Cyber-Sicherheit spielt in der heutigen Zeit eine immanente Rolle. Dies einerseits, weil sich Cyber-Vorfälle (etwa Cyber-Angriffe) häufen und vermehrt zu Schäden führen; andererseits, weil an die Cyber-Sicherheit angelegte Maßstäbe sowie rechtliche Verpflichtungen in diesem Zusammenhang zunehmen.
So hat etwa der Europäische Gesetzgeber die Bedeutung von Cyber-Sicherheit erkannt und entsprechend einzuhaltende Maßnahmen normativ festgelegt oder zumindest in Form von Soft-Law als Empfehlungen herausgegeben. Die Vielzahl derartiger Vorgaben führt zwar zu einem Dschungel von Regularien, doch ist dieser oftmals dem technologischen Fortschritt mit stets neuen Herausforderungen geschuldet. Mit zunehmendem Digitalisierungsgrad nimmt nämlich auch das Cyber-Risiko zu.
Aufgrund der großen faktischen Bedeutung und des weiten Anwendungsbereichs einschlägiger Normen ist es unabdingbar, sich den rechtlichen Verpflichtungen im Zusammenhang mit Cyber-Sicherheit bewusst zu werden. In diesem Beitrag soll deshalb ein Einblick in die bereits geltenden Vorgaben gegeben werden.
Verbindliche Cyber-Sicherheitsmaßnahmen
Bereits in der Datenschutz-Grundverordnung (“DSGVO”) finden sich Vorgaben zur Cyber-Sicherheit. In deren Artikel 5 (1) lit f existiert etwa die Vorgabe, dass personenbezogene Daten “in einer Weise verarbeitet werden [müssen], die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.” Ergänzend dazu statuiert Artikel 32 DSGVO verpflichtende Vorgaben an technische und organisatorische Maßnahmen mit Verweis auf den Stand der Technik. Neben dem Datenschutzrecht existieren jedoch auch eine Vielzahl weiterer Normen, welche Cyber-Sicherheit vorschreiben.
Eine davon ist das Netz- und Informationssystemsicherheitsgesetz (“NISG”). Dieses sieht zum Beispiel für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste entsprechende Maßnahmen vor. Wenngleich Handelsunternehmen derzeit zwar noch nicht in jedem Fall unter die Cyber-Verpflichtungen des NISG fallen, so könnte sich das in Zukunft bald ändern.
Mit der Umsetzung der Nachfolgerichtlinie des dem NISG zugrundeliegenden europarechtlichen Rechtsakts in nationales Recht droht nämlich ein erheblich weiterer Anwendungsbereich. Mit Umsetzung der NIS2-Richtlinie könnten dann auch ein wesentlicher Teil von weiteren Unternehmen zur Einhaltung von angemessenen Cyber-Sicherheitsmaßnahmen verpflichtet sein. Neben dem Eigeninteresse an guten Cyber-Sicherheitsmaßnahmen also ein Grund mehr die eigene Cyber-Sicherheit zu stärken und am aktuellen Stand der Dinge zu bleiben – dies betrifft die technischen Möglichkeiten genauso wie die rechtliche Komponente.
Mit Blick auf den europäischen Gesetzgeber kann nämlich in Zukunft mit einer weiteren Zunahme an Rechtsakten im Zusammenhang mit Cyber-Sicherheit gerechnet werden. Die ersten diesbezüglichen Entwürfe befinden sich bereits in der “Pipeline” und könnten in den nächsten Jahren bereits schlagend werden.
Verstoß gegen Verpflichtungen
Wird gegen verpflichtende Cyber-Sicherheitsmaßnahmen verstoßen, drohen nicht nur Sanktionen, sondern auch schadenersatzrechtliche Haftungen. Haftungen welche auch das Management treffen könnten!
Darüber hinaus resultieren aus mangelnder Cyber-Sicherheit oftmals auch faktische Konsequenzen. Angefangen von Datenverlust über kostspielige Betriebsunterbrechungen bis hin zu einem Brand – um nur ein paar Auswirkungen zu nennen. Angemessene Cyber-Sicherheit ist daher essentiell!
Conclusio
Cyber-Sicherheit wird auch für den Gesetzgeber zunehmend wichtiger. Gleiches sollte für Unternehmen gelten. Werden verpflichtende Cyber-Sicherheitsmaßnahmen nicht eingehalten, drohen neben den damit einhergehenden faktischen Konsequenzen auch rechtliche. Das kann auch für natürliche Personen aus dem Management ein großes (Haftungs-)Thema werden!
Um adäquat aufgestellt zu sein, ist es daher wesentlich sich regelmäßig und umfassend mit der Compliance und der Cyber-Sicherheit des eigenen Unternehmens auseinanderzusetzen und entsprechende Mängel rechtzeitig zu identifizieren. Im Schadenfall ist es meistens zu spät!
STADLER VÖLKEL Rechtsanwälte bietet qualifizierte Beratung in ausgewählten Schwerpunktbereichen, wie z.B. Wirtschafts- & Bankenrecht sowie Kryptowährungen. Mehr Infos finden Sie unter: www.sv.law
