D&O-Haftung und die neuen Cybergesetze

DORA und NIS2 haben ein Prinzip verankert, das für Vorstände und Geschäftsführer weitreichende Konsequenzen hat: Die Verantwortung für Cybersicherheit liegt persönlich beim Leitungsorgan. Sie lässt sich nicht vollständig an die IT-Abteilung, einen externen Dienstleister oder einen CISO delegieren.

Was die Gesetze verlangen

Die persönliche Verantwortung der Geschäftsleitung ist in mehreren Gesetzen konkret verankert:

• Art. 5 Abs. 2a DORA: Das Leitungsorgan trägt die letztendliche Verantwortung für das Management der IKT-Risiken.
• Art. 50 Abs. 5 DORA: Die zuständige Behörde kann Mitgliedern des Leitungsorgans verwaltungsrechtliche Sanktionen auferlegen.
• Art. 20 Abs. 1 NIS2: Die Leitungsorgane müssen die Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen. Sie können persönlich haftbar gemacht werden.
• Art. 32 Abs. 5 lit. b NIS2: Behörden können natürlichen Personen vorübergehend untersagen, Leitungsaufgaben wahrzunehmen - ein Tätigkeitsverbot als Eskalationsstufe.
• Art. 32 Abs. 6 NIS2: Natürliche Personen können für Verstöße gegen ihre Pflichten haftbar gemacht werden.
• Paragraph 38 Abs. 1-2 NIS2UmsuCG (deutsches Recht): Geschäftsleitungen sind verpflichtet, Risikomanagementmaßnahmen umzusetzen und zu überwachen. Sie haften persönlich für schuldhaft verursachte Schäden.
• Art. 5 Abs. 2 DSGVO: Der Verantwortliche muss die Einhaltung der Grundsätze nachweisen können ("Rechenschaftspflicht"). DSGVO-Bußgelder nach Art. 83 werden vom Unternehmen gezahlt, führen aber regelmäßig zu Regressforderungen gegen die Geschäftsleitung - insbesondere, wenn die Einhaltung technischer und organisatorischer Maßnahmen nach Art. 32 nicht dokumentiert war.

Die Schulungspflicht

Beide Gesetze verlangen, dass Mitglieder der Leitungsorgane sich fortbilden:

• Art. 5 Abs. 4 DORA: Das Leitungsorgan muss ausreichende Kenntnisse und Fähigkeiten aktiv auf dem neuesten Stand halten.
• Art. 20 Abs. 2 NIS2: Mitglieder der Leitungsorgane müssen an Schulungen teilnehmen, um Risiken bewerten und Maßnahmen beurteilen zu können.
• Paragraph 38 Abs. 3 NIS2UmsuCG: Geschäftsleitungen müssen regelmäßig an Schulungen teilnehmen.

Das ist keine Empfehlung. Es ist eine gesetzliche Pflicht.

Warum die D&O-Versicherung oft nicht hilft

Viele Vorstände verlassen sich auf ihre D&O-Versicherung. Doch D&O-Policen schließen vorsätzliche Gesetzesverstöße typischerweise aus. Und genau hier liegt das Problem: Wenn ein Gesetz eine persönliche Pflicht zur aktiven Umsetzung und Überwachung verankert und ein Vorstand diese Pflicht nachweislich nicht erfüllt, handelt es sich nicht um einen Managementfehler. Es handelt sich um einen Gesetzesverstoß.

Die Konsequenz: Gerade die Fälle, in denen ein Vorstand die Versicherung am dringendsten bräuchte, sind die Fälle, in denen sie am wahrscheinlichsten nicht greift.

Was ein Vorstand tun muss

Aus den Gesetzen ergibt sich ein klares Pflichtenprofil:

• Risikomanagementmaßnahmen billigen und deren Umsetzung aktiv überwachen
• Regelmäßig an Schulungen teilnehmen und Kenntnisse nachweisen
• Die Software-Lieferkette kennen - einschließlich Open-Source-Abhängigkeiten
• Dokumentierte Entscheidungen treffen, wenn Risiken identifiziert werden
• Nachweise führen, die einem Auditor oder einer Behörde vorgelegt werden können

Was OTTRIA davon übernehmen kann

OTTRIA kann die persönliche Verantwortung eines Vorstands nicht ersetzen - das kann niemand. Was OTTRIA liefert, ist die operative Grundlage und die Dokumentation, auf der fundierte Entscheidungen getroffen werden können:

• Risikoanalyse und -bewertung aller Open-Source-Komponenten in Ihrer Lieferkette
• Maßnahmenprotokolle mit dokumentierten Ergebnissen pro Schwachstelle
• Entscheidungsvorlagen, die Handlungsoptionen und Risiken transparent machen
• Prüffähige Nachweise, die belegen, dass aktiv und systematisch gehandelt wird

Sie treffen die Entscheidungen. OTTRIA stellt sicher, dass Sie dafür eine belastbare Grundlage haben - und dass diese Grundlage dokumentiert ist.

Weiterlesen

• Cyber-Versicherung und Open-Source-Risiken
• Open Source hat keinen Vertragspartner
• Praktische Audit-Vorbereitung

Sie möchten verstehen, welche Pflichten konkret auf Sie zukommen und wie OTTRIA Sie dabei unterstützt? Vereinbaren Sie ein Erstgespräch.