Aufsichtsratspflichten in der Cybersecurity: Was wirklich dokumentiert werden muss

Der Aufsichtsrat im Fokus der Regulierung

Cybersicherheit ist nicht mehr nur ein Thema der IT-Abteilung oder des CISO. Mit NIS2, DORA und dem zunehmenden Fokus der EU-Kommission auf Corporate Governance in der Cybersecurity-Regulierung rückt auch der Aufsichtsrat immer stärker in den Fokus. Die zentrale Frage: Was muss der Aufsichtsrat wissen, entscheiden und dokumentieren, um seinen Sorgfaltspflichten nachzukommen?

Was Aufsichtsräte wissen müssen (und oft nicht wissen)

Die Minimalanforderung ist klar: Der Aufsichtsrat muss die wesentlichen Cyberrisiken des Unternehmens kennen und verstehen – nicht im technischen Detail, aber in ihrer geschäftlichen Relevanz. Das bedeutet:

• Welches sind die drei größten externen Cyberbedrohungen für das Unternehmen?
• Wie hoch ist das geschätzte finanzielle Schadenspotenzial eines schwerwiegenden Cyber-Vorfalls?
• Welche regulatorischen Anforderungen (NIS2, DORA, branchenspezifisch) sind relevant und in welchem Umsetzungsstatus befinden sich diese?
• Wie ist die Lieferkette aus Cybersicherheitsperspektive aufgestellt?

Diese Informationen müssen dem Aufsichtsrat in verständlicher Form regelmäßig – mindestens einmal jährlich, bei wesentlichen Änderungen häufiger – vorgelegt werden.

Was dokumentiert werden muss

Aus Haftungsperspektive ist die Dokumentation entscheidend. Was sollte protokolliert und archiviert werden?

In Aufsichtsratssitzungen:

• Regelmäßige Berichterstattung über die Cyber-Risikolage (mindestens jährlich)
• Beschlüsse zu wesentlichen Sicherheitsinvestitionen
• Kenntnisnahme von signifikanten Sicherheitsvorfällen oder Risiken
• Berichte über den Status der regulatorischen Compliance (NIS2, DORA)

In der allgemeinen Unternehmensgovernance:

• Dokumentation des Risikomanagement-Rahmens für Cyberrisiken
• Nachweise über die Überprüfung externer Risiken (Lieferkette, externe Bedrohungsüberwachung)
• Protokolle von Notfallübungen und Incident-Response-Tests
• Berichte über durchgeführte technische Sicherheitsüberprüfungen

Wie externe Risikodokumentation die Haftungssituation verbessert

Ein Aufsichtsrat, der nachweisen kann, dass regelmäßig externe Risikoeinschätzungen eingeholt wurden, dokumentierte Empfehlungen geprüft und entsprechende Maßnahmen beschlossen wurden, ist im Haftungsfall deutlich besser aufgestellt als einer, der sich auf interne Berichte ohne unabhängige Validierung verlassen hat. Externe technische Risikoberichte liefern genau diese unabhängige Grundlage.

Hinweis: Dieser Artikel gibt allgemeine Orientierung. Für konkrete Compliance-Anforderungen empfehlen wir spezialisierte Rechtsberatung.