Cyber-Sorgfaltspflicht

Pflicht des Verwaltungsrats zur angemessenen Cybersicherheits-Governance als moderne Ausprägung der Sorgfaltspflicht in einer digitalisierten Risikolandschaft.

Definition

Die Cyber-Sorgfaltspflicht ist die moderne Ausprägung der Sorgfaltspflicht des Verwaltungsrats im Bereich Informationssicherheit und digitale Resilienz. Sie verpflichtet den VR, Cyberrisiken systematisch zu identifizieren, ein angemessenes Cybersicherheitsmanagement zu etablieren, die Reaktion auf Vorfälle vorzubereiten und die Folgen unzureichender Sicherheit zu antizipieren. Sie hat keine eigenständige Rechtsgrundlage, leitet sich aber aus der allgemeinen Sorgfaltspflicht, der Organisationspflicht und spezialgesetzlichen Vorgaben ab.

Cyber-Sorgfalt ist keine reine IT-Aufgabe mehr, sondern eine zentrale Governance-Frage. Cyberangriffe haben heute existenzbedrohendes Potenzial, sowohl finanziell als auch reputativ. Der VR kann sich nicht mehr darauf zurückziehen, dass Cyber Sache der Geschäftsleitung und der IT-Abteilung sei.

Rechtsgrundlage

OR Art. 716a Abs. 1 Ziff. 2 zur Organisationspflicht verpflichtet den VR, eine der Grösse und Komplexität der Gesellschaft angemessene Cyber-Organisation sicherzustellen. OR Art. 717 zur Sorgfaltspflicht verlangt das aktive Risikomanagement im Cyberbereich. OR Art. 754 sanktioniert Verstösse.

Das revidierte DSG, in Kraft seit September 2023, hat die Datenschutz- und Datensicherheitsanforderungen verschärft. DSG Art. 8 verlangt angemessene technische und organisatorische Massnahmen, DSG Art. 24 die Meldung von Datenschutzverletzungen an den EDÖB. Bei Verletzungen drohen Bussen gegen verantwortliche natürliche Personen bis CHF 250000.

Bei Finanzinstituten gelten zusätzlich FINMA-Rundschreiben, namentlich zu operationellen Risiken und Cyberresilienz. Für kritische Infrastrukturen ist das Bundesgesetz über die Informationssicherheit relevant. Der ICT-Minimalstandard des Bundes bietet eine Orientierungshilfe, die in mehreren Branchen als faktischer Mindeststandard gilt.

Praxis Schweiz

In der Schweizer Praxis hat sich eine Cyber-Governance-Architektur etabliert, die mehrere Ebenen umfasst. An der Spitze steht die Cyberrisiko-Strategie des VR, die Risikobereitschaft, Investitionsrahmen und Schutzziele definiert. Darunter liegt das Informationssicherheits-Management-System, häufig zertifiziert nach ISO 27001 oder ausgerichtet am NIST Cybersecurity Framework.

Auf operativer Ebene sind Penetration Tests durch externe Spezialisten, Vulnerability Scans, Endpoint Detection and Response, Security Operations Center und Mitarbeiterschulungen zentrale Bausteine. Phishing-Simulationen testen die Wirksamkeit der Schulungen. Bei grösseren Gesellschaften berichtet der Chief Information Security Officer mindestens quartalsweise an den VR, in der Regel über das Audit Committee oder einen Risiko-Ausschuss.

Der Incident Response Plan ist kein Schubladendokument, sondern wird regelmässig in Tabletop-Exercises geprobt. Kritische Szenarien wie Ransomware, Lieferanten-Kompromittierung oder Daten-Exfiltration werden durchgespielt. Externe Forensik-Partner sind vorab vertraglich gebunden, damit im Ernstfall keine Zeit für Beauftragungen verloren geht.

Cyber-Versicherungen sind zu einem Standardbaustein geworden, decken aber nicht alles. Lösegeldzahlungen, Reputationsschäden und Verantwortlichkeitsklagen werden je nach Police unterschiedlich abgedeckt. Der VR muss die Police mit gleicher Sorgfalt wie andere wesentliche Verträge prüfen und auf Branchenangemessenheit achten.

Häufige Fehler

Der häufigste Fehler ist die Delegation des Cybersicherheits-Themas an die IT-Abteilung mit dem Hinweis, dass dies eine technische Frage sei. Cybersicherheit ist Risikomanagement, und das ist VR-Verantwortung. Ohne aktive Auseinandersetzung mit Cyberrisiken auf VR-Ebene fehlt die strategische Steuerung.

Ein zweiter Fehler ist die fehlende Cyber-Kompetenz im VR selbst. Viele VR-Gremien haben kein Mitglied mit einschlägigem Hintergrund. Bei börsenkotierten und stark digitalisierten Unternehmen ist dies kaum noch verteidigbar. Externe Beratung kann zwar punktuell helfen, ersetzt aber nicht die fortlaufende Auseinandersetzung im Gremium.

Weiter wird die Lieferantenkette oft vernachlässigt. Viele schwere Cybervorfälle der letzten Jahre erfolgten über kompromittierte Lieferanten oder Cloud-Anbieter. Die VR-Sorgfalt verlangt, dass auch Drittparteien sicherheitstechnisch beurteilt werden und entsprechende Vertragsklauseln vorhanden sind. Schatten-IT, also nicht autorisierte Tools und Services in der Organisation, bleibt oft unerkannt und untergräbt die Sicherheitsarchitektur.

Ein weiterer Schwachpunkt ist die Reaktionsfähigkeit. Wenn ein Vorfall eintritt, läuft viel Zeit verloren mit der Klärung von Zuständigkeiten, der Beauftragung externer Berater und der Abstimmung mit der Kommunikation. Vorbereitete Pläne, vorab mandatierte Spezialisten und geprobte Abläufe reduzieren den Schaden erheblich.

Abgrenzung

Die Cyber-Sorgfaltspflicht ist Teil der allgemeinen Sorgfaltspflicht, hat aber eigene Konturen wegen der technischen und organisatorischen Spezifika. Sie ist abzugrenzen von der Compliance mit konkreten Datenschutzpflichten, die sich aus DSG, DSGVO oder branchenspezifischen Regelungen ergeben. Cyber-Sorgfalt ist breiter und umfasst auch nicht datenschutzrelevante Risiken wie Betriebsunterbrüche, Ransomware oder geistigen Eigentumsdiebstahl.

Sie ist auch zu unterscheiden von der reinen Informationssicherheits-Funktion innerhalb der Organisation. Diese ist operativer Natur und liegt typischerweise beim CISO. Die VR-Cyber-Sorgfaltspflicht ist die strategische Steuerung und Aufsicht über diese Funktion.

Schliesslich grenzt sich die Cyber-Sorgfaltspflicht von der Business-Continuity-Pflicht ab. Beide überschneiden sich, da viele Business-Continuity-Szenarien heute durch Cybervorfälle ausgelöst werden. Business Continuity ist aber breiter und umfasst auch nicht-digitale Krisen wie Pandemien, Naturkatastrophen oder Lieferengpässe.

Häufige Fragen

Was ist die Cyber-Sorgfaltspflicht?

Die Cyber-Sorgfaltspflicht ist die moderne Ausprägung der allgemeinen VR-Sorgfaltspflicht im Bereich der Informationssicherheit. Sie verlangt, dass der VR Cyberrisiken systematisch erfasst, ein angemessenes Cybersicherheitsmanagement etabliert und die Reaktion auf Vorfälle vorbereitet.

Hat die Cyber-Sorgfaltspflicht eine eigene Rechtsgrundlage?

Es gibt keine eigenständige Norm, die Cyber-Sorgfaltspflicht leitet sich aus OR Art. 716a zur Organisationspflicht, OR Art. 717 zur Sorgfaltspflicht und dem revidierten DSG ab. Bei Finanzinstituten kommen FINMA-Rundschreiben hinzu, bei kritischer Infrastruktur das Informationssicherheitsgesetz und das ICT-Minimalstandard-Konzept des Bundes.

Welche Bausteine umfasst Cyber-Governance auf VR-Ebene?

Zentrale Bausteine sind eine Cyberrisiko-Strategie, ein Informationssicherheits-Management-System nach ISO 27001 oder NIST CSF, regelmässige Penetration Tests, ein Incident Response Plan, Business Continuity Pläne, Mitarbeiterschulungen, Cyber-Versicherung sowie ein periodisches Reporting an den VR mindestens quartalsweise.

Welche Rolle spielt das revidierte DSG?

Das seit 2024 in Kraft stehende DSG hat die Verantwortung der Organe für Datenschutz verschärft. Datenschutzverletzungen sind nach DSG Art. 24 dem EDÖB zu melden. Bei nachgewiesenen Sorgfaltsmängeln in der Datensicherheit drohen sowohl zivilrechtliche Haftung als auch Bussen bis CHF 250000 für die verantwortlichen Personen.

Wie reagiert der VR bei einem Cybervorfall?

Der VR muss unverzüglich informiert werden, eine koordinierte Reaktion einleiten, externe Spezialisten beiziehen, regulatorische Meldepflichten prüfen, Kommunikation steuern und die forensische Aufarbeitung sicherstellen. Schnelligkeit, Disziplin und Dokumentation sind entscheidend. Ein vorbereiteter Incident Response Plan reduziert Schaden und Haftungsrisiken.

Welche Versicherungen sind sinnvoll?

Cyber-Versicherungen decken typischerweise Drittschadenersatz, Eigenschäden, forensische Untersuchungen, Krisen-PR und Lösegeldforderungen. Sie ersetzen aber nicht die D&O-Versicherung, die persönliche Organhaftung schützt. Die Cyber-Versicherung ist wirksamer Risikotransfer, deckt jedoch grobe Fahrlässigkeit der Organe nicht.

Welche Fehler sind in der Praxis häufig?

Häufig sind die Vernachlässigung der VR-eigenen Verantwortung durch Delegation an die IT-Abteilung, fehlende Cyber-Kompetenz im VR, unvollständige Incident Response Pläne, ungenügende Schulungen, fehlende Tests durch Phishing-Simulationen und mangelnde Vertragsklauseln gegenüber IT-Lieferanten. Auch Schatten-IT bleibt oft unerkannt.

Wer haftet bei einem schweren Cybervorfall?

Bei nachweisbar mangelhafter Cyber-Governance haftet der VR persönlich nach OR Art. 754. Klassische Anknüpfungspunkte sind das Ignorieren bekannter Risiken, fehlende Schutzmassnahmen trotz Branchenstandards, mangelhafte Reaktion auf erfolgte Vorfälle oder verspätete Meldungen. Im Konkursfall werden Verantwortlichkeitsklagen häufig auf Cybervorfälle gestützt.