Cybersecurity-Compliance – wichtiger denn je

In einer Zeit, in der Cyberangriffe immer raffinierter und häufiger werden, sind Unternehmen fortwährend mit Risiken wie Datenverlust, Betriebsstörungen und teilweise betriebsgefährdenden Leistungseinbußen konfrontiert. Zahlreiche Firmen erleben dramatische Folgen von Hackerangriffen oder Datenpannen. Darunter fallen hohe finanzielle Verluste bis hin zum irreparablen Imageschaden und zu Bußgeldern. Neben den „geläufigeren“ Maßnahmen, wie der Implementierung eines Informationssicherheits-Managementsystems (ISMS), muss eine Abhilfe tatsächlich noch eine Ebene höher getroffen werden: durch ein Compliance-Managementsystem (CMS). Dieser Beitrag umreißt für Sie die Pflichten, die aus Compliance-Sicht von Unternehmen bzw. den Verantwortlichen erfüllt werden müssen.

Mehr als nur gesetzliche Pflicht

„Cybersecurity-Compliance“ umfasst die Einhaltung aller Gesetze, Standards und vertraglichen Pflichten rund um die Informationssicherheit. Sie ist eine strategische Voraussetzung, um Unternehmenswerte zu schützen. Gesetzliche Regelungen wie das BSI-Gesetz (BSIG), die DSGVO, die KI-Verordnung und der Data Act erhöhen kumulativ die präventiven Anforderungen an Unternehmen, um ihre Sicherheitsstandards zu verbessern. Besonders Unternehmen, die kritische Infrastrukturen betreiben oder hochriskante KI-Anwendungen nutzen, sehen sich strikten Pflichten gegenüber. Mit dem Data Act kommen auf viele Unternehmen weitere vertragliche Pflichten zu, die wir hier für Sie zusammengestellt haben.

Organhaftung und die persönliche Verantwortung von Führungskräften

Ein wesentlicher Hebel zum Schutz eines Unternehmens liegt rechtlich in der klaren Haftung von Organverantwortlichen. Leitungsorgane haften nicht nur für Fehler an sich, sondern auch für die Systeme, die Fehler ermöglichen. Die persönliche Haftung nach § 43 GmbHG verpflichtet Geschäftsführer zur Einhaltung von Sorgfalts- und Überwachungspflichten und macht sie damit zu zentralen Akteuren der Cybersecurity-Compliance. Dies bedeutet nach ständiger Rechtsprechung die Umsetzung eines CMS. Zwar liegt grundsätzlich die Aufgabe bei der Geschäftsführung, doch sie muss klare Verantwortlichkeiten benennen und präzise überwachen. Verstöße können zu erheblichen Schadensersatzforderungen und gar strafrechtlichen Konsequenzen führen. Versäumen Leitungsorgane die Implementierung angemessener und notwendiger Maßnahmen, drohen neben wirtschaftlichen Verlusten durch Leistungseinbußen auch behördliche Sanktionen. So müssen bspw. schützenswerte Informationen klassifiziert und durch rechtliche Maßnahmen geschützt werden (z. B. ein Schutzstufenkonzept zur Umsetzung des GeschGehG) – ansonsten droht abgeflossenes Wissen durch Außenstehende ohne wirkungsvolle Maßnahmen verwendet zu werden.

Ein ganzheitlicher Ansatz gegen operative Herausforderungen

Unternehmen sehen sich beim Thema Cybersecurity-Compliance mit einer Vielzahl von Anforderungen konfrontiert, die allesamt in den Bereich der Informationssicherheit fallen. Der Fachkräftemangel in der Informationssicherheit erschwert die Umsetzung erheblich, zusätzlich zur bekannten Arbeitsauslastung. Um dem gerecht zu werden, empfiehlt sich die Einrichtung eines Compliance-Boards, das verschiedene Verantwortlichkeiten zusammenführt, für klare Zuständigkeiten sorgt und die Aufgaben sinnvoll verteilen kann. Zusätzlich sind nicht nur technische Maßnahmen erforderlich, sondern auch eine nachhaltige Sicherheitskultur. Dazu gehören regelmäßige und zielgerichtete Sensibilisierungsmaßnahmen, etwa auch Thementage und verbindliche Verhaltensrichtlinien. Wichtig ist, dass trotz Delegation bestimmter Aufgaben, insbesondere gemäß Art. 38 Abs. 3 BSIG-E*, nicht alle Pflichten übertragbar sind – die Geschäftsführung bleibt verantwortlich! Nichtsdestotrotz kann die Geschäftsleitung nicht sämtliche Aufgaben übernehmen und ist daher gut beraten, etwaige Fachaufgaben angemessen zu delegieren.

*„BSIG-E“ meint die Umsetzung der NIS-2-Richtlinie im BSIG; siehe auch die aktuelle (vorläufige) Handreichung des BSI vom 30.09.2025 zur Schulungspflicht der Geschäftsleitung nach § 38 Abs. 3 BSIG-E.

Interne Kontrollsysteme und präventive Maßnahmen als Basis

Im Rahmen der Einführung eines ISMS erfolgt regelmäßig bereits eine umfassende Anpassung des Internen Kontrollsystems (IKS). Ein IKS bildet das Rückgrat eines wirksamen Risikomanagements. Es stellt sicher, dass präventive Abhilfemaßnahmen ergriffen werden, Schwachstellen frühzeitig entdeckt und behoben werden sowie Prozesse kontinuierlich optimiert werden. Unternehmen sollten Risikoanalysen regelmäßig durchführen, Notfall- und Disaster-Recovery-Pläne implementieren und in nachhaltige Sicherheitslösungen investieren. Durch die Verknüpfung von Prävention, Überwachung und Korrektur wird das Risiko von Cybervorfällen deutlich minimiert. Darüber hinaus dient das IKS als Nachweis gegenüber Aufsichtsbehörden und gut geführten Versicherungen. Dies entspricht den Anforderungen sämtlicher Managementsystem-Normen und wirkt regelmäßig haftungsmindernd.

Versicherungen als ergänzender Schutz, aber kein Allheilmittel

Neben technischen und organisatorischen Maßnahmen spielen schließlich auch Versicherungen eine wichtige Rolle. Directors & Officers (D&O)-Policen schützen Führungskräfte vor Haftungsansprüchen, während Cybersecurity-Versicherungen finanzielle Risiken im Falle eines Angriffs oder Datenverlusts abfedern können. Allerdings ist die Prämienentwicklung für Cyberversicherungen steigend, und hohe Lösegeldforderungen (Ransomware) machen den Versicherungsschutz zunehmend komplex und teuer. Darüber hinaus steigen auch die Anforderungen für Cybersecurity-Versicherungen drastisch an, sodass regelmäßig Unternehmen mit ohnehin bereits bestmöglichen Schutzmaßnahmen für den Versicherungsschutz qualifizieren. Schließlich decken D&O-Policen Vorsatz nicht ab und beinhalten oft Regressmöglichkeiten bei grober Fahrlässigkeit. Ein sorgfältiges Abwägen dieser Instrumente ist daher geboten und keine garantierte Notfallmaßnahme.

Die nachhaltige Sicherheitskultur als Erfolgsfaktor

Compliance darf nicht als kurzfristige, bürokratische Aufgabe verstanden werden. Es geht um die Etablierung einer Sicherheitskultur, die alle Mitarbeitenden mitnimmt und integriert. Verbindliche Richtlinien, stetige Weiterbildung und transparente Kommunikation schaffen ein Bewusstsein für Risiken und stärken die Eigenverantwortung aller Beteiligten. Nur so kann ein Unternehmen flexibel und widerstandsfähig auf neue Bedrohungen reagieren.

Fazit

Angesichts der stetig zunehmenden Bedrohungen sind Unternehmen gut beraten, Cybersecurity-Compliance als ganzheitlichen Prozess zu begreifen. Durch die Kombination von rechtlichen Anforderungen, organisatorischen Maßnahmen, technischem Schutz und der Förderung einer Sicherheitskultur reduzieren sie nicht nur ihre Risiken – sondern sichern nachhaltig ihre Existenz und Wettbewerbsfähigkeit. Ein systematisches Risikomanagement, klare Verantwortlichkeiten, angemessene Ressourcen und fortlaufende Verbesserung sind dabei wichtiger als ergänzende Versicherungen. Die Hinzuziehung von Experten im Bereich Informationssicherheit stellt einen sehr guten Schutz dar. Unternehmen müssen ihre Informationen und ihre Organisation auch rechtlich sicher gestalten.

Wenn wir Ihr Interesse an unseren Compliance-Dienstleistungen geweckt haben, können Sie sich für weitere Informationen gerne an uns wenden: dsn-group.de/compliance

Falko Klages | 9. Oktober 2025 | Compliance, Informationssicherheit | BSIG, Compliance, Compliance-Managementsystem, Cybersecurity, Cybersicherheit, Cyberversicherung, Geschäftsleitung, GeschGehG, GmbHG, IKS, Informationssicherheit, Kultur, Organverantwortung, Schulungspflicht

Cybersecurity-Compliance – wichtiger denn je!