Demo buchen
Blog
7 Minuten lesen
Veröffentlicht am 30. April 2025

NIS2 & DORA: Manager haften für Cybersicherheit

NIS2 und DORA-Haftung - Cybersecurity blog

Michael Tullius

Autor

Diesen Beitrag teilen

Inhaltsübersicht

Heute abonnieren

Erhalten Sie monatlich die neuesten Blogs in Ihren Posteingang - unser Cyber Flash.

Indem Sie auf Anmelden klicken, bestätigen Sie, dass Sie mit unseren Nutzungsbedingungen einverstanden sind.

Einführung

Die Haftung von Managern im Zusammenhang mit unentdeckten Cybersicherheitsvorfällen unterliegt in Europa unterschiedlichen rechtlichen Rahmenbedingungen, die je nach Land und Branche variieren können. NIS2 (Network and Information Systems Directive 2) und DORA (Digital Operational Resilience Act) sollen nun die spezifischen rechtlichen Rahmenbedingungen und Regelungen auf europäischer Ebene vereinheitlichen und neue Richtlinien für das Management von unternehmerischen Cyber-Risiken, die Meldung von Angriffen, aber auch für die Haftung von Managern im Falle von Cybersecurity-Verstößen schaffen.

Damit die NIS2-Richtlinie für die betroffenen Unternehmen rechtsverbindlich wird, muss sie noch in die jeweilige Gesetzgebung der einzelnen EU-Mitgliedstaaten aufgenommen werden, für die jeweils unterschiedliche Fristen gelten.

Im Gegensatz zur NIS2 ist die DORA eine EU-Verordnung und muss als solche nicht in das nationale Recht der EU-Mitgliedstaaten umgesetzt werden, um vollstreckbar zu werden. Sie wurde am 17. Januar 2025, zwei Jahre nach ihrem Inkrafttreten, vollständig vollstreckbar.

Nach beiden Richtlinien können Manager und Führungskräfte für Verstöße gegen die Cybersicherheit zur Rechenschaft gezogen werden, wenn festgestellt wird, dass sie es versäumt haben, angemessene Maßnahmen zu ergreifen, um solche Vorfälle zu verhindern oder abzumildern, oder angemessene Cybersicherheitsrichtlinien und risikobasierte Programme einzuführen , um Schwachstellen in Netzwerken, Ressourcen und Anlagen zu verwalten. Die Haftung hängt von Faktoren wie der Art und Schwere des Verstoßes, der Branche und der örtlichen Rechtsprechung ab.

Verpflichtungen des Managements und Haftung aus der NIS2

Künftig werden Unternehmen in verschiedenen neuen Sektoren - die nun durch NIS2 erweitert wurden - unabhängig von ihrer Größe in den Anwendungsbereich von NIS2 fallen, z. B. in den Bereichen Verkehr, Finanzmarktinfrastruktur, Pharmazeutika und Medizintechnik, Chemie, öffentliche Verwaltung und vielen anderen. Die Ausweitung des Anwendungsbereichs ist darauf zurückzuführen, dass die NIS2 Unternehmen danach klassifiziert, ob sie "wesentlich" (z. B. Energie, Verkehr, Banken und Gesundheitswesen) oder "wichtig" (z. B. Post- und Kurierdienste, Abfallwirtschaft usw.) sind, was mehr Sektoren und Dienstleistungen umfasst.

NIS2 und DORA ist eine Angelegenheit der Verwaltung

Was die Haftung von Managern für unentdeckte Vorfälle im Bereich der Cybersicherheit betrifft, so können diese rechtlich zur Verantwortung gezogen werden, wenn nachgewiesen wird, dass sie ihre Sorgfaltspflicht in Bezug auf die Cybersicherheit ihres Unternehmens vernachlässigt haben. Dies kann zum Beispiel durch eine unzureichende Umsetzung von Sicherheitsmaßnahmen, eine unzureichende Risikobewertung oder fehlende Notfallpläne geschehen: Die NIS2 verlangt von der Unternehmensleitung, dass sie ihr Cybersecurity-Risikomanagement laufend überprüft und bei Bedarf anpasst sowie dessen Umsetzung und interne Einhaltung überwacht.

Dies setzt voraus, dass sich die Unternehmensleitung ausreichende Kenntnisse über Cyberrisiken aneignet, um die vorgeschlagenen Maßnahmen zu bewerten und vor allem den potenziellen Schaden - auch über die eigenen Unternehmensgrenzen hinaus - genau zu bestimmen. Eine ständige und enge Kommunikation mit den IT-Teams ist in diesem Zusammenhang von entscheidender Bedeutung, zumal sich Cyber-Risiken ständig verändern und Anpassungen im Cybersecurity-Risikomanagement erfordern.

Koordinierung zwischen Management und IT

Dabei sind zwei wesentliche Verpflichtungen der Verwaltung zu beachten:

1. Zum einen sind betriebliche und organisatorische Maßnahmen zum Management von Sicherheitsrisiken im Zusammenhang mit Netz- und Informationssystemen sowie Präventionsmaßnahmen zur Minimierung möglicher Auswirkungen erforderlich.

2. Zweitens müssen die zuständigen Behörden unverzüglich über jeden Datenvorfall informiert werden, der den Betrieb des Unternehmens oder die erbrachten Dienstleistungen erheblich beeinträchtigt. Gegebenenfalls müssen die Einrichtungen auch die Empfänger der Dienstleistung über jedes bedeutende Ereignis informieren, das sich negativ auf die Erbringung der (kritischen) Dienstleistung auswirken könnte.

Strenge Sanktionen

Die NIS2-Richtlinie schreibt vor, dass Netz- und Informationssysteme sowie die physische Umgebung dieser Systeme vor Zwischenfällen geschützt werden müssen. Die Unternehmen müssen zumindest interne Richtlinien zur Risikoanalyse und IT-Sicherheit verabschieden, z. B. zum Umgang mit Zwischenfällen, zur Wiederherstellung im Katastrophenfall, zur Sicherheit der Lieferkette, zu Netz- und Informationssystemen im Beschaffungswesen, zur Zugangskontrolle und zum Zugangsmanagement usw.

Verstöße gegen die NIS2-Anforderungen führen zu nationalen Strafen, Geldbußen und Sanktionen gemäß den Artikeln 34, 35 und 36. Für kritische Sektoren können die Sanktionen für Verstöße gegen Artikel 21 oder 23 (in Bezug auf Cybersicherheitsmaßnahmen und -meldungen) bis zu einem Höchstbetrag von mindestens 10 Mio. EUR oder 2 % des weltweiten Umsatzes betragen. Für wichtige Sektoren können die Sanktionen für Verstöße gegen Artikel 21 oder 23 bis zu einem Höchstbetrag von mindestens 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes betragen.

Die NIS2-Richtlinie führt auch eine bedeutende Neuerung ein, indem sie den "Leitungsorganen" direkte Verpflichtungen auferlegt, ein hohes Maß an Verantwortlichkeit für die Einhaltung der Cybersicherheitsanforderungen zu gewährleisten. Obwohl in der NIS2-Richtlinie nicht klar definiert ist, wer als Mitglied eines "Leitungsorgans" gilt, dürften Vorstandsmitglieder und bestimmte leitende Angestellte in den Anwendungsbereich der Richtlinie fallen.

Warum Manager für Cybersicherheitsvorschriften wie NIS2 und DORA verantwortlich sind

Warum Manager NIS2-pflichtig sind: im Detail

Die Leitungsorgane von bedeutenden und wichtigen Unternehmen müssen die Umsetzung der in der NIS2 vorgeschriebenen Maßnahmen zum Management von Cyberrisiken genehmigen und überwachen und können persönlich haftbar gemacht werden, wenn das Unternehmen diese Maßnahmen nicht einführt und einhält. Bedeutende und wichtige Unternehmen sind verpflichtet, die zuständige Behörde und gegebenenfalls ihre Dienstleistungsempfänger über jeden Cybervorfall mit erheblichen Auswirkungen zu informieren.

Dabei handelt es sich um Vorfälle, die zu schwerwiegenden Betriebsstörungen oder finanziellen Verlusten für das Unternehmen geführt haben oder führen können oder die anderen (natürlichen oder juristischen) Personen erheblichen materiellen oder immateriellen Schaden zugefügt haben oder zufügen können.

Die Fristen für die Meldung von Vorfällen umfassen eine Frühwarnung, die innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls an die Behörde zu übermitteln ist, einen detaillierteren und förmlichen Bericht über den Vorfall innerhalb von 72 Stunden und einen Abschlussbericht einen Monat nach Übermittlung dieses Berichts.

Darüber hinaus müssen die Anlagen auf Aufforderungen der Behörde zur Aktualisierung des Status und/oder zur Vorlage von Fortschrittsberichten reagieren. Die zuständige Behörde kann die Anlage auch dazu verpflichten, die Öffentlichkeit über das signifikante Vorkommnis zu informieren oder eine öffentliche Erklärung dazu abzugeben.

Infolgedessen können Leitungsorgane wie der Vorstandsvorsitzende persönlich für Verstöße gegen die Cybersicherheitsvorschriften haftbar gemacht werden, wodurch sie erheblichen potenziellen Strafen ausgesetzt sind. Obwohl solche Sanktionen den Vorschriften der einzelnen EU-Mitgliedstaaten unterliegen, schreibt die NIS2 vor, dass sie "wirksam, verhältnismäßig und abschreckend" sein müssen. Eine mögliche Strafe könnte sogar der Ausschluss aus dem Vorstand sein.

DORA

Sektorspezifische Cyber-Vorschriften für die Finanzdienstleistungsbranche:

Wie NIS2 zielt auch DORA darauf ab, einen hohen gemeinsamen Standard für die digitale Widerstandsfähigkeit zu schaffen, indem einheitliche Kriterien für die Sicherheit von Netzen und Informationssystemen festgelegt werden. Dazu gehören Aspekte wie die Schaffung eines Rahmens für das Risikomanagement, der "einen wirksamen und umsichtigen Umgang mit der sich rasch entwickelnden Bedrohungslandschaft gewährleistet", die Meldung bedeutender IKT-bezogener Vorfälle, bemerkenswerter betrieblicher oder sicherheitsrelevanter Vorfälle im Zusammenhang mit dem Zahlungsverkehr, Tests für die digitale betriebliche Widerstandsfähigkeit und Bestimmungen für vertragliche Vereinbarungen zwischen IKT-Drittanbietern und Finanzinstituten.

Insbesondere formuliert das DORA auch Anforderungen an Drittanbieter, die Cloud-Dienste für z.B. Finanzinstitute anbieten.

Auch wenn DORA nicht ausdrücklich festlegt, wie das Management gemäß den Vorschriften haftet, liegt die Verantwortung für die Implementierung eines standardisierten Risikomanagementrahmens, die Einrichtung von Prozessen zur Identifizierung, Behandlung und Meldung von Vorfällen oder Audits durch Dritte bei der Unternehmensleitung.

Der Geltungsbereich der DORA wird von den Behörden durch die Benennung von Unternehmen und verantwortlichen Personen überwacht, die im Falle von Verstößen sanktioniert werden. Die Überwachung dieser Maßnahmen soll durch die Regulierungsbehörden erfolgen und durch Maßnahmen wie die öffentliche Benennung der Unternehmen und ggf. der verantwortlichen Personen durchgesetzt werden.

Wie kann ich mich und mein Unternehmen vor Sanktionen schützen? Welche Schritte sollte ich unternehmen?

  • Unternehmen sollten jetzt unbedingt prüfen, ob sie in den Anwendungsbereich der NIS2-Richtlinie oder der DORA-Verordnung fallen. Ist dies der Fall, sollten sie die Einhaltung der Richtlinien durch die Umsetzung vereinbarter Cybersicherheitsmaßnahmen sicherstellen.
  • Machen Sie sich mit den für Sie geltenden Anforderungen vertraut und nehmen Sie eine Analyse der aktuellen Situation vor.
  • Ernennung eines Cybersicherheitsbeauftragten auf Managementebene. Da die Geschäftsleitung im Falle einer Inspektion die Verantwortung trägt, ist es entscheidend, diese Verantwortung auf dieser Ebene zu übertragen.
  • Verfolgen Sie einen strukturierten Ansatz für das Risikomanagement. Dazu gehört die systematische Behandlung von Fragen der Geschäftskontinuität, des Krisenmanagements und der Sicherheit der Lieferkette. Entwicklung von Richtlinien und Verfahren für Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit.
  • Führen Sie ein gut organisiertes System für das Management von Zwischenfällen ein, um sicherzustellen, dass Sie in der Lage sind, die Anforderungen für die Erkennung von Zwischenfällen, die Ergreifung geeigneter Maßnahmen und die Meldung von Zwischenfällen innerhalb der vorgegebenen Fristen zu erfüllen.
  • Durchführung der erforderlichen Ausbildungsverfahren und Sicherstellung, dass die Mitarbeiter auch entsprechend geschult werden.
  • Durchführung einer umfassenden Bewertung der Risiken für die Sicherheit des Netzes und der Informationssysteme, die das Unternehmen für seine Geschäftsaktivitäten oder die Erbringung seiner Dienstleistungen nutzt.
  • Durchführung jährlicher Audits zur Cybersicherheit.
  • Übertragen Sie Ihr Risiko an ein Managed Security Operations Center, wenn es an internem Fachwissen mangelt.
  • Umsetzung von Sicherheitsmaßnahmen zum Schutz der Netzsicherheit und der Informationssysteme.
  • Network Detection and Response als Schlüsselinstrument für eine effektive Netzüberwachung gemäß NIS2 und DORA.

Viele Vorschriften, eine effiziente Lösung

Exeon.NDR für die Einhaltung von NIS2 und DORA - Manager haften

Um die Herausforderungen von NIS2 und DORA zu meistern und die Sicherheit und Widerstandsfähigkeit ihrer Netzwerke und Informationssysteme zu gewährleisten, bieten die Lösungen von NDR verschiedene Vorteile für Organisationen, die die Einhaltung der Vorschriften sicherstellen müssen, darunter:

  1. Sichtbarkeit: NDR-Lösungen bieten einen umfassenden Einblick in den Netzwerkverkehr und ermöglichen es Unternehmen, potenzielle Bedrohungen und Schwachstellen zu erkennen, bevor sie ausgenutzt werden können.
  2. Erkennung: Durch die kontinuierliche Überwachung des Netzwerkverkehrs können NDR-Lösungen verdächtige Aktivitäten wie unbefugte Zugriffsversuche oder Datenexfiltration erkennen und Unternehmen darauf hinweisen.
  3. Reaktion: NDR-Lösungen ermöglichen es Unternehmen, schnell und effektiv auf potenzielle Bedrohungen zu reagieren, indem sie Verfahren zur Reaktion auf Vorfälle einleiten.
  4. Einhaltung der Vorschriften: NDR-Lösungen unterstützen Unternehmen bei der Einhaltung der Meldepflichten gemäß NIS2 und DORA, indem sie detaillierte Protokolle und Berichte über Netzwerkaktivitäten und Vorfälle liefern.

Zusammenfassung

Die Haftung von Managern für unentdeckte Cybersicherheitsvorfälle variiert in Europa je nach Rechtsrahmen und Branche. Um eine einheitliche Regelung zu schaffen, wurden die NIS2-Richtlinie und der Digital Operational Resilience Act (DORA) eingeführt, die spezifische Regelungen für Manager im Falle von Cybersicherheitsverletzungen festlegen.

Führungskräfte können für Verstöße persönlich haftbar gemacht werden, und zu den Sanktionen können Geldstrafen und/oder Einschränkungen der Geschäftsführung gehören. Unternehmen sollten geeignete Maßnahmen ergreifen, einschließlich Schulungen, Risikobewertungen, Umsetzung von Cybersicherheitsmaßnahmen und Meldung von Vorfällen, um die Einhaltung der Vorschriften zu gewährleisten. Dies ist besonders wichtig, da die Nichteinhaltung zu erheblichen Geldbußen führen kann.

NIS2, DORA & KRITIS Leitfaden - Exeon Analytics

Um sich vor NIS2-Sanktionen zu schützen, sollten Unternehmen den Anwendungsbereich überprüfen, einen Cybersicherheitsbeauftragten ernennen, einen risikobasierten Ansatz verfolgen, Sicherheitsmaßnahmen umsetzen, ein Vorfallsmanagementsystem einführen und einen strukturierten Ansatz für das Risikomanagement wählen. Laden Sie unseren Leitfaden und die Checkliste für die Einhaltung der Vorschriften herunter, um eine Anleitung zu erhalten, wie dies zu bewerkstelligen ist!

Holen Sie sich den Cyber Flash

Bleiben Sie auf dem Laufenden mit unserem monatlichen Newsletter, der Sie über fortschrittliche Netzwerksicherheit, Updates zur Einhaltung von Vorschriften und die neuesten Veranstaltungen und Webinare zum Thema Cybersicherheit informiert.

Zurück zum Hauptmenü
Unsere Produkte
Wettbewerb

Warum unsere NDR-Lösung auf dem Markt überlegen ist.

KI & Sicherheit
Unsere KI-Cybersecurity-Plattform, Swiss-made.