Die NIS 2-Richtlinie (Network and Information Systems Directive) der EU, die ab Oktober 2024 in nationales Recht umgesetzt wird, legt strengere Anforderungen an die Cybersicherheit und Resilienz von Unternehmen und Organisationen fest, die als Betreiber wesentlicher Dienste gelten. Die Richtlinie betrifft viele Branchen, darunter Energie, Verkehr, Gesundheit, Banken, digitale Infrastrukturen und viele weitere.
Für Geschäftsführer und Vorstandsmitglieder hat die Umsetzung der NIS 2-Richtlinie erhebliche rechtliche Konsequenzen, insbesondere im Hinblick auf Haftung. Hier sind die wichtigsten Punkte:
1. Erweiterte Verantwortung der Geschäftsleitung
Die NIS 2-Richtlinie schreibt vor, dass das Top-Management (also Geschäftsführer oder Vorstandsmitglieder) direkt verantwortlich ist, die Einhaltung der Sicherheitsanforderungen zu gewährleisten. Dies betrifft unter anderem:
- Die Einführung angemessener Sicherheitsmaßnahmen zur Sicherung der IT-Infrastruktur.
- Risikomanagement-Prozesse und Vorbereitungen auf Cyberangriffe.
- Die Meldung von Sicherheitsvorfällen an die zuständigen Behörden.
2. Persönliche Haftung bei Verstößen
Falls die Anforderungen der NIS 2-Richtlinie nicht erfüllt werden, drohen den betroffenen Unternehmen nicht nur hohe Bußgelder, sondern auch die persönliche Haftung der Geschäftsführer. Dies kann folgende Konsequenzen haben:
- Finanzielle Strafen: Die Richtlinie erlaubt es, auf europäischer Ebene Bußgelder zu verhängen, die bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens betragen können.
- Persönliche Verantwortung: Die Geschäftsleitung kann persönlich haftbar gemacht werden, wenn sie nachweislich nicht ausreichend für die Cybersicherheit gesorgt hat. Dies kann sowohl finanzielle Strafen als auch zivil- und strafrechtliche Konsequenzen umfassen.
3. Haftung bei Cyberangriffen
Wenn ein Unternehmen aufgrund von unzureichenden Sicherheitsmaßnahmen gehackt wird und dies auf die Nichteinhaltung der Vorgaben der NIS 2-Richtlinie zurückzuführen ist, kann dies ebenfalls zu:
- Schadenersatzansprüchen durch betroffene Parteien (z.B. Kunden oder Partner) führen.
- Ermittlung der Aufsichtsbehörden, die prüfen, ob die Cybersicherheitsstandards eingehalten wurden.
- Image-Schäden und Verlust von Vertrauen bei Kunden und Partnern führen.
4. Pflicht zur Schulung und Weiterbildung
Geschäftsführer sind laut NIS 2 auch verpflichtet, sich über aktuelle Entwicklungen und Risiken im Bereich der Cybersicherheit auf dem Laufenden zu halten. Fehlende Kenntnisse oder das Nicht-Erkennen von Risiken schützt nicht vor Haftung. Eine Nichtbeachtung dieser Pflicht könnte als grobe Fahrlässigkeit eingestuft werden.
Fazit:
Ja, Geschäftsführer haften unter der NIS 2-Richtlinie potenziell persönlich, wenn sie die Sicherheitsanforderungen nicht umsetzen und das Unternehmen daraufhin Opfer eines Cyberangriffs wird. Sie sind direkt verantwortlich dafür, dass angemessene Sicherheitsmaßnahmen implementiert werden und Sicherheitsvorfälle gemeldet werden. Ein Versäumnis kann schwerwiegende rechtliche und finanzielle Folgen haben.
Jetzt handeln und Cybersicherheit zur Priorität machen!