🚨 NIS2 ist nun in Kraft getreten. Sicherheitsbewusstsein ist in der EU nun gesetzlich vorgeschrieben.

Einhaltung prüfen
Starten Sie Ihre kostenlose Testphase
Zurück zum Ressourcenzentrum

NIS2 und die Haftung des Vorstands: Was jeder Vorstandsmitglied wissen muss

Mit NIS2 ist Cybersicherheit nicht mehr etwas, das ein Vorstand delegieren und dann vergessen kann. Die Richtlinie legt die Verantwortung eindeutig bei der Geschäftsleitung und macht unter bestimmten Umständen einzelne Vorstandsmitglieder persönlich haftbar. Dies zu unterschätzen, ist nicht nur ein organisatorisches Risiko, sondern auch ein persönliches rechtliches Risiko.

Was die NIS2 über die Rolle der Geschäftsführer sagt

Artikel 20 der NIS-2-Richtlinie ist eindeutig: Die Leitungsorgane von Organisationen, die unter die Richtlinie fallen, müssen Cybersicherheitsmaßnahmen genehmigen und deren Umsetzung aktiv überwachen. Dies stellt eine grundlegende Veränderung gegenüber der ursprünglichen NIS-1-Richtlinie dar, nach der die Cybersicherheit in der Praxis weitgehend in der Verantwortung der IT-Abteilung lag.

Die NIS2-Richtlinie verlangt von den Vorstandsmitgliedern ausreichende Kenntnisse über Cybersicherheitsrisiken, damit sie ihre Aufsichtsfunktion sinnvoll wahrnehmen können. Die Richtlinie schreibt sogar ausdrücklich vor, dass die Geschäftsleitung Schulungen in diesem Bereich absolvieren muss. Es reicht nicht aus, auf einen CISO oder ein externes Sicherheitsunternehmen zu verweisen; die letztendliche Verantwortung liegt beim Vorstand.

Persönliche Haftung: Was das in der Praxis bedeutet

In den Niederlanden wurde NIS2 in das Gesetz über Cybersicherheit (Cyberbeveiligingswet, Cbw) umgesetzt. Dieses Gesetz sieht eine Haftungsregelung vor, die über Geldbußen für Organisationen hinausgeht. Kann nachweislich eine Fahrlässigkeit seitens eines Geschäftsführers festgestellt werden, kann die Aufsichtsbehörde dieser Person vorübergehend die Ausübung von Führungsaufgaben untersagen. Die Maßnahme richtet sich gegen die Person, nicht gegen die Organisation.

Konkret kann ein Vorstandsmitglied, das es wiederholt versäumt hat, angemessene Cybersicherheitsmaßnahmen zu gewährleisten, oder das einen schwerwiegenden Vorfall ignoriert oder verschleiert hat, vorübergehend seines Amtes enthoben werden. Diese Befugnis ist ausdrücklich als Druckmittel gedacht, um Vorstandsmitglieder dazu zu bewegen, ihre Verantwortung ernst zu nehmen.

Die Bestimmung zur persönlichen Haftung im Cybersicherheitsgesetz gilt nur, wenn nachweislich ein fahrlässiges Verhalten eines einzelnen Vorstandsmitglieds festgestellt werden kann. Sie ist keine automatische Folge jedes Vorfalls, sondern gilt nur für Fälle, in denen ein Vorstand seiner Aufsichtsfunktion strukturell nicht nachgekommen ist.

Welche Organisationen fallen unter diese Vorschriften?

NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Wesentliche Einrichtungen sind große Organisationen in kritischen Sektoren wie Energie, Verkehr, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur. Wichtige Einrichtungen sind mittelgroße Organisationen in denselben Sektoren, ergänzt durch Branchen wie die chemische Industrie, die Lebensmittelproduktion und digitale Dienstleister.

Die in Artikel 20 festgelegten Verpflichtungen auf Vorstandsebene gelten für beide Kategorien. Der Unterschied liegt in der Intensität der Aufsicht: Wesentliche Unternehmen können proaktiven Prüfungen durch die zuständige Behörde unterzogen werden, während die Aufsicht über wichtige Unternehmen grundsätzlich reaktiv erfolgt und durch Meldungen oder Vorfälle ausgelöst wird.

Kategorie Größe Betreuung Höchststrafe
Wesentliches Element Großunternehmen (250+ Mitarbeiter oder 50 Mio.+ Umsatz) Proaktiv 10 Millionen Euro oder 2 % des weltweiten Umsatzes
Wichtige Einheit Mittlere Unternehmen (50 bis 250 Mitarbeiter) Reaktiv 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes

Was wird eigentlich von den Vorstandsmitgliedern erwartet?

Das Gesetz stellt keine konkreten fachlichen Anforderungen an die Vorstandsmitglieder, legt jedoch organisatorische und verfahrenstechnische Anforderungen fest. In der Praxis lassen sich diese auf vier Aufgabenbereiche zusammenfassen:

  • Verabschiedung der Richtlinie: Der Vorstand muss die Cybersicherheitsrichtlinie formell verabschieden und regelmäßig überprüfen; er darf sie nicht lediglich zur Kenntnis nehmen.
  • Budgetzuweisung: Angemessene Sicherheitsmaßnahmen erfordern Ressourcen. Der Vorstand ist dafür verantwortlich, diese Ressourcen bereitzustellen.
  • Aufsicht: Es müssen Berichtswege vorhanden sein, die es dem Vorstand ermöglichen, die Sicherheitslage der Organisation auch ohne technisches Fachwissen zu beurteilen.
  • Maßnahmen nach Vorfällen: Tritt ein schwerwiegender Vorfall ein, muss der Vorstand aktiv an den Gegenmaßnahmen beteiligt sein und den Meldepflichten gegenüber den Aufsichtsbehörden nachkommen.

Die Meldepflicht und die Rolle des Vorstands dabei

Die NIS2-Richtlinie schreibt strenge Meldepflichten für schwerwiegende Vorfälle vor. Eine Erstmeldung muss innerhalb von 24 Stunden nach Feststellung bei der zuständigen Behörde eingehen. Ein detaillierter Bericht ist innerhalb von 72 Stunden vorzulegen, ein Abschlussbericht innerhalb eines Monats. Dieser Zeitplan setzt voraus, dass der Vorstand unverzüglich informiert wird und rasch handeln kann.

Ein Geschäftsführer, der nicht weiß, wie die internen Eskalationsverfahren aussehen, oder der erst Tage später von einem schwerwiegenden Vorfall erfährt, schafft unnötige Schwierigkeiten. Sowohl in sachlicher als auch in rechtlicher Hinsicht. Die Einhaltung der Meldepflicht ist schließlich einer der Bereiche, die die Aufsichtsbehörden relativ leicht überprüfen können.

Wie man sich als Regisseur vorbereitet

Vorbereitung beginnt mit Einsicht. Ein Geschäftsführer muss kein Sicherheitsexperte sein, sollte aber verstehen, welchen Risiken das Unternehmen ausgesetzt ist, welche Maßnahmen bereits getroffen wurden und wie das Unternehmen reagiert, wenn etwas schiefgeht. Dies erfordert regelmäßige Sicherheitsberichte auf Vorstandsebene, klare Eskalationswege und einen Plan zur Reaktion auf Vorfälle, mit dem der Vorstand vertraut ist.

Die NIS2 schreibt zudem ausdrücklich vor, dass Vorstandsmitglieder an Schulungen zum Thema Cybersicherheit teilnehmen müssen. Dabei geht es nicht darum, ihnen technische Kenntnisse zu vermitteln, sondern sie in die Lage zu versetzen, Risiken abzuwägen und Richtlinien zu bewerten. Organisationen, die dies ernst nehmen, dokumentieren diese Schulungen auch, damit sie bei einem Audit nachweisen können, dass der Vorstand seinen Verpflichtungen nachgekommen ist.

Das Sicherheitsbewusstsein ist ein unterschätztes Glied in dieser Kette, und zwar nicht nur bei den Mitarbeitern. Ein Geschäftsführer, der einen Phishing-Versuch erkennt, versteht, was auf dem Spiel steht, wenn ein Mitarbeiter dies nicht tut. Guardey hilft Unternehmen dabei, dieses Bewusstsein auf allen Ebenen zu verankern – von der Produktionshalle bis zur Vorstandsetage.

Die Einhaltung der NIS2-Vorschriften beginnt hier

Schaffen Sie eine Sicherheitskultur, bevor die Aufsichtsbehörde an Ihre Tür klopft.

Demo anfordern
Dinela Lokvancic
Dinela Lokvancic Marketing-Spezialistin Dinela hält die Online-Präsenz von Guardey auf dem neuesten Stand. Sie erstellt Inhalte, die komplexe Themen der Cybersicherheit verständlich machen, und hilft Unternehmen zu verstehen, warum Schulungen zum Sicherheitsbewusstsein für ihre Teams wichtig sind.
Sind Sie bereit, loszulegen?

Schließen Sie sich den über 500 Unternehmen an, die ihre Teams bereits mit Guardey schützen

Starten Sie Ihre kostenlose 14-tägige Testphase
14 Tage kostenlos · Keine Kreditkarte · Voller Zugriff · Einrichtung in 5 Minuten
Oder vereinbaren Sie eine individuelle Vorführung