Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
itsa 2025 16 itsa Magazine 2025 www markttechnik de tet die Behebung einer Ransomware-Attacke das betroffene Unternehmen im Schnitt fünf Millionen Euro Wie gut sind die Unternehmen Ihrer Erfahrung nach tatsächlich vorbereitet wenn es um die Einhaltung neuer Vorgaben geht? Und welche typischen Fehler beobachten Sie hier am häufigsten? In vielen Unternehmen fehlt der Überblick darüber welche Regularien für sie anwendbar sind und vor allem mit welchen Maßnahmen sie bereits zur Erfüllung neuer regulatorischer Anforderungen beitragen Der Grund ist ganz oft die Trennung der Bereiche Compliance und Informationssicherheit oder IT-Security Es wird schlicht zu wenig oder gar nicht miteinander gesprochen Insofern kann beispielsweise ein „NIS-2-Projekt“ auch die interdisziplinäre Kommunikation und Aufgabenbearbeitung beleben – davon profitieren langfristig alle Bereiche Neben der fehlenden Kommunikation ist das Fehlen der dedizierten thematischen Würdigung der IT-Compliance ein weiterer vielfach zu beobachtender Fehler So führen in einigen Unternehmen IT-Abteilungen ein Rechtskataster über die sie betreffenden Regularien Demgegenüber lässt sich in den Publikationen der DICO Deutsches Institut für Compliance e Vbeobachten dass IT-Compliance sich in den Kanon der klassischen Compliance-Anforderungen eingereiht hat Nunmehr ist sicherzustellen dass die Compliance-Abteilungen auch über die entsprechende Expertise verfügen Durch die organisatorische Einordnung des Bereichs Compliance wird zudem sichergestellt dass die Sichtbarkeit der Themen auf den Leitungsebenen dauerhaft gegeben ist Besonders diskutiert wird die persönliche Haftung von Geschäftsführern Wie verändert das Ihrer Meinung nach die Dynamik zwischen Management und IT-Abteilungen? Nicht wenige Kunden berichten uns dass der Eindruck entsteht mit dieser Betonung der Organhaftung werde nunmehr dem Bereich Cybersecurity mehr Gehör geschenkt Hinzu kommt das IT-Security-Training mit der Geschäftsleitung im Rahmen der NIS-2 – für viele Organe der Leitungsebene der erstmalige Kontakt mit dem Thema Ich halte das für eine trügerische Verbesserung deren Halbwertszeit maßgeblich davon beeinflusst wird inwieweit es den Verantwortlichen für IT-Compliance bei der Umsetzung von Anforderungen gelingt Mehrwerte zu schaffen und das Risikobewusstsein dauerhaft um die Aspekte der Cybersicherheit zu erweitern Ansonsten bleibt in der Wahrnehmung nach Abebben des „Hype“ wenig haften siehe DSGVO Möglicherweise kann die künftige Bußgeldpraxis der Aufsichtsbehörden die Erinnerung regelmäßig auffrischen Cyberangriffe auf Lieferketten gelten als eine der größten Gefahren Was macht es so schwer dieses Risiko wirklich in den Griff zu bekommen? Die Implementierung von Cybersicherheit bei Auftragnehmern lässt sich nur bedingt vertraglich steuern Oftmals sind gerade kleinere Dienstleister überfordert mit den Anforderungen beispielsweise der NIS-2 ein adäquates Cyber-Sicherheitsniveau sicherzustellen oder gehen gar davon aus mangels fehlender direkter Betroffenheit und aufgrund geringer Größe hier nichts tun zu müssen In Zukunft wird also dem Auswahlprozess geeigneter Dienstleister sowie entsprechenden vertraglichen Vereinbarungen eine deutlich größere Bedeutung zukommen Mittelfristig kann sich kein Lieferant diesen „neuen“ Wettbewerbsfaktoren entziehen Bereits jetzt haben wir viele Kunden die eine NIS-2-Klausel in die Verträge mit Ihren IT-Dienstleistern aufnehmen beziehungsweise neue Lieferanten entsprechend sorgfältig durch uns prüfen lassen Viele Mittelständler stehen vor der Frage „Wie viel Regulierung kann ich stemmen?“ Was raten Sie Unternehmen die knappe Ressourcen haben aber gleichzeitig compliant sein müssen? Effizienz ist nur durch eine klare Standortbestimmung möglich Dabei gilt es nicht nur die für das Unternehmen relevanten Regularien sondern insbesondere die bereits vorhandenen Maßnahmen zu identifizieren So haben beispielsweise viele Unternehmen die von der NIS-2 geforderte Multi-Faktor-Authentifizierung §30 Abs 2 Nr 10 NIS2 UmsuG bereits implementiert Ferner sollten Unternehmen die sich überschneidenden Anforderungen ermitteln und synergetische Maßnahmen bergen Das lässt sich über ein strukturiertes System zum Management der Informationssicherheit nach dem ISO 27001-Standard effizient erreichen Ein Standard der im Übrigen auch von den Aufsichtsbehörden anerkannt ist Globale Player müssen EU-Regeln wie NIS-2 oder den CRA mit USoder asiatischen Standards zusammenbringen Gibt es aus Ihrer Sicht Chancen dass sich Standards weltweit stärker angleichen – oder bleibt Cybersecurity ein regional fragmentiertes Thema? Und was bedeutet dieser Flickenteppich für die Praxis? Wie wir am Beispiel der Datenschutzgrundverordnung gesehen haben ist eine weitestgehende Harmonisierung und Standardisierung der Regulatorik zumindest in der EU möglich Außerhalb der EU gestaltet es sich schwierig Viele Anforderungen stehen im Widerspruch zueinander und haben eine abweichende Intention So wird Regulatorik auch regelmäßig als Markteintrittshemmnis eingesetzt oder es bleiben Bereiche bewusst unreguliert weil sich Staaten davon Wettbewerbsvorteile versprechen – siehe KI in den USA und China Auch die Reichweite unserer Regularien in der EU zeigt sich begrenzt so stellt beispielsweise die DSGVO kein „Blocking Statute“ Abwehrrecht gegen ausländische Zugriffe auf Basis des US Cloud Act FISA dar Die Ebene der Implementierung von regulatorischen Anforderungen ist da einen Schritt weiter Für viele Themen gibt es international anerkannte ISO-Standards die auch zertifizierbar sind So hat sich unter anderem im Bereich des „Business Continuity Management“ der ISO 22301-Standard etabliert und ist international anerkannt Gerade im global tätigen Mittelstand zeigt sich dass der Weg über ISO-Standards effizient und international tragfähig ist – und sowohl vertrauensbildend wirkt als auch wettbewerbsrelevant ist Einige Stimmen kritisieren dass Regulierung Innovation bremst Teilen Sie diese Einschätzung – oder sehen Sie sogar das Gegenteil? So ist es das Gegenteil ist der Fall Ein schönes Beispiel ist hier die chinesische KI-Anwendung „DeepSeek“ Als diese am Markt erschien waren die Stimmen laut die darin einen Beleg für die Innovationsgeschwindigkeit unregulierter Märkte sahen Nach kurzer Zeit fanden Sicherheitsforscher von WIZ eine ungeschützt im In-Stefan Eigler TÜV Rheinland „ Die nahezu täglichen Meldungen zu Sicherheitslücken und erfolgreichen Cyberangriffen zeigen wie verletzlich europäische und insbesondere auch deutsche Unternehmen sind « “