Unter der NIS2-Richtlinie haben Geschäftsführer (und andere Führungskräfte) spezifische Pflichten zur Gewährleistung der Cybersicherheit ihres Unternehmens, Verstöße gegen die Richtlinie werden deutlich strenger als bisher geahndet.
Pflichten eines Geschäftsführers nach NIS2
Sicherheitsmaßnahmen implementieren: Geschäftsführer sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um Risiken für Netz- und Informationssysteme zu minimieren. Dazu gehören Maßnahmen wie Sicherheitskontrollen, Zugangskontrollen, regelmäßige Sicherheitsprüfungen und Schulungen der Mitarbeiter.
Meldepflichten: Unternehmen müssen Sicherheitsvorfälle unverzüglich den zuständigen Behörden melden. Dies umfasst sowohl die Meldung von Störungen als auch von bedeutenden Cyberangriffen.
Risikoanalyse und -management: Führungskräfte müssen sicherstellen, dass kontinuierliche Risikoanalysen durchgeführt werden und angemessene Strategien zur Risikobewältigung implementiert sind.
Einhaltung der Richtlinie: Geschäftsführer sind dafür verantwortlich, dass das Unternehmen die Anforderungen der NIS2-Richtlinie einhält, einschließlich der Überwachung und regelmäßigen Überprüfung der Sicherheitsmaßnahmen.
Zusammenarbeit mit Behörden: Unternehmen müssen mit nationalen Behörden und anderen relevanten Stellen zusammenarbeiten, um Cyberbedrohungen abzuwehren und Informationen über Sicherheitsvorfälle auszutauschen.
Strafen bei Nichtbeachtung
Die NIS2-Richtlinie sieht strengere Sanktionen vor als ihre Vorgängerrichtlinie. Die Strafen können folgende Formen annehmen:
Geldbußen: Es können hohe Geldstrafen verhängt werden, die je nach Schwere des Verstoßes und der Größe des Unternehmens variieren. Die Strafen können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
Haftung der Geschäftsführung: Führungskräfte können persönlich zur Verantwortung gezogen werden, was in der Praxis zur Absetzung oder zu zusätzlichen zivilrechtlichen Strafen führen kann.
Reputationsschäden: Neben finanziellen Strafen können auch erhebliche Reputationsschäden entstehen, die langfristige negative Auswirkungen auf das Unternehmen haben können.
Weitere Maßnahmen: Behörden können anordnen, dass Unternehmen bestimmte Maßnahmen zur Verbesserung ihrer Sicherheitslage umsetzen oder sogar den Betrieb vorübergehend einstellen, bis die Sicherheitsanforderungen erfüllt sind.