Unter dem Titel „Cybersicherheit – auf Unternehmen kommt Einiges zu – hier: Die NIS-2-Richtlinie“ hatten wir bereits vor knapp 2 Jahren über die Neuerungen im Cybersicherheitsrecht berichtet.
Ziel der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022) ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden.
Damals hatten wir bereits zur Haftung der Geschäftsleitung ausgeführt: „Diese rechtlichen Vorgaben an das Cyberrisikomanagement müssen von der Geschäftsleitung gebilligt und ihre Umsetzung von der Geschäftsleitung überwacht werden (§ 38 Abs. 1 BSIG-E. Diese Regelung bestätigt einmal mehr, was im GmbH und Aktienrecht längst anerkannt ist, nämlich, dass Cyber-Security Aufgabe der Geschäftsleitung ist.“
I. Neuer Anlauf der Merz-Regierung
Ist die Umsetzung der Richtlinie in deutsches Recht noch zu Zeiten der Regierung unter Bundeskanzler Scholz dem Diskontinuitätsprinzip zum Opfer gefallen, so versucht sich nun die Merz-Regierung an der Umsetzung der NIS-2-Richtlinie. Das Diskontinuitätsprinzip besagt, dass mit Ablauf einer Legislaturperiode sämtliche Gesetzesvorhaben „auf null gestellt werden“. In einer neuen Legislaturperiode muss damit der Prozess der Gesetzgebung vollständig von Neuem begonnen werden.
Mit Stand vom 2. Juni 2025 ist der Referentenentwurf des Bundesministeriums des Innern bekannt geworden, der den Titel „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ trägt und mit dem eine ganze Reihe von Gesetzen geändert werden sollen, allen voran das BSI-Gesetz (BSIG).
Der Referentenentwurf beschreibt zunächst, dass die Bedrohungen für die IT-Sicherheit im Jahr 2024 nicht geringer geworden sind und nennt Stichworte wie „Desinformation, Hacktivismus, Spionage und Sabotage“ in Bezug auf den „russischen Angriffskrieg gegen die Ukraine“ und den „Terrorangriff der Hamas auf Israel“. Im Bereich der Wirtschaft dürften mit Ransomware-Angriffen, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) die größten Bedrohungen im Vergleich zum Referentenentwurf von vor zwei Jahren gleichgeblieben sein.
Interessant sind indes zunächst die Annahmen des Entwurfs:
„Es ist anzunehmen, dass selbst bei einer vollständigen Umsetzung der von der NIS-2-Richtlinie vorgegebenen Sicherheitsstandards nicht alle Schäden durch Cyberangriffe abgewehrt werden können. Nimmt man jedoch an, dass durch die Umsetzung der vorliegenden Vorgaben die Hälfte des jährlich verursachten Schadens in den zur Umsetzung der NIS-2-Richtlinie verpflichteten Unternehmen abgewehrt werden kann, so ergibt sich pro Unternehmen ein abgewehrter Schaden von rund 250 000 Euro. Hochgerechnet auf die voraussichtlich geschätzte Anzahl betroffener Unternehmen bedeutet dies einen abgewehrten Gesamtschaden in Höhe von ca. 3,6 Milliarden Euro (= 250 000 Euro * 14 500 Unternehmen) für die deutsche Wirtschaft.“
II. Besondere Haftung für die Geschäftsleitung
Interessant ist aber auch, was aus der besonderen Haftung für die Geschäftsleitung geworden ist:
Die entsprechenden Regelungen finden sich nun in drei Absätzen in § 38 BSIG-E unter der Überschrift „Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen“. § 38 BSIG-E dient der Umsetzung von Artikel 20 der NIS-2-Richtlinie.
Die drei Absätze in § 38 BSIG-E lauten wie folgt:
(1) Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen.
Auf S. 170 des Entwurfs heißt es dazu u.a., nach dieser Verpflichtung hätten die Geschäftsleitungen die konkret zu ergreifenden Maßnahmen zunächst als für geeignet zu billigen und deren Umsetzung kontinuierlich zu überwachen. Auch bei Einschaltung von Hilfspersonen bliebe das Leitungsorgan letztverantwortlich.
(2) Geschäftsleitungen, die ihre Pflichten nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Nach diesem Gesetz haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung nach Satz 1 enthalten.
Die Binnenhaftung des Geschäftsleitungsorgans bei Verletzung von Pflichten nach dem BSI- Gesetz ergibt sich grundsätzlich aus den allgemeinen Grundsätzen (bspw. § 93 AktG), so der Referentenentwurf auf S. 170. Für solche Rechtsformen, für die nach den anwendbaren gesellschaftsrechtlichen Bestimmungen keine solche Binnenhaftung besteht, sieht die Vorschrift einen Auffangtatbestand vor.
(3) Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.
Auf S. 170 des Entwurfs heißt es dazu u.a., wichtige und besonders wichtige Einrichtungen würden aufgefordert, derartige Schulungen für alle Beschäftigten anzubieten. Als „regelmäßig“ im Sinne dieser Vorschrift gelten Schulungen, die mindestens alle 3 Jahre angeboten werden.
Wer zählt zur Geschäftsleitung?
„Geschäftsleitung“ wird dabei in § 2 Nr. 13 BSIG-E definiert als „eine natürliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen Einrichtung oder wichtigen Einrichtung berufen ist; Leiterinnen und Leiter von Einrichtungen der Bundesverwaltung nach § 29 gelten nicht als Geschäftsleitung;“
In der Begründung heißt es auf S. 118 des Entwurfs dazu, bereits heute seien Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste verpflichtet, ein Mindestniveau an IT-Sicherheit zu gewährleisten. Der Regelungsentwurf führe vergleichbare Normen fort, in deren Anwendungsbereich deutlich mehr Unternehmen fallen werden. Demnach sollen künftig alle besonders wichtigen und wichtigen Einrichtungen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um für ihre Diensteerbringung relevante IT-bezogene Störungen zu vermeiden (§ 30 Absatz 1 BSIG-E).
Hinsichtlich der Verhältnismäßigkeit wird auf die Bewertungskriterien etablierter IT-Standards, Umsetzungskosten und bestehende Risiken verwiesen. Letztere werden bestimmt durch die Risikoexposition, die Größe der Einrichtung bzw. des Betreibers sowie der Eintrittswahrscheinlichkeit und die Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen. Folglich werden erforderliche Maßnahmen zum Risikomanagement, die besonders wichtige Einrichtungen ergreifen müssen, umfangreicher sein als Maßnahmen, die wesentliche Einrichtungen ergreifen müssen.
Geschäftsleiter sind dabei verpflichtet, die Risikomaßnahmen zu billigen und zu überwachen.
III. Paradigmenwechsel im Bereich der Cybersicherheit
Die im Zuge der NIS-2-Umsetzung neu eingeführte Geschäftsleiterhaftung nach § 38 BSIG-E markiert einen Paradigmenwechsel im Bereich der Cybersicherheit. Während im klassischen Gesellschaftsrecht (insbesondere § 43 GmbHG, § 93 AktG) eine Organhaftung regelmäßig nur bei Pflichtverstößen im Rahmen der unternehmerischen Sorgfalt greift, normiert § 38 BSIG-E eine konkrete Pflicht zur Umsetzung, Überwachung und Schulung in Bezug auf Informationssicherheit – ausdrücklich adressiert an die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen. Damit wird die Cybersicherheit zur gesetzlich fest verankerten Führungsaufgabe mit klaren Zurechnungsregeln. Dies unterstreicht die Notwendigkeit einer sorgfältigen, dokumentierten und nachhaltig verankerten Cybersicherheitsstrategie auf Geschäftsführungsebene.
Es bleibt abzuwarten, ob bei Umsetzung des Entwurfs die Haftung der Geschäftsleitung aus § 38 BSIG-E im Vergleich zur bisherigen, „allgemeinen“ Haftungsregelung entscheidend verschärft wird.
Hierzu beraten wir Sie gerne.
Autoren: Oliver Korth, LL.M., Dr. Stephan Dornbusch
Auszeichnungen
-
„MEYER-KÖRING ist besonders renommiert für die gesellschaftsrechtliche Beratung.“(JUVE Handbuch Wirtschaftskanzleien 2022)
Autoren
UNVERBINDLICHE KONTAKTAUFNAHME
UNVERBINDLICHE KONTAKTAUFNAHME
Sind Sie unsicher, ob Sie mit Ihrer Angelegenheit bei uns richtig sind?
Nehmen Sie gerne unverbindlich Kontakt mit uns auf und schildern uns Ihr Anliegen.
Wir freuen uns auf Ihren Anruf.
