Cyberangriffe sind für Unternehmen längst keine Ausnahmesituation mehr. Wer rechtlich und organisatorisch nicht vorbereitet ist, riskiert erhebliche Bußgelder, Schadensersatzansprüche und – im schlimmsten Fall, die persönliche Haftung der Unternehmensleitung.
Im Falle eines Sicherheitsvorfalls besteht, soweit personenbezogenen Daten betroffen sind, nach Art. 33 und 34 DSGVO je nach Risikoeinschätzung eine Meldepflicht gegenüber der zuständigen datenschutzrechtlichen Aufsichtsbehörde innerhalb von 72 Stunden. Das ab dem 6. Dezember 2025 geltende NIS-2-Umsetzungsgesetz ergänzt diese Pflichten: Betroffene Unternehmen müssen erhebliche Sicherheitsvorfälle dem BSI melden; mit gestaffelten Fristen von 24 Stunden (Erstmeldung), 72 Stunden (Folgemeldung) und einem Monat (Abschlussbericht).
Bei Verstößen drohen Bußgelder sowie Schadensersatzansprüche etwaig betroffener Personen. Besonderes Augenmerk verdient die persönliche Haftung der Geschäftsleitung: Geschäftsführende und Vorstände haften nach § 43 GmbHG bzw. § 93 AktG für die Einrichtung angemessener IT-Sicherheitssysteme; die NIS-2-Richtlinie sieht zudem ausdrücklich eine persönliche Haftung der Leitungsorgane für Verstöße gegen Cybersicherheitspflichten vor und auch das BGB-Recht kann eine Haftung aus Delikt oder aufgrund Verkehrssicherungspflichten durchgreifen lassen.
Frist-Trigger klar intern definieren und im Incident-Response-Plan (IRP) verankern
Doppel-Meldevorlagen für die 72-Stunden-Frist (DSGVO) und die 24-Stunden-Frist (NIS-2) vorhalten; mit gemeinsamem Datenkern
Eskalations- und Rollenmatrix etablieren (DSB, CISO, Legal, Kommunikation, Geschäftsleitung), inklusive Stellvertretungsregelungen
Vorfallregister nach Art. 33 Abs. 5 DSGVO zentral und prüfbar führen, mit Risikobewertung je Vorfall
Auftragsverarbeitungsverträge auf 24h/72h-Meldekaskaden prüfen und Sub-Auftragsverarbeitende einbinden
Informationssicherheitsmanagementsystem implementieren (z. B. ISO 27001), regelmäßige Audits durchführen und technisch-organisatorische Maßnahmen dokumentieren
D&O- und Cyber-Versicherungspolicen auf Deckungsvoraussetzungen und Ausschlussklauseln im Bereich Cybersicherheit prüfen
Pflicht der Leitungsorgane zur Teilnahme an Schulungsmaßnahmen zur Cybersicherheit nach Art. 20 NIS-2 beachten
Beratung zur Erstellung oder Überarbeitung Ihres Incident-Response-Plans und Ihrer Meldeprozesse
Überprüfung und Anpassung Ihrer Auftragsverarbeitungsverträge auf NIS-2-Konformität
Beratung zur Geschäftsleiter- und Organhaftung im Kontext Cybersicherheit
Datenschutz- und IT-Sicherheits-Audits sowie Schulungen für Führungskräfte
Bildnachweis:solarseven/Stock-Fotografie-ID:1144604245