Marktkommentar von Miriam Marx, Rechtsanwältin und Head of Financial Lines bei MRH Trowe

Die überarbeitete EU-Richtlinie NIS 2 nimmt jetzt auch kleine und mittlere Unternehmen in die Pflicht ihre Cybersicherheit zu verbessern

Verbindliche Standards für Informationssicherheit und Präventionsmaßnahmen

Die persönliche Haftung von Geschäftsleitern nach Cyberangriffen gewinnt noch mehr an Bedeutung

Die überarbeitete EU-Richtlinie für Network and Information Security (NIS 2) läutet eine Zeitenwende in der Bekämpfung von Cyber-Angriffen ein. Die aktualisierte Richtlinie nimmt nun auch kleine und mittlere Unternehmen (KMU) in die Pflicht. Damit soll die Cybersicherheit in Unternehmen europaweit gestärkt und die allgemeine Bedrohungslage reduziert werden. Der Blick auf die Zahlen der von Cyber-Angriffen bedrohten Unternehmen erklärt, warum: 2022 waren bereits 84 Prozent aller Firmen in Deutschland Opfer eines Angriffs auf ihre IT-Systeme. Die Zahlen steigen stetig. Zu beachten ist zudem die neu eingeführte Haftung und persönliche Verantwortung von Leitungsorganen.

Cyber-Angriffe bedrohen Unternehmen aller Größen und Branchen. Deshalb wurde in der NIS2-Richtilinie der Kreis der Unternehmen, die von der Umsetzung betroffen sind, ausgeweitet. Letztlich gibt es kaum eine Branche, die nicht betroffen ist. Mit Inkrafttreten der neuen Richtlinie, deren Umsetzung in deutsches Recht im Herbst 2023 erfolgen muss, sind dann alle Unternehmen ab 50 Mitarbeitenden und einem Umsatz von mehr als zehn Millionen Euro betroffen.

NIS 2 fordert die Unternehmensleitung

NIS 2 ist deshalb mehr als nur ein Regelwerk. Die Richtlinie markiert einen Meilenstein auf dem Weg zu einer sichereren digitalen Welt. Insbesondere für kleine und mittlere Unternehmen bringt NIS 2 neue Anforderungen und Herausforderungen mit sich: Von der Einführung von Richtlinien und Standards für Informationssicherheit bis hin zur Entwicklung von Präventionsmaßnahmen, der Erkennung und Abwehr von Cyberangriffen sowie dem Aufbau eines robusten Incident Managements reichen die Maßnahmen, die die Unternehmensleitung zu beachten hat.

Sie müssen ferner die Geschäftskontinuität sicherstellen und Lieferketten schützen. Schon der funktionale Anforderungskatalog ist umfangreich. Gleichzeitig werden die neu geforderten technologischen und prozessualen Standards von strengen Vorgaben für das Meldewesen begleitet.

Mit NIS 2 rückt auch die persönliche Haftung von Geschäftsleitern in den Fokus. In einer Zeit, in der Unternehmen vermehrt von Cyberangriffen betroffen sind, erhöht sich somit der Druck auf Entscheider, sich aktiv mit Cybersicherheit auseinanderzusetzen. Die Organhaftung gilt übrigens auch bei Delegation! Hier müssen dann Kontrollpflichten eingehalten werden. Die Delegation schützt also nicht vor einer möglichen persönlichen Inanspruchnahme.

Cyberrisiken haben eine hohe Relevanz im Risk-Management. Zusammen mit Inflation („Chart-Stürmer“), Klimarisiken („Dauerbrenner“) und der Furcht vor einer neuen Finanzkrise ist Cyber als tägliches Risiko präsent. Deshalb muss auch die Herangehensweise in der Unternehmensführung und im Risikomanagement überdacht werden.

Drohen Regressforderungen gegen die Unternehmensleitung?

Die Rechtsprechung zu Haftungsfragen des Managements, gerade im Rahmen der Bußgeldregresse, ist noch uneinheitlich. So lehnt zum Beispiel eine jüngste Entscheidung des OLG Düsseldorf (Urteil vom 27.7.2023 – VI-6 U 1/22 (Kart)) zum Thema Kartellrechtsbußen und Kartellrechtsschadenersatz die Regressfähigkeit von Kartellunternehmensgeldbußen ab. Im Gegensatz dazu bestätigt das Gericht eine persönliche Haftung von Vorständen und Geschäftsführern dem Grunde nach für Schäden, die ihrem Unternehmen durch Schadensersatzzahlungen an Kartellgeschädigte entstanden sind.

Die höchstrichterliche Entscheidung durch den BGH bleibt noch abzuwarten. Es ist fraglich, ob der BGH zwischen Kartellunternehmensgeldbußen und Kartellschadenersatz unterscheiden wird. Die Frage nach der Regressfähigkeit von Unternehmensgeldbußen stellt sich auch im Datenschutzrecht, Lieferkettensorgfaltspflichtgesetz und Kapitalmarktrecht.

Es zeigt sich, dass im Rahmen des Compliance Managements gerade auch das Thema Cyber auf der Agenda der Geschäftsleitung stehen muss. Je mehr unsere Abhängigkeit von digitalen Systemen zunimmt, ist es unsere Pflicht, die Cybersicherheit auf allen Ebenen zu stärken.

Über MRH Trowe:

MRH Trowe gehört zu den zehn größten deutschen Industriemaklern. Unter dem Dach der Mesterheide Rockel Hirz Trowe AG Holding agieren neben der MRH Trowe Insurance Brokers GmbH mehrere Spezialdienstleister für verschiedene Segmente. MRH Trowe bietet umfassende Expertise in praktisch allen Versicherungssparten für Industrie- und Gewerbekunden, Institutionen sowie gehobene Privatkunden. Das inhabergeführte Unternehmen verfolgt einen konsequenten Wachstumskurs mit ganzheitlichem Beratungsangebot, spezialisierten Fachteams und einem hohen Digitalisierungsgrad an den Schnittstellen von Mandanten, Makler und Versicherer. Rund 1.100 Mitarbeitende verwalten ein Prämienvolumen von mehr als 650 Mio. Euro.

Verantwortlich für den Inhalt:

Mesterheide Rockel Hirz Trowe AG Holding, Walther-von-Cronberg-Platz 6, 60594 Frankfurt am Main, Tel: +49 (0) 69 6605889-0, www.mrh-trowe.com