Bußgeld, Datensicherheit, Haftung – mit der Umsetzung der NIS2-Richtlinie ist Cybersicherheit endgültig ein Thema für die „Chefetage“. Nach monatelanger Verzögerung hat Deutschland die EU-Vorgaben nun in nationales Recht überführt, insbesondere durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz mit zentralen Änderungen im BSI-Gesetz. Die Aufregung ist groß, denn die neuen Pflichten treffen deutlich mehr Unternehmen als bisher – und das teils mit erheblichem Sanktionsrisiko. Während vielerorts über Technik, Prozesse und Meldepflichten diskutiert wird, gerät ein Aspekt schnell in den Hintergrund: Welche neuen Haftungsfragen ergeben sich für Geschäftsleiter? Und was bedeutet NIS2 konkret für D&O- und Cyber-Risiken in Deutschland?
Was ist die NIS2-Richtlinie?
Insgesamt ist das Bewusstsein für Cybersecurity in der deutschen Wirtschaft bereits erheblich gestiegen. Dies folgt schlicht der wirtschaftlichen Notwendigkeit; sind die Auswirkungen von Cyberangriffen für die Unternehmen doch vielfach gravierend. Der europäische Gesetzgeber hat diese Entwicklung unterstützt und die sog. NIS2 Richtlinie beschlossen. Sie soll vor dem Hintergrund europaweit und global vernetzter Prozesse und der zunehmenden Digitalisierung die erforderlichen Cybersicherheitsanforderungen an juristische und natürliche Personen angleichen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, in der gesamten Europäischen. Es geht also um die Harmonisierung von Standards zur Cybersicherheit.
Was wird geregelt?
Die Unternehmen, die von der geplanten Gesetzesänderung betroffen sind, haben verschiedene, je nach Einrichtungsart abgestufte, Pflichten zu erfüllen. Der Pflichtenkatalog umfasst
- eine Registrierungspflicht,
- eine Meldepflicht erheblicher Sicherheitsvorfälle (in Bezug auf Cyber- und Informationssicherheit),
- Risikomanagementmaßnahmen,
- die Teilnahme an einem Informationsaustausch,
Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen.
Was gilt für Geschäftsleiter und was bedeutet dies für den D&O-Versicherer?
Die Verantwortung für Risikomanagement für Fragen der Cybersicherheit wird im neuen BSIG explizit der Geschäftsleitung übertragen (§ 38 Abs. 1 BSIG). Dies ist aber zunächst aus haftungsrechtlicher Sicht keine Neuigkeit, da die Verantwortung für das Risikomanagement auch schon vor der NIS2-Umsetzung bei der Geschäftsleitung lag. Insoweit bestimmt § 38 Abs. 2 BSIG konsequenterweise auch eine Schulungspflicht der Geschäftsleiter – wollen diese Risikomanagement betreiben, erfordert dies eine inhaltliche Auseinandersetzung. Durch die Haftungsbrille ist auch das nicht neu, da ein Geschäftsleiter, der sich auf die Business Judgement Rule berufen möchten, ein Handeln auf „angemessener Informationsgrundlage“ beschreiben sollte.
Die Risikomanagementmaßnahmen, die das Unternehmen treffen, sind in § 30 BSIG geregelt. Dieser verlangt zunächst geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme zu vermeiden (§ 30 Abs. 1 BSIG): Absatz 2 konkretisiert dies erheblich, indem zum einen eine Orientierung am Stand der Technik gefordert wird und zum anderen ein konkreter Maßnahmenkatalog eingefügt ist. Insoweit sind die Anforderungen an die Unternehmen, auf die das Gesetz anzuwenden ist, erheblich gestiegen; spiegelbildlich wächst auch der Pflichtenkatalog der Geschäftsleiter im Rahmen der Pflicht zur Implementierung eines Risikomanagement-Systems.
Aber müssen sich nun alle D&O-Versicherer „warm anziehen“? Entsprechende Inanspruchnahmen werden sicherlich zunehmen, aber das Freistellungsrisiko wird im Einzelfall zu bewerten sein und vielfach eher gering sein. Insoweit werden sich jedenfalls im Zusammenhang mit einem kausalen Schaden zumeist erhebliche Hürden für die Anspruchsteller ergeben. Herausfordernd wird aber dennoch sicherlich die Abwehr und Schadenbearbeitung dieser stark technisch geprägten Sachverhalte werden. Daher lautet unsere Antwort auf die vorstehende Frage (für Juristen wenig kreativ): „Es kommt darauf an.“
Und was gilt für den Cyberversicherer?
Jede Maßnahme, die das Bewusstsein für Cybersicherheit stärkt und damit zur Erhöhung des Sicherheitsniveaus beiträgt, ist eine gute Nachricht für den Cyberversicherer. Unmittelbar wird die NIS2 den Cyberversicherer aber nur betreffen, wenn die von ihm abgeschlossenen Verträge einer Sicherheitsklausel enthält („Einhaltung aller gesetzlichen, behördlichen und vertraglich vereinbarten Sicherheitsvorschriften“). Entsprechende Klauseln wurden vom BGH in 2024 als wirksam bestätigt, werden aber den weichen Markt wohl vorerst nicht erobern. Enthält ein vertrag diese Klausel, strahlt die NIS2 natürlich auch auf den konkreten Vertrag aus, sofern die jeweilige Versicherungsnehmerin in den Anwendungsbereich der neuen Regelungen im BSIG fällt.
Auch wenn die Bedingungen diese Regelung nicht vorsehen, lohnt sich aber jedenfalls für das Underwriting eine Auseinandersetzung mit dem Anwendungsbereich der neuen Regelungen – denn das zu erwartende Sicherheitsniveau dürfte bei einer Versicherungsnehmerin, die nunmehr § 30 BISG einzuhalten hat, deutlich umfassender sein als bei anderen Unternehmen. Entsprechend bietet es sich an, dies auch im Underwriting-Prozess abzubilden.
Autor:innen: Judith Schöningh, LL.M. und Dr. Franz König, LL.M.
