Cybersicherheitsverantwortung der Geschäftsleitung: § 38 NIS-2-Umsetzungsgesetz im Fokus
Die Umsetzung der NIS-2-Richtlinie in nationales Recht stellt Unternehmen und Einrichtungen vor neue Herausforderungen im Bereich der Cybersicherheit. Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen gemäß § 38 des NIS-2-Umsetzungsgesetzes umfassende Pflichten erfüllen.
Dieser Artikel beleuchtet die Kernpunkte der Billigungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen und bietet einen Action Plan, wie sich Geschäftsführer vor Haftungsrisiken schützen können.
Billigung und Überwachung von Risikomanagementmaßnahmen
Gemäß § 38 Absatz 1 des NIS-2-Umsetzungsgesetzes sind Geschäftsleitungen verpflichtet, die Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und deren Umsetzung zu überwachen. Diese Maßnahmen basieren auf den Vorgaben des § 30 und sind entscheidend, um ein hohes Sicherheitsniveau zu gewährleisten. Auch wenn Hilfspersonen eingeschaltet werden, bleibt das Leitungsorgan letztverantwortlich. Diese Regelung setzt Artikel 20 Absatz 1 der NIS-2-Richtlinie um und stellt sicher, dass die Verantwortung nicht delegiert werden kann.
Die Billigung der Risikomanagementmaßnahmen bedeutet, dass die Geschäftsleitung aktiv die geplanten Sicherheitsmaßnahmen prüft und ihre Zustimmung erteilt. Die Überwachung umfasst die fortlaufende Kontrolle der Umsetzung und Wirksamkeit dieser Maßnahmen. Hierbei sind regelmäßige Berichte und Audits unerlässlich, um sicherzustellen, dass die Maßnahmen den aktuellen Bedrohungslagen angepasst sind und wirksam bleiben.
Unwirksamkeit von Verzicht und unverhältnismäßigen Vergleichen
Ein zentraler Aspekt des § 38 Absatz 2 ist die Unwirksamkeit des Verzichts auf Ersatzansprüche aufgrund einer Pflichtverletzung der Geschäftsleitung. Ein Vergleich, der in einem groben Missverhältnis zu den bestehenden Unsicherheiten über das Rechtsverhältnis steht, ist ebenfalls unwirksam, außer bei Zahlungsunfähigkeit oder im Rahmen eines Insolvenzplans. Diese Vorschrift dient der unionsrechtskonformen Ausfüllung des bestehenden Umsetzungsspielraums und verhindert, dass die Haftung der Geschäftsleitung auf unzulässige Weise eingeschränkt wird. Sie steht im Einklang mit den allgemeinen Grundsätzen der Binnenhaftung, wie sie beispielsweise in § 93 AktG geregelt sind.
Diese Regelung soll sicherstellen, dass Geschäftsleitungen ihre Pflichten ernst nehmen und die Cybersicherheitsrisiken nicht leichtfertig behandeln. Ein Verzicht auf Ersatzansprüche könnte dazu führen, dass notwendige Sicherheitsmaßnahmen vernachlässigt werden. Daher ist ein solcher Verzicht unzulässig, um die Wirksamkeit der NIS-2-Richtlinie zu gewährleisten.
Regelmäßige Schulungspflichten
Um den Anforderungen des § 38 Absatz 3 gerecht zu werden, müssen Geschäftsleitungen regelmäßig an Schulungen teilnehmen. Diese Schulungen sollen mindestens alle drei Jahre stattfinden und etwa vier Stunden dauern. Ziel ist es, ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie zur Anwendung von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erwerben. Diese Pflicht erstreckt sich gemäß Artikel 20 Absatz 2 der NIS-2-Richtlinie auch auf alle Mitarbeitenden, was im nationalen Recht durch § 44 Absatz 1 BSIG-E sichergestellt wird. Für Einrichtungen der Bundesverwaltung gelten abweichende Regelungen gemäß § 43 Absatz 2.
Die Schulungspflichten sollen sicherstellen, dass Geschäftsleitungen und Mitarbeitende stets über die neuesten Entwicklungen und Bedrohungen im Bereich der Cybersicherheit informiert sind. Regelmäßige Fortbildungen tragen dazu bei, das Bewusstsein für Sicherheitsrisiken zu schärfen und effektive Maßnahmen zur Risikominimierung zu entwickeln.
Action Plan: Wie schützen sich Geschäftsführer vor Haftungsrisiken?
Verständnis und Compliance sicherstellen:
- Anforderungen der NIS-2-Richtlinie und des Umsetzungsgesetzes kennen.
- Compliance-Framework implementieren und regelmäßig überprüfen.
Risikomanagementmaßnahmen etablieren und billigen:
- Umfassende Risikomanagementstrategien entwickeln und umsetzen.
- Maßnahmen von der Geschäftsleitung prüfen und genehmigen lassen.
- Regelmäßige Audits und Reviews durchführen.
Überwachung und Kontrolle:
- System zur kontinuierlichen Überwachung der Cybersicherheitsmaßnahmen implementieren.
- Regelmäßige Berichte von IT- und Sicherheitsabteilungen anfordern.
- Externe Auditoren zur unabhängigen Überprüfung nutzen.
Krisenmanagementplan entwickeln:
- Detaillierten Krisenmanagementplan für Cybersicherheitsvorfälle entwickeln.
- Krisenmanagementplan regelmäßig durch Simulationen und Übungen testen.
Schulungen und D&O Versicherung
Schulungen und Weiterbildungen:
- Regelmäßige Schulungen für Geschäftsleitung und Mitarbeiter organisieren.
- Schulungen mindestens alle drei Jahre durchführen.
- Teilnahme und Inhalte der Schulungen dokumentieren.
Dokumentation und Nachweisführung:
- Entscheidungen, Genehmigungen und Überwachungsmaßnahmen schriftlich festhalten.
- Umsetzung der Risikomanagementmaßnahmen und Auditergebnisse dokumentieren.
- Schulungsunterlagen und Teilnahmenachweise aufbewahren.
Versicherungen prüfen und abschließen:
- Bestehenden Versicherungsschutz, insbesondere D&O-Versicherungen, überprüfen.
- Ggf. zusätzliche Versicherungen abschließen, um Haftungsrisiken abzudecken.
Action Plan im Detail
1. Verständnis und Compliance sicherstellen:
- Mach dich mit den Anforderungen der NIS-2-Richtlinie und des NIS-2-Umsetzungsgesetzes vertraut.
- Implementiere ein Compliance-Framework, das die gesetzlichen Anforderungen erfüllt und regelmäßig überprüft wird.
2. Risikomanagementmaßnahmen etablieren und billigen:
- Entwickle und implementiere umfassende Risikomanagementstrategien im Bereich der Cybersicherheit.
- Stelle sicher, dass alle Maßnahmen von der Geschäftsleitung geprüft und genehmigt werden.
- Führe regelmäßige Audits und Reviews durch, um die Wirksamkeit der Maßnahmen zu gewährleisten.
3. Überwachung und Kontrolle:
- Implementiere ein System zur kontinuierlichen Überwachung der Cybersicherheitsmaßnahmen.
- Fordere regelmäßige Berichte von IT- und Sicherheitsabteilungen an.
- Nutze externe Auditoren, um die Effektivität der Sicherheitsmaßnahmen unabhängig überprüfen zu lassen.
4. Schulungen und Weiterbildungen:
- Organisiere regelmäßige Schulungen für die Geschäftsleitung und alle relevanten Mitarbeitenden.
- Stelle sicher, dass die Schulungen alle drei Jahre und bei Bedarf häufiger stattfinden.
- Dokumentiere die Teilnahme und Inhalte der Schulungen zur Nachweisführung.
5. Dokumentation und Nachweisführung:
- Halte alle Entscheidungen, Genehmigungen und Überwachungsmaßnahmen schriftlich fest.
- Dokumentiere die Umsetzung der Risikomanagementmaßnahmen und die Ergebnisse der Audits.
- Bewahre Schulungsunterlagen und Nachweise über die Teilnahme auf.
6. Versicherungen prüfen und abschließen:
- Überprüfe den bestehenden Versicherungsschutz, insbesondere D&O-Versicherungen (Directors and Officers Liability Insurance).
- Schließe ggf. zusätzliche Versicherungen ab, um Haftungsrisiken abzudecken.
7. Rechtliche Beratung einholen:
- Konsultiere regelmäßig rechtliche Berater, um sicherzustellen, dass alle Maßnahmen den aktuellen gesetzlichen Anforderungen entsprechen.
- Nutze die Expertise von Fachanwälten für IT- und Cybersicherheitsrecht.
8. Krisenmanagementplan entwickeln:
- Entwickle einen detaillierten Krisenmanagementplan, der Schritte zur Bewältigung von Cybersicherheitsvorfällen enthält.
- Teste den Krisenmanagementplan regelmäßig durch Simulationen und Übungen.
Durch die konsequente Umsetzung dieses Action Plans können Geschäftsleitungen ihre Organisationen bestmöglich gegen Cyberbedrohungen schützen und gleichzeitig den gesetzlichen Anforderungen der NIS-2-Richtlinie gerecht werden.
Fazit
Die Umsetzung der NIS-2-Richtlinie durch das NIS-2-Umsetzungsgesetz bringt erhebliche Verantwortlichkeiten für die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen mit sich. Die Pflichten zur Billigung und Überwachung von Risikomanagementmaßnahmen sowie die regelmäßigen Schulungspflichten sind essenziell, um ein hohes Cybersicherheitsniveau zu gewährleisten und den gesetzlichen Anforderungen gerecht zu werden. Ein klarer Action Plan hilft Geschäftsführern, ihre Pflichten effektiv zu erfüllen und Haftungsrisiken zu minimieren. Durch die konsequente Umsetzung dieser Maßnahmen können Geschäftsleitungen sicherstellen, dass ihre Organisationen bestmöglich gegen Cyberbedrohungen geschützt sind.