Aufsichtsrat | Sachverständige für Cyberhaftung

Q: Wie dokumentiere ich, dass ich überwacht habe?

Ein Gutachten zeigt: Welche Fragen hätte ein verantwortungsvoller AR stellen müssen? Hat der Vorstand diese Fragen beantwortet? Ein unterzeichnetes Gutachten ist Ihr Beleg für die Überwachungspflicht.

Ihr Bedarf

Sie als Aufsichtsrat sind für die Überwachung des Vorstands verantwortlich — nicht selbst für IT-Sicherheit zuständig, aber für deren Überwachung. Das ist ein subtiler, aber wichtiger Unterschied.

Mit NIS2 Art. 18 müssen Sie dokumentieren können: Der Vorstand hat die Sicherheitsanforderungen verstanden, implementiert und überprüft. Sie haben diese Umsetzung überwacht.

Im Schadensfall wird der Insolvenzverwalter fragen: Hat der Aufsichtsrat die IT-Sicherheit überwacht? (§ 116 AktG). Wir helfen Ihnen, diese Frage überzeugend zu beantworten.

Unsere Leistungsschwerpunkte

Governance-Lagebestimmung Welche Informationen braucht ein verantwortungsvoller Aufsichtsrat zu IT-Sicherheit nach NIS2? Hat der Vorstand diese Informationen geliefert? Lücken?

Überwachungspflicht-Dokumentation Wir analysieren: Welche Fragen hat der AR gestellt? Welche Antworten hat der Vorstand gegeben? Sind die Antworten angemessen dokumentiert? Das ist der Kern der Überwachungspflicht.

Protokoll- und Governance-Analyse Wo wurden IT-Sicherheitsthemen in AR-Protokollen behandelt? Welche Beschlüsse wurden gefasst? Welche Überwachungsschritte sind dokumentiert? Ein Gutachten zeigt die Überwachungskette.

Haftungsabsicherung für den Schadensfall Ein unterzeichnetes Sachverständigengutachten ist Ihr Beleg, dass Sie die Überwachungspflicht nicht verletzt haben. Im Streitfall werden damit Haftungsansprüche gegen Sie deutlich schwächer.

Häufig gestellte Fragen

Wann hafte ich als Aufsichtsrat persönlich?

Nach § 116 AktG haften Sie persönlich, wenn Sie Ihre Überwachungspflicht verletzt haben. Das heißt: Der Vorstand informiert nicht angemessen, Sie fragen nicht nach, oder Sie dokumentieren nicht, dass Sie überwacht haben. Mit NIS2 verschärft sich das: Sie müssen nachweisen können, dass Sie Fragen zu IT-Sicherheit gestellt und die Antworten überprüft haben. Ein Sachverständigengutachten ist Ihr Beleg dafür.

Was muss der Vorstand mir über IT-Sicherheit berichten?

Der Vorstand muss Ihnen angemessen Bericht erstatten über: (1) IT-Sicherheitsstrategie und -budget, (2) Risikobewertung und Compliance mit NIS2 Art. 18, (3) Implementierte Maßnahmen und deren Überprüfung, (4) Vorfälle und Schwachstellen. Mit NIS2 wird diese Reporting-Pflicht konkreter. Ein Gutachten zeigt: Diese Berichte sind angemessen.

Wie dokumentiere ich, dass ich überwacht habe?

Das ist die zentrale Frage. Ein Gutachten zeigt: (1) Welche Fragen hätte ein verantwortungsvoller AR stellen müssen? (2) Hat der Vorstand diese Fragen beantwortet? (3) Sind die Antworten ausreichend und dokumentiert? Ein unterzeichnetes Gutachten ist Ihr Beleg, dass Sie diese Fragen gestellt und die Antworten überprüft haben — damit erfüllen Sie Ihre Überwachungspflicht.

Brauche ich spezielles IT-Wissen, um IT-Sicherheit zu überwachen?

Nein. Sie brauchen nicht zu wissen, wie ein Firewall funktioniert. Sie brauchen zu wissen: Hat der Vorstand eine angemessene IT-Sicherheitsstrategie? Sind die Maßnahmen Stand der Technik? Ist das Budget ausreichend? Ein Gutachten hilft Ihnen, diese Fragen richtig zu stellen und die Antworten zu bewerten.

Wie oft sollte ich IT-Sicherheit im Aufsichtsrat behandeln?

Mindestens halbjährlich — das ist NIS2 Standard. Ein Gutachten zeigt: Diese Häufigkeit erfüllt die Überwachungspflicht. Danach können Sie Ihre AR-Agenda entsprechend planen.

Was passiert, wenn der Vorstand nicht kooperiert?

Dann ist das selbst bereits ein Verstoß gegen seine Reporting-Pflicht. Dokumentieren Sie, dass Sie nachgefragt haben — und dass der Vorstand nicht angemessen berichtet. Ein Gutachten kann diese Situation klären und Ihnen helfen, richtig zu reagieren.

Kann ich das Gutachten publizieren?

Nein, es ist vertraulich. Aber im Schadensfall können Sie es vorlegen — Ihrem Anwalt, Ihrer D&O-Versicherung, einem Gericht. Es ist Ihr privater Schutz.

Anfrage stellen