NEU im #ConfareBlog
Dr. Irene Binder, Rechtsanwältin, NIS2-Compliance: 7 Fragen an IT-Rechtsanwältin Irene Binder zu den aktuellen regulatorischen Herausforderungen
Beim Confare Seminar „IT-Recht für CIOs: Haftungsrisiken minimieren, Compliance meistern“ unterstützt Rechtsanwältin Irene Binder IT-Entscheider*innen dabei, die rechtlichen Anforderungen an Organisation und IT zu verstehen und richtig umzusetzen. Ihr Ziel ist es dabei, praxisnah beim Minimieren von Haftungsrisiken und rechtlichen Fallstricken zu helfen. Im Interview rund um NIS2 und aktuelle Regulierungstrends, spricht Irene über ihre Rolle als Anwältin bei der Umsetzung der NIS2-Richtlinie in Unternehmen . Sie unterstützt bei der Risikobewertung und der Compliance-Strategie, insbesondere in der Anpassung von Verträgen und internen Richtlinien. Gleichzeitig beleuchtet sie die Herausforderungen, die sich durch die Komplexität der neuen Regularien und der persönlichen Haftung von Führungskräften ergeben.
Welche Rolle spielst Du als Rechtsanwalt dabei, wenn Unternehmen daran arbeiten, den neuen Regularien gerecht zu werden?
Als Rechtsanwalt spiele ich eine zentrale Rolle dabei, Unternehmen bei der Einhaltung der neuen Regularien, wie der NIS2-Richtlinie bzw. dem NISG 2024 in Österreich, zu unterstützen. Zunächst berate ich das Management hinsichtlich der Risiken und der notwendigen Maßnahmen, um NIS2-compliant zu werden. Dabei helfe ich den Unternehmen, die Anforderungen der NIS2-Richtlinie zu verstehen und in ihre Geschäftsprozesse zu integrieren.
Im weiteren Verlauf begleite ich das Projektmanagement regelmäßig bei der Entwicklung und Umsetzung der Sicherheitsstrategie. Dies umfasst die Identifikation relevanter Netz- und Informationssysteme, das Risikomanagement sowie die Festlegung geeigneter Maßnahmen. Zudem unterstütze ich bei der Dokumentation und der Anpassung interner Compliance-Maßnahmen, wie Richtlinien und Prozesse, an die neuen Vorgaben. Schließlich prüfe ich auch bestehende und neue Verträge mit Lieferanten, um sicherzustellen, dass die Regularien in der gesamten Lieferkette eingehalten werden.
Vor welchen Herausforderungen stehen denn Projektleiter dabei?
Die Projektleiter stehen bei der Umsetzung der NIS2-Richtlinie vor mehreren Herausforderungen. Eine der größten ist die Komplexität der regulatorischen Anforderungen, die oft abstrakt formuliert sind und branchenspezifisch interpretiert werden müssen. Viele Unternehmen, vor allem mittelständische, verfügen über begrenzte Ressourcen, sowohl personell als auch finanziell, um die umfassenden Anforderungen zu erfüllen.
Hinzu kommt, dass es häufig an interner Akzeptanz mangelt, da die neuen Regularien nicht immer als unmittelbare Priorität wahrgenommen werden. Da es sich um ein interdisziplinäres Projekt handelt, erfordert die Umsetzung eine enge Zusammenarbeit zwischen IT-Abteilungen, Fachabteilungen und der Geschäftsleitung. Schließlich stellt auch das Risikomanagement eine Herausforderung dar, da es oft schwierig ist, die relevanten Risiken zu identifizieren, zu bewerten und angemessene Maßnahmen zu ergreifen.
Sie suchen Orientierung in der Vielzahl der Gesetze und Regeln, die Ihre IT betreffen? Sichern Sie jetzt Ihren Platz beim Confare Seminar „IT-Recht für CIOs: Haftungsrisiken minimieren, Compliance meistern“.
Wie findet man den konkreten Startpunkt, zum Beispiel beim Umsetzen von NIS2?
Der konkrete Startpunkt ist meines Erachtens die Identifikation des/der Schutzziele, dann das Identifizieren der relevanten Netz- und IT-Systeme, die für den Betrieb oder für die Erbringung der Dienste im Zusammenhang mit dem/den Schutzzielen notwendig sind.
Welche Haftungsfragen ergeben sich durch die neue Rechtslegung? Wer ist betroffen?
Im Mittelpunkt der Haftung stehen die Leitungsorgane der wesentlichen und wichtigen Einrichtungen. Diese haften persönlich und haben die Einhaltung der Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen (NISG) bzw zu billigen, ihre Umsetzung zu überwachen (NIS2-RL). Daher ist es wichtig, die GF/den Vorstand bei der Planung und Umsetzung von NIS2 einzubeziehen und die Maßnahmen von diesen genehmigen und deren Umsetzung überwachen zu lassen.
Insofern ist es empfehlenswert, die D&O Versicherung der GF/des Vorstands und ganz allgemein die Versicherungsdeckung (Cyberversicherung?) im Unternehmen zu prüfen und ggfs anzupassen.
Was ist in Bezug auf das Management von IT-Verträgen zu beachten?
Wichtig ist, die IT-Verträge im Rahmen der Lieferkette der relevanten Netz- und IT-Systeme auf Aktualität, Qualität und Widerstandsfähigkeit in Hinblick auf die Cybersicherheit zu prüfen und ggfs anzupassen.
Prüfmaßstab kann sein: die Einhaltung von Technischen Standards/Sicherheitsstandards, Zertifizierungen, Klarstellung/Abgrenzung der Verantwortlichkeiten, Haftungsklauseln (zB bei Nichterfüllung der NIS2 Anforderungen), Versicherungsanforderungen, Melde- und Berichtspflichten, Auditrechte, Business Continuity und Disaster Recovery, Vertragsbeendigung und Exit-Strategie (Migration/Löschung von Daten), DSGVO Kompatibilität, Sanktionen und Vertragsstrafen.
Um den Aufwand im Rahmen zu halten, muss hier mE eine Priorisierung erfolgen, entsprechend dem mit der Leistung des jeweiligen Lieferanten in Hinblick auf das relevante IT-System verbundenen Risiken/Abhängigkeiten. Hier könnten mehrere Kategorien samt Maßnahmenkatalog definiert und die IT-Verträge zugeordnet werden. Außerdem könnte eine sog. „Vertragslandkarte“ erstellt werden, aus der die Abhängigkeiten der einzelnen Leistungen/Verträge ersichtlich werden und daher deren Kompatibilität überprüft werden kann (zB Verfügbarkeit)
Welche Herausforderungen ergeben sich für internationale Unternehmen?
Bei Unternehmensgruppen mit Gesellschaften in verschiedenen Ländern ergibt sich die Komplexität – wie bei allen EU-Richtlinien – aus der doch unterschiedlichen nationalen Umsetzung in den einzelnen EU-Mitgliedstaaten.
Beispielsweise orientiert sich bei den Bereichen der Risikomanagementmaßnahmen das österr. NISG 2024 stark an der bisherigen NISV (NIS Verordnung) und regelt die Maßnahmen detaillierter als in der RL. Das deutsche Umsetzungsgesetz übernimmt die Maßnahmen aus der NIS2 RL. Die nationalen Umsetzungsgesetze sind zwar „richtlinien-konform“ auszulegen, mit den unterschiedlichen Vorgaben in der Praxis umzugehen, ist dennoch nicht einfach.
Wie geht man mit Unklarheiten in der Rechtslage um?
Bei NIS2 habe ich ein deja vu zur DSGVO. Da waren am Anfang viele Themen unklar. Mein Credo damals wie auch heute ist: Sich mit den Fragestellungen auseinander zu setzen, die Überlegungen und das Ergebnis zu dokumentieren. Selbst wenn das Ergebnis als nicht richtig festgestellt werden sollte, ist es, wesentlich darzustellen, dass man die Thematik ernst genommen und sich damit auseinandergesetzt hat. Dies wirkt auf jeden Fall „mildernd“. Ohne Dokumentation ist aber ein derartiger Nachweis unmöglich.
Beim Confare #CIOSUMMIT Salzburg kürt Confare in Zusammenarbeit mit EY die CIOs des Jahres mit dem Confare #CIOAWARD. Zudem bietet der #CIOSUMMIT Ihnen die Möglichkeit, sich mit Expert*innen der IT auszutauschen und zu networken.