Cyber­si­cher­heit als Risi­ko und Governance-Pflicht

Gesetz­li­che Anfor­de­run­gen und haf­tungs­re­le­van­te Risi­ken für Unter­neh­mens­lei­tung und Aufsichtsgremien

Durch den CRA und die NIS-2-Richtlinie wird Cyber­si­cher­heit auch gesetz­lich zur zen­tra­len Füh­rungs­auf­ga­be, die von Vor­stand und Geschäfts­füh­rung aktiv gesteu­ert wer­den muss. Es emp­fiehlt sich daher, Cyber­si­cher­heit als fes­ten Bestand­teil der Unter­neh­mens­stra­te­gie zu ver­an­kern und regel­mä­ßig auf Ebe­ne der Geschäfts­lei­tung und in Aufsichts- und Bei­rats­gre­mi­en zu the­ma­ti­sie­ren. Essen­zi­ell ist auch die kla­re Zuwei­sung von Ver­ant­wort­lich­kei­ten, etwa durch die Bestel­lung eines Chief Infor­ma­ti­on Secu­ri­ty Offi­cers (CISO) mit direk­ter Berichts­li­nie an die Geschäfts­lei­tung, außer­dem die regel­mä­ßi­ge Über­wa­chung und kri­ti­sche Hin­ter­fra­gung der Wirk­sam­keit der getrof­fe­nen Maß­nah­men durch die Kontrollgremien.

Ste­fan Hes­sel zeigt in sei­nem Bei­trag in der ZCG 1/2026, wie die NIS-2-Richtlinie und der Cyber Resi­li­ence Act als neue gesetz­li­che Anfor­de­run­gen an Cyber­si­cher­heit in die Risi­ko­be­richt­erstat­tung ein­ge­bun­den wer­den kön­nen und wel­che Risi­ken bei Ver­stö­ßen dro­hen. Ziel ist es, Unter­neh­mens­lei­tung, Auf­sichts­gre­mi­en, Prü­fe­rin­nen und Prü­fer dabei zu unter­stüt­zen, die neu­en Anfor­de­run­gen im Sin­ne einer anfor­de­rungs­ge­rech­ten Cor­po­ra­te Gover­nan­ce zu erfüllen.

Den voll­stän­di­gen Arti­kel fin­den Sie hier.