Seit dem 16. Januar 2023 ist die NIS-2-Richtlinie in Kraft und definiert EU-weite Mindeststandards zum Schutz der Netz- und Informationssicherheit in kritischen Sektoren. In Deutschland wird sie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt werden. Durch die Einstufung von wohnungswirtschaftsnahen Branchen (z.B. Energie, Wasser, Bankwesen) als kritische Infrastrukturen könnte auch der Immobiliensektor zumindest mittelbar betroffen sein.
Unternehmen werden mittlerweile beinahe täglich mit Cyber-Gefahren und ihren Auswirkungen konfrontiert. Europaweite und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Wirtschaftsbereiche zu einer höheren Anfälligkeit durch externe Faktoren. Gerade die IT in kritischen Anlagen und Unternehmen in infrastrukturerhaltenden Sektoren spielen dabei eine zentrale Rolle.
So heißt es in der Begründung zum NIS2UmsuCG: „Ihre Sicherheit und Resilienz bilden die Grundlage für die Versorgungssicherheit und das Funktionieren der Marktwirtschaft. Eine Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren der digitalen Welt ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland robust und leistungsfähig zu halten. […] Ziel der NIS-2-Richtlinie ist daher die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll.“
NIS-2-Richtlinie und ihre Umsetzung in Deutschland
Das NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz sollte nach dem bisherigen Zeitplan im März 2025 in Kraft treten und eine erhebliche Erweiterung des Kreises der betroffenen Unternehmen einerseits und eine Erhöhung der Anforderungen und Pflichten im Hinblick auf IT-Sicherheitsstandards andererseits vorsehen.
Ob es angesichts des Bruchs der Regierungskoalition noch zu einer Verabschiedung des vorliegenden Gesetzesentwurfs kommt, ist bei Redaktionsschluss nicht absehbar. Neben Pflichten zur Gewährleistung einer adäquaten Cyber-Sicherheit implementiert die Richtlinie auch eine damit einhergehende persönliche Haftung von Unternehmensorganen.
Pflichten und Haftung
Die Richtlinie verpflichtet betroffene Unternehmen zur Einhaltung von Mindeststandards in der Cyber-Sicherheit. Abhängig von der Einstufung eines Unternehmens können zusätzliche Pflichten wie verpflichtende Audits oder Registrierungs- und Meldepflichten gegenüber Aufsichtsbehörden oder der Öffentlichkeit hinzukommen. Die Einhaltung der vorgegebenen Pflichten ist Teil unternehmerischer Compliance.
Geschäftsleiter betroffener Unternehmen sind verpflichtet, dafür Sorge zu tragen, dass die von der NIS-2-Richtlinie vorgeschriebenen Maßnahmen in ihrem Unternehmen umgesetzt werden. Auch bei Einschaltung von Hilfspersonen bleibt das Leitungsorgan letztverantwortlich.
Haftungsverschärfend wirkt sich dabei insbesondere das Verbot von Haftungsverzichten aus Verletzungen der NIS-2-Pflichten aus, welches wohl auch die Unwirksamkeit von Haftungsfreistellungen und -begrenzungen im Hinblick auf Schadenersatzansprüche nach sich ziehen dürfte. Betrachtet man das hohe Maß an Anforderungen, erscheint die NIS-2-Richtlinie als eine echte Haftungsfalle für Leitungsorgane der in Deutschland rund 30.000 betroffenen Unternehmen.
Dies vor allem vor dem Hintergrund, dass die Maßnahmen derzeit noch nicht einmal verbindlich gesetzlich geregelt sind, nach dem Inkrafttreten des NIS2UmsuCG aber unmittelbar implementiert sein müssen. Damit bleibt Unternehmensleitern betroffener Unternehmen nur eine Möglichkeit, ihr persönliches Haftungsrisiko zu beschränken: der Abschluss einer D&O-Versicherung.
Anforderungen an die Wohnungswirtschaft
Eine erste Orientierung, ob das eigene Unternehmen den Anforderungen der NIS-2-Richtlinie unterliegt, bietet die Betroffenheitsprüfung des BSI. Obwohl wohnungswirtschaftlich tätige Unternehmen voraussichtlich nicht als primär betroffene Einrichtungen im Sinne der NIS-2-Richtlinie gelten, so ist eine mittelbare Betroffenheit durch erforderliche Sicherheitsanforderungen an Dienstleister und Lieferanten denkbar.
Die Ausweitung der aktuell bereits vorliegenden Anforderungen durch die NIS-2-Richtlinie zeigt hierbei deutlich das Bewusstsein der Gesetzgebung für die Bedeutung von Unternehmen in infrastrukturerhaltenen Sektoren und deren Anfälligkeit für digitale Gefahren. Auch die Verschärfung der Haftungssituation der Unternehmensorgane stellt die Pflichten zum Schutz der digitalen Infrastrukturen in den Fokus betroffener Unternehmensleiter. Insgesamt ist festzuhalten, dass durch die Umsetzung geforderter Maßnahmen eine höhere Resilienz ganzer Wirtschaftsbereiche erreicht werden soll.
Fazit: Adäquater Versicherungsschutz ist unumgänglich
Die neuen gesetzlichen Anforderungen zeigen wieder einmal sehr deutlich, dass die Anforderungen an das unternehmenseigene Risk-Management stetig steigen. Neben der Installation neuer und Einhaltung etablierter Prozesse spielt insbesondere auch die Übertragung von Risiken auf Versicherungsgesellschaften eine zentrale Rolle.
Im Rahmen des Ausschreibungsprozesses von Cyberversicherungen kann das Bewusstsein für sicherheitsrelevante Kontaktpunkte deutlich erhöht, mögliche individuelle Schwachpunkte der eigenen Infrastruktur identifiziert und ermittelte Restrisiken auf den Risikoträger übertragen werden. Die Absicherung der vielfältigen Haftungsrisiken aus der beruflichen Tätigkeit der Unternehmensleiter im Rahmen der Unternehmens-D&O-Police stellt die einzige Möglichkeit dar, das Risiko der persönlichen Haftung nicht nur für Schäden durch die Nichteinhaltung der NIS-2-Vorgaben zu beschränken.
Es sollte gewährleistet sein, dass diese mit einem weiten Deckungsschutz, einer adäquaten Versicherungssumme und auskömmlichen Nachmeldefristen besteht. Ergänzend dazu stehen auch persönliche D&O-Versicherungen, eine Strafrechtsschutzversicherung sowie eine Vertrauensschadenversicherung im Fokus.
Anja Frank
AVW Bestandsmanagement