Die Zahl der Cyberangriffe auf Unternehmen steigt. Der Entwicklung folgend hat auch die Gesetzgebung dem Thema eine neue Bedeutung zugewiesen. Verordnungen wie die NIS-2-Richtlinie nehmen die Führungsebenen von Unternehmen bei der Cyber Security verstärkt in die Pflicht. Geschäftsleitung, Vorstand und Aufsichtsrat sind aus Sicht der Gesetzgeber sowohl aus operativer als auch aus rechtlicher Perspektive verantwortlich für die Cyber Security und können entsprechend in Haftung gezogen werden.
Beständiges Risiko für europäische Unternehmen
Laut der aktuellsten Studie im Auftrag des Digitalverbands Bitkom gaben 81 % der Unternehmen an, dass sie in den letzten 12 Monaten von Cyberangriffen betroffen waren. Das Ergebnis: Gestohlene Daten, finanzielle Verluste, Reputationsschäden und im schlimmsten Fall das Ende des Unternehmens. Dabei erreichten die durch Cyberkriminalität verursachten Schäden 2024 ein Rekordhoch von 178,6 Milliarden Euro. Cyberangriffe sind zu einem der größten Unternehmensrisiken geworde und sollten daher ein zentrales Anliegen der Unternehmensleitung sein. In der Praxis fehlt Vertretern der Führungsebene jedoch oft sowohl das Wissen als auch das Bewusstsein für digitale Sicherheit.
EU-Richtlinie verstärkt den Druck auf Führungskräfte
Dass Cybersicherheit längst nicht mehr nur eine Aufgabe der IT-Abteilung, sondern eine zentrale Führungsaufgabe ist, sieht die Europäische Union ähnlich: Laut der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) fällt Cyber Security in den direkten Verantwortungsbereich der Unternehmensleitung – also der Geschäftsführung und je nach Unternehmensstruktur auch des Vorstands und des Aufsichtsrats.
Die „Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“, abgekürzt NIS-2-Richtlinie, sieht strenge IT-Sicherheitsmaßnahmen für viele europäische Unternehmen vor. Nachdem die Richtlinie bereits Anfang 2023 in Kraft getreten ist, haben betroffene Unternehmen bis zum 17. Oktober 2024 Zeit für die Umsetzung ihrer Vorgaben. Neben der NIS-2-Richtlinie gibt es auch noch weitere Verordnungen, welche die digitale Resilienz und die damit einhergehende Verantwortung für Führungskräfte regeln – zum Beispiel zum Beispiel der Digital Operationsal Resilience Act (DORA) für den Finanzsektor.
Die Führungsebenen sind demnach für die Einhaltung der Sicherheitsmaßnahmen verantwortlich und haften im Falle einer Nichteinhaltung persönlich. Das schließt auch mögliche finanzielle Konsequenzen ein. So können Bußgelder in Höhe von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für "Essential Entities" sowie bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes für "Important Entities" verhängt werden. Geschäftsführer haften dabei unter Umständen mit ihrem Privatvermögen und in besonders schweren Fällen dürfen Sie bestimmte Leitungsfunktionen nicht mehr übernehmen.
Erhöhte Verantwortung und Sorgfaltsplicht
Dabei reicht es nicht aus, Sicherheitsmaßnahmen lediglich zu genehmigen: Die Unternehmensleitung muss die Implementierung der Maßnahmen aktiv überwachen und eine regelmäßige Überprüfung ihrer Effektivität sicherstellen. Fehlerhaftes Delegieren kann ebenso als Pflichtverletzung gewertet werden wie unzureichend umgesetztes Risikomanagement. Eine wirksame Cyber-Security- und Datenschutzstrategie erfordert deshalb das aktive Mitwirken der Unternehmensleitung.
Diese ist außerdem dafür verantwortlich, ein Umfeld zu schaffen, in dem Cybersicherheit als integraler Bestandteil der Unternehmenskultur betrachtet wird. Dazu gehört auch die Verpflichtung der Unternehmensleitung zur Teilnahme an Weiterbildungen, um stets über die neuesten Entwicklungen und Bedrohungen informiert zu sein. Denn nur durch ein umfassendes Verständnis der aktuellen Bedrohungen und der erforderlichen Sicherheitsmaßnahmen können Führungskräfte die notwendigen Entscheidungen treffen und das Unternehmen effektiv schützen.
Cyber Security Readiness als Zukunftsfaktor
Doch Cyber Security ist nicht nur lästige Pflicht, sondern bietet einen Mehrwert und potenziellen Wettbewerbsvorteil: Immer mehr Unternehmen nehmen ihre Lieferkette in die Verantwortung, entsprechende Maßnahmen vorzuweisen. Denn Maßnahmen zur IT-Sicherheit sind immer nur so gut wie für das schwächste Glied in der Kette. Unternehmen, die ihre Cyberabwehr ernst nehmen, genießen somit das Vertrauen ihrer Kunden und Geschäftspartner und können sich in einem zunehmend digitalisierten Marktumfeld behaupten. Das eigene Wissen auszubauen und aktiv zur internen Cyber Security Readiness beizutragen, ist daher ein Investment in die Zukunftsfähigkeit des Unternehmens.
EVENT FORMAT
Unser Angebot: Cyber Security Readiness für die Führungsebene
Als Spezialisten für Cyber Security unterstützen wir Ihre Führungsebene mit passenden Informations- und Awareness-Veranstaltungen. Die Veranstaltungen speziell für Geschäftsführung, Vorstand oder Aufsichtsrat vermitteln ein umfassendes Verständnis aktueller Cyberrisiken und wie Führungskräfte digitale Sicherheit strategisch im Unternehmen verankern, um ihre Rolle im Risikomanagement aktiv wahrzunehmen. Anhand echter Beispiele und best practices in verschiedenen Modulen informieren unsere Experten zu Risikobewertung, Vorbereitungsmaßnahmen und rechtlichen Pflichten, um Cyberrisiken effektiv zu managen und rechtliche Sorgfaltspflichten zu erfüllen. So ist es ihnen möglich, die Sicherheit ihres Unternehmens zu gewährleisten und den steigenden Anforderungen gerecht zu werden.
Mehr Informationen zu unserem Veranstaltungsformat für die Führungsebene