriffs auf ihre IT-Systeme. Die Zahlen steigen stetig. Zu beachten ist zudem die neu eingeführte Haftung und persönliche Verantwortung von Leitungsorganen.
Cyber-Angriffe bedrohen Unternehmen aller Größen und Branchen. Deshalb wurde in der NIS2-Richtilinie der Kreis der Unternehmen, die von der Umsetzung betroffen sind, ausgeweitet. Letztlich gibt es kaum eine Branche, die nicht betroffen ist. Mit Inkrafttreten der neuen Richtlinie, deren Umsetzung in deutsches Recht im Herbst 2023 erfolgen muss, sind dann alle Unternehmen ab 50 Mitarbeitenden und einem Umsatz von mehr als zehn Millionen Euro betroffen.
NIS 2 fordert die Unternehmensleitung
NIS 2 ist deshalb mehr als nur ein Regelwerk. Die Richtlinie markiert einen Meilenstein auf dem Weg zu einer sichereren digitalen Welt. Insbesondere für kleine und mittlere Unternehmen bringt NIS 2 neue Anforderungen und Herausforderungen mit sich: Von der Einführung von Richtlinien und Standards für Informationssicherheit bis hin zur Entwicklung von Präventionsmaßnahmen, der Erkennung und Abwehr von Cyberangriffen sowie dem Aufbau eines robusten Incident Managements reichen die Maßnahmen, die die Unternehmensleitung zu beachten hat.
Sie müssen ferner die Geschäftskontinuität sicherstellen und Lieferketten schützen. Schon der funktionale Anforderungskatalog ist umfangreich. Gleichzeitig werden die neu geforderten technologischen und prozessualen Standards von strengen Vorgaben für das Meldewesen begleitet.
Mit NIS 2 rückt auch die persönliche Haftung von Geschäftsleitern in den Fokus. In einer Zeit, in der Unternehmen vermehrt von Cyberangriffen betroffen sind, erhöht sich somit der Druck auf Entscheider, sich aktiv mit Cybersicherheit auseinanderzusetzen. Die Organhaftung gilt übrigens auch bei Delegation! Hier müssen dann Kontrollpflichten eingehalten werden. Die Delegation schützt also nicht vor einer möglichen persönlichen Inanspruchnahme.
Cyberrisiken haben eine hohe Relevanz im Risk-Management. Zusammen mit Inflation („Chart-Stürmer“), Klimarisiken („Dauerbrenner“) und der Furcht vor einer neuen Finanzkrise ist Cyber als tägliches Risiko präsent. Deshalb muss auch die Herangehensweise in der Unternehmensführung und im Risikomanagement überdacht werden.
Drohen Regressforderungen gegen die Unternehmensleitung?
Die Rechtsprechung zu Haftungsfragen des Managements, gerade im Rahmen der Bußgeldregresse, ist noch uneinheitlich. So lehnt zum Beispiel eine jüngste Entscheidung des OLG Düsseldorf (Urteil vom 27.7.2023 – VI-6 U 1/22 (Kart)) zum Thema Kartellrechtsbußen und Kartellrechtsschadenersatz die Regressfähigkeit von Kartellunternehmensgeldbußen ab. Im Gegensatz dazu bestätigt das Gericht eine persönliche Haftung von Vorständen und Geschäftsführern dem Grunde nach für Schäden, die ihrem Unternehmen durch Schadensersatzzahlungen an Kartellgeschädigte entstanden sind.
Die höchstrichterliche Entscheidung durch den BGH bleibt noch abzuwarten. Es ist fraglich, ob der BGH zwischen Kartellunternehmensgeldbußen und Kartellschadenersatz unterscheiden wird. Die Frage nach der Regressfähigkeit von Unternehmensgeldbußen stellt sich auch im Datenschutzrecht, Lieferkettensorgfaltspflichtgesetz und Kapitalmarktrecht.
Es zeigt sich, dass im Rahmen des Compliance Managements gerade auch das Thema Cyber auf der Agenda der Geschäftsleitung stehen muss. Je mehr unsere Abhängigkeit von digitalen Systemen zunimmt, ist es unsere Pflicht, die Cybersicherheit auf allen Ebenen zu stärken.
Themen:
LESEN SIE AUCH
“Der Versicherungsmarkt bröckelt: Pflicht-Cyberversicherungen als Rettungsanker für Unternehmen?“
Trotz regelmäßiger Warnungen ergreifen viele Unternehmen nicht die notwendigen Maßnahmen, um ihre IT-Infrastruktur effektiv abzusichern. Die Passivität führt zu immensen wirtschaftlichen Schäden und bringt auch den Versicherungsmarkt ins Wanken. Ziehen sich Versicherer aus dem Segment zurück, entsteht eine fatale Entwicklung für die Unternehmen und den Markt.
Cybersicherheit: Deutscher Markt erstmals über 10-Milliarden-Marke
Deutschland wappnet sich gegen Cyberangriffe und investiert mehr denn je in IT-Sicherheit. Im laufenden Jahr werden die Ausgaben um voraussichtlich 13,1 Prozent steigen und erstmals über der Marke von 10 Milliarden Euro liegen.
Verkannter Wettbewerbsvorteil: Cybersecurity
Die Mehrheit der Geschäftsführer und Vorstände verkennt nach wie vor, welche entscheidende Rolle eine funktionierende Cybersicherheit für den Geschäftserfolg ihres Unternehmens spielt. Dies führt dazu, dass Geschäfts- und Sicherheitsziele oft nicht aufeinander abgestimmt sind.
RELYENS verstärkt Cyber Risk Management mit Silvia Seeger
Die Relyens Gruppe erhält mit Silvia Seeger frische Expertise im Bereich Cybersicherheit für den Standort Deutschland. Als neue Cyber Risk Managerin verstärkt die gebürtige Erfurterin den auf das Gesundheitswesen spezialisierten Versicherer und Risikomanager Relyens.
NIS2: „Die Unternehmen haben ein hohes Eigeninteresse – es geht um ihre Cybersicherheit!“
Die EU absolviert mit der NIS2-Richtlinie eine wichtige Etappe zur europaweiten Cyber-Sicherheitslandschaft. Thorsten Mairhofer, Cyber-Spezialist und Underwriter Cyber bei QBE erläutert die Herausforderungen und Auswirkungen für betroffene Unternehmen.
Deutscher Mittelstand zwei Monate vor NIS-2-Start unvorbereitet
Kurz vor Inkrafttreten der NIS-2-Richtlinie zur Cybersicherheit am 17.10.2024 ist das Thema bei vielen Unternehmen nicht in der Chefetage angekommen. Aktuellen Zahlen der Bundesregierung zufolge sind in Deutschland rund 29.500 Unternehmen von der neuen EU-Richtlinie betroffen. Finanzchef24 geht von bis zu 40.000 betroffenen Unternehmen aus.