
Was Nis 2 für Händler bedeuten kann
2024 bringt die europäische Richtlinie zur IT-Sicherheit Nis 2 neue Haftungsrisiken. Auch Manager von Handelsunternehmen laufen Gefahr, mit ihrem Privatvermögen für Schäden einzustehen - aber nur, wenn sie die Digital Compliance schleifen lassen.
Für welche Händler Nis 2 gilt, ist noch nicht klar
Die Richtlinie betrifft nicht alle Unternehmen und nicht automatisch Händler - einige aber vermutlich durchaus. Denn Nis 2 gilt nicht nur für "wesentliche Einrichtungen" (kritische Infrastruktur), die bisher schon im Bereich Cybersicherheit besonders gefordert werden, sondern auch für "wichtige Einrichtungen". Und dazu gehören ausdrücklich Unternehmen, die sich mit dem Vertrieb von Lebensmitteln beschäftigen, außerdem Online-Marktplätze.
Ob aber klassische Supermärkte darunterfallen oder vielleicht nur Großhändler und wie ein Marktplatz definiert ist - das wird erst mit der Umsetzung von Nis 2 in deutsches Recht feststehen. "Die Behörden können nicht mehreren Zehntausend Unternehmen mitteilen, ob Nis 2 für sie gilt oder nicht", sagt Rechtsanwalt Paul Vogel, der ebenfalls für Noerr arbeitet. "Gegenwärtig ist die Frage der eigenen Betroffenheit tatsächlich etwas, das mit den eigenen Rechtsbeiständen diskutiert werden sollte."Weil auch Unternehmen der Abfallbewirtschaftung "wichtige Einrichtungen" sein können, stellt sich zudem die Frage, ob Händler mit eigenen Kreislaufsystemen (zum Beispiel für Getränkeflaschen) unter Nis 2 fallen könnten, sagt Rechtsanwalt Daum. Dann nämlich könnten sie als Entsorger gelten. Größe spielt für diese Diskussionen jedenfalls keine allzu große Rolle: Die Untergrenzen von 50 Mitarbeitern oder zehn Millionen Euro Bilanzsumme oder dieselbe Summe an Jahresumsatz sind nicht sonderlich streng.
Haftung mit Privatvermögen
Das Plakativste an Nis 2 sind sicher die Sanktionen. Wenn es in wichtigen Einrichtungen zu Schaden durch einen Cybervorfall kommt, muss das Unternehmen zum einen eine Geldbuße von bis zu sieben Millionen Euro oder 1,4% des gesamten Vorjahresumsatzes berappen. Außerdem - und das ist neu - kann dem Management im Extremfall vorübergehend die Geschäftsleitung entzogen werden.
Und: Manager haften mit ihrem Privatvermögen unbeschränkt für entstehende Schäden, das Unternehmen kann auf diesen Anspruch nicht verzichten. "Nis 2 macht IT-Sicherheit zur Chefsache", sagt Andreas Daum. "Die Richtlinie legt den Schwerpunkt auf Vorsorge. Die Geschäftsführung muss sich künftig darum kümmern, sie kann sich nicht durch die vollständige Delegation an die Fachabteilungen aus der Verantwortung schleichen."
Damit es zu solchen Sanktionen kommt, muss erst einmal ein Schaden entstehen. Nis 2 macht deutliche Vorgaben, was zu tun ist, um Schäden zu vermeiden. Unternehmen brauchen etwa Policys für die Risikoanalyse, Maßnahmen zur Aufrechterhaltung des Betriebs, ein Incident-Management, Verschlüsselung und einiges mehr, dazu kommen konkrete Meldepflichten.
Versicherungsanbieter setzen faktische Standards
Eine definitive Liste, mit welchen Maßnahmen ein Unternehmen auf der sicheren Seite steht, gibt es für Nis 2 allerdings nicht. "Es gelten die Best-Practice-Regeln, wie sie schon in der Datenschutz-Grundverordnung stehen", sagt Michael Veit, Manager Sales Engineering beim IT-Sicherheits-Dienstleister Sophos.
Auch das Bundesamt für die Sicherheit in der Informationstechnik mache Vorgaben. "Einen De-facto-Standard setzen zudem die Anbieter von Cyberrisiko-Versicherungen", so Veit. "Über einen Fragenkatalog etwa zu Security-Operations-Centern erstellen sie eine Risikoanalyse. Wer einen schlechten Tarif oder gar keine Versicherung angeboten bekommt, weiß, dass er etwas tun muss."
Hundertprozentige Sicherheit gibt es nicht. Unternehmen, die Opfer eines Cyberangriffs werden und umfangreiche IT-Sicherheit nachweisen können, haben aber gute Chancen, einem Bußgeld zu entgehen, erwartet Andreas Daum. Und haben dann auch keinen Anlass, ihrer Geschäftsführung ans Privatkonto zu gehen.
Dieser Artikel erschien zuerst in Der Handel.
MEHR ZUM THEMA:
Redakteur
Stefan Becker arbeitet seit Sommer 2022 als Redakteur für „Der Handel“ und Etailment.de, nachdem er zuvor ein gutes Jahr als freier Mitarbeiter dabei war. Der Diplom-Journalist (TU Dortmund) kommt aus dem Lokaljournalismus („Recklinghäuser Zeitung“, Volontariat beim „Solinger Tageblatt“) und verbindet im Deutschen Fachverlag seine Erfahrungen aus dem Verbraucher- (sieben Jahre „Öko-Test“) und dem Fachzeitschriften-Journalismus (sechs Jahre „Touristik-Report“).
Alle Beiträge