Geplante Umsetzung von NIS-2- und CER-Richtlinie: Wenn (Cy-ber-)Sicherheit plötzlich zur Chefsache wird

In den frühen Morgenstunden des 12.2.2024 wurde mit der VARTA AG einer der prominentesten deutschen Batteriehersteller Ziel eines Cyberangriffs. Die Angreifer infiltrierten Teile der IT-Systeme, was letztlich dazu führte, dass das Unternehmen mehrere Produktionsstätten als auch die Verwaltung vorübergehend herunterfahren bzw. vom Netz nehmen musste. Die Auswirkungen des Angriffs auf die Geschäftsabläufe sind nach wie vor nicht vollständig abschätzbar, aber klar dürfte sein, dass die Pläne für das Erreichen der Umsatzziele bereits unmittelbar zu Beginn des Jahres 2024 einen erheblichen Rückschlag erlitten haben.

Nur zwei Tage später, am 14.2.2024, war auch das Berliner TechDAX-Unternehmen PSI-Software SE von einem Cyberangriff betroffen. Ähnlich wie bei der VARTA AG hat das Unternehmen – nach eigenen Angaben proaktiv – seine IT-Infrastruktur vorübergehend vom Internet getrennt, um Datenschutzverletzungen und Datenbeschädigungen zu verhindern. Auch hier kam der Geschäftsbetrieb des Unternehmens jedenfalls zeitweise zum Erliegen.

Kaum einen Monat später am 5.3.2024, ist auch das Werk des amerikanischen Automobilherstellers Tesla Inc. in Grünheide von einem direkten Angriff auf seine Infrastruktur betroffen. Zwar handelt es sich diesmal nicht um einen Cyberangriff, vielmehr hat die linksextremistische "Vulkangruppe“ sich zu einem Brandanschlag auf einen Hochspannungsmast bekannt, infolgedessen die Stromversorgung des Werks unterbrochen wurde. Indes führte der Angriff auch hier zu einem vorübergehenden Produktionsstillstand und verursachte – nach Unternehmensangaben – Schäden im hohen neunstelligen Bereich.

Diese Ereignisse unterstreichen exemplarisch die zunehmende Bedrohungslage durch Cyberangriffe und physische Sabotageakte gleichermaßen, die Unternehmen und ihre (kritische) Infrastruktur auch hierzulande betreffen. Sie belegen damit eine ganz eigene Notwendigkeit für verstärkte Sicherheitsmaßnahmen und eine umfassende Vorbereitung, um die erforderliche Resilienz gegenüber möglichen disruptiven Bedrohungen zu erhöhen.

Im Zeitalter des „Internet of things“, der „Industrie 4.0“ und der „Künstlichen Intelligenz (KI)“ ist die Notwendigkeit kontinuierlicher und vorausschauender Entgegnung auf sich stetig weiterentwickelnde Bedrohungen aus dem „Cyberraum“ – also dem virtuellen Raum aller weltweit auf Datenebene vernetzten bzw. vernetzbaren informationstechnischen Systeme¹ – für Netz- und Informationssysteme dabei längst politischer als auch juristischer Alltag geworden. Dem Facettenreichtum, der in diesem Kontext potenziell zu berücksichtigenden Bedrohungsszenarien entspricht es dabei, dass der Rat der Europäischen Union und das Europäische Parlament mittels Richtlinien und Verordnungen die Resilienz relevanter Einrichtungen gerade auch im Hinblick auf Bedrohungen aus dem Cyberraum in vielfältigen Bereichen des Verwaltungs-, Wirtschafts- und Gesellschaftslebens zu stärken versuchen.

Betroffene Schutzgüter sind dabei nicht weniger als diejenigen „Netz- und Informationssysteme, die zur Erbringung wesentlicher Dienste in Schlüsselsektoren verwendet werden,“² mit deren Schutz letztlich die „Sicherheit der Union“ selbst gewährleistet und damit das „reibungslose Funktionieren ihrer Wirtschaft und Gesellschaft“³ insgesamt gesichert werden soll. In diesem Zuge sind ebenfalls diejenigen Dienste im europäischen Binnenmarkt, welche für „die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten unerlässlich sind,“⁴ Gegenstand eines über die Cybersicherheit hinausgehenden Ansatzes, der insbesondere auch physische Schutzmaßnahmen betrifft. Dass eine umfassende Resilienz der vorgenannten Dienste kohärent sowohl den Schutz von Netz- und Informationssystemen als auch einen physischen Schutzstandard verlangt, liegt dabei auf der Hand.⁵

Die Erforderlichkeit stetiger Evaluierung und gegebenenfalls umfassender Anpassung dieses regulatorischen Rahmens begründet sich – nach Auffassung des europäischen Richtliniengebers – neben dem erheblichen Schadenspotenzial für Wirtschaft und Gesellschaft aufgrund drohender Beeinträchtigung wirtschaftlicher Tätigkeiten im Binnenmarkt und möglichen finanziellen Verlusten jeglicher Art,⁶ insbesondere auch aus der dynamischen Entwicklung sich wandelnder Bedrohungslagen sowie nicht zuletzt wachsenden Verzahnungen und Abhängigkeiten von wirtschaftlich und gesellschaftlich elementaren Einrichtungen.⁷

Um der daraus resultierenden Vielgestaltigkeit potenzieller Beeinträchtigungen von Binnenmarkt, Wirtschaft und Gesellschaft gleichermaßen Rechnung zu tragen, berücksichtigen die einschlägigen Unionsrechtsakte daher die gesamte Bandbreite in Frage kommender Beeinträchtigungen, beginnend bei der (Kleinst-)Cyberkriminalität über Formen des (Cyber-)Terrorismus bis hin zu Naturkatastrophen, Pandemie-Ereignissen und sonstigen Schadenslagen.⁸ Konsequenterweise erkennen die einschlägigen Unionsrechtsakte dabei durchaus an, dass Aspekte der physischen Sicherheit und Cybersicherheit gleichsam für die (informationstechnische) Resilienz der betroffenen Einrichtungen von Bedeutung sein können und daher in einem ganzheitlichen und sich ergänzenden regulatorischen Rahmen, der insbesondere auch grenzüberschreitend erbrachte Dienste und die hiermit verbundene Sensibilität der zugrundeliegenden Infrastruktur berücksichtigt, zu fördern sind.⁹

Die physische Sicherheit kritischer Einrichtungen, also solcher Einrichtungen, denen als Anbieter „wesentlicher Dienste eine unverzichtbare Rolle bei der Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten im Binnenmarkt“¹⁰ zukommt, ist im Wesentlichen Gegenstand der CER-Richtlinie. Die CER-Richtlinie folgt dabei auf die Richtlinie 2008/114/EG vom 8.12.2008¹¹, wobei sich das Leitmotiv, in Form der Ausweisung und dem Schutz kritischer Infrastrukturen, dem Grunde nach nicht verändert hat. Wesentliche Neuerung ist dagegen die Berücksichtigung von „wachsenden gegenseitigen Abhängigkeiten zwischen Infrastrukturen und Sektoren“¹² und damit die Feststellung, dass Schutzmaßnahmen allein für einzelne Objekte nicht ausreichen, um alle Störungen zu verhindern. Ziel der CER-Richtlinie ist damit nunmehr insbesondere eine angemessene Reaktion auf sog. „Kaskadeneffekte“, im Zuge derer sich die Auswirkungen einzelner Störungen als Ergebnis zunehmend grenzüberschreitend verflochtener Liefer- und Dienstleistungsketten auf mehrere Mitgliedsstaaten erstrecken können.¹³

Eine Umsetzung auf mitgliedsstaatlicher Ebene ist dabei gem. Art. 26 Abs. 1 der CER-Richtlinie bereits zum 17.10.2024 vorzunehmen, jedoch seitens des Bundesministeriums des Innern und für Heimat (BMI) bisher lediglich in Form eines (zweiten) Referentenentwurfs des sog. KRITIS-Dachgesetzes¹⁴ (KRITIS-DachG) betrieben worden.

Den unionsgesetzgeberisch anerkannten „Zusammenhängen zwischen der Cybersicherheit und physischer Sicherheit von Einrichtungen“¹⁵ sowie der sich kontinuierlich fortentwickelnden Bedrohungslage im IT-Sicherheitsumfeld ist es geschuldet, dass nunmehr mit der Richtlinie NIS-2-Richtlinie ein koordiniertes, innovatives Handeln und eine angemessene Reaktion auf die „Ausweitung der Cyberbedrohungslage“¹⁶ der Mitgliedsstaaten ermöglicht werden soll.

Diese gem. Art. 41 Abs. 1 der Richtlinie ebenfalls bis zum 17.10.2024 in nationales Recht umzusetzende Start-Ziel-Bestimmung soll dabei ausweislich Art. 5 der NIS2-Richtlinie – sowie gleichsam Art. 3 der CER-Richtlinie – in Form einer Mindestharmonisierung der mitgliedsstaatlichen, regulatorischen Umsetzungsbestimmungen geschehen. Konkret bedeutet dies gem. Kapitel II und III der NIS2-Richtlinie u.a. die mitgliedsstaatliche Verpflichtung zur Entwicklung einer nationalen Cybersicherheitsstrategie (Art. 7), die Einrichtung eines oder mehrerer nationaler Computer-Notfallteams (CSIRTs) sowie deren unionsweite Vernetzung (Art. 15), eine europäische Schwachstellendatenbank (Art. 12), ebenso wie die Einrichtung und Organisation mitgliedsstaatlicher Cybersicherheitsbehörden. Weiterhin erfahren die Mitgliedsstaaten in Kapitel IV der NIS2-Richtlinie Instruktionen zur Ausgestaltung der Sektor bezogenen Cybersicherheitsgesetzgebung in Bezug auf wichtige und wesentliche Einrichtungen.

Nachdem sich die CER-Richtlinie überwiegend auf bereits etwa durch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (KritisV) „altbekannte“ regulierte Sektoren auswirkt, verhält sich dies bei der NIS-2-Richtlinie bedeutend anders. So lässt der unmittelbare Vergleich mit der Vorgängerrichtlinie (EU) 2016/1148¹⁷ (sog. NIS-Richtlinie) bereits einen signifikant erweiterten Anwendungsbereich erkennen: Mit nunmehr 18 enumerierten Sektoren hat sich die Zahl der betroffenen Sektoren mehr als verdoppelt.¹⁸

Diese erhebliche Erweiterung des Anwendungsbereichs im Vergleich zur Vorgängerrichtlinie geht dabei zwangsläufig mit einer hohen Zahl an betroffenen Einrichtungen einher. Der auf den 22.12.2023 datierte (dritte) Referentenentwurf des umgänglich „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG)“ genannten Regelwerks geht insoweit von bis zu 29.000 betroffenen Unternehmen (davon 8.100 „besonders wichtige“ und 20.900 „wichtige“ Einrichtungen) aus, die von der mit diesem Artikelgesetz u.a. avisierten Neufassung des BSIG betroffen sein dürften.¹⁹

Da es sich bei den bisher bekannt gewordenen Entwürfen – mit Ausnahme des am 27.9.2023 durch das BMI veröffentlichten Diskussionspapiers²⁰ – nicht um unmittelbar ministeriell verbreitete Dokumente handelt, ist indes ein gewisses Maß an Zurückhaltung bei der Durchsicht und Bewertung der bisherigen nationalen Umsetzungsbemühungen der NIS-2-Richtlinie angezeigt. Dass die bisher bekannt gewordenen Referentenentwürfe zum Bearbeitungsstand des NIS-2-UmsuCG vielfältige Reaktionen der potenziell betroffenen Unternehmen hervorgerufen und den Diskussionsbedarf zur regulatorischen IT-Sicherheitsarchitektur nachhaltig angeregt haben, verwundert indes nicht. Neben zahlreichen Melde- und Berichtspflichten der betroffenen Unternehmen, nachgeschärften Befugnissen und Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie angepassten Sanktionsvorschriften, bieten die Entwürfe so auch einen Einblick in die geplante Implementierung einer Cyber-Risikomanagementpflicht für betroffene Unternehmen als auch – durchaus bemerkenswert – ein eigenständiges Haftungsregime der Geschäftsleitung für Versäumnisse im Bereich der Cybersicherheit.

Die öffentlich zugänglichen Bearbeitungsstände des NIS-2-UmsuCG verlangen den betroffenen „wichtigen“ und „besonders wichtigen“ Einrichtungen – also solchen die ausweislich § 28 BSIG-E i.V.m. den Anlagen I und II entsprechend ihrer Sektorzugehörigkeit, der von ihnen erbrachten Dienstleistungen, ihrer Größe und ihrer Kritikalität von besonderer Schutzbedürftigkeit sind – mit den in § 30 BISG-E bzw. im Falle von Betreibern kritischer Anlagen § 31 BSIG-E getroffenen Regelungen gem. § 30 Abs. 1 BSIG-E nicht weniger ab als „(…) geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.“

Dass i.S.d. §§ 30, 31 BSIG-E vorgesehene Maßnahmen, deren Umfang nachfolgend konkretisiert wird (etwa „Multi-Faktor-Authentifizierung“ (§ 30 Abs. 2 Nr. 10), Schwachstellenmanagement (§ 30 Abs. 2 Nr. 5), Konzepte zum Einsatz von Kryptografie und Verschlüsselung (§ 30 Abs. 2 Nr. 8)), auch umgesetzt werden, soll dabei gem. § 38 Abs. 1 BSIG-E ausdrücklich dem Verantwortungsbereich der „Geschäftsleitung“ unterfallen: „Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.“

Diese Formulierung als unmittelbare Pflicht der Geschäftsleitung zur Billigung und Überwachung umzusetzenden Risikomanagementmaßnahmen entspringt nahezu wortgleich Art. 20 Abs. 1 Hs. 1 der NIS-2-Richtlinie und blieb über die bisher bekannt gewordenen Entwürfe des NIS-2-UmsuCG unverändert erhalten. Bemerkenswert erscheinen dagegen die bisherigen Ansätze zur Umsetzung von Art. 20 Abs. 1 Hs. 2 der NIS-2-Richtlinie. Danach ist seitens der Mitgliedsstaaten dafür Sorge zu tragen, dass die „Leitungsorgane wesentlicher und wichtiger Einrichtungen (…) für Verstöße gegen diesen Artikel durch die betreffenden Einrichtungen verantwortlich gemacht werden können.“

Die unionsrechtlich vorgesehene Verantwortlichkeit wurde im Referentenentwurf vom 03.04.2023 in § 38 Abs. 2 S. 1 BSIG-E zunächst wie folgt berücksichtigt: „Geschäftsleiter, welche ihre Pflichten nach Absatz 1 verletzen, haften der Einrichtung für den entstandenen Schaden.“

Aus der Pflichtverletzung resultierende Ersatzansprüche sollten zudem gem. § 38 Abs. 3 S. 1 BSIG-E (Bearbeitungstand: 3.4.2023) nicht zur Disposition der Einrichtung stehen. Auffällig ist dabei, dass die hier gewählte Formulierung eine offensichtliche Nähe zu zentralen Haftungsnormen des Gesellschaftsrechts wie etwa § 43 Abs. 2 GmbHG sowie § 93 Abs. 2 AktG aufweist, wobei der haftungsbegründende Tatbestand in der Verletzung der neu definierten Überwachungs- und Billigungspflichten der Geschäftsleitung besteht. Nachdem sich diese Formulierung auch im Referentenentwurf vom 3.7.2023 fand, ist sie in den Referentenentwürfen vom 27.9.2023 und 22.12.2023 nicht mehr enthalten. Geblieben ist mit. § 38 Abs. 2 S. 1 BSIG-E lediglich das Dispositionsverbot hinsichtlich bereits (anderweitig) bestehender Ersatzansprüche: „Ein Verzicht der Einrichtung auf Ersatzansprüche aufgrund einer Verletzung der Pflichten nach Absatz 1 oder ein Vergleich der Einrichtung über diese Ansprüche ist unwirksam.“

Aus der ministeriellen Begründung ergibt sich – jedenfalls mittelbar – auch der Grund für den Verzicht auf die zuvor gewählte Formulierung eines eigenen Haftungstatbestands: „Die Binnenhaftung des Geschäftsleitungsorgans bei Verletzung von Pflichten nach dem BSIG ergibt sich aus den allgemeinen Grundsätzen (bspw. § 93 AktG).“²¹ Diese lapidare Feststellung verdient deshalb gesonderte Aufmerksamkeit, da zwar in einschlägigen Fachpublikationen eine Haftung des Vorstands oder der Geschäftsführer für unzureichend umgesetzte oder unterlassene Sicherheitsmaßnahmen im Bereich der IT-Sicherheit angenommen wird,²² eine Auseinandersetzung der Rechtsprechung mit den hier einschlägigen Konstellationen indes noch nicht stattgefunden hat.

Wenig verwunderlich fiel daher auch die eher verhaltene Reaktion der einschlägigen Interessenvertretungen zum Referentenentwurf vom 27.9.2023 aus. Während der Verband der Internetwirtschaft e.V. noch kritisch anmerkte, dass die vorgelegte Regelung „eine direkte persönliche Haftung für die Geschäftsführer von wichtigen Einrichtungen (begründe) und diesen keine Möglichkeit zur Exkulpation“²³ biete, forderte der Bundesverband IT-Sicherheit e.V., dass die persönliche Haftung der Geschäftsleitung „klarer darzustellen und zudem auch zu schärfen“²⁴ sei. Auch der Bundesverband Breitbandkommunikation e.V. stellte fest, dass die Haftung sowie insbesondere der vorgesehene Ausschluss eines Haftungsverzichts die Geschäftsleitung „einem außerordentlich hohem und nicht verhältnismäßigem Risiko“²⁵ aussetze, wobei insbesondere „die strenge Haftungsregelung in Art. 20 der NIS-2-Richtlinie“ bereits genüge, um den gebotenen und entsprechend „hohen Stellenwert der Cybersicherheitsanforderungen auch gegenüber der Geschäftsleitung abzusichern“. Auch die Deutsche Industrie- und Handelskammer (DIHK) merkte insoweit an, „dass Haftungsfragen der Geschäftsleitung durch bestehende Regelungen im Gesellschaftsrecht (bereits hinreichend) abgedeckt“²⁶ seien, sodass es eines weiteren konstitutiven Haftungstatbestandes nicht bedürfe.

Vor diesem Hintergrund kann damit festgehalten werden, dass jedenfalls die bisherigen Reaktionen der einschlägigen Interessenvertretungen der künftig betroffenen Unternehmen hier kein einheitliches Verständnis einer – sich „aus allgemeinen Grundsätzen“ ergebenden – persönlichen Haftung der Geschäftsleitungen für Pflichtverletzungen im Rahmen des Cyber-Risikomanagements erkennen lassen. Ein Grund mehr also, sich mit den möglichen „allgemeinen Grundsätzen“ im Lichte der Cybersicherheit etwas genauer auseinander zu setzen.

Die Haftung von geschäftsleitenden Personen ist bspw. in Form der Haftungstatbestände des § 43 Abs. 2 GmbHG für Geschäftsführer einer GmbH oder des § 93 Abs. 2 AktG für Vorstandsmitglieder einer Aktiengesellschaft geregelt. Sowohl Geschäftsführer als auch Vorstandsmitglieder haben im Rahmen ihrer Geschäftsführung dabei die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Geschäftsführer und Vorstandsmitglieder, die ihre Pflichten verletzten, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens verpflichtet.

Die Haftung eines Geschäftsführers gem. § 43 Abs. 2 GmbHG bzw. eines Vorstandsmitglieds gem. § 93 Abs. 2 AktG setzt dabei nach der aktuellen Rechtsprechung die Verletzung einer „spezifisch organschaftlichen Pflicht“ voraus.²⁷ Als taugliche, haftungsbegründende Pflichtverletzungen kommen damit nur organbezogene Tätigkeiten in Betracht. Wo das Verhalten eines Geschäftsführers oder Vorstandsmitglieds nicht mehr in einem sachlichen Zusammenhang mit seiner dienstlichen Tätigkeit steht, scheidet eine Organhaftung damit regelmäßig aus.²⁸

Was dabei genau unter den (organschaftlichen) Pflichten i.S.d. § 43 Abs. 2 GmbHG bzw. § 93 Abs. 2 AktG im Einzelnen zu verstehen ist, wird in Rechtsprechung und Literatur indes nicht einheitlich beurteilt. Insbesondere eine eindeutige höchstrichterliche Rechtsprechung zum einschlägigen Pflichtenkreis existiert insoweit nicht. Vor diesem Hintergrund stellt sich insbesondere die Frage, inwieweit die Umsetzung der geforderten Risikomanagementmaßnahmen „besonders wichtiger“ und „wichtiger“ Einrichtungen der i.S.d. Umsetzung der NIS-2-Richtlinie im Kontext der organschaftlichen Pflichten eines Geschäftsleiters zu bewerten ist.

Unabhängig von den geplanten, durchgreifenden Änderungen ist der konkrete Pflichtenkreis von Geschäftsführern und Vorstandsmitgliedern im Detail zwar umstritten. Nach (wohl) herrschender Auffassung können dabei insbesondere für Geschäftsführer einer GmbH jedoch grundlegend vier Pflichtenkreise unterschieden werden²⁹: Erstens ist jeder Geschäftsführer gehalten, die im GmbHG, der Satzung und der Geschäftsordnung niedergelegten Organpflichten zu erfüllen und die das Unternehmen betreffenden Rechtsvorschriften des allgemeinen Zivilrechts, des Straf- und Ordnungswidrigkeitenrechts und des öffentlichen Rechts zu beachten (sog. Legalitätspflicht). Zweitens muss ein Geschäftsführer die ihm übertragene Unternehmensleitung innerhalb des gesetzlich vorgegebenen Pflichtenrahmens umfänglich wahrnehmen und sein Amt mit der erforderlichen Sorgfalt führen (sog. Sorgfaltspflicht). Drittens obliegt es dem Geschäftsführer, sich in geeigneter Weise von dem recht- und zweckmäßigen Verhalten nachgeordneter Unternehmensangehöriger und seiner Geschäftsführerkollegen zu überzeugen (sog. Überwachungspflicht). Viertens hat sich in jüngerer Zeit aus der allgemeinen Überwachungspflicht eine besondere Pflicht herausgebildet, Gesetzesverstöße von Unternehmensangehörigen schon im Vorfeld durch geeignete und zumutbare Schutzvorkehrungen zu verhindern (sog. Compliance-Pflicht).

Vor dem Hintergrund der derzeit in § 30 Abs. 1 BSIG-E (Bearbeitungsstand: 22.12.2023) vorgesehenen und unmittelbar an die „Geschäftsleitungen“ „besonders wichtiger“ und „wichtiger“ Einrichtungen adressierten Verpflichtung, die von diesen Einrichtungen nach § 30 BSIG-E „zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen,“ dürfte es sich hier um eine originäre, organschaftliche Pflicht der Geschäftsführer i.S.d. § 43 Abs. 2 GmbHG bzw. der Vorstandsmitglieder i.S.d. § 93 Abs. 2 AktG handeln. Neben der Verpflichtung zur Billigung und Überwachung gem. § 38 Abs. 1 BSIG-E statuiert so auch die Regelung des § 38 Abs. 3 BSIG-E eine flankierende Schulungsverpflichtung im Bereich der IT-Sicherheit. Danach müssen die Geschäftsleitungen „besonders wichtiger“ und „wichtiger“ Einrichtungen an Schulungen teilnehmen, um „ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik und die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste zu erwerben.“ Eine entsprechende unmittelbare Verpflichtung zur Schulung der Geschäftsleitung liefe dabei ins Leere, wenn sie nicht der Sicherung einer der Geschäftsleitung selbst unmittelbar übertragenen Aufgabenstellung dienen würde.

Insoweit lassen sich die Anforderungen der §§ 30, 38 BSIG-E hier grundsätzlich jedenfalls unter die Legalitäts- und Sorgfaltspflicht subsumieren. Insbesondere aufgrund des – nach wie vor – in § 38 Abs. 2 BSIG-E enthaltenen Dispositionsverbots über mögliche (Ersatz-)Ansprüche, erscheint eine genauere Zuordnung der Pflichten von Seiten des Gesetzgebers hier jedoch zwingend geboten. Dies gilt nicht zuletzt, da die Regelung des § 38 Abs. 2 BSIG-E nicht ausdrücklich in der umzusetzenden Richtlinienbestimmung enthalten ist, sondern allein dem – wenn auch europarechtlich zulässigen – Umsetzungsspielraum des deutschen Gesetzgebers entspringt.³⁰

Im Rahmen der zusätzlichen Pflichten, welche der Geschäftsleitung insbesondere im Rahmen der Umsetzung der NIS-2-Richtlinie auferlegt werden, stellt sich damit zudem die Frage einer möglichen Delegationsbefugnis sowie der Haftung für Verstöße Dritter. Der Geschäftsführer einer GmbH ist insoweit kraft seiner Amtsstellung zunächst für alle Angelegenheiten der Gesellschaft zuständig. Den Geschäftsführer trifft damit eine originäre Allzuständigkeit für sämtliche unternehmensbezogenen Pflichten.³¹ Jedoch ist der einzelne Geschäftsführer regelmäßig nicht in der Lage, sämtliche der ihm übertragenen Aufgaben höchstpersönlich zu erfüllen. In der Praxis können (und müssen) Geschäftsführer als Bestandteil der Pflicht zur ordnungsgemäßen Unternehmensleitung daher einzelne Aufgaben im Wege der „vertikale Arbeitsteilung“ an nachgeordnete Mitarbeiter übertragen.³² Die Erläuterungen zu § 38 Abs. 1 BSIG-E tangieren den Themenkomplex einer potenziellen vertikalen Arbeitsteilung dagegen lediglich wie folgt: „Absatz 1 dient der Umsetzung von Artikel 20 Absatz 1 der NIS-2-Richtlinie und der dort vorgesehenen Pflichten der organschaftlichen Geschäftsleitungen. Auch bei Einschaltung von Hilfspersonen bleibt das Leitungsorgan letztverantwortlich.”

Der Gesetzgeber gesteht dem Geschäftsleiter damit zwar grundsätzlich die Inanspruchnahme von „Hilfspersonen“ zu, verortet die Letztverantwortlichkeit jedoch nach wie vor bei dem Geschäftsleiter selbst. Diese vergleichsweise wenig präzisen Ausführungen lassen sich mit den differenzierten Grundsätzen in Rechtsprechung und Literatur zur „vertikale Arbeitsteilung“ nur bedingt in Einklang bringen. Denn für diese Verantwortlichkeit gilt zunächst, dass Geschäftsführer und Vorstandsmitglieder stets nur für eigenes Verschulden haften, da es für die Zurechnung des Fehlverhaltens von Unternehmensangehörigen an einer gesetzlichen Grundlage fehlt.³³ Insbesondere eine Zurechnung fremden Verschuldens i.S.d. § 278 BGB scheidet aus, da auch nachgeordnete Unternehmensangehörige ausschließlich im Pflichtenkreis der Gesellschaft, nicht jedoch als Erfüllungsgehilfen der Geschäftsführer bzw. des Vorstands tätig werden. Geschäftsführung und Vorstand nehmen mit ihren Weisungen insoweit lediglich das der Gesellschaft in der Rolle des Arbeitgebers zustehende Direktionsrecht wahr.³⁴

Infolge einer wirksamen, vertikalen Übertragung von Aufgaben tritt damit jedoch keinesfalls ein vollständiger Verantwortungsausschluss ein. Zwar haftet ein Geschäftsführer – auch im Rahmen vertikaler Arbeitsteilung – nicht für Pflichtverletzungen Dritter.³⁵ Jedoch wandelt sich die ursprünglich eigene, originäre Verantwortlichkeit in Auswahl-, Anleitungs- und Kontroll- bzw. Überwachungspflichten um.³⁶ Der einzelne Geschäftsführer haftet somit im Schadensfall grundsätzlich nur für eigenes Verschulden bezüglich der Auswahl, Einweisung und Überwachung des konkreten Unternehmensangehörigen.

Die sorgfältige Auswahl beschreibt dabei zunächst diejenigen Verhaltensmaßstäbe, die ein Geschäftsführer bei der erstmaligen Übertragung neuer Aufgaben an nachgeordnete Unternehmensangehörige anzuwenden hat. Dazu gehört insbesondere, dass die betreffenden Unternehmensangehörigen die erforderlichen persönlichen und fachlichen Qualifikationen besitzen, um die ihnen zugewiesenen Aufgaben ordnungsgemäß erfüllen zu können.³⁷ Welcher persönlichen und fachlichen Qualifikation es dabei im konkreten Einzelfall bedarf, hängt stets von der zu übertragenen Aufgabenstellung ab. Je komplexer und anspruchsvoller die übertragenen Aufgaben ausfallen und je höher die damit verbundenen unternehmensgefährdenden Risiken sind, desto strengere Maßstäbe sind dabei an die Sorgfaltsanforderungen des Geschäftsführers zu stellen.³⁸

Der Maßstab der sorgfältigen Anleitung verpflichtet den Geschäftsführer im Weiteren, die betreffenden Unternehmensangehörigen ordnungsgemäß in ihren Verantwortungsbereich einzuweisen und ihnen die übertragenen Aufgaben zu erläutern.³⁹ Die Unternehmensangehörigen müssen dabei nicht nur wissen, an wen sie zu berichten haben, sondern auch mit den unternehmensinternen Regeln der Aufbau- und Ablauforganisation bekannt gemacht werden.⁴⁰ Zudem kann es erforderlich sein, sie auf besondere Gefahrenmomente hinzuweisen oder vor typischen Rechtsverletzungen zu warnen. Dabei kann sich die Notwendigkeit einer Unterweisung im Zeitablauf (bspw. in Folge von Rechtsänderungen oder der Einführung neuer Produktionstechniken) erneut stellen. In einem dynamischen Unternehmensumfeld wandelt sich die Einweisungspflicht so regelmäßig zu einer ständigen Schulungs- und Fortbildungspflicht.⁴¹

Letztendlich trifft den Geschäftsführer hinsichtlich des ordnungsgemäß ausgewählten und angeleiteten Unternehmensangehörigen eine eigenständige Überwachungs- und Kontrollpflicht, um sicherzustellen, dass die Unternehmensangehörigen den ihnen übertragenen Aufgaben auch ordnungsgemäß nachkommen.⁴²

Auch die Überwachungs- und Kontrollpflichten lassen sich dabei schematisch nur schwer fassen, da auch diese letztendlich von einer Vielzahl von Faktoren bedingt werden. Die Intensität der notwendigen Überwachung und Kontrolle werden dabei regelmäßig sowohl von der Art, Größe als auch Organisation des Unternehmens sowie der Vielzahl der von ihm zu beachtenden Vorschriften beeinflusst. Auch Art und Umfang der im konkreten Einzelfall übertragenen Aufgabe können dem delegierenden Geschäftsführer gegebenenfalls eine gesteigerte Überwachungspflicht abverlangen.⁴³ Hinzu kommen ebenfalls Umstände in der Person des jeweiligen Unternehmensangehörigen sowie die Dauer der Aufgabenübertragung. Auch bestehen entsprechende Wechselwirkungen zwischen sorgfältiger Auswahl, Anleitung und Überwachung bzw. Kontrolle. Je höher die persönliche und fachliche Qualifikation des mit der Aufgabe betrauten Unternehmensangehörigen ausfällt, desto weniger bedarf er der Anleitung, Überwachung und Kontrolle durch die Geschäftsführung.⁴⁴ Andererseits dürfte von Seiten der Geschäftsführung entsprechend mehr Sorgfalt in Bezug auf Anleitung, Überwachung und Kontrolle verlangt werden, je oberflächlicher die initiale Auswahl des Unternehmensangehörigen erfolgte.⁴⁵

Vor diesem Hintergrund bleibt unklar, ob eine vertikale Aufgabenteilung auch im Rahmen der Pflichten des §§ 30, 38 BSIG-E ohne Weiteres zulässig sein soll und der Gesetzgeber im Rahmen der Letztverantwortlichkeit des Leitungsorgans hier lediglich deklaratorisch auf die Umwandlung der originären Allzuständigkeit in entsprechend sorgfältig auszuübende Auswahl-, Anleitungs- und Kontroll- bzw. Überwachungspflichten hinweisen wollte, oder ob nicht sogar davon auszugehen ist, dass die Pflichten des §§ 30, 38 BSIG-E dem unverzichtbaren und unveräußerlichen Kernbereich der Geschäftsleitungsaufgaben zuzuordnen sind, für den eine Übertragung von Aufgaben – ausnahmsweise – nicht zugelassen ist.

Die Anforderungen der NIS-2-Richtline und der CER-Richtlinie sind – insbesondere unter dem Gesichtspunkt eines ganzheitlichen Schutzes (kritischer) Infrastrukturen – grundsätzlich positiv zu bewerten. Gerade die auf Ebene des Unionsgebers zwischenzeitlich erkannten Zusammenhänge zwischen der Cybersicherheit einerseits und der physischen Sicherheit von Einrichtungen andererseits, sind geeignet, auf ein nachhaltig höheres Schutzniveau hinzuwirken. Dass damit auch der Adressatenkreis der betroffenen Unternehmen (signifikant) steigt, mag damit zwar notwendigerweise einhergehen. In jedem Fall entbindet es den Gesetzgeber jedoch nicht davon, mit eindeutigen, verständlichen und in der Praxis auch realisierbaren Anforderungen für die notwendige Rechtssicherheit Sorge zu tragen. Insbesondere die Regelungen zur Billigungs-, Überwachungs- und Schulungspflicht der §§ 30, 38 BSIG-E machen deutlich, dass hier durchaus noch Handlungsbedarf besteht. Eine insoweit höchstpersönliche Billigungs- und Überwachungspflicht für Geschäftsleitungen „besonders wichtiger“ und „wichtiger“ Einrichtungen erscheint mit dem bereits jetzt umfassenden Aufgabenspektrum der Geschäftsleitungen sowie dem regelmäßig kaum in der notwendigen Tiefe vorhandenen technischen Fachwissen nur schwer vereinbar. Entsprechend dürfte auch eine gesonderte Schulungsverpflichtung zwar in der Theorie durchaus gut gemeint, aber in der Realität kaum im erforderlichen Maße umsetzbar sein. Es bedarf somit eindeutiger und unmissverständlicher Regelungen in Bezug auf Dispositionsbefugnisse und die daraus resultierenden Verantwortlichkeiten, um nicht nur eine im Geschäftsalltag tatsächlich handlungsfähige Geschäftsleitung zu erhalten, sondern auch den Bereich der Cybersicherheit wirksam zu stärken.

Der derzeitige Referentenentwurf des BMI hat damit noch einen weiten Weg vor sich, und mit der bereits am 17.10.2024 endenden Frist zur Umsetzung von NIS-2-Richtlinie und CER-Richtline, läuft der Bundesrepublik Deutschland bei der Umsetzung europäischer Gesetzgebung – wie leider so oft – die Zeit davon.