Die Managerhaftung im Zusammenhang mit unentdeckten Cybersecurity-Vorfällen in Europa unterliegt verschiedenen rechtlichen Rahmenbedingungen, die je nach Land und Branche variieren können. NIS2 (Network and Information Systems Directive 2) und DORA (Digital Operational Resilience Act) sollen nun die spezifischen rechtlichen Rahmenbedingungen und Vorschriften auf europäischer Ebene vereinheitlichen und neue Richtlinien für das Managen von unternehmerischen Cyberrisiken, die Meldung von Attacken aber auch für die Haftung von Managern im Falle von Cybersecurity-Verstössen geben.
Sowohl die NIS2-Richtlinie als auch DORA traten offiziell am 17. Januar 2023 in Kraft. Damit die NIS2-Richtlinie für die betroffenen Unternehmen rechtsverbindlich wird, müssen sie noch in die jeweilige Gesetzgebung der EU-Mitgliedstaaten aufgenommen werden, die Frist hierfür ist der 17. Oktober 2024.
Im Gegensatz zu NIS2 ist DORA eine EU-Verordnung und muss als solche nicht erst in das nationale Recht der EU-Mitgliedstaaten umgesetzt werden, um vollstreckbar zu werden. Sie wird am 17. Januar 2025, zwei Jahre nach ihrem Inkrafttreten, vollständig durchsetzbar sein.
Bei beiden Richtlinien können Manager und Führungskräfte für Cybersecurity-Verstösse zur Rechenschaft gezogen werden, etwa wenn festgestellt wird, dass sie keine angemessenen Massnahmen ergriffen haben, um solche Vorfälle zu verhindern oder abzumildern oder die Implementierung angemessener Cybersecurity-Richtlinien, und risikobasierter Programme zur Verwaltung von Sicherheitslücken in Netzwerken, Ressourcen und Assets unterlassen haben. Die Haftung wird hierbei je nach Faktoren wie Art und Schwere des Verstosses, Branche und lokaler Rechtsprechung innerhalb der Länder variieren.
Verpflichtungen und Haftung des Managements aus NIS2
Unternehmen verschiedener –durch NIS2 nun erweiterter– Sektoren, fallen in Zukunft, unabhängig von ihrer Grösse, unter den Anwendungsbereich von NIS2 etwa die Branchen Transport, Finanzmarktinfrastruktur, Pharma und Medtech, Chemie, öffentliche Verwaltung u.v.m. Die erweiterte Gültigkeit liegt daran, dass NIS2 die Entitäten danach klassifiziert, ob sie „wesentlich“ (z. B. Energie, Verkehr, Banken und Gesundheitswesen) oder „wichtig“ (z.B. Post- und Kurierdienste, Abfallwirtschaft usw.) sind. Dadurch werden mehr Sektoren und Dienstleistungen im Vergleich z.B. zu NIS1 oder Kritis einbezogen.
In Bezug auf die Managerhaftung für unentdeckte Cybersecurity-Vorfälle können Manager von Unternehmen rechtlich verantwortlich gemacht werden, wenn nachgewiesen wird, dass sie ihre Sorgfaltspflicht in Bezug auf die Cybersecurity ihres Unternehmens vernachlässigt haben. Dies kann etwa durch eine unzureichende Umsetzung von Sicherheitsmassnahmen, eine unzureichende Risikobewertung oder das Fehlen von Notfallplänen eintreten: NIS2 verlangt vom Management der Unternehmen, das Cybersecurity-Risikomanagement ständig zu überprüfen und bei Bedarf anzupassen sowie dessen Umsetzung und Einhaltung zu überwachen. Dies fordert die Führungsetage auf, ausreichende Kenntnisse über Cyber-Risiken erwerben, um die vorgeschlagenen Massnahmen zu bewerten und vor allem den potenziellen Schaden genau zu bestimmen – und das sogar über die eigenen Unternehmensgrenzen hinaus. Eine ständige und enge Kommunikation mit den IT-Teams ist in diesem Kontext entscheidend, insbesondere da Cyber-Risiken ständig im Wandel sind und Anpassungen im Cybersecurity-Risikomanagement erfordern.
Enge Abstimmung Management–IT
Zwei zentrale Verpflichtungen des Managements sind zu beachten:
1. Zum einen sind, operative und organisatorische Massnahmen erforderlich, um Sicherheitsrisiken für das Unternehmen im Zusammenhang mit Netzwerk- und Informationssystemen zu managen und geeignete Prävention zur Minimierung der Auswirkungen zu treffen.
2. Zweitens müssen die zuständigen Behören unverzüglich über jeden Datenvorfall informiert werden, der den von ihnen erbrachten Dienst oder den Unternehmensablauf erheblich beeinträchtigt. Gegebenenfalls müssen die Unternehmen auch die Empfänger ihrer Produkte oder Service über solche Ereignisse informieren, die sich negativ auf die Erbringung weiterer (kritischer) Dienste auswirken könnten.
Die NIS2-Richtlinie sieht vor, dass Netzwerk- und Informationssysteme sowie die physische Umgebung dieser Systeme vor Zwischenfällen zu schützen sind. Die Unternehmen müssen interne Richtlinien zu Risikoanalysen und IT-Sicherheit, z.B. zur Handhabung von Zwischenfällen, zur Notfallwiederherstellung, Sicherheit der Lieferkette, Netzwerk- und Informationssystemen bei Beschaffung, Zugangskontrollen und Zugangsmanagement etc erlassen.
Strikte Sanktionen
Verstösse gegen die NIS2-Anforderungen ziehen natiGeldbussen und Sanktionen nach sich, wie in den Artikeln 34, 35 und 36 dargelegt ist. Für wichtige Sektoren können die Strafen für Verstösse gegen Artikel 21 oder 23 (in Bezug auf Cybersicherheitsmassnahmen und -meldungen) bis zu einem Höchstbetrag von mindestens 10 Mio. EUR oder 2 % des weltweiten Umsatzes geahndet werden. Bei wichtigen Sektoren können die Sanktionen für Verstösse gegen Artikel 21 oder 23 bis zu einem Höchstbetrag von mindestens 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes betragen. [Mehr dazu in unserem NIS2 Blog]
Die NIS2-Richtlinie führt ausserdem eine wesentliche Neuerung ein, indem sie den „Leitungsorganen“ die direkten Verpflichtungen auferlegt, ein hohes Mass an Rechenschaftspflicht für die Einhaltung der Cybersicherheitsanforderungen zu gewährleisten. Obwohl NIS2 nicht klar definiert, wer als Mitglied eines „Leitungsorgans“ betrachtet wird, dürften Vorstände und bestimmte Führungskräfte in ihren Anwendungsbereich fallen.
Leitungsorgane von wesentlichen und wichtigen Entitäten müssen die im Rahmen von NIS2 erforderlichen Massnahmen für das Risikomanagement der Cybersicherheit genehmigen und deren Umsetzung überwachen und können persönlich für das Versäumnis des Unternehmens, solche Massnahmen zu übernehmen und einzuhalten, haftbar gemacht werden.
Sie haben Fragen? Michael Tullius*, Sales Director, Exeon können Sie über Linkedin direkt ansprechen.
* Kontaktmöglichkeit über Linkedin