Um der Flut neuer Vorschriften gerecht zu werden und sich optimal zu positionieren, müssen die Unternehmen schnell handeln, so der Tenor eines kürzlich stattgefundenen Webinars.

Führungsgremien, die sich der Welle neuer Vorschriften zur Cybersicherheit gegenüber sehen, sollten bedenken, dass diese für „wesentliche“ Prozesse gelten, nicht für alle Systeme.

Diese Warnung wird in einem neuen Webinar von Board Agenda in Zusammenarbeit mit Diligent ausgesprochen, in dem Experten die Vorbereitungen erläutern, die erforderlich sind, um mit den von Gesetzgebern und Regulierungsbehörden auf der ganzen Welt erlassenen Cybersicherheitsmaßnahmen fertig zu werden.

Martin Tyley, Partner bei KPMG und globaler Leiter des Bereichs Cyberrisiken, sprach über die Schwierigkeiten, mit denen Führungsgremien und ihre Organisationen konfrontiert sind, wenn sie versuchen, die neuen Vorschriften einzuhalten.

Tyley bemerkt, dass sich die Regulierungsbehörden vor allem darauf konzentrieren, wie Unternehmen die kritischen Teile ihrer IT-Infrastruktur schützen.

„Das bedeutet“, so Tyley, „dass man nicht alles auf demselben Stand haben muss und nicht versuchen muss, alles gleichzeitig zu reparieren.“

Kritische Bedeutung

Welche Systeme kritisch sind, kann je nach Unternehmen unterschiedlich sein. Für das eine Unternehmen ist möglicherweise sein geistiges Eigentum von wesentlicher Bedeutung, während es für das andere der laufende Betrieb einer Fabrik ist. Die Kontrollen und Schutzmaßnahmen für derart diverse Aspekte der Geschäftstätigkeit können sehr unterschiedlich sein.

Unternehmen sind mit einer Flut neuer Anforderungen an die Cybersicherheit konfrontiert. Die EU-Mitgliedstaaten haben bis Oktober dieses Jahres Zeit, die Richtlinie zur Netz- und Informationssicherheit (NIS) umzusetzen, die die Meldepflicht für Verstöße gegen die Cybersicherheit auf mehr Unternehmen und Sektoren ausweitet, die Verpflichtungen zum Risikomanagement präzisiert und große Unternehmen auffordert, das Cybersicherheitsrisiko in ihren Lieferketten zu bewerten.

Sowohl die erste als auch die zweite Version der NIS werden derzeit vom Vereinigten Königreich geprüft.

Letztes Jahr haben die Aufsichtsbehörden der Securities and Exchange Commission (SEC) ähnliche Berichtspflichten für US-Unternehmen eingeführt, die u. a. Angaben darüber verlangen, ob die Cybersicherheit in den Zuständigkeitsbereich eines Vorstandsausschusses fällt oder einer leitenden Person übertragen wird.

Schwachstellen in der Lieferkette

In der Podiumsdiskussion des Webinars spielten Probleme in der Lieferkette eine wichtige Rolle.

„Die böswilligen Akteure haben erkannt, dass die großen Unternehmen ihre Sicherheitsmaßnahmen verstärken... Daher ist jetzt die Lieferkette das Ziel“, so Dale Waterman, Solution Designer und Experte für Compliance und Governance bei Diligent.

Die Gesprächsteilnehmer waren sich jedoch einig, dass menschliches Verhalten im Zentrum der Cybersicherheit steht. Und das erfordert ein intelligentes Management. Christiane Wuillamie, Geschäftsführerin und Mitbegründerin des Beratungsunternehmens Pyxis Culture Technologies, ist der Meinung, dass Unternehmen die richtige „Kultur“ brauchen, um Cyberangriffe zu verhindern.

„Man muss eine Kultur der individuellen Verantwortlichkeit schaffen. Dazu muss man mit positiver Verstärkung arbeiten und nicht nach dem Prinzip „Regelkonformität oder Bestrafung“.

„Man sollte auch ohne Schuldzuweisungen auskommen, auch wenn das der menschlichen Natur widerstrebt.“

Kamal Bechkoum, Gastprofessor an der Abertay University und erfahrener Forscher auf dem Gebiet der Cybersicherheit, mahnte an, dass sich die Führungsetage einschalten müsse.

„Die Cyberlandschaft kann einen überwältigen und der rechtliche Rahmen kann manchmal wirklich verwirrend sein.

Sie müssen kein Experte in einem der beiden Bereiche sein, aber Sie müssen über Strukturen verfügen, die es Ihnen ermöglichen, informiert zu sein und aktiv an der Widerstandsfähigkeit Ihrer Organisation mitzuwirken.“

Sehen Sie sich hier das vollständige Webinar von Diligent in Zusammenarbeit mit Board Agenda an.