Verantwortung delegieren, Haftung nicht

Es ist ein verbreitetes Missverständnis: Wer einen CISO hat, hat die Cybersecurity-Verantwortung delegiert. Wer externe Berater beauftragt, hat das Thema in guten Händen. Wer der IT sagt, sie soll sich darum kümmern, hat seine Pflicht getan.

Keines davon stimmt — zumindest nicht in dem Maß, in dem es gemeint wird.

Was sich delegieren lässt und was nicht

Operationelle Zuständigkeiten lassen sich delegieren. Die IT-Abteilung kann Systeme betreiben. Der CISO kann Risiken analysieren und Maßnahmen vorschlagen. Externe Berater können Strukturen aufbauen, Audits begleiten, Dokumente erstellen. Das ist sinnvolle Arbeitsteilung, und ohne sie würde kein Unternehmen funktionieren.

Was sich nicht delegieren lässt, ist die organisatorische Gesamtverantwortung der Geschäftsleitung. Das ist keine philosophische Position — es ist eine rechtliche. Art. 20 der NIS2-Richtlinie, umgesetzt im österreichischen NISG, verpflichtet die Leitungsorgane wesentlicher und wichtiger Einrichtungen persönlich: Sie müssen Risikomanagementmaßnahmen genehmigen, ihre Umsetzung überwachen und regelmäßig geschult werden. Wer das nicht tut, haftet — und kann diese Haftung nicht an den CISO weitergeben.

Die Prüffrage im Ernstfall

Stellen Sie sich eine einfache Situation vor: Ein Lieferant, der Zugang zu kritischen Systemen hat, wird kompromittiert. Ein Vorfall entsteht, Daten sind betroffen, möglicherweise muss eine Behörde informiert werden. Die Frage, die dann gestellt wird, ist keine technische.

Sie lautet: Wie hat das Unternehmen dieses Risiko gesteuert? Wer hat entschieden, mit diesem Lieferanten zu arbeiten? Nach welcher Logik? Was war bekannt, was wurde bewertet, was wurde beschlossen?

Wenn auf diese Fragen keine Antwort vorliegt — keine Dokumentation, kein Beschluss, keine nachvollziehbare Steuerungslogik —, dann ist das Problem nicht technisch. Es ist ein Governance-Versagen. Und das liegt bei der Geschäftsleitung.

Was eine dokumentierte Steuerungslogik leistet

Eine dokumentierte Steuerungslogik ist kein Bürokratieprojekt. Sie ist das Instrument, das die Geschäftsleitung entlastet, wenn Entscheidungen im Nachhinein hinterfragt werden.

„Wir haben das Risiko bewertet. Wir haben beschlossen, es einzugehen, weil folgende Gegenmaßnahmen vorhanden sind. Die Entscheidung liegt hier vor.” Das ist eine Antwort, die standhält — vor einer Behörde, vor dem Aufsichtsrat, vor einem Gericht.

„Das war Sache der IT” ist keine Antwort, die standhält.

Für Unternehmen, die diese Steuerungslogik aufbauen wollen, ohne einen vollzeitigen internen CISO zu haben, ist ein externer CISO oft der effizienteste Einstieg: Er bringt die methodische Kompetenz mit, hilft beim Aufbau der Dokumentationsstruktur und bleibt ein Sparringspartner für die Führungsebene — ohne die Entscheidungsverantwortung zu übernehmen, die dort bleiben muss.

Führung bedeutet: bewusst

Es gibt zwei legitime Reaktionen auf ein erkanntes Risiko: Es zu reduzieren, durch Maßnahmen, Kontrollen, vertragliche Absicherungen. Oder es bewusst zu tragen, auf Basis einer begründeten Entscheidung, dass das Restrisiko akzeptabel ist.

Beides ist möglich. Beides ist vertretbar. Was nicht vertretbar ist: das Risiko nicht zu kennen, nicht zu entscheiden und das als Normalzustand zu behandeln.

Wer als Geschäftsführer oder Vorstandsmitglied nicht beantworten kann, welche Cyber-Risiken das Unternehmen aktuell trägt und warum, hat kein IT-Problem. Er hat eine Führungslücke.

Fazit

Delegation ist Führungsinstrument, keine Haftungsbefreiung. NIS2 und das NISG machen das unmissverständlich: Die Leitungsebene ist persönlich verantwortlich für das Risikomanagement des Unternehmens. Das schließt Cyber-Risiken ein. Und es schließt die Fähigkeit ein, diese Entscheidungen nachvollziehbar zu dokumentieren.