Startseite > Security > Was taugen Gesetze zu Cyber-Resilienz und Geschäftsführerhaftung?

Advertorial

Was taugen Gesetze zu Cyber-Resilienz und Geschäftsführerhaftung?

6. Mai 2024, 8:00 Uhr | Sophos

Gesetze sind dafür da, Dinge klar zu regeln und im Idealfall sogar zu verbessern. Zu den neuesten Gesetzen zählen unter anderem NIS 2.0 sowie das EU-weite Cyber-Resilienz-Gesetz inklusive Geschäftsführerhaftung bei Cyberangriffen. Gerade in Sachen NIS 2.0 besteht Informations- und Handlungsbedarf.

Gesetze sind dafür da, Dinge klar zu regeln und im Idealfall sogar zu verbessern. Dazu gehören zu Recht Regeln zur Cybersicherheit, denn die Bedrohungslage wird seit Jahren zunehmend prekär und es entstehen große wirtschaftliche Schäden, sowohl für einzelne Unternehmen als auch aus volkswirtschaftlicher Perspektive. Zu den neuesten Gesetzen zählen unter anderem NIS 2.0 sowie das EU-weite Cyber-Resilienz-Gesetz inklusive Geschäftsführerhaftung bei Cyberangriffen. Gerade in Sachen NIS 2.0 besteht Informations- und Handlungsbedarf. Bereits bis Herbst 2024 müssen entsprechende Compliance-Regeln realisiert werden und – was vielen wahrscheinlich noch nicht bewusst ist – auch die Liste der betroffenen Unternehmen hat sich neben reinen KRITIS-Einrichtungen mit der neuen Gesetzesvorlage erheblich erweitert.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Compliance-Anforderungen an Geschäftsführung, Vorstand und Aufsichtsrat

Eine funktionierende und sichere IT ist grundsätzlich für jedes Unternehmen von elementarer Bedeutung. Bei Cyberangriffen oder Verstößen gegen IT-sicherheitsrechtliche Vorschriften drohen dem Vorstand, der Geschäftsführung und/oder den Aufsichtsratsmitgliedern rechtliche Konsequenzen. Die Geschäftsleitung oder Aufsichtsratsmitglieder können zivilrechtlich auf Schadensersatz haften, wenn sie ihre Pflichten zur Sicherstellung der Digital Compliance vorsätzlich oder fahrlässig verletzen. Darüber hinaus können die Mitglieder der Geschäftsleitung und des Aufsichtsrats auch strafrechtlich belangt werden. Ein solcher Fall wäre denkbar, wenn aufgrund vorsätzlichen oder fahrlässigen Verhaltens durch einen Cybervorfall Geschäftsgeheimnisse oder Know-how des Unternehmens gegenüber unbefugten Dritten offenbart werden oder ein Angriff dazu führt, dass das Unternehmen seinen Geschäftsbetrieb vollständig einstellen muss und dadurch in die Insolvenz schlittert. 2022 hat die Europäische Union zudem einen Gesetzentwurf mit dem Titel "Cyber Resilience Law" vorgelegt. Darin wird ein horizontaler europäischer Ansatz zur Cybersicherheit befürwortet, der insbesondere Hardware- und Softwarehersteller betrifft, da diese die größte Verantwortung bei der Entwicklung (sicherer) technologischer Mittel tragen.

Risikomanagement – Technik ist nicht genug

Die Aufgabe besteht für Unternehmen nun darin, die wichtigsten Engpässe im Bereich der Cybersicherheit zu ermitteln und eine gesetzeskonforme Cybersicherheitsstrategie zu erarbeiten. Bei ihrem Risikomanagement dürfen die Verantwortlichen – sprich Geschäftsleitung und Hersteller – nicht allein auf technische Maßnahmen setzen, sondern müssen menschliche Expertise einbinden. Denn viele Angriffe, bei denen sich die Hacker durch gestohlene Informationen Zugriff auf die Daten und Systeme ihrer Opfer verschaffen, verlaufen still und heimlich. Die Unternehmen stehen vor der Herausforderung, diese Angriffe bereits in der Entstehungsphase zu stoppen, noch bevor ein Schaden entstehen kann. Hierzu sind spezialisierte Bedrohungsexperten notwendig, die auf dem Arbeitsmarkt nur schwer zu finden sind und oft teuer eingekauft werden müssen. Die Folge: Zunehmend mehr Unternehmen entscheiden sich für Security-Services zusätzlich zu den technischen Security-Maßnahmen. Dazu zählen vornehmlich MDR-Services (Managed Detection and Response), welche die eigene IT-Abteilung bei der Aufdeckung und Bekämpfung von Cyberangriffen unterstützen. Sophos MDR bietet Unternehmen beispielsweise ein weltweit aktives Expertenteam, dass die IT-Infrastruktur rund um die Uhr überwacht, gegebenenfalls Abwehrmaßnahmen ergreift und zudem auf die Forensikdaten von Millionen Usern zurückgreifen kann.

NIS2-Anforderungen verstehen und richtig umsetzen

Die aktuellen Entwicklungen im Bereich Cybersecurity machen deutlich, dass ein „Weiter so“ in Sachen IT-Sicherheitsstrategie nicht mehr akzeptabel ist. Für die Geschäftsleitung und Hersteller ist es wichtig zu verstehen, was getan werden muss, um die IT-Sicherheit rechtssicher und zugleich nachhaltig aufzustellen.

Weitere Infos und eine Anmeldemöglichkeit zum kostenfreien Webinartag der connect professional am 14. Mai 2024 finden Sie hier. Wir freuen uns über Ihre Teilnahme!