Während meines Besuchs auf der Veranstaltung „KRITIS Tage 2024“ am 16. Mai 2024 am Flughafen Zürich, stand das Thema „Neue Haftungsrisiken für die Geschäftsführung“ auf der Agenda. Hier wurde ausführlich diskutiert, welche Auswirkungen die NIS2-Richtlinie mit sich bringt. Diese Einblicke haben mich dazu bewegt, diesen Fachbericht zu schreiben, um die wesentlichen Punkte und deren Bedeutung für die Gebäudesicherheit und die Verantwortung von Geschäftsführern zu beleuchten.

Die KRITIS Tage sind eine Veranstaltungsreihe, die sich auf die Sicherheit und Hochverfügbarkeit kritischer Infrastrukturen konzentriert. Experten informieren über aktuelle technische und gesetzliche Entwicklungen in Deutschland, Österreich und der Schweiz. Die Themen umfassen Cybersecurity, Compliance, Netzresilienz und Videosicherheitstechnik. Die Veranstaltungen finden 2024 an verschiedenen Orten statt: Langen, Zürich, Regensburg und Salzburg. Die Teilnehmer haben die Möglichkeit, Vorträge zu hören, sich zu vernetzen und praxisnahe Demonstrationen zu erleben.

Einführung

Die NIS2-Richtlinie (Network and Information Security Directive) und das darauf basierende NIS2-Umsetzungsgesetz bringen bedeutende Veränderungen für die Sicherheitsanforderungen von kritischen Infrastrukturen (KRITIS) und wichtigen Einrichtungen in Deutschland und der EU. Diese Regulierungen betreffen nicht nur die Cybersecurity, sondern auch die physische Sicherheit von Gebäuden und Anlagen, was Geschäftsführer vor neue Herausforderungen und Risiken stellt.

Pflichten und Anforderungen

Umfassende Sicherheitsmaßnahmen: Die NIS2-Richtlinie verlangt von Unternehmen, umfassende Sicherheitsmaßnahmen zu implementieren, die sowohl digitale als auch physische Sicherheitsvorkehrungen umfassen. Dazu gehören Überwachungskameras, Zugangskontrollsysteme und Alarmsysteme, um den Zugang zu sensiblen Bereichen zu überwachen und zu kontrollieren​ (The NIS2 Directive)​.

Risikomanagement und Governance: Unternehmen müssen ein Risikomanagement betreiben, das alle Bedrohungen, einschließlich physischer Angriffe, berücksichtigt. Geschäftsführer sind verantwortlich für die Implementierung und kontinuierliche Überwachung dieser Maßnahmen.

Vorfallsmeldung und Dokumentation: Die Richtlinie fordert eine strenge Dokumentation und Meldung von Sicherheitsvorfällen, einschließlich physischer Sicherheitsverletzungen. Unternehmen müssen Prozesse etablieren, um Vorfälle schnell zu erkennen, zu melden und darauf zu reagieren​ (The NIS2 Directive)​.

Nachweispflichten: Unternehmen müssen regelmäßig Nachweise über die Einhaltung der Sicherheitsvorgaben erbringen. Dies umfasst sowohl interne Audits als auch stichprobenartige Überprüfungen durch staatliche Behörden. Geschäftsführer müssen sicherstellen, dass die erforderlichen Dokumentationen vorhanden und jederzeit zugänglich sind.

Risiken und Herausforderungen

Erhöhte Haftung: Die NIS2-Richtlinie erweitert die Haftung für Geschäftsführer. Bei Nichteinhaltung der Sicherheitsanforderungen drohen erhebliche Bußgelder, die sich nach dem weltweiten Umsatz eines Unternehmens richten können. Geschäftsführer können persönlich haftbar gemacht werden, was im schlimmsten Fall zu ihrer Suspendierung führen kann.

Integration von Cyber- und physischer Sicherheit: Eine der größten Herausforderungen besteht darin, Cybersecurity-Maßnahmen mit physischen Sicherheitsvorkehrungen zu integrieren. Unternehmen müssen sicherstellen, dass beide Bereiche nahtlos zusammenarbeiten, um umfassenden Schutz zu gewährleisten. Dies erfordert eine enge Abstimmung zwischen IT- und Sicherheitsabteilungen sowie Schulungen der Mitarbeiter in beiden Bereichen​ (The NIS2 Directive)​.

Kosten und Ressourcen: Die Umsetzung der geforderten Sicherheitsmaßnahmen kann erhebliche finanzielle und personelle Ressourcen erfordern. Besonders kleinere Unternehmen könnten Schwierigkeiten haben, die notwendigen Investitionen zu tätigen.

Schutz vor physischen Angriffen: Neben Cyberangriffen müssen Unternehmen auch auf physische Angriffe vorbereitet sein. Die NIS2-Richtlinie erkennt die Bedrohung durch physische Angriffe auf kritische Infrastrukturen an und fordert entsprechende Schutzmaßnahmen. Dies umfasst den Schutz von Gebäuden und Anlagen vor unbefugtem Zugang, Vandalismus oder gezielten Angriffen.

Fazit

Die NIS2-Richtlinie und das NIS2-Umsetzungsgesetz stellen erhebliche Anforderungen an Unternehmen hinsichtlich der Sicherheitsvorkehrungen, die sowohl digitale als auch physische Bedrohungen abdecken müssen. Geschäftsführer tragen eine große Verantwortung für die Einhaltung dieser Anforderungen und müssen sicherstellen, dass umfassende Sicherheitsmaßnahmen implementiert und kontinuierlich überwacht werden. Dies erfordert nicht nur finanzielle Investitionen, sondern auch eine sorgfältige Planung und Koordination zwischen verschiedenen Abteilungen innerhalb des Unternehmens. Die Nichtbeachtung dieser Vorgaben kann erhebliche rechtliche und finanzielle Konsequenzen nach sich ziehen.

Quellenverzeichnis

NIS2 Directive. (2024). „Digital Infrastructure | The NIS2 Directive.“ Abgerufen von NIS2 Directive