In vielen Branchen sind Cybersecurity-Maßnahmen durch Gesetze und Richtlinien wie NIS 2 und DORA verpflichtend vorgeschrieben. Auch nicht direkt davon betroffene Unternehmen müssen beim IT-Einsatz zahlreiche Vorgaben beachten. Dieser juristische Leitfaden klärt, für wen welche Regeln gelten, und unterstützt Unternehmen bei Compliance-Initiativen.
Inhalt:
Durch die zunehmende Digitalisierung werden Wirtschaft, Staat und Gesellschaft immer abhängiger von reibungslos funktionierenden IT-Infrastrukturen. Gleichzeitig steigt der Druck durch Cyberangriffe, die immer öfter auch staatlich motiviert und finanziert sind. Die Europäische Union trägt dem mit ihrer neuen Cybersicherheitsstrategie Rechnung, die im Dezember 2020 vorgestellt wurde.
Zu den Gesetzesinitiativen zählen die überarbeitete Network and Information Security-Richtlinie (NIS 2), der Digital Operational Resilience Act (DORA), der Cybersecurity Act und der Cyber Resilience Act (CRA). Auch die Datenschutz-Grundverordnung (DSGVO) spielt bei der rechtlichen Bewertung von IT-Sicherheit eine Rolle.
Wer welche Vorgaben beachten muss und wie Unternehmen auf die sie betreffenden rechtlichen Anforderungen reagieren sollten, erläutert Dr. Thomas Stögmüller, Fachanwalt für Informationstechnologierecht, in diesem juristischen Leitfaden.
Sie erfahren unter anderem:
- Welche Sicherheitsmaßnahmen Sie ergreifen sollten.
- Wie Sie Ihren datenschutzrechtlichen Verpflichtungen nachkommen.
- Wie Sie im Falle eines Angriffs den Geschäftsbetrieb aufrechterhalten bzw. schnell wiederherstellen.
- Welche Handlungsanleitungen, Best Practices und Standards Sie bei der Umsetzung der Vorgaben unterstützen.
Originalauszug aus dem Dokument:
2. Rechtliche Verpflichtung zur Cybersicherheit
Cybersicherheit ist nicht Selbstzweck, sondern rechtliche Verpflichtung der Unternehmensleitung.
a) Anforderungen an die Geschäftsführung, IT-Leiter und den Aufsichtsrat
Das Aktiengesetz und das Handelsgesetzbuch regeln die Anforderungen an Vorstände von Aktiengesellschaften und die Geschäftsführung großer Kapitalgesellschaften in Bezug auf Kontrolle und Transparenz:
Der Vorstand bzw. die Geschäftsführung muss geeignete Maßnahmen treffen und insbesondere ein Überwachungssystem einrichten, um für den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig zu erkennen.
• Es ist ein unternehmensweites Risikomanagement zu installieren. Teil der Risikoprävention ist dabei der Schutz der IT-Infrastruktur, also die Sicherstellung der Cybersicherheit.
• Im Rahmen des Lageberichts von Kapitalgesellschaften (mit Ausnahme sog. „kleiner Kapitalgesellschaften“) ist darauf einzugehen – und vom Abschlussprüfer zu kontrollieren –, ob die Chancen und Risiken der künftigen Entwicklung des Unternehmens zutreffend dargestellt sind. Die IT-Risiken sind dabei zu benennen.
• Die Unternehmensleitung ist dafür verantwortlich, wirksame Maßnahmen zum Schutz der IT-Infrastruktur zu treffen und ein entsprechendes Risikomanagement einzurichten. Sollten Geschäftsführer bzw. Vorstände diese Pflicht verletzen und das Unternehmen dadurch Schaden erleiden, haften sie gegenüber ihrem Unternehmen persönlich. Dies gilt gleichermaßen für den Aufsichtsrat einer Aktiengesellschaft im Falle eines Verstoßes gegen seine Pflicht zur Überwachung der Geschäftsführung.