Geschäftsleitungspflichten nach NIS2

Geschäftsleitungspflichten nach NIS2 bezeichnen die unmittelbar an die Leitungsorgane gerichteten Verantwortlichkeiten im Bereich der Cybersicherheit. Anders als früher, als IT-Sicherheit oft an die Fachabteilung delegiert wurde, adressiert die NIS2-Richtlinie ausdrücklich die Geschäftsführung und den Vorstand. Diese müssen die ergriffenen Risikomanagementmaßnahmen im Sinne von Art. 21 NIS2 aktiv billigen, ihre Umsetzung überwachen und können sich der Verantwortung nicht durch Delegation entziehen. Die Verantwortung für Cybersicherheit wird damit zur originären Leitungsaufgabe.

Die Pflichten gliedern sich im Kern in drei Bereiche. Erstens die Billigungspflicht: Die Leitung muss die konkreten technischen und organisatorischen Maßnahmen zum Risikomanagement formell genehmigen und sich von deren Angemessenheit überzeugen. Zweitens die Überwachungspflicht: Die Umsetzung und Wirksamkeit der Maßnahmen ist fortlaufend zu kontrollieren, etwa über Berichtswesen, Kennzahlen und interne Audits. Drittens eine Schulungspflicht: Leitungsorgane müssen an Schulungen teilnehmen, um Risiken und Managementpraktiken im Bereich Cybersicherheit beurteilen zu können, und sollen vergleichbare Schulungen ihren Beschäftigten anbieten.

Die Verletzung dieser Pflichten ist erheblich sanktioniert. Art. 20 NIS2 und die nationale Umsetzung im NIS2-Umsetzungsgesetz sehen vor, dass Leitungsorgane für Verstöße gegen die Cybersicherheitspflichten der Einrichtung verantwortlich gemacht werden können. Diskutiert wird eine persönliche Innenhaftung gegenüber der eigenen Einrichtung; ein vertraglicher oder im Voraus erklärter Verzicht auf solche Ersatzansprüche soll unwirksam sein. Zudem drohen empfindliche Bußgelder bis zu 10 Mio. Euro bzw. 2 Prozent des weltweiten Jahresumsatzes (wesentliche Einrichtungen). Eine sorgfältige Dokumentation der Billigung, Überwachung und Schulung ist damit zugleich Pflichterfüllung und Haftungsentlastung.