Hohe Geldbußen und Entmachtung von Geschäftsleitern bald rechtlich möglich
Cyber- und D&O-Versicherung gehören zur Grundabsicherung eines Unternehmens
Die steigende Bedrohung durch Cyber-Angriffe und -Kriminalität weltweit, auch in Europa, führte zur Einführung der EU-Richtlinie NIS2 am 16. Januar 2023. Dieses Richtlinien-Update baut auf der NIS-Direktive von 2016 auf und verlangt von allen 27 EU-Mitgliedstaaten, NIS2 bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Das Hauptziel ist der Schutz der Bevölkerung vor den Auswirkungen von Cyber-Angriffen auf kritische Infrastrukturen. Die Nichteinhaltung der Vorschriften wird stark sanktioniert, wobei besonders schwere Verstöße mit Geldbußen von mindestens 2 Prozent des weltweiten Umsatzes eines Unternehmens belegt werden können. Außerdem soll das BSI als Prüfbehörde CEOs zeitweise entmachten dürfen. Verantwortlich für die Implementierung der durch die Richtlinie geforderten Prozesse innerhalb des Unternehmens ist die Unternehmensführung, die bei Missachtung und Nichteinhaltung der NIS2-Richtlinie persönlich haftbar gemacht werden kann.
Der aktuelle Stand der Cyber-Sicherheit in Deutschland zeigt, dass trotz eines leichten Rückgangs der Cyberangriffe im Vergleich zum Vorjahr die Bedrohung für Unternehmen hoch bleibt. Der russische Angriffskrieg fördert die Bildung von “hacktivistischen” Gruppen, und der Einsatz künstlicher Intelligenz wird zunehmend bedeutsam. Der im Jahr 2022 zugängliche Chatbot “ChatGPT” birgt ebenfalls Potenzial für cyberkriminelle Zwecke. Die fortschreitende Digitalisierung stellt Unternehmen vor neue Herausforderungen, insbesondere kleine und mittelständische Unternehmen (KMU) sind aufgrund ihres oftmals niedrigeren Reifegrads in der IT-Sicherheit gefährdet.
Eine der häufigsten Cyber-Bedrohungen ist der Ransomware-Angriff: Die Verschlüsselung aller vorhandenen Daten auf einem IT-System, sodass für den reibungslosen Geschäftsablauf notwendige essenzielle Dienstleistungen und Geschäftsprozesse nicht mehr zur Verfügung stehen. In der Folge ist die betroffene Organisation nicht mehr handlungsfähig und das Geschäft kommt zum Erliegen. Erst gegen Zahlung eines Lösegelds (Engl.: ransom) werden die Daten wieder freigegeben. Ein Beispiel aus Deutschland ist der zum „ersten digitalen Katastrophenfall“ erklärte Angriff auf den Landkreis Bitterfeld. 207 Tage nach dem Angriff standen zahlreiche bürgernahe Dienstleistungen nur eingeschränkt zur Verfügung.
Unabhängig von der Kategorie, Zielgruppe und Tragweite eines Cyber-Angriffs, haben alle IT-Sicherheitsvorfälle oftmals eine Gemeinsamkeit: Bei mehr als 85 % der erfolgreichen Cyber-Angriffe erwies sich der Faktor Mensch als am besten geeignete Zugangsmöglichkeit zur ins Fadenkreuz genommenen IT-Infrastruktur. Er ist folglich eine der größten Schwachstellen. Ein funktionierendes Informations- und IT-Sicherheitsmanagement stellt somit einen wirtschaftlichen Erfolgsfaktor dar und sollte daher nicht weiter nur als „notwendiges Übel“ angesehen werden. Vielmehr ist es ein notwendiger Weg, um das eigene Unternehmen vor erheblichen Risiken zu schützen.
Welche Branchen sind betroffen?
Die NIS2-Richtlinie reguliert insgesamt 18 Sektoren, davon sind 11 „essential“ (dt. kritisch) und 7 „important“ (dt. wichtig).
„Essential“ Sektoren:
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (B2B)
- Öffentliche Verwaltung
- Weltraum
„Important“ Sektoren:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Welche Unternehmen sind betroffen?
NIS2 setzt die „size-cap rule“ ein: Alle Betriebe ab einer Größe von 50 Mitarbeitern oder einen Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen EUR werden in die Pflicht genommen.
Klein- und Kleinstunternehmen bleiben von NIS2 vorerst unberührt, jedoch gilt das Gesetz unabhängig der oben aufgeführten Größenwerte zusätzlich und ausnahmslos für alle Betriebe aus den Sektoren „Digitale Infrastruktur“, „Öffentliche Verwaltung“ und „weitere Spezialfälle“, deren IT und Netzwerke aufgrund Ihrer wichtigen gesellschaftlichen Funktion im Ausnahmefall besonders schützenswert sind.
Die NIS2-Direktive legt Mindestanforderungen an die IT-Sicherheit fest; hierzu zählen u. a.:
- Risikoanalyse und Konzepte zur Bewertung der Maßnahmen
- Bewältigung von Sicherheitsfällen (Incident Response)
- Notfallplan
- Einbeziehung der Lieferkette in das Sicherheitskonzept
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung, Wartung und Betrieb der Systeme inkl. laufender Schwachstellenanalyse
- Schulung der Mitarbeiter im Bereich der Cyber-Sicherheit; die Geschäftsführung ist hierbei explizit einzubeziehen!
- Einsatz von Kryptografie und Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Welche Relevanz haben nun Versicherungen in Bezug auf die Richtlinie?
1. Cyber-Versicherung:
Unternehmen erhalten im Rahmen einer „Verfügbarkeitsgarantie“ über den Versicherer Zugang und Finanzierung wichtiger Dienstleistungen „sofort per Anruf“. Insbesondere mittelständische Unternehmen können somit das Krisenmanagement an (sofort verfügbare) externe Experten auslagern:
a. Incident Response – „Cyber-Feuerwehr“, die 24/7 zur Lösung eines Cyber-Vorfalls zur Verfügung steht mit
-
- Notfallhilfe: 24/7 Hotline für Akuthilfe zur Begrenzung des Cyber-Vorfalls und zur Einleitung von Sofortmaßnahmen.
- Forensische Untersuchung: Computersysteme werden nach einem Cyber-Vorfall analysiert und die Beweissicherung eingeleitet.
- Abwicklung: Rechtsberatung, Benachrichtigung der zuständigen Stellen (z.B. bei einem Datenschutzverstoß), Unterstützung bei Presse- & Medienarbeit.
b. Eigenschäden:
-
- Datenwiederherstellung: Kosten für System-/Datenwiederherstellung sowie die Benachrichtigung von Kunden/Lieferanten, deren Daten betroffen sind.
- Lösegeldzahlungen: Zahlungen zur Lösung eines Cyber-Vorfalls aufgrund von unrechtmäßigen & glaubwürdigen Bedrohungen durch Dritte.
- Ertragsausfall: Einkommensverluste durch eine vollständige oder partielle Unterbrechung der versicherten IT-Infrastruktur aufgrund eines Cyber-Vorfalls, inkludiert auch Cloud.
- Verbesserungskosten: Die Kosten für den Ersatz oder die Wiederherstellung einer besseren Version der Systeme, um ein versichertes Ereignis abzumildern.
c. Drittschäden:
-
- Cyber-Haftpflicht: Die durch unbefugten Zugang/Offenlegung von vertraulichen Daten (z.B. personenbezogener Daten) verursachten Kosten.
- Verbraucherentschädigungsfonds: Entschädigung, die ein Unternehmen nach einer Datenschutzverletzung an die betroffenen Personen zahlen muss.
- PCI-Strafen: Strafen, die durch Verstöße gegen den PCI-DSS Industry Data Security Standard entstehen (Kreditkarten).
- Medienhaftpflicht: Schäden aufgrund fahrlässiger Veröffentlichung, wie z.B. Urheberrechtsverletzung, Verleumdung und falsche Werbung.
2. D&O-Versicherung
Organe (Vorstände, Geschäftsführer und Kontrollorgane) haften mit ihrem Privatvermögen bei Pflichtverletzungen. Die Einführung einer Vielzahl neuer Gesetze wie z.B. dem Lieferketten- oder auch Hinweisgeberschutz-Gesetz stellt eine Haftungsverschärfung dar. Mit der Umsetzung der NIS-2-Richtlinie wird bereits der Geschäftsführung von mittelständischen Unternehmen ein umfangreiches Pflichtenheft auferlegt.
Die D&O-Versicherung übernimmt als Haftpflichtversicherung einerseits die rechtliche Prüfung eines Anspruches und übernimmt die Kosten einer Abwehr – auch vor Gericht – und den Ausgleich gerechtfertigter Haftpflichtansprüche.
3. Straf-Rechtsschutz-Versicherung
Der sorglose Umgang mit der Datensicherheit und hier konkret mit den auferlegten IT-Sicherheitspflichten können den Tatbestand der Untreue nach § 266 StGB erfüllen. Ein „Anfangsverdacht“ ist für die Einleitung eines Ermittlungsverfahrens durch die Staatsanwaltschaft ausreichend.
Sehr oft geht der zivilrechtlichen Haftung ein strafrechtliches Ermittlungsverfahren voraus.
Die Straf-Rechtsschutz-Versicherung übernimmt die Kosten eines auf Strafrecht spezialisierten Rechtsanwaltes für die Verteidigung der Organe und aller Mitarbeiter des Unternehmens. Das Honorar kann mit einem Stundensatz von bis zu 1.200 EUR sehr schnell in einen sechsstelligen Euro-Bereich gehen.
Wir sind auf die Begleitung der Umsetzung der NIS-2-Richtlinie vorbereitet und besorgen nicht nur den erforderlichen Versicherungsschutz, sondern unterstützen Sie auch bei der Umsetzung mit Hilfestellung zu
- Schwachstellenanalyse
- Erstellung eines Notfallplanes
- Schulung der Mitarbeiter für IT-Sicherheit
Sprechen Sie uns an!