Existenzbedrohende Haftung: Was Geschäftsführer zur NIS-2-Richtlinie wissen müssen

Von Dr. Marc Laukemann

Ein Beispiel aus der Praxis: Stellen Sie sich vor, ein mittelständisches Unternehmen im Energiesektor fällt einem Cyberangriff zum Opfer. Die Daten von Kunden und Lieferanten werden verschlüsselt, der Betrieb kommt zum Erliegen. Trotz interner Sicherheitsvorgaben hat die Geschäftsführung versäumt, die IT-Sicherheitsmaßnahmen zu überwachen und regelmäßig zu aktualisieren. Unter den neuen Regelungen der NIS-2-Richtlinie droht der Geschäftsführung nicht nur ein erheblicher Reputationsschaden. Neu ist, dass nun empfindliche Bußgelder und persönliche Haftungsansprüche durch die Gesellschaft auf sie zukommen können. Diese Sanktionen können – je nach Schadensausmaß – existenzbedrohend für das Unternehmen und die verantwortlichen Geschäftsführer sein.

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie soll die Cybersicherheit in der EU deutlich erhöhen und erweitert den Anwendungsbereich auf viele Sektoren von gesellschaftlicher und wirtschaftlicher Bedeutung. Dazu zählen nicht nur Betreiber kritischer Infrastrukturen, sondern auch Unternehmen in den Bereichen Gesundheit, Bankwesen, Energie und IT.

Verschärfte Pflichten für Geschäftsführungen

Die Geschäftsleitung ist nach den neuen Regeln unmittelbar für die IT-Sicherheit des Unternehmens verantwortlich. Konkret bedeutet das:

• Risikomanagement: Eine regelmäßige Analyse und Bewertung der IT-Sicherheitsrisiken.
• Reaktionsfähigkeit: Maßnahmen zur Erkennung, Reaktion und Bewältigung von Cybervorfällen.
• Backup- und Krisenmanagement: Sicherstellung von Backup- und Wiederherstellungssystemen.
• Lieferkettenmanagement: Auch Partner und Lieferanten müssen IT-Sicherheitsstandards einhalten.
• Schulungen: Regelmäßige Schulungen zur Verbesserung der IT-Sicherheit sind für alle Mitarbeiter verpflichtend.

Diese Pflichten betreffen nun auch Unternehmen, die bisher nicht als Betreiber kritischer Infrastrukturen galten. Damit erhöht sich das Haftungsrisiko erheblich.

Die neuen Haftungsrisiken

Das zentrale Element des neuen §38 BSIG-E: Geschäftsführungen haften persönlich, wenn sie ihre Pflichten nicht erfüllen. Versäumnisse bei der Implementierung und Überwachung von IT-Sicherheitsmaßnahmen können zu massiven Bußgeldern und Schadensersatzansprüchen führen. Diese Haftung kann nicht an IT-Manager oder externe Dienstleister delegiert werden – die Verantwortung bleibt in der Chefetage.

Wird beispielsweise ein Cyberangriff durch unzureichende Schutzmaßnahmen begünstigt, können Bußgelder, finanzielle Verluste und Betriebsunterbrechungen auf die Geschäftsleitung zurückfallen. Besonders brisant: Auch Regressforderungen der Gesellschaft oder der Investoren können Geschäftsführer und Vorstände persönlich in die Haftung nehmen.

Existenzbedrohende Sanktionen

Die NIS-2-Richtlinie und das BSIG-E schaffen existenzbedrohende Risiken, da die Business Judgement Rule in Bezug auf IT-Sicherheitsmaßnahmen stark eingeschränkt wird. Selbst wenn die Geschäftsführung der Meinung ist, dass ein geringes Risiko besteht und Maßnahmen aus Kostengründen nicht umgesetzt werden, greift diese Verteidigung nicht, wenn die im Gesetz festgelegten IT-Mindeststandards nicht eingehalten werden.

Wie Geschäftsführer die Haftung vermeiden können

Um die neuen Pflichten zu erfüllen und persönliche Haftungsrisiken zu minimieren, sollten Geschäftsführer folgende Maßnahmen ergreifen:

1. Risikomanagement implementieren: Führen Sie eine regelmäßige, umfassende Risikoanalyse durch. Externe Spezialisten können helfen, blinde Flecken zu identifizieren.
2. IT-Sicherheitsrichtlinien aufstellen und umsetzen: Alle in §30 BSIG-E vorgesehenen Maßnahmen wie Backup-Strategien, Lieferkettenmanagement und Krisenpläne müssen dokumentiert und regelmäßig überprüft werden.
3. Schulungen durchführen: Die Geschäftsführung muss sicherstellen, dass alle Mitarbeiter, insbesondere solche in Schlüsselpositionen, über die aktuellen IT-Sicherheitsanforderungen geschult sind.
4. Überwachungspflichten wahrnehmen: Geschäftsleitungen dürfen sich nicht auf IT-Abteilungen verlassen – sie müssen die Umsetzung der Sicherheitsmaßnahmen aktiv überwachen.
5. Dokumentation sicherstellen: Dokumentieren Sie alle Maßnahmen und Entscheidungsprozesse sorgfältig. Diese Dokumentation kann im Ernstfall entscheidend sein, um Haftungsansprüche abzuwehren.

Fazit

Die NIS-2-Richtlinie und das BSIG-E stellen Geschäftsführer vor neue, existenzbedrohende Herausforderungen. Ohne konsequente IT-Sicherheitsmaßnahmen können persönliche Haftungsansprüche und empfindliche Bußgelder drohen. Cybersicherheit ist nicht länger nur ein technisches Thema – sie ist eine Führungsaufgabe.

Wo wir helfen können:

Sind Sie sich unsicher, ob Ihr Unternehmen den Anforderungen der NIS-2-Richtlinie entspricht? Als erfahrene Berater im Bereich Gesellschaftsrecht und IT-Recht unterstützen wir Sie bei der Umsetzung der notwendigen Maßnahmen und helfen, Haftungsrisiken zu vermeiden. Vereinbaren Sie ein unverbindliches Beratungsgespräch über unsere Webseite.

Über den Autor:

Dr. Marc Laukemann ist Gründungspartner bei LFR Wirtschaftsanwälte sowie u.a. Fachanwalt für Handels- und Gesellschaftsrecht und berät Geschäftsführer und Vorstände zu Haftungsrisiken, Cybersicherheit und Compliance. Er verfügt über umfangreiche Erfahrung in der Implementierung von IT-Sicherheitsstrategien.

Weitere Informationen zur Geschäftsführerhaftung und IT-Recht finden Sie unter Gesellschaftsrecht und IT-Recht.

Weiterführender Beitrag: Geschäftsführer und Vorstände im Fadenkreuz: Persönliche Haftung für IT-Schadensfälle kommt! - LFR Wirtschaftsanwälte (lfr-law.de)