Cybersicherheit 2.0: Unternehmen und Leitungsorgane in der Haftungsfalle

In der Finanzbranche wurden schon im Jahr 2023 mit der EU-Verordnung DORA (Digital Operational Resilience Act) strenge Vorgaben für die Cybersicherheit implementiert, die bis Anfang 2025 umzusetzen sind. Parallel werden durch die CER-Richtlinie (Critical Entities Resilience Directive) für die kritische Infrastruktur strenge Vorgaben für die physische Sicherheit eingeführt. Dazu müssen die EU-Mitgliedstaaten Unternehmen identifizieren, die als kritische Infrastruktur gelten und bis 2026 eine nationale Risikobewertung durchführen.

Während DORA nur für die Finanzbranche gilt und die CER-Richtlinie nur einzelne Einrichtungen der kritischen Infrastruktur erfasst, gelten die Cybersecurity-Vorgaben der NIS-2-Richtlinie (Network and Information Security Directive) für eine Vielzahl von Unternehmen. Die Richtlinie ist bis 18.10.2024 durch die Mitgliedstaaten umzusetzen. In Österreich wurde vor Kurzem der Ministerialentwurf zum neuen NIS-Gesetz (NISG) veröffentlicht. Den betroffenen Unternehmen bleiben zur Umsetzung der neuen Vorgaben nur noch wenige Monate Zeit.

Der Anwendungsbereich des NISG wird durch NIS-2 erheblich erweitert. Während das aktuelle NISG in ganz Österreich nur rund 100 Unternehmen als "Betreiber wesentlicher Dienste" erfasst, müssen nach dem neuen NISG rund 6.500 Unternehmen die umfangreichen Cybersecurity-Vorgaben umsetzen. Konkret unterscheidet NIS-2 zunächst zwischen "Sektoren mit hoher Kritikalität" und "Sonstigen kritischen Sektoren". In den hochkritischen Bereich fallen dabei die Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten, Öffentliche Verwaltung und Weltraum. Sonstige kritische Sektoren sind Post, Abfallbewirtschaftung, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste und Forschung. Damit deckt NIS-2 weite Teile der gesamten Wirtschaft ab. Das neue NISG gilt für Unternehmen, die mittelgroß oder größer sind, das heißt bereits ab mehr als 50 Beschäftigten und über 10 Millionen Euro Umsatz. Schon die Abgrenzung, ob ein Unternehmen als zumindest mittelgroß gilt, kann sehr komplex sein. Denn dabei müssen auch die Mitarbeiterzahlen, der Umsatz und die Jahresbilanzsumme vor- oder nachgeschalteter Partnerunternehmen sowie verbundener Unternehmen berücksichtigt werden. Als Partnerunternehmen gelten Unternehmen, die 25 % oder mehr des Kapitals oder der Stimmrechte eines anderen Unternehmens halten. Verbundene Unternehmen üben – etwa über die Mehrheit der Stimmrechte – Kontrolle über ein anderes Unternehmen aus. Die Anrechnung der Kennzahlen erfolgt bei Partnerunternehmen proportional zur Höhe der Beteiligung, bei verbundenen Unternehmen zu 100 %. Durch diese Zusammenrechnung können auch kleinste Unternehmen von NIS-2 betroffen sein.

Ob Unternehmen in den Anwendungsbereich von NIS-2 fallen oder nicht, müssen sie (mit wenigen Ausnahmen) selbst prüfen und sich bei der zuständigen Behörde registrieren. Bei vielen Unternehmen besteht aber noch kein Bewusstsein dafür, dass sie NIS-2 unterliegen und ihnen damit nur noch wenige Monate zur Umsetzung der neuen Cybersecurity-Vorgaben bleiben. Dazu gehören insbesondere die Einrichtung eines umfassenden Risikomanagements, der Einsatz geeigneter Verschlüsselungen, Zugangskontrollen und Multifaktor-Authentifizierungen sowie strenge Melde- und Berichtspflichten an die Behörde. In der Praxis besonders herausfordernd ist die Verpflichtung der Unternehmen, nicht nur ihre eigene Cybersicherheit zu prüfen, sondern diese auch in der Lieferkette sicherzustellen. Dadurch betrifft NIS-2 indirekt auch alle Dienstleister und Lieferanten dieser Unternehmen.

Wie wichtig es ist, mit der Umsetzung von NIS-2 zu starten, macht ein Blick auf die Straf- und Haftungsbestimmungen deutlich. Der Gesetzentwurf sieht einen sehr umfassenden Katalog an Straftatbeständen vor, die von gravierenden Verstößen bis hin zur Verletzung rein administrativer Meldepflichten reicht. Die Mindeststrafdrohungen betragen 7 Millionen Euro für "wichtige" und 10 Millionen Euro für "wesentliche" Unternehmen.

Für das Management und den Aufsichtsrat äußerst heikel ist eine Haftungsfalle, die sich unmittelbar aus der NIS-2 ergibt. Denn NIS-2 sieht eine Verpflichtung zur Einführung eines Risikomanagements für Cybersicherheit vor. Das Risikomanagement muss dem Stand der Technik entsprechen, auf einem gefahrenübergreifenden Ansatz beruhen und auch die Überprüfung der Lieferketten einschließen. Entspricht das Risikomanagement nicht den Vorgaben der NIS-2, haften die Leitungsorgane persönlich für den entstandenen Schaden. Sie können daher persönlich zur Haftung gezogen werden, wenn dem Unternehmen durch eine Cyberattacke ein Schaden entsteht. Derartige Schäden können sich etwa aus einer Betriebsunterbrechung, den Kosten der Datenwiederherstellung oder der Zahlung von Lösegeldern an Hacker ergeben. Ob Unternehmen von ihren Leitungsorganen auch Schadenersatz verlangen können, wenn die Behörde Verwaltungsstrafen – potenziell in Millionenhöhe – gegen sie verhängt, ist dagegen umstritten. Bemerkenswert ist auch der Begriff der "Leitungsorgane" im Ministerialentwurf zum NISG, der nach den Erläuterungen die "tatsächliche Leitungs- und Geschäftsführungsebene" erfassen soll. Dies umfasst jedenfalls das Management und den Aufsichtsrat des Unternehmens. Denkbar wäre aufgrund der Weisungskette aber auch eine persönliche Haftung der Konzernführung für Verstöße in verbundenen Unternehmen. Um sich gegen eine persönliche Haftung zu schützen, müssen Leitungsorgane daher rechtzeitig die Einrichtung eines entsprechenden Risikomanagements sicherstellen. Empfehlenswert ist darüber hinaus die Absicherung des Unternehmens durch eine Cyber-Versicherung und der Leitungsorgane durch eine D&O-Versicherung.

Nachdem die neuen NIS-2-Vorgaben schon ab 18.10.2024 gelten, müssen Unternehmen so bald wie möglich prüfen, ob sie betroffen sind. Ist das der Fall, sollten sie eine Risikobeurteilung durchführen, um potenzielle Sicherheitslücken zu identifizieren, und adäquate technische und organisatorische Sicherheitsmaßnahmen implementieren, um Cybersicherheitsrisiken und die zukünftig notwendigen Meldepflichten effektiv zu managen. Ein weiterer wichtiger Schritt ist die Entwicklung eines ganzheitlichen Resilienzplans. Für Unternehmen, die sich noch nicht mit den neuen Vorgaben auseinandergesetzt haben, besteht dringender Handlungsbedarf. Die Zeit drängt.