Schutzschild gegen Haftungsrisiken : Wie die Rolle des CISO unter NIS-2 neu gedacht werden muss

Von Dennis-Kenji Kipker, Frankfurt/Main, und Julian Zaudig, Köln

In einer zunehmend digitalisierten Wirtschaft hat sich die Regulierung der IT-Sicherheit rasant entwickelt. Von der anfänglichen Fokussierung auf kritische Infrastrukturen (KRITIS) bis zur aktuellen NIS- 2-Richtlinie und dem nationalen deutschen Umsetzungsgesetz (NIS2UmsuCG) hat sich der Anwendungsbereich deutlich erweitert und erfasst nun weite Teile der deutschen und europäischen Wirtschaft (vgl. [1,2]). Kernpunkt dieser neuen Regulierungsansätze ist die persönliche Verantwortung der Geschäftsführung und betrieblichen Verantwortungsträger für IT-Sicherheitsmaßnahmen.

In diesem komplexen Spannungsfeld wandelt sich die Rolle des Chief-Information-Security-Officer (CISO) grundlegend: Vom technischen Experten wird er zum strategischen Brückenbauer zwischen IT, Recht und Unternehmensführung. Als unentbehrlicher Freund* des Geschäftsführers schützt er diesen vor Haftungsrisiken – eine Aufgabe, für die der Geschäftsführer zwingend auf die Expertise des CISO angewiesen ist.

Dieser Beitrag beleuchtet, wie die Integration von rechtlichen und technischen Aspekten zum Schlüssel zur Vermeidung von Haftungsrisiken wird. Die Autoren zeigen auf, wie ein strategisch positionierter CISO nicht nur zur rechtlichen Compliance beiträgt, sondern auch die Digitalisierung im Unternehmen aktiv unterstützt. In der neuen Ära der IT-Sicherheit wird der interdisziplinär agierende CISO zum unverzichtbaren Partner der Geschäftsleitung, indem er ein ganzheitliches, rechtlich konformes IT-Sicherheitskonzept gewährleistet.

Geschäftsleitung in der Haftung

Die Regulierung von IT-Sicherheit ist von einem tiefgreifenden Dilemma geprägt: Der Gesetzgeber steht vor der Herausforderung, im Gesetz Fundamente zu legen, ohne das endgültige Design eines rechtskonformen Informationssicherheits- Managementsystems (ISMS) zu kennen. Schließlich ist IT-Sicherheit kein Zustand, sondern ein hochindividueller, durch den Plan-Do-Check- Act-(PDCA)-Kreislauf dynamisierter Prozess des betrieblichen Risikomanagements. Der Gesetzgeber kann deshalb nicht konkret vorgeben, was er von einzelnen Betrieben fordert. Die gesetzlichen Anforderungen bleiben – wie jeder Branchenstandard und jede technische Norm zur IT-Sicherheit – hochgradig abstrakt und damit juristisch unbestimmt. Deshalb hat auch der Gesetzgeber den „Heiligen Gral der IT-Sicherheit“ noch nicht gefunden (vgl. [3]).

Toxische Mischung aus Legalitätspflicht und unbestimmten Rechtsvorschriften

Das NIS2UmsuCG will nunmehr den Geschäftsleitern mehr Verantwortung aufbürden: Durch die Diskussion um NIS-2 wird dabei auch außerhalb der juristischen Welt bekannt, dass Geschäftsleiter für unzureichende Sicherheitsmaßnahmen haften können. Die konkreten Voraussetzungen einer Haftung sind jedoch weder in der Richtlinie noch im Regierungsentwurf des neuen BSI-Gesetzes (BSIG) in der Fassung des NIS2UmsuCG [4] klar geregelt.

In Deutschland spielt hierbei die sogenannte Legalitätspflicht eine zentrale Rolle: Diese verpflichtet jeden Geschäftsleiter, für die Rechtskonformität der von ihm geleiteten juristischen Person zu sorgen. Teil dieser Pflicht ist die Legalitätskontrollpflicht (oft als Compliance bezeichnet), die eine Kontrolle der Arbeitsorganisation auf Rechtsverstöße fordert. Bei Verstoß gegen diese Pflicht haftet der Geschäftsleiter gegenüber der Gesellschaft.

Zwar gibt es Einschränkungen von dieser Pflicht, besonders bei unklarer Rechtslage, doch bieten diese Einschränkungen für die IT-Sicherheitspraxis derzeit kaum Erleichterung – nicht zuletzt auch deshalb, weil es an höchstrichterlichen Entscheidungen im IT-Sicherheitsrecht fehlt. Jede Einschränkung der Legalitätspflicht der Geschäftsleiter setzt zudem voraus, dass man sich zunächst ausreichend um die Prüfung des Rechts bemüht hat (sogenannte Rechtsermittlungspflicht). Eine interdisziplinäre IT-Sicherheitsorganisation, die auch rechtliche Aspekte umfassend berücksichtigt, fehlt jedoch aktuell noch in den meisten Unternehmen.

Verfügbarkeitssicherung anstelle von „Revolverheldenmentalität“

Dieser blinde Fleck ist indes nicht neu, ebenso wenig wie die Haftung von Geschäftsleitern für IT-Sicherheitsverstöße. Oft wurde sie schlicht nicht durchgesetzt oder, was häufiger der Fall sein dürfte, übersehen: Denn schon vor Inkrafttreten der aktuellen IT-Sicherheitsgesetze traf jeden Geschäftsleiter eine Pflicht zur Sicherheitsorganisation. Der wesentliche Unterschied lag darin, dass der Umgang mit den IT-Sicherheitsrisiken eine unternehmerische Entscheidung darstellte. Zumindest gemeinsam mit den Gesellschaftern durfte jeder Geschäftsleiter deshalb frei entscheiden, wie sicher die eigene IT sein sollte.

Durch die Regulierung ändert sich nun zweierlei: Erstens müssen die Mindestsicherheitsmaßnahmen bedingungslos eingehalten werden und zweitens hat sich die erforderliche Risikoneigung von Betrieben geändert. Demgemäß ist anstelle von „Revolverheldenmentalität“ in der Cybersicherheit nun bestmögliche Verfügbarkeitssicherung gefragt, um Haftungsrisiken zu vermeiden (vgl. [5]).

Außenhaftung von Geschäftsleitern

Die gesellschaftsrechtliche Legalitätspflicht führt bei Verstößen zu einer Innenhaftung gegenüber der Gesellschaft. Zusätzlich kann eine Außenhaftung gemäß § 823 Abs. 2 BGB entstehen, wenn ein Geschäftsleiter gegen ein sogenanntes Schutzgesetz verstößt. Ein Schutzgesetz ist eine Rechtsnorm, die den Schutz eines anderen bezweckt und nicht nur, wie jedes sinnvolle Gesetz, faktisch bewirkt. Die NIS-2-Richtlinie gibt den zentralen Vorschriften des BSIG – namentlich der Pflicht zu ausreichenden Sicherheitsmaßnahmen und den Meldepflichten – solchen Drittschutz bei, weil sie in ihrem Text auf den Schutz Dritter abstellt und Dritten außerdem einen Rechtsbehelf gegen unsichere Datenverarbeitung zugestehen will. Das ist auch bei der Auslegung des BSIG in der Fassung des NIS2UmsuCG künftig zu berücksichtigen (sog. unionsrechtskonforme Auslegung). Allerdings konzentriert die NIS-2-Richtlinie die Außenhaftung bei der juristischen Person und erfordert nicht, Geschäftsleiter dafür einstehen zu lassen.

Doch die Pflicht zur Meldung von IT-Sicherheitsvorfällen stellte schon vor NIS-2 ein wie zuvor skizziertes Schutzgesetz dar. Denn der Kommunikationsfluss zwischen BSI und Betreibern war seit jeher sternförmig ausgelegt: Betreiber sollten eigene Sicherheitsvorfälle an das BSI melden und im Gegenzug Informationen aus Meldungen anderer Betreiber erhalten. In solch einem System ist Drittschutz somit nicht nur Zweck, sondern vielmehr Grundlage des Austauschs. Allerdings galt schon seit NIS-1 ein Haftungsprivileg für aktive Meldungen, sodass ausschließlich unterlassene Meldungen eine Haftung nach sich ziehen konnten. Insoweit war schon lange richtig, dass ein Geschäftsleiter, der für ordentliche Meldewege sorgte, dies auch im eigenen Interesse unternahm (vgl. [6]).

Unklar ist nach NIS-2, ob das nationale Umsetzungsgesetz NIS2UmsuCG Geschäftsleiter auch für unzureichende IT-Sicherheitsmaßnahmen gegenüber Dritten persönlich haftbar macht. Dies sollte der Bundesgesetzgeber nicht vorsehen, darf er aber: Ansatzpunkt für eine solche Auslegung kann § 38 Abs. 1 BSIG-E sein, der die Umsetzungs-, Überwachungs- und Schulungspflichten der Geschäftsleiter zum Gegenstand hat. Der Gesetzgeber gibt zwar an, mit dieser Vorschrift lediglich die NIS-2-Richtlinie umsetzen zu wollen, der Gesetzestext geht jedoch darüber hinaus, weil Geschäftsleiter nun nicht nur – entsprechend Art. 20 Abs. 1 NIS-2 – billigen und überwachen müssen, sondern „umsetzen“ und überwachen.

Dass die Rechtsprechung diesen wichtigen Unterschied unbeachtet lässt, ist nicht von vornherein sicher: Denn dies setzt die Feststellung voraus, dass ein Redaktionsversehen vorliegt, der Gesetzgeber also nicht wollte, was er im Gesetzestext niederschrieb, das ist zwar naheliegend und in der Sache auch überzeugend, der Text des § 38 Abs. 1 BSIG-E weicht jedoch sehr auffällig von der Formulierung der NIS-2-Richtlinie ab. Außerdem war dies ausweislich der Gesetzesbegründung, welche die Begriffe korrekt verwendet, bewusst. Eine Rechtsansicht, die den strengen Wortlaut betont, wäre deshalb keinesfalls unvertretbar; es wäre wünschenswert, diesen Text im parlamentarischen Verfahren zu überarbeiten. Dies alles unterstreicht aber ebenso die Notwendigkeit für Geschäftsleiter, sich aktiv mit der IT-Sicherheit in ihren Unternehmen auseinanderzusetzen – bevor dies vor Gericht geschieht.

Rechtliche Bewertung von ISMS

Die gerichtliche Prüfung angemessener Sicherheitsmaßnahmen bei einem individuellen ISMS gleicht dem Versuch, die Qualität eines maßgeschneiderten Anzugs anhand einer Einheitsgröße zu beurteilen. In der nationalen Rechtsprechung zum betrieblichen Risikomanagement wurden solche Systeme bisher entsprechend an uneinheitlichen Maßstäben gemessen. Einige Gerichte behandelten die Angemessenheit des Risikomanagements als Tatfrage, andere erkannten einen Ermessensspielraum von Geschäftsleitern an.

Im Bereich der nach NIS-2 regulierten IT-Sicherheit wird jedoch der Europäische Gerichtshof (EuGH) den Weg weisen, da es sich um die Umsetzung von europäischem Recht handelt. In einem Urteil zur DSGVO (C-340/21) hat er klargestellt:

• Ein Ermessen von Betrieben bei der Auswahl einzelner konkreter Sicherheitsmaßnahmen besteht nur, wenn die Risikoneigung richtig bestimmt war (Tz. 42f.).
• Die ausgewählten Maßnahmen müssen tatsächlich umgesetzt werden (Tz. 46).
• Die Wirksamkeit der Maßnahmen muss überprüft werden (Tz. 46).
• In Zukunft gilt also: Diese ursprünglich unternehmerischen und technischen Fragestellungen haben nun eine rechtliche Ebene und werden rechtlich kontrolliert. Dies muss sich in der Arbeitsweise eines CISO widerspiegeln!

Absoluter Vertrauensschutz durch Audits war gestern

Bedeutsamer noch als die Verrechtlichung des Entscheidungsbaums ist die Absage an Sachverständigengutachten: Der EuGH hat die Justiz verpflichtet, auch im Rahmen der IT-Sicherheit selbst zu prüfen. Ein Gericht darf sich somit nicht mehr damit begnügen, ein Sachverständigengutachten zur Angemessenheit eines ISMS einzuholen, sondern muss es rechtlich beurteilen.

Dies veranschaulicht den Umkehrschluss: Auch der Auditbericht hat keine enthaftende Wirkung! Zwar bleiben Audits voraussichtlich gesetzlich erforderlich, sie gewährleisten aber nicht die Rechtmäßigkeit eines ISMS. Hierfür ist die kontinuierliche Einbindung rechtlichen Sachverstands in das ISMS notwendig. Auf diese Weise dürfte sich schlussendlich auch die Relevanz vieler proprietärer IT-Sicherheitszertifizierungen relativieren, deren Aufgabe von Geschäftsleitern bislang vor allem in einer „Enthaftung“ gesehen wird.

Paradigmenwechsel: Dokumentation adressiert künftig gesetzliche Richter

Diese rechtliche Regulierung der Entscheidungen leitet einen Paradigmenwechsel ein, denn sie führt dazu, dass solche Entscheidungen nicht länger technisch und unternehmerisch zu rechtfertigen sind, sondern rechtlich. Im Zweifel ist nun der gesetzliche Richter von dem eigenen ISMS zu überzeugen und die Arbeit der Sicherheitsorganisation muss sich hieran messen lassen.

Der gesetzliche Richter wird ein ISMS zudem ausschließlich an rechtlichen Maßstäben messen, nicht an Verlautbarungen der Aufsichtsbehörden und nicht an technischen Best Practices. Bei der Auswahl von Sicherheitsmaßnahmen ist zwar weiterhin der „Stand der Technik“ zu berücksichtigen – dieser ist aber eben nur zu berücksichtigen und bindet die Entscheidung eines Richters ebenso wenig wie die Rechtsansicht einer Behörde.

Hieraus ergibt sich: Wählt ein Geschäftsleiter zwar eine „richtige“ Sicherheitsmaßnahme, kann einen Richter mangels rechtlicher Herleitung und Dokumentation aber nicht von der Rechtmäßigkeit überzeugen, so ist sie unbrauchbar. Erweist sich eine Sicherheitsmaßnahme im Nachhinein als falsch, fällt dies einem Geschäftsleiter zur Last, wenn er sich nicht auf entsprechenden Rechtsrat stützen kann. In der Gesamtschau zeigt sich: Ohne Rechtsrat geht es nicht. Wer eine Entscheidung im Ernstfall vor und durch Juristen verteidigen muss, muss sie auch mit juristischem Sachverstand treffen.

Zwar breit diskutiert, aber auf Ebene der Haftung von Geschäftsleitern ohne Auswirkung bleibt hingegen die Fortbildungspflicht von Geschäftsleitern nach § 38 Abs. 3 BSIG-E: Denn der Einwand, nicht über den erforderlichen Sachverstand für eine Aufgabe verfügt zu haben, ist Geschäftsleitern schon lange versperrt. Deshalb handelte ein Geschäftsleiter, der sich nicht fortgebildet hat, schon immer auf eigenes Risiko. Oder in anderen Worten: Unwissenheit schützt vor Strafe nicht.

Fallbeispiele

Aufgrund der zu erwartenden Rechtslage nach NIS-2, aber auch schon nach geltendem IT-Sicherheitsrecht lassen sich verschiedene Fallgestaltungen antizipieren, in denen eine Haftung klar ausscheidet oder gerade in Betracht kommt:

• Augenblicksversagen: keine Haftung. Eine Haftung entsteht nicht allein dadurch, dass ein Schaden eingetreten ist oder dass auf der Arbeitsebene ein Fehler geschehen ist (so auch: EuGH C-687/21 Tz. 35 ff.). IT-Sicherheit ist kein Zustand; der PDCA-Kreislauf nimmt Fehler zugunsten kontinuierlicher Selbstverbesserung hin.
• Folgenloser Fehler: keine Haftung. Es reicht ferner nicht aus, dass das ISMS in irgendeiner Weise fehlerhaft oder rechtswidrig war. Ein Schaden muss gerade kausal auf einer fehlerhaften und/oder rechtswidrigen Sicherheitsmaßnahme beruhen. Dieser Nachweis ist nicht trivial und ein fähiger Rechtsanwalt kann hier wirksam verteidigen.
• Fehlender Überblick und Schatten-IT: klare Haftung. Eine Haftung kam schon allgemein in Betracht, wenn ein Geschäftsleiter sich keinen ausreichenden Überblick über die eigene IT und die daraus entstehenden Risiken verschaffte. Dies folgte früher – auch in der GmbH – aus § 91 Abs. 2 AktG, nun ist mit NIS-2 die Sicherheitsorganisation nach § 38 Abs. 1 BSIG-E erforderlich.
• Unerkannter oder geduldeter „Schlendrian“ im Betrieb: klare Haftung. Die Umsetzung und Wirksamkeit von Maßnahmen ist zu überwachen. Dies war schon immer Teil einer gesellschaftsrechtlich korrekten Delegation von Aufgaben – nun ergibt sich das mit NIS-2 zusätzlich aus § 38 Abs. 1 BSIG-E. Auch regelmäßige Audits sind hier nicht ausreichend: Im rechtlich normierten Bereich fordert die Rechtsprechung nach ihrer wiederholt verwendeten Formel überraschende, stichprobenartige Kontrollen (BGH KRB 4/80), damit sich Mitarbeiter nicht auf die Kontrollen einstellen können.
• „Das betrifft uns nicht!“: klare Haftung seit dem IT-SiG. Schon seit dem IT-SiG obliegt es jedem Unternehmen, selbst zu prüfen, ob Systeme reguliert sind oder nicht. Irrt sich ein Geschäftsleiter an dieser Stelle, verstößt er gegen seine Legalitätspflicht und müsste sich enthaften.

Diese Enthaftung setzt die Einholung von Rechtsrat zu dieser Frage voraus.

• „Das lohnt sich nicht!“: klare Haftung seit dem ITSiG. Seit dem IT-Sicherheitsgesetz müssen sich regulierte IT-Sicherheitsmaßnahmen nicht mehr „lohnen“ – stattdessen müssen sie den Ausfallfolgen von kritischer Infrastruktur angemessen sein (§ 8a Abs. 1 Satz 3 BSIG). Es sind also externalisierte Risiken in die eigene Risikoneigung einzustellen – die Gewichtung dieser Risiken zueinander ist rechtlich geprägt. Auch hier fällt ein Irrtum dem Geschäftsleiter im Grundsatz zur Last.
• „Das muss keiner wissen!“: klare Haftung – auch gegenüber Dritten. Erhebliche Sicherheitsvorfälle müssen jetzt und in Zukunft gemeldet werden. Wer dies unterlässt oder nicht ausreichend sicherstellt – gleich ob aus Sorge um die Reputation des eigenen Unternehmens oder aufgrund einer fehlerhaften rechtlichen Einschätzung –, riskiert eine persönliche Haftung, auch gegenüber Dritten. Jeder Geschäftsführer ist gut beraten, eher eine Meldung zu viel abzugeben als eine Meldung zu wenig.

Fazit

Für CISOs markieren die neuen Haftungsregelungen einen Paradigmenwechsel: Sie werden zu strategischen Brückenbauern in einer komplexen Sicherheitslandschaft, in der die sorgfältige organisatorische Arbeit zum Schlüssel für die Bewältigung der Geschäftsleiterhaftung wird. Das „eine richtige und daher rechtmäßige ISMS“ bleibt eine Fiktion – entscheidend sind vielmehr klar definierte Prozessmaximen. Der CISO verbindet IT, Recht und Fachabteilungen durch ein Netzwerk stabiler, aber flexibler Brücken, wobei jede Verbindung einem strukturierten, iterativen Prozess folgt. Diese Architektur der Sicherheit schafft nicht nur Übergänge, sondern etabliert auch nachvollziehbare Entscheidungswege. Der interdisziplinäre CISO ist der beste Freund des Geschäftsleiters.

Konkret bedeutet dies: Ein CISO muss einen PDCA-Kreislauf implementieren, der jede Sicherheitsentscheidung bei neuen Erkenntnissen systematisch überprüft. Er muss auf breiter Informationsgrundlage agieren, was vor allem erfordert, die oft in „Silos“ vorhandenen Informationen des eigenen Unternehmens zu erschließen. Hier wird der CISO zum wahren Brückenbauer, indem er Wege schafft, um solche isolierten Informationsbestände zu verbinden und nutzbar zu machen. Dies umfasst auch die Implementierung von Angriffserkennungssystemen (SzA) und den Zugriff auf die Malware-Information-Sharing- Platform des BSI. Zudem ist die kontinuierliche Einbindung rechtlichen Sachverstands unerlässlich.

Diese Prozessorientierung ist ein Schutzschild gegen Haftungsrisiken: Denn ein Vorwurf gegen die Geschäftsleitung rechtfertigt sich primär aus einem Abweichen von diesen Prozessmaximen, nicht aus einzelnen Sicherheitsvorfällen. CISOs, die diesen Ansatz meistern, machen IT-Sicherheit nicht nur zum strategischen Asset, sondern schaffen auch einen robusten Rahmen zur Haftungsvermeidung.

Um dieser erweiterten Verantwortung gerecht zu werden, sollte man die Funktion des CISO als Stabsstelle verstehen. Dies ermöglicht einen direkten Zugang zur Geschäftsleitung und unterstreicht die strategische Bedeutung der IT-Sicherheit. Ob intern ein CISO vorhanden ist oder ein externer Dienstleister beauftragt wird, ist dabei zweitrangig – entscheidend ist die effektive Integration der IT-Sicherheit in die Unternehmensstrukturen.

Insgesamt bieten die neuen Regelungen die Chance, IT-Sicherheit neu zu denken und als integralen Bestandteil der Unternehmensstrategie zu etablieren. CISOs, die diese Herausforderung annehmen, können nicht nur Haftungsrisiken minimieren, sondern auch maßgeblich zur Zukunftsfähigkeit und Resilienz ihres Unternehmens beitragen.

Prof. Dr. Dennis-Kenji Kipker ist wissenschaftlicher Direktor des cyberintelligence.institute in Frankfurt am Main.

Dr. Julian Zaudig ist Rechtsreferendar am OLG Köln und wurde von der Universität zu Köln zum IT-Sicherheitsrecht promoviert. Er forscht an der Schnittstelle von Recht und Technik – neben seiner juristischen Ausbildung in Stellen wie der Zentral- und Ansprechstelle Cybercrime NRW sowie der Stiftung Familienunternehmen und Politik war er auch technisch und unternehmerisch tätig.

Literatur

[1] Dario Scholz, Dennis-Kenji Kipker, EU-Cybersecurity Version 2.0, Bringt NIS-2 das lang ersehnte Update für wesentliche und wichtige Einrichtungen?, <kes> 2023#1, S. 19

[2] Dennis-Kenji Kipker, NIS2UmsuCG: Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz kommt – ein Überblick über den Status quo, <kes> 2023#4, S. 70

[3] Denis-Kenji Kipker, Auf der Suche nach dem Heiligen Gral der Cybersicherheit?, <kes>2024 #3, S. 13

[4] Bundesministerium des Innern und für Heimat (BMI), Entwurf eines Gesetzes zur Umsetzung der NIS- 2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), Gesetzentwurf der Bundesregierung, Juli 2024, www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/kabinettsfassung/CI1/nis2-regierungsentwurf.pdf__blob=publicationFile

[5] Julian Zaudig, IT-Sicherheitsgesetze: Regulierung oder Haftungsgesetze? Ein Blick aus der Perspektive der Geschäftsleitung, IT-Rechtsberater (ITRB) Heft 6/2024, S. 158

[6] Julian Zaudig, Die Regulierung von Risiken durch den Einsatz von Informationstechnik nach dem BSIG, Der rechtmäßige Umgang mit ungewissen Entwicklungen durch Unternehmen und Geschäftsleiter im Bereich der IT-Sicherheit, Nomos, August 2024, ISBN 978-3-7560-1612-9