IT-Compliance

Ihr Ansprechpartner für dieses Rechtsgebiet:

  • Roman Ronneburger (CRA, NIS-2, DORA, Incident Response, presserechtliche Krisenkommunikation)
  • Linda Seiffert (Cybersecurity-Compliance, Vertragsgestaltung, Lieferketten-Sicherheit)
  • Dr. Dirk Fischer (Geschäftsleiterhaftung, Governance, Insolvenz- und Haftungsfragen)
  • In technischer Kooperation: Robin Data und Prof. Dr. Döring (Technikexperten)

Cybersicherheit ist im Jahr 2026 kein technisches Randthema mehr, sondern eine zentrale Compliance-Disziplin im deutschen und europäischen Wirtschaftsrecht. Mit dem Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), der Geltung des Cyber Resilience Act für die zentralen Meldepflichten und der anwendbaren DORA-Verordnung im Finanzsektor wächst der regulatorische Druck auf Unternehmen und öffentliche Stellen in einem Tempo, das noch vor wenigen Jahren undenkbar gewesen wäre. Hinzu treten branchenspezifische KRITIS-Vorschriften, die neue Produkthaftungsrichtlinie 2024/2853 und die Cyber-Solidarity-Verordnung der EU.

SES Berlin berät Unternehmen, Konzerne, öffentliche Stellen und kritische Infrastrukturen entlang aller Stationen des Cybersecurity-Lebenszyklus: von der strategischen Vorbereitung über die laufende Compliance, das Incident Response Management bis zur Verteidigung in behördlichen und zivilgerichtlichen Verfahren.

Beratungsschwerpunkte im Überblick

Wir begleiten Mandanten in mehr als zwölf typischen Konstellationen des IT-Sicherheitsrechts:

  • Gap-Analyse und Roadmap-Erstellung für CRA, NIS-2, DORA und sektorspezifische Cybersecurity-Vorgaben
  • Aufbau und Pflege von Cybersecurity-Compliance-Managementsystemen (CSMS)
  • Risikobewertungen einschließlich der gesellschaftsrechtlichen Geschäftsleiterhaftung
  • Cybersecurity-by-Design in Produktentwicklung und Software-Architektur
  • Vertragsgestaltung entlang der Software- und Komponenten-Lieferkette
  • Incident-Response-Begleitung von der ersten Stunde bis zur Abschlussmeldung
  • Krisenkommunikation und Presserecht im Cybersicherheitsvorfall
  • Behördliche Meldungen an BSI, BlnBDI, BaFin und sektorspezifische Aufsichten
  • Verteidigung von Vorständen und Geschäftsführern in Haftungs- und Aufsichtsverfahren
  • Begleitung von Zertifizierungen nach ISO/IEC 27001, TISAX, C5 und BSI IT-Grundschutz
  • Vorbereitung und Auswertung von Penetrationstests, Red-Team-Übungen und TLPT nach DORA
  • Schulungen und Management-Sensibilisierung für Geschäftsleitung, IT, Datenschutz und Fachbereich

NIS-2, CRA und DORA: Rechtliche Rahmenbedingungen und Umsetzung

Die Umsetzung der neuen Cybersecurity-Regulierung ist keine rein technische Aufgabe. Sie erfordert juristische Präzision an der Schnittstelle zwischen Verwaltungs-, Gesellschafts-, Vertrags- und Haftungsrecht. Wer ein Cybersecurity-Compliance-Programm aufsetzt, ohne die Pflichten aus NIS-2-Umsetzungsgesetz, Cyber Resilience Act und DORA in ihrer wechselseitigen Verzahnung zu verstehen, riskiert Doppelarbeit, Lücken und im Ernstfall persönliche Haftungsfolgen für die Geschäftsleitung.

Wir beginnen jede Beratung mit einer strukturierten Gap-Analyse. Welche Verordnungen erfassen das Unternehmen? Welche Sektoren-Zuordnung trifft zu? Welche Schwellenwerte (Mitarbeiterzahl, Jahresumsatz, Bilanzsumme) sind erreicht? Welche Kunden-Branchen-Kombinationen wirken sich auf den eigenen Pflichtenkanon aus? Aus dieser Bestandsaufnahme entwickeln wir eine priorisierte Roadmap, die in der Regel zwölf bis vierundzwanzig Monate umfasst und in dieser Zeit die Pflichten aus NIS-2, CRA und gegebenenfalls DORA in eine konsolidierte Cybersecurity-Governance überführt.

Wir begleiten die Implementierung von Cybersecurity-Compliance-Managementsystemen, kurz CSMS. Im Mittelpunkt steht die Verzahnung mit einem Informationssicherheits-Managementsystem nach ISO/IEC 27001 oder BSI IT-Grundschutz, die Einbettung in das bestehende Risikomanagement und die Koordination mit der Datenschutz-Governance. Wir achten darauf, dass das CSMS die NIS-2-Pflichten zu Risikomanagement-Maßnahmen — Backup-Konzepte, Kryptografie, Multi-Faktor-Authentifizierung, Lieferkettensicherheit, Schulungen, Asset-Management — operativ erfüllt und gleichzeitig die CRA-spezifischen Anforderungen an Schwachstellen-Handhabung und SBOM abdeckt.

Die Risikobewertung umfasst nicht nur technische, sondern auch gesellschaftsrechtliche Aspekte. Geschäftsleiter haften nach § 38 NIS2UmsuCG persönlich für die Verletzung von Risikomanagement-Pflichten. Hinzu treten die allgemeinen aktien- und gmbh-rechtlichen Haftungsnormen — § 91 Abs. 2 AktG, § 93 AktG, § 43 GmbHG —, die bei mangelhafter Cybersecurity-Governance ebenfalls aktiviert werden. Die jüngere Rechtsprechung — insbesondere der BGH zu Compliance-Pflichten — und die zunehmende Aktivität der D&O-Versicherer schärfen das Bewusstsein für diese Haftung. Wir prüfen den D&O-Schutz, analysieren die Beweislastverteilung und entwickeln Dokumentationsstandards, die im Streitfall die Pflichtgemäßheit der Geschäftsleitung belegen.

Cybersecurity-by-Design ist nicht nur ein technisches Designprinzip, sondern eine rechtliche Pflicht nach Art. 13 CRA und Art. 25 DSGVO. Wir unterstützen Produktentwicklung und Software-Architektur bei der Umsetzung. Das beginnt bei der sicheren Default-Konfiguration und reicht über die Reduktion der Angriffsfläche, die strikte Authentifizierung, die Verschlüsselung im Datenfluss und im Speicher, die Trennung von Privilegien bis zur konsequenten Protokollierung und Manipulationssicherheit.

In der Vertragsgestaltung entlang der Lieferkette legen wir besonderen Wert auf Cyber-Klauseln. Diese umfassen Mindestanforderungen an Informationssicherheit, Audit-Rechte, Schwachstellen-Meldepflichten zwischen den Vertragspartnern, Pen-Test-Klauseln, Patch-Verpflichtungen, Subunternehmer-Genehmigungen, Datenstandort-Regelungen, Exit-Mechanismen und Pönalen bei Verstößen. Wir achten darauf, dass diese Klauseln nicht in AGB-rechtliche Fallen nach §§ 305 ff. BGB laufen und gleichzeitig der NIS-2-Pflicht zur Lieferkettensicherheit gerecht werden.

Cyber Resilience Act, NIS-2 und DORA in der Praxis

Der Cyber Resilience Act erfasst Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Wir beraten zur Konformitätsbewertung, zur technischen Dokumentation, zur CE-Kennzeichnung, zur SBOM-Pflege, zum Schwachstellenmanagement und zu den Meldeprozessen, die ab dem 11. September 2026 binnen 24, 72 und 14 Tagen aktiviert werden müssen. Wir prüfen, ob das jeweilige Produkt in die Kategorie der wichtigen Produkte (Klasse I) oder kritischen Produkte (Klasse II) fällt, und passen das Konformitätsverfahren entsprechend an — von der internen Konformitätsbewertung über die Drittpartei-Bewertung bis zur Bewertung mit europäischer Cybersecurity-Zertifizierung nach Cybersecurity Act.

Das NIS2UmsuCG hat den Kreis der erfassten Unternehmen in Deutschland von rund 4.500 KRITIS-Betreibern auf etwa 30.000 wesentliche und wichtige Einrichtungen ausgedehnt. Die Registrierungsfrist beim BSI läuft bis zum 6. März 2026, drei Monate nach Geltungsbeginn. Wir prüfen die Einstufung, koordinieren die Registrierung und implementieren die Pflichtenkataloge zu Risikomanagement-Maßnahmen, Meldewesen, Geschäftsleiterhaftung und Schulung. Bei wesentlichen Einrichtungen kommen Ex-ante-Kontrollen durch das BSI hinzu; bei wichtigen Einrichtungen ist die Aufsicht ex-post organisiert.

DORA verpflichtet Finanzunternehmen und ihre IKT-Drittdienstleister seit dem 17. Januar 2025 zu einem umfassenden IKT-Risikomanagement. Wir begleiten Banken, Versicherungen, Wertpapierdienstleister und FinTechs bei der Etablierung des Drittparteienregisters, der Anpassung von IKT-Verträgen an die Mindestinhalte nach Art. 30 DORA, der Vorbereitung von Threat-Led Penetration Tests (TLPT) und der Meldung schwerwiegender IKT-Vorfälle. Bei kritischen IKT-Drittdienstleistern (CTPP) gelten verschärfte Anforderungen, und die EU-Aufsichtsbehörden EBA, ESMA und EIOPA übernehmen direkte Aufsichtsbefugnisse.

KRITIS und sektorspezifische Vorschriften

Auch im Geltungsbereich von NIS-2 bleiben die sektorspezifischen Cybersecurity-Vorschriften relevant. Das BSI-Gesetz erfasst KRITIS-Betreiber mit besonderen Auflagen zur Implementierung des Standes der Technik, zur Meldung erheblicher Störungen und zur Vorlage von Nachweisen nach § 8a BSIG. Im Energiesektor treten die Anforderungen aus dem IT-Sicherheitskatalog der Bundesnetzagentur hinzu. Im Telekommunikationssektor gelten die Pflichten nach §§ 165 ff. TKG. Im Gesundheitssektor ergänzt die KRITIS-Verordnung die berufsrechtlichen Pflichten. Im Finanzsektor schärfen BAIT, VAIT, KAIT und ZAIT die aufsichtsrechtlichen Anforderungen der BaFin.

Wir kennen die sektorspezifischen Besonderheiten und führen die Mandanten durch die teils verwirrenden Schnittmengen mit dem NIS-2-Umsetzungsgesetz. Die Geltung der allgemeinen NIS-2-Pflichten neben spezialgesetzlichen Vorschriften erfolgt nach dem Prinzip der Spezialität — wo das spezialgesetzliche Regime mindestens gleichwertige Anforderungen stellt, tritt es vor; wo Lücken bestehen, wirkt NIS-2 ergänzend.

Incident Management und Krisenreaktion

Im Cybersicherheitsvorfall zählt jede Stunde. Die Erfahrung zeigt, dass der Erfolg einer Krisenbewältigung weniger von der technischen Wiederherstellung abhängt — die meist routiniert ablaufen kann — als von einer durchdachten rechtlichen und kommunikativen Strategie. Wer in den ersten 24 Stunden Fehler macht, riskiert in den folgenden Wochen Bußgelder, Schadensersatzansprüche, Reputationsschäden und persönliche Haftung der Geschäftsleitung.

Unsere Incident-Response-Begleitung beginnt idealerweise vor dem Ernstfall. Wir entwickeln mit dem Mandanten ein Incident-Response-Playbook, das die typischen Szenarien — Ransomware, Datenabfluss, Manipulation, Dienstausfall, Lieferketten-Vorfall — vorab durchspielt und konkrete Eskalationspfade definiert. Wir benennen die zuständigen Personen, klären die Rolle des Forensik-Dienstleisters, definieren die Meldewege an Versicherer, Behörden und Vertragspartner und legen die Krisenkommunikations-Verantwortung fest.

Im konkreten Vorfall begleiten wir den Krisenstab juristisch von der ersten Einschätzung an. Wir bewerten die Meldepflichten parallel — Art. 33 und 34 DSGVO, NIS-2 mit 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung, CRA mit 24/72/14-Tage-Schema ab dem 11. September 2026, DORA bei Finanzdienstleistern, sektorspezifische Meldungen nach BSIG und Branchen-Vorschriften. Wir koordinieren die Meldungen so, dass Mehrfach-Mitteilungen konsistent bleiben und die Wortlaute keine Bekenntnisse enthalten, die in späteren Verfahren gegen das Unternehmen verwendet werden können.

Die Krisenkommunikation ist juristisch hochsensibel. Pressemitteilungen, Statements für Kunden, Mitteilungen an Geschäftspartner, Vorstandsstatements und Mitarbeiter-Informationen müssen aufeinander abgestimmt sein. Wir koordinieren die Kommunikation mit dem Krisenstab, dem Pressesprecher und externen Krisenkommunikations-Beratern. Dabei achten wir auf kapitalmarktrechtliche Pflichten zur Ad-hoc-Mitteilung nach Art. 17 MAR, auf vertragliche Informationspflichten gegenüber Kunden und Lieferanten und auf die strafrechtliche Bewertung einzelner Aussagen.

Die Verteidigung in behördlichen Verfahren — Bußgeldverfahren, Untersagungsverfahren, Anordnungen — und in zivilgerichtlichen Schadensersatzverfahren ist ein eigener Schwerpunkt. Wir vertreten Unternehmen vor der BlnBDI und dem BfDI in DSGVO-Bußgeldverfahren, vor dem BSI in NIS-2- und CRA-Verfahren, vor der BaFin in DORA-Verfahren und vor sektorspezifischen Aufsichten. Im zivilgerichtlichen Bereich begleiten wir die Verteidigung gegen Klagen geschädigter Kunden, Mitarbeiter und Geschäftspartner, einschließlich Sammelklagen nach der Verbandsklagen-Richtlinie und dem VDuG.

Geschäftsleiterhaftung im Cybersicherheitsvorfall nach NIS-2

Die Haftung der Geschäftsleitung im Cybersicherheitsvorfall ist seit dem NIS2UmsuCG ein eigener Beratungsschwerpunkt geworden. Geschäftsleiter haften persönlich für die Verletzung der Risikomanagement-Pflichten nach NIS-2, und das BSI kann persönliche Bußgelder verhängen. Hinzu treten die allgemeinen aktien- und gmbh-rechtlichen Haftungsnormen: § 93 AktG mit der Pflicht zur Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters, § 91 Abs. 2 AktG zur Etablierung eines Risikofrüherkennungssystems, § 43 GmbHG zur Sorgfaltspflicht der GmbH-Geschäftsführer.

Wir beraten Vorstände und Geschäftsführer sowohl vorbeugend — durch klare Dokumentation der Pflichtgemäßheit, durch Etablierung eines belastbaren Risikomanagement-Reporting, durch regelmäßige Schulungen, durch D&O-Schutzanalysen — als auch in der Krise. Bei drohender Haftung prüfen wir die persönlichen Verteidigungslinien, koordinieren mit dem D&O-Versicherer, organisieren die getrennte Verteidigung gegenüber der Gesellschaft und stellen sicher, dass Aussagen in internen Untersuchungen die persönliche Position nicht verschlechtern. Bei strafrechtlich relevanten Konstellationen — etwa § 130 OWiG, Beihilfe zu Computerstraftaten — arbeiten wir mit unseren Wirtschaftsstrafrechts-Kollegen Hand in Hand.

Zertifizierungen und Audits im IT-Sicherheitsrecht

Zertifizierungen sind heute oft nicht nur ein Marketing-Argument, sondern eine vertragliche und teilweise gesetzliche Voraussetzung. ISO/IEC 27001 ist der internationale Goldstandard für Informationssicherheits-Managementsysteme. TISAX wird in der Automobilbranche praktisch flächendeckend verlangt. Der C5 des BSI ist das Anerkennungs-Schema für Cloud-Dienstleister. Der BSI-IT-Grundschutz bleibt Referenz für Behörden und KRITIS-Betreiber. Die Europäischen Cybersecurity-Zertifizierungsschemata nach Cybersecurity Act gewinnen mit EUCC und EUCS an Bedeutung.

Wir begleiten die Vorbereitung von Zertifizierungen, formulieren Richtlinien und Verfahrensanweisungen, prüfen Auditberichte juristisch und verteidigen unsere Mandanten in Nachprüfungsverfahren. Bei Pen-Tests, Red-Team-Übungen und TLPT achten wir auf die rechtssichere Beauftragung — insbesondere die Abgrenzung zu §§ 202a ff. StGB —, auf die saubere Vertragsgestaltung mit den Test-Dienstleistern und auf den Umgang mit den Test-Ergebnissen, die im Schadensfall eine zweischneidige Beweisrolle einnehmen können.

Lieferketten-Sicherheit, Supply Chain und Open Source

Die Lieferkettensicherheit ist eines der zentralen neuen Themen des IT-Sicherheitsrechts. Sowohl NIS-2 als auch der CRA verpflichten Unternehmen, Risiken in der Software- und Hardware-Lieferkette zu identifizieren und zu adressieren. Hinzu kommen Anforderungen aus der DORA an das Drittparteien-Management im Finanzsektor. Open-Source-Komponenten — heute typischerweise 70 bis 90 Prozent jeder Geschäftsanwendung — sind dabei ein besonders sensibler Punkt: Sie müssen lizenzkonform eingebunden, kontinuierlich auf Schwachstellen überwacht und in der SBOM dokumentiert werden.

Wir entwickeln Lieferanten-Due-Diligence-Prozesse, prüfen Software Bills of Materials, erarbeiten Cyber-Klauseln für Einkaufs-, Werkleistungs- und Dienstleistungsverträge und unterstützen bei der Reaktion auf Schwachstellen-Meldungen aus der Lieferkette — vom Log4Shell-Szenario bis zur OpenSSL-Verwundbarkeit, von der xz-Backdoor-Konstellation bis zum kompromittierten npm-Paket. Dabei greifen wir auf die Erkenntnisse aus aktuellen Fachpublikationen zurück, unter anderem auf die im Jahr 2024 in K&R 2024, 685 ff. veröffentlichte Analyse zur Open-Source-Compliance in der Software-Supply-Chain.

Vertragsgestaltung Cybersicherheit: SLA, AVV und IKT-Verträge

Die Vertragsgestaltung im Cybersecurity-Kontext ist eine eigene Disziplin, die wir mit großer Routine ausüben. Wir gestalten und verhandeln:

  • Cybersecurity-SLA mit Sicherheits-KPIs wie Patch-Fenstern, Detection-Zeiten und MTTR
  • AVV-Annexe mit ergänzenden Sicherheits- und Meldepflichten
  • Pen-Test-Klauseln einschließlich Scope, Haftungsbegrenzung und Rules of Engagement
  • IKT-Drittdienstleister-Verträge nach Art. 30 DORA
  • Lieferanten-Cyber-Klauseln nach NIS-2 und CRA
  • Bug-Bounty- und Vulnerability-Disclosure-Vereinbarungen mit rechtssicherer Safe-Harbor-Klausel
  • Incident-Response-Retainer mit Forensik-Dienstleistern
  • Cyber-Versicherungs-Policen-Reviews und Begleitung im Schadensfall

Schulungen und Management-Sensibilisierung

Schulungen sind keine Kür, sondern Pflicht. NIS-2 verlangt ausdrücklich regelmäßige Schulungen für die Geschäftsleitung. DORA fordert kontinuierliche Awareness-Programme. Die DSGVO verlangt geeignete Schulungen für mit der Verarbeitung Beauftragte. Wir bieten Inhouse-Workshops, Webinare und maßgeschneiderte Schulungen für Geschäftsleitung, IT-Sicherheits-Team, Datenschutz-Team, Einkauf und Fachbereich. Wir kombinieren juristische Tiefe mit praktischen Beispielen aus der jüngeren Behörden- und Rechtsprechungs-Praxis und stellen damit sicher, dass die Schulungspflicht nicht nur formal, sondern materiell erfüllt wird.

IT-Compliance

Ihr Ansprechpartner für dieses Rechtsgebiet:

  • Roman Ronneburger (CRA, NIS-2, DORA, Incident Response, presserechtliche Krisenkommunikation)
  • Linda Seiffert (Cybersecurity-Compliance, Vertragsgestaltung, Lieferketten-Sicherheit)
  • Dr. Dirk Fischer (Geschäftsleiterhaftung, Governance, Insolvenz- und Haftungsfragen)
  • In technischer Kooperation: Robin Data und Prof. Dr. Döring (Technikexperten)

Cybersicherheit ist im Jahr 2026 kein technisches Randthema mehr, sondern eine zentrale Compliance-Disziplin im deutschen und europäischen Wirtschaftsrecht. Mit dem Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), der Geltung des Cyber Resilience Act für die zentralen Meldepflichten und der anwendbaren DORA-Verordnung im Finanzsektor wächst der regulatorische Druck auf Unternehmen und öffentliche Stellen in einem Tempo, das noch vor wenigen Jahren undenkbar gewesen wäre. Hinzu treten branchenspezifische KRITIS-Vorschriften, die neue Produkthaftungsrichtlinie 2024/2853 und die Cyber-Solidarity-Verordnung der EU.

SES Berlin berät Unternehmen, Konzerne, öffentliche Stellen und kritische Infrastrukturen entlang aller Stationen des Cybersecurity-Lebenszyklus: von der strategischen Vorbereitung über die laufende Compliance, das Incident Response Management bis zur Verteidigung in behördlichen und zivilgerichtlichen Verfahren.

Beratungsschwerpunkte im Überblick

Wir begleiten Mandanten in mehr als zwölf typischen Konstellationen des IT-Sicherheitsrechts:

  • Gap-Analyse und Roadmap-Erstellung für CRA, NIS-2, DORA und sektorspezifische Cybersecurity-Vorgaben
  • Aufbau und Pflege von Cybersecurity-Compliance-Managementsystemen (CSMS)
  • Risikobewertungen einschließlich der gesellschaftsrechtlichen Geschäftsleiterhaftung
  • Cybersecurity-by-Design in Produktentwicklung und Software-Architektur
  • Vertragsgestaltung entlang der Software- und Komponenten-Lieferkette
  • Incident-Response-Begleitung von der ersten Stunde bis zur Abschlussmeldung
  • Krisenkommunikation und Presserecht im Cybersicherheitsvorfall
  • Behördliche Meldungen an BSI, BlnBDI, BaFin und sektorspezifische Aufsichten
  • Verteidigung von Vorständen und Geschäftsführern in Haftungs- und Aufsichtsverfahren
  • Begleitung von Zertifizierungen nach ISO/IEC 27001, TISAX, C5 und BSI IT-Grundschutz
  • Vorbereitung und Auswertung von Penetrationstests, Red-Team-Übungen und TLPT nach DORA
  • Schulungen und Management-Sensibilisierung für Geschäftsleitung, IT, Datenschutz und Fachbereich

NIS-2, CRA und DORA: Rechtliche Rahmenbedingungen und Umsetzung

Die Umsetzung der neuen Cybersecurity-Regulierung ist keine rein technische Aufgabe. Sie erfordert juristische Präzision an der Schnittstelle zwischen Verwaltungs-, Gesellschafts-, Vertrags- und Haftungsrecht. Wer ein Cybersecurity-Compliance-Programm aufsetzt, ohne die Pflichten aus NIS-2-Umsetzungsgesetz, Cyber Resilience Act und DORA in ihrer wechselseitigen Verzahnung zu verstehen, riskiert Doppelarbeit, Lücken und im Ernstfall persönliche Haftungsfolgen für die Geschäftsleitung.

Wir beginnen jede Beratung mit einer strukturierten Gap-Analyse. Welche Verordnungen erfassen das Unternehmen? Welche Sektoren-Zuordnung trifft zu? Welche Schwellenwerte (Mitarbeiterzahl, Jahresumsatz, Bilanzsumme) sind erreicht? Welche Kunden-Branchen-Kombinationen wirken sich auf den eigenen Pflichtenkanon aus? Aus dieser Bestandsaufnahme entwickeln wir eine priorisierte Roadmap, die in der Regel zwölf bis vierundzwanzig Monate umfasst und in dieser Zeit die Pflichten aus NIS-2, CRA und gegebenenfalls DORA in eine konsolidierte Cybersecurity-Governance überführt.

Wir begleiten die Implementierung von Cybersecurity-Compliance-Managementsystemen, kurz CSMS. Im Mittelpunkt steht die Verzahnung mit einem Informationssicherheits-Managementsystem nach ISO/IEC 27001 oder BSI IT-Grundschutz, die Einbettung in das bestehende Risikomanagement und die Koordination mit der Datenschutz-Governance. Wir achten darauf, dass das CSMS die NIS-2-Pflichten zu Risikomanagement-Maßnahmen — Backup-Konzepte, Kryptografie, Multi-Faktor-Authentifizierung, Lieferkettensicherheit, Schulungen, Asset-Management — operativ erfüllt und gleichzeitig die CRA-spezifischen Anforderungen an Schwachstellen-Handhabung und SBOM abdeckt.

Die Risikobewertung umfasst nicht nur technische, sondern auch gesellschaftsrechtliche Aspekte. Geschäftsleiter haften nach § 38 NIS2UmsuCG persönlich für die Verletzung von Risikomanagement-Pflichten. Hinzu treten die allgemeinen aktien- und gmbh-rechtlichen Haftungsnormen — § 91 Abs. 2 AktG, § 93 AktG, § 43 GmbHG —, die bei mangelhafter Cybersecurity-Governance ebenfalls aktiviert werden. Die jüngere Rechtsprechung — insbesondere der BGH zu Compliance-Pflichten — und die zunehmende Aktivität der D&O-Versicherer schärfen das Bewusstsein für diese Haftung. Wir prüfen den D&O-Schutz, analysieren die Beweislastverteilung und entwickeln Dokumentationsstandards, die im Streitfall die Pflichtgemäßheit der Geschäftsleitung belegen.

Cybersecurity-by-Design ist nicht nur ein technisches Designprinzip, sondern eine rechtliche Pflicht nach Art. 13 CRA und Art. 25 DSGVO. Wir unterstützen Produktentwicklung und Software-Architektur bei der Umsetzung. Das beginnt bei der sicheren Default-Konfiguration und reicht über die Reduktion der Angriffsfläche, die strikte Authentifizierung, die Verschlüsselung im Datenfluss und im Speicher, die Trennung von Privilegien bis zur konsequenten Protokollierung und Manipulationssicherheit.

In der Vertragsgestaltung entlang der Lieferkette legen wir besonderen Wert auf Cyber-Klauseln. Diese umfassen Mindestanforderungen an Informationssicherheit, Audit-Rechte, Schwachstellen-Meldepflichten zwischen den Vertragspartnern, Pen-Test-Klauseln, Patch-Verpflichtungen, Subunternehmer-Genehmigungen, Datenstandort-Regelungen, Exit-Mechanismen und Pönalen bei Verstößen. Wir achten darauf, dass diese Klauseln nicht in AGB-rechtliche Fallen nach §§ 305 ff. BGB laufen und gleichzeitig der NIS-2-Pflicht zur Lieferkettensicherheit gerecht werden.

Cyber Resilience Act, NIS-2 und DORA in der Praxis

Der Cyber Resilience Act erfasst Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Wir beraten zur Konformitätsbewertung, zur technischen Dokumentation, zur CE-Kennzeichnung, zur SBOM-Pflege, zum Schwachstellenmanagement und zu den Meldeprozessen, die ab dem 11. September 2026 binnen 24, 72 und 14 Tagen aktiviert werden müssen. Wir prüfen, ob das jeweilige Produkt in die Kategorie der wichtigen Produkte (Klasse I) oder kritischen Produkte (Klasse II) fällt, und passen das Konformitätsverfahren entsprechend an — von der internen Konformitätsbewertung über die Drittpartei-Bewertung bis zur Bewertung mit europäischer Cybersecurity-Zertifizierung nach Cybersecurity Act.

Das NIS2UmsuCG hat den Kreis der erfassten Unternehmen in Deutschland von rund 4.500 KRITIS-Betreibern auf etwa 30.000 wesentliche und wichtige Einrichtungen ausgedehnt. Die Registrierungsfrist beim BSI läuft bis zum 6. März 2026, drei Monate nach Geltungsbeginn. Wir prüfen die Einstufung, koordinieren die Registrierung und implementieren die Pflichtenkataloge zu Risikomanagement-Maßnahmen, Meldewesen, Geschäftsleiterhaftung und Schulung. Bei wesentlichen Einrichtungen kommen Ex-ante-Kontrollen durch das BSI hinzu; bei wichtigen Einrichtungen ist die Aufsicht ex-post organisiert.

DORA verpflichtet Finanzunternehmen und ihre IKT-Drittdienstleister seit dem 17. Januar 2025 zu einem umfassenden IKT-Risikomanagement. Wir begleiten Banken, Versicherungen, Wertpapierdienstleister und FinTechs bei der Etablierung des Drittparteienregisters, der Anpassung von IKT-Verträgen an die Mindestinhalte nach Art. 30 DORA, der Vorbereitung von Threat-Led Penetration Tests (TLPT) und der Meldung schwerwiegender IKT-Vorfälle. Bei kritischen IKT-Drittdienstleistern (CTPP) gelten verschärfte Anforderungen, und die EU-Aufsichtsbehörden EBA, ESMA und EIOPA übernehmen direkte Aufsichtsbefugnisse.

KRITIS und sektorspezifische Vorschriften

Auch im Geltungsbereich von NIS-2 bleiben die sektorspezifischen Cybersecurity-Vorschriften relevant. Das BSI-Gesetz erfasst KRITIS-Betreiber mit besonderen Auflagen zur Implementierung des Standes der Technik, zur Meldung erheblicher Störungen und zur Vorlage von Nachweisen nach § 8a BSIG. Im Energiesektor treten die Anforderungen aus dem IT-Sicherheitskatalog der Bundesnetzagentur hinzu. Im Telekommunikationssektor gelten die Pflichten nach §§ 165 ff. TKG. Im Gesundheitssektor ergänzt die KRITIS-Verordnung die berufsrechtlichen Pflichten. Im Finanzsektor schärfen BAIT, VAIT, KAIT und ZAIT die aufsichtsrechtlichen Anforderungen der BaFin.

Wir kennen die sektorspezifischen Besonderheiten und führen die Mandanten durch die teils verwirrenden Schnittmengen mit dem NIS-2-Umsetzungsgesetz. Die Geltung der allgemeinen NIS-2-Pflichten neben spezialgesetzlichen Vorschriften erfolgt nach dem Prinzip der Spezialität — wo das spezialgesetzliche Regime mindestens gleichwertige Anforderungen stellt, tritt es vor; wo Lücken bestehen, wirkt NIS-2 ergänzend.

Incident Management und Krisenreaktion

Im Cybersicherheitsvorfall zählt jede Stunde. Die Erfahrung zeigt, dass der Erfolg einer Krisenbewältigung weniger von der technischen Wiederherstellung abhängt — die meist routiniert ablaufen kann — als von einer durchdachten rechtlichen und kommunikativen Strategie. Wer in den ersten 24 Stunden Fehler macht, riskiert in den folgenden Wochen Bußgelder, Schadensersatzansprüche, Reputationsschäden und persönliche Haftung der Geschäftsleitung.

Unsere Incident-Response-Begleitung beginnt idealerweise vor dem Ernstfall. Wir entwickeln mit dem Mandanten ein Incident-Response-Playbook, das die typischen Szenarien — Ransomware, Datenabfluss, Manipulation, Dienstausfall, Lieferketten-Vorfall — vorab durchspielt und konkrete Eskalationspfade definiert. Wir benennen die zuständigen Personen, klären die Rolle des Forensik-Dienstleisters, definieren die Meldewege an Versicherer, Behörden und Vertragspartner und legen die Krisenkommunikations-Verantwortung fest.

Im konkreten Vorfall begleiten wir den Krisenstab juristisch von der ersten Einschätzung an. Wir bewerten die Meldepflichten parallel — Art. 33 und 34 DSGVO, NIS-2 mit 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung, CRA mit 24/72/14-Tage-Schema ab dem 11. September 2026, DORA bei Finanzdienstleistern, sektorspezifische Meldungen nach BSIG und Branchen-Vorschriften. Wir koordinieren die Meldungen so, dass Mehrfach-Mitteilungen konsistent bleiben und die Wortlaute keine Bekenntnisse enthalten, die in späteren Verfahren gegen das Unternehmen verwendet werden können.

Die Krisenkommunikation ist juristisch hochsensibel. Pressemitteilungen, Statements für Kunden, Mitteilungen an Geschäftspartner, Vorstandsstatements und Mitarbeiter-Informationen müssen aufeinander abgestimmt sein. Wir koordinieren die Kommunikation mit dem Krisenstab, dem Pressesprecher und externen Krisenkommunikations-Beratern. Dabei achten wir auf kapitalmarktrechtliche Pflichten zur Ad-hoc-Mitteilung nach Art. 17 MAR, auf vertragliche Informationspflichten gegenüber Kunden und Lieferanten und auf die strafrechtliche Bewertung einzelner Aussagen.

Die Verteidigung in behördlichen Verfahren — Bußgeldverfahren, Untersagungsverfahren, Anordnungen — und in zivilgerichtlichen Schadensersatzverfahren ist ein eigener Schwerpunkt. Wir vertreten Unternehmen vor der BlnBDI und dem BfDI in DSGVO-Bußgeldverfahren, vor dem BSI in NIS-2- und CRA-Verfahren, vor der BaFin in DORA-Verfahren und vor sektorspezifischen Aufsichten. Im zivilgerichtlichen Bereich begleiten wir die Verteidigung gegen Klagen geschädigter Kunden, Mitarbeiter und Geschäftspartner, einschließlich Sammelklagen nach der Verbandsklagen-Richtlinie und dem VDuG.

Geschäftsleiterhaftung im Cybersicherheitsvorfall nach NIS-2

Die Haftung der Geschäftsleitung im Cybersicherheitsvorfall ist seit dem NIS2UmsuCG ein eigener Beratungsschwerpunkt geworden. Geschäftsleiter haften persönlich für die Verletzung der Risikomanagement-Pflichten nach NIS-2, und das BSI kann persönliche Bußgelder verhängen. Hinzu treten die allgemeinen aktien- und gmbh-rechtlichen Haftungsnormen: § 93 AktG mit der Pflicht zur Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters, § 91 Abs. 2 AktG zur Etablierung eines Risikofrüherkennungssystems, § 43 GmbHG zur Sorgfaltspflicht der GmbH-Geschäftsführer.

Wir beraten Vorstände und Geschäftsführer sowohl vorbeugend — durch klare Dokumentation der Pflichtgemäßheit, durch Etablierung eines belastbaren Risikomanagement-Reporting, durch regelmäßige Schulungen, durch D&O-Schutzanalysen — als auch in der Krise. Bei drohender Haftung prüfen wir die persönlichen Verteidigungslinien, koordinieren mit dem D&O-Versicherer, organisieren die getrennte Verteidigung gegenüber der Gesellschaft und stellen sicher, dass Aussagen in internen Untersuchungen die persönliche Position nicht verschlechtern. Bei strafrechtlich relevanten Konstellationen — etwa § 130 OWiG, Beihilfe zu Computerstraftaten — arbeiten wir mit unseren Wirtschaftsstrafrechts-Kollegen Hand in Hand.

Zertifizierungen und Audits im IT-Sicherheitsrecht

Zertifizierungen sind heute oft nicht nur ein Marketing-Argument, sondern eine vertragliche und teilweise gesetzliche Voraussetzung. ISO/IEC 27001 ist der internationale Goldstandard für Informationssicherheits-Managementsysteme. TISAX wird in der Automobilbranche praktisch flächendeckend verlangt. Der C5 des BSI ist das Anerkennungs-Schema für Cloud-Dienstleister. Der BSI-IT-Grundschutz bleibt Referenz für Behörden und KRITIS-Betreiber. Die Europäischen Cybersecurity-Zertifizierungsschemata nach Cybersecurity Act gewinnen mit EUCC und EUCS an Bedeutung.

Wir begleiten die Vorbereitung von Zertifizierungen, formulieren Richtlinien und Verfahrensanweisungen, prüfen Auditberichte juristisch und verteidigen unsere Mandanten in Nachprüfungsverfahren. Bei Pen-Tests, Red-Team-Übungen und TLPT achten wir auf die rechtssichere Beauftragung — insbesondere die Abgrenzung zu §§ 202a ff. StGB —, auf die saubere Vertragsgestaltung mit den Test-Dienstleistern und auf den Umgang mit den Test-Ergebnissen, die im Schadensfall eine zweischneidige Beweisrolle einnehmen können.

Lieferketten-Sicherheit, Supply Chain und Open Source

Die Lieferkettensicherheit ist eines der zentralen neuen Themen des IT-Sicherheitsrechts. Sowohl NIS-2 als auch der CRA verpflichten Unternehmen, Risiken in der Software- und Hardware-Lieferkette zu identifizieren und zu adressieren. Hinzu kommen Anforderungen aus der DORA an das Drittparteien-Management im Finanzsektor. Open-Source-Komponenten — heute typischerweise 70 bis 90 Prozent jeder Geschäftsanwendung — sind dabei ein besonders sensibler Punkt: Sie müssen lizenzkonform eingebunden, kontinuierlich auf Schwachstellen überwacht und in der SBOM dokumentiert werden.

Wir entwickeln Lieferanten-Due-Diligence-Prozesse, prüfen Software Bills of Materials, erarbeiten Cyber-Klauseln für Einkaufs-, Werkleistungs- und Dienstleistungsverträge und unterstützen bei der Reaktion auf Schwachstellen-Meldungen aus der Lieferkette — vom Log4Shell-Szenario bis zur OpenSSL-Verwundbarkeit, von der xz-Backdoor-Konstellation bis zum kompromittierten npm-Paket. Dabei greifen wir auf die Erkenntnisse aus aktuellen Fachpublikationen zurück, unter anderem auf die im Jahr 2024 in K&R 2024, 685 ff. veröffentlichte Analyse zur Open-Source-Compliance in der Software-Supply-Chain.

Vertragsgestaltung Cybersicherheit: SLA, AVV und IKT-Verträge

Die Vertragsgestaltung im Cybersecurity-Kontext ist eine eigene Disziplin, die wir mit großer Routine ausüben. Wir gestalten und verhandeln:

  • Cybersecurity-SLA mit Sicherheits-KPIs wie Patch-Fenstern, Detection-Zeiten und MTTR
  • AVV-Annexe mit ergänzenden Sicherheits- und Meldepflichten
  • Pen-Test-Klauseln einschließlich Scope, Haftungsbegrenzung und Rules of Engagement
  • IKT-Drittdienstleister-Verträge nach Art. 30 DORA
  • Lieferanten-Cyber-Klauseln nach NIS-2 und CRA
  • Bug-Bounty- und Vulnerability-Disclosure-Vereinbarungen mit rechtssicherer Safe-Harbor-Klausel
  • Incident-Response-Retainer mit Forensik-Dienstleistern
  • Cyber-Versicherungs-Policen-Reviews und Begleitung im Schadensfall

Schulungen und Management-Sensibilisierung

Schulungen sind keine Kür, sondern Pflicht. NIS-2 verlangt ausdrücklich regelmäßige Schulungen für die Geschäftsleitung. DORA fordert kontinuierliche Awareness-Programme. Die DSGVO verlangt geeignete Schulungen für mit der Verarbeitung Beauftragte. Wir bieten Inhouse-Workshops, Webinare und maßgeschneiderte Schulungen für Geschäftsleitung, IT-Sicherheits-Team, Datenschutz-Team, Einkauf und Fachbereich. Wir kombinieren juristische Tiefe mit praktischen Beispielen aus der jüngeren Behörden- und Rechtsprechungs-Praxis und stellen damit sicher, dass die Schulungspflicht nicht nur formal, sondern materiell erfüllt wird.