IT-Sicherheit nach aktueller EU-Agenda: DSGVO, NIS-2 und Managerhaftung
Die Anforderungen an IT-Sicherheit in Unternehmen sind in den letzten Jahren deutlich gestiegen — durch die DSGVO, die NIS-2-Richtlinie, das KRITIS-Dachgesetz und eine wachsende Rechtsprechung zur persönlichen Managerhaftung. IT-Sicherheit ist längst keine rein technische Frage mehr. Sie ist eine Rechtspflicht — mit spürbaren Konsequenzen bei Versäumnissen.
IT-Sicherheit als Datenschutzpflicht: Privacy by Design und by Default
Die DSGVO verlangt seit dem 25. Mai 2018, dass IT-Sicherheit als Gewährleistungsinstrument für den Datenschutz konsequent umgesetzt wird. Dabei gelten zwei zentrale Prinzipien:
- Privacy by Design (Art. 25 Abs. 1 DSGVO): Datenschutz muss von Anfang an in IT-Systeme eingebaut werden — nicht nachträglich. Systeme müssen so konzipiert sein, dass sie personenbezogene Daten schützen.
- Privacy by Default (Art. 25 Abs. 2 DSGVO): Standardmäßig dürfen nur die für den jeweiligen Verarbeitungszweck notwendigen Daten verarbeitet werden — automatisch, ohne dass Nutzer aktiv handeln müssen.
Dazu kommt der Grundsatz der Resilience: IT-Systeme müssen Angriffe, technische Ausfälle und Desasterfälle nicht nur abwehren, sondern auch verkraften können — mit schneller Wiederherstellungsfähigkeit.
NIS-2: Neue Pflichten für Cybersicherheit
Die NIS-2-Richtlinie erweitert den Kreis der verpflichteten Unternehmen erheblich. Rund 29.500 Unternehmen und Behörden in Deutschland müssen nun verbindliche IT-Sicherheitsstandards umsetzen — deutlich mehr als unter der alten NIS-Richtlinie.
Die zentralen Pflichten:
- Strukturiertes IT-Risikomanagement — Identifikation, Bewertung und Behandlung von Cyberrisiken
- Meldepflicht bei erheblichen Sicherheitsvorfällen — innerhalb von 24 Stunden Erstmeldung, 72 Stunden aktualisierte Meldung
- Sicherheit in der Lieferkette — Anforderungen auch an Zulieferer und IT-Dienstleister
- Schulung der Unternehmensleitung — und persönliche Haftung bei Pflichtverletzung
KRITIS-Dachgesetz: Physische Sicherheit und Resilienz
Das KRITIS-Dachgesetz ergänzt die NIS-2-Anforderungen um physische Sicherheitsaspekte. Es setzt die EU CER-Richtlinie um und verpflichtet Betreiber kritischer Infrastrukturen zu:
- Selbstidentifikation und Registrierung bei Behörden
- Risikoanalysen und Resilienzplänen — nicht nur für IT, sondern für den gesamten Betrieb
- Einrichtung von Meldeverfahren für Störungen und Sicherheitsvorfälle
- Verantwortung der Geschäftsleitung für die Umsetzung
Unternehmen, die unter beide Regelwerke fallen — NIS-2 und KRITIS-Dachgesetz — sollten die Anforderungen in einem integrierten Sicherheitskonzept zusammenführen.
IT-Sicherheit und Managerhaftung: Was die Rechtsprechung sagt
Die Gerichte haben die persönliche Haftung von Geschäftsführern bei unzureichendem IT-Risikomanagement mehrfach bestätigt. Eine zuverlässige IT-Sicherheit in Bezug auf betriebskritische Daten gehört zu den unternehmerischen Selbstverständlichkeiten im digitalen Zeitalter.
Relevante Haftungsszenarien:
- Verlust betriebswichtiger Daten durch mangelnde Backup-Systeme
- Fahrlässiger Bruch der Vertraulichkeit geheimhaltungsbedürftiger Daten
- Cyberangriffe, die durch Stand-der-Technik-Maßnahmen hätten verhindert werden können
- Fehlende Dokumentation von IT-Sicherheitsmaßnahmen gegenüber Aufsichtsbehörden
Absolute Sicherheit gibt es nicht — und der Gesetzgeber verlangt sie nicht. Maßgebend ist der Stand der Technik und eine dokumentierte, sorgfältige Risikoabwägung.
Was Unternehmen jetzt tun müssen
- IT-Risikomanagement strukturiert einführen und dokumentieren
- Betroffenheitsanalyse: Fallen wir unter NIS-2 und/oder das KRITIS-Dachgesetz?
- Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO aktualisieren
- Incident-Response-Plan für Sicherheitsvorfälle erstellen
- Lieferkettensicherheit prüfen — Anforderungen an IT-Dienstleister
- Schulung der Geschäftsleitung zu IT-Sicherheitspflichten und Haftungsrisiken
Unser Angebot
Wir begleiten Unternehmen bei der Erfüllung ihrer IT-Sicherheitspflichten — aus einer Hand: rechtliche Einordnung, technische Bestandsaufnahme, Maßnahmenplanung und Dokumentation.
Jetzt Erstgespräch vereinbaren — kostenfrei und ohne Verpflichtung.
FAQ: IT-Sicherheit und Datenschutz
Bin ich als mittelständisches Unternehmen von NIS-2 betroffen?
Möglicherweise ja. NIS-2 betrifft Unternehmen ab 50 Mitarbeitenden in definierten Sektoren. Auch wenn Sie direkt nicht betroffen sind: Als Zulieferer oder IT-Dienstleister für NIS-2-verpflichtete Unternehmen werden Sie zunehmend mit Sicherheitsanforderungen konfrontiert.
Reicht ein Virenschutzprogramm für die DSGVO?
Nein. Art. 32 DSGVO verlangt einen risikobasierten Ansatz — d.h. Maßnahmen müssen dem konkreten Risiko angemessen sein. Dazu gehören neben Virenschutz auch Verschlüsselung, Zugangskontrolle, Backup, Monitoring und Incident-Response-Fähigkeiten.
Was ist bei einem Cyberangriff zu tun?
Sofort: interne Incident-Response-Prozesse auslösen, betroffene Systeme isolieren. Innerhalb von 72 Stunden: Meldung an die zuständige Datenschutzaufsichtsbehörde, wenn personenbezogene Daten betroffen sind. Dokumentation des Vorfalls und der ergriffenen Maßnahmen ist Pflicht.
