Handelsmanagerin bespricht mit Compliance-Verantwortlichem IT-Sicherheitsmaßnahmen im Backoffice
© Black Forest Labs / Flux

Was Nis 2 für Händler bedeuten kann

2024 bringt die europäische Richtlinie zur IT-Sicherheit Nis 2 neue Haftungsrisiken. Auch Manager von Handelsunternehmen laufen Gefahr, mit ihrem Privatvermögen für Schäden einzustehen - aber nur, wenn sie die Digital Compliance schleifen lassen.

SBStefan BeckerRedakteur
4 Min.· Aktualisiert am
Teilen
Es kann. "Die gesetzlichen Anforderungen an die IT-Sicherheit in Europa werden durch Nis 2 umfassend überarbeitet umnd erweitert", sagt Andreas Daum, Rechtsanwalt bei der Wirtschaftskanzlei Noerr. Nis 2 erlegt nicht nur den Staaten große Unterstützungs- und Kontrollpflichten auf, sondern gibt auch den Unternehmen erheblich zu tun.

Für welche Händler Nis 2 gilt, ist noch nicht klar

Die Richtlinie betrifft nicht alle Unternehmen und nicht automatisch Händler - einige aber vermutlich durchaus. Denn Nis 2 gilt nicht nur für "wesentliche Einrichtungen" (kritische Infrastruktur), die bisher schon im Bereich Cybersicherheit besonders gefordert werden, sondern auch für "wichtige Einrichtungen". Und dazu gehören ausdrücklich Unternehmen, die sich mit dem Vertrieb von Lebensmitteln beschäftigen, außerdem Online-Marktplätze.

Ob aber klassische Supermärkte darunterfallen oder vielleicht nur Großhändler und wie ein Marktplatz definiert ist - das wird erst mit der Umsetzung von Nis 2 in deutsches Recht feststehen. "Die Behörden können nicht mehreren Zehntausend Unternehmen mitteilen, ob Nis 2 für sie gilt oder nicht", sagt Rechtsanwalt Paul Vogel, der ebenfalls für Noerr arbeitet. "Gegenwärtig ist die Frage der eigenen Betroffenheit tatsächlich etwas, das mit den eigenen Rechtsbeiständen diskutiert werden sollte."Weil auch Unternehmen der Abfallbewirtschaftung "wichtige Einrichtungen" sein können, stellt sich zudem die Frage, ob Händler mit eigenen Kreislaufsystemen (zum Beispiel für Getränkeflaschen) unter Nis 2 fallen könnten, sagt Rechtsanwalt Daum. Dann nämlich könnten sie als Entsorger gelten. Größe spielt für diese Diskussionen jedenfalls keine allzu große Rolle: Die Untergrenzen von 50 Mitarbeitern oder zehn Millionen Euro Bilanzsumme oder dieselbe Summe an Jahresumsatz sind nicht sonderlich streng.

Haftung mit Privatvermögen

Das Plakativste an Nis 2 sind sicher die Sanktionen. Wenn es in wichtigen Einrichtungen zu Schaden durch einen Cybervorfall kommt, muss das Unternehmen zum einen eine Geldbuße von bis zu sieben Millionen Euro oder 1,4% des gesamten Vorjahresumsatzes berappen. Außerdem - und das ist neu - kann dem Management im Extremfall vorübergehend die Geschäftsleitung entzogen werden.

Und: Manager haften mit ihrem Privatvermögen unbeschränkt für entstehende Schäden, das Unternehmen kann auf diesen Anspruch nicht verzichten. "Nis 2 macht IT-Sicherheit zur Chefsache", sagt Andreas Daum. "Die Richtlinie legt den Schwerpunkt auf Vorsorge. Die Geschäftsführung muss sich künftig darum kümmern, sie kann sich nicht durch die vollständige Delegation an die Fachabteilungen aus der Verantwortung schleichen."

Damit es zu solchen Sanktionen kommt, muss erst einmal ein Schaden entstehen. Nis 2 macht deutliche Vorgaben, was zu tun ist, um Schäden zu vermeiden. Unternehmen brauchen etwa Policys für die Risikoanalyse, Maßnahmen zur Aufrechterhaltung des Betriebs, ein Incident-Management, Verschlüsselung und einiges mehr, dazu kommen konkrete Meldepflichten.

Versicherungsanbieter setzen faktische Standards

Eine definitive Liste, mit welchen Maßnahmen ein Unternehmen auf der sicheren Seite steht, gibt es für Nis 2 allerdings nicht. "Es gelten die Best-Practice-Regeln, wie sie schon in der Datenschutz-Grundverordnung stehen", sagt Michael Veit, Manager Sales Engineering beim IT-Sicherheits-Dienstleister Sophos.

Auch das Bundesamt für die Sicherheit in der Informationstechnik mache Vorgaben. "Einen De-facto-Standard setzen zudem die Anbieter von Cyberrisiko-Versicherungen", so Veit. "Über einen Fragenkatalog etwa zu Security-Operations-Centern erstellen sie eine Risikoanalyse. Wer einen schlechten Tarif oder gar keine Versicherung angeboten bekommt, weiß, dass er etwas tun muss."

Hundertprozentige Sicherheit gibt es nicht. Unternehmen, die Opfer eines Cyberangriffs werden und umfangreiche IT-Sicherheit nachweisen können, haben aber gute Chancen, einem Bußgeld zu entgehen, erwartet Andreas Daum. Und haben dann auch keinen Anlass, ihrer Geschäftsführung ans Privatkonto zu gehen.

Dieser Artikel erschien zuerst in Der Handel.

MEHR ZUM THEMA:

Teilen
SB
Geschrieben vonStefan Becker

Redakteur

Stefan Becker arbeitet seit Sommer 2022 als Redakteur für „Der Handel“ und Etailment.de, nachdem er zuvor ein gutes Jahr als freier Mitarbeiter dabei war. Der Diplom-Journalist (TU Dortmund) kommt aus dem Lokaljournalismus („Recklinghäuser Zeitung“, Volontariat beim „Solinger Tageblatt“) und verbindet im Deutschen Fachverlag seine Erfahrungen aus dem Verbraucher- (sieben Jahre „Öko-Test“) und dem Fachzeitschriften-Journalismus (sechs Jahre „Touristik-Report“).

Alle Beiträge
Morning Briefing

Alles, was heute zählt — jeden Morgen in Ihrem Postfach.

Das Morning Briefing kuratiert die wichtigsten News aus E-Commerce und Handel. Kompakt, einordnend, werktäglich ab 7 Uhr.

  • 10.800+ Abonnenten
  • Werktäglich ab 7 Uhr
  • Jederzeit abbestellbar

Mit der Anmeldung stimmen Sie unserer Datenschutzerklärung zu. Abmeldung jederzeit möglich.