Mit dem NIS2-Umsetzungsgesetz tritt in Deutschland eine der strengsten IT-Sicherheitsregulierungen der vergangenen Jahre in Kraft. Was viele Vorstände und Geschäftsführer noch unterschätzen: Cybersicherheit ist kein rein technisches Thema der IT-Abteilung mehr. Sie ist eine persönliche Compliance-Pflicht der Führungsebene.
Wer seinen Überwachungs- und Organisationspflichten nicht ausreichend nachkommt, kann im Ernstfall auch persönlich und mit seinem Privatvermögen in Haftung genommen werden.
Compliance-Falle E-Mail: Warum klassische Tools unter NIS2 zum Haftungsrisiko werden
In vielen Gremien ist es noch immer gängige Praxis, Sitzungsunterlagen per E-Mail zu versenden oder Abstimmungen über ungesicherte Kanäle abzuwickeln. Unter der neuen Rechtslage stellt dieses Vorgehen ein erhebliches Risiko dar.
- Mangelnde Zugriffskontrolle: Einmal versendet, liegen Dokumente in zahlreichen Posteingängen. Häufig auch auf privaten Endgeräten, die nicht unternehmenskontrolliert sind und außerhalb definierter Sicherheitsstandards betrieben werden.
- Keine Revisionssicherheit: Im Falle eines Audits oder einer Haftungsprüfung lässt sich mit E-Mail-Verläufen kaum rechtssicher nachweisen, dass Vorstände ihrer fortlaufenden Überwachungspflicht tatsächlich nachgekommen sind.
- Hacker-Ziel Nr. 1: Mitglieder der Geschäftsleitung gelten als sogenannte High-Value Targets. Ein einziger erfolgreicher Phishing-Angriff auf ein privates Postfach kann sensible Strategien, Beschlüsse oder Unternehmensdaten kompromittieren.
Die drei Säulen der Vorstandsverantwortung unter NIS2
- Billigungs- und Überwachungspflicht des Vorstands: Vorstände müssen Cybersicherheitsmaßnahmen nicht nur genehmigen, sondern deren Umsetzung aktiv überwachen. Sie müssen jederzeit nachweisen können, dass sie regelmäßig und strukturiert über die aktuelle Risikolage informiert wurden.
- Fortbildungspflicht der Geschäftsleitung: Die NIS2-Richtlinie verpflichtet Mitglieder der Geschäftsleitung, ihre Cyber-Kompetenz kontinuierlich zu erweitern. Regelmäßige Schulungen sind nicht optional, sondern Bestandteil der persönlichen Sorgfaltspflicht.
- Persönliche Haftung bei Pflichtverletzung: Bei Verstößen gegen die vorgeschriebenen Risikomanagementmaßnahmen kann die Geschäftsleitung persönlich haftbar gemacht werden. Für wesentliche Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes.
Wie Azeus Convene Sie bei der NIS2-konformen Gremienarbeit unterstützt
Im Kontext der NIS2-Regulierung entwickeln sich spezialisierte Board-Portale von einer rein organisatorischen Unterstützung zu einem wesentlichen Bestandteil des Compliance-Managements. Azeus Convene ermöglicht es Geschäftsleitungen, die gesetzlich geforderten Risikomanagement- und Überwachungspflichten technisch abzubilden und gegenüber Aufsichtsbehörden lückenlos nachzuweisen.
- Zentrale “Source of Truth”: Alle sensiblen Sitzungsunterlagen bleiben in einem geschützten, verschlüsselten System. Dokumente werden nicht mehr unkontrolliert per E-Mail verteilt.
- Lückenloser Audit-Trail: Zugriffe, Ansichten, Beschlüsse und Änderungen werden revisionssicher protokolliert. Damit schaffen Sie eine belastbare Nachweisgrundlage für Prüfungen und Audits.
- Sichere interne Kommunikation: Abstimmungen und Diskussionen erfolgen innerhalb der Plattform, ohne den Einsatz unsicherer Drittanbieter oder privater Kommunikationskanäle.
- Datenhoheit und Zero-Knowledge-Prinzip: Die Daten bleiben vollständig unter Ihrer Kontrolle. Selbst der Anbieter hat keinen Zugriff auf Inhalte oder Schlüssel. Das gewährleistet maximale Souveränität für Ihr Gremium.
Die Zeiten, in denen Cybersicherheit als reines IT-Thema betrachtet werden konnte, sind vorbei. Mit der NIS2-Umsetzung wird die digitale Integrität der Gremienarbeit zum Maßstab für persönliche Verantwortung und Haftung von Vorständen und Geschäftsführern.
Wer heute strukturiert handelt, reduziert nicht nur Cyberrisiken, sondern schützt sich auch persönlich.
Erfahren Sie mehr über NIS2-konforme Gremienarbeit in einer persönlichen Demo.
