NIS2: Persönliche Haftung bei Cyberrisiken – Ist Ihre Unternehmensführung bereit, sich dieser Herausforderung zu stellen?

Die NIS2-Richtlinie trat am 17. Oktober 2024 in Kraft. Das bedeutet, dass Sie hoffentlich bereits NIS2-konform sind. Wenn nicht, lesen Sie weiter: Diese neuen regulatorischen Anforderungen beinhalten eine erhebliche persönliche Haftung für die Geschäftsleitung und zwingen die Führungsetage, eine aktive Rolle im Cyber-Risikomanagement zu übernehmen.

Die neue Klausel zur persönlichen Haftung birgt erhebliche Risiken für die Geschäftsleitung und Führungskräfte. Die Nichteinhaltung der NIS2 kann schnell zu einem persönlichen Albtraum werden: hohe Geldstrafen für das Unternehmen, Rufschädigung und Geschäftsunterbrechungen. In den schwerwiegendsten Fällen fortgesetzter Nichteinhaltung können die Behörden den verantwortlichen Personen vorübergehend die Ausübung ihrer Führungsaufgaben untersagen.

In diesem Blogbeitrag werde ich Ihnen die wichtigsten Elemente der NIS2 und ihren erweiterten Anwendungsbereich erläutern und die Auswirkungen auf das Cybersicherheits-Risikomanagement hervorheben. Wir werden die Auswirkungen dieser Richtlinie auf die Geschäftsleitung und die Führungskräfte untersuchen. Abschließend werde ich zeigen, wie verschiedene umsetzbare Strategien den Risikomanagementprozess effektiv unterstützen und sicherstellen können, dass Ihr Unternehmen NIS2-konform und widerstandsfähig gegenüber Cyberrisiken bleibt.

Wichtige Erkenntnisse

• Verantwortlichkeit der Führungskräfte: NIS2 macht das Management für die Bereitstellung eines angemessenen Cyber-Risikomanagements verantwortlich.
• Finanzielle Strafen: Die Nichteinhaltung von NIS2 kann zu Geldstrafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist. Diese Strafen sind mit denen der DSGVO vergleichbar und unterstreichen die schwerwiegenden Folgen einer Nichteinhaltung der Anforderungen der Richtlinie.
• Die Quantifizierung von Cyberrisiken kann bei der Vorbereitung auf NIS2 helfen: Ein szenariobasierter Quantifizierungsansatz kann das Cyberrisikomanagement stärken, Cyberrisiken für die Geschäftsleitung verständlicher machen und sie in die Lage versetzen, die ihnen nun obliegenden Risiko- und Überwachungsentscheidungen mit Zuversicht zu treffen.

Den erweiterten Geltungsbereich von NIS2 verstehen: Ist Ihre Unternehmensführung bereit?

Der Geltungsbereich von NIS2 ist sowohl hinsichtlich der Größe der Unternehmen als auch der Branchen, für die sie gilt, weiter gefasst als der der ursprünglichen Richtlinie zur Netz- und Informationssicherheit (NIS1). Es ist wichtig zu prüfen, ob Ihr Unternehmen davon betroffen ist.

NIS2 wurde eingeführt, um der zunehmenden Komplexität von Cyber-Bedrohungen entgegenzuwirken, die nicht nur den Betrieb, sondern auch die öffentliche Sicherheit gefährden. Durch die Ausweitung ihres Geltungsbereichs soll die Richtlinie die Cybersicherheit in der Europäischen Union stärken und sicherstellen, dass eine größere Bandbreite von Organisationen strengere Sicherheitsmaßnahmen umsetzt.

Die ursprüngliche NIS-Richtlinie zielte in erster Linie auf kritische Infrastrukturen wie Energie, Verkehr und Gesundheitswesen ab. Da jedoch die Technologie mittlerweile alle Branchen durchdrungen hat, sind Cyberbedrohungen zu einer universellen Herausforderung geworden. NIS2 trägt dieser Veränderung Rechnung, indem es seinen Geltungsbereich auf Sektoren wie Fertigung, Pharmazeutika und digitale Dienste ausweitet (siehe Infografik für den vollständigen Geltungsbereich).

Die aktualisierte Verordnung erweitert ihren Geltungsbereich auch über europäische Großunternehmen hinaus auf mittelständische Unternehmen, die bestimmte Schwellenwerte erfüllen, z. B. Unternehmen mit mehr als 50 Mitarbeitern oder einem Umsatz oder Vermögen von mehr als 10 Millionen Euro.

Wichtig ist, dass die Größe nicht das einzige Kriterium ist. Unternehmen, die in wirtschaftskritischen Sektoren tätig sind, einschließlich solcher mit grenzüberschreitenden oder monopolistischen Tätigkeiten, müssen ebenfalls die NIS2-Vorschriften einhalten.

Wichtige Aspekte des Risikomanagements für NIS2

NIS2 verlangt, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu bewältigen. Diese Maßnahmen sind für die Aufrechterhaltung der Geschäftskontinuität und für die Bewältigung der Auswirkungen von Vorfällen auf Informationsdienste und deren Nutzer von entscheidender Bedeutung.

Ein wesentlicher Aspekt der Compliance ist die Gewährleistung, dass die Cybersicherheitsmaßnahmen den Risiken angemessen sind. Diese Maßnahmen müssen dem Stand der Technik, den einschlägigen europäischen und internationalen Normen sowie den Kosten ihrer Umsetzung Rechnung tragen.

Die Richtlinie schreibt außerdem vor, dass Organisationen umfassende Maßnahmen umsetzen müssen, die mindestens Folgendes umfassen:

• Richtlinien zur Risikoanalyse und zur Sicherheit von Informationssystemen;
• Umgang mit Vorfällen;
• Geschäftskontinuität, wie z. B. Backup-Management und Notfallwiederherstellung sowie Krisenmanagement;
• Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte der Beziehungen zwischen jeder Organisation und ihren direkten Lieferanten oder Dienstleistern;
• Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Umgang mit Schwachstellen und Offenlegung;
• Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Cybersicherheitsrisikomanagement;
• Grundlegende Cybersicherheitsmaßnahmen und Cybersicherheitsschulungen;
• Richtlinien und Verfahren für die Verwendung von Kryptografie und gegebenenfalls Verschlüsselung;
• Sicherheit der Humanressourcen, Zugangskontrollrichtlinien und Vermögensverwaltung;
• Verwendung von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen, gesicherter Sprach-, Video- und Textkommunikation sowie gesicherten Notfallkommunikationssystemen innerhalb der Organisation, sofern angemessen.

Die getroffenen Risikomanagementmaßnahmen müssen vom Leitungsorgan genehmigt werden, das auch die Umsetzung überwacht. Damit wirft die Richtlinie eine entscheidende Frage auf: Versteht das Leitungsorgan wirklich die Cyberrisiken, denen seine Organisation ausgesetzt ist, und seinen Umsetzungsplan zur Erreichung der Compliance?

Für Unternehmen, die noch an der Umsetzung arbeiten, kann es eine Herausforderung sein, zu verstehen, welche Maßnahmen priorisiert werden müssen und welche potenziellen Risiken insgesamt bestehen. Tools wie Cyber Risk Quantification (CRQ) sind bei der Bewertung und Steuerung dieser Risiken von unschätzbarem Wert. Sie bieten einen hochmodernen Ansatz für die Cybersicherheitsplanung und präsentieren technische Risikoinformationen in einer für Führungskräfte verständlichen Sprache.

Wirksame Strategien zur Bewältigung der Herausforderungen der NIS2-Compliance

Cyber-Risikobewertungen in einfacher Sprache für das Management

Die NIS2-Richtlinie betont die Notwendigkeit modernster Technologie, und Cyber Risk Quantification (CRQ) ist ein innovatives Tool für Unternehmen zum Management von Cyberrisiken.

Unter Berücksichtigung von Faktoren wie Risikoexposition, Unternehmensgröße und Wahrscheinlichkeit von Vorfällen ermöglicht CRQ Unternehmen, ihre potenziellen finanziellen Verluste durch Cybervorfälle zu quantifizieren und die erforderlichen Cybersicherheitsmaßnahmen zum wirksamen Schutz vor solchen Bedrohungen zu planen. Durch die Darstellung der Verluste in finanzieller Form kann die Geschäftsleitung Cyberrisiken leicht bewerten, mit anderen Unternehmensrisiken vergleichen und unternehmensweit priorisieren.

Eine wirksame Möglichkeit, die Risikomanagementaspekte der NIS2-Richtlinie zu berücksichtigen, besteht darin, einen szenariobasierten Ansatz für die Bewertung von Cybersicherheitsrisiken zu verfolgen. Durch die Beschreibung der Risiken anhand der Folgen für das Unternehmen lassen sich potenzielle Verluste leichter identifizieren, quantifizieren und der Geschäftsleitung und dem Vorstand vermitteln.

Dieser Ansatz verbessert nicht nur das Risikomanagement, sondern kann auch die Entwicklung von Business Continuity-, Disaster Recovery- und Krisenplänen unterstützen.

Um auf das Thema persönliche Haftung zurückzukommen: Da NIS2 Führungskräfte persönlich für die Einhaltung der Vorschriften verantwortlich macht, müssen Unternehmen sicherstellen, dass ihre Führungskräfte gut informiert und in der Lage sind, strategische Entscheidungen zur Cybersicherheits-Governance zu treffen.

Das bedeutet, dass sie nicht nur Risikobewertungen und Managementstrategien genehmigen und überwachen müssen, sondern auch sicherstellen müssen, dass ihre Unternehmen auf potenzielle Cyberbedrohungen vorbereitet sind. Durch die Modellierung von Cyberrisiken als Szenarien in einfacher Sprache und die Quantifizierung der potenziellen finanziellen Verluste kann die Geschäftsleitung diese Risikoüberwachungsaufgaben mit Zuversicht wahrnehmen.

Entwicklung einer glaubwürdigen Cybersicherheitsstrategie

Squalify bringt diesen proaktiven, szenariobasierten Ansatz zur Risikobewertung auf die nächste Stufe, indem es fortschrittliche Simulationen bereitstellt, mit denen Unternehmen ihre Cybersicherheitsstrategien entwickeln oder optimieren können. Anhand von Simulationen können Sie schnell erkennen, wie sich die berechneten potenziellen finanziellen Verluste durch die Verbesserung der Reife Ihrer Sicherheitsmaßnahmen reduzieren lassen.

Durch die Simulation von Änderungen Ihrer Sicherheitsmaßnahmen können Sie Investitionen in die Cybersicherheit strategisch priorisieren, um das finanzielle Risiko so weit wie möglich zu reduzieren und gleichzeitig die Implementierungskosten im Gleichgewicht zu halten. Sie können beispielsweise kleine, mittlere und große Änderungsinitiativen in Simulationen modellieren und die daraus resultierenden Reduzierungen potenzieller finanzieller Verluste beobachten. Führungskräfte können fundierte Entscheidungen treffen, basierend darauf, wie viel Risikoreduzierung sie bereit sind zu bezahlen.

Mithilfe der Quantifizierung von Cyberrisiken kann die Geschäftsleitung die Cyberrisikolandschaft ihres Unternehmens in geschäftlicher Hinsicht einschätzen. Die Kombination von Risikobewertung und Simulationen bietet eine fundierte Grundlage für risikobasierte Entscheidungen über Investitionen in die Sicherheit.

Abschließende Gedanken

Gemäß der NIS2-Richtlinie sind Führungskräfte in Unternehmen persönlich haftbar für Verstöße. Die Richtlinie erlegt der Geschäftsleitung eine neue Verpflichtung auf, da sie nun persönlich für die Cyberrisikolage ihres Unternehmens verantwortlich ist. Die Nichteinhaltung kann zu erheblichen Strafen führen, darunter hohe Geldbußen, betriebliche Rückschläge und im schlimmsten Fall sogar die persönliche Suspendierung.

Über die finanziellen Auswirkungen hinaus erfordert die durch NIS2 eingeführte persönliche Verantwortlichkeit, dass die Geschäftsleitung eine aktive Rolle bei der Gestaltung und Überwachung der Cybersicherheitsstrategien übernimmt. Die bloße Genehmigung von Sicherheitsbudgets reicht nicht mehr aus – Vorstände müssen den gesamten Umfang der Cyberrisiken und die Wirksamkeit der Abwehrmaßnahmen ihrer Organisation verstehen.

Ein szenariobasierter Ansatz, wie ihn Squalify bietet, ist hilfreich, um sich in dieser komplexen Landschaft zurechtzufinden. Mit maßgeschneiderten Informationssicherheitssimulationen hilft Squalify Unternehmen, die Auswirkungen ihrer Cybersicherheitsstrategien auf die Risikominderung vor deren Umsetzung zu bewerten, und bietet so wertvolle Unterstützung für die Einhaltung der NIS2, die Cybersicherheitsresilienz und die strategische Cyber-Entscheidungsfindung insgesamt.

Häufig gestellte Fragen zur NIS2-Richtlinie

1. Was ist die NIS2-Richtlinie und wann ist sie in Kraft getreten?

Die NIS2-Richtlinie, die die Cybersicherheitsvorschriften in der gesamten EU verschärft, trat am 17. Oktober 2024 in Kraft. Sie erweitert den Geltungsbereich der Compliance und führt eine persönliche Haftung für Führungskräfte ein. Insbesondere umfasst die Richtlinie nun zusätzliche Sektoren wie Lebensmittelherstellung, -verarbeitung und -vertrieb, Abfallwirtschaft, chemische Herstellung und Vertrieb, industrielle Fertigung, öffentliche Verwaltung und Raumfahrt, wodurch sich ihre Auswirkungen auf wesentliche und wichtige Dienste in der gesamten EU erweitern.

‍2. Wer ist von der NIS2-Richtlinie betroffen?

Die NIS2 betrifft sowohl große Unternehmen als auch mittelständische Organisationen mit mehr als 50 Mitarbeitern oder einem Umsatz von mehr als 10 Millionen Euro. Dazu gehören auch Unternehmen in kritischen Sektoren wie der Lebensmittelproduktion, dem Gesundheitswesen, digitalen Diensten und der öffentlichen Verwaltung. Für betroffene Organisationen bedeutet die Einhaltung der NIS2 die Einführung proaktiver Cybersicherheitsmaßnahmen, um Cyberbedrohungen zu mindern, sensible Daten zu schützen und zu einem widerstandsfähigeren EU-weiten digitalen Ökosystem beizutragen.

3. Was sind die Folgen der Nichteinhaltung von NIS2?

Die Nichteinhaltung von NIS2 kann zu schweren Strafen führen, darunter Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes, Betriebsunterbrechungen, Rufschädigung und persönliche Haftung für Führungskräfte.

4. Wie wirkt sich NIS2 auf die Geschäftsleitung und Führungskräfte aus?

Gemäß NIS2 sind die Geschäftsleitung und die Führungskräfte persönlich für die Gewährleistung einer angemessenen Cybersicherheitsüberwachung und eines angemessenen Risikomanagements verantwortlich. Damit sind sie für Verstöße gegen die Vorschriften haftbar.

5. Wie kann ein szenariobasierter Ansatz bei der Einhaltung der NIS2 helfen?

Ein szenariobasierter Ansatz hilft Unternehmen dabei, potenzielle Cyberbedrohungen zu simulieren und die Wirksamkeit ihrer Cybersicherheitsstrategien zu bewerten, um sicherzustellen, dass sie die NIS2-Konformität erfüllen und Risiken wirksam mindern.