Haftung von Geschäftsführern durch den Cyber Resilience Act
Der Cyber Resilience Act verpflichtet Geschäftsführer ab September zur IT-Sicherheit. Was bedeutet das für Unternehmen und wie sind sie darauf vorbereitet?
In der digitalen Welt von heute ist IT-Sicherheit nicht mehr nur eine Frage der Technik, sondern zunehmend auch eine der Verantwortung. Ab September 2024 müssen Geschäftsführer in der EU für die Cybersicherheit ihrer Unternehmen einstehen. Ein neues Gesetz, der Cyber Resilience Act, führt diese Regelung ein, die viele Fragen aufwirft. Wie sind wir an diesen Punkt gekommen? Und was bedeutet das konkret für die Unternehmen?
Die Anfänge der Cyber-Sicherheitspolitik
Die Anfänge der Cyber-Sicherheitspolitik in Europa reichen bis in die frühen 2000er Jahre zurück. Damals waren Cyberangriffe noch vergleichsweise selten und wurden oft als isolierte Vorfälle betrachtet. Die digitale Transformation begann, viele Unternehmen und Institutionen zu digitalisieren, was jedoch auch neue Sicherheitsrisiken mit sich brachte. Die Frage war: Wer sollte für mögliche Schäden verantwortlich gemacht werden?
Ein wachsendes Bewusstsein für Risiken
Mit der Zeit wurde das Bewusstsein für Cyberrisiken geschärft. Die erste wichtige gesetzliche Regelung war die Datenschutz-Grundverordnung (DSGVO), die 2018 in Kraft trat. Sie brachte eine Reihe von Anforderungen für den Umgang mit sensiblen Daten mit sich, ohne jedoch die Haftung von Geschäftsführern direkt zu thematisieren. Die DSGVO stellte ein grundlegendes Bewusstsein über den Schutz personenbezogener Daten her, fragte aber nicht direkt nach den Verantwortlichkeiten im Bereich der Cybersicherheit.
Der Vorstoß zu mehr Verantwortung
In den letzten Jahren nahm die Zahl der Cyberangriffe dramatisch zu. Hochkarätige Vorfälle, die großen Unternehmen und Regierungen schädigten, sorgten dafür, dass der Druck auf Gesetzgeber wuchs, klarere Regelungen zu schaffen. Hierbei stellte sich die Frage, ob Geschäftsführer nicht stärker in die Pflicht genommen werden sollten.
Der Cyber Resilience Act
Der Cyber Resilience Act wurde 2022 vorgeschlagen und zielt darauf ab, ein hohes Niveau an Cybersicherheit in der gesamten EU sicherzustellen. Im Kern sieht das Gesetz vor, dass Unternehmen Maßnahmen zur Risikominderung ergreifen müssen, um die Sicherheit ihrer Systeme zu gewährleisten. Geschäftsführern wird damit eine Verantwortung übertragen, die über die technische Ebene hinausgeht. Aber was bedeutet das konkret?
Haftung und Verantwortung
Ab September 2024 müssen Geschäftsführer nachweisen, dass sie angemessene Sicherheitsvorkehrungen getroffen haben, um sicherzustellen, dass ihre Systeme gegen Cyberbedrohungen gewappnet sind. Die Frage ist jedoch: Was sind „angemessene Sicherheitsvorkehrungen“? Wie können Geschäftsführer sicherstellen, dass sie für alle Eventualitäten gewappnet sind, ohne in eine Art von ständiger Alarmbereitschaft zu verfallen?
Die Unsicherheit, was genau erwartet wird, könnte Unternehmen dazu führen, übermäßige Kosten zu verursachen. Ist es wirklich machbar, alle denkbaren Sicherheitsrisiken zu minimieren? Gibt es nicht fundamental unausweichliche Risiken in der digitalen Welt, die selbst bei besten Vorsorgemaßnahmen nicht ausgeschlossen werden können?
Der Druck wächst
Ein weiteres Problem bleibt die Frage der Schadenshöhe. Bei Cyberangriffen schlagen oft horrende Kosten zu Buche – sowohl in finanzieller als auch in reputativer Hinsicht. Werden Geschäftsführer für diese Kosten haftbar gemacht, oder wird der Druck auf den einzelnen Mitarbeiter, der für die IT-Sicherheit zuständig ist, zunehmen? Sind sie die ersten, die entlassen werden, wenn es zu einem Vorfall kommt?
In diesem Kontext bleibt abzuwarten, wie Gerichtsurteile im EU-Raum letztendlich die Haftung von Geschäftsführern auslegen werden. Wer ist tatsächlich verantwortlich, wenn ein Unternehmen unter einem Cyberangriff leidet? Könnte es letztlich zu einem Wettlauf kommen, der nicht nur die IT-Abteilungen sondern auch die Geschäftsführer in eine „fortlaufende Optimierung“ des Sicherheitsmanagements zwingt?
Fazit oder Ausblick?
Die Einführung des Cyber Resilience Act stellt einen bedeutenden Schritt in der Regulierung der Cybersicherheit dar. Ob das Gesetz jedoch die erhoffte Sicherheit bringt oder vielmehr ein zusätzliches Gewicht für Geschäftsführer darstellt, bleibt fraglich. Die Unsicherheit über die genauen Anforderungen und die Verantwortung, die damit einhergeht, könnte sowohl Unternehmen als auch Führungspersönlichkeiten in eine herausfordernde Lage bringen. Wie werden sie sich darauf vorbereiten? Und wie wird die Branche auf diese neue Verantwortung reagieren?