Recht, Steuern & Finanzen

Cybersicherheit als Unternehmensaufgabe: Wie NIS-2 die Spielregeln neu definiert

Gastbeitrag von Franziska Geier, Geschäftsführerin, Stöik GmbH aktualisiert

Als Geschäftsführer:in einer GmbH stehen Sie vor einer Vielzahl von Herausforderungen – von der strategischen Weiterentwicklung Ihres Unternehmens bis hin zur Einhaltung gesetzlicher Vorgaben. Doch ein Thema wird zunehmend zur zentralen Pflicht: Cybersicherheit. In einer Welt, in der Unternehmen immer stärker von digitalen Technologien und vernetzten Systemen abhängen, ist der Schutz sensibler Daten und IT-Infrastrukturen nicht nur eine Frage der Effizienz, sondern ein geschäftskritischer Faktor.

Cyberangriffe wie Ransomware, Datenlecks oder gezielte Phishing Kampagnen verursachen jährlich wirtschaftliche Verluste in Milliardenhöhe. Laut dem aktuellen Bitkom-Bericht beläuft sich der Schaden durch Cyberangriffe allein für die deutsche Wirtschaft auf rund 203 Milliarden Euro jährlich. Gleichzeitig zeigt der BSI-Lagebericht, dass täglich durchschnittlich über 320.000 neue Schadprogrammvarianten entdeckt werden. Mehr als zwei Drittel aller Unternehmen in Deutschland waren in den vergangenen zwölf Monaten von Cybervorfällen betroffen. Dabei gaben 86 % der betroffenen Firmen an, dass ihnen sensible Informationen gestohlen wurden oder abgeflossen sind. Als Geschäftsführer:in einer GmbH tragen Sie dabei nicht nur die Verantwortung für den Schutz der Geschäftsdaten, sondern stehen auch persönlich in der Haftung, wenn Sicherheitslücken zu Verstößen gegen regulatorische Vorgaben führen. Reputationsverluste, rechtliche Konsequenzen und potenziell existenzbedrohende Kosten sind nur einige der Risiken, die unzureichende Sicherheitsmaßnahmen mit sich bringen können.

Die Rolle der NIS-2-Regulierung

Die „NIS-2”-Richtlinie (Network and Information Security Directive 2) baut auf der 2016 eingeführten NIS-Richtlinie auf und erweitert diese erheblich. Ihr Ziel ist es, den Schutz kritischer und wichtiger Infrastrukturen in Europa zu stärken und die Widerstandsfähigkeit gegen Cyberbedrohungen zu erhöhen. Die Europäische Union hat mit der „NIS-2”-Richtlinie eine umfassende Neuausrichtung des regulatorischen Rahmens vorgenommen, die explizit darauf abzielt, Unternehmen und ihre Geschäftsführungen zur aktiven Cybersicherheitsvorsorge zu verpflichten. Die Frage ist nicht mehr, ob Ihr Unternehmen betroffen sein könnte, sondern wie gut Sie vorbereitet sind.

Verschärfte Sorgfalts- und Meldepflichten für Geschäftsführer:innen

Für Geschäftsführer:innen von GmbHs bedeutet die NIS-2-Regulierung eine erhebliche Ausweitung der Verantwortung. Die zentralen Anforderungen umfassen erweiterte Meldepflichten, strenge Dokumentationsvorgaben und verpflichtende Schutzmaßnahmen:

  • Meldepflichten: Sicherheitsvorfälle müssen innerhalb von 24 bis 72 Stunden gemeldet werden.
  • Risikomanagement: Unternehmen müssen kontinuierlich Risiken bewerten und Maßnahmen zur Minderung implementieren.
  • Technische und organisatorische Maßnahmen: Diese reichen von IT-Sicherheitslösungen bis hin zur Sensibilisierung der Belegschaft.
  • Reaktionsfähigkeit sicherstellen: Unternehmen sind verpflichtet, Prozesse zur schnellen Reaktion auf Cybervorfälle zu etablieren. Dies kann die Zusammenarbeit mit einem Computer Emergency Response Team (CERT) oder externen Diensten einschließen, um Vorfälle effektiv einzudämmen und Systeme wiederherstellen zu können.
  • Prüfung der Lieferkette: Unternehmen müssen sicherstellen, dass auch Partner und Lieferanten Mindeststandards der Cybersicherheit einhalten. Selbst Unternehmen, die nicht direkt unter NIS-2 fallen, müssen oft Schutzmaßnahmen nachweisen, um regulatorische Anforderungen und die Erwartungen ihrer Geschäftspartner zu erfüllen.

Mit der NIS-2 steigen auch die Haftungsrisiken für Geschäftsführer:innen. Sollten die Anforderungen nicht erfüllt werden, können empfindliche Bußgelder, rechtliche Konsequenzen oder Reputationsverluste drohen. Die persönliche Haftung ist dabei ein zentrales Thema. Unzureichende Sicherheitsvorkehrungen oder mangelnde Einhaltung der Vorgaben können nicht nur das Unternehmen, sondern auch Sie als Entscheider:in in Schwierigkeiten bringen.

Ihre strategischen Handlungsfelder: Maßnahmen zur Einhaltung der NIS-2-Vorgaben

Die Umsetzung der NIS-2-Vorgaben beginnt auf Ebene der Geschäftsführung. Ein reines Delegieren an die IT-Abteilung reicht nicht aus. Die Geschäftsführung trägt die Verantwortung dafür, die notwendigen Ressourcen bereitzustellen, um eine robuste Cybersicherheitsstrategie zu entwickeln und umzusetzen und haftet, wenn dem Unternehmen durch Nichteinhaltung von NIS-2 ein Schaden entsteht.

Deshalb sollten Sie eine ganzheitliche Cybersicherheitsstrategie entwickeln und umsetzen. Folgende Schritte sind dabei essenziell:

  1. Ein Cybersicherheits-Framework etablieren: Definieren Sie klare Sicherheitsrichtlinien und schaffen Sie Verantwortlichkeiten, um alle relevanten Prozesse zu steuern.
  2. Risikoanalysen durchführen: Identifizieren Sie Schwachstellen in Ihrer IT-Infrastruktur und bewerten Sie, welche Bedrohungen das Geschäftsmodell am stärksten gefährden könnten.
  3. Investitionen gezielt planen: Stellen Sie sicher, dass ausreichende Budgets für fortschrittliche Technologien, Schulungen und externe Beratung bereitstehen.
  4. Notfallpläne entwickeln: Erarbeiten Sie detaillierte Reaktionspläne, die bei einem Sicherheitsvorfall schnell und effektiv umgesetzt werden können.
  5. Die Belegschaft sensibilisieren: Schulen Sie Ihre Mitarbeitenden regelmäßig zu Cybersicherheitsrisiken und fördern Sie ein Sicherheitsbewusstsein, um menschliche Fehler zu minimieren.
  6. Überwachung und Optimierung: Implementieren Sie kontinuierliche Überwachungsmaßnahmen wie Monitoring-Tools und führen Sie regelmäßige Updates und Optimierungen Ihrer Systeme durch.

Sprechen Sie frühzeitig mit externen Cybersicherheitsdienstleistern und Cyberversicherern, um sich über Konditionen und Unterstützungsmöglichkeiten zu informieren – so erfüllen Sie nicht nur die Anforderungen der NIS-2-Richtlinie, sondern stärken auch nachhaltig die Sicherheit Ihres Unternehmens.

Eine lückenlose Dokumentation aller Sicherheitsmaßnahmen dient nicht nur als Nachweis bei Audits, sondern auch als Schutzschild im Ernstfall. Die Zusammenarbeit mit erfahrenen Cybersicherheits- und Versicherungsexperten hilft dabei, maßgeschneiderte Lösungen für spezifische Herausforderungen zu entwickeln. Regelmäßige Audits gewährleisten, dass Sicherheitsmaßnahmen kontinuierlich aktualisiert und an aktuelle Bedrohungen angepasst werden.

Prävention statt Reaktion: Eine neue Cybersicherheitsstrategie

NIS-2 setzt auf Prävention, um Risiken frühzeitig zu minimieren und wirtschaftliche Schäden sowie Reputationsverluste zu vermeiden. Ein proaktiver Sicherheitsansatz spart Kosten, da die Wiederherstellung nach einem Angriff mit hohem Zeit- und Kapitalaufwand verbunden ist. Der Verlust von Kundendaten oder Geschäftsgeheimnissen kann zudem gravierende Folgen haben.

Regelmäßige Schwachstellenanalysen und kontinuierliche Sicherheitsüberwachung helfen dabei, Risiken frühzeitig zu identifizieren und zu minimieren. Automatisierte Schwachstellenscans und Echtzeit-Monitoring tragen wesentlich dazu bei, das Sicherheitsniveau dauerhaft hochzuhalten. NIS-2 fordert Unternehmen explizit auf, solche Maßnahmen umzusetzen, um ihre IT-Infrastruktur gegen neue Bedrohungen zu schützen.

Neben Cyberversicherungen wie denen von Stoïk und präventiven Tools wie Stoïk Protect spielen Managed Detection and Response (MDR)-Dienste eine zentrale Rolle. MDR ermöglicht durch kontinuierliche Überwachung und KI-gestützte Bedrohungserkennung eine schnelle Reaktion auf Cyberangriffe. Dies ergänzt präventive Maßnahmen, indem Sicherheitsvorfälle frühzeitig erkannt und Gegenmaßnahmen eingeleitet werden können.

Schlusswort: Cybersicherheit als strategische Chance

Die NIS-2-Richtlinie bringt eine neue Ära der Cybersicherheit mit sich, die Unternehmen dazu verpflichtet, ihre Schutzmechanismen zu überdenken und präventiv zu agieren. Wer jetzt handelt, kann nicht nur Risiken minimieren, sondern sich auch Wettbewerbsvorteile sichern. Cybersicherheit wird zunehmend zum strategischen Differenzierungsmerkmal und zeigt, dass Ihr Unternehmen langfristig und zukunftsorientiert handelt. Durch die Kombination von Cyberversicherungen mit präventiven Cybersicherheitstools, wie bei Stoïk, entsteht ein ganzheitlicher Schutz, der nicht nur auf schnelle Reaktion, sondern auf vorausschauendes Handeln setzt.