Cybersicherheit: Die Umsetzung der NIS-2 in deutsches Recht - Teil 4: Billigungs- und Überwachungspflichten
Die Umsetzung der NIS-2-Richtlinie bindet die Geschäftsleitung stärker in die IT-Sicherheitsstrategien ein. Insbesondere Leiter kritischer Infrastrukturen müssen IT-Risiken nicht nur kennen, sondern auch deren Management aktiv überwachen. In diesem vierten und letzten Teil der Serie geht es um die Pflichten der Geschäftsleitung beim Überwachen der IT-Sicherheit.
Delegation und Haftung
Die NIS-2-Richtlinie begrenzt die Delegationsmöglichkeiten für die Aufgaben der IT-Sicherheit erheblich. Es ist sowohl erlaubt als auch unumgänglich, IT-Sicherheitsaufgaben auf spezifische Unternehmensbereiche (wie IT- und Compliance-Abteilungen) sowie zugehörige Führungskräfte (beispielsweise den Chief Information Security Officer) zu verteilen. Diese Delegation darf jedoch nicht dazu führen, dass die Geschäftsleitung die Einhaltung der Vorgaben aus den Augen verliert und nicht mehr billigt; die Letztverantwortung liegt weiterhin bei ihr. Sie muss sicherstellen, dass die Vorgaben der Richtlinie eingehalten werden und intensiv überwacht werden.
Verstöße gegen diese Überwachungspflichten können zu signifikanten wirtschaftlichen Schäden führen, von finanziellen Einbußen bis zu Schadensersatzzahlungen, für die die Geschäftsleitung direkt haftbar gemacht werden kann.
Ersatzansprüche
Die NIS-2 sieht zudem vor, dass ein Verzicht auf Ersatzansprüche gegen die Geschäftsleitung oder ein entsprechender Vergleich generell unwirksam ist. Dies unterstreicht die Intention des Gesetzgebers, die Führungskräfte nicht ihrer Haftung zu entbinden, selbst wenn Versicherungen wie die D&O-Versicherung greifen sollten.
Schulungen und Fachkenntnisse
Die NIS-2-Richtlinie verpflichtet Geschäftsleiter, regelmäßige Schulungen zu absolvieren, um sicherzustellen, dass sie nicht nur die Risiken der IT-Sicherheit verstehen, sondern diese auch effektiv steuern können. Die Weiterbildung im Bereich Cybersecurity wird zur Grundvoraussetzung für das oberste Management.
Erweiterte Verantwortung der Geschäftsleitung
Durch die Umsetzung der NIS-2-Richtlinie in deutsches Recht erweitert sich die Verantwortung der Geschäftsleitung merklich und erlegt ihnen intensive Billigungs- und Überwachungspflichten auf. Wir beraten bei allen Aspekten rund um IT-Recht und Cybersecurity und unterstützen Sie dabei, die für Ihr Unternehmen relevanten Änderungen zu identifizieren. Dabei helfen wir ihnen, die aktuellen Entwicklungen im Blick zu behalten, relevante Themen zu identifizieren und diese vertraglich umzusetzen.
Bisher zum Thema NIS-2 und Cybersicherheit erschienen:
Die Umsetzung der NIS-2 in deutsches Recht - Teil 1: Der Hintergrund der Verordnung
Die Umsetzung der NIS-2 in deutsches Recht - Teil 2: Begrifflichkeiten
Die Umsetzung der NIS-2 in deutsches Recht - Teil 3: Pflichten für betroffene Einrichtungen
Rechtsanwalt Stefan Haßdenteufel
Experte für Open Source Software
E-Mail: hassdenteufel@web-partner.de