Herzlich Willkommen zu unserem Newsletter!
Hier geben wir hier einen Überblick über geplante Aktivitäten und beleuchten jeden Monat einen Aspekt sicherer Digitalisierung.
Interessante Aktivitäten im Mai:
LinkedIn-Livestream am Dienstag, den 21.05.2024, 12:00h: „Bastian Helms: Effektive Umsetzung von Cybersicherheit als Entscheider“ – mit Bastian Helms , erfahrener IT-Projektleiter mit Fokus auf Cybersicherheit und IT-Transformation, und Sonna Barry, VP Business Development & Strategy. Melden Sie sich hier an.
Sichere Digitalisierung im Mai: Cybersicherheit aus juristischer Perspektive
Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema mit Dr. Julian Zaudig finden Sie hier.
Aktuell handelt es sich beim Themenbereich Cybersicherheit juristisch um altes Recht, das neu ausgelegt wird. Bis heute ist IT-Sicherheit eher ein technisches Thema und die besten Lösungen für Unternehmen sind vorherrschend technologischer Natur. Der Fokus der Geschäftsführung liegt eher auf dem Management von Cyber-Risiken, die aktiven Entscheidungen darüber, wie genau Cybersicherheit umgesetzt wird, sind eher an die IT delegiert. Dies liegt daran, dass nach altem Recht gesetzliche Normen bestehen, die den Umgang der Geschäftsführung mit Unternehmensrisiken regeln. Sie definieren, wo Entscheider hinsehen, wann sie etwas unternehmen und wie sie entscheiden müssen. Im Kern geht es rechtlich um Folgendes: Gibt es einen Dialog mit dem Betrieb und basieren getroffene IT-Sicherheitsentscheidungen auf diesen Gesprächen? Wenn die Geschäftsführung auf der genannten Basis entscheidet, hat sie ihre Pflicht erfüllt, auch wenn sich die Entscheidung später als falsch herausstellen sollte.
Wenn es bis dato in Unternehmen zu Verfehlungen im Kontext Cybersicherheit kam, waren diese aus juristischer Perspektive bisher innerbetrieblich zu lösen. Bei Problemen mit der IT-Sicherheit im Betrieb lag es bei der Geschäftsführung zu entscheiden, ob gegenüber dem Verantwortlichen Disziplinarmaßnahmen eingeleitet werden sollten, ganz im Sinne der zentrale Aufgabe von Entscheidern, Risiken für das Unternehmen zu beurteilen und zu minimieren. Außerdem konnte die verantwortliche Geschäftsführung durch Geschäftsführer oder Aktionäre abberufen oder in Haftung genommen werden. Behörden kamen bis dato höchst selten ins Spiel, wenn überhaupt, spielten sie in regulierten Bereichen (z.B. Finanzwesen) eine Rolle. Durch die neuen IT-Sicherheitsgesetze ändert sich diese Situation: Entscheidungen über Cybersicherheit sind nicht mehr nur auf den Betrieb fokussiert, sondern müssen die Interessen der Allgemeinheit (z.B. Abnehmer, Verbraucher und Bürger) berücksichtigen. Der Gesetzgeber vertritt nun den Standpunkt, dass IT-Sicherheit auch der Katastrophenvorsorge dient. Dadurch wird die Fragestellung, wie man mit den zusammenhängenden Risiken umgeht, normativ verankert und somit auch eine Rechtsfrage.
Was ändert sich juristisch?
Früher ging es für die Geschäftsführung darum, sich mit Aktionären oder Gesellschaftern gut zu stellen und den eigenen Standpunkt ihnen gegenüber sinnvoll darlegen zu können. Bei Verfehlungen lag es in der Hand von Aktionären oder Gesellschaftern über Sanktionen oder andere Maßnahmen gegenüber der Geschäftsleitung zu entscheiden. Durch die neuen Gesetze liegt diese Entscheidungsgewalt für das Thema Cybersicherheit nicht mehr innerhalb der Betriebs: Es existiert eine externe, unabhängige Aufsichtsbehörde, die ggf. auch gegen den Willen von Aktionären oder Gesellschaftern mit Sanktionen oder Anordnungen eingreifen kann. Noch bleiben Bußgeldbescheide selbst bei größeren Verfehlungen aus. Allerdings müssen sich Unternehmen nach Dr. Zaudigs Meinung perspektivisch darauf einstellen, dass Cybersicherheits-Verfehlungen genauso wie in regulierten Bereichen wie Bankenwesen oder Versicherungen ab jetzt immer auch ein Thema der Aufsicht durch das BSI (Bundesamt für Sicherheit in der Informationstechnik) werden. Für Unternehmen ist es jetzt wichtig bei Auditierung oder Prüfung darlegen zu können, dass sämtliche betriebsrelevanten Prozesse und Systeme in der Unternehmens-IT bekannt sind, sie regelmäßig überprüft werden und es Mechanismen gibt, die es der Geschäftsführung ermöglichen, im Fall entstehende Risiken schnell und effektiv zu mitigieren.
IT-Sicherheit verlässt die betrieblich geschützte Sphäre.
Bestandsgefährdende Cybersicherheits-Risiken musste die Geschäftsführung rechtlich schon vor NIS1 und NIS2 auf dem Schirm haben. Doch die rechtliche Sphäre hat sich durch NIS2 nun deutlich verändert: Die Rechtsgrundlage bewegt sich weg vom Aktiengesetz (Paragraf 91, Abs. 2 AG), wo dieser Themenbereich in den Pflichten der Geschäftsleitung verortet ist. Hier ist die Geschäftsführung als Treuhänder des Betriebsvermögens definiert und verwaltet das Vermögen der Aktionäre. Dementsprechend muss die Geschäftsleitung darlegen können, dass sie keinesfalls blind bestandsgefährdende Risiken eingeht, die dieses Vermögen gefährden. Diese Norm aus dem Aktiengesetz gilt auch in der GmbH: Hier ist es für die Geschäftsführung unter anderem verpflichtend, aus der IT-Sicherheit entstehende betriebsgefährdende Risiken zu kennen und entsprechend zu mitigieren.
Unternehmen müssen bestehende Cybersicherheits-Workflows so anpassen, dass sie den neuen rechtlichen Vorgaben gerecht werden. Mit dem Bundesamt für Sicherheit in der Informationswirtschaft (BSI) gibt es nun eine Aufsichtsbehörde, die grundsätzlich schon heute die Möglichkeit hat, Bußgelder zu verhängen oder Anordnungen zu erlassen.
Was heißt das für die Geschäftsführung? Spätestens jetzt sollte all das umgesetzt werden, was schon heute gesetzlich vorgegeben ist. Die Geschäftsführung ist auch nach altem Recht verpflichtet, bestandsgefährdende Entwicklungen zu erkennen. Jetzt, da Cyberkriminalität zur Alltagskriminalität geworden ist und Angriffe jeden treffen können, sind auch Cyberattacken als bestandsgefährdend zu definieren. Dr. Zaudig, juristischer Experte für IT-Sicherheit, empfiehlt Entscheidern dringend folgende Schritte umzusetzen und bereits bestehende IT-Sicherheitsmaßnahmen entsprechend zu prüfen:
- Klassifizierung der IT-Prozesse nach Relevanz für den Fortbestand des Betriebs,
- Mindestens effektive Absicherung betriebsrelevanter Prozesse gegen Cyberangriffe,
- Fortlaufendes Monitoring des Cybersicherheits-Status und bestehender Risiken sowie fortlaufende Aggregation der zugehörigen Informationen und regelmäßige Briefings der Geschäftsleitung,
- Nutzung und Verarbeitung der erhaltenen Informationen in Risiko- und Business Continuity-Management durch die Geschäftsführung.
Wird Cybersicherheit in Zukunft anders überprüft?
Zum jetzigen Zeitpunkt ist es noch so, dass sich Unternehmen aktiv entscheiden können ein Cybersicherheits-Audit durchzuführen und auf Basis der erhaltenen Informationen zu optimieren oder Vorgehensweisen zu ändern. Die Durchführung eines solchen Audits ist eine rein unternehmerische Entscheidung. Ziel der Bundesregierung im Rahmen der Umsetzung der NIS2-Gesetzesnovelle ist es, das aktuelle Regime der IT-Sicherheitsgesetze auch auf den deutschen Mittelstand zu übertragen. Das heißt, dass sich mittelständische Unternehmen auditieren lassen müssen und das BSI, entsprechend der Regelung für Betreiber kritischer IT-Infrastruktur, auch Einblick in die entstandenen Ergebnisberichte erhält. Bei Feststellung von Kern- oder Nebenabweichungen kann es in der Folge zu weiteren Prüfungen, der Verfügung von Abhilfemaßnahmen oder Bußgeldbescheiden seitens des BSI kommen. Aktuell passiert dies noch nicht flächendeckend, doch die gesetzlichen Grundlagen sind gegenüber den aktuelle Betreibern kritischer Infrastruktur und bei Erweiterung des gesetzlichen Rahmens durch NIS2 auch für weite Teile des deutschen Mittelstands gegeben.
Gibt es durch NIS2 Änderungen, wenn es um die Lieferkette geht?
Die Antwort für diesen Fall ist nach Dr. Zaudig aus rechtlicher Sicht komplex. Ein einem Cyberangriff ausgesetztes Unternehmen bietet Angreifern die Möglichkeit, durch infizierte Emailanhänge o.ä. vernetzte Partnerunternehmen zu infiltrieren. Es stellt sich für den juristischen Experten als erstes die Frage, ob hier überhaupt Recht zu beachten ist. Auf Basis der neuen IT-Sicherheitsgesetze ist das der Fall. Bei systemischer Betrachtung kann man erneut auf die organische Haftung verweisen: Das heißt, die Verantwortung für die Cybersicherheit liegt innerhalb des Betriebs. Gegenüber Dritten ist die Haftung eine Frage der Außenhaftung. Wenn man Bedingungen an Geschäftspartner stellt, handelt es sich um Allgemeine Geschäftsbedingungen (AGB). Es gilt der Grundsatz, dass man von gesetzlichen Regelungen nicht abweichen darf, wenn diese einen Kerngedanken darstellen oder man Dritte unangemessen benachteiligt.
Die Europäische Union erlässt ihre Rechtsakte NIS1 und NIS2 mit dem Ziel, dass das Vertrauen in die Digitalisierung gefördert und auch geschützt werden soll. Der Gesetzgeber hat technische Vorgaben analysiert und stärkt die Entstehung von Vertrauenskreisen. Aus rechtlicher Sicht ist es für Unternehmen von entscheidender Bedeutung, dass sie ihre Systeme sicher miteinander verbinden und für Dritte öffnen können. Doch wenn sie dies tun, besteht das Risiko, dass sich Schadsoftware auf diesem Weg in das eigene Netzwerk einschleicht. Deswegen muss jedes Unternehmen seine IT nach bestem Gewissen sichern und kein Unternehmen kann sich von dieser Verantwortung freistellen. Geschäftsführer müssen sich der Tatsache bewusst sein, dass sie, unabhängig von einer vertraglichen Regelung (wie bei Verkehrssicherungspflichten), bei der Verbindung ihres Unternehmens mit einer anderen Unternehmens-IT weiteren Cyberrisiken ausgesetzt sind. Sie müssen in der Lage sein, auch diese Risiken effektiv zu mitigieren, sobald sie Kenntnis erlangen.
Die Verkehrssicherung behandelt im Kern die Frage, wie Dritte vor identifizierten Gefahrenquellen geschützt werden müssen: Auf welche Risiken müssen Entscheider abstellen und für welche müssen sie aktiv Vorsorge treffen? Zum technischen Themenkomplex gibt es eine zweite Ebene: Was konkret ist von der Geschäftsführung zu fordern und wie konkretisiert das Recht ihre Sicherheitspflichten? Auch hier wird es in Dr. Zaudigs Augen komplex: Einerseits möchte der Gesetzgeber, dass die Geschäftsführung haftet, andererseits gibt der Gesetzgeber keinen sicheren Hafen vor. Es fehlt ein Normrahmen, der Maßnahmen definiert, durch deren Abarbeiten die Geschäftsführung in jedem Fall compliant wäre. Wenn man das Gesetz aus dieser Perspektive zusammenfasst, steht dort, dass Unternehmen „entsprechende“ Maßnahmen ergreifen sollen. Wie diese Maßnahmen aussehen, kann jedes Unternehmen selbst entscheiden, im Zweifel macht das ein Richter. In der aktuellen Praxis wird häufig darauf abgestellt, was die Aufsichtsbehörde in einem bestimmten Feld kommentiert. Diese ist an die Gesetze gebunden, darf sie aber nicht konkretisieren, wenn sie nicht im Rahmen einer Rechtsverordnung den Auftrag bekommt. Das ist im Kontext Cybersicherheit nicht der Fall. Das heißt, selbst wenn man sich an BSI-Standards hält (z.B. ISO 27001), ergeht am Ende trotzdem eine Entscheidung des gesetzlichen Richters über einen konkreten Einzelfall, der im Zweifel nur nach dem Gesetz entschieden wird. Der Richter steht vor der Herausforderung, aus dem Gesetz abzuleiten, was „angemessene“ Sicherheitsmaßnahmen sind.
Was sind “angemessene” Cybersicherheits-Maßnahmen?
Das Thema „angemessene“ Sicherheitsmaßnahmen ist ein Grundlagenthema, das zum jetzigen Zeitpunkt noch wenig vorgezeichnet ist. Dr. Zaudig geht davon aus, dass das NIS2-Umsetzungsgesetz bestimmte Vorgaben (sog. Pflichtvorgaben) enthalten wird, die Unternehmen in der Cybersicherheit übernehmen müssen. Für die Geschäftsführung gibt es in der Umsetzung dieser Vorgaben keinen Entscheidungsspielraum. Darauf aufbauend wird es für Zaudig eine Frage der Wissenschaft und der Rechtsprechung sein, auf betriebliche Belange der Betroffenen Rücksicht zu nehmen. Dieses Thema wird aktuell zentral diskutiert. Ein Punkt, der bereits seit einiger Zeit diskutiert wird, ist die Frage, ob eine Verpflichtung zum Umgang mit Risiken letztlich dazu führt, dass Unternehmen eine Prognose treffen müssen. Niemand kann wissen, ob und in welcher Form in der Zukunft die eigenen IT-Systeme attackiert werden. Somit wäre es schlicht unfair, der Geschäftsführung rückblickend vorzuwerfen, sie habe sich nicht richtig verhalten. Es darf also nicht aus dem Fakt, dass eine Attacke stattgefunden hat, abgeleitet werden, dass die Geschäftsführung nicht richtig vorgesorgt hat. Man muss die Normen so auslegen, dass die Risiko-Hoheit bei den Betrieben belassen wird.
Dr. Zaudig gibt ein konkretes Beispiel: Rechtlich sind Unternehmen zum sinnhaften Umgang mit Risiken verpflichtet. Wenn die Geschäftsführung diese untergewichtet, macht sie sich strafbar. Hat ein Unternehmen in den Augen der Geschäftsführung angemessene Sicherheitsmaßnahmen implementiert, kann eine prüfende Behörde diese Angemessenheit anzweifeln. Es ist dem Unternehmen möglich mit der Auslegungsbehörde darüber zu streiten, welche Maßnahmen konkret angemessen sind und zu welchen Maßnahmen es verpflichtet ist. Die Diskussion kann bis zu dem Punkt geführt werden, an dem eine Bußandrohung im Raum steht.
Die aktuelle rechtliche Situation führt dazu, dass der Normbefehl in sein Gegenteil verkehrt wird: Auf der ersten Ebene wird empfohlen, angemessene Risikovorkehrungen zu treffen. Auf der zweiten Ebene wird ausgeführt, dass bei einer nicht risikoaversen Haltung und unzureichenden Maßnahmen eine Strafbarkeit droht. Bei Entscheidern kommt also eher nicht die Nachricht an, dass sie ihr Unternehmen angemessen schützen müssen, sondern die, dass sie Gefahr laufen sich strafbar zu machen. Das könnte dazu führen, dass die Geschäftsführung entscheidet, überdurchschnittlich viele Cybersicherheits-Maßnahmen umzusetzen, um eigene Haftungsrisiken zu minimieren. Dieser Effekt muss nach Dr. Zaudig rechtlich eingehegt werden. Dahin bewegen sich auch Wissenschaft und Europäischer Gerichtshof. Beide haben das Ziel, Unternehmen keine reine Risikoaversion vorzugeben. Das heißt, auch wenn es ein Gesetze gibt, die Vorsorge für potenzielle Cyberattacken vorschreiben, bedeutet das nicht, dass man Cybersicherheit über alles priorisieren muss. Die Gesetze erlauben in Dr. Zaudigs Augen immer noch kreative Lösungen und stellen auf den Einzelfall ab.
Kann man sich als Geschäftsführer also doch zurücklehnen und sagen: „Wir sind ISO 27001 zertifiziert, es gibt für mich nichts zu tun.“?
Mitnichten. Der Europäische Gerichtshof hat in der Rechtssache C340,21 Ende 2023 deutlich ausgesprochen, dass es einen klaren Ermessenspielraum beim eigenen IT-Sicherheitsmanagement gibt. Nach Dr. Zaudig ist das Urteil so zu lesen, dass die Geschäftsführung in der Ausprägung der eigenen Cybersicherheitsmaßnahmen ein Ermessen hat. Das heißt, Entscheider dürfen nach Erkennen eines Risikoelements definieren, welche Maßnahmen ergriffen werden sollen. Allerdings muss sich die Geschäftsführung auf eine Überprüfung der eigenen Risikoanalysen und Risikogewichtung durch die Aufsichtsbehörde einstellen. Nach der Analyse liegt es im Ermessen der Entscheider, die ergriffenen Maßnahmen innerhalb der rechtlichen Parameter zu interpretieren. Diese rechtliche „Experimentierklausel“ wird in Deutschland allerdings durch den Stand der Technik eingeschränkt. Das Unternehmen darf sich nur dann Experimente erlauben, wenn der Stand der Technik dies zulässt.
In jedem Fall muss eine Wirksamkeitskontrolle erfolgen: Die Maßnahme muss überwacht werden, um sicherzustellen, dass sie gegen das identifizierte Risiko wirksam ist. Das Unternehmen benötigt eine Risikoanalyse, darauf aufbauend müssen passende Maßnahmen geplant werden, die Maßnahmen müssen regelmäßig geprüft und bei auftretenden Herausforderungen entsprechend angepasst werden.
Rein in der IT verankerte Cybersicherheits-Maßnahmen werden jetzt auch von Juristen diskutiert.
Cybersicherheit ist kein rein technisches Thema mehr, sondern auch ein rechtliches. Wesentlich ist, dass der EuGH dem externes Sachverständigengutachten – einer gerade in Deutschland gern verwendeten Praxis – eine Absage erteilt hat: Das externes Sachverständigengutachten ist jetzt nicht mehr ausreichend. Bei Streitigkeiten über die ausreichende Absicherung von IT-Systemen wird in der Regel ein externer Gutachter zur Klärung des strittigen Sachverhalts herangezogen. Dies ist erforderlich, da der Richter selbst nicht über die notwendige Expertise verfügt. Bei der Frage, ob angemessene Maßnahmen ergriffen wurden, darf ein Gericht in Fragen der Cybersicherheit nun keinen Sachverständigen zu Rate ziehen, sondern muss den Sachverhalt selbst prüfen. Das bedeutet, dass ein Sachverständigengutachten auch im privaten Recht nicht mehr ausreicht. Der Private muss auch rechtlich prüfen. Die Geschäftsführung muss somit die rechtliche Perspektive und die rechtliche Kontrolle in den eigenen Entscheidungsprozess miteinbeziehen.
Cybersicherheit unterliegt nicht mehr allein der Disposition der Betriebe.
Der Kern der Entwicklung der IT-Sicherheitsgesetze ist nach Dr. Zaudig eine neue Sichtweise auf die Thematik. Die Geschäftsführung darf nicht mehr frei auf Absicherung bestimmter Cyberrisiken verzichten und muss sich darauf einstellen, dass im Zweifelsfall über ihre Cybersicherheits-Entscheidungen verhandelt und diese von einer Aufsichtsbehörde und oder Gerichten überprüft werden.
Müssen mittelständische Entscheider also spätestens jetzt einen Risikoprozess für die Cybersicherheit aufsetzen? Und: Müssen sie diesen auch juristisch prüfen lassen? In der Tat. Wenn die aktuelle Cybersicherheits-Strategie schon von Auditoren geprüft und für gut befunden wurde, eventuell sogar ein ISO 27001-Management vorliegt, ist das aus juristischer Perspektive nicht der Maßstab des Gerichts. Rechtlich relevant (auch für das BSI als verantwortliche Aufsichtsbehörde) ist es, ob das Gesetz entsprechend eingehalten wurde. Wenn man auf das alte Gesellschaftsrecht bezogen den unternehmerischen Umgang mit Risiken in den Mittelpunkt stellt, wird die Geschäftsführung, wenn sie ein Cybersicherheits-Risikomanagement gestaltet und umsetzt, damit in jedem Fall ihrer Sorgfaltspflicht gerecht. Doch ab dem Moment, in dem es, wie im Kontext NIS2 geplant, gesetzliche Anforderungen an das Risikomanagement gibt, gelten nur diese Anforderungen. Weder ISO-Zertifizierungen noch andere Regelungen sind dann im juristischen Kontext maßgeblich. Das bedeutet allerdings nicht, dass ISO 27001 keine Grundlage mehr hat. Bei allem, was technische Grundlagen betrifft, haben die Aussagen des BSI immer noch Aussagekraft, weil die Behörde sorgfältiger und mit mehr Expertise arbeitet. Unternehmen müssen jedoch wissen, dass das Gesetz in Teilen (und sei es nur im Detail) von diesen Vorgaben abweicht.
Ein gutes Beispiel ist das Thema Auditierung, die regelmäßige Erfolgskontrolle: Wenn man in die Best Practices schaut, ist Auditierung eine gute Maßnahme. Das Recht allerdings fordert bei der Compliance überraschende, stichprobenartige Kontrollen. Wenn die Geschäftsführung also nur einen Auditplan, aber keine spontanen Kontrollen geplant hat, wäre das Unternehmen hier aus rechtlicher Perspektive non-compliant.
Dr. Zaudig versteht, dass es Unternehmens-Entscheidern keinen Spaß macht, Rechtsanwälte in eine weitere Materie einzuladen. Doch aus fachlicher Perspektive führt daran kein Weg vorbei. Jede Geschäftsführung wird mit hoher Wahrscheinlichkeit in eine Situation kommen, in der sie ihre Entscheidungen bezüglich der IT-Sicherheit rechtlich verteidigen muss. Auf diese Situation sollte sich mit einem Anwalt vorbereitet werden. Trotzdem gibt es für Entscheider keinen wirklichen Grund, Angst vor den Neuerungen zu haben. Cybersicherheits-Management ist Risikomanagement und damit ein Teil der Geschäftsführungs-Expertise: Unternehmensführung und das Management der damit einhergehenden Risiken ist Ihr Beruf. Es besteht kein Zweifel, dass Sie als Entscheider in Ihrem Unternehmen auch die Herausforderungen, die das IT-Sicherheitsmanagement stellt, meistern werden. Sie haben auf das fehlende Fachwissen durch viele Wege Zugriff: Software, Berater, Dienstleister etc. stehen zu ihrer Verfügung. Die Hauptsache ist, dass Ihr Weg für Ihr Unternehmen funktioniert und auch nachgehalten werden kann. Wenn das gegeben ist, wird nach Dr. Zaudig der Gesetzgeber in der nächsten Zeit an Ihrem Vorgehen nichts ändern wollen.
Was sollten Geschäftsführer jetzt tun?
- Bewahren Sie Ruhe. Gesetze schreiben keinen Anforderungskatalog, dem zu 100% Folge geleistet werden muss. Der Kern des Gesellschaftsrechts ist die Wahrung der unternehmerischen Freiheit. Was die IT-Sicherheitsgesetze anstreben, ist die Prüfung unternehmerischer Entscheidungsspielräume, ohne sie auf eine einzige richtige Handlungsweise zu beschränken. Wenn immer sich ein Unternehmen mit IT-Sicherheit befasst, ist der Kern des Gesetzes, dass wirksame Lösungen entwickelt werden müssen. Unternehmen sind keinesfalls gezwungen Dinge umzusetzen, die nicht zu Ihrem Betrieb passen.
- Entwickeln Sie eine passende, ganzheitliche IT-Sicherheitsstruktur. Analysieren Sie, was technisch in Ihrem Unternehmen möglich ist und was organisatorisch und von den Mitarbeitenden gut umgesetzt werden kann. Beachten Sie, dass eine Übergewichtung einer der oben genannten Ebenen aus rechtlicher Perspektive immer falsch ist. Das Gleichgewicht aller Ebenen ist rechtlich wünschenswert. Innerhalb dieser Vorgabe sind der Kreativität für eine passende, ganzheitliche Cybersicherheits-Struktur keine Grenzen gesetzt.
- Verankern Sie Cybersicherheit auf der Geschäftsführungsebene. In der NIS2-Gesetzesnovelle wird dies eine rechtliche Voraussetzung sein. Falls noch nicht gesehen, können Unternehmen schon jetzt mit der Umsetzung beginnen. NIS2 setzt voraus, dass die Geschäftsführung IT-Sicherheitsmaßnahmen mindestens billigt, also aus der rechtlichen Perspektive mitzeichnet. Die Geschäftsführung muss sich somit jede Cybersicherheits-Entscheidung zu eigen machen. Der gesamte Pflichtenmaßstab, der auch schon vorher galt, wird an die Geschäftsführung übertragen. Der Entscheidungsprozess zu diesem Thema kann nicht mehr komplett an die IT (CISO oder CIO) delegiert werden. Zusammenhängende Entscheidungen können nur noch von der Geschäftsführung getroffen werden. Sie muss somit Wege und Mittel finden zu verstehen, was in der Unternehmens-Cybersicherheit passiert und in der Lage sein, effektive Entscheidungen bezüglich Cybersicherheit und Risikomitigierung zu treffen. Gehen Sie im Kontext sicher, dass Sie genau wissen, wo Entscheidungen juristisch gesehen offen und wo sie rechtlich gebunden sind.