25.03.2026 |

Pflichten umsetzen – Das ist keine Kür!

Die neuen gesetzlichen Vorgaben zur Cybersicherheit sind schon länger in Kraft. Nicht wenige Firmen unterliegen dem Irrtum, dass die Maßgaben für sie nicht gelten. In unserem ersten Teil haben wir berichtet, wer doch darunterfällt. Hier nun die Pflichten der betroffenen Companies. Und zu dem Novum, dass Mitglieder der Geschäftsführung die Schulbank drücken müssen. Wer schwänzt, kann mit dem eigenen Portomanie in die Haftung genommen werden.

 

NIS-2 ist das Schlagwort. Konkret wird es für Firmenlenker aber im „Gesetz über das Bundesamt für Sicherheit und über die Sicherheit in der Informationstechnik von Einrichtungen“ (kurz „BSIG neue Fassung“). Dort ist geregelt, was Unternehmen zu tun haben, wenn sie zur so genannten „kritischen Infrastruktur“ gehören. Welche Firmen darunterfallen, lesen Sie hier.

Gehört das Unternehmen dazu, stehen zahlreiche Pflichten an. Die sind nicht Ohne. Und auch keine Kür und auch kein „nice to have“. Erfolgt kein Handeln, kann es Geldbußen hageln, die es in sich haben. Nochmals zur Erinnerung: Bis zu 2 Prozent des weltweit erzielten Umsatzes des letzten Geschäftsjahres (siehe hier bei uns noch einmal).

 

Cyberabwehr durch Risikomanagement

Damit Unternehmen der kritischen Infrastruktur „widerstandsfähig“ („resilient“) sind, statuiert § 30 Absatz 2 BSIG neue Fassung ein straffes Risikomanagement.

Zum Kanon der rechtsverbindlichen 10 Geboten gehören:

  1. „Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik.
  2. Bewältigung von Sicherheitsvorfällen.
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement.
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern.
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen.
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik.
  7. Grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik.
  8. Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren,
  9. Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen.
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung“.

 

GF muss auf die Schulbank

  • Nicht selten sieht es im Unternehmen so aus, das die Compliance-Abteilung oder der Datenschutzbeauftragte die GF anfunkt und zwingende Maßnahmen zur Umsetzung der gesetzlichen Obliegenheiten anmahnt. Dann und Wann indes ohne Gehör. Stellen Führungskräfte hier die Ohren auf Durchzug, sollten die Lauscher jetzt aber nach § 38 Absatz 3 BSIG neue Fassung klingeln. Dort heißt es wortwörtlich: „Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können“.Heißt übersetzt: Schulbank drücken ist ein Muss. Knallt es, ist die persönliche Haftung der Führungsriege nicht weit. Will keiner. Und Fortbildung kann nie schaden.

 

 

Von Prof. Dr. jur. Noogie C. Kaufmann (Master of Arts)

AI-Privacy-Expert (GDDcert. EU)

 

Bildnachweis: Das Bild wurde mit KI von Adobe Firefly erstellt.