5. Mai 2026

Verwaltungsrat und Cybersicherheit: Eine zwingende Kombination

Cyberbedrohungen sind zunehmend ein wesentlicher Risikofaktor mit hohem Schadenpotential. Sie sind für alle Unternehmen von Bedeutung und können strategische Dimensionen annehmen. Ein Verwaltungsrat, der sich nicht genügend um die Cybersicherheit und Cyberresilienz seines Unternehmens kümmert, vernachlässigt seine Pflichten und kann dafür haftbar gemacht werden.

von Dr. iur. Gerhard M. Saladin

Die Bedrohungen im Cyberraum werden immer komplexer, und sowohl die Häufigkeit als auch das Schadensausmass von Cybervorfällen steigen kontinuierlich. Die Cybersicherheit und Cyberresilienz als proaktive Massnahmen sind von wesentlicher Bedeutung für das Unternehmen, um Cyberbedrohungen abzuwehren und sie erfolgreich zu überstehen. Die Cybersicherheit und Cyberresilienz eines Unternehmens erhalten damit eine strategische Bedeutung für das Unternehmen.

Für die strategischen Fragen des Unternehmens ist der Verwaltungsrat abschliessend verantwortlich. Er trägt auch die abschliessende Verantwortung für die Cybersicherheit und die Cyberresilienz seines Unternehmens. Cyberrisiken sind daher vom Verwaltungsrat genau gleich sorgfältig zu managen wie andere strategische Risiken, denen sein Unternehmen ausgesetzt ist.

Der Verwaltungsrat muss sich zwingend mit der Cybersicherheit und Cyberresilienz seines Unternehmens befassen. Nicht in jedem Detail, aber im Grundsätzlichen. Der Verwaltungsrat kann die Themen Cybersicherheit und Cyberresilienz zwar teilweise, aber nicht vollständig an eine untergeordnete Organisationseinheit oder einen Cybersicherheitsbeauftragten delegieren. Und selbst wo der Verwaltungsrat delegieren darf, verbleibt ihm, wie üblich, die Pflicht zu der nach den Umständen gebotenen Sorgfalt bei der Auswahl, Unterrichtung und Überwachung.

Das alles bedingt, dass der Verwaltungsrat ein gewisses Grundwissen und -verständnis für die Themen Cybersicherheit und Cyberresilienz eines Unternehmens im Allgemeinen und seines eigenen Unternehmens im Speziellen hat. Ohne dieses Wissen und Verständnis kann der Verwaltungsrat nicht sorgfältig entscheiden und verletzt damit fahrlässig oder sogar absichtlich seine Pflichten. Für den dadurch verursachten Schaden haftet der Verwaltungsrat.

Im Ergebnis zeigt sich, dass Verwaltungsrat einerseits und bewusste Cybersicherheit und Cyberresilienz andererseits sich gegenseitig bedingen. Wer diese zwingende Kombination ignoriert, befindet sich im Cyberblindflug.

Weitergehende theoretische und praktische Ausführungen des Autors und eines weiteren Experten zur vorliegenden Thematik werden voraussichtlich im Jahr 2026 in Buchform erscheinen.

Über die Autorin / den Autor
Dr. iur. Gerhard M. Saladin Dr. iur. Gerhard M. Saladin schloss 2025 an der Executive School der Universität St. Gallen den Executive Master in Management & Law erfolgreich ab. In seiner Masterarbeit befasste er sich mit den Aufgaben des Verwaltungsrats hinsichtlich der Cybersicherheit des Unternehmens.
Weitere Artikel