Warum ist NIS 2 für Geschäftsführungen wichtig?

Veröffentlicht von Stefan Fuhrken am

NIS 2 ist Chefinnen und Chefsache!

Für Geschäftsführer ist NIS 2 besonders wichtig, weil die Richtlinie die Verantwortung der Unternehmensleitung ausdrücklich hervorhebt. Cybersicherheit wird damit nicht mehr nur als IT-Thema betrachtet, sondern als Führungs- und Haftungsthema.

1. Persönliche Verantwortung der Geschäftsleitung

NIS 2 verlangt, dass Leitungsorgane die Maßnahmen zum Risikomanagement im Bereich Cybersicherheit genehmigen, überwachen und deren Umsetzung sicherstellen.

Das bedeutet:

  • Die Geschäftsführung kann die Verantwortung nicht vollständig an die IT-Abteilung delegieren.
  • Sie muss sich regelmäßig über Cyberrisiken, Sicherheitsmaßnahmen und Vorfälle informieren.
  • Sie muss sicherstellen, dass ausreichende Ressourcen für Cybersicherheit bereitgestellt werden.

2. Haftungsrisiken

Bei Verstößen gegen die NIS-2-Anforderungen können Aufsichtsbehörden:

  • Bußgelder gegen das Unternehmen verhängen,
  • Anordnungen zur Nachbesserung erlassen,
  • in bestimmten Fällen Sanktionen gegen verantwortliche Führungskräfte aussprechen.

Für Geschäftsführer entsteht damit ein ähnlicher Druck wie bereits bei Compliance-, Datenschutz- oder Finanzthemen.

3. Schutz des Unternehmens

Cyberangriffe können zu erheblichen Schäden führen:

  • Betriebsunterbrechungen
  • Produktionsausfälle
  • Datenverlust
  • Erpressung durch Ransomware
  • Reputationsschäden
  • Vertragsstrafen und Schadensersatzforderungen

Die Geschäftsführung trägt die Gesamtverantwortung für die Unternehmenssicherheit und Geschäftskontinuität.

4. Lieferketten und Geschäftspartner

NIS 2 betrachtet auch Risiken in der Lieferkette. Viele Unternehmen werden von Kunden oder Partnern künftig Nachweise zu ihrer Cybersicherheit verlangen.

Für Geschäftsführer bedeutet das:

  • Sicherheitsanforderungen müssen in Beschaffung und Vertragsmanagement integriert werden.
  • Die Auswahl und Überwachung von Dienstleistern wird wichtiger.

5. Schulungs- und Wissenspflichten

NIS 2 fordert, dass Mitglieder der Geschäftsleitung ausreichende Kenntnisse im Bereich Cybersicherheit erwerben und aufrechterhalten.

Praktisch heißt das:

  • Regelmäßige Management-Briefings
  • Awareness-Trainings für Führungskräfte
  • Einbindung von Cyberrisiken in das Unternehmensrisikomanagement

Was Geschäftsführer konkret tun sollten

  1. Prüfen, ob das Unternehmen unter NIS 2 fällt.
  2. Cyberrisiken auf Geschäftsleitungsebene regelmäßig behandeln.
  3. Verantwortlichkeiten und Reporting-Strukturen festlegen.
  4. Sicherheitsmaßnahmen und Notfallpläne überprüfen.
  5. Prozesse für die Meldung von Sicherheitsvorfällen etablieren.
  6. Lieferanten- und Dienstleisterrisiken bewerten.
  7. Eigene Schulungen und Sensibilisierung sicherstellen.
Kategorien: Allgemein

Ähnliche Beiträge

Allgemein

BGH: Löschung überobligatorischer Daten im Handelsregister

II ZB 2/25 DS-GVO Art. 17 Abs. 1 Buchst. b); HGB § 9 Abs. 1 Satz 1; HRV § 9 Abs. 7Es gibt keine allgemeine registerrechtliche Grundlage dafür, in Anmeldungen zumHandelsregister enthaltene personenbezogene Daten, die Weiterlesen

Allgemein

Wie kann man Datenminimierung im Unternehmen umsetzen?

1. Dateninventur durchführen Unternehmen sollten zunächst analysieren: 2. Prozesse überprüfen Jeder Datenerhebungsprozess sollte kritisch hinterfragt werden. 3. Löschkonzepte etablieren Automatisierte Löschfristen helfen dabei, unnötige Datenspeicherung zu vermeiden. 4. Mitarbeitende sensibilisieren Datenschutz ist keine reine IT-Aufgabe. Weiterlesen

Allgemein

Beispiele für Datenminimierung im Unternehmensalltag

Datenminimierung zählt heute zu den wichtigsten Grundprinzipien eines verantwortungsvollen Datenschutzes. Gleichzeitig ist sie ein verbindlicher Bestandteil der Datenschutz-Grundverordnung (DSGVO) der Europäische Union. Unternehmen, die personenbezogene Daten bewusst und gezielt verarbeiten, reduzieren nicht nur rechtliche Risiken, Weiterlesen