NIS-2-Richtlinie – Eine Haftungsfalle für Geschäftsleiter?
Seit dem 16. Januar 2023 ist die NIS-2-Richtlinie in Kraft und definiert EU-weite Mindeststandards zum Schutz der Netz- und Informationssicherheit in kritischen Sektoren. Sie soll bis zum 17. Oktober 2024 durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Deutschland umgesetzt werden. Neben Pflichten zur Gewährleistung einer adäquaten Cyber-Sicherheit implementiert sie auch eine damit einhergehende persönliche Haftung von Unternehmensorganen. Haftungsverschärfend wirkt sich dabei insbesondere das Verbot von Haftungsverzichten aus, welches wohl auch die Unwirksamkeit von Haftungsfreistellungen und -begrenzungen im Hinblick auf Schadenersatzansprüche, die aus Verletzungen der NIS-2-Pflichten resultieren, nach sich ziehen dürfte. Damit bleibt Unternehmensleitern betroffener Unternehmen nur eine Möglichkeit, ihr persönliches Haftungsrisiko zu beschränken: der Abschluss einer D&O-Versicherung.
NIS-2-Richtlinie und ihre Umsetzung in Deutschland
Unternehmen werden mittlerweile beinahe täglich mit Cyber-Gefahren und ihren Auswirkungen konfrontiert. Europaweite und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Wirtschaftsbereiche zu einer höheren Anfälligkeit durch externe Faktoren. Gerade die IT in kritischen Anlagen und Unternehmen in infrastrukturerhaltenden Sektoren spielt dabei eine zentrale Rolle. So heißt es in der Begründung zum NIS2UmsuCG: „Ihre Sicherheit und Resilienz bilden die Grundlage für die Versorgungssicherheit und das Funktionieren der Marktwirtschaft. Eine Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren der digitalen Welt ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland robust und leistungsfähig zu halten. […] Ziel der NIS-2-Richtlinie ist daher die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll.“
Die Umsetzung der NIS-2-Richtlinie ins nationale Recht müsste nach den Vorgaben der EU bis zum 17. Oktober 2024 erfolgen. Ob die Umsetzungsfrist eingehalten werden kann, ist aktuell noch ungewiss. Zwar lässt der aktuelle Gesetzentwurf des NIS-2-Umsetzungsgesetzes eine Umsetzung in nationales Recht erst Anfang 2025 vermuten, fest steht aber, dass er eine erhebliche Erweiterung des Kreises betroffener Unternehmen einerseits und der Anforderungen und Pflichten im Hinblick auf IT-Sicherheitsstandards sowie der damit einhergehenden Haftung andererseits mit sich bringen wird. Eine Übergangsfrist für die Umsetzung der Maßnahmen ist derzeit nicht vorgesehen. Damit werden NIS-2-Pflichten betroffene Unternehmen und ihre Organe unmittelbar nach Inkrafttreten treffen.
Pflichten und Haftung
Die NIS-2-Richtlinie verpflichtet betroffene Unternehmen zur Einhaltung von Mindeststandards in der Cyber-Sicherheit. Diese umfassen Risikomanagement und die Implementierung von Maßnahmen wie Richtlinien, Incident Management, Business Continuity Management, Sicherheit in der Lieferkette, Schwachstellenmanagement, Kryptographie, Personalsicherheit, Zugangskontrollen und mehr. Abhängig von der Einstufung eines Unternehmens können zusätzliche Pflichten wie verpflichtende Audits oder Registrierungs- und Meldepflichten gegenüber Aufsichtsbehörden oder der Öffentlichkeit hinzukommen.
Gänzlich neu sind die Anforderungen aus NIS-2 für Unternehmen nicht, dennoch fallen sie weitreichender als bisher aus. Dazu kommt die umgedrehte Meldepflicht der Richtlinie, was bedeutet, dass Unternehmen proaktiv prüfen müssen, ob sie unter die NIS-2-Richtlinie fallen und entsprechend Nachweise über die Sicherheitsstandards proaktiv einreichen müssen.
Damit kommen erhöhte Anforderungen auch auf die Geschäftsleiter betroffener Unternehmen zu. Denn nach Artikel 20 der NIS-2-Richtlinie haben Mitgliedsstaaten sicherzustellen, dass die „Leitungsorgane wesentlicher und wichtiger Einrichtungen die von diesen Einrichtungen zur Einhaltung von Artikel 21 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für Verstöße gegen diesen Artikel durch die betreffenden Einrichtungen verantwortlich gemacht werden können“. Die Umsetzung dieser Vorschrift ins nationale Recht soll durch § 38 BSI-Gesetz erfolgen. Dieser übernimmt im ersten Absatz den Wortlaut der NIS-2-Richtlinie und regelt im Absatz 2 zusätzlich, dass ein Verzicht eines betroffenen Unternehmens auf Ersatzansprüche aufgrund einer Verletzung der Pflichten nach Absatz 1 oder ein Vergleich der Einrichtung über diese Ansprüche unwirksam sein soll.
Was bedeutet das für die Haftung von Geschäftsleitern betroffener Unternehmen?
- Die Einhaltung der mit NIS-2 einhergehenden Pflichten ist Teil unternehmerischer Compliance. Geschäftsleiter betroffener Unternehmen sind verpflichtet, dafür Sorge zu tragen, dass die von der NIS-2-Richtlinie vorgeschriebenen Maßnahmen in ihrem Unternehmen umgesetzt werden. Auch bei Einschaltung von Hilfspersonen bleibt das Leitungsorgan letztverantwortlich.
- Verletzen Geschäftsleiter die mit der NIS-2-Richtlinie einhergehenden Pflichten, haften sie nach den allgemeinen gesetzlichen Haftpflichtbestimmungen mit ihrem eigenen Vermögen für Schäden, die aufgrund der Nichteinhaltung der Anforderungen der NIS-2 entstehen. Die Binnenhaftung der Organe ergibt sich also – wie auch bei der Verletzung anderer Governance-Pflichten – aus § 43 Abs. 2 GmbHG für GmbH-Geschäftsführer, § 93 Abs. 2 AktG für Vorstände von Aktiengesellschaften oder aus spezialgesetzlichen Vorschriften für Geschäftsleiter anderer Gesellschaftsformen.
- Einem betroffenen Unternehmen ist es gesetzlich verwehrt, auf die Geltendmachung von Schadenersatzansprüchen gegen seine Unternehmensorgane zu verzichten oder einen Vergleich darüber zu schließen. Anders als bei der Verletzung anderer Governance-Pflichten steht es nicht im Ermessen des betroffenen Unternehmens, Schäden wegen Nichteinhaltung der Anforderungen der NIS-2-Richtlinie gegen seine Unternehmensorgane geltend zu machen und durchzusetzen. Damit dürften nicht nur Verzichte und Vergleiche unwirksam sein, sondern auch Haftungsfreistellungen und -begrenzungen, Generalbereinigungen und sogar Entlastungen in Bezug auf diese Schäden nicht wirksam vereinbart oder erteilt werden können. Eine Ausnahme macht der Gesetzgeber lediglich bei gerichtlich vorgeschlagenen Vergleichen: Diese sollen weiterhin zulässig sein, da in dem Fall davon ausgegangen werden könne, dass das Entgegenkommen des betroffenen Unternehmens grundsätzlich in einem angemessenen Verhältnis zu dem prozessualen Risiko stehe.
Kommt es also zu Verletzungen von organschaftlichen Pflichten aus der NIS-2-Richtlinie, sollen altbewährte Schutzmechanismen, wie in Anstellungsverträgen vereinbarte Haftungsfreistellungen oder -begrenzungen, nicht greifen. Auch erteilte Entlastungen dürften dem Unternehmensorgan diesbezüglich nicht helfen, genauso wenig wie ein Verzicht auf die Geltendmachung durch das Unternehmen. Betrachtet man zusätzlich das hohe Maß an Anforderungen, die derzeit noch nicht einmal verbindlich gesetzlich geregelt sind, nach dem Inkrafttreten des NIS2UmsuCG aber unmittelbar implementiert sein müssen, erscheint die NIS-2-Richtlinie als eine echte Haftungsfalle für Leitungsorgane der in Deutschland rund 30.000 betroffenen Unternehmen.
Adäquater Versicherungsschutz ist unumgänglich
Eine Lösung des Problems scheint der Gesetzgeber selbst zu nennen. So heißt es in der Begründung zum § 38 BSI-Gesetz: „Die Regelung soll nicht die Möglichkeit einschränken, das Haftungsrisiko durch Abschluss einer sog. D&O-Versicherung zu versichern.“
Denn Schadenersatzansprüche wegen Verletzungen von Pflichten aus NIS-2 fallen in den Anwendungsbereich der D&O-Versicherung. Unabhängig davon, ob es sich um eine Unternehmens-D&O-Police oder eine persönliche D&O-Police handelt, wird mit dieser das persönliche Haftungsrisiko aus der beruflichen Tätigkeit von Unternehmensleitern versichert. Wird einem Organ die Verletzung von Pflichten vorgeworfen und ein Anspruch auf Ersatz des durch die vorgeworfene Pflichtverletzung entstandenen Vermögensschadens gestellt (Versicherungsfall), ist es die Aufgabe des D&O-Versicherers die Haftungsfrage zu prüfen, unberechtigte Ansprüche gegen den Manager abzuwehren und – sollte die Abwehr nicht gelingen – den Schadenersatz für den Manager zu leisten.
Dabei greift zunächst die Unternehmens-Police. Erst wenn die Deckungssumme dieser erschöpft ist und der betroffene Manager seine Persönliche D&O-Versicherung involvieren möchte, gewährt auch diese Versicherungsschutz.
Ergänzend zu diesen typischen Funktionen einer Haftpflichtversicherung gibt es in aller Regel weitere Deckungsbestandteile, die den Manager in bestimmten Situationen schützen können (z.B. Übernahme der Rechtskosten bei vorzeitiger Beendigung des Anstellungsvertrages im Vorfeld eines Schadenersatzanspruchs, Strafrechtsschutz, Kosten zur Minderung von Reputationsschäden, etc.).
Fazit:
Ein umfassender Versicherungsschutz stellt für Leitungsorgane die einzige Möglichkeit dar, das Risiko der persönlichen Haftung für Schäden wegen Verletzung von NIS-2-Pflichten zu beschränken. Es sollte daher gewährleistet sein, dass eine D&O-Versicherung mit einem weiten Deckungsschutz, einer adäquaten Versicherungssumme und auskömmlichen Nachmeldefristen zu Gunsten der Geschäftsleiter betroffener Unternehmen besteht. Zur Gewährleistung eines adäquaten Versicherungsschutzes sollte diese durch eine Persönliche D&O-Versicherung, eine Strafrechtsschutz-Versicherung sowie eine Vertrauensschadenversicherung ergänzt werden.
Nutzen Sie auch gerne unseren Informationsflyer zum Herunterladen und Abspeichern. Download
Das folgende Bild ist für den Nachdruck unter dem Vorbehalt der redaktionellen, nicht kommerziellen Nutzung freigegeben.
Beata Drenker | (Pressefoto)
Bildnachweis: Finlex GmbH
