Rechenschaftspflicht im Bereich Cybersicherheit auf Vorstandsebene gemäß NIS2

Wer sollte das lesen: Vorstandsmitglieder, Führungskräfte, General Counsel, Unternehmenssekretäre und alle, die eine Unternehmensführung im Hinblick auf die NIS2-Konformität entwickeln.

Jahrzehntelang betrachteten Verwaltungsräte Cybersicherheit als technisches Problem — etwas, das an die IT-Abteilung delegiert wurde. Sicherheit war eine Haushaltslinie, kein Tagesordnungspunkt des Verwaltungsrates. NIS2 ändert dies grundlegend.

Gemäß Artikel 20 der Richtlinie obliegt die Cybersicherheitssteuerung den Verwaltungsräten. Sie schreibt vor, dass die Leitungsorgane wesentlicher und wichtiger Stellen Maßnahmen zum Cybersicherheitsrisikomanagement genehmigen, deren Umsetzung überwachen und für Verstöße persönlich haftbar gemacht werden können. Dies ist nicht optional. Es ist nicht delegierbar. Es handelt sich um eine behördliche Verpflichtung mit Konsequenzen für die persönliche Haftung.

In diesem Leitfaden wird erklärt, was Artikel 20 verlangt, wie sie umzusetzen sind und welchen Risiken Aufsichtsräte ausgesetzt sind, wenn sie sich nicht daran halten.

Die Anforderung nach Artikel 20: Drei Säulen

Artikel 20 Absatz 1 erlegt den Leitungsorganen drei Verpflichtungen auf:

Zunächst müssen sie die Maßnahmen des Unternehmens zum Cybersicherheitsrisikomanagement genehmigen, um Artikel 21 einzuhalten. Dies ist keine passive Zustimmung oder ein Stempel. Eine Genehmigung setzt voraus, dass verstanden wird, welche Maßnahmen vorgeschlagen werden, warum sie notwendig sind, wie sie umgesetzt werden und welche Ressourcen sie erfordern.

Zweitens müssen sie die Umsetzung dieser Maßnahmen überwachen. Einmal genehmigt, können Gremien nicht einfach weggehen. Sie müssen sicherstellen, dass die genehmigten Maßnahmen tatsächlich umgesetzt werden, dass die Umsetzung termingerecht erfolgt und dass alle Hindernisse oder Risiken an den Vorstand weitergeleitet werden.

Drittens können Leitungsorgane für Verstöße des Unternehmens gegen Artikel 21 haftbar gemacht werden. Dies ist eine persönliche Haftung. Wenn das Unternehmen Artikel 21 (die zehn Cybersicherheitsmaßnahmen) nicht einhält, können die Vorstandsmitglieder selbst je nach nationalem Recht mit Verwaltungsstrafen, rechtlicher Haftung und möglicherweise strafrechtlichen Anklagen rechnen.

Artikel 20 Absatz 2 fügt eine vierte Verpflichtung hinzu: Die Leitungsorgane müssen sicherstellen, dass ihre Mitglieder an Schulungen zum Thema Cybersicherheitsrisiken teilnehmen, und sie müssen ähnliche Schulungen für Mitarbeiter fördern (aber nicht vorschreiben).

Diese vier Verpflichtungen stellen einen grundlegenden Wandel dar: Cybersicherheit wird zu einer Angelegenheit der Unternehmensleitung und nicht zu einer technischen Angelegenheit, die an Spezialisten delegiert wird.

Genehmigung: Verstehen, was Sie genehmigen

Um Cybersicherheitsmaßnahmen zu genehmigen, müssen die Vorstandsmitglieder diese verstehen. Dabei handelt es sich um ein Schwellenproblem: Wenn Vorstandsmitglieder nicht über das Wissen verfügen, um Cybersicherheitsrisiken zu bewerten, können sie keine wirksamen Maßnahmen zu deren Bekämpfung genehmigen.

In der Praxis sollte die Genehmigung von Maßnahmen nach Artikel 21 durch den Verwaltungsrat ein strukturierter Prozess sein:

Ihr CISO oder Sicherheitschef sollte dem Vorstand eine Bewertung des Cybersicherheitsrisikos vorlegen. Bei dieser Bewertung sollten die kritischen Vermögenswerte und Dienste des Unternehmens, die Bedrohungen, denen diese Ressourcen ausgesetzt sind, die Wahrscheinlichkeit und die potenziellen Auswirkungen von Vorfällen sowie die Lücken in den aktuellen Kontrollen des Unternehmens identifiziert werden.

Der CISO sollte dann ein Programm für das Cybersicherheitsrisikomanagement vorlegen, in dem es im Wesentlichen darum geht, wie das Unternehmen die zehn Maßnahmen nach Artikel 21 Absatz 2 umsetzen wird. In der Präsentation sollte jede Maßnahme erläutert werden, warum sie notwendig ist, wie sie umgesetzt wird, welche Ressourcen sie benötigt und wie sie die identifizierten Risiken reduzieren wird.

Der Vorstand sollte die vorgeschlagenen Maßnahmen erörtern, Fragen stellen und die Kompromisse verstehen. So kann beispielsweise die Implementierung einer Multifaktor-Authentifizierung (Artikel 21 Absatz 2 Buchstabe j) die Sicherheit verbessern, aber auch den Benutzerkomfort beeinträchtigen. Der Vorstand sollte diese Kompromisse verstehen und sie bewusst befürworten.

Der Vorstand sollte dann die vorgeschlagenen Maßnahmen formell genehmigen, in der Regel durch einen Vorstandsbeschluss. Der Beschluss sollte in einem Vorstandsprotokoll dokumentiert werden.

Die Genehmigung durch den Vorstand ist kein einmaliges Ereignis. Die Maßnahmen sollten mindestens einmal jährlich überprüft, aktualisiert werden, um Veränderungen in der Bedrohungslage oder im Geschäftsbetrieb Rechnung zu tragen, und vom Vorstand erneut genehmigt werden.

Was wird genehmigt?

Der Vorstand sollte Folgendes genehmigen:

Eine Bewertung des Cybersicherheitsrisikos, die wesentliche Risiken für Netzwerk- und Informationssysteme sowie mögliche Auswirkungen auf die Erbringung von Diensten identifiziert.

Richtlinien und Verfahren zur Umsetzung jeder der zehn Maßnahmen nach Artikel 21 Absatz 2 — Risikoanalyse, Umgang mit Vorfällen, Geschäftskontinuität, Sicherheit der Lieferkette, sichere Entwicklung, Effektivitätsbewertung, Cyberhygiene, Kryptografie, Zugangskontrolle und Multifaktor-Authentifizierung. Diese Richtlinien sollten spezifisch für Ihr Unternehmen sein und keine generischen Rahmenbedingungen.

Ein Budget für Cybersicherheit, das die Ressourcen widerspiegelt, die für die Umsetzung und Aufrechterhaltung der genehmigten Maßnahmen erforderlich sind.

KPIs und Berichtskennzahlen, anhand derer der Vorstand die Umsetzung und Effektivität verfolgen kann.

Ein Zeitplan für die Umsetzung neuer oder verbesserter Maßnahmen mit klaren Meilensteinen.

Aufsicht: Überwachung der Umsetzung

Eine Genehmigung reicht nicht aus. Gemäß Artikel 20 Absatz 1 müssen die Gremien „die Umsetzung überwachen“.

Aufsicht ist aktive Regierungsführung. Das bedeutet, dass der Vorstand regelmäßig Berichte über den Stand der Cybersicherheitsmaßnahmen erhält, die Fortschritte bei der Umsetzung von Meilensteinen überprüft, Hindernisse identifiziert und Risiken eskaliert.

In der Regel sollte ein Vorstandsausschuss (häufig der Prüfungsausschuss oder ein spezielles Cybersicherheits-/Risikokomitee) mindestens vierteljährlich Berichte erhalten. Diese Berichte sollten Folgendes abdecken:

Stand der Umsetzung der genehmigten Cybersicherheitsmaßnahmen (Prozentsatz der Fertigstellung, etwaige Verzögerungen, Hindernisse).

Ergebnisse von Sicherheitstests und -bewertungen (Penetrationstests, Schwachstellenscans, Sicherheitsaudits), einschließlich aller kritischen Ergebnisse.

Vorfallaktivität (Anzahl der Vorfälle, Schweregrad, Auswirkung, Ursachenanalyse bedeutender Vorfälle).

Status der Einhaltung der Vorschriften (kommen wir unseren Verpflichtungen nach Artikel 21 nach? Welche Lücken bleiben bestehen?).

Personal- und Schulungsstatus (haben alle Vorstandsmitglieder und relevanten Mitarbeiter eine Cybersicherheitsschulung abgeschlossen?).

Prüf- und behördliche Feststellungen (was haben unsere interne Revision oder externe Gutachter festgestellt? Wie ist unser Stand der Problembehebung?).

Der Vorstand sollte über einen Mechanismus verfügen, um Probleme zu eskalieren. Wenn eine kritische Sicherheitslücke entdeckt wird oder ein Vorfall eintritt, der die Servicekontinuität oder das Vertrauen der Kunden beeinträchtigen könnte, sollte dies dem Vorstand sofort mitgeteilt werden und nicht auf einen vierteljährlichen Bericht warten.

Der Vorstand sollte sich außerdem regelmäßig (mindestens einmal jährlich) eingehend mit den Cybersicherheitsrisiken befassen. Dies kann eine umfassende Präsentation der Ergebnisse des Sicherheitsaudits, eine Überprüfung der Bedrohungslandschaft und der Veränderungen Ihres Risikoprofils oder eine praktische Übung zur Reaktion auf Vorfälle beinhalten, bei der der Vorstand während eines simulierten schwerwiegenden Verstoßes an der Entscheidungsfindung beteiligt ist.

Frequenz und Mechanismus

Die Aufsicht über Cybersicherheit durch den Vorstand sollte wie folgt sein:

Vierteljährliche Berichterstattung über den Implementierungsstatus, Vorfälle, Testergebnisse und Einhaltung der Vorschriften.

Jährliche eingehende Überprüfung, einschließlich vollständiger Risikobewertung, Prüfungsergebnisse, Effektivitätskennzahlen und Diskussion der strategischen Ausrichtung durch den Vorstand.

Eskalation in Echtzeit bei kritischen Vorfällen, schwerwiegenden Sicherheitslücken oder behördlichen Feststellungen.

Dies erfordert in der Regel einen Vorstandsausschuss mit ausreichenden Ressourcen. Dem Ausschuss sollten Vorstandsmitglieder mit gewissen Sicherheitskenntnissen (wenn auch nicht unbedingt mit technischem Fachwissen) angehören und externe Berater (Auditoren, Sicherheitsfirmen) mit der Bereitstellung unabhängigen Fachwissens beauftragen.

Persönliche Haftung: Die Konsequenz der Rechenschaftspflicht

An dieser Stelle weicht NIS2 von der bisherigen Praxis ab.

In Artikel 20 Absatz 1 heißt es, dass die Leitungsorgane „für Verstöße der Unternehmen gegen diesen Artikel [Artikel 21] haftbar gemacht werden können“.

Dies führt zu einer persönlichen Haftung der Vorstandsmitglieder. Wenn das Unternehmen die zehn Maßnahmen nach Artikel 21 Absatz 2 nicht umsetzt und dieses Versäumnis einen Schaden verursacht, können die Vorstandsmitglieder selbst mit Bußgeldern, rechtlicher Haftung oder, in einigen Ländern, strafrechtlichen Anklagen rechnen.

Der Ausdruck „kann haftbar gemacht werden“ ist wichtig. Es bedeutet, dass die Möglichkeit einer Haftung besteht; es führt nicht automatisch zu einer Haftung. In der Praxis würde eine Haftung entstehen, wenn:

Das Unternehmen versäumt es eindeutig, die nach Artikel 21 Absatz 2 erforderlichen Maßnahmen umzusetzen (z. B. hat es keine Fähigkeit, auf Vorfälle zu reagieren, keine Backup- und Disaster-Recovery-Maßnahmen, keine Cybersicherheitsrichtlinien).

Der Ausfall trägt direkt zu einem wichtigen Vorfall bei (z. B. einem Ransomware-Angriff, der den Betrieb tagelang unterbricht, weil das Unternehmen nicht über Backup und Disaster Recovery verfügt).

Aufsichtsbehörden oder Staatsanwälte stellen fest, dass der Vorstand die erforderlichen Maßnahmen nicht ordnungsgemäß genehmigt, überwacht oder gewährleistet hat.

Der Ausdruck „kann haftbar gemacht werden“ deutet auch darauf hin, dass die Haftung nicht automatisch für jeden Verstoß erfolgt. Wenn ein Unternehmen in gutem Glauben ein umfassendes Cybersicherheitsprogramm eingeführt hat (das alle zehn Maßnahmen umfasst, Richtlinien dokumentiert, Personal geschult), aber trotzdem ein raffinierter Angreifer das System verletzt, ist es unwahrscheinlich, dass der Vorstand persönlich haftbar gemacht wird. Wenn das Unternehmen jedoch fahrlässig oder rücksichtslos gehandelt hat (z. B. hat es versäumt, kritische Systeme zu patchen, obwohl es von Sicherheitslücken wusste), wird eine Haftung plausibler.

Haftungsbegrenzung

Um das Haftungsrisiko zu mindern, sollten Vorstände:

Sorgen Sie für einen soliden Cybersicherheits-Governance-Prozess mit dokumentierter Genehmigung und Überwachung (wie oben beschrieben).

Engagieren Sie qualifizierte CISO/Sicherheitsleiter, die den Vorstand in technischen und betrieblichen Fragen beraten können.

Dokumentieren Sie alle Diskussionen und Entscheidungen im Vorstand im Zusammenhang mit Cybersicherheit.

Stellen Sie sicher, dass das Unternehmen auf der Grundlage einer Risikobewertung angemessene Ressourcen für die Cybersicherheit bereitstellt.

Führen Sie regelmäßige (mindestens jährliche) Sicherheitsbewertungen durch und gehen Sie auf die Ergebnisse ein.

Schließen Sie eine Cyber-Haftpflichtversicherung ab, die die Haftung von Vorstandsmitgliedern abdeckt.

Stellen Sie sicher, dass das Unternehmen über Funktionen zur Reaktion auf Vorfälle und zur Geschäftskontinuität verfügt, damit es bei Verstößen effektiv reagieren kann.

Ignoriere keine roten Fahnen. Wenn das Sicherheitspersonal Bedenken hinsichtlich ungepatchter Systeme, Risiken in der Lieferkette oder unzureichender Reaktionsfähigkeit bei Vorfällen äußert, sollten Sie diese Bedenken umgehend ausräumen.

Halten Sie die Privathaftpflichtversicherung aktuell und stellen Sie sicher, dass sie Cybersicherheitsvorfälle abdeckt.

Schulung: Die Anforderungen an Vorstandskenntnisse

Artikel 20 Absatz 2 schreibt vor, dass „die Mitglieder der Leitungsorgane... an Schulungen teilnehmen müssen..., damit sie ausreichende Kenntnisse und Fähigkeiten erwerben, um Risiken zu erkennen und Praktiken im Bereich des Cybersicherheitsrisikomanagements sowie deren Auswirkungen auf die von dem Unternehmen erbrachten Dienstleistungen zu bewerten“.

Dies ist eine gesetzliche Anforderung. Die Vorstandsmitglieder müssen ausreichend geschult werden, um das Cybersicherheitsrisiko zu verstehen.

Das Training muss nicht technisch sein. Vorstandsmitglieder müssen nicht verstehen, wie man Firewalls konfiguriert oder sicheren Code schreibt. Aber sie sollten verstehen:

Die Arten von Bedrohungen, denen das Unternehmen ausgesetzt ist (externe Angreifer, Insider-Bedrohungen, Lieferkettenrisiken usw.).

Die möglichen Auswirkungen eines größeren Vorfalls auf die Geschäftstätigkeit und den Ruf des Unternehmens.

Die Risikotoleranz des Unternehmens und wie sie sich in den Cybersicherheitsrichtlinien widerspiegelt.

Was die zehn Maßnahmen nach Artikel 21 Absatz 2 sind und warum sie notwendig sind.

Wie das Cybersicherheitsrisiko mit anderen Unternehmensrisiken zusammenhängt (finanzielles Risiko, operatives Risiko, Compliance-Risiko).

Die Kosten-Nutzen-Abwägungen verschiedener Sicherheitsmaßnahmen.

Die Verfahren des Unternehmens zur Reaktion auf Vorfälle und die Rolle des Vorstands im Krisenmanagement.

Die Schulung sollte bei der ersten Ernennung von Vorstandsmitgliedern (Onboarding) stattfinden und mindestens einmal jährlich aktualisiert werden. Für Mitglieder mit einer längeren Amtszeit ist eine jährliche Schulung zu neu auftretenden Bedrohungen oder Änderungen des Risikoprofils des Unternehmens angemessen.

Organisationen sollten dokumentieren, dass die Schulung stattgefunden hat — entweder durch Schulungsunterlagen, Anmeldeformulare oder eine Bestätigung des Schulungsanbieters.

Inhalt der Schulung

Effektive Cybersicherheitsschulungen auf Vorstandsebene umfassen in der Regel:

Regulatorische Anforderungen an NIS2 und was „Artikel 20" bedeutet.

Die Bewertung des Cybersicherheitsrisikos des Unternehmens und die identifizierten Hauptrisiken.

Die Governance-Struktur des Unternehmens im Bereich Cybersicherheit und die Rolle des Vorstands.

Die zehn Maßnahmen nach Artikel 21 Absatz 2 und wie das Unternehmen sie umsetzt.

Die Verfahren zur Reaktion auf Vorfälle und die Eskalationsauslöser der Entität.

Jüngste bedeutende Cybervorfälle in der Branche des Unternehmens und gewonnene Erkenntnisse.

Neue Bedrohungen (Ransomware, Angriffe auf die Lieferkette usw.) und ihre Auswirkungen auf das Unternehmen.

Die Cybersicherheitsmetriken des Unternehmens und wie der Vorstand die Effektivität überwachen wird.

die persönliche Haftung der Vorstandsmitglieder gemäß Artikel 20 Absatz 1 und wie sie durch eine angemessene Unternehmensführung gemindert werden kann.

Schulungen können von internem Sicherheitspersonal, externen Cybersicherheitsfirmen, Schulungsanbietern oder Branchenverbänden durchgeführt werden. Der Inhalt sollte auf die Branche und das Risikoprofil des Unternehmens zugeschnitten sein.

Verwaltungsstruktur: Umsetzung von Artikel 20 in die Praxis

Artikel 20 ist ein Prinzip; um ihn in die Praxis umzusetzen, muss die Unternehmensführung gestaltet werden.

Die meisten Organisationen werden eine Führungsstruktur wie diese einrichten:

Der CISO oder Chief Information Security Officer (manchmal auch Leiter der Cybersicherheit, Sicherheitsdirektor oder gleichwertig genannt) ist verantwortlich für die Entwicklung und Umsetzung der zehn Maßnahmen nach Artikel 21 Absatz 2, die Durchführung von Risikobewertungen, die Verwaltung von Vorfällen und die Berichterstattung an den Vorstand.

Ein Vorstandsausschuss (Prüfungsausschuss, Risikoausschuss oder spezieller Cybersicherheitsausschuss) erhält regelmäßig Berichte vom CISO, erörtert Cybersicherheitsfragen und berät den Vorstand in Fragen der Cybersicherheit.

Der Vorstand genehmigt förmlich die Cybersicherheitsrisikobewertungen und das Cybersicherheitsrisikomanagementprogramm, erhält regelmäßige Berichte über die Umsetzung und Vorfälle und stellt sicher, dass die Organisation angemessene Ressourcen zuweist.

Der Chief Executive Officer (CEO) ist letztlich gegenüber dem Vorstand für die Einhaltung der Cybersicherheitsvorschriften verantwortlich.

Diese Struktur stellt sicher, dass Cybersicherheit wirklich eine Angelegenheit des Vorstands ist, ohne dass alle Vorstandsmitglieder technische Experten sein müssen.

Rollen und Verantwortlichkeiten

CISO: Entwicklung und Umsetzung von Maßnahmen nach Artikel 21 Absatz 2, Durchführung von Risikobewertungen, Bewältigung von Vorfällen, Berichterstattung an den Vorstandsausschuss, Sicherstellung der Einhaltung der Vorschriften.

Vorstandsausschuss: Erhalten Sie CISO-Berichte, bewerten Sie die Cybersicherheitsleistung, beraten Sie den Vorstand und identifizieren Sie Bereiche, in denen Beiträge des Vorstands erforderlich sind.

Vorstand: Genehmigen Sie Bewertungen und Maßnahmen zur Cybersicherheit, überwachen Sie die Umsetzung (durch den Ausschuss), stellen Sie sicher, dass Ressourcen zugewiesen werden, ziehen Sie den CISO zur Rechenschaft, verstehen und akzeptieren Sie Cyberrisiken.

CEO: Stellen Sie sicher, dass der CISO über angemessene Ressourcen und Befugnisse verfügt, leiten Sie kritische Vorfälle an den Vorstand weiter und übernehmen Sie die Verantwortung für Cybersicherheit als geschäftliche Notwendigkeit.

Allgemeiner Berater: Beratung zu regulatorischen Anforderungen, Verwaltung der rechtlichen Haftung, Abstimmung mit den Aufsichtsbehörden, Sicherstellung der Einhaltung der Vorschriften bei der Meldung von Vorfällen.

Checkliste für die praktische Unternehmensführung

Hier ist eine praktische Checkliste für die Umsetzung der Governance nach Artikel 20:

Aufsicht auf Vorstandsebene: Verfügt die Organisation über einen Mechanismus (Ausschuss oder Gesamtvorstand), der Cybersicherheitsberichte entgegennimmt und die Aufsicht wahrnimmt? Sind die Berichte mindestens vierteljährlich?

Bewertung des Cybersicherheitsrisikos: Hat der Vorstand eine schriftliche Bewertung des Cybersicherheitsrisikos geprüft und genehmigt, in der wesentliche Risiken identifiziert werden? Wurde diese Bewertung in den letzten 12 Monaten aktualisiert?

Genehmigte Maßnahmen: Hat der Ausschuss ein Programm für das Cybersicherheitsrisikomanagement, das alle zehn Maßnahmen nach Artikel 21 Absatz 2 behandelt, förmlich genehmigt? Ist diese Genehmigung im Vorstandsprotokoll dokumentiert?

Budget und Ressourcen: Hat der Vorstand das Budget und die Ressourcen bereitgestellt, die dem genehmigten Cybersicherheitsprogramm entsprechen? Gibt es einen Mechanismus zur Eskalation von Ressourcenlücken?

CISO-Autorität: Untersteht der CISO dem CEO oder direkt dem Vorstandsausschuss? Verfügt der CISO über ausreichende Befugnisse und ausreichende Zugriffsmöglichkeiten, um die genehmigten Maßnahmen umzusetzen?

Schulung des Vorstands: Haben alle Vorstandsmitglieder in den letzten 12 Monaten eine Cybersicherheitsschulung erhalten? Gibt es einen Schulungsnachweis?

Eskalation von Vorfällen: Hat der Vorstand klare Kriterien für die Eskalation von Cybersicherheitsvorfällen gegenüber dem Vorstand oder dem Vorstandsausschuss festgelegt? Sind Vorstandsmitglieder bei kritischen Vorfällen außerhalb der Geschäftszeiten erreichbar?

Überwachung der Einhaltung der Vorschriften: Gibt es ein Verfahren zur Überwachung der Einhaltung der Maßnahmen nach Artikel 21? Werden die Ergebnisse dem Vorstand gemeldet?

Haftpflichtversicherung: Hat die Organisation eine Cyber-Haftpflichtversicherung, die die Haftung von Vorstandsmitgliedern abdeckt?

Expertise von Drittanbietern: Hat das Unternehmen externe Berater (Auditoren, Sicherheitsfirmen) beauftragt, eine unabhängige Bewertung der Cybersicherheitsrisiken und -kontrollen vorzunehmen?

Wichtige Erkenntnisse

- Artikel 20 Absatz 1 schreibt vor, dass Maßnahmen zum Cybersicherheitsrisikomanagement auf Vorstandsebene genehmigt und überwacht werden, sodass die Vorstandsmitglieder persönlich haften, wenn das Unternehmen die Maßnahmen nach Artikel 21 nicht einhält.

- Die Zustimmung des Vorstands muss informiert und dokumentiert werden; die Gremien sollten eine Bewertung des Cybersicherheitsrisikos und die vorgeschlagenen Maßnahmen nach Artikel 21 Absatz 2 erhalten, diese erörtern und verstehen und sie durch einen Vorstandsbeschluss formell genehmigen.

- Die Aufsicht durch den Vorstand erfordert eine aktive Überwachung (mindestens vierteljährliche Berichte) des Umsetzungsfortschritts, der Vorfallaktivitäten, der Bewertungsergebnisse, des Abschlusses von Schulungen und des Status der Einhaltung der Vorschriften. Ein Vorstandsausschuss sollte detaillierte Berichte erhalten und kritische Probleme an den gesamten Vorstand weiterleiten.

- Eine persönliche Haftung von Vorstandsmitgliedern entsteht, wenn das Unternehmen fahrlässig oder rücksichtslos die erforderlichen Maßnahmen nach Artikel 21 Absatz 2 nicht umsetzt und dieses Versäumnis zu einem materiellen Schaden beiträgt; das Haftungsrisiko wird durch eine dokumentierte Unternehmensführung, angemessene Ressourcen, regelmäßige Bewertungen und eine kompetente Sicherheitsleitung gemindert.

- Gemäß Artikel 20 Absatz 2 müssen alle Vorstandsmitglieder eine Cybersicherheitsschulung erhalten, die ausreicht, um Risiken zu verstehen und Cybersicherheitspraktiken zu bewerten. Schulungen sind bei der Ernennung und danach jährlich vorgeschrieben, und der Abschluss sollte dokumentiert werden.

- Die Führungsstruktur umfasst in der Regel einen CISO, der für die Umsetzung verantwortlich ist, einen Vorstandsausschuss, der Berichte entgegennimmt und den Vorstand berät, den Vorstand, der die Genehmigung und Überwachung durchführt, und den CEO, der dem Vorstand gegenüber rechenschaftspflichtig ist; klare Rollen, Berichtslinien und Eskalationsverfahren sind unerlässlich.