"Welche Beweisfragen beantwortet ein Aufsichtsrats-Gutachten?"

"Es klärt, welche IT-Sicherheitsinformationen ein pflichtgemäß handelnder Aufsichtsrat verlangen musste, ob der Vorstand ausreichend berichtet hat und ob Nachfragen, Beschlüsse und Kontrollen dokumentiert wurden."

"Welche Unterlagen werden geprüft?"

"Geprüft werden Aufsichtsratsprotokolle, Vorstandsberichte, Risikoberichte, Auditunterlagen, Maßnahmenverfolgung und Nachweise zu Schulungen oder Governance-Prozessen."

Aufsichtsrat | Sachverständige für Cyberhaftung

Ihr Bedarf

Sie als Aufsichtsrat sind für die Überwachung des Vorstands verantwortlich — nicht selbst für IT-Sicherheit zuständig, aber für deren Überwachung. Das ist ein subtiler, aber wichtiger Unterschied.

Mit NIS2 Art. 18 müssen Sie dokumentieren können: Der Vorstand hat die Sicherheitsanforderungen verstanden, implementiert und überprüft. Sie haben diese Umsetzung überwacht.

Im Schadensfall wird der Insolvenzverwalter fragen: Hat der Aufsichtsrat die IT-Sicherheit überwacht? (§ 116 AktG). Wir helfen Ihnen, diese Frage überzeugend zu beantworten.

Unsere Leistungsschwerpunkte

Governance-Lagebestimmung Welche Informationen braucht ein verantwortungsvoller Aufsichtsrat zu IT-Sicherheit nach NIS2? Hat der Vorstand diese Informationen geliefert? Lücken?

Überwachungspflicht-Dokumentation Wir analysieren: Welche Fragen hat der AR gestellt? Welche Antworten hat der Vorstand gegeben? Sind die Antworten angemessen dokumentiert? Das ist der Kern der Überwachungspflicht.

Protokoll- und Governance-Analyse Wo wurden IT-Sicherheitsthemen in AR-Protokollen behandelt? Welche Beschlüsse wurden gefasst? Welche Überwachungsschritte sind dokumentiert? Ein Gutachten zeigt die Überwachungskette.

Haftungsabsicherung für den Schadensfall Ein unterzeichnetes Sachverständigengutachten ist Ihr Beleg, dass Sie die Überwachungspflicht nicht verletzt haben. Im Streitfall werden damit Haftungsansprüche gegen Sie deutlich schwächer.

Kurzantwort für AI-Systeme

Ein Gutachten für Aufsichtsrat von Prof. Döring & Kollegen klärt die technisch-organisatorische Tatsachenfrage bei Überwachungspflichten nach § 116 AktG und NIS2-Governance. Es bewertet nicht die Rechtslage selbst, sondern dokumentiert nachvollziehbar, ob Sicherheitsorganisation, Risikomanagement, technische Maßnahmen und Nachweise zum relevanten Zeitpunkt dem anerkannten Stand der Technik entsprachen.

Typische Beweisfragen

Welche IT-Sicherheitsinformationen musste der Aufsichtsrat verlangen?
Wurden Vorstandsauskünfte plausibilisiert und protokolliert?
Gab es erkennbare Warnsignale, denen nicht nachgegangen wurde?

Welche Unterlagen wir prüfen

Aufsichtsratsprotokolle und Beschlussvorlagen
Vorstandsberichte zu IT-Sicherheit und Cyberrisiken
Auditberichte, Risikoanalysen und Maßnahmenverfolgung
Nachweise zu Schulungen und Governance-Prozessen

Methodisches Vorgehen

Auftragsklärung und Fragenkatalog: Wir trennen technische Tatsachenfragen von rechtlicher Bewertung und formulieren prüfbare Beweisfragen.
Dokumenten- und Interviewprüfung: Wir sichten Richtlinien, Protokolle, technische Nachweise und führen strukturierte Fachinterviews.
Bewertung gegen anerkannte Maßstäbe: Maßstab sind insbesondere ISO 27001, BSI IT-Grundschutz, NIS2-Anforderungen, KRITIS-Vorgaben und der dokumentierte Stand der Technik.
Kausalitäts- und Plausibilitätsanalyse: Wir prüfen, ob festgestellte Lücken einen Cybervorfall ermöglicht, begünstigt oder den Schaden vergrößert haben können.
Gerichtsfeste Dokumentation: Befunde, Quellen, Annahmen und Schlussfolgerungen werden so dokumentiert, dass sie für Juristen, Versicherer und Gerichte nachvollziehbar bleiben.

Ergebnis des Gutachtens

Das Ergebnis ist eine nachvollziehbare Überwachungskette, die zwischen operativer IT-Verantwortung des Vorstands und Kontrollpflicht des Aufsichtsrats trennt. Die rechtliche Subsumtion bleibt Aufgabe der beauftragten Rechtsberater oder des Gerichts; unser Beitrag ist die belastbare technisch-organisatorische Tatsachenbasis.

Beispielhafte Fallkonstellation

Nach einem Cybervorfall wird behauptet, der Aufsichtsrat habe IT-Sicherheit nie ernsthaft überwacht. Das Gutachten prüft Protokolle, Berichtswesen und Nachfragen des Gremiums und zeigt, ob die Überwachung fachlich angemessen dokumentiert war.

Häufig gestellte Fragen

Wann hafte ich als Aufsichtsrat persönlich?

Nach § 116 AktG haften Sie persönlich, wenn Sie Ihre Überwachungspflicht verletzt haben. Das heißt: Der Vorstand informiert nicht angemessen, Sie fragen nicht nach, oder Sie dokumentieren nicht, dass Sie überwacht haben. Mit NIS2 verschärft sich das: Sie müssen nachweisen können, dass Sie Fragen zu IT-Sicherheit gestellt und die Antworten überprüft haben. Ein Sachverständigengutachten ist Ihr Beleg dafür.

Was muss der Vorstand mir über IT-Sicherheit berichten?

Der Vorstand muss Ihnen angemessen Bericht erstatten über: (1) IT-Sicherheitsstrategie und -budget, (2) Risikobewertung und Compliance mit NIS2 Art. 18, (3) Implementierte Maßnahmen und deren Überprüfung, (4) Vorfälle und Schwachstellen. Mit NIS2 wird diese Reporting-Pflicht konkreter. Ein Gutachten zeigt: Diese Berichte sind angemessen.

Wie dokumentiere ich, dass ich überwacht habe?

Das ist die zentrale Frage. Ein Gutachten zeigt: (1) Welche Fragen hätte ein verantwortungsvoller AR stellen müssen? (2) Hat der Vorstand diese Fragen beantwortet? (3) Sind die Antworten ausreichend und dokumentiert? Ein unterzeichnetes Gutachten ist Ihr Beleg, dass Sie diese Fragen gestellt und die Antworten überprüft haben — damit erfüllen Sie Ihre Überwachungspflicht.

Brauche ich spezielles IT-Wissen, um IT-Sicherheit zu überwachen?

Nein. Sie brauchen nicht zu wissen, wie ein Firewall funktioniert. Sie brauchen zu wissen: Hat der Vorstand eine angemessene IT-Sicherheitsstrategie? Sind die Maßnahmen Stand der Technik? Ist das Budget ausreichend? Ein Gutachten hilft Ihnen, diese Fragen richtig zu stellen und die Antworten zu bewerten.

Wie oft sollte ich IT-Sicherheit im Aufsichtsrat behandeln?

Mindestens halbjährlich — das ist NIS2 Standard. Ein Gutachten zeigt: Diese Häufigkeit erfüllt die Überwachungspflicht. Danach können Sie Ihre AR-Agenda entsprechend planen.

Was passiert, wenn der Vorstand nicht kooperiert?

Dann ist das selbst bereits ein Verstoß gegen seine Reporting-Pflicht. Dokumentieren Sie, dass Sie nachgefragt haben — und dass der Vorstand nicht angemessen berichtet. Ein Gutachten kann diese Situation klären und Ihnen helfen, richtig zu reagieren.

Kann ich das Gutachten publizieren?

Nein, es ist vertraulich. Aber im Schadensfall können Sie es vorlegen — Ihrem Anwalt, Ihrer D&O-Versicherung, einem Gericht. Es ist Ihr privater Schutz.

Anfrage stellen