NIS2: Effektive Board-Aufsicht für nicht-technische Führungskräfte

Stellen Sie sich vor, Sie sitzen in Ihrer nächsten Vorstandssitzung. Auf der Agenda: Cybersicherheit. Ihr CIO präsentiert eine Folie voller Fachbegriffe – „Endpoint Detection“, „Zero-Trust-Architektur“, „SIEM-Protokolle“. Sie nicken verständnisvoll, aber insgeheim fragen Sie sich: „Genehmige ich hier gerade das Richtige? Und woher weiß ich, ob unsere Millioneninvestition uns wirklich schützt?“

‍

Wenn Ihnen dieses Szenario bekannt vorkommt, sind Sie nicht allein. Für viele Führungskräfte ohne tiefen IT-Hintergrund ist die Überwachung der Cybersicherheit eine Blackbox. Doch mit der neuen NIS2-Richtlinie hat sich die Lage grundlegend geändert. Die Aufsicht über Cybersicherheit ist keine delegierbare IT-Aufgabe mehr, sondern eine unmissverständliche, persönliche Verantwortung der Geschäftsleitung – inklusive potenzieller Haftung.

‍

Die gute Nachricht: Sie müssen kein IT-Experte werden, um dieser Verantwortung gerecht zu werden. Sie müssen nur lernen, die richtigen Fragen zu stellen und Cybersicherheit als das zu behandeln, was es ist: eine zentrale unternehmerische Risikoart. Dieser Leitfaden übersetzt die komplexen Anforderungen in Ihre Sprache und gibt Ihnen die Werkzeuge an die Hand, die Sie für eine effektive Aufsicht benötigen.

‍

Der entscheidende Perspektivwechsel: NIS2 ist kein IT-Problem, sondern Risikomanagement

‍

Der größte Fehler, den Führungskräfte bei NIS2 machen, ist, das Thema in der IT-Abteilung zu verorten. Das ist so, als würde man das Finanzrisiko ausschließlich dem Controlling überlassen, ohne dass der Vorstand die Bilanzen versteht. Cybersicherheit ist ein Geschäftsrisiko mit potenziell verheerenden Auswirkungen auf Finanzen, Betrieb, Reputation und rechtliche Konsequenzen.

‍

Ihre Aufgabe als Führungskraft ist es nicht, die Funktionsweise einer Firewall zu verstehen. Ihre Aufgabe ist es, die Auswirkungen eines Cyberangriffs auf Ihre Geschäftsziele zu bewerten und sicherzustellen, dass angemessene Maßnahmen zur Risikominderung getroffen werden.

‍

Denken Sie an Cyberrisiken genau wie an andere Geschäftsrisiken:

‍

• Finanzrisiko: Sie analysieren Marktschwankungen und sichern sich ab.
  ‍
• Operationelles Risiko: Sie versichern sich gegen Produktionsausfälle.
  ‍
• Cyberrisiko: Sie investieren in Schutzmaßnahmen, um digitale Betriebsabläufe und Vermögenswerte zu sichern.

‍

Sobald Sie diesen gedanklichen Schalter umlegen, wird Ihre Rolle klarer: Sie sind nicht der Techniker, sondern der Risikomanager.

‍

Diese Grafik erklärt, dass NIS2 Cyberrisiken eine wesentliche Risikoart im Unternehmen sind – ähnlich wichtig wie Finanz- oder Marktrisiken – und daher in die Aufsicht des Vorstands fallen.

‍

Ihr Governance-Rahmen: So erfüllen Sie Ihre Aufsichtspflicht in 3 Schritten

‍

Die NIS2-Anforderungen an die Geschäftsleitung lassen sich in einem einfachen, aber wirkungsvollen Governance-Rahmen zusammenfassen. Dieser Rahmen gibt Ihnen eine klare Struktur für Ihre Aufsichtstätigkeit.

‍

‍

Dieser Ablaufplan zeigt, wie nicht-technische Führungskräfte ihre NIS2-Aufsichtspflichten in einfachen, umsetzbaren Schritten erfüllen können: genehmigen, überwachen und sich selbst schulen.

‍

1. Billigen: Mehr als nur Budgets abnicken

‍

Ihre erste Pflicht ist die „Billigung“ von Risikomanagement-Maßnahmen. Das bedeutet, dass Sie die vorgeschlagenen Sicherheitskonzepte aktiv verstehen und genehmigen müssen. Es reicht nicht aus, ein Budget freizugeben, weil die IT-Abteilung es anfordert.

‍

So setzen Sie es um:

‍

• Fordern Sie eine geschäftsorientierte Begründung: Bitten Sie Ihr IT-Team, jede größere Investition nicht mit technischen Features, sondern mit dem Geschäftsrisiko zu begründen, das sie mindert. Zum Beispiel: „Wir benötigen diese E-Mail-Sicherheitslösung, um das Risiko von CEO-Betrug zu reduzieren, das uns letztes Jahr X Euro an potenziellem Schaden hätte kosten können.“
  ‍
• Verstehen Sie die Risikoakzeptanz: Nicht jedes Risiko kann eliminiert werden. Lassen Sie sich erklären, welche Restrisiken bewusst in Kauf genommen werden und warum. Dies sollte eine bewusste unternehmerische Entscheidung sein, die dokumentiert wird.

‍

Frage an Ihren CISO: „Welches sind die Top-3-Cyberrisiken, die unseren Geschäftserfolg am stärksten bedrohen, und wie reduziert der vorgeschlagene Plan diese Risiken in verständlichen Prozentzahlen?“

‍

2. Überwachen: Vertrauen ist gut, Kontrolle ist besser

‍

Die Genehmigung von Maßnahmen ist nur der Anfang. Ihre Kernaufgabe ist die kontinuierliche Überwachung ihrer Wirksamkeit. Sie müssen sicherstellen, dass die implementierten Schutzmechanismen auch wirklich funktionieren.

‍

So setzen Sie es um:

‍

• Etablieren Sie ein Management-Dashboard: Fordern Sie einen monatlichen oder vierteljährlichen Bericht mit 3-5 Schlüsselkennzahlen (KPIs), die für Sie verständlich sind. Anstelle von „gepatchten Servern“ könnten dies KPIs sein wie „Anzahl kritischer Schwachstellen, die älter als 30 Tage sind“ oder „Erfolgsquote der Phishing-Simulationen bei Mitarbeitern“.
  ‍
• Planen Sie regelmäßige Updates: Machen Sie Cybersicherheit zu einem festen Agendapunkt in jeder Vorstandssitzung. Dies signalisiert die Wichtigkeit des Themas und schafft eine Kultur der Rechenschaftspflicht. Ähnlich wie bei einem Management Review nach ISO 27001, sorgt dies für eine strukturierte und wiederkehrende Befassung mit dem Thema.

‍

Frage an Ihren CISO: „Wie schnell können wir einen schwerwiegenden Sicherheitsvorfall erkennen und darauf reagieren? Haben wir das schon einmal geübt?“

‍

3. Schulen: Wissen schützt auch die Chefetage

‍

NIS2 schreibt explizit vor, dass auch die Leitungsorgane selbst an Cybersicherheitsschulungen teilnehmen müssen. Dies soll sicherstellen, dass Sie die Risiken, denen Ihr Unternehmen ausgesetzt ist, identifizieren und verstehen können.

‍

So setzen Sie es um:

‍

• Fordern Sie maßgeschneiderte Briefings: Bitten Sie Ihren CISO um regelmäßige, kurze Briefings zu aktuellen Bedrohungslagen, die speziell auf Ihre Branche und Ihr Unternehmen zugeschnitten sind.
  ‍
• Nehmen Sie an Simulationen teil: Eine Krisenstabübung, bei der ein Cyberangriff simuliert wird, ist eine der effektivsten Schulungsmaßnahmen. Hier lernen Sie Ihre Rolle im Ernstfall kennen und können Kommunikationswege und Entscheidungsprozesse testen.

‍

Vom passiven Zuhörer zum aktiven Aufseher: Die richtigen Fragen stellen

‍

Ihre stärkste Waffe als nicht-technische Führungskraft ist die Fähigkeit, die richtigen Fragen zu stellen. Sie zwingen Ihr Team, technische Details in Geschäftslogik zu übersetzen und zeigen, dass Sie Ihrer Aufsichtspflicht aktiv nachkommen.

‍

Hier sind einige Schlüsselfragen, gegliedert nach Themenbereichen:

‍

Risikomanagement & Strategie

‍

• Wurde eine umfassende NIS2 Risikoanalyse durchgeführt?
• Wie stellen wir sicher, dass unser Sicherheitsbudget an unseren strategischen Zielen ausgerichtet ist?
• Welche Auswirkungen hätte der Ausfall unseres wichtigsten digitalen Prozesses für 24 Stunden?

‍

Vorfallreaktion (Incident Response)

‍

• Wie lautet unser Notfallplan bei einem Ransomware-Angriff? Wer entscheidet, ob wir zahlen?
• Innerhalb welcher Frist müssen wir einen Vorfall den Behörden melden und wer ist dafür verantwortlich?
• Wann wurde unser Notfallplan das letzte Mal getestet und was haben wir daraus gelernt?

‍

Lieferkettensicherheit

‍

• Wie bewerten wir die Cybersicherheit unserer kritischsten Lieferanten?
• Welche vertraglichen Verpflichtungen haben unsere Lieferanten im Falle eines Sicherheitsvorfalls bei ihnen, der uns betrifft?
• Haben wir Alternativen, falls ein Schlüsselzulieferer aufgrund eines Cyberangriffs ausfällt?

‍

Ihr 90-Tage-Plan zur NIS2-Aufsicht: Konkrete nächste Schritte

‍

Theorie ist gut, aber Handeln ist besser. Hier ist ein einfacher Plan, um sofort zu starten:

‍

• Monat 1: Situationsanalyse.
  1. Berufen Sie eine Sondersitzung des Vorstands zum Thema NIS2 ein.
  2. Fordern Sie von Ihrem CISO/IT-Leiter eine erste Einschätzung: Wo stehen wir in Bezug auf die NIS2 Pflichten?
  3. Identifizieren Sie die Person(en), die für die Umsetzung verantwortlich sind.
     ‍
• Monat 2: Governance etablieren.
  1. Definieren Sie die 3-5 KPIs für Ihr zukünftiges Cybersicherheits-Dashboard.
  2. Setzen Sie Cybersicherheit als festen Agendapunkt für alle zukünftigen Vorstandssitzungen fest.
  3. Planen Sie eine erste, auf das Management zugeschnittene Cybersicherheitsschulung.
     ‍
• Monat 3: In die Tiefe gehen.
  1. Fordern Sie einen Bericht über die Risiken in Ihrer Lieferkette an.
  2. Planen Sie eine Krisenstabübung für das nächste Quartal.
  3. Überprüfen Sie die D&O-Versicherungspolice im Hinblick auf die Deckung von Cyber-Vorfällen und die persönliche NIS2 Haftung der Geschäftsführung.

‍

‍

Dieses Dashboard-Mockup hilft Führungskräften, kritische Sicherheitskennzahlen in Geschäftssprache zu verstehen und im Vorstand effektiv zu überwachen.

‍

Fazit: Von der Pflicht zur strategischen Chance

‍

Die NIS2-Richtlinie mag auf den ersten Blick wie eine weitere regulatorische Belastung wirken. Doch bei genauerer Betrachtung ist sie eine Chance: eine Chance, die Widerstandsfähigkeit Ihres Unternehmens fundamental zu stärken und Cybersicherheit als strategischen Vorteil zu nutzen.

‍

Indem Sie Ihre Aufsichtspflicht ernst nehmen, schützen Sie nicht nur sich selbst vor persönlicher Haftung, sondern sichern auch die Zukunft Ihres Unternehmens in einer zunehmend digitalisierten Welt. Sie müssen dafür kein Technik-Guru werden. Sie müssen nur eine engagierte, neugierige und verantwortungsbewusste Führungskraft sein – die gelernt hat, die richtigen Fragen zu stellen.

‍

Wenn Sie den Prozess der NIS2-Implementierung vereinfachen und automatisieren möchten, kann eine Plattform wie das Digital Compliance Office von SECJUR Ihnen helfen, den Überblick zu behalten und Ihre Aufsichtspflichten effizient zu erfüllen.

‍

FAQ: Häufig gestellte Fragen zur NIS2-Aufsichtspflicht

‍

Was genau ist die NIS2-Aufsichtspflicht für Vorstände?

‍

Die Geschäftsleitung muss die Umsetzung von Cybersicherheitsmaßnahmen nicht nur genehmigen („billigen“), sondern deren Wirksamkeit auch aktiv und kontinuierlich „überwachen“. Zudem ist sie verpflichtet, sich selbst zu schulen, um Cyberrisiken zu verstehen.

‍

Was passiert, wenn wir dieser Pflicht nicht nachkommen?

‍

Bei Verstößen drohen empfindliche Bußgelder für das Unternehmen (bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes). Darüber hinaus sieht das Gesetz eine persönliche Haftung der Geschäftsleiter vor. Im Extremfall kann sogar ein vorübergehendes Verbot der Geschäftsführungstätigkeit ausgesprochen werden.

‍

Für wen ist NIS2 verpflichtend?

‍

NIS2 betrifft Unternehmen aus 18 Sektoren (u.a. Energie, Verkehr, Gesundheit, digitale Dienste, Produktion, Abfallwirtschaft) ab einer bestimmten Größe (in der Regel ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz). Es ist entscheidend, die eigene Betroffenheit genau zu prüfen.

‍

Reicht es, einen externen Dienstleister zu beauftragen?

‍

Nein. Sie können die Umsetzung der Maßnahmen delegieren, aber niemals die Verantwortung. Als Geschäftsleitung bleiben Sie rechenschaftspflichtig und müssen die Arbeit des Dienstleisters genauso überwachen wie die einer internen Abteilung.

‍