nis²insights.com

In Kraft seit 17. Okt. 2024·Tag 565·

Governance18. Apr. 202510 Min.

NIS2-Artikel 20: Fünf Aufsichtspflichten, die Leitungsorgane nicht delegieren können

Artikel 20 der Richtlinie 2022/2555 verankert Cybersicherheit formell auf Vorstandsebene. Hier sind die fünf Pflichten, die jetzt persönlich auf den Leitungsorganen lasten.

NIS2-Artikel 20: Fünf Aufsichtspflichten, die Leitungsorgane nicht delegieren könnenGovernance

Die NIS2-Richtlinie — formell die Richtlinie (EU) 2022/2555 — ist am 17. Oktober 2024 in Kraft getreten. Die Mitgliedstaaten mussten sie bis zu diesem Datum in nationales Recht umsetzen. Achtzehn Monate später ist das Bild in Europa uneinheitlich, eine Verschiebung ist jedoch universell: Jede Einrichtung, die in den Anwendungsbereich fällt, hat heute eine persönliche Exposition auf Vorstandsebene.

Bemerkenswert ist nicht der Umfang der Pflichten. NIS2 kodifiziert eine Reihe von Praktiken, die jedes hinreichend reife Sicherheitsprogramm bereits umsetzt. Neu ist, dass die Verantwortung jetzt ausdrücklich und persönlich bei den Leitungsorganen liegt — und dass die zuständigen nationalen Behörden sie nach Artikel 32 unmittelbar sanktionieren können.

Artikel 20 der Richtlinie — schlicht mit „Governance" überschrieben — steht im Zentrum dieser Verschiebung. Er umfasst zwei Absätze. Eng gelesen, listet er zwei Pflichten. Im Zusammenhang gelesen, mit den Erwägungsgründen 80 und 81 und den entsprechenden Absätzen des Artikels 21, formuliert er fünf Pflichten, die persönlich auf den Mitgliedern des Leitungsorgans lasten und nicht delegierbar sind.

1. Das Cybersicherheitsprogramm genehmigen — mit dokumentiertem Verständnis

Artikel 20 Absatz 1 ist eindeutig: Die Leitungsorgane genehmigen die Risikomanagementmaßnahmen im Bereich der Cybersicherheit, die diese Einrichtungen zur Erfüllung von Artikel 21 ergreifen. Das rechtliche Gewicht liegt auf genehmigen, nicht auf zur Kenntnis nehmen.

Bei den zuständigen nationalen Behörden — ANSSI in Frankreich, BSI in Deutschland, INCIBE in Spanien, ACN in Italien, NCSC-IE in Irland — taucht in den veröffentlichten Leitlinien dieselbe Erwartung auf: Genehmigung impliziert dokumentiertes Verständnis. Eine Niederschrift des Leitungsorgans, die eine substanzielle Erörterung des Risikoregisters der Einrichtung, der hingenommenen Restrisiken und der Abwägungen zwischen Risikobehandlung und Betriebsaufwand festhält. Eine Unterschrift ohne diese Aktenlage ist in der Praxis eine Ausgangslage für ein Aufsichtsverfahren, keine Verteidigung dagegen.

Genehmigen ist kein Unterschreiben. Es ist eine dokumentierte, bestreitbare Position, eingenommen in voller Kenntnis des Risikoregisters.

Das nicht delegierbare Element ist hier das Verständnis, nicht der Akt der Unterzeichnung. Leitungsorgane dürfen sich auf die Empfehlung des CISO oder einer entsprechenden Funktion stützen — sie dürfen sich nicht ungeprüft darauf verlassen.

2. Die Umsetzung kontinuierlich überwachen

Der zweite Teil von Artikel 20 Absatz 1 wird oft übersehen: Die Leitungsorgane müssen die Umsetzung auch überwachen. Eine Genehmigung zu einem einzigen Zeitpunkt genügt nicht. Erwägungsgrund 80 macht das ausdrücklich, indem er die Überwachung als laufende Pflicht im Rahmen der Governance-Rolle des Leitungsorgans rahmt.

Konkret sieht Überwachung so aus:

  • Ein fester Tagesordnungspunkt im Leitungsorgan, nicht versteckt unter „Sonstiges".
  • Ein Risiko-Dashboard, das die Veränderung seit der letzten Sitzung berichtet, nicht den statischen Stand.
  • Ein klarer Eskalationspfad für den CISO oder die entsprechende Funktion direkt zum Vorsitzenden, wenn zwischen den Sitzungen wesentliche Risiken auftreten.

Ein Leitungsorgan, das das Programm im März genehmigt und Cybersicherheit erst wieder im Oktober behandelt, wird dieser Erwartung in nahezu jedem Mitgliedstaat nicht gerecht.

3. Die persönliche Haftung anerkennen — einschließlich des Tätigkeitsverbots

Im Schlussabschnitt von Artikel 20 Absatz 1 zeigt die Richtlinie ihre Zähne: Die Leitungsorgane können für Verstöße der Einrichtungen gegen Artikel 21 zur Verantwortung gezogen werden. Die finanzielle Dimension regelt Artikel 34: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen, je nachdem, welcher Betrag höher ist; bis zu 7 Mio. EUR oder 1,4 % für wichtige Einrichtungen.

Die nichtfinanzielle Dimension ist eindrücklicher und wird seltener diskutiert. Artikel 32 Absatz 5 ermächtigt die Mitgliedstaaten, die vorübergehende Suspendierung jeder natürlichen Person, die Leitungsfunktionen auf der Ebene des Hauptgeschäftsführers oder des gesetzlichen Vertreters wahrnimmt, oder ein vorübergehendes Verbot, in der jeweiligen Einrichtung Leitungsfunktionen auszuüben, vorzusehen. Im Klartext: ein Tätigkeitsverbot.

Mehrere Mitgliedstaaten haben diese Vorschrift in ihrem nationalen Recht offensiv umgesetzt. Für das Leitungsorgan bedeutet das: Diese Pflichten anzunehmen ist nicht länger eine Frage der Unternehmenskultur. Es ist eine persönliche Exposition, und keine D&O-Versicherung deckt eine aufsichtsrechtliche Disqualifikation.

4. Persönlich an Schulungen teilnehmen

Artikel 20 Absatz 2 ist für eine europäische Richtlinie ungewöhnlich klar: Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen verpflichtet sind, an Schulungen teilzunehmen. Verpflichtet. Nicht angehalten, nicht ermutigt.

Auch die Schulung ist nicht delegierbar. Eine verbreitete Fehllesart ist, dass der CISO das Leitungsorgan anstelle einer formellen Schulung „briefen" könne. Das sagt der Artikel nicht. Die Richtlinie formuliert das Ziel ausdrücklich: Die Mitglieder des Leitungsorgans müssen ausreichende Kenntnisse und Fähigkeiten erwerben, um Risiken zu erkennen und Risikomanagementpraktiken im Bereich der Cybersicherheit sowie deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu beurteilen.

Die Richtlinie schreibt keinen Stundenumfang vor, und die nationalen Umsetzungen variieren. Aus den veröffentlichten Leitlinien der zuständigen nationalen Behörden ergibt sich folgender vertretbarer Maßstab:

  • Ein Onboarding-Programm von 6 bis 12 Stunden für neue Mitglieder, das die Richtlinie selbst, die Bedrohungslage der Einrichtung und das Risikoregister abdeckt.
  • Eine jährliche Auffrischung von 2 bis 4 Stunden zu wesentlichen Veränderungen seit der letzten Sitzung.
  • Dokumentierte Teilnahme und Inhalte. Eine Liste der Teilnehmer mit Datum und verwendeten Materialien genügt.

Das ist die Pflicht, an der Leitungsorgane am häufigsten scheitern. Es ist auch die am leichtesten zu erfüllende.

5. Schulungen unternehmensweit sicherstellen

Der zweite Satz von Artikel 20 Absatz 2 wird mitunter als Absichtserklärung abgelegt: Die Mitgliedstaaten fordern die wesentlichen und wichtigen Einrichtungen auf, ihren Beschäftigten regelmäßig vergleichbare Schulungen anzubieten. Das Verb auffordern ist weicher als verpflichten.

Es bleibt dennoch eine Pflicht des Leitungsorgans. Artikel 21 Absatz 2 Buchstabe g — auf den Artikel 20 ausdrücklich verweist — nennt „grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit" als eine der Kategorien von Maßnahmen, die wesentliche und wichtige Einrichtungen ergreifen müssen. Das ist keine Aufforderung; das ist eine Pflicht. Die Rolle des Leitungsorgans nach Artikel 20 ist es sicherzustellen, dass diese Pflicht aus Artikel 21 tatsächlich erfüllt wird.

Anders gesagt: Das Leitungsorgan kann nicht jeden Beschäftigten persönlich schulen, aber es kann — und muss — bestätigen, dass ein Schulungsprogramm für Beschäftigte existiert, dass es eine messbare Kadenz hat und dass die Abschlussquoten an es berichtet werden.

Was „gut umgesetzt" aussieht

Aus den veröffentlichten Leitlinien der zuständigen nationalen Behörden in Europa kommen drei Signale immer wieder.

Erstens: eine Niederschrift des Leitungsorgans aus den letzten zwölf Monaten, die eine substanzielle Erörterung des Cybersicherheitsprogramms belegt. Nicht bloß eine Kenntnisnahme.

Zweitens: ein Risikoregister mit Datum, mit Verantwortung auf Geschäftsleitungsebene, das nachvollziehbar an die seit der letzten Sitzung ergriffenen Maßnahmen anknüpft.

Drittens: ein Nachweis, dass das Sicherheitsprogramm in den letzten zwölf Monaten unabhängig überprüft wurde — durch eine interne Revision oder einen externen Assessor — und dass die Ergebnisse dem Leitungsorgan vorgelegt wurden.

Keiner dieser Punkte ist mehrdeutig. Es sind Dokumente. Sie existieren oder sie existieren nicht. Die Aufgabe der nächsten zwölf Monate, für Leitungsorgane, die noch nicht gehandelt haben, besteht darin, dafür zu sorgen, dass sie existieren.

Quellen

  1. Richtlinie (EU) 2022/2555, Artikel 20 („Governance").
  2. Richtlinie (EU) 2022/2555, Artikel 21 („Risikomanagementmaßnahmen im Bereich der Cybersicherheit"), insbesondere Absatz 2 Buchstabe g.
  3. Richtlinie (EU) 2022/2555, Artikel 32 Absatz 5 (Suspendierung und Verbot von Leitungsfunktionen).
  4. Richtlinie (EU) 2022/2555, Artikel 34 (allgemeine Bedingungen für die Verhängung von Geldbußen).
  5. Richtlinie (EU) 2022/2555, Erwägungsgründe 80 und 81 (Governance und Schulung des Leitungsorgans).
  6. Veröffentlichte Umsetzungsleitlinien der zuständigen nationalen Behörden: ANSSI (FR), BSI (DE), INCIBE (ES), ACN (IT), NCSC-IE (IE), sowie der ENISA.

Weitere Beiträge

NIS2-Vorfallmeldung: Der praktische 72-Stunden-LeitfadenIncident-Management

NIS2-Vorfallmeldung: Der praktische 72-Stunden-Leitfaden

11. Apr. 2025·Lesen · 9 Min.
NIS2-Lieferkettensicherheit: Fünf Klauseln, die Sie von Lieferanten verlangen solltenLieferkette

NIS2-Lieferkettensicherheit: Fünf Klauseln, die Sie von Lieferanten verlangen sollten

9. Apr. 2025·Lesen · 7 Min.
Eine pragmatische Risikoregister-Vorlage für NIS2-Artikel 21Risikomanagement

Eine pragmatische Risikoregister-Vorlage für NIS2-Artikel 21

2. Apr. 2025·Lesen · 6 Min.