NIS2 und DORA: Manager haften für Cybersecurity

Why NIS2 and DORA is a matter for management - Cybersecurity blog

Einleitung

Die Managerhaftung im Zusammenhang mit unentdeckten Cybersecurity-Vorfällen in Europa unterliegt verschiedenen rechtlichen Rahmenbedingungen, die je nach Land und Branche variieren können. NIS2 (Network and Information Systems Directive 2) und DORA (Digital Operational Resilience Act) sollen nun die spezifischen rechtlichen Rahmenbedingungen und Vorschriften auf europäischer Ebene vereinheitlichen und neue Richtlinien für das Managen von unternehmerischen Cyberrisiken, die Meldung von Attacken aber auch für die Haftung von Managern im Falle von Cybersecurity-Verstössen geben.

Sowohl die NIS2-Richtlinie als auch DORA traten offiziell am 17. Januar 2023 in Kraft. Damit die NIS2-Richtlinie für die betroffenen Unternehmen rechtsverbindlich wird, müssen sie noch in die jeweilige Gesetzgebung der EU-Mitgliedstaaten aufgenommen werden, die Frist hierfür ist der 17. Oktober 2024.

Im Gegensatz zu NIS2 ist DORA eine EU-Verordnung und muss als solche nicht erst in das nationale Recht der EU-Mitgliedstaaten umgesetzt werden, um vollstreckbar zu werden. Sie wird am 17. Januar 2025, zwei Jahre nach ihrem Inkrafttreten, vollständig durchsetzbar sein.

Bei beiden Richtlinien können Manager und Führungskräfte für Cybersecurity-Verstösse zur Rechenschaft gezogen werden, etwa wenn festgestellt wird, dass sie keine angemessenen Massnahmen ergriffen haben, um solche Vorfälle zu verhindern oder abzumildern oder die Implementierung angemessener Cybersecurity-Richtlinien, und risikobasierter Programme zur Verwaltung von Sicherheitslücken in Netzwerken, Ressourcen und Assets unterlassen haben. Die Haftung wird hierbei je nach Faktoren wie Art und Schwere des Verstosses, Branche und lokaler Rechtsprechung innerhalb der Länder variieren.

Verpflichtungen und Haftung des Managements aus NIS2

Unternehmen verschiedener –durch NIS2 nun erweiterter– Sektoren, fallen in Zukunft, unabhängig von ihrer Grösse, unter den Anwendungsbereich von NIS2 etwa die Branchen Transport, Finanzmarktinfrastruktur, Pharma und Medtech, Chemie, öffentliche Verwaltung u.v.m. Die erweiterte Gültigkeit liegt daran, dass NIS2 die Entitäten danach klassifiziert, ob sie „wesentlich“ (z. B. Energie, Verkehr, Banken und Gesundheitswesen) oder „wichtig“ (z.B. Post- und Kurierdienste, Abfallwirtschaft usw.) sind. Dadurch werden mehr Sektoren und Dienstleistungen im Vergleich z.B. zu NIS1 oder Kritis einbezogen.

ExeonTrace gives you full visibility into corporate networks to detect anomalies in complex environments

In Bezug auf die Managerhaftung für unentdeckte Cybersecurity-Vorfälle können Manager von Unternehmen rechtlich verantwortlich gemacht werden, wenn nachgewiesen wird, dass sie ihre Sorgfaltspflicht in Bezug auf die Cybersecurity ihres Unternehmens vernachlässigt haben. Dies kann etwa durch eine unzureichende Umsetzung von Sicherheitsmassnahmen, eine unzureichende Risikobewertung oder das Fehlen von Notfallplänen eintreten: NIS2 verlangt vom Management der Unternehmen, das Cybersecurity-Risikomanagement ständig zu überprüfen und bei Bedarf anzupassen sowie dessen Umsetzung und Einhaltung zu überwachen. Dies fordert die Führungsetage auf, ausreichende Kenntnisse über Cyber-Risiken zu erwerben, um die vorgeschlagenen Massnahmen zu bewerten und vor allem den potenziellen Schaden genau zu bestimmen – und das sogar über die eigenen Unternehmensgrenzen hinaus. Eine ständige und enge Kommunikation mit den IT-Teams ist in diesem Kontext entscheidend, insbesondere da Cyber-Risiken ständig im Wandel sind und Anpassungen im Cybersecurity-Risikomanagement erfordern.

Enge Abstimmung Management–IT

Zwei zentrale Verpflichtungen des Managements sind zu beachten:

1. Zum einen sind, operative und organisatorische Massnahmen erforderlich, um Sicherheitsrisiken für das Unternehmen im Zusammenhang mit Netzwerk- und Informationssystemen zu managen und geeignete Prävention zur Minimierung der Auswirkungen zu treffen.

2. Zweitens müssen die zuständigen Behörden unverzüglich über jeden Datenvorfall informiert werden, der den von ihnen erbrachten Dienst oder den Unternehmensablauf erheblich beeinträchtigt. Gegebenenfalls müssen die Unternehmen auch die Empfänger ihrer Produkte oder Services über solche Ereignisse informieren, die sich negativ auf die Erbringung weiterer (kritischer) Dienste auswirken könnten.

Die NIS2-Richtlinie sieht vor, dass Netzwerk- und Informationssysteme sowie die physische Umgebung dieser Systeme vor Zwischenfällen zu schützen sind. Die Unternehmen müssen interne Richtlinien zu Risikoanalysen und IT-Sicherheit, z.B. zur Handhabung von Zwischenfällen, zur Notfallwiederherstellung, Sicherheit der Lieferkette, Netzwerk- und Informationssystemen bei Beschaffung, Zugangskontrollen und Zugangsmanagement etc erlassen.

Strikte Sanktionen

Verstösse gegen die NIS2-Anforderungen ziehen Geldbussen und Sanktionen nach sich, wie in den Artikeln 34, 35 und 36 dargelegt ist. Für wichtige Sektoren können die Strafen für Verstösse gegen Artikel 21 oder 23 (in Bezug auf Cybersicherheitsmassnahmen und -meldungen) bis zu einem Höchstbetrag von mindestens 10 Mio. EUR oder 2 % des weltweiten Umsatzes geahndet werden. Bei wichtigen Sektoren können die Sanktionen für Verstösse gegen Artikel 21 oder 23 bis zu einem Höchstbetrag von mindestens 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes betragen. [Mehr dazu in unserem NIS2 Blog]

Die NIS2-Richtlinie führt ausserdem eine wesentliche Neuerung ein, indem sie den „Leitungsorganen“ die direkten Verpflichtungen auferlegt, ein hohes Mass an Rechenschaftspflicht für die Einhaltung der Cybersicherheitsanforderungen zu gewährleisten. Obwohl NIS2 nicht klar definiert, wer als Mitglied eines „Leitungsorgans“ betrachtet wird, dürften Vorstände und bestimmte Führungskräfte in ihren Anwendungsbereich fallen.

Leitungsorgane von wesentlichen und wichtigen Entitäten müssen die im Rahmen von NIS2 erforderlichen Massnahmen für das Risikomanagement der Cybersicherheit genehmigen und deren Umsetzung überwachen und können persönlich für das Versäumnis des Unternehmens, solche Massnahmen zu übernehmen und einzuhalten, haftbar gemacht werden.

Warum Manager NIS2-pflichtig sind: im Detail

Wesentliche und wichtige Einrichtungen sind verpflichtet, die zuständige Behörde zu benachrichtigen und gegebenenfalls ihre Dienstleistungsempfänger über jeden Cyber-Zwischenfall mit erheblichen Auswirkungen zu informieren. Hierbei handelt es sich um Vorfälle, die schwere operative Störungen oder finanzielle Verluste für die Einrichtung verursacht haben oder verursachen können, oder erhebliche materielle oder immaterielle Schäden für andere (natürliche oder juristische) Personen verursacht haben oder verursachen könnten.

Die Zeitvorgaben für die Meldung von Vorfällen umfassen eine Frühwarnung, die innerhalb von 24 Stunden nach Kenntniserlangung über den Vorfall an die Behörde erfolgen muss, eine bereits detailliertere und formellere Vorfalls Meldung innerhalb von 72 Stunden und einen Abschlussbericht einen Monat nach Einreichung der genannten Vorfalls-Meldung.

Darüber hinaus müssen die betroffenen Einrichtungen auf Anfragen der Behörde nach Statusaktualisierungen reagieren und/oder Fortschrittsberichte vorlegen. Die zuständige Behörde kann die Einrichtung auch zwingen, die Öffentlichkeit über einen bedeutenden Vorfall zu informieren oder selbst eine öffentliche Erklärung hierzu abzugeben.

Leitungsorgane wie der Vorstandsvorsitzende können persönlich für Verstösse gegen die Cybersicherheitsregeln, die Unterlassung der Meldung etc. haftbar gemacht werden. Obwohl solche Strafen der genaueren Definition der einzelnen EU-Mitgliedstaaten unterliegen, schreibt NIS2 vor, dass sie „wirksam, verhältnismässig und abschreckend“ sein müssen. Eine mögliche Strafe könnte also sogar eine Suspendierung aus dem Vorstand sein. Die Durchsetzung erfolgt hier auf nationaler Ebene der EU-Mitgliedstaaten, obwohl die NIS2-Richtlinie gegenseitige Hilfe- und Kooperationsbestimmungen unter den relevanten zuständigen nationalen Behörden im Falle grenzüberschreitender Durchsetzungsmassnahmen vorsieht. Die EU-Agentur für Cybersicherheit (ENISA) wird eine koordinierende und beratende Rolle haben.

Wichtig: Die NIS2-Richtlinie sieht keinen bestimmten Standard für ein „Versagen“ vor, um die persönliche Haftung auszulösen - jedoch wird bei der Entscheidung über die Durchsetzungsmassnahme die Absicht oder Fahrlässigkeit des Täters berücksichtigt.

DORA

Am selben Tag wie NIS2 trat auch die damit verbundene EU-Gesetzgebungen der neue EU Digital Operational Resilience Act („DORA“), bestehend aus einer EU-Verordnung und einer EU-Änderungsrichtlinie, das darauf abzielt, die Cybersicherheit und Widerstandsfähigkeit der, von der Finanzdienstleistungsbranche genutzten, IT-Systeme zu harmonisieren, in Kraft.

Sektorspezifische Cyberregeln für die Finanzdienstleistungsbranche:

Wie NIS2 zielt auch DORA darauf ab, durch die Festlegung einheitlicher Kriterien für die Sicherheit von Netzwerken und Informationssystemen einen hohen gemeinsamen Standard für die digitale Ausfallsicherheit zu schaffen. Dazu gehören Aspekte wie die Einrichtung eines Risikomanagements das einen «effektiven und umsichtigen Umgang mit der sich schnell verändernden Bedrohungslage sicherstellt», die Meldung erheblicher IKT-bezogener Vorfälle, -besonders betriebliche- oder sicherheitsrelevante Incidents im Zusammenhang mit Zahlungen-, ständige Tests für die digitale betriebliche Widerstandsfähigkeit und Bestimmungen über vertragliche Vereinbarungen zwischen IKT-Drittanbietern und Finanzinstituten. Insbesondere werden bei DORA auch Anforderungen an Drittanbieter formuliert, welche z.B. Cloud Dienstleistungen für Finanzinstitute anbieten.

DORA besagt zwar nicht ausdrücklich, wie die Geschäftsleitung gemäss den Bestimmungen haften muss, aber auch hier liegt die Management Verantwortung für die Implementierung eines standardisierten Risikomanagementrahmens, die Einrichtung von Prozessen zur Identifizierung, Behandlung und Meldung von Vorfällen oder Third Party Prüfung beim Management. Der Geltungsbereich von DORA wird von den Behörden überwacht durch die Benennung der Unternehmen und der verantwortlichen Personen, welche bei Verstössen sanktioniert werden. Die Überwachung dieser Massnahmen soll durch die Regulierungsbehörden erfolgen und durch Massnahmen wie die öffentliche Benennung von Unternehmen und gegebenenfalls der verantwortlichen Personen durchgesetzt werden.

Managers are liable for cybersecurity regulations such as NIS2 and DORA.webp

Wie kann ich mich und mein Unternehmen vor Sanktionen schützen? Welche Schritte sollte ich unternehmen?

  • Es ist essenziell, dass Unternehmen jetzt überprüfen, ob sie unter den Geltungsbereich der NIS2-Richtlinie oder der DORA-Verordnung fallen. Falls ja, sollten sie sicherstellen, dass sie die Vorgaben durch die Umsetzung vereinbarter Cybersicherheitsmassnahmen einhalten:Machen Sie sich mit den für Sie geltenden Anforderungen vertraut und führen Sie eine Analyse der aktuellen Situation durch.

  • Benennen Sie einen Cybersecurity-Beauftragten auf Managementebene. Da die Geschäftsleitung im Falle einer Inspektion verantwortlich ist, ist es entscheidend, diese Verantwortung auf diese Ebene zu übertragen.

  • Verfolgen Sie einen strukturierten Ansatz für das Risikomanagement. Dies beinhaltet die systematische Bearbeitung von Themen wie Business-kontinuität, Krisenmanagement und Sicherheit der Lieferkette. Entwickeln Sie Richtlinien und Verfahren für Massnahmen im Bereich des Risikomanagements für Cybersicherheit.

  • Richten Sie ein gut organisiertes Incident-Management-System ein, um sicherzustellen, dass Sie die Anforderungen zur Erkennung, der zu ergreifenden Massnahmen und der Berichterstattung von Vorfällen innerhalb der festgelegten Fristen erfüllen können.

  • Implementieren Sie die erforderlichen Schulungsverfahren und stellen Sie sicher, dass relevante Schulungen auch für die Mitarbeiter bereitgestellt werden.

  • Führen Sie eine umfassende Bewertung der Risiken für die Sicherheit der Netzwerke und Informationssysteme durch, die das Unternehmen für seine Geschäftstätigkeiten oder die Erbringung von Dienstleistungen verwendet.

  • Führen Sie jährliche Cybersecurity-Audits durch.

  • Externalisieren Sie Ihr Risiko an ein Managed Security Operations Center, wenn es an hausinterner Expertise mangelt.

  • Implementieren Sie Sicherheitsmassnahmen zum Schutz der Netzwerksicherheit und Informationssysteme.

  • Network Detection and Response als Schlüsselinstrument für eine effektive Netzwerküberwachung gemäss NIS2 und DORA.

Viele Vorschriften, eine effiziente Lösung

Um den Herausforderungen von NIS2 und DORA zu begegnen und die Sicherheit sowie Widerstandsfähigkeit ihrer Netze und Informationssysteme zu gewährleisten, bieten Network Detection and Response (NDR)-Lösungen diverse Vorteile für Organisationen, Konformität sicherstellen müssen, darunter:

  1. Sichtbarkeit: NDR-Lösungen gewähren umfassende Einblicke in den Netzwerkverkehr, ermöglichen es Unternehmen, potenzielle Bedrohungen und Schwachstellen zu identifizieren, noch bevor sie ausgenutzt werden können.

  2. Erkennung: Durch kontinuierliche Überwachung des Netzwerkverkehrs können NDR-Lösungen verdächtige Aktivitäten wie unbefugte Zugriffsversuche oder Datenexfiltration erkennen und Unternehmen darüber informieren.

  3. Reaktion: NDR-Lösungen ermöglichen es Unternehmen, rasch und effektiv auf potenzielle Bedrohungen zu reagieren, indem sie Verfahren zur Reaktion auf Vorfälle initiieren.

  4. Einhaltung von Vorschriften: NDR-Lösungen unterstützen Organisationen dabei, die Meldeanforderungen gemäss NIS2 und DORA zu erfüllen, indem sie detaillierte Protokolle und Berichte über Netzwerkaktivitäten und Vorfälle bereitstellen.

ExeonTrace-network-security-man-in-office.webp

Fazit

Die Managerhaftung für unentdeckte Cybersecurity-Vorfälle in Europa variiert je nach rechtlichem Rahmen und Branche. Um eine einheitliche Regelung zu schaffen, wurden die NIS2-Richtlinie und der Digital Operational Resilience Act (DORA) eingeführt, die spezifische Vorschriften für Manager im Falle von Cybersecurity-Verstössen festlegen.

Die NIS2-Richtlinie trat am 17. Januar 2023 in Kraft und muss bis zum 17. Oktober 2024 von den EU-Mitgliedstaaten umgesetzt werden. Manager können persönlich für Verstösse haftbar gemacht werden, und Sanktionen können Geldbussen und/oder Managementeinschränkungen umfassen. Unternehmen sollten geeignete Massnahmen ergreifen, einschliesslich Schulungen, Risikobewertungen, Implementierung von Cybersicherheitsmassnahmen und Incident Reporting, um die Compliance sicherzustellen. Dies ist besonders wichtig, da die Nichteinhaltung zu erheblichen Geldbussen führen kann. Um sich vor NIS2-Sanktionen zu schützen, sollten Unternehmen den Anwendungsbereich überprüfen, einen Cybersicherheitsbeauftragten ernennen, risikobasiert vorgehen, Sicherheitsmassnahmen implementieren, ein Incident-Management-System einführen und einen strukturierten Ansatz für das Risikomanagement verfolgen.

Laden Sie unseren NIS2-Aktionsplan und die Compliance Checkliste herunter, um eine Anleitung zu erhalten, wie Sie dies tun können!

Michael Tullius

Author:

Michael Tullius

Sales Director, Germany

email:

michael.tullius@exeon.com

Share:

Published on:

18.01.2024