NIS2: Warum Cybersicherheit jetzt auf die Agenda der Geschäftsführung gehört

Von Anna Bauer, LL.M., Braunschweig

Anna Bauer, LL.M.
Wirtschaftsjuristin

Warum NIS2 mehr Unternehmen betrifft, als viele glauben

Das NIS2-Gesetz hat seinen Ursprung in einer europäischen Richtline und soll die Cybersicherheit in der Europäischen Union stärken. Was zuvor hauptsächlich nur die kritische Infrastruktur betraf, wird nun auch zur Mittelstandspflicht. Die Betroffenheit wird häufig unterschätzt.

Ob ihr Unternehmen unter NIS2 fällt, hängt u.a. von der Tätigkeit, der Unternehmensgröße sowie der Rolle in Lieferketten ab. Im Zweifel ist es daher sinnvoll, die NIS2-Betroffenheit extern prüfen zu lassen.

Nachfolgende Geschäftstätigkeiten führen bspw. regelmäßig zur Anwendung von NIS2:

• Produktion, Herstellung und Handel mit chemischen Stoffen,
• Herstellung von Ware,
• Maschinenbau,
• Herstellung von Kraftwagen und Kraftwagenteilen sowie sonstiger Fahrzeugbau.

Neben der Tätigkeit selbst führen auch weitere Kennzahlen zur Anwendbarkeit von NIS2. Bspw. können Sie die Regelungen auch dann treffen, wenn sie nicht unter die Sektoren fallen, sie aber 50 Mitarbeitenden beschäftigen oder ihr Jahresumsatz und ihre Jahresbilanzsumme jeweils über 10 Millionen Euro aufweisen.

Hinzu kommt außerdem eine mögliche indirekte Betroffenheit. Denn NIS2 schreibt u.a. vor, dass die betroffenen Unternehmen eine sorgfältige Lieferkette gewährleisten müssen. Selbst wenn Sie also nicht direkt von NIS2 betroffen sind, kann es zu einer mittelbaren Umsetzungspflicht kommen, wenn ihre Auftraggeber die Lieferkettenvorgaben nach NIS2 einhalten und bei Ihnen als Lieferant durchsetzen wollen.

Wegdelegieren an die IT war gestern: NIS2 holt Cyberrisiken in die Chefetage

Eine der zentralen Neuerungen von NIS2 ist darüber hinaus die explizite Verantwortung der Unternehmensleitung. Die Geschäftsführung ist nicht nur für die Bereitstellung angemessener Sicherheitsmaßnahmen verantwortlich, sondern auch für deren Überwachung. Schulungen, Sensibilisierung und organisatorische Verankerung von Cybersicherheit werden ausdrücklich gefordert. Damit verändert sich die Rolle der Geschäftsführung spürbar:

• die Geschäftsführung muss selbst regelmäßig Schulungen besuchen.
• Cybersicherheitsrisiken müssen als unternehmerische Risiken bewertet werden.
• Entscheidungen über Investitionen in Sicherheit erhalten strategische Bedeutung.

NIS2 macht deutlich: Eine reine Delegation an die IT-Abteilung reicht nicht mehr aus. Insbesondere auch vor dem Hintergrund, dass die Geschäftsführung nach NIS2 bei Nichteinhaltung persönlich gegenüber der Gesellschaft haftbar ist.

Welche Pflichten kommen konkret auf Unternehmen zu?

Um eine persönliche Haftung zu vermeiden, sollten die nach NIS2 geforderten Maßnahmen umgesetzt werden. Dazu zählen u.a.:

• Risikomanagement für Informationssicherheit: einschließlich regelmäßiger Risikoanalysen.
• Technische und organisatorische Schutzmaßnahmen: bspw. Zugriffskontrollen, 2-Faktor-Authentifizierung, Backup-Konzepte und Notfallpläne etc.
• Sicherheitsvorfallmanagement: inklusive Meldepflichten innerhalb von 24 Stunden bei Sicherheitsvorfällen.
• Lieferketten-Sicherheit: die Bewertung von Risiken bei Dienstleistern und Partnern.
• Sensibilisierung und Schulung der Geschäftsführung sowie der Mitarbeitenden und Führungskräfte.
• Registrierungspflicht: spätestens bis zum 06.03.26beim Bundesamt für die Sicherheit in der Informationstechnik (BSI).

Das Ausmaß der Maßnahmen hängt dabei von der zuvor vorgenommenen Risikoeinschätzung anhand von u.a. Unternehmensgröße und Geschäftstätigkeit ab. Je risikoreicher das Ergebnis dieser Einschätzung ist, desto eingreifender müssen die Maßnahmen ausgestaltet sein.

Bußgelder sind nur der Anfang: Die persönlichen Risiken für die Geschäftsführung

Bei Verstößen gegen NIS2 oder bei Nichtbeachtung drohen empfindliche Bußgelder bspw. in Höhe von 10 Mio. Euro oder 1,4% des im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens. Weiterhin besteht, wie bereits oben erwähnt, seitens der Geschäftsführung eine persönliche Haftung gegenüber der Gesellschaft.

Darüber hinaus kann ein gravierender Cybervorfall auch erhebliche wirtschaftliche Schäden verursachen; bspw. in Form von Produktionsausfällen, Reputationsverlusten oder den Verlust von Kundenvertrauen. Es gilt: Prävention ist günstiger als Krisenbewältigung.

NIS2 pragmatisch umsetzen: 6 Schritte für die Geschäftsführung

Durch das Inkrafttreten von NIS2 im Dezember sollten Sie in der Rolle als Geschäftsführende schnellstmöglich folgende Schritte in Richtung der ersten Umsetzung ergreifen:

1. Prüfen (lassen), ob ihr Unternehmen unter NIS2 fällt, falls betroffen:
2. Fristgerechte Registrierung beim BSI.
3. Aufstellen eines Projektplans zur Umsetzung von NIS2.
4. Bestandsaufnahme der bestehenden IT- und Sicherheitsmaßnahmen durchführen.
5. Cybersicherheit auf Geschäftsführungsebene verankern.
6. Sensibilisierung von Führungskräften und Schlüsselpersonen organisieren.

Fazit: NIS2 richtig genutzt – von der Pflicht zur Resilienz

So herausfordernd die neuen Anforderungen wirken mögen, sie bieten auch eine Chance; gerade für den Mittelstand. Insbesondere vor dem Hintergrund der aktuellen digitalen Bedrohungslage, hilft NIS2 bei der Stärkung der Cybersicherheit in den Unternehmen, unabhängig davon, ob eine Verpflichtung zur Einhaltung der Anforderungen besteht. Wer Cybersicherheit strukturiert angeht, erhöht nicht nur seine Widerstandsfähigkeit, sondern stärkt auch das Vertrauen von Kunden, Partnern und Mitarbeitenden.

Viele der geforderten Maßnahmen lassen sich schrittweise umsetzen und sinnvoll in bestehende Management- und Risikostrukturen integrieren. Wichtig ist vor allem, Verantwortlichkeiten klar zu definieren und externe Expertise dort einzubinden, wo internes Know-how fehlt.