NIS-2 – Persönliche Haftung der Geschäftsleitung für Cybersicherheit

Der Grundsatz „Cybersicherheit ist Chefsache“ wird zunehmend gesetzlich verankert. Dies verdeutlicht der aktuelle Entwurf von § 38 BSIG-E, der in Umsetzung der NIS-2-Richtlinie (EU 2022/2555) erfolgt.

Die NIS-2-Richtlinie enthält den Aufruf an die verschiedenen Mitgliedsstaaten, ihre nationalen Gesetze anzupassen und zwar dahin, dass verschiedene, von der Richtlinie erfasste Einrichtung, ihre Sicherheit und Resilienz erhöhen.

Gewisse Mindestsicherheitsanforderungen sind von der NIS-2-Richtlinie vorgegeben, die i. W. wortlautidentisch im kommenden deutschen Umsetzungsgesetz, dem NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) übernommen werden. Hierbei handelt es sich um die folgenden Punkte, die in § 30 Abs. 4 BSIG-E geregelt werden:

Maßnahmen […] müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die informationstechnischen Systeme, Komponenten und Prozesse und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen, und zumindest Folgendes umfassen:

  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,

  2. Bewältigung von Sicherheitsvorfällen,

  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,

  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,

  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,

  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaß-nahmen im Bereich der Cybersicherheit,

  7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,

  8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,

  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von An-lagen,

  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Besonders darauf hinzuweisen ist, dass auch die Sicherheit in der Lieferkette gemäß § 30 Abs. 4 Nr. 4 BSIG-E erfasst ist. Gemeint ist also, die Sicherheit in der „Supply Chain“ sicherzustellen. Zum Beispiel mit Blick auf Software kann dies erhebliche neue Verpflichtungen bedeuten.

Persönliche Haftung der Geschäftsleitung

Damit die zahlreichen Anforderungen der NIS-2-Richtlinien sowie des deutschen Umsetzungsgesetzes eingehalten werden, wird der Grundsatz „Cybersicherheit ist Chefsache“ unter dem Aspekt der Haftung klargestellt. Es soll nämlich ein neuer § 38 BSIG-E eingeführt werden und zwar mit dem folgenden Wortlaut:

Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen

(1) Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen zur Einhaltung von § 30 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen. Die Beauftragung eines Dritten zu Erfüllung der Verpflichtungen nach Satz 1 ist nicht zulässig.

(2) Geschäftsleiter, welche ihre Pflichten nach Absatz 1 verletzen, haften der Einrichtung für den entstandenen Schaden. Satz 1 gilt nicht für Geschäftsleiter besonders wichtiger Einrichtungen des Teilsektors Zentralregierung des Sektors öffentliche Verwaltung.

(3) Ein Verzicht der Einrichtung auf Ersatzansprüche nach Absatz 2 oder ein Vergleich der Einrichtung über diese Ansprüche ist unwirksam. Dies gilt nicht, wenn der Ersatzpflichtige zahlungsunfähig ist und sich zur Abwendung des Insolvenzverfahrens mit seinen Gläubigern vergleicht oder wenn die Ersatzpflicht in einem Insolvenzplan geregelt wird.

(4) Die Geschäftsleiter von besonders wichtigen Einrichtungen und wichtigen Einrichtungen müssen und deren Mitarbeiter sollen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken so-wie Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.

Damit wird also die Verpflichtung geregelt, dass die Geschäftsleitung die ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen müssen und ihre Umsetzung zu überwachen haben. Geschieht dies nicht, haften die Geschäftsleiter persönlich dem Unternehmen gegenüber u. a. auf Schadensersatz.

Zu beachten ist, dass diese Verpflichtung nicht durchweg sämtliche Unternehmen betrifft, sondern lediglich diejenigen Einrichtungen, die in der NIS-2-Richtlinie bzw. dem kommenden, reformierten BSIG unterfallen. Die Reichweite der erfassten Unternehmen wird jedoch – im Vergleich zur bisherigen Regelung – aktuell deutlich ausgeweitet. Zudem steht die genaue Festlegung von Schwellenwerten über eine deutsche Rechtsverordnung der Exekutive noch aus.

Dem BSI sollen zudem weitergehende Befugnisse eingeräumt werden, die sogar bis zur vorübergehenden Untersagung der Geschäftsführungsbefugnis reichen können (§ 64 Abs. 6 Nr. 2 BSIG-E).

Bisherige Rechtslage

Die Haftung der Geschäftsleitung für die ordnungsgemäße Ausgestaltung der „Sicherheitssysteme- und Strukturen“ im Unternehmen ist nicht neu. Schon bislang gilt in Deutschland § 43 Abs. 2 GmbHG wie folgt:

„Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.“

Eine entsprechend für die AG geltende Regelung findet sich § 93 Abs. 2 AktG. Mit diesen Regelungen wurde schon bislang eine Haftung der Geschäftsleitung bei Organisations- oder Delegationsverschulden statuiert. Insbesondere besteht nach § 91 Abs. 2 AktG, der nicht nur für die Aktiengesellschaft, sondern wegen seiner „Ausstrahlungswirkung“ auch auf eine GmbH anwendbar ist, eine Haftung der Geschäftsleitung, wenn Organisationsstandards nicht geschaffen wurden.
Die Rechtsprechung hat diese Grundsätze präzisiert und unter anderem wie folgt formuliert:

„Einer derartigen Organisationspflicht genügt der Vorstand bei entsprechender Gefährdungslage nur dann, wenn er eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet.“

Auch über § 130 OWiG besteht bereits bislang eine Haftung von Inhabern eines Betriebs oder Unternehmens (einschließlich von Führungskräften), wenn sie Aufsichtsmaßnahmen unterlassen und es deshalb zu Schäden kommt.

Darüber hinaus kann eine Schadensersatzpflicht der Geschäftsleitung dann eintreten, wenn sie sich (ungewollt) an rechtsverletzendem oder rechtswidrigem Verhalten beteiligt, z. B. wenn im Rahmen von praxisnahen Risikoentscheidungen von weiteren Recherchen (etwa hinsichtlich des Bestehens von Urheberrechten oder Patenten) abgesehen wird. Zudem können sich aus Gesetzen in Spezialbereichen Haftungen ergeben.

Die nun über die NIS-2-Richtlinie auf europäischer Ebene vorgegebene und im kommenden § 38 BSIG-E allgemein verankerte Regelung zur Haftung der Geschäftsleitung bei fehlender Einrichtung und Überwachung von Maßnahmen der – soweit vorliegend relevant – Cybersicherheit ist somit in Deutschland nicht gänzlich neu. Das Haftungsrisiko wird durch die Einführung des neuen Paragrafen mit leicht anderem Anwendungsbereich jedoch nochmals erhöht und die Bedeutung betont.

Zusammenfassung

Ein jedwedes Unternehmen, insbesondere jedoch solche in der Rechtsform der GmbH und AG sowie die über den kommenden § 38 BSIG-E erfassten Unternehmen und Einrichtungen, sollten dringend überprüfen, ob sämtliche erforderlichen internen Strukturen zur Vermeidung von Schäden, vorliegend insbesondere solche auf Grund von Cybersicherheitsrisiken, eingerichtet sind. Soweit notwendig sollten solche Strukturen dringend eingeführt werden und eine regelmäßige Überprüfung – direkt auf Geschäftsleitungsebene – erfolgen. Die bloße „Wegdelegation“ der gesamten Aufgabe z. B. an eine IT-Abteilung oder einen externen Dienstleister genügt nicht zur „Enthaftung“ der Geschäftsleitung.

Stand: 1. Dez. 2023