Cyberrisikomanagement – Pflicht für jede Geschäftsleitung

Der Bundesgesetzgeber reagiert mit der Erweiterung zum BSI-Gesetz auf gesteigerte Pflichten für Geschäftsleitende kritischer Infrastruktur und setzt mit seinem Entwurf die NIS-2-Richtlinie[1] um.

Im Zuge der stetig voranschreitenden Digitalisierung sind immer mehr Unternehmen von (vernetzten) IT-Systemen abhängig. Damit nimmt die Bedeutung von IT-Sicherheit für Unternehmen kontinuierlich zu. Gleichzeitig steigt die Bedrohung für IT-Systeme durch Cyberkriminelle. Dies zeigen einige aufsehenerregenden Fälle aus der Wirtschaft. Zuletzt wurde etwa die zivile Sparte des Rüstungskonzerns und Automobilzulieferers Rheinmetall im April 2023 Opfer eines Hackerangriffs, deren Systeme vollständig heruntergefahren wurden. [2]

Entsteht einer Gesellschaft ein Schaden, stellt sich schnell die Frage nach der Haftung der verantwortlichen Geschäftsleitende. Im Folgenden wird ein Überblick gegeben, welche Handlungspflichten Geschäftsleitende im Hinblick auf die Einrichtung und Organisation von IT-Sicherheit im Unternehmen treffen.

IT-Sicherheit ist Aufgabe der Unternehmensleitung – also des Vorstands einer Aktiengesellschaft oder der Geschäftsführung einer GmbH. Die Mitglieder der Unternehmensleitung sind dabei zunächst verpflichtet, die für das Unternehmen geltenden gesetzlichen Vorschriften zu beachten (sog. Legalitätspflicht). Diese Pflicht umfasst sämtliche Rechtsbereiche, also sowohl öffentlich-rechtliche Vorschriften wie etwa aus dem Kartell-, Umwelt- oder Datenschutzrecht, wie auch zivilrechtliche Vorschriften, beispielsweise aus dem Urheber- oder Lauterkeitsrecht. Spezialgesetzliche Vorschriften zur IT-Sicherheit finden sich z. B. im BSI-Gesetz. Betreiber von kritischer Infrastruktur und  Anbieter digitaler Dienste müssen besondere Anforderungen an die IT-Sicherheit erfüllen.

Ferner müssen Geschäftsleitende bei allen Geschäftsführungsmaßnahmen so handeln, wie ein ordentlicher und gewissenhafter Geschäftsleiter handeln würde (sog. Sorgfaltspflicht). Das gilt auch in Zusammenhang mit IT-Sicherheit in Unternehmen. Geschäftsleitende müssen die IT-Sicherheit des Unternehmens mithin so einrichten, wie es eine ordentliche und gewissenhafte Geschäftsleitung tun würde. Der konkrete Inhalt der Sorgfaltspflicht der Geschäftsleitung hängt von verschiedenen Parametern des einzelnen Unternehmens ab, insbesondere von Art und Größe des Unternehmens, der Anzahl an Arbeitnehmenden und der Ressortverteilung.

Besteht die Geschäftsleitung aus mehreren Personen, liegt die Verantwortung bei der gesamten Geschäftsleitung. Werden einzelne Aufgaben auf bestimmte Mitglieder der Geschäftsleitung übertragen, beschränkt sich die Verantwortung der übrigen Mitglieder der Geschäftsleitung auf eine Kontroll- und Überwachungspflicht. Bei Hinweisen auf ein pflichtwidriges Verhalten bzw. Probleme müssen diese jedoch aktiv werden. Wenn Aufgaben von der Geschäftsleitung an Mitarbeitende auf nachgeordneten Führungsebenen delegiert werden, bleibt die Verantwortung ebenfalls bei der Geschäftsleitung.

Bei Verstößen gegen die Legalitäts- oder Sorgfaltspflicht haften die Mitglieder der Geschäftsleitung gegenüber den Unternehmen für die durch die Pflichtverletzung entstandenen Schäden. Geschäftsleitende haften jedoch nicht, wenn sie bei unternehmerischen Entscheidungen vernünftigerweise auf der Grundlage angemessener Informationen annehmen durften, zum Wohle der Gesellschaft handeln.
 

1. Neue Regeln für Betreiber von wichtigen Einrichtungen und kritischer Infrastruktur
   
   Die zunehmende Bedrohung für die IT-Sicherheit durch die voranschreitende Digitalisierung hat auch die Europäische Union erkannt. Darauf hat der Unionsgesetzgeber mit einer Überarbeitung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1-Richtlinie) reagiert. Mit der sog. NIS-2-Richtlinie wurden Maßnahmen normiert, durch die das gemeinsame IT-Sicherheitsniveau im Unionsraum weiter erhöht werden soll. Dafür werden die Mitgliedsstaaten verpflichtet, umfangreichere nationale IT-Sicherheitsstrategien zu erlassen sowie verschiedene Behörden zur Sicherung des IT-Sicherheitsniveaus einzurichten.
   
   Im Juli 2023 hat das Bundesinnenministerium seinen Referentenentwurf für ein Umsetzungsgesetz an die anderen Ressorts der Bundesregierung versendet[3]. Insbesondere sollen die gesetzlichen Anforderungen für Betreiber von wichtigen und besonders wichtigen Einrichtungen sowie kritischen Anlagen deutlich ausgeweitet werden. Welche Anlagen als kritische Anlagen einzuordnen sind, soll – wie bisher – durch eine Rechtsverordnung festgelegt werden. In dieser sollen sektorspezifische Kriterien für die Einordnung festgelegt werden. Ob eine Einrichtung kritische Anlagen betreibt, soll weiterhin mit Schwellenwerten anhand der Versorgungsrelevanz der Anlagen bestimmt werden. Für wichtige und besonders wichtige Einrichtungen sollen hingegen grundsätzlich Size-Cap-Regeln in Bezug auf Mitarbeiterzahl und Umsatz gelten.
   
   Betreiber von kritischen Anlagen sowie wichtigen und besonders wichtigen Einrichtungen werden  verpflichtet, verhältnismäßige technische und organisatorische Maßnahmen zu ergreifen, um die Einrichtungen vor IT-Sicherheitsvorfällen zu schützen. Diese Maßnahmen umfassen das Erstellen von IT-Sicherheitskonzepten, die Bewältigung von Sicherheitsvorfällen, die Bereitstellung eines Notfallbetriebs sowie regelmäßige Prüfungen des IT-Sicherheitskonzepts und Schulungen im Bereich der IT-Sicherheit. Damit für die betroffenen Betreiber keine unverhältnismäßige finanzielle und administrative Belastung entsteht, sollen die Maßnahmen in einem angemessenen Verhältnis zu den Risiken stehen, denen die Einrichtung ausgesetzt wird. Dabei sollen insbesondere das mögliche Ausmaß von Verlusten aufgrund eines Sicherheitsvorfalls sowie die Wahrscheinlichkeit eines Sicherheitsvorfalls zu berücksichtigen sein. Für die Betreiber kritischer Anlagen sollen im Hinblick auf die Angemessenheit erhöhte Anforderungen für Maßnahmen in Bezug auf das IT-Sicherheitsniveau gelten.   
   
   Für Geschäftsleitende von besonderer Bedeutung ist die in § 38 BSIG-E vorgesehene IT-Sicherheit-Geschäftsleiterpflicht . Durch die Norm sollen die bisher nach den allgemeinen Regeln bestehenden Pflichten der Geschäftsleitung in Bezug auf IT-Sicherheit konkretisiert werden. Dadurch soll die Bedeutung dieser Aufgabe nochmals unterstrichen werden. Dazu gehört auch eine Verpflichtung der Geschäftsleitung zur Teilnahme an entsprechenden Schulungen.
   
   In § 38 Abs. 2 BSIG-E ist auch eine Organhaftung der Geschäftsleitung vorgesehen. Diese ist jedoch nicht weitreichender als die allgemeinen Vorschriften zur Geschäftsleiterhaftung. Sie umfasst sowohl Regressansprüche wie auch Bußgeldforderungen gegen die Gesellschaft, die aufgrund einer Verletzung einer IT-Sicherheit-Geschäftsleiterpflicht entstanden sind. Eine Neuerung gibt es hingegen im Hinblick auf den Verzicht auf Organhaftungsansprüche durch die Gesellschaft. Nach den allgemeinen Regeln ist in der GmbH ein Verzicht oder Vergleich der Gesellschaft mit der Geschäftsführung grundsätzlich zulässig. In der Aktiengesellschaft sind Verzicht oder Vergleich mit dem Vorstand über Organhaftungsansprüche erst drei Jahre nach Entstehung des Anspruchs aufgrund eines Hauptversammlungsbeschlusses möglich. Zukünftig soll rechtsformunabhängig ein Verzicht einer Gesellschaft auf Organhaftungsansprüche gegen die Geschäftsführung nicht mehr möglich sein, wenn die Organhaftung auf einer Verletzung einer IT-Sicherheitspflicht beruht.
    
2. Praxisfolgen
   
   Für Geschäftsleitende wird es zukünftig noch wichtiger, Cyber-Risiken zu berücksichtigen. Der folgende Leitfaden soll ihnen bei der Erfüllung ihrer Pflichten im Zusammenhang mit der IT-Sicherheit unterstützen:
    

• Unternehmen sollten auf Geschäftsleitungsebene einen Verantwortlichen für IT-Sicherheit bestimmen und die Verantwortung an eine Person übertragen, um eine gezielte Steuerung des IT-Sicherheitsbereichs zu gewährleisten. Die verantwortliche Person muss dabei nicht notwendigerweise selbst IT-Experte sein. Von Bedeutung ist vielmehr, dass sie die zeitlichen und finanziellen Kapazitäten zur Verfügung gestellt bekommt, um die umfangreichen Pflichten zu erfüllen.
   
• Operativ sollten Geschäftsleitende zunächst eine umfassende Risikobewertung für ihr Unternehmen durchführen. Ziel dieser ist es, potenzielle Risiken und Bedrohungen zu verstehen und die Auswirkungen eines Sicherheitsvorfalls auf den Geschäftsbetrieb und den Ruf des Unternehmens abzuschätzen.
   
• Auf Grundlage der Risikoanalyse sollten Geschäftsleitende eine umfassende Cyber-Sicherheitsstrategie entwickeln. Diese Strategie sollte klare Richtlinien und Verfahren zur Identifizierung, Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle beinhalten. Sie sollte außerdem sicherstellen, dass genügend Ressourcen für die Umsetzung der Cyber-Sicherheitsstrategie bereitstehen.
   
• Die Cyber-Sicherheitsstrategie muss dann durch die Geschäftsleitung in den Unternehmensalltag implementiert werden. Dazu gehört es, sicherzustellen, dass die im Unternehmen verwendete Software, die IT-Systeme sowie Firewalls regelmäßig aktualisiert werden. Darüber hinaus ist empfehlenswert, ein Incident-Response-Team aufzustellen, um schnell und angemessen auf mögliche Sicherheitsvorfälle reagieren zu können.
   
• Außerdem muss sichergestellt werden, dass die Mitarbeitenden des Unternehmens über die Bedeutung von IT-Sicherheit informiert und für mögliche Bedrohungen sensibilisiert werden. Es sollte durch Schulungen sichergestellt werden, dass Mitarbeitende Bedrohungen erkennen und entsprechend reagieren können.
   
• Geschäftsleitende müssen die Einhaltung und Umsetzung der Cyber-Strategie und der eingeführten Sicherheitsmaßnahmen überwachen, um sicherzustellen, dass sie effektiv sind und den aktuellen Bedrohungen standhalten. Dazu gehört auch die Durchführung von regelmäßigen Angriffssimulationen, um etwaige Schwachstellen zu identifizieren und zu beheben.
   
• Zudem sollten Geschäftsleitende prüfen, inwieweit sie für einen Cyber-Angriff Versicherungsschutz erhalten können. Auch sollten sie aus Eigeninteresse ihre bestehenden D&O-Versicherungen dahingehend prüfen, ob die Organhaftung im Hinblick auf etwaige Pflichtverletzungen im Bereich der IT-Sicherheit von der Versicherung umfasst ist.

Unsere Experten vom ENUR Netzwerk für Unternehmensresilienz  sind auf die Beratung von mittelständischen Unternehmen in Fragen von IT-Sicherheit spezialisiert. Wir beraten und unterstützen Sie gerne beim Aufbau Ihrer IT-Sicherheitsorganisation.

[1]    Richtlinie (EU) 2022/2555 des Europäischen Parlaments und Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie).

[2]    https://www.handelsblatt.com/unternehmen/industrie/ruestungskonzern-rheinmetall-wird-opfer-eines-hackerangriffs-staatsanwaltschaft-ermittelt/29095792.html

[3]    Referentenentwurf des Bundesministeriums des Innern und Heimat für ein NIS-2-Umsetzungs- und Cybersicherheitsstärlungsgesetz – NISUmsuCG vom 20. Juli 2023, abrufbar unter  https://intrapol.org/wp-content/uploads/2023/07/230703_BMI_RefE_NIS2UmsuCG.pdf

Zurück zur Übersicht