Cyberrisiken und Unternehmensorganisation

Cybersecurity ist neben der technischen Komponente vor allem eine Aufgabe der Unternehmensorganisation. Für die Aktiengesellschaft stellt sich daher die Frage, welche rechtlichen Rahmenbedingungen der für die Umsetzung verantwortliche Vorstand bei der Strukturierung einer entsprechenden Unternehmensorganisation im Hinblick auf die IT-Sicherheit zu beachten hat. Die Arbeit untersucht die für Cybersecurity einschlägigen aktienrechtlichen und spezialgesetzlichen Normen sowie Standards auf die sich daraus ergebenden Vorgaben für die Corporate Governance. Dabei erfolgt eine Einordnung der IT-Sicherheit innerhalb des Risikomanagements und der Compliance sowie eine Auseinandersetzung mit der diesbezüglichen Rolle von Vorstand und Aufsichtsrat, bevor die Rechtspflichten einzelner unternehmensorganisatorischer Aspekte vor und während einem IT-Sicherheitsvorfall aufgezeigt werden. Darüber hinaus wird diskutiert, ob Cybersecurity hinreichend im Aktiengesetz adressiert ist oder ob ein Regelungsbedarf besteht.