NIS-2: Neue Herausforderungen für IT-Sicherheit und Unternehmensverantwortung
Das Bundeskabinett in Deutschland hat kürzlich den Entwurf zur Umsetzung der EU-Sicherheitsrichtlinie NIS-2 verabschiedet. Diese Entscheidung markiert einen entscheidenden Wendepunkt in der deutschen IT-Sicherheitslandschaft und setzt Unternehmen erheblich unter Druck, ihre Sicherheitsmaßnahmen zu optimieren. Die NIS-2-Richtlinie verschärft nicht nur die Anforderungen an IT-Sicherheitsvorkehrungen, sondern legt auch die Verantwortung direkt in die Hände der Geschäftsführung – bei Nichteinhaltung drohen persönliche Konsequenzen.
Für Österreich gehen wir davon aus, das analog zur DSGVO Umsetzung diese Richtlinie auch in ähnlicher Form übernommen werden wird.
Was das konkret für Unternehmensleitungen bedeutet und welche Auswirkungen die Neuerungen auf den Versicherungsschutz haben, erläutern wir in diesem Beitrag.
Erweiterte Anforderungen: Was NIS-2 mit sich bringt
Die NIS-2-Richtlinie der Europäischen Union zielt darauf ab, den Schutz kritischer Infrastrukturen und digitaler Dienste innerhalb der EU zu stärken. Unternehmen ab 50 Mitarbeitern und einem Jahresumsatz von mindestens zehn Millionen Euro sind verpflichtet, bis zum 17. Oktober 2024 umfassende Sicherheitsmaßnahmen zu implementieren. Im Vergleich zu ihrer Vorgängerin, der NIS-Direktive, erweitert NIS-2 den Geltungsbereich auf zusätzliche Sektoren und erhöht die Sicherheitsanforderungen erheblich. Dazu zählen technische und organisatorische Maßnahmen wie Incident-Response-Pläne, regelmäßige Penetrationstests und die Implementierung eines ISMS gemäß ISO27001 oder BSI IT-Grundschutz. Besonders hervorzuheben ist, dass NIS-2 die Verantwortung für die Einhaltung dieser Maßnahmen direkt auf die Geschäftsführung überträgt.
Geschäftsführerhaftung unter NIS-2: Persönliche Risiken
Eine der gravierendsten Änderungen durch die NIS-2-Richtlinie betrifft die Haftung der Geschäftsführung. Führungskräfte sind künftig verpflichtet, Risikomanagement-Maßnahmen im Bereich Cybersicherheit zu genehmigen und deren Umsetzung zu überwachen. Darüber hinaus müssen sie sicherstellen, dass regelmäßige Cybersicherheitsschulungen für alle Mitarbeitenden durchgeführt werden.
Artikel 20 der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) sieht vor, dass Geschäftsführer bei einem Cyberangriff, der auf Nichteinhaltung der Sicherheitsanforderungen zurückzuführen ist, persönlich haftbar gemacht werden können. Das bedeutet nicht nur rechtliche, sondern auch finanzielle Konsequenzen. Insbesondere Unternehmen, die als „Essential Entities“ eingestuft werden, drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Für „Important Entities“ können Strafen von bis zu sieben Millionen Euro oder 1,4 Prozent des Umsatzes verhängt werden. Zusätzlich besteht das Risiko, dass natürlichen Personen verboten wird, Leitungsfunktionen in Unternehmen wesentlicher Einrichtungen auszuüben.
Versicherungsschutz unter Druck: Die Rolle von Cyber- und D&O-Versicherungen
Viele Unternehmen verlassen sich auf Cyberversicherungen, um sich gegen die finanziellen Folgen eines Cyberangriffs abzusichern. Allerdings erfordert dies die Erfüllung bestimmter Voraussetzungen, wie die Implementierung aktueller Sicherheitssysteme und ein dokumentiertes Sicherheitskonzept. Sollte ein Schaden auftreten und das Unternehmen für die Nichteinhaltung von Sicherheitsanforderungen verantwortlich gemacht werden, könnte die Versicherung die Deckung verweigern. Bislang griff in solchen Fällen häufig die Directors-and-Officers-Versicherung (D&O), doch auch hier ändern sich die Bedingungen mit der Einführung von NIS-2.
Die persönliche Haftung der Geschäftsführung bedeutet, dass D&O-Versicherungen im Falle einer Nichteinhaltung der NIS-2-Anforderungen möglicherweise keine Schadensregulierung mehr vornehmen. Das Risiko, dass die Geschäftsführung mit ihrem Privatvermögen haften muss, steigt somit erheblich.
Schritte zur Minimierung von Risiken
Für Unternehmen und ihre Geschäftsführer sollte der Schutz vor Cyberangriffen und die Stärkung der IT-Sicherheit höchste Priorität haben. Um Haftungsrisiken zu minimieren und den Versicherungsschutz sicherzustellen, ist eine strikte Einhaltung der NIS-2-Vorgaben unerlässlich. Dabei stehen die Aktualisierung der Sicherheitsinfrastruktur und die regelmäßige Durchführung von Risikobewertungen im Vordergrund. Führungskräfte sollten zudem in regelmäßige Cybersicherheitsschulungen für ihre Mitarbeitenden investieren.
Sollten die notwendigen Ressourcen zur Umsetzung der NIS-2-Anforderungen intern fehlen, ist es ratsam, erfahrene Dienstleister wie Mondess IT hinzuzuziehen. Unsere Managed Security Services, einschließlich Managed Detection and Response, bieten umfassende Lösungen zur Überwachung und Absicherung Ihrer IT-Systeme. Unsere IT-Security-Spezialisten identifizieren frühzeitig Schwachstellen und reagieren proaktiv auf Cyberbedrohungen, um ein hohes Sicherheitsniveau zu gewährleisten.
Fazit
Die NIS-2-Richtlinie erhöht den Druck auf Geschäftsführer, die IT-Sicherheitsstandards in ihren Unternehmen deutlich zu verbessern. Während Cyberversicherungen weiterhin einen wichtigen Schutz bieten können, ändern sich die Rahmenbedingungen für den Versicherungsschutz erheblich. Die Verantwortung liegt bei der Geschäftsführung, proaktive Maßnahmen zu ergreifen, um sowohl das Unternehmen als auch sich selbst vor den finanziellen und rechtlichen Folgen eines Cyberangriffs zu schützen. Mondess IT steht Ihnen dabei als kompetenter Partner zur Seite.
