Cybersicherheit ist jetzt eine Vorstandsangelegenheit
NIS2 markiert einen Paradigmenwechsel: Cybersicherheit ist nicht mehr eine Angelegenheit, die der IT-Abteilung überlassen werden kann. Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das am 17. Oktober 2024 in Kraft trat, haben Vorstand und Geschäftsführung eine explizite, persönliche Verantwortung für die Cybersicherheit der Organisation.
Es geht nicht nur darum, Bußgelder zu vermeiden. Führungskräfte, die ihre Verantwortung ernst nehmen, bauen Organisationen auf, die widerstandsfähiger sind — und glaubwürdiger für Kunden, Partner und Investoren.
Schlüsselfrage: Kann Ihr Vorstand heute die drei wichtigsten Cyberrisiken der Organisation beschreiben und wie sie gehandhabt werden? Falls nicht, gibt es Arbeit zu tun.
Was sagt das Gesetz?
NIS2 Artikel 20 — Führungsverantwortung:
- Die Führung soll die erforderlichen Cybersicherheitsmaßnahmen genehmigen
- Die Führung soll die Umsetzung dieser Maßnahmen überwachen
- Die Führung kann bei Verstößen haftbar gemacht werden
- Die Führung soll Schulungen absolvieren, um Risiken bewerten zu können
- Schulungen sollen regelmäßig dem Personal angeboten werden
Diese Verantwortung kann nicht delegiert werden.
Die fünf Hauptaufgaben des Vorstands
- Cybersicherheitsrichtlinie genehmigen Der Vorstand soll die übergreifende Cybersicherheitsrichtlinie der Organisation formell genehmigen. Die Richtlinie soll Risikomanagement, Incident Management, Business Continuity und Lieferantensicherheit abdecken. Die Genehmigung soll im Vorstandsprotokoll dokumentiert werden.
- Risikomanagement sicherstellen Der Vorstand ist dafür verantwortlich, dass ein systematischer Risikomanagementprozess vorhanden ist. Das bedeutet, dass Risiken identifiziert, analysiert, behandelt und regelmäßig verfolgt werden. Berichte über die Hauptrisiken sollen den Vorstand erreichen.
- Cybersicherheitsschulung absolvieren Jedes Vorstandsmitglied und jede Führungskraft soll eine Schulung absolvieren. Das Ziel ist, Risiken identifizieren und bewerten zu können, ob Sicherheitsmaßnahmen angemessen sind. Die Schulung soll für das Geschäft relevant sein.
- Umsetzung überwachen Es reicht nicht, nur zu genehmigen — der Vorstand soll auch verfolgen, dass Maßnahmen tatsächlich umgesetzt werden. Das erfordert regelmäßige Berichterstattung und KPIs, die die Entwicklung zeigen.
- Vorfälle auf Führungsebene handhaben Bei bedeutenden Vorfällen soll die Führung informiert werden und Entscheidungen treffen. Die Vorfallsmeldung an das BSI und andere zuständige Behörden innerhalb von 24 Stunden erfordert eine funktionierende Eskalationskette.
Was passiert bei mangelnder Compliance?
Bußgelder bis zu 10 Millionen Euro oder 2% des globalen Umsatzes für wesentliche Einrichtungen. Für wichtige Einrichtungen gelten 7 Millionen Euro oder 1,4%.
Das BSI und andere Aufsichtsbehörden können die Veröffentlichung von Verstößen verlangen und öffentliche Erklärungen abgeben, die verantwortliche Personen identifizieren.
Führungskräfte können persönlich haftbar gemacht werden. In schwerwiegenden Fällen können Personen von Führungsrollen in NIS2-erfassten Organisationen ausgeschlossen werden.
Organisationen mit mangelnder Compliance können verstärkter Aufsicht unterliegen, einschließlich regelmäßiger Prüfungen und Berichtspflichten.
Praktische Tipps für Vorstandssitzungen
Cybersicherheit als festen Tagesordnungspunkt strukturieren
Cybersicherheit sollte nicht nur diskutiert werden, wenn etwas schief gelaufen ist. Machen Sie es zu einem festen Tagesordnungspunkt:
- Vierteljährlich: Übergreifender Statusbericht, Hauptrisiken, laufende Initiativen
- Jährlich: Durchsicht der Cybersicherheitsrichtlinie, Genehmigung des Jahresplans
- Bei Bedarf: Vorfälle, größere Änderungen, neue Anforderungen
Struktur des Berichts
Ein guter Cybersicherheitsbericht für den Vorstand enthält:
1. Status quo und Reifegrad
- Wo stehen wir im Vergleich zu den NIS2-Anforderungen?
- Wie sehen wir im Vergleich zur Branche aus?
2. Hauptrisiken
- Was sind die drei bis fünf größten Risiken?
- Wie wahrscheinlich sind sie? Was sind die Konsequenzen?
3. Ergriffene Maßnahmen
- Was haben wir seit dem letzten Mal getan?
- Hatten wir Vorfälle? Wie wurden sie gehandhabt?
4. Laufende Initiativen
- Welche Projekte laufen?
- Sind wir im Zeit- und Budgetplan?
5. Ressourcenbedarf
- Benötigen wir mehr Ressourcen?
- Gibt es Kompetenzlücken?
Fragen, die der Vorstand stellen sollte
- Was sind unsere kritischsten Systeme und Daten?
- Wie schnell können wir uns von einem Ransomware-Angriff erholen?
- Wie handhaben wir die Sicherheit unserer Lieferanten?
- Haben wir unser Incident Management im letzten Jahr getestet?
- Erfüllen wir alle NIS2-Anforderungen? Falls nicht, was fehlt?
Dashboard und KPIs für die Führung
Ein effektives Führungsdashboard gibt Überblick, ohne in Details zu ertrinken:
| KPI | Beschreibung | Ziel |
|---|---|---|
| Compliance-Level | Anteil erfüllter NIS2-Anforderungen | 100% |
| Kritische Risiken | Anzahl offener kritischer Risiken | 0 |
| Vorfälle | Anzahl bedeutender Vorfälle | Abwärtstrend |
| Patch-Level | Anteil Systeme mit aktuellen Patches | >95% |
| Schulung | Anteil Personal mit absolvierter Schulung | 100% |
| Lieferanten | Anteil geprüfter kritischer Lieferanten | 100% |
Häufige Fehler, die zu vermeiden sind
NIS2 macht kristallklar: Die Verantwortung liegt bei der Führung. Die operative Arbeit zu delegieren ist in Ordnung, aber die Verantwortung kann nicht wegdelegiert werden.
Eine einstündige generische Präsentation reicht nicht. Die Schulung soll substantiell genug sein, dass die Führung tatsächlich Risiken und Maßnahmen bewerten kann.
Nur zu handeln, wenn etwas schief geht, ist zu spät. Proaktives Risikomanagement und regelmäßige Nachverfolgung sind der Schlüssel.
Wenn es nicht im Protokoll steht, ist es nicht passiert. Dokumentieren Sie Vorstandsentscheidungen, Genehmigungen und die präsentierten Informationen.
Nächste Schritte: Prüfen Sie, ob Ihre Organisation von NIS2 erfasst wird und lesen Sie mehr über alle NIS2-Anforderungen in unserer Rahmenwerksübersicht.
So kann Securapilot helfen
Securapilot gibt der Führung die Werkzeuge, die zur Erfüllung der NIS2-Anforderungen benötigt werden:
- Führungsdashboard — Überblick über Compliance-Status, Risiken und Vorfälle
- Automatisierte Berichte — Vorstandsberichte mit dem richtigen Detaillierungsgrad
- Risikomanagement — Nachverfolgbarkeit für alle Risiken und Entscheidungen
- Dokumentation — Nachweis von Genehmigungen und Nachverfolgung
- Incident Management — Eskalation und Berichterstattung innerhalb der Zeitanforderungen
Buchen Sie eine Demo und sehen Sie, wie wir Ihrem Vorstand helfen können, die Kontrolle über die Cybersicherheit zu übernehmen.
Häufig gestellte Fragen
Kann der Vorstand die Cybersicherheitsverantwortung delegieren?
Nein, nach NIS2 kann die Führungsverantwortung für Cybersicherheit nicht delegiert werden. Der Vorstand muss aktiv Maßnahmen genehmigen und die Umsetzung überwachen. Man kann die operative Arbeit delegieren, aber die Verantwortung verbleibt bei der Führung.
Welche Schulung ist für den Vorstand erforderlich?
NIS2 verlangt, dass die Führung regelmäßige Cybersicherheitsschulungen absolviert, um Risiken identifizieren und Sicherheitsmaßnahmen bewerten zu können. Die Schulung soll an die Geschäftstätigkeit und Risiken der Organisation angepasst sein.
Können Vorstandsmitglieder persönlich haftbar gemacht werden?
Ja, NIS2 ermöglicht die persönliche Haftung von Führungskräften bei schwerwiegenden Verstößen. In extremen Fällen können Personen von Führungsrollen ausgeschlossen werden. Dies ist eine bedeutende Abweichung von der bisherigen Praxis.
Wie oft sollte der Vorstand Cybersicherheit behandeln?
Es gibt keine spezifische Anforderung, aber bewährte Praxis ist eine vierteljährliche Berichterstattung an den Vorstand plus außerordentliche Sitzungen bei Vorfällen. Cybersicherheit sollte ein fester Tagesordnungspunkt des Vorstands sein.
