Seit 17. Oktober 2024 gilt die neue NIS2-Richtlinie, die bestimmten Unternehmen strengere Cybersecurity-Pflichten auferlegt. Bei Verstößen gelten hohe Strafen und persönliche Haftungen für Leitungsorgane (Geschäftsführung, Aufsichtsrat, Vorstand).
Die Gefahr durch Cyberangriffe nimmt stetig zu – ein brisantes Thema in einer Welt der zunehmenden Digitaliserung. Mit der neuen NIS2-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union
NIS2 erklärt Cybersecurity ausdrücklich zur Management-Aufgabe und enthält nicht delegierbarte Pflichten für Leitungsorgane, die für die Umsetzung und Einhaltung der Maßnahmen verantwortlich sind. In diesem Beitrag beleuchten wir die wichtigsten Pflichten, Konsequenzen und Lösungen für Unternehmen.
Warum ist die NIS2-Richtlinie wichtig?
Die NIS2-Richtlinie zielt darauf ab, die Cybersicherheit in kritischen Sektoren zu verbessern. Sie fordert von Unternehmen ein strukturiertes Risikomanagement und legt strenge Sicherheitsanforderungen fest. Neu ist insbesondere die Möglichkeit der persönlichen Haftung von Vorständen und Geschäftsführern bei unzureichenden Maßnahmen.
Gilt die Schulungspflicht für alle Unternehmen?
Nein, die Schulungspflicht betrifft nicht alle Unternehmen, sondern nur jene, die unter die NIS2-Richtlinie fallen.
Welche Unternehmen sind von NIS2 betroffen?
3 Voraussetzungen müssen kumulativ erfüllt sein, damit eine Gesellschaft unter NIS2 fällt:
- Mindestgröße: Mehr als 49 Mitarbeiter oder ein Jahresumsatz von über 10 Millionen Euro (Konzernunternehmen sind dabei zusammenzurechnen)
- Tätigkeit im EWR
- Tätigkeit in einem der kritischen Sektoren. Dazu zählen neben vielen anderen, die Sektoren Gesundheit und Lebensmittel.
Da die OTC-Industrie Teil des Gesundheitswesens und der Lebensmittel-Branche ist, sind viele Unternehmen direkt betroffen und müssen die Anforderungen der NIS2-Richtlinie erfüllen.
Zusätzlich können Unternehmen, die zwar selbst nicht unter NIS2 fallen, von NIS2 betroffen sein, wenn sie Lieferant, Dienstleister oder Vertragspartner von Unternehmen sind, die unter NIS2 fallen. Denn NIS2 verlangt von betroffenen Unternehmen die Überbindung der Risikomanagement-Pflichten an ihre Lieferkette. So sind die meisten Unternehmen von NIS2 zumindest „indirekt“ betroffen. Zwar gilt die Schulungspflicht nur für direkt betroffene Unternehmen, auch indirekt betroffene Unternehmen sollten sich daher aber mit NIS2 auseinandersetzen.
Welche Pflichten gelten für das Management von betroffenen Unternehmen?
- Gesetzliche Pflicht zu Cybersecurity-Schulungen für Leitungsorgane
Jedes Mitglied der Geschäftsführung, des Vorstandes bzw. Aufsichtsrats von einem betroffenen Unternehmen ist verpflichtet regelmäßig speziell für die Leitungsorgane gestaltete Cybersecurity-Management-Schulungen zu absolvieren.
Diese sollen sicherstellen, dass Leitungsorgane die Risiken von Cyberangriffen erkennen und geeignete Schutzmaßnahmen treffen können.
Die Schulung ist nicht nur eine regulatorische Vorgabe, sondern auch eine wichtige Maßnahme zur Reduzierung der Haftungsrisiken. Gut geschulte Leitungsorgane sind besser darauf vorbereitet, Cyberbedrohungen zu begegnen und Sicherheitsstrategien wirksam umzusetzen.
- Überwachung der Umsetzung
Unternehmen müssen proaktive Risikomanagement-Maßnahmen zur Reduzierung und Bewältigung des Cyberrisikos für die eigenen Systeme ergreifen. Die Leitungsorgane müssen diese billigen und ihre Umsetzung überwachen.
Strenge Konsequenzen bei der Nichteinhaltung der Pflichten
Die NIS2-Richtlinie sieht strenge Sanktionen für Unternehmen vor, die die Anforderungen nicht erfüllen. Neben hohen Geldstrafen können die zuständigen Cybersicherheitsbehörden weitere Maßnahmen verhängen:
- Managementhaftung: Führungskräfte haften persönlich mit dem eigenen Vermögen für Schäden, die durch die Verletzung ihrer Pflichten unter NIS2 entstehen.
- Verwaltungsstrafen: Bei Verstoß gegen die Schulungspflicht oder andere Pflichten drohen empfindliche Strafen: bis zu 10 Millionen Euro oder 2 % des weltweiten Konzernumsatzes – je nachdem, welcher Betrag höher ist.
- Aufsichtsmaßnahmen: Die zuständige Cybersicherheitsbehörde kann jederzeit Aufsichtsmaßnahmen durchführen und per Bescheid die Behebung von Verstößen auftragen.
- Temporäres Betriebsverbot: bei Gefahr im Verzug kann auch temporär die Tätigkeit des Unternehmens untersagt oder sogar das Management abgesetzt werden.
Diese Konsequenzen verdeutlichen, dass Cybersecurity nicht mehr allein eine IT-Frage ist, sondern eine zentrale Managementaufgabe darstellt.
Um Sie bestmöglich auf die Anforderungen der NIS2-Richtlinie vorzubereiten, veranstalten wir am 20. März 2025 eine praxisorientierte Fortbildung. Nutzen Sie die Gelegenheit und melden Sie sich an! Hier geht’s zur Anmeldung!
