EU-Regulierung: Cybersicherheit als Pflicht
Im Referentenentwurf des Ministeriums ist eine Verschärfung der Haftung von Geschäftsleitungen vorgesehen, die die EU-Richtlinie nicht vorsieht.
Foto: dpaFrankfurt. Das Bundesinnenministerium (BMI) hat seinen Entwurf zur Umsetzung der europäischen NIS-Richtlinie 2.0 zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit präsentiert. Damit schreibt die EU den Rahmen zum Cybersicherheitsmanagement fort.
Der Entwurf führt zu einer deutlichen Ausweitung von Pflichten und hebt auch die Bußgeldhöhe spürbar an. Im Referentenentwurf ist zudem eine Verschärfung der Haftung von Leitungsorganen vorgesehen, die die Richtlinie nicht vorsieht.
Geschäftsleiter besonders wichtiger Einrichtungen müssen das Cyber-Risikomanagement persönlich überwachen. Eine Übertragung auf Dritte wird untersagt. Außerdem wird festgeschrieben, dass die Geschäftsleitung in der Binnenhaftung für Schäden von Cyberrisiken haftet. Das gilt sowohl für Regressansprüche als auch Bußgeldforderungen, denen sich das Unternehmen ausgesetzt sieht.
Das Unternehmen wiederum soll auf die Schadenersatzforderungen gegenüber dem Geschäftsleiter weder verzichten noch einen Vergleich hierüber abschließen dürfen. Offensichtlich will das BMI die Geschäftsleiter unausweichlich haften lassen. So soll das Engagement im Bereich der Risikosteuerung intensiviert werden.
Damit schießt das BMI aber deutlich über das Ziel hinaus. Die Motivation zur Übernahme der Geschäftsleitung dürfte so kaum gefördert werden. Führungspersonal mit geeigneter IT-Erfahrung, oder dem Willen sich diese anzueignen, ist ohnehin spärlich gesät. Die Regelung sollte gestrichen werden.
Eren Basar ist Partner der Kanzlei Wessing & Partner und Autor bei der Fachzeitschrift „Betriebsberater“. Dieser Artikel stammt aus der Kooperation zwischen dem Handelsblatt und der Fachzeitschrift.