Ja, Führungskräfte können gemäß der NIS2-Richtlinie für Verstöße gegen die Cybersicherheit haftbar gemacht werden.

• Die Quellen geben an, dass die Mitgliedstaaten sicherstellen müssen, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die Cybersicherheitsmaßnahmen genehmigen und deren Umsetzung überwachen.
• Die Leitungsorgane können zur Verantwortung gezogen werden, wenn die von ihnen geleitete Einrichtung gegen Artikel 21 der Richtlinie verstößt, der die Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit festlegt, die von den Einrichtungen zu ergreifen sind.
• Die Mitgliedstaaten müssen zudem sicherstellen, dass die für eine wesentliche oder wichtige Einrichtung verantwortlichen Personen, einschließlich der gesetzlichen Vertreter sowie der Personen mit Entscheidungs- oder Kontrollbefugnissen, über die Befugnis verfügen, die Einhaltung der NIS2 sicherzustellen.
• Diese Personen können haftbar gemacht werden, wenn sie ihrer Pflicht zur Sicherstellung der Einhaltung der Richtlinie nicht nachkommen.
• Die Quellen betonen jedoch auch, dass für Einrichtungen der öffentlichen Verwaltung weiterhin die nationalen Gesetze zur Haftung von Beamten sowie gewählten oder ernannten Amtsträgern gelten.

NIS2: Überlegungen

Die Richtlinie führt Bestimmungen ein, um Führungskräfte für Verstöße gegen die Cybersicherheit verantwortlich zu machen, mit dem Ziel, ein stärkeres Augenmerk auf die Cybersicherheit auf den höchsten Ebenen der Unternehmensführung zu fördern.

Darüber hinaus sieht die Richtlinie vor, dass Leitungsorgane eine angemessene Schulung zum Risikomanagement im Bereich der Cybersicherheit erhalten. Diese Anforderung soll sicherstellen, dass Führungskräfte über die notwendigen Kompetenzen verfügen, um Cyberbedrohungen zu verstehen und anzugehen.

Die Sanktionen bei Nichteinhaltung der NIS2 können erhebliche Bußgelder, betriebliche Einschränkungen und persönliche Haftung umfassen. Für Organisationen, die einen Weg zur Anpassung an die NIS2-Richtlinie strukturieren möchten, ist es sinnvoll, mit einer Bewertung der bereits implementierten Maßnahmen und der zu schließenden Lücken zu beginnen. Die Mitgliedstaaten müssen wirksame Durchsetzungsmaßnahmen festlegen, um sicherzustellen, dass die Einrichtungen die Anforderungen an die Cybersicherheit erfüllen.

Ein weiterer relevanter Aspekt betrifft die Notwendigkeit einer kontinuierlichen Überwachung durch die Leitungsorgane. Die Richtlinie sieht vor, dass die ergriffenen Maßnahmen regelmäßig überprüft und aktualisiert werden, um auf die Entwicklung von Cyberbedrohungen zu reagieren. Dieser dynamische Ansatz trägt dazu bei, hohe Sicherheitsstandards über die Zeit aufrechtzuerhalten.

Schließlich fördert die NIS2 die Zusammenarbeit zwischen den regulierten Einrichtungen und den zuständigen Behörden, um die allgemeine Cyber-Resilienz auf europäischer Ebene zu verbessern. Diese Kooperation umfasst den Austausch von Informationen über Bedrohungen und bewährte Verfahren für das Cybersicherheitsmanagement. Um den regulatorischen Rahmen weiter zu vertiefen, ist es auch nützlich, sich darüber zu informieren, was das Hauptziel der NIS2-Richtlinie ist.

[Callforaction-NIS2-Footer]