Vorfälle im Bereich Cybersicherheit nehmen ständig zu und bleiben auch in diesem Jahr breit gefächert. Die Regierung ergreift deshalb weitere Maßnahmen, um Unternehmen zu schützen. Nach beispielsweise der Datenschutz-Grundverordnung (DSGVO) werden nun weitere Initiativen im Bereich der Cybersicherheit Unternehmen gegenüber ihren Aktionären, Kunden und Lieferketten in die Pflicht nehmen.
Treiber der neuen Verordnungen und Richtlinien sind die immer raffinierteren Methoden der Cyberkriminellen, die auf Fortschritten in der KI sowie der Nutzung von einfachen Werkzeugen für die Kompromittierung der Sicherheit von Organisationen basieren. Zunehmend haben viele Cyberkriminelle einen einfachen Zugang zu Tools, die ihren Handlungsrahmen über das Niveau hinaus erweitern, das bereits in den vergangenen Jahren möglich war.
Erschwerend kommt hinzu, dass die Prämien für Cyber-Haftpflichtversicherungen weiter steigen und die Versicherer ihren Kunden die Versicherung verweigern, was die Risiken für Unternehmen erhöht. Eine Studie von S&P Global Market Intelligence aus dem Jahr 2021 zeigt, dass die Kosten für Versicherungsprämien für eine Cyber-Haftpflicht allein im Jahr 2020 um fast 73 Prozent gestiegen sind, gegenüber 34 Prozent im Jahr 2018. Zukünftig stehen Reformen bei den Auszahlungen von Cyber-Versicherungen an – dabei steigen auch die Anforderungen an proaktive Maßnahmen der Unternehmen zum Management ihres Cyber-Risikos.
Im Jahr 2023 treten mehrere neue Vorschriften in Kraft, die sich mit Cyberrisiken und Widerstandsfähigkeit befassen:
NIS2-Richtlinie
Die Vorschriften für die Netz- und Informationssicherheit (NIS) haben sich weiterentwickelt, und eine neue NIS2-Richtlinie wird strengere Anforderungen an die Cybersicherheit stellen, nicht nur für die bisher anvisierten staatlichen Stellen und Behörden in den kritischen Infrastrukturbereichen Energie, Verkehr, Banken usw., sondern auch für kleinere Unternehmen. In der NIS2-Richtlinie wird eine Reihe neuer Sektoren hinzugefügt (unter anderem Telekommunikation, Abfallwirtschaft, Gesundheitsdienstleister, Lebensmittel, Chemikalien, Elektronik, Maschinen, Herstellung medizinischer Geräte, Kraftfahrzeuge und digitale Anbieter).
Die NIS2 wird voraussichtlich am 16. Januar 2023 in Kraft treten und umfasst neue Sicherheitsanforderungen sowie Meldepflichten, die von Unternehmen in bestimmten Sektoren erfüllt werden müssen. Im Vergleich zur aktuellen Richtlinie wird der Anwendungsbereich über die traditionellen so genannten kritischen Infrastrukturen hinausgehen und die Vorschriften über Risiken, die Lieferkette und die Offenlegung erweitern.
Digital Operational Resilience Act (DORA)
Im November 2022 wurde ein Gesetzesentwurf verabschiedet, der die Informationssicherheit von Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen stärken soll. DORA wird in jedem EU-Mitgliedstaat eine Gesetzgebung zur Schaffung eines rechtlichen Rahmens für die digitale betriebliche Widerstandsfähigkeit einführen, um Rahmenbedingungen zu schaffen, mit denen betroffene Organisationen IKT-Bedrohungen und -Störungen widerstehen beziehungsweise auf Vorfälle reagieren können. DORA beabsichtigt, die Vorschriften für IKT-Risiken zu konsolidieren und zu aktualisieren sowie bisher bestehende Lücken zu schließen. Die Gesetzgebung der EU-Mitgliedstaaten wird für 2024 erwartet.
Gesetz über die Widerstandsfähigkeit im Cyberspace (CRA)
Im September 2022 wurde der Cyber Resilience Act (CRA) veröffentlicht, der einen gemeinsamen Standard für die Cybersicherheit von Geräten und Diensten vorsieht. In diesem Gesetz werden kritische Produkte definiert und ein Konformitätsverfahren für Geräte- und Dienstleistungskategorien festgelegt, damit Anbieter Schwachstellen in ihren Produkten erkennen und testen können. Im Januar 2023 läuft eine Aufforderung zur Stellungnahme ab. EU-Mitgliedstaaten wie Deutschland haben bereits eine Ausweitung des Geltungsbereichs auf Software-as-a-Service gefordert. Während dieser Bereich noch in der Entwicklung ist, werden Auswirkungen auf viele Organisationen bereits genau beobachtet.
KRITIS-Dachgesetz / CER
Es wird erwartet, dass das KRITIS-Dachgesetz gegen Ende 2023 einen strukturierten Ansatz für kritische Infrastrukturen vorsieht, um den Schutz zu gewährleisten, der von den Betreibern bestimmter kritischer Infrastrukturen verlangt wird, einschließlich obligatorischer Risikobewertungen, Überwachung und Mindeststandards. Mit diesem Gesetz sollen Richtlinien umgesetzt werden, die bereits in der EU-Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen (CER) behandelt werden.
Das Verständnis des regulatorischen Umfelds ist wichtig, um die Anforderungen beurteilen zu können, die heute an Unternehmen gestellt werden. Unternehmen, die wir regelmäßig beraten, nennen die komplexen rechtlichen Anforderungen als eine der Herausforderungen bei der Einführung einer proaktiven Cyber-Resilienz-Politik.
Gleichzeitig ist ein starker reaktiver Ansatz für Cyber-Risiken ein wichtiger Teil einer Strategie. Der Weg in die Zukunft der Cybersicherheit ist jedoch ein ganzheitlicher Ansatz für das Risikomanagement mit proaktiven Rahmenwerken zur Evidenz und zur Verteidigung.
Um neue Herausforderungen zu meistern, empfehlen wir, mit folgenden Schritten zu beginnen:
Schritt 1: Bewerten Sie den aktuellen Stand
Definieren Sie das aktuelle Verständnis Ihres Unternehmens für Cyberrisiken und die Risikobereitschaft. Führen Sie eine grundlegenden Cyber Maturity Test Ihres Unternehmens durch. Einige Fragen könnten lauten
- Wer ist für das Management von Cybersicherheitsrisiken verantwortlich?
- Welche proaktiven Maßnahmen haben wir ergriffen?
- Wie testen wir unsere Maßnahmen und stellen sicher, dass sie wirksam sind?
- Welche Unternehmensbereiche stellen das größte Risiko dar?
Indem Sie Einblicke in die Cyber-Resilienz Ihres Unternehmens gewinnen, können Sie Bereiche ermitteln, in die investiert werden muss, um den Reifegrad auf die nächste Stufe zu heben.
Schritt 2: Aufklärung / Befähigung
Ganz gleich, ob Ihre Organisation eine Schulung der Mitarbeitenden benötigt oder ob Sie die Erkenntnisse von Expertenpartnern benötigen - Wissen ist Macht.
Erstens ist es im Bereich der Cybersicherheit unerlässlich, dass diejenigen, die für das Cyber-Risikoprofil Ihres Unternehmens verantwortlich sind, aktuelle Einblicke und Informationen über diesen risikoreichen Bereich erhalten. Beachten Sie dabei auch Unterlagen, die von Organisationen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Verfügung gestellt werden.
Zweitens sollten Sie sicherstellen, dass in Ihrer Organisation geeignete Verantwortliche bestimmt sind, die für die Umsetzung der Ziele Ihrer Organisation, die Durchführung von Bewertungen, die Implementierung von Best Practices und die Umsetzung von Risikominderungsprogrammen wie Datenminimierung oder Anti-Phishing-Kampagnen zuständig sind. Stellen Sie sicher, dass im Unternehmen bekannt ist, wer als Ansprechpartner zu den oben genannten Themen fungiert.
Und schließlich sollten Sie Ihr Managementteam für die Initiativen gewinnen. Diejenigen, die mit der Aufgabe betraut sind, das Cyber-Bewusstsein zu schärfen, benötigen die Unterstützung der Führungsebene. Ein erfolgreicher Plan zur Cyber-Resilienz erfordert eine effektive Zusammenarbeit nicht nur in der IT-Abteilung, sondern im gesamten Unternehmen.
Schritt 3: Evaluieren Sie Ihre Fortschritte
Durch regelmäßige Cyber-Audits durch Dritte, proaktive Überwachungsstrategien und Folgebewertungen markieren Sie Ihre Fortschritte während des Reifeprozesses Ihrer Cyber-Resilienz-Strategie. Ermitteln Sie, ob Sie Ihre Ziele erreichen, und bewerten Sie Ihr Risiken zusammen mit den sich wandelnden gesetzlichen Anforderungen regelmäßig neu.
Eine transparente, wirksame, proaktive Strategie für die Widerstandsfähigkeit im Bereich der Cybersicherheit gibt Ihrem Unternehmen die Gewissheit, dass Sie in einer sich ständig weiterentwickelnden Welt der Cyberrisiken gut gerüstet sind, um bestehenden Risiken vorzubeugen.
Auch hier kann die Zusammenarbeit mit einer wertschöpfenden Beratung von Experten bei Grant Thornton Deutschland helfen – ganz gleich ob Sie eine erste Bewertung, Beratung oder ein komplettes Programm zur Bewältigung von Cyberrisiken in Ihrem Unternehmen benötigen - wir sind für Sie da.
Sprechen Sie uns an!
