Beitrag: Konsequenzen der Nichteinhaltung der NIS2-Verpflichtungen durch die Geschäftsleitung

Auf einen Blick

Beitrag teilen

NIS2: Sind Sie vorbereitet?

Prüfen Sie, ob Ihr Unternehmen betroffen ist, und erfahren Sie, welche Maßnahmen nötig sind. Wir machen die Umsetzung für Sie einfach und praxisnah!

Konsequenzen der Nichteinhaltung der NIS2-Verpflichtungen durch die Geschäftsleitung

Die NIS2-Richtlinie definiert europaweit einheitliche Anforderungen an die Cybersicherheit von Unternehmen.

Ihre Nichteinhaltung birgt erhebliche Risiken – sowohl für das Unternehmen als auch für die Geschäftsleitung. Während oft mit hohen Bußgeldern und Betriebsaussetzungen gedroht wird, sind die praktischen Konsequenzen oft komplexer und weitreichender. Dieser Artikel beleuchtet, welche Konsequenzen die Nichteinhaltung der NIS2-Verpflichtungen tatsächlich haben kann und warum die Geschäftsleitung besonders in der Verantwortung steht.

Sanktionen laut NIS2: Die rechtliche Grundlage

Die NIS2-Richtlinie sieht bei Verstößen gegen die Cybersicherheitsanforderungen klare Sanktionen vor. Diese Sanktionen basieren auf den Regelungen des neuen BSI-Gesetzes und umfassen:

  • Bußgelder:
    Gemäß §65 BSIG können Bußgelder bis zu 2 % des weltweiten Jahresumsatzes oder bis zu 10 Millionen Euro verhängt werden – je nachdem, welcher Betrag höher ist.
  • Zwangsgelder:
    Gemäß §63 BSIG können Zwangsgelder zur Durchsetzung von Anordnungen von bis zu 100.000 EUR verhängt werden.
  • Maßnahmen des BSI als Aufsichtsbehörde
    • Anordnungen:

gem. §10 BSIG kann das BSI Anordnung von Maßnahmen zur Abwendung von Sicherheitsvorfällen erlassen

    • Warnung der Öffentlichkeit vor Produkten und Dienstleistungen:

Nach §13 BSIG kann das BSI vor problematischen Produkten und Diensten warnen.
Das ist z.B. geschehen in Bezug auf die Sicherheitsprodukte der russischen Firma Kasperski, die darauf hin massive Probleme im deutschen Markt bekamen und heute kaum noch eine Rolle spielen.

    • Erhöhte Prüfungsdichte

      Betroffene Unternehmen unterliegen einer strengen Überwachung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
      Dieses hat gemäß §31 BSIG die Befugnis, regelmäßige Audits, Nachweise und stichprobenartige Prüfungen durchzuführen. Unternehmen, die keine lückenlose Dokumentation vorweisen können, riskieren weitere Maßnahmen, wie zusätzliche Auflagen oder öffentlichkeitswirksame Weisungen

    • Betriebsaussetzungen

In schwerwiegenden Fällen erlaubt §31 Abs. 2 BSIG die Anordnung, dass Unternehmen ihre Tätigkeiten teilweise oder vollständig einstellen, bis die Sicherheitsmängel behoben sind.

Meistern Sie NIS2 einfach und kosteneffizient!

Erhalten Sie praxisnahes Fachwissen, sofort einsetzbare Checklisten, Dokumentvorlagen und Tools – ideal für Ihre NIS2-Umsetzung ohne teure Beraterbudgets.

Realität vs. Angstmacherei

Obwohl diese Sanktionen beeindruckend klingen, ist die unmittelbare Verhängung von Bußgeldern oder Betriebsaussetzungen in der Praxis eher unwahrscheinlich. Solche Maßnahmen erfordern langwierige Prüfungen und Verwaltungsverfahren. Die wahre Gefahr liegt jedoch in den indirekten Konsequenzen der Nichteinhaltung – und diese sind oft schwerwiegender als die offiziellen Strafen.

Wahrscheinliche Konsequenzen der NIS2-Nichteinhaltung

1. Ausschluss aus Lieferketten

Unternehmen, die keine angemessenen Sicherheitsstandards nachweisen können, riskieren, von Lieferketten ausgeschlossen zu werden. Große Auftraggeber und KRITIS-Betreiber sind auf Partner angewiesen, die den Anforderungen der NIS2 entsprechen, und führen strenge Audits durch.

  • Beispiel: Ein Zulieferer, der nicht nachweisen kann, dass er ein ISMS gemäß ISO/IEC 27001 oder vergleichbaren Standards (BSI-Grundschutz, TISAX, VDS10000) implementiert hat, wird bei einem großen Energieversorger ausgeschlossen.

Die Konsequenzen reichen von Umsatzeinbußen bis hin zu Vertrauensverlust bei Kunden und Partnern.

2. Einschränkungen bei öffentlichen Ausschreibungen

Die NIS2-konforme Cybersicherheit wird zunehmend zur Voraussetzung für öffentliche Ausschreibungen. Unternehmen ohne entsprechende Nachweise verlieren so nicht nur potenzielle Aufträge, sondern auch ihre Wettbewerbsfähigkeit.

  • Beispiel: Ein IT-Dienstleister kann sich nicht für einen Auftrag im Gesundheitssektor qualifizieren, weil er keine Sicherheitsnachweise erbringen kann, die den Vorgaben der NIS2 entsprechen.
3. Keine Deckung der Cyberversicherung bzw. der D&O-Versicherung mehr

Versicherungen spielen eine entscheidende Rolle im Cybersicherheitsmanagement. Sowohl Cyberversicherungen als auch D&O-Versicherungen (Directors and Officers Liability) können die Deckung verweigern, wenn nachweislich keine angemessene Sicherheitsorganisation etabliert wurde.

  • Cyberversicherung: Schadensfälle aus Cyberangriffen werden nicht gedeckt, wenn die Nichteinhaltung der NIS2-Vorgaben nachgewiesen wird.
  • D&O-Versicherung: Die persönliche Haftung der Geschäftsleitung ist gefährdet, wenn diese nicht für die Einhaltung von Sicherheitsstandards gesorgt hat.

Vgl. auch Beitrag im VERSICHERUNGS-MONITOR: NIS-2-Richtlinie hat Folgen für D&O und Cyber

Diese Versicherungen haben sich in den letzten Jahren durch ein „adverse selection Problem“ schlechte Risiken eingehandelt: viele Unternehmen haben Maßnahmen für bzw. Investitionen in die Cybersicherheit aufgrund der Existenz einer Police für überflüssig angesehen („Wir sind ja versichert!“). Dies dürfte dazu geführt haben, das in den Portfolios vieler Versicherer die Vorfälle häufiger und schwerwiegender waren, als im Benchmark. Versicherungen gehen daher verstärkt dazu über, sich die Anwendung gängiger Normen (ISO27001, NIS2) bestätigen zu lassen, um im Schadensfall die Deckung zu verweigern.

Beispiel:

  • Ein Unternehmen wird nach einem Ransomware-Angriff lahmgelegt, aber die Cyberversicherung verweigert die Deckung, da grundlegende Sicherheitsmaßnahmen fehlten.
  • Aufgrund einer Cybervorfalls kommt es zu Lieferverzögerungen. Die Gesellschafter nehmen den Geschäftsführer in die Haftung für die Konventionalstrafen.
4. Persönliche Haftung der Geschäftsführung

Die Geschäftsleitung steht besonders im Fokus der NIS2-Verpflichtungen. Werden Sicherheitsmängel durch Fahrlässigkeit oder Unterlassen verursacht, können Geschäftsführer persönlich haftbar gemacht werden.

  • Relevante Fälle:
    • Unzureichende Sicherheitsmaßnahmen, die Cyberangriffe erleichtern.
      • unzureichende organisatorische Maßnahmen im Unternehmen
      • unzureichende Ressourcenallokation auf die IT-Sicherheit
      • unzureichende Überprüfung der tatsächlichen Fähigkeiten der in der IT eingesetzten Mitarbeiter
      • unzureichende Definition der Anforderungen an die IT
      • unzureichende Überprüfung der tatsächlichen Umsetzung der Anforderungen
    • Mängel in der Überprüfung und Auswahl von Lieferanten.
      • Lieferant wurde nicht nach Sicherheits-Aspekten, sondern nur nach Preis ausgewählt
      • man hat sich nicht vor Beginn von Zuverlässigkeit und Sicherheit des Lieferanten überprüft, etwa durch Zertifikatsvorlage oder Audit
      • man hat nach Aufnahme der Tätigkeit des Lieferanten nie wieder nach seiner Sicherheit gefragt
      • man hat die Leistungsqualität des Lieferanten nicht überprüft
    • Fehlende Erstellung, Prüfung und Umsetzung von Meldepflichten oder Notfallplänen.
      • es existieren keine Notfallpläne
      • Notfallpläne sind veraltet
      • Notfallpläne sind nicht erprobt / trainiert / getestet
      • Notfallpläne sind relevanten Personen nicht bekannt
      • Notfallpläne sind im Notfall nicht zugreifbar
      • Prozessabläufe funktionieren nicht oder sind unbekannt
      • Vertretungsregeln sind nicht etabliert, kommuniziert oder bekannt

Beispiel:

  • Ein Lieferant eines Unternehmens verursacht durch einen Angriff auf seine IT-Systeme eine Produktionsunterbrechung.
    Die Geschäftsleitung haftet persönlich, da sie keine Sicherheitsüberprüfung des Lieferanten durchgeführt hat.
  • Durch mangelhafte Netzwerksegmentierung breitet sich eine Schadsoftware auf alle Niederlassungen aus. Das hätte durch eine angemessene Konzeption verhindert werden können. Der Geschäftsleitung wird vorgeworfen, keine entsprechenden Audits (Penetration-Tests / Pen-Tests) gemacht zu haben.
5. Regress durch Shareholder und Investoren

Shareholder und Investoren könnten Schadensersatzansprüche geltend machen, wenn Verluste aus Cyberangriffen auf die Nichteinhaltung der NIS2-Anforderungen zurückzuführen sind. Besonders in börsennotierten Unternehmen ist die Verantwortung der Geschäftsleitung gegenüber den Eigentümern zentral.

  • Beispiel: Aufgrund einer Fehlkonfiguration der IT-Abteilung kommt es zu einem Datenverlust, weil ein Backup nicht funktioniert un nicht getestet wurde. Die IT-Abteilung war chronisch unterbesetzt, Schulungen und externer Support wurden aus Kostengründen abgelehnt. Die Gesellschafter, eine Gruppe von Private-Equity-Investoren, fordern von der Geschäftsleitung Schadensersatz, die Versicherung verweigert die Deckung.
6. Reputationsverlust

Cybervorfälle, die auf mangelnde Sicherheitsvorkehrungen zurückzuführen sind, schädigen die Reputation eines Unternehmens erheblich. Kunden, Partner und die Öffentlichkeit verlieren das Vertrauen, was langfristige finanzielle Auswirkungen hat.

Beispiel: Ein Vorfall, bei dem sensible Kundendaten offengelegt wurden (Beispiel: medizinische Daten) oder die Versorgung nicht mehr gewährleistet ist (Beispiel: Kranken- und Altenpflege) und bei dem wegen schlechter Notfallkommunikation erst nach und nach herauskommt, dass der Vorfall vermeidbar gewesen wäre , führt zu einem massiven Imageverlust und Abwanderung von Kunden und Nutzern.

6. Existenzbedrohung

Cybervorfälle, können unter gewissen Umständen auch existenzbedrohende Wirkungen haben.

  • Beispiele:
    • Nach einem Datenleak infolge eines schlecht abgesicherten Backup-Speichers gibt es Sammelklagen von betroffenen Personen mit Schadensersatzforderungen nach DSGVO. Auch wenn es nur 100 EUR je Person sind: es haben sich auf Werben der Anwaltskanzleien fast 1 Mio. Geschädigte gefunden. Die Datenschutz-Aufsichtsbehörden verhängen zwar nur ein kleines Bußgeld, aber die Schadensersatzklagen bringen das Unternehmen um.
    • Aufgrund eines Cyberangriffs kommt es bei einem großen Kunden aus der Automobilindustrie zu einer Lieferketten- und Produktionsunterbrechung. Man hatte „just in time“-Belieferung vereinbart. Die Teile sind im Zwischenlager ohne IT-Support weder schnell auffindbar, noch im automatiserten Lager schnell bereitstellbar. Die Bänder beim Kunden müssen angehalten werden. Die diesbezüglichen Vertragsstrafen sind drakonisch.

Proaktive NIS2-Umsetzung als Schutzschild

Die NIS2-Verpflichtungen sind nicht nur gesetzliche Anforderungen, sondern ein wirksames Mittel, um Unternehmen vor den Folgen von Cyberangriffen zu schützen. Die Geschäftsleitung trägt hierbei die Hauptverantwortung. Indem die NIS2-Anforderungen proaktiv umgesetzt werden, lassen sich rechtliche und finanzielle Risiken minimieren, und die Wettbewerbsfähigkeit bleibt erhalten.

Eine frühzeitige Compliance mit der NIS2-Richtlinie ist nicht nur eine Absicherung gegen Sanktionen, sondern auch ein Zeichen von Professionalität und Verantwortungsbewusstsein – gegenüber Kunden, Partnern und Shareholdern.

Unterstützung bei NIS2-Anforderungen  – unsere NIS2-Coaching-Angebote zur NIS2-Umsetzung

Sichern Sie sich umfassendes NIS2-Fachwissen und direkt einsetzbare Checklisten, umfangreiche Dokumenten-Templates und Excel-Risikomanagement-Tools, die Ihnen die NIS2-Umsetzung ohne große Berater-Budgets erleichtern.
Nutzen Sie unser NIS2-Coaching-Angebot!

Unsere abgestuften NIS2-Coaching-Pakete unterstützen Sie bei der Do-It-Yourself-NIS2-Umsetzung, egal ob für Endnutzer-Unternehmen oder Berater.
Jetzt das passende Paket auswählen und sofort loslegen!

Über den Autor:

Bild von Ralf Becker

Ralf Becker

Geschäftsführer & Datenschutz- / Informationssicherheitsbeauftragter

Ralf Becker begann seine berufliche Laufbahn bei einer Strategie-Beratung, war in unterschiedlichen leiten-den Positionen im Telekom-Konzern tätig, bevor es ihn 2007 wieder in die Beratung zog. Seit 2009 ist er Geschäftsführer der daschug GmbH. Sowohl als zertifizierter Datenschutzbeauftrag-ter wie auch als externer Informationssicherheitsbeauftragter ist er seit mehr als 15 Jahren im Bereich IT-Compliance aktiv. Von ihm und seinem Team werden eine Reihe deutscher mittel-ständischer Unternehmen „hands-on“ betreut. Er verfügt über mehr als 10jährige Erfahrung mit ISO27001-Zertifizierung auch in kleinen Organisationen und dem Aufbau bzw. der Pflege von pragmatischen, tool-gestützten Informationssicherheits-Managementsystemen (ISMS) für KMUs.