Vortrag beim BSI-Beteiligungsworkshop zu NIS2: Verantwortlichkeit und Haftung für IT-Sicherheitsmaßnahmen

#Cybersecurity ist in den letzten Jahren deutlich einfacher geworden – zumindest, wenn es darum geht, gute #Argumente gegenüber der #Geschäftsleitung dafür zu finden, in die digitale Resilienz der betrieblichen #IT-#Infrastruktur zu investieren! Auf Einladung des #BSI habe ich heute anlässlich des #NIS2 Beteiligungsworkshops über die Verantwortlichkeit und Haftung für IT-Sicherheitsmaßnahmen nach NIS2 gesprochen und mit einigen Vorurteilen aufgeräumt, die zurzeit kursieren:

1. Wenn wir über Verantwortlichkeit der Geschäftsleitung sprechen, geht es nicht nur um die gerne und vielzitierten Geldbußen, sondern auch um die Möglichkeit zur Untersagung von Leitungsaufgaben, die Innenhaftung der Geschäftsleiter und deren eigene Fortbildungspflichten zur Cybersicherheit. Außerdem bestehen nach allgemeinem Recht zum Beispiel auch vertragliche Schadensersatzansprüche gegen die Gesellschaft infolge von IT-Sicherheitsausfällen.

2. Eigentlich ist vieles davon nichts Neues, denn auch ohne das IT-Sicherheitsrecht sind genannte Personenkreise verpflichtet, eine ordnungsgemäße Geschäftsorganisation zu führen und dies auch nachzuweisen – quasi wird mit NIS2 deshalb eine grundsätzliche allgemeine Pflicht nur weiter vertieft und konkretisiert.

3. Die Frage, welcher Sorgfaltsmaßstab in der Cybersicherheit umgesetzt werden muss, kann recht einfach beantwortet werden: derjenige, der für die jeweilige Betriebsform einschlägig ist! Haften tut nämlich nur derjenige, der die „im Verkehr erforderliche Sorgfalt außer Acht lässt“ – und damit ist auch beim Aufbau eines ISMS zur Herstellung von NIS2 Compliance stets die individuelle betriebliche Risikoexposition und wirtschaftliche Leistungsfähigkeit zu berücksichtigen.

4. Das Fazit deshalb: Wer sich ehrlich um Compliance bemüht, muss keine Sorge vor Bußgeldern haben. Denn auch ein reguliertes ISMS nimmt einzelne Fehler hin und verlangt keine Perfektion – denn das ist ja gerade der betriebsorganisatorische Ansatz des ISMS.

Für alle, die heute Vormittag bei dem Vortrag nicht dabei sein konnten, gibt es mein Slide Deck hier zum Download: https://intrapol.org/wp-content/uploads/2024/11/Dennis-Kenji-Kipker-Verantwortlichkeit-und-Haftung-nach-NIS2-und-NIS2UmsuCG-11-2024.pdf. In der nächsten Ausgabe der kes schreiben Dr. Julian Zaudig und ich in aller Ausführlichkeit zum Thema: „Sanktionen nach NIS2 und NIS2UmsuCG: Bußgelder und Prozessorientierung im neuen IT-Sicherheitsrecht“.

denniskenjikipker #cyberresilience #cyberintelligence #cyberintelligenceinstitute #frankfurt #bremen

Schreibe einen Kommentar