Bildnachweis: comforte AG.

Den lästigen ‚IT-Kram‘ lediglich an die entsprechende Fachabteilung weg zu delegieren, damit die die regulatorischen Minimalanforderungen erfüllt, ist für das oberste Management eines Unternehmens längst keine Option mehr – weder geschäftsstrategisch noch unter Haftungsgesichtspunkten.

Wer dies noch nicht erkannt hat, wird spätestens jetzt durch die neue EU-Richtlinie NIS2 (Network and Information Security) eines Besseren belehrt. Im Januar 2023 trat die Cybersecurity-Richtlinie in Kraft, bis 17. Oktober 2024 muss sie in nationales Recht umgesetzt werden. Vom deutschen Bundesinnenministerium liegt ein entsprechender Referentenentwurf bereits in zweiter Fassung vor.

Hohe Haftungsrisiken für Vorstände und Geschäftsführer

Die Europäische Union erhöht mit NIS2 die Anforderungen bezüglich Cybersecurity deutlich, weitet den Umfang der in die Pflicht genommenen Unternehmen drastisch aus und verschärft die Sanktionen für Verstöße und Versäumnisse. Bis zu 2% des weltweiten Jahresumsatzes können die verhängten Strafen betragen, oder 10 Mio. EUR. Der jeweils höhere Wert ist maßgeblich.

Wirtschaftlich sind solche Beträge für Unternehmen relevant, in der Vergangenheit mochten angestellte Vorstände und Geschäftsführer dennoch entspannt bleiben – es war ja nicht ihr Geld, sondern jenes der Aktionäre oder Gesellschafter. Das ändert sich mit NIS2 dramatisch. Denn ab Oktober 2024 haften die Leitungsorgane der jeweiligen Unternehmen persönlich mit ihrem Privatvermögen. Eine Strafe in zweistelliger Millionenhöhe kann dort schnell den eigenen wirtschaftlichen Ruin bedeuten. Und die private Haftung könnte sich auch auf Aufsichtsräte als Unternehmensorgane erstrecken.

Für die Eigentümer eines Unternehmens stellt die neue Regelung eine unbestreitbare Verbesserung dar. Die Sanktionen für Verfehlungen belasten künftig jene Akteure, die sie zu verantworten haben, auch wenn deren wirtschaftliche Kraft vielfach nicht ausreichen dürfte, die Strafen vollumfänglich zu leisten. Die optimierte Anreizstruktur dürfte somit zumindest mittelfristig zu deutlichen Verbesserungen bei den Datensicherheitsmaßnahmen von Unternehmen führen.