Cyberangriffe: Manager haften selbst
In sechs Monaten treten strengere Regeln zum Schutz vor Attacken aus dem Web in Kraft. Fehlerhafte Umsetzung macht nicht nur Unternehmen strafbar; auch Leitungsorgane werden zahlungspflichtig.
Es sind nicht gerade sprechende Abkürzungen: Dora, Nis-2, CER. Dahinter steht ein umfassendes Paket europäischer Vorgaben zur Cybersicherheit und Resilienz in Unternehmen. Die Maßnahmen sollen die Widerstandsfähigkeit gegenüber Attacken stärken. Ab Oktober 2024 gelten für Tausende Unternehmen in Österreich verpflichtend strenge Vorgaben zur Cybersicherheit nach dem neuen Nis-Gesetz. Bei vielen Unternehmen fehlt aber noch das Bewusstsein für den dringenden Handlungsbedarf. Denn bei einer mangelhaften Umsetzung drohen nicht nur dem Unternehmen Geldstrafen in Millionenhöhe. Auch das Management und der Aufsichtsrat können nach dem Nis-Gesetz persönlich für entstandene Schäden haften.
In der Finanzbranche wurden schon im Jahr 2023 mit der EU-Verordnung Dora (Digital Operational Resilience Act) strenge Vorgaben für die Cybersicherheit implementiert, die bis Anfang 2025 umzusetzen sind. Parallel werden durch die CERRichtlinie (Critical Entities Resilience Directive) für die kritische Infrastruktur strenge Vorgaben für die physische Sicherheit eingeführt. Dazu müssen die EU-Mitgliedstaaten Unternehmen identifizieren, die als kritische Infrastruktur gelten, und bis 2026 eine nationale Risikobewertung durchführen.
Mehr Unternehmen erfasst
Während Dora nur für die Finanzbranche gilt und die CER-Richtlinie nur einzelne Einrichtungen der kritischen Infrastruktur erfasst, gelten die Cybersecurity-Vorgaben der Nis-2-Richtlinie (Network and Information Security Directive) für eine Vielzahl von Unternehmen. Die Richtlinie ist bis 18. Oktober 2024 durch die Mitgliedstaaten umzusetzen. In Österreich wurde vor Kurzem der Ministerialentwurf zum neuen Nis-Gesetz veröffentlicht. Den betroffenen Unternehmen bleiben zur Umsetzung der neuen Vorgaben nur noch wenige Monate Zeit.
Der Anwendungsbereich des neuen Nis-Gesetzes wird durch Nis-2 erheblich erweitert. Während das aktuelle Gesetz in ganz Österreich nur rund 100 Unternehmen als „Betreiber wesentlicher Dienste“erfasst, müssen nach der geplanten neuen Fassung rund 6500 Unternehmen die umfangreichen CybersecurityVorgaben umsetzen. Konkret unterscheidet Nis-2 zunächst zwischen
„Sektoren mit hoher Kritikalität“und „Sonstigen kritischen Sektoren“.
In den hochkritischen Bereich fallen die Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung und Weltraum. Sonstige kritische Sektoren sind Post, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung. Damit deckt Nis-2 weite Teile der gesamten Wirtschaft ab.
Komplexe Berechnung
Das neue Nis-Gesetz gilt für Unternehmen, die mittelgroß oder größer sind, das heißt bereits ab mehr als 50 Beschäftigten und über zehn Millionen Euro Umsatz. Schon die Abgrenzung, ob ein Unternehmen als zumindest mittelgroß gilt, kann sehr komplex sein. Denn dabei müssen auch die Mitarbeiterzahlen, der Umsatz und die Jahresbilanzsumme voroder nachgeschalteter Partnerunternehmen sowie verbundener Unternehmen berücksichtigt werden.
Als Partnerunternehmen gelten Unternehmen, die 25 Prozent oder mehr des Kapitals oder der Stimmrechte eines anderen Unternehmens halten. Verbundene Unternehmen üben – etwa über die Mehrheit der Stimmrechte – Kontrolle über ein anderes Unternehmen aus. Die Anrechnung der Kennzahlen erfolgt bei Partnerunternehmen proportional zur Höhe der Beteiligung, bei verbundenen Unternehmen zu 100 Prozent. Durch diese Zusammenrechnung können auch kleinste Unternehmen von Nis-2 betroffen sein.
Ob Unternehmen in den Anwendungsbereich von Nis-2 fallen oder nicht, müssen sie (mit wenigen Ausnahmen) selbst prüfen und sich bei der zuständigen Behörde registrieren. Bei vielen Unternehmen besteht aber noch kein Bewusstsein dafür, dass sie Nis-2 unterliegen und ihnen damit nur noch wenige Monate zur Umsetzung der neuen Cybersecurity-Vorgaben bleiben. Dazu gehören insbesondere die Einrichtung eines umfassenden Risikomanagements, der Einsatz geeigneter Verschlüsselungen, Zugangskontrollen und Multifaktor-Authentifizierungen sowie strenge Melde- und Berichtspflichten an die Behörde. In der Praxis besonders herausfordernd ist die Verpflichtung der Unternehmen, nicht nur ihre eigene Cybersicherheit zu prüfen, sondern diese auch in der Lieferkette sicherzustellen. Dadurch betrifft Nis-2 indirekt auch alle
Dienstleister und Lieferanten dieser Unternehmen.
Wie wichtig es ist, mit der Umsetzung von Nis-2 zu starten, macht ein Blick auf die Straf- und Haftungsbestimmungen deutlich. Der vorliegende Gesetzesentwurf sieht einen sehr umfassenden Katalog an Straftatbeständen vor, die von der Verletzung rein administrativer Meldepflichten bis hin zu gravierenden Verstößen reichen. Die Mindeststrafdrohungen betragen sieben Millionen Euro für „wichtige“und zehn Millionen
Euro für „wesentliche“Unternehmen.
Für das Management und den Aufsichtsrat äußerst heikel ist eine Haftungsfalle, die sich unmittelbar aus Nis-2 ergibt. Denn Nis-2 sieht eine Verpflichtung zur Einführung eines Risikomanagements für Cybersicherheit vor. Das Risikomanagement muss dem Stand der Technik entsprechen, auf einem gefahrenübergreifenden Ansatz beruhen und auch die Überprüfung der Lieferketten einschließen. Entspricht das Risikomanagement
nicht den Vorgaben der Nis-2, haften die Leitungsorgane persönlich für den entstandenen Schaden. Sie können daher persönlich zur Haftung herangezogen werden, wenn dem Unternehmen durch eine Cyberattacke ein Schaden entsteht. Derartige Schäden können sich etwa aus einer Betriebsunterbrechung, den Kosten der Datenwiederherstellung oder der Zahlung von Lösegeldern an Hacker ergeben. Ob Unternehmen von ihren Leitungsorganen auch Schadenersatz verlangen können, wenn die Behörde Verwaltungsstrafen – potenziell in Millionenhöhe – gegen sie verhängt, ist dagegen umstritten.
Versicherungen zu empfehlen
Bemerkenswert ist auch der Begriff der „Leitungsorgane“im Ministerialentwurf, der nach den Erläuterungen die „tatsächliche Leitungsund Geschäftsführungsebene“erfassen soll. Dies umfasst jedenfalls das Management und den Aufsichtsrat des Unternehmens. Denkbar wäre aufgrund der Weisungskette aber auch eine persönliche Haftung der Konzernführung für Verstöße in verbundenen Unternehmen. Um sich vor einer persönlichen Haftung zu schützen, müssen Leitungsorgane daher rechtzeitig die Einrichtung eines entsprechenden Risikomanagements sicherstellen. Empfehlenswert ist weiters die Absicherung des Unternehmens durch eine CyberVersicherung und der Leitungsorgane durch eine D&O-Versicherung.
Weil die neuen Nis-2-Vorgaben schon ab 18. Oktober 2024 gelten, müssen Unternehmen so bald wie möglich prüfen, ob sie betroffen sind. Ist das der Fall, sollten sie eine Risikobeurteilung durchführen, um potenzielle Sicherheitslücken zu identifizieren, und adäquate technische und organisatorische Sicherheitsmaßnahmen implementieren, um Cybersicherheitsrisken und die zukünftig notwendigen Meldepflichten effektiv zu managen. Ein weiterer wichtiger Schritt ist die Entwicklung eines ganzheitlichen Resilienzplans. Für Unternehmen, die sich noch nicht mit den neuen Vorgaben auseinandergesetzt haben, besteht dringender Handlungsbedarf. Die Zeit drängt.