NIS2 & Aufsichtsrat: Haftungsrisiken erkennen und vermeiden

Während in Vorstandsetagen intensiv über die NIS2-Richtlinie diskutiert wird, konzentriert sich die Debatte meist auf eine Person: den Geschäftsführer. Die Botschaft ist klar – Cybersecurity ist Chefsache und die persönliche Haftung bei Verstößen ist real. Doch was oft übersehen wird: Die wahre, stille Revolution der NIS2 findet eine Ebene darüber statt, im Aufsichtsrat.

‍

Viele Aufsichtsräte gehen noch davon aus, dass Cybersicherheit ein rein operatives Thema ist, das von der Geschäftsführung umgesetzt und verantwortet wird. Das ist ein gefährlicher Trugschluss. NIS2 definiert die Rolle des Aufsichtsgremiums neu und überträgt ihm eine explizite und nicht delegierbare Verantwortung für die Überwachung der Cyber-Risikomanagementmaßnahmen.

‍

Wer diese neue Pflicht zur aktiven Aufsicht vernachlässigt, riskiert nicht nur empfindliche Strafen für das Unternehmen, sondern setzt auch sein Privatvermögen aufs Spiel. Dies ist der Moment, in dem Cybersicherheit endgültig von einem IT-Thema zu einer zentralen Governance-Aufgabe wird.

‍

Zwei Rollen, ein Ziel: Geschäftsführung vs. Aufsichtsrat unter NIS2

‍

Das größte Missverständnis rund um die NIS2-Pflichten liegt in der Vermischung der Rollen von Geschäftsführung und Aufsichtsrat. Beide Gremien sind für die Cybersicherheit verantwortlich, aber auf fundamental unterschiedliche Weise. Während die Geschäftsführung für die Umsetzung zuständig ist, trägt der Aufsichtsrat die Verantwortung für die Überwachung.

‍

• Geschäftsführung (Der Umsetzer): Entwickelt, implementiert und betreibt die Cybersicherheitsmaßnahmen im Tagesgeschäft. Sie ist „im Maschinenraum“ und sorgt dafür, dass die Schutzmechanismen funktionieren.
  ‍
• Aufsichtsrat (Der Überwacher): Billigt die von der Geschäftsführung vorgeschlagenen Strategien, überwacht deren Wirksamkeit und stellt sicher, dass angemessene Ressourcen bereitgestellt werden. Er agiert aus der Vogelperspektive und prüft, ob der eingeschlagene Kurs richtig ist.

‍

Diese klare Trennung ist der Kern der NIS2-Governance. Sie soll sicherstellen, dass die strategische Kontrolle unabhängig von der operativen Ausführung erfolgt.

‍

‍

Die vier Säulen der NIS2-Aufsichtspflicht: Ein Leitfaden für den Aufsichtsrat

‍

Was bedeutet „Überwachung“ in der Praxis? Es geht nicht darum, Firewalls zu konfigurieren oder Virenscanner zu prüfen. Die Aufsichtspflicht des Aufsichtsrats stützt sich auf vier strategische Säulen, die eine strukturierte und nachweisbare Kontrolle ermöglichen.

‍

‍

1. Billigung & Überwachung der Cybersicherheitsstrategie

‍

Die Geschäftsführung legt eine Strategie zum Management von Cyber-Risiken vor – der Aufsichtsrat muss diese kritisch prüfen, hinterfragen und letztlich billigen. Das bedeutet, Antworten auf folgende Fragen zu verlangen:

‍

• Basiert die Strategie auf einer aktuellen und umfassenden Risikoanalyse?
• Sind die Maßnahmen verhältnismäßig zu den identifizierten Risiken?
• Wie wird der Erfolg der Strategie gemessen (KPIs)?
• Wie wird sichergestellt, dass die Strategie bei neuen Bedrohungen angepasst wird?

‍

2. Kontrolle von Ressourcen & Budget

‍

Eine Strategie ohne Budget ist wertlos. Der Aufsichtsrat muss sicherstellen, dass die Geschäftsführung ausreichende finanzielle und personelle Ressourcen für die Cybersicherheit bereitstellt. Ein einfaches Abnicken des vorgeschlagenen Budgets reicht nicht aus. Das Gremium muss hinterfragen, ob die Mittel ausreichen, um die strategischen Ziele tatsächlich zu erreichen und die Risiken effektiv zu minimieren.

‍

3. Überprüfung der Schulungsmaßnahmen

‍

NIS2 schreibt regelmäßige Cybersicherheitsschulungen für alle Mitarbeiterebenen vor – inklusive der Geschäftsführung. Der Aufsichtsrat muss sich vergewissern, dass diese Schulungen nicht nur stattfinden, sondern auch wirksam sind. Er sollte Nachweise über die Teilnahme und das Verständnis der Inhalte anfordern, um die Sicherheitskultur im Unternehmen zu bewerten.

‍

4. Definition von Reporting & Eskalationspfaden

‍

Der Aufsichtsrat kann nur überwachen, was er weiß. Daher muss er klare Anforderungen an das Reporting der Geschäftsführung stellen. Wie oft wird berichtet? Welche Kennzahlen sind relevant? Welche Vorfälle müssen unverzüglich eskaliert werden? Ohne definierte Informationsflüsse agiert der Aufsichtsrat im Blindflug.

‍

Jenseits der Compliance: Wie der Aufsichtsrat Cyber-Resilienz aktiv steuert

‍

Die Erfüllung der NIS2-Pflichten ist mehr als nur das Abhaken einer Checkliste. Es ist eine strategische Notwendigkeit, die das Unternehmen widerstandsfähiger macht. Ein proaktiver Aufsichtsrat nutzt NIS2 als Hebel, um die Cyber-Resilienz des gesamten Unternehmens zu stärken.

‍

Das hat auch direkte Auswirkungen auf andere Bereiche der Unternehmensführung. So werden D&O-Versicherungen (Directors and Officers) künftig sehr genau prüfen, ob Aufsichtsgremien ihre Pflichten nach NIS2 nachweislich erfüllt haben. Eine mangelhafte Überwachung kann im Schadensfall zur Leistungsverweigerung der Versicherung führen.

‍

Während die persönliche Haftung unter NIS2 für die Leitungsorgane ein zentrales Thema ist, geht es für den Aufsichtsrat darum, durch kluge Governance die Weichen für eine sichere Zukunft zu stellen. Diese strategische Aufsicht ist die Grundlage für eine erfolgreiche Umsetzung im gesamten Unternehmen, die in einem umfassenden NIS2 Leitfaden für Unternehmen detailliert wird.

‍

Ihr Werkzeugkasten für die nächste Aufsichtsratssitzung

‍

Wie können Sie als Aufsichtsratsmitglied sicherstellen, Ihrer neuen Verantwortung gerecht zu werden? Beginnen Sie damit, die richtigen Fragen zu stellen. Nutzen Sie die nächste Sitzung, um die Diskussion mit der Geschäftsführung proaktiv zu gestalten.

‍

Hier sind essenzielle Fragen, die jeder Aufsichtsrat stellen sollte:

‍

• Strategie: Können Sie mir unsere Top-5-Cyber-Risiken und die dazugehörigen Schutzmaßnahmen in einfachen Worten erklären?
• Reporting: Welche drei Kennzahlen zeigen uns am besten, wie es um unsere Cybersicherheit bestellt ist?
• Vorfälle: Wie stellen wir sicher, dass wir aus Sicherheitsvorfällen lernen und uns kontinuierlich verbessern?
• Budget: Ist unser Cybersicherheitsbudget anerkannte Branchen-Benchmarks oder basiert es auf unserer spezifischen Risikoanalyse?
• Schulung: Wie messen wir die Wirksamkeit unserer Sicherheitsschulungen für Mitarbeiter und Management?

‍

Achten Sie auf rote Flaggen in den Berichten der Geschäftsführung: vage Formulierungen, ein reiner Fokus auf Technologie statt auf Geschäftsrisiken und das Herunterspielen von kleinen Sicherheitsvorfällen.

‍

‍

Fazit: Vom Kontrolleur zum strategischen Wegbereiter

‍

NIS2 ist mehr als nur eine weitere Regulierung. Es ist ein fundamentaler Wandel, der den Aufsichtsrat aus einer passiven Kontrollfunktion in die Rolle eines aktiven, strategischen Gestalters der digitalen Sicherheit rückt.

‍

Indem Sie Ihre Aufsichtspflicht ernst nehmen, die richtigen Fragen stellen und eine Kultur der Transparenz und Verantwortung einfordern, schützen Sie nicht nur sich selbst und das Unternehmen vor Haftungsrisiken. Sie werden zum entscheidenden Wegbereiter für eine widerstandsfähige und zukunftsfähige Organisation im digitalen Zeitalter. Der erste Schritt beginnt in Ihrer nächsten Aufsichtsratssitzung.

‍

Häufig gestellte Fragen (FAQ) zum NIS2-Aufsichtsrat

‍

Was ist die wichtigste neue Pflicht für den Aufsichtsrat unter NIS2?

‍

Die explizite und persönliche Verantwortung für die Überwachung der Cyber-Risikomanagementmaßnahmen der Geschäftsführung. Der Aufsichtsrat muss die Strategie billigen und ihre Umsetzung kontrollieren.

‍

Kann der Aufsichtsrat seine NIS2-Haftung delegieren?

‍

Nein. Die übergeordnete Aufsichtspflicht und die damit verbundene Haftung können nicht an Ausschüsse, externe Berater oder die Geschäftsführung delegiert werden. Die Letztverantwortung verbleibt beim Gesamtgremium.

‍

Wie detailliert muss sich ein Aufsichtsrat mit Cybersicherheit auskennen?

‍

Ein Aufsichtsrat muss kein IT-Experte sein. Er muss jedoch über ausreichendes Wissen verfügen, um die richtigen Fragen zu stellen, die Berichte der Geschäftsführung kritisch zu bewerten und die strategischen Risiken für das Unternehmen zu verstehen. Es geht um Governance-Kompetenz, nicht um technische Detailkenntnis.

‍

Was passiert, wenn der Aufsichtsrat seine Pflichten vernachlässigt?

‍

Bei Verstößen gegen die Aufsichtspflicht können die Mitglieder des Aufsichtsrats persönlich haftbar gemacht werden. Dies kann zivilrechtliche Schadensersatzforderungen nach sich ziehen und im schlimmsten Fall das Privatvermögen betreffen. Zudem drohen dem Unternehmen hohe Bußgelder und erheblicher Reputationsschaden.

‍