2024 bringt die europäische Richtlinie zur IT-Sicherheit Nis 2 neue Haftungsrisiken. Auch Manager von Handelsunternehmen laufen Gefahr, mit ihrem Privatvermögen für Schäden einzustehen – aber nur, wenn sie die Digital Compliance schleifen lassen.
Wie so oft klingt alles erst mal harmlos. Im Dezember 2022 verabschiedeten Europäisches Parlament und Europarat die Network-and-Information-Security-Richtlinie 2.0, kurz: Nis-2-Richtlinie. Ihr geht es um „Pflichten in Bezug auf das Cybersicherheitsrisikomanagement sowie Berichtspflichten für Einrichtungen“, sie muss bis Oktober 2024 in deutsches Recht umgesetzt werden. Pflichten für Einrichtungen – kann das was Großes sein?
Es kann. „Die gesetzlichen Anforderungen an die IT-Sicherheit in Europa werden durch Nis 2 umfassend überarbeitet umnd erweitert“, sagt Andreas Daum, Rechtsanwalt bei der Wirtschaftskanzlei Noerr. Nis 2 erlegt nicht nur den Staaten große Unterstützungs- und Kontrollpflichten auf, sondern gibt auch den Unternehmen erheblich zu tun.

© IMAGO / Panthermedia
Die neue EU-Richtlinie sieht harte Sanktionen vor: Wird die IT-Sicherheit im Unternehmen vernachlässigt, kann Managern im Schadensfall künftig sogar die Geschäftsleitung entzogen werden.
Für welche Händler Nis 2 gilt, ist noch nicht klar
Die Richtlinie betrifft nicht alle Unternehmen und nicht automatisch Händler – einige aber vermutlich durchaus. Denn Nis 2 gilt nicht nur für „wesentliche Einrichtungen“ (kritische Infrastruktur), die bisher schon im Bereich Cybersicherheit besonders gefordert werden, sondern auch für „wichtige Einrichtungen“. Und dazu gehören ausdrücklich Unternehmen, die sich mit dem Vertrieb von Lebensmitteln beschäftigen, außerdem Online-Marktplätze.
Ob aber klassische Supermärkte darunterfallen oder vielleicht nur Großhändler und wie ein Marktplatz definiert ist – das wird erst mit der Umsetzung von Nis 2 in deutsches Recht feststehen. „Die Behörden können nicht mehreren Zehntausend Unternehmen mitteilen, ob Nis 2 für sie gilt oder nicht“, sagt Rechtsanwalt Paul Vogel, der ebenfalls für Noerr arbeitet. „Gegenwärtig ist die Frage der eigenen Betroffenheit tatsächlich etwas, das mit den eigenen Rechtsbeiständen diskutiert werden sollte.“
Weil auch Unternehmen der Abfallbewirtschaftung „wichtige Einrichtungen“ sein können, stellt sich zudem die Frage, ob Händler mit eigenen Kreislaufsystemen (zum Beispiel für Getränkeflaschen) unter Nis 2 fallen könnten, sagt Rechtsanwalt Daum. Dann nämlich könnten sie als Entsorger gelten. Größe spielt für diese Diskussionen jedenfalls keine allzu große Rolle: Die Untergrenzen von 50 Mitarbeitern oder zehn Millionen Euro Bilanzsumme oder dieselbe Summe an Jahresumsatz sind nicht sonderlich streng.
Haftung mit Privatvermögen
Das Plakativste an Nis 2 sind sicher die Sanktionen. Wenn es in wichtigen Einrichtungen zu Schaden durch einen Cybervorfall kommt, muss das Unternehmen zum einen eine Geldbuße von bis zu sieben Millionen Euro oder 1,4% des gesamten Vorjahresumsatzes berappen. Außerdem – und das ist neu – kann dem Management im Extremfall vorübergehend die Geschäftsleitung entzogen werden.
Und: Manager haften mit ihrem Privatvermögen unbeschränkt für entstehende Schäden, das Unternehmen kann auf diesen Anspruch nicht verzichten. „Nis 2 macht IT-Sicherheit zur Chefsache“, sagt Andreas Daum. „Die Richtlinie legt den Schwerpunkt auf Vorsorge. Die Geschäftsführung muss sich künftig darum kümmern, sie kann sich nicht durch die vollständige Delegation an die Fachabteilungen aus der Verantwortung schleichen.“
Damit es zu solchen Sanktionen kommt, muss erst einmal ein Schaden entstehen. Nis 2 macht deutliche Vorgaben, was zu tun ist, um Schäden zu vermeiden. Unternehmen brauchen etwa Policys für die Risikoanalyse, Maßnahmen zur Aufrechterhaltung des Betriebs, ein Incident-Management, Verschlüsselung und einiges mehr, dazu kommen konkrete Meldepflichten.
Versicherungsanbieter setzen faktische Standards
Eine definitive Liste, mit welchen Maßnahmen ein Unternehmen auf der sicheren Seite steht, gibt es für Nis 2 allerdings nicht. „Es gelten die Best-Practice-Regeln, wie sie schon in der Datenschutz-Grundverordnung stehen“, sagt Michael Veit, Manager Sales Engineering beim IT-Sicherheits-Dienstleister Sophos.
Auch das Bundesamt für die Sicherheit in der Informationstechnik mache Vorgaben. „Einen De-facto-Standard setzen zudem die Anbieter von Cyberrisiko-Versicherungen“, so Veit. „Über einen Fragenkatalog etwa zu Security-Operations-Centern erstellen sie eine Risikoanalyse. Wer einen schlechten Tarif oder gar keine Versicherung angeboten bekommt, weiß, dass er etwas tun muss.“
Hundertprozentige Sicherheit gibt es nicht. Unternehmen, die Opfer eines Cyberangriffs werden und umfangreiche IT-Sicherheit nachweisen können, haben aber gute Chancen, einem Bußgeld zu entgehen, erwartet Andreas Daum. Und haben dann auch keinen Anlass, ihrer Geschäftsführung ans Privatkonto zu gehen.
Dieser Artikel erschien zuerst in Der Handel.