Cybersecurity als Managementaufgabe – NIS2-Richtlinie schafft neuen Rahmen

Es ist an der Zeit, dass auch mittelständische Unternehmen erkennen, dass Cybersecurity und Datensicherheit Chefsache sind. Von Michael Deissner*

Den lästigen ‚IT-Kram‘ lediglich an die entsprechende Fachabteilung weg zu delegieren, damit die die regulatorischen Minimalanforderungen erfüllt, ist für das oberste Management eines Unternehmens längst keine Option mehr – weder geschäftsstrategisch noch unter Haftungsgesichtspunkten.

Wer dies noch nicht erkannt hat, wird spätestens jetzt durch die neue EU-Richtlinie NIS2 (Network and Information Security) eines Besseren belehrt. Im Januar 2023 trat die Cybersecurity-Richtlinie in Kraft, bis 17. Oktober 2024 muss sie in nationales Recht umgesetzt werden. Vom deutschen Bundesinnenministerium liegt ein entsprechender Referentenentwurf bereits in zweiter Fassung vor.

Hohe Haftungsrisiken für Vorstände und Geschäftsführer

Die Europäische Union erhöht mit NIS2 die Anforderungen bezüglich Cybersecurity deutlich, weitet den Umfang der in die Pflicht genommenen Unternehmen drastisch aus und verschärft die Sanktionen für Verstöße und Versäumnisse. Bis zu 2% des weltweiten Jahresumsatzes können die verhängten Strafen betragen, oder 10 Mio. EUR. Der jeweils höhere Wert ist maßgeblich.

Wirtschaftlich sind solche Beträge für Unternehmen relevant, in der Vergangenheit mochten angestellte Vorstände und Geschäftsführer dennoch entspannt bleiben – es war ja nicht ihr Geld, sondern jenes der Aktionäre oder Gesellschafter. Das ändert sich mit NIS2 dramatisch. Denn ab Oktober 2024 haften die Leitungsorgane der jeweiligen Unternehmen persönlich mit ihrem Privatvermögen. Eine Strafe in zweistelliger Millionenhöhe kann dort schnell den eigenen wirtschaftlichen Ruin bedeuten. Und die private Haftung könnte sich auch auf Aufsichtsräte als Unternehmensorgane erstrecken.

Für die Eigentümer eines Unternehmens stellt die neue Regelung eine unbestreitbare Verbesserung dar. Die Sanktionen für Verfehlungen belasten künftig jene Akteure, die sie zu verantworten haben, auch wenn deren wirtschaftliche Kraft vielfach nicht ausreichen dürfte, die Strafen vollumfänglich zu leisten. Die optimierte Anreizstruktur dürfte somit zumindest mittelfristig zu deutlichen Verbesserungen bei den Datensicherheitsmaßnahmen von Unternehmen führen.

Zehntausende Unternehmen allein in Deutschland betroffen

Eigeninitiative ist gefragt, denn auf eine behördliche Mitteilung, dass sie unter die NIS2- Regelungen fallen, brauchen Unternehmen nicht zu warten – die wird es nicht geben. Vielmehr müssen Firmen aufgrund des in der Richtlinie und später in den nationalen Umsetzungen definierten Rahmens selbst eruieren, inwieweit sie ‚NIS2 ready‘ sein müssen.

Diese Prüfung sollte im günstigsten Fall jetzt schon begonnen haben, will man in nur noch 14 Monaten tatsächlich die Anforderungen von NIS2 erfüllen. Grundsätzlich sind in der Richtlinie 18 ‚wesentliche‘ beziehungsweise ‚wichtige‘ Sektoren definiert, die als schützenswerte kritische Infrastruktur gelten. Darunter fallen beispielsweise Transport, Energie, Finanzmärkte und Bankwesen sowie Verwaltung, Forschung und digitale Infrastruktur.

Innerhalb der festgelegten Sektoren unterliegen schon Unternehmen ab 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Mio. EUR oder einer Bilanzsumme von mehr als 43 Mio. EUR NIS2. Auch die Betreiber kritischer Anlagen (KRITIS) werden den Bestimmungen von NIS2 unterliegen. Insgesamt dürften von NIS2 allein in Deutschland rund 30.000 bis 40.000 Unternehmen direkt betroffen sein. Weitere Abstrahleffekte der Richtlinie auf andere Unternehmen entstehen dadurch, dass Unternehmen auch die Cybersicherheit ihrer Lieferketten im Blick haben müssen, wodurch auch Zulieferer mit neuen Anforderungen konfrontiert werden können.

Sicherheitsrisiken analysieren und Schäden vorbeugen

Inhaltlich zielt NIS2 darauf ab, dass Unternehmen ihre Risiken im Bereich Cybersicherheit frühzeitig analysieren und bewerten, ihre Informationssysteme sichern und Pläne und Prozesse zur Bewältigung von Sicherheitsvorfällen und zur Aufrechterhaltung des Betriebs aufsetzen. Maßnahmen wie Schulungen, Sicherheitsrichtlinien, Back-up-Management, Beschaffungssicherheit, Datenverschlüsselung und Authentifizierungsprozesse haben in diesem Zusammenhang große Bedeutung.

Hinzu kommen steigende Anforderungen an das Meldewesen, wonach beispielsweise Cyberangriffe – auch wenn sie nicht erfolgreich waren – zwingend und kurzfristig behördlich zu melden sind. Die Maßnahmen zum Risikomanagement müssen von den Leitungsorgangen des Unternehmens gebilligt und die Umsetzung überwacht werden. Die Delegation dieser Verantwortlichkeit an Dritte ist nicht zulässig, somit kann auch die persönliche Haftung nicht vermieden werden.

NIS2 ist vor allem eins: sinnvoll

Haftungsthemen und komplexe Anforderungen von NIS2 sollten den Blick nicht dafür verstellen, dass die neue Richtlinie inhaltlich hochgradig sinnvoll ist und Cybersecurity zu den elementaren Herausforderungen für Wirtschaft und Gesellschaft zählt. NIS2 wird zu einer Zeit etabliert, in der die Bedrohung von Unternehmen und öffentlicher Infrastruktur durch Cyberkriminalität rasant zunimmt. Die aktuellen geopolitischen Spannungen verschärfen diesen Trend noch zusätzlich.

Die weltweiten Schäden durch Cyberkriminalität summieren sich im laufenden Jahr auf rund 22 Mrd. USD – pro Tag! Alleine in Deutschland werden jährlich Schäden von mehr als 200 Mrd. EUR durch Cyberattacken verursacht.  Dabei wird längst nicht jede Cyberattacke von den betroffenen Einrichtungen überhaupt bemerkt und zeitnah schon gar nicht. Nur rund 10% aller Vorfälle werden öffentlich gemacht und angezeigt. Für Unternehmen stellt sich inzwischen nicht mehr die Frage, ob sie angegriffen werden, sondern nur noch, wann dies der Fall sein wird.

NIS2 schafft nun einen einheitlichen Rahmen, um Europa bestmöglich auf die Gefahren durch Cyberattacken vorzubereiten. Nicht umsonst hat Josep Borrell, der Hohe Vertreter der EU für Außen- und Sicherheitspolitik, den Cyberraum als ‚neuen Kriegsschauplatz‘ bezeichnet. Auch jenseits dieser übergeordneten Ebene sollten ManagerInnen alles in ihrer Macht Stehende tun, um ihre Unternehmen vor Cyberattacken zu schützen.

Michael Deissner, Comforte

Michael Deissner, Comforte

Denn jenseits ihrer unmittelbaren wirtschaftlichen Folgen sind sie für Unternehmen verbunden mit Reputationseinbußen, schwindendem Kundenvertrauen und Verlust von Intellectual Property. Bei kapitalmarktorientierten Unternehmen droht zusätzlich die Vernichtung von Shareholder Value. NIS2 kann somit als willkommener Anstoß für Unternehmen verstanden werden, ihre Risiken bei Cybersecurity zu analysieren und zu minimieren. Je eher dieser Prozess energisch angestoßen wird, umso besser.

*) Michael Deissner ist CEO von Comforte, einem Marktführer für datenzentrische Cybersecurity-Lösungen.

—————————-

! NEU ! Die erste BondGuide Jahresausgabe 2023 ist erschienen: Green & Sustainable Finance 2023 (4. Jg.) kann wie gewohnt kostenlos als e-Magazin oder pdf heruntergeladen werden.

Die Ausgabe 3/2022 Biotechnologie 2022 der Plattform Life Sciences ist erschienen. Die Ausgabe kann bequem als e-Magazin oder pdf durchgeblättert oder heruntergeladen werden.

Bitte nutzen Sie für Fragen und Meinungen Twitter – damit die gesamte Community davon profitiert. Verfolgen Sie alle Diskussionen & News zeitnaher auf Twitter@bondguide !

Weitere Artikel aus der Kategorie Krypto, FinTech und digitale Assets:

25.04.2024Auch Bitcoin reagiert auf geopolitische Ereignisse
17.04.2024Krypto-Scam: erfahrene Anleger setzen ausschließlich auf etablierte Kryptowährungen
15.04.2024Bitcoin-Halving dürfte abermals großen Einfluss auf den Bitcoin-Kurs haben
09.04.2024Krypto-Rallye wohl weithin ohne Private – Skepsis überwiegt
28.03.2024Bis 2027 weitere 220 Mrd. USD in Bitcoin-ETFs möglich