Geschäftsführer-Haftungsfalle: BRL berät bei NIS-2-Umsetzung

Beschränkte Haftung? Nicht mehr bei Cyberverstößen

Das neue Gesetz durchbricht zentrale Grundsätze der bisherigen Organhaftung. Nach § 38 NIS2UmsuCG ist es Gesellschaftern künftig untersagt, auf Regressansprüche gegen die Geschäftsführung zu verzichten. Damit fallen gleich drei bisherige Schutzmechanismen:

1.         Delegation schützt nicht mehr: Die Auslagerung von IT-Sicherheitsaufgaben an externe Dienstleister oder die interne IT-Abteilung entbindet die Geschäftsführung nicht von der Verantwortung. Die Geschäftsführung muss aktiv steuern, überwachen und dokumentieren.

2.         Zwingender Regress: Gesellschafter sind verpflichtet, bei Verstößen Schadensersatzansprüche gegen Geschäftsführer geltend zu machen.

3.         Grenzen der D&O-Versicherung: Bei grober Fahrlässigkeit droht der Verlust des Versicherungsschutzes.

„Viele Geschäftsführer wiegen sich noch in falscher Sicherheit. Mit Inkrafttreten des NIS2UmsuCG wird Cybersecurity jedoch zur persönlichen Haftungsfrage. Wer IT-Sicherheit lediglich delegiert, ohne sie aktiv zu steuern und zu dokumentieren, setzt sein Privatvermögen aufs Spiel“, warnt Stefan Pilarczyc, Head of Cybersecurity bei BRL. Die neuen Anforderungen gehen weit über technische Schutzmaßnahmen hinaus. So müssen Geschäftsführer künftig umfassende Risikoanalysen durchführen, Notfall- und Reaktionspläne etablieren, Schulungen organisieren, angemessene Budgets freigeben und sämtliche Maßnahmen lückenlos dokumentieren. Hinzu kommt eine strenge Meldepflicht: Sicherheitsvorfälle sind innerhalb von 24 Stunden nach formal klar vorgegebenen Regeln an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Verstöße können empfindliche Bußgelder nach sich ziehen.

Lieferketten unter Druck

Die Auswirkungen von NIS-2 reichen weit in die Wertschöpfungsketten hinein. Unternehmen etwa aus Maschinenbau, Chemie oder Logistik geben den regulatorischen Druck an ihre Zulieferer weiter. Wer kein belastbares IT-Sicherheitskonzept nachweisen kann, riskiert den Ausschluss aus bestehenden Lieferbeziehungen.

Cybersecurity kein IT-Projekt, sondern Chefsache

Die Umsetzung der NIS-2-Vorgaben ist kein isoliertes IT-Projekt, sondern sollte als umfassender Change-Management-Prozess verstanden werden. Er erfordert die Verzahnung von Rechtsberatung, Governance-Strukturen, Risikomanagement und technischer Expertise. „Unternehmen müssen jetzt handeln. Es geht nicht nur um IT-Schutzmaßnahmen, sondern um Organisationspflichten, Dokumentation und klare Verantwortlichkeiten auf Geschäftsleitungsebene. Wer frühzeitig Strukturen schafft, reduziert sein Haftungsrisiko erheblich“, so Stefan Pillarczyk, der gemeinsam mit seinen Kollegen aus dem Rechtsbereich von BRL Unternehmen und Geschäftsführungen bei der rechtssicheren Umsetzung der neuen Anforderungen, der Etablierung belastbarer Governance-Strukturen sowie bei der Haftungsprävention berät und unterstützt.

Über BRL

BRL ist eine international ausgerichtete Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern, die im Jahr 2006 gegründet wurde. Heute ist BRL mit rund 420 Mitarbeiterinnen und Mitarbeitern an den Standorten Hamburg, Berlin, Bochum, Hannover, Dortmund, Essen, München, Bielefeld und Düsseldorf vertreten. Über das Netzwerk Moore Global (internationales Netzwerk unabhängiger Wirtschaftsprüfungs- und Steuerberatungs-gesellschaften) ist BRL bestens aufgestellt, um auch für länderübergreifende Fragestellungen zuverlässige und effiziente Lösungen bereitzustellen.

Weitere Informationen unter: www.BRL.de