Neue Regeln: Cybersicherheit ist jetzt Chefsache

Die EU-Richtlinie NIS 2 lässt in Verbindung mit der im Finanzsektor geltenden DORA-Verordnung und der Norm ISO/IEC 27001:2022 für das Management von IT-Sicherheitssystemen keinen Raum für Zweifel: Cybersicherheit ist nicht mehr allein Sache der IT-Abteilung, sondern eine unternehmerische Aufgabe für die Geschäftsleitung. Vorstände und Geschäftsführer stehen für die Cybersicherheit in ihrem Unternehmen nun persönlich in der Verantwortung – und haften auch dafür. „Profil“ zeigt auf, was die neuen Regeln besagen.

Unternehmen sind zunehmend dediziertes Ziel von Ransomware, Cloud-Sicherheitslücken, Lieferkettenangriffen und Datenabflüssen. Der europäische Gesetzgeber hat darauf mit scharfen Vorgaben reagiert:

• Die Norm ISO/IEC 27001:2022 für Informations-Sicherheits-Managementsysteme (ISMS) verankert erstmals ein striktes Führungsmandat. Sie verlangt eine nachweisbare Beteiligung der obersten Geschäftsleitung an der Sicherheitsstrategie, der Ressourcenvergabe und der Beurteilung von Cyberrisiken des Unternehmens – ein Prüfstein, den Auditoren gezielt als erstes kontrollieren und bei Nichterfüllung entsprechend dokumentieren. 
• Studien zeigen, dass fehlende Führungseinbindung eine der Hauptursachen für Auditversagen und für operative Cybervorfälle ist.

Die Bedrohungslage ist dabei klar: Cybervorfälle bedrohen nicht nur die IT, sondern Produktionslinien, Lieferketten, Kundendaten, die Liquidität – und im schlimmsten Fall den Fortbestand des Unternehmens.

Mit der NIS-2-Richtlinie hat die EU einen Rechtsrahmen verabschiedet, der erstmals auf der Ebene des Managements ansetzt (siehe dazu auch den „Profil“-Beitrag in Ausgabe 3/2026, insbesondere zur Prüfung, ob Unternehmen von NIS 2 betroffen sind). Artikel 20 verpflichtet Vorstände und Geschäftsführungen dazu, Maßnahmen zum Risikomanagement von Cybervorfällen persönlich zu genehmigen und deren Umsetzung zu überwachen. Außerdem ermöglicht der Artikel die Haftung der Geschäftsleiter bei Verstößen gegen die NIS-2-Richtlinie. Zusätzlich verpflichtet diese alle Mitglieder der Geschäftsführung zu regelmäßigen Schulungen (mindestens einmal jährlich), damit sie Risiken identifizieren und bewerten können. Auch dies ist erstmals gesetzliche Pflicht.

Der Sanktionsrahmen bei Verstößen gegen die Richtlinie hat es in sich:

• Es drohen Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes des Unternehmens.
• Deutschland erlaubt in der nationalen Umsetzung der NIS-2-Richtlinie zusätzlich auch Managementverbote.
• Vorstände können bei grober Pflichtverletzung persönlich haftbar gemacht werden.

Die Botschaft der europäischen Richtlinie ist unmissverständlich: Cybersicherheit muss im Vorstand gesteuert werden. Es reicht nicht mehr, diese vom IT-Team des Unternehmens verwalten zu lassen.

Im Finanzsektor legt der Gesetzgeber noch strengere Maßstäbe an die Cybersicherheit. Die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) definiert Cyber- und Betriebsresilienz als Kernverantwortung des Managements. Artikel 5 verlangt, dass Vorstände und Geschäftsführer von Finanzinstituten

• für das gesamte Risikomanagement in der Informations- und Kommunikationstechnik (IKT) persönlich verantwortlich sind;
• die dazugehörigen Strategien, Toleranzlevel, Governance-Regeln und Budgets definieren,
• Business-Continuity- sowie Recovery-Programme genehmigen und prüfen;
• interne IKT-Audits steuern sowie
• Entscheidungen zu Drittparteien – inklusive Cloud-Providern – persönlich freigeben.

Die europäischen Bankaufsichtsbehörden haben 2024 zusätzlich harmonisierte technische Regulierungsstandards (Regulatory Technical Standard; RTS) und technische Durchführungsstandards (Implementing Technical Standard; ITS) veröffentlicht, die unter anderem Kriterien für schwerwiegende Sicherheitsvorfälle („major incidents“) definieren, etwa Schwellenwerte zur Anzahl betroffener Kunden, Ausfalldauer der Systeme und Datenverlusten. Damit verknüpft sind Vorgaben zu Meldeprozessen und Zeitfenstern. Diese Vorgaben ersetzen bisherige nationale Vorgaben – und machen Fehler im Meldeprozess angreifbar, auditierbar und sanktionierbar. Die Leitlinien der Bundesanstalt für Finanzdienstleistungsaufsicht betonen seit September 2024 explizit, dass DORA künftig als maßgebliches Regelwerk für die Aufsicht der IT-Sicherheit in Banken gilt und interne IT-Regelwerke (BAIT/VAIT) ersetzt. 

Die NIS-2-Verordnung führt für die Meldung von Cybersicherheitsvorfällen ein striktes, dreistufiges Meldeverfahren ein.

• Frühe Erstmeldung: Innerhalb von 24 Stunden, nachdem Unternehmen von einem Sicherheitsvorfall Kenntnis erlangt haben, müssen sie diesen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
• Folgemeldung: Innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls müssen die Unternehmen die Erstmeldung aktualisieren und detaillierte Informationen zum Geschehen sowie zur Ursache nachreichen.
• Abschlussmeldung: Spätestens einen Monat nach Erstmeldung des Vorfalls müssen die Unternehmen eine Abschlussmeldung mit einer ausführlichen Beschreibung des Sicherheitsvorfalls einreichen, sofern dieser bis dahin beendet ist. Ansonsten wird eine weitere Folgemeldung verlangt. 

Weitere Informationen, was Unternehmen wann melden müssen, gibt es auf der Webseite des BSI.

Aber Achtung: In bestimmten Fällen ist es mit der dreistufigen Meldung an das BSI nicht getan. Parallel verlangt die Datenschutz-Grundverordnung (DSGVO) eine Meldung spätestens nach 72 Stunden, wenn personenbezogene Daten betroffen sind. Bei Finanzunternehmen verkürzt die DORA-Verordnung die Frist für die Erstmeldung auf vier Stunden, wenn der Sicherheitsfall als „major incident“ klassifiziert wird. Zudem ist trotz überlappender Regelwerke jede einzelne Meldefrist zu beachten, Fehler können zu doppelten Bußgeldern führen.

Damit Unternehmen und insbesondere Finanzinstitute die kurzen Meldefristen auch im Notfall zuverlässig einhalten können, brauchen sie im Vorfeld getestete, dokumentierte und technisch unterstützte Prozesse – inklusive Wochenend- und Feiertagsbereitschaft. Ein Informationssicherheits-Managementsystem (ISMS) hilft dabei, jederzeit eine ausreichend schnelle Reaktionsfähigkeit zu gewährleisten.

Die Norm ISO/IEC 27001:2022 setzt den international anerkannten Rahmen für den Aufbau eines ISMS. Sie ist das technische und organisatorische Rückgrat, auf dem auch die Vorgaben von NIS 2 und DORA aufbauen. Für die Unternehmensleitung enthält die Norm einige kritische Klauseln:

• Klausel 5 fordert von der Unternehmensleitung eine nachweisliche Führungsrolle bei der Abwehr von Cybergefahren. Dazu zählen die strategische Ausrichtung, die Freigabe von Richtlinien (Policy) und Ressourcen sowie die interne Kommunikation.
• Klausel 6.1.3 verlangt einen dokumentierten Plan zur Abwehr von Cyberrisiken und eine Erklärung zur Anwendbarkeit. Das „Statement of Applicability“ (SoA) ist das zentrale Audit-Dokument für den Nachweis, wie Cyber-Abwehrmaßnahmen in das Unternehmen implementiert wurden. 

Zur Norm ISO/IEC 27001:2022 kommt die neue Norm ISO/IEC 27002:2022, die verschiedene Kontrollmechanismen für die Informationssicherheit behandelt. Mit 93 aktualisierten Kontrollen stärkt sie entscheidende Themen wie die Aufklärung und das Monitoring von Bedrohungen, Cloud-Kontrollen, die Verhinderung von Datenlecks und sichere Programmierung.

Was bedeuten die geballten Vorgaben und Normen zur Cybersicherheit für Vorstände und Geschäftsführer konkret?

1. Cyberrisiken sind explizite Unternehmensrisiken.
2. Sie bedrohen Umsatz, Reputation, Lieferketten und regulatorische Lizenzen.
3. Die Haftungsrisiken steigen massiv.
4. NIS 2 und DORA verankern eine persönliche Rechenschaftspflicht für die Geschäftsleitung.
5. Die Regulatoren fordern „Evidenz statt Absicht“: Prozesse, Daten und Entscheidungen zur Cybersicherheit müssen lückenlos nachweisbar sein.
6. Die Zeit zum Handeln ist jetzt – nicht nach dem ersten Vorfall.
7. Sowohl NIS 2 als auch DORA erfordern eine zwingende Vorbereitung auf den Ernstfall, um Fall des Falles die gesetzlichen und regulatorischen Vorgaben erfüllen zu können.

Daraus ergeben sich klare Handlungsempfehlungen für Vorstände und Geschäftsführungen:

1. Die Cyber-Governance sollte im Unternehmen verankert und Cyberrisiken ins Risikoregister des Vorstands aufgenommen werden. Dazu zählt eine formale Beschlussfassung zur Cyberstrategie sowie zu Toleranzleveln und Verantwortlichkeiten. Diese Themen sollten einmal im Quartal überprüft und der Vorstand dazu verpflichtend geschult werden.
2. Unternehmen sollten auf Basis der Norm ISO/IEC 27001:2022 ein Informationssicherheits-Managementsystem etablieren oder nachschärfen. Dazu zählt eine vollständige Risikoanalyse und die Erstellung eines Statement of Applicability (SoA). Kontrolllücken gemäß der Norm ISO/IEC 27002:2022 sind zu schließen, insbesondere in Bezug auf das Monitoring von Bedrohungen, Cloud-Kontrollen, die Verhinderung von Datenlecks und die sichere Programmierung.
3. Prozesse zur Reaktion auf Vorfälle und Meldeprozesse sollten gemäß den gesetzlichen Vorgaben (NIS 2, DORA, DSGVO) neu aufgesetzt werden. Dazu sollten Leitfäden zur Meldung von Vorfällen innerhalb der gegebenen Fristen von 24 beziehungsweise 72 Stunden definiert und jährlich getestet werden. Ebenso sind klare Eskalationswege bis hin zum Vorstand festzulegen sowie Automatismen zur Erkennung und Dokumentierung von Cybervorfällen zu implementieren.
4. Die Risiken von Drittpartien sind streng zu regulieren. Dazu zählt, die vertraglichen Mindestanforderungen gemäß NIS 2 und DORA zu prüfen sowie Konzentrationsrisiken, Cloud-Abhängigkeiten und Lieferketten zu analysieren. Dazu sollten Routinen eingeführt werden, wie die Übersicht über alle Entscheidungen behalten werden kann.
5. Pläne zum betrieblichen Kontinuitätsmanagement sowie zur Notfallwiederherstellung nach Ausfällen sollten modernisiert und durch die Geschäftsleitung freigegeben sowie jährlich getestet werden. Dazu sollte die Fähigkeit der Informations- und Kommunikationstechnik (IKT) zur Weiterführung des Betriebs gemäß ISO/IEC 27002 umgesetzt werden („IKT Readiness for Business Continuity“).

Die neuen europäischen und internationalen Standards signalisieren klar: Cyberrisiken sind strategische Risiken – und strategische Risiken gehören in das Vorstandsgremium. Unternehmen, die jetzt handeln, sichern ihre Compliance, ihre Wettbewerbsfähigkeit und ihre Resilienz in einer digitalisierten Wirtschaft.

Die GCS – Geno Corporate Services GmbH, eine 100-prozentige Tochter des Genossenschaftsverbands Bayern (GVB), unterstützt die bayerischen Genossenschaften bei der Umsetzung der NIS-2-Richtlinie. Dazu gehören folgende Bausteine:

• NIS-2-Betroffenheitsanalyse inklusive Feststellung einer eventuellen Betroffenheit
• Analyse der aktuellen Prozesse auf Lücken in Bezug auf die NIS-2-Anforderungen
• Durchführung von Risikoanalysen
• Anpassung der internen Prozesse gemäß der NIS-2-Richtlinie
• Anpassung und Erweiterung des betrieblichen Kontinuitätsmanagements (BCM)
• Testen von Notfall- und Wiederherstellungsplänen
• Evaluierung der Lieferanten und Sublieferanten
• Schulungen und Awareness-Trainings
• Die Bausteine können bei Bedarf in einem regelmäßigen Turnus wiederholt werden.

Kontakt zur GCS:

Banken, Unternehmen und Kommunen, die sich für die Leistungen der GCS – Geno Corporate Services GmbH interessieren, können diese gerne kontaktieren:

GCS – Geno Corporate Services GmbH

Türkenstraße 22-24

80333 München

Tel. + 49 89 2868 4150

E-Mail: mail(at)geno-cs.de
www.geno-cs.de

• Die Webseite der GCS – Geno Corporate Services GmbH