NEU im #ConfareBlog
Balint Ladanyi, Geschäftsführer bei CIOBEE Experts über NIS2 und DORA: IT und Fachbereich müssen an einem Strang ziehen: Warum NIS2 und DORA: Cybersecurity und Compliance scheitern könnten
Balint Ladanyi, Geschäftsführer bei CIOBEE Experts, teilt im Interview wertvolle Einblicke in die Herausforderungen der modernen Cybersicherheit. Mit der Einführung von NIS2 und DORA wird deutlich, dass die neuen Compliance-Anforderungen weit über IT hinausgehen und einen ganzheitlichen organisatorischen Ansatz erfordern. Ladanyi betont die Bedeutung einer kontinuierlichen Sicherheitsstrategie, die sowohl technologische als auch menschliche Aspekte berücksichtigt, um den wachsenden Bedrohungen in der digitalen Welt erfolgreich zu begegnen.
Mehr als 700 hochkarätige CIOs und IT-Branchenprofis trifft man auf dem wichtigsten und größten IT-Management Treffpunkt Österreichs, dem Confare #CIOSUMMIT Wien. Die Anmeldung für IT-Entscheider*innen ist nicht mit Kosten verbunden.
Wie bereitet man sich konkret auf die neuen Compliance- und Regulierungsanforderungen wie NIS2 und DORA etc. vor?
Das Wichtigste ist: Unterstützung von der Unternehmensleitung holen.
Zuerst müssen wir etwas klarstellen: Mein Eindruck ist, dass – wie inzwischen auch viele erkannt haben – die Benennung dieser Richtlinien etwas irreführend ist, und das ist ein Grund für die Fehlverteilung von Verantwortlichkeiten und ergibt einen erhöhten Raum für Versagen und Stress.
Die neuen Richtlinien und Verordnungen wie NIS2 und DORA sind eigentlich keine IT-Richtlinien und IT-Verordnungen. Sie sind von organisatorischer Natur und mit einem starken IT-Aspekt. Deshalb müssen wir sie auch in diesem Sinne angehen.
Dafür haben wir ein modulares Komplettpaket für unsere Kunden entwickelt: einfach zu starten, einfach zu beenden, einfach die Rosinen herauszupicken, aber bei Bedarf können wir damit alle notwendigen Aspekte abdecken. Und es ist nicht nur für NIS2 oder für DORA anwendbar, sondern auch für andere ähnliche Vorschriften oder Zertifizierungsprojekte.
Die erste Aufgabe besteht darin, zu klären in welchem Umfang man betroffen ist. Ich habe schon IT-Manager gesehen, die sich mit ihrem IT-Lieferanten darüber gestritten haben, ob ihr Unternehmen in den Geltungsbereich der NIS2 oder DORA fällt. Da es eine juristische Frage ist sollte am besten einen Anwalt befragen! Das ist zwar seltsam, aber es wird Dir Zeit und Geld sparen. Über einen unserer Anwaltskanzlei-Partner bieten wir eine schnelle Betroffenheitsanalyse an. Danach weiß man genau, ob man betroffen ist oder nicht, und wenn ja, in welchem Umfang. Du weißt also, ob und worauf Du Dich vorbereiten musst.
Du kannst explizit oder implizit in den Geltungsbereich einer solchen Verordnung fallen. Wenn du direkt betroffen bist, musst Du alles erfüllen, was die Verordnung verlangt – wenn Du dagegen indirekt betroffen bist, wirst Du wahrscheinlich von einem oder mehreren Partnern oder Kunden dazu gezwungen, alles zu erfüllen was sie von dir verlangen, wenn du mit ihnen im Geschäft bleiben willst, um ihre Compliance nicht zu gefährden (es ist etwas anders, aber wir bieten auch ein kleines Paket für indirekt Betroffene an).
Der nächste Schritt ist, dass du Deine aktuelle Lage erfährst. Viele bieten in diesem Punkt bereits ein vollständiges Assessment und GAP-analyse an. Wir schlagen vor, zunächst einen Quick-Health-Check durchzuführen, um einen ersten Überblick über den aktuellen Stand der Einhaltung der Vorschriften und den Arbeits- und Kostenaufwand zu erhalten, den Du möglicherweise investieren musst, um die Anforderungen der Vorschriften zu erfüllen. Auf diese Weise hast du einen kostengünstigen und risikoarmen Start, dessen Ergebnisse du als Ausgangspunkt für eine umfassende Bewertung und Lückenanalyse sowie für die obligatorischen Schulungen für das Topmanagement nutzen kannst (die übrigens z.B. durch NIS2 Art 20 Abs. 2 oder DORA Art. 5 verpflichtend sind) weil es einen enormen Mehrwert bringt, über unternehmensspezifische Beispiele zu sprechen, anstatt nur in allgemeinen Begriffen zu reden.
Und noch etwas: ein Projekt zur Umsetzung von Richtlinien kann kostspielig sein, und mit dem falschen Partner kann es sogar mehrfach so teuer werden. Mit dem Quick Health-Check kannst Du auch herausfinden, ob der Partner der richtige ist.
Im nächsten Schritt musst du die Bewertungen und GAP-Analysen durchführen, die denen der ISO 27001 sehr ähnlich sind. Die ENISA hat bereits die Sicherheitsmaßnahmen für kritische Einrichtungen auf ihrer Website veröffentlicht, was ein guter Anhaltspunkt sein kann, aber leider bezieht sie sich nur auf die ISO 27001:2013, die bereits durch die ISO 27001:2022 ersetzt wurde. Wir haben einen ausführlichen Leitfaden zusammengestellt, wie z.B. NIS2 oder DORA mit der ISO 27001:2022 zusammenhängt, einschließlich Querverweisen und Angaben zu Nachweisen, die du für die Einhaltung von NIS2 oder DORA benötigst.
Daher müssen die Ergebnisse der GAP-Analyse, die zur Umsetzung führen, auf mehreren Ebenen berücksichtigt werden. Einerseits – und hier kommt die IT ins Spiel – gibt es technologische Kontrollen, die du implementieren musst, anderseits darfst Du nicht vergessen, dass es auch organisatorische und Management-Kontrollen gibt, die Du implementieren musst und kannst, wie z. B. Richtlinien und Prozesse für das Risiko- und Inzident-Management, Berichterstattungspflichten, Awareness usw.)
In den nächsten Schritten musst Du alle obligatorischen und relevanten Kontrollen umsetzen, die in der GAP-Analyse als unvollständig, falsch oder fehlend eingestuft wurden. Obwohl ein Informationssicherheitsmanagementsystem (ISMS) in den Richtlinien nicht ausdrücklich erwähnt wird, verweist die ENISA in ihren Dokumenten darauf. Nenn es, wie Du willst, aber es ist immer noch eine der besten Methoden, um alles zu strukturieren und für alle interessierten Parteien, die Zugang zu den Inhalten benötigen, erreichbar zu sein.
In der Umsetzungsphase befassen sich unsere Compliance-Spezialisten also eher mit den ISMS-bezogenen Themen wie Richtlinien und Verfahren (z.B. NIS2 und DORA), während sich unser Technikteam eher mit den technischen Aspekten wie Intrusion-Detection, Penetrationstests, Netzwerksegmentierung, IT/OT-Trennung oder Endpunktsicherheit beschäftigt.
Zusammenfassend die Reihenfolge der Aufgaben:
- Die Aufmerksamkeit und Unterstützung der Regierung einholen.
- Klarstellen, dass es sich um ein Organisationsprojekt und nicht um ein IT-Projekt handelt
- Die rechtliche Situation klären
- Einen schnellen Gesundheitscheck durchführen (auch eine gute Möglichkeit, den besten Partner auszuwählen)
- Eine umfassende Bewertung und GAP-Analyse durchführen (wenn du ISO 27001 hast, sei froh darüber – wenn nicht, solltest du die Extra Meile in Kauf nehmen und dich zertifizieren lassen)
- Die Umsetzung vornehmen (denk daran, dass es nicht nur um technologische Kontrollen geht, die du umsetzen musst).
Und zwei Dinge, die oft vergessen werden, aber sehr wichtig sind: ein durchgängiges Projektmanagement und kontinuierliche Verbesserung. Ohne ein engagiertes Projektmanagement bist du zum Scheitern verdammt. Wenn Du die Anforderungen erfüllst, bist Du (höchstwahrscheinlich) zum Zeitpunkt der Fertigstellung des Projekts zufrieden. Aber Du musst Dich an den aktuellen Stand der Technik und an zukünftige Vorschriften und Gesetze anpassen. Du musst sie also regelmäßig überprüfen und verbessern. Wenn du eine ISO-Zertifizierung hast, sollte das nichts Neues für Dich sein. Am besten ist es, wenn Du einen Verantwortlichen innerhalb deiner Organisation und/oder einen vertrauenswürdigen Partner für diesen Zweck hast.
Wie findet man bei der schnellen Entwicklung und den breiten Bedrohungsfeldern im Bereich Cybersecurity die richtigen Prioritäten?
Wie bereits gesagt: Cybersecurity ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Die Priorisierung in der Cybersecurity erfordert ein umfassendes Verständnis der eigenen Unternehmensstruktur, der Bedrohungslandschaft und der verfügbaren Ressourcen. Eine kontinuierliche Anpassung der Sicherheitsmaßnahmen ist unerlässlich, um das Unternehmen langfristig vor Cyberangriffen zu schützen.
Die schnelllebige digitale Welt und die stetig wachsende Vielfalt an Cyberbedrohungen machen es Unternehmen immer schwieriger, die richtigen Prioritäten in der Cybersicherheit zu setzen. Nur mit einer ganzheitlichen Betrachtungsweise können Unternehmen in diesem komplexen Umfeld erfolgreich sein.
Als erstes musst Du die Vermögenswerte genau analysieren. Wir müssen wissen, welche Daten, Systeme und Prozesse für das Unternehmen von kritischer Bedeutung sind. Im Anschluss muss eine realistische Einschätzung der möglichen Bedrohungen erfolgen. Du musst wissen, welche Angriffsvektoren am wahrscheinlichsten sind und welche Auswirkungen ein erfolgreicher Angriff hätte. Eine sorgfältige Risikobewertung ist der Schlüssel, um Schwachstellen zu identifizieren und Maßnahmen entsprechend zu priorisieren.
Ein weiterer wichtiger Faktor ist logischerweise Compliance. Unternehmen müssen sicherstellen, dass sie alle gesetzlichen und regulatorischen Anforderungen erfüllen – ohne Wenn und Aber. Branchenstandards und vertragliche Verpflichtungen gegenüber Kunden und Partnern spielen ebenfalls eine entscheidende Rolle und müssen zwingend berücksichtigt werden.
Selbstverständlich spielen auch die finanziellen Ressourcen eine entscheidende Rolle. Eine Kosten-Nutzen-Analyse ist unerlässlich, um die Investitionen in Cybersicherheit optimal zu gestalten. Dabei darf nicht nur der kurzfristige Nutzen, sondern es muss auch die langfristige Sicherheit des Unternehmens im Blick behalten werden. Und wie geschrieben neben den technischen Aspekten spielt auch das menschliche Element eine entscheidende Rolle. Mitarbeiter müssen durch Sensibilisierungsschulungen für Cyberbedrohungen sensibilisiert werden. Ein Notfallplan ist zu entwickeln, der im Falle eines Cyberangriffs schnelles und effizientes Handeln ermöglicht.
Wo sind aktuell die wichtigsten Handlungsfelder für CIOs und CISOs?
Die Rolle von CIOs und CISOs ist sehr unterschiedlich und muss es auch sein. In einigen Fällen ist der CISO nicht einmal dem CIO, sondern dem CRO (Chief Risk Officer) unterstellt. Im Idealfall ist der CIO sozusagen der CEO der IT-Organisation mit ihren Geschäftszielen und ihrer Denkweise. Die CISOs hingegen konzentrieren sich auf die Informationssicherheit. Daher betrachtet der CIO die Aspekte der Informationssicherheit unter diesem Blickwinkel – und zwar mit Nachdruck.
Die Betrachtung von Informationssicherheitsaspekten ist in der heutigen, digitalisierten Welt komplexer denn je – und muss es auch sein. Die Landschaft der Cyberbedrohungen verändert sich ständig und neue Technologien bringen sowohl Chancen als auch Risiken mit sich. Daher müssen CIOs und CISOs jetzt besonders darauf achten, folgende Punkte nicht aus den Augen zu verlieren:
Cloud-Sicherheit ist ein brennendes Thema. Datenverschlüsselung ist dabei von entscheidender Bedeutung. Es muss sichergestellt werden, dass sensible Daten sowohl in der Ruhe als auch während der Übertragung verschlüsselt sind. Die Implementierung strenger Zugriffskontrollen ist unerlässlich, um unbefugten Zugriff zu verhindern und die Einhaltung von Compliance-Vorschriften wie NIS 2, DORA, DSGVO, TISAX, HIPAA und anderen für die Branche relevanten Vorschriften sicherzustellen. Dies ist eine Kernaufgabe für CIOs und CISOs.
Künstliche Intelligenz (KI) und maschinelles Lernen, KI-basierte Bedrohungsabwehr, Nutzung von KI, um neue Bedrohungen schneller zu erkennen und darauf zu reagieren. Bewältigung der Risiken, die mit der Nutzung von KI verbunden sind, und Entwicklung einer robusten Governance-Struktur für KI-Projekte, sind weitere kritische Themen die neu zu diesen Herausforderungen gekommen sind. Implementieren einer Zero Trust-Architektur, die davon ausgeht, dass keine Verbindung oder Benutzer automatisch vertrauenswürdig ist. Kontinuierliche Überprüfung und Authentifizierung von Benutzern, Geräten und Anwendungen oder die Aufteilung des Netzwerks in kleinere Segmente, um die Auswirkungen von Sicherheitsverletzungen zu begrenzen.
Datenschutz ist und war schon immer eine Kernaufgabe des CISO (und damit auch des CIO). Dazu gehört selbstverständlich auch die Sicherstellung der Einhaltung der Datenschutz-Grundverordnung (DSGVO) und anderer Datenschutzgesetze. Datenschutz muss von Anfang an in alle Prozesse und Technologien integriert werden. Man verwaltet heutzutage eine wachsende Anzahl von IoT-Geräten und muss sicherstellen, dass IoT-Geräte immer mit der neuesten Firmware ausgestattet sind. Dazu kommt noch die Entwicklung eines umfassenden Sicherheitsplans für die Migration in die Cloud, eine robuste Zugriffskontrolle für Cloud-Umgebungen der Ransomware-Schutz, Backups, die regelmäßige Erstellung und Sicherung von Backups, Multi-Faktor-Authentifizierung (MFA), Schulung der Mitarbeiter zur Erkennung von Ransomware-Angriffen. Und natürlich: Die neue NIS2-Richtlinie muss vorbereitet werden, denn sie stellt strengere Anforderungen an die Cybersicherheit kritischer Infrastrukturen.
Der CIO und der CISO müssen daher echte Superhelden sein: die Cybersicherheitslandschaft ist dynamisch und erfordert eine kontinuierliche Anpassung. CIOs und CISOs müssen proaktiv handeln, um ihr Unternehmen vor neuen Bedrohungen zu schützen, und eine ganzheitliche Betrachtung der Cybersicherheit, die alle Aspekte des Unternehmens abdeckt, ist unerlässlich.
Wie gelingt es, Modernisierung, Innovation und die hohen Compliance-Anforderungen unter einen Hut zu bringen?
Modernisierung, Innovation und Compliance unter einen Hut zu bringen, ist eine Herausforderung, die wie bereits gesagt nur mit einem ganzheitlichen Ansatz gemeistert werden kann. Unternehmen müssen ein Gleichgewicht zwischen Flexibilität und Sicherheit finden und eine Kultur der kontinuierlichen Verbesserung fördern. Durch den Einsatz von Technologie, die Einbeziehung aller Mitarbeiter und ein ausgewogenes Verhältnis zwischen einem risikobasierten und einem chancenorientierten Ansatz können Unternehmen erfolgreich sein.
Nun das hört sich äußerst weise an, ist aber nicht einfach umzusetzen.
Einerseits setzt Konformität mit den gängigen Normen auf vorhersehbare Prozesse. Diese sind allerding für die aktuelle moderne Entwicklung und Servicemethoden immer stärker agil gestaltet. Das macht zwar ein integriertes Risikomanagement scheinbar schwieriger, jedoch wenn man darüber nachdenkt, ist der Kerngedanke dieser Normen doch die kontinuierliche Verbesserung.
Und was eignet sich besser sich dafür mit ihrer Flexibilität? Eine agile Vorgehensweise. Daher bei der Erkennung und Behandlung von Risiken können wir von den agilen Methoden einiges lernen. Da werden Mitarbeiter neue Ideen einbringen und diese auch umsetzen. Das sollte nicht nur im Entwicklungs- oder Serviceprozess gefördert werden, sondern auch im Risikomanagement.
Deshalb ist es wichtig, dass Du als erstes die Kultur der kontinuierlichen Verbesserung förderst, eine offene Fehlerkultur ermöglichst und regelmäßige Risikobewertungen durchführst. So kannst Du potenzielle Compliance-Risiken frühzeitig identifizieren und minimieren.
Auch die Automatisierung von Compliance-Prozessen kann dazu beitragen, die Effizienz zu steigern und menschliche Fehler zu reduzieren. Zudem ist es empfehlenswert, regelmäßige Schulungen der Mitarbeiter zu den geltenden Compliance-Vorschriften zu organisieren. Die Technologie ist dabei nur ein Mittel zum Zweck. Sie soll uns dabei helfen, skalierbare und flexible IT-Infrastrukturen zu schaffen. Dazu können wir zum Beispiel Cloud-Technologien nutzen.
Wie bereits gesagt, ist es auf organisatorischer Ebene wichtig, die Zusammenarbeit zwischen IT und Fachbereichen zu fördern und alte Silos aufzubrechen. Ich kann mich noch gut daran erinnern, wie “Shadow IT” damals als etwas Negatives bezeichnet wurde. Ich glaube nicht, dass es so etwas wie “Shadow IT” gibt. Meiner Meinung nach, gibt es nur eine erwünschte und eine unerwünschte Aufgabenteilung in den Prozessen. Gemeinsam kann man allerdings die richtigen Ziele definieren, um eine einheitliche Ausrichtung zu gewährleisten und einen offenen Austausch zwischen IT und Fachbereichen zu fördern. So kanns Du sicherstellen, dass die Vereinigung der Innovationsinitiativen und die Konformitätsanforderungen nicht gegeneinander wirken, sondern einander unterstützen. Denn sie garantieren Qualität und Sicherheit zugleich.
Wie bereits beim Thema der Einführung der NIS2- oder DORA-Konformität erwähnt, gehören zu den wichtigsten Erfolgsfaktoren eine starke Führung und das sogenannte Governance Support. Eine starke Führung, die die Bedeutung von Modernisierung, Innovation und Compliance betont, ist dabei ganz wichtig. Ebenso eine Unternehmenskultur, die Innovation fördert und gleichzeitig die Einhaltung von Vorschriften gewährleistet. Und auch ein Technologieansatz, der die richtige Auswahl und Implementierung von Technologien gewährleistet. All dies wäre allerdings ohne eine enge Zusammenarbeit zwischen allen Beteiligten zum Scheitern verurteilt.
Was bedeutet der aktuelle AI Hype für Cybersecurity?
Der aktuelle AI-Hype ändert gerade die Cybersecurity-Landschaft nachhaltig und dramatisch. Künstliche Intelligenz eröffnet neue Möglichkeiten zur Abwehr von Cyberangriffen, birgt aber auch neue Angriffspunkte für Cyberkriminelle.
KI-Algorithmen analysieren in Echtzeit riesige Datenmengen und erkennen dabei Muster und Anomalien, die auf potenzielle Bedrohungen hinweisen. So können Angriffe frühzeitig erkannt und schneller reagiert werden. KI automatisiert deine Routineaufgaben wie die Analyse von Logfiles oder die Prüfung von Sicherheitskonfigurationen. Dadurch haben Sicherheitsexperten mehr Zeit für komplexe Aufgaben und können sich an neue Bedrohungen anpassen und ihre Abwehrmechanismen entsprechend anpassen. Vor allem unterstützen sie die proaktive Sicherheit. KI identifiziert potenzielle Schwachstellen in Systemen, bevor sie ausgenutzt werden können.
Doch KI hat auch eine Kehrseite: Sie kann von Cyberkriminellen missbraucht werden, um noch raffiniertere Angriffe zu entwickeln. KI-Systeme können beispielsweise dazu verwendet werden, Phishing-Mails zu erstellen, die so überzeugend sind, dass sie von Menschen kaum von echten Nachrichten zu unterscheiden sind. Außerdem kann KI dazu beitragen, die Effektivität bestehender Angriffsmethoden zu erhöhen, indem sie beispielsweise die Identifizierung von Schwachstellen automatisiert. KI macht Angriffe von technologischer Natur zu Angriffen auf die menschliche Ebene. KI kann zur Erstellung von Deepfakes verwendet werden, die für Desinformationskampagnen oder Identitätsdiebstahl eingesetzt werden können.
Wie kann eine Cybersecurity Strategie mit der schnellen Entwicklung von Technologie und Business mithalten?
Die Entwicklung von Technologie war und ist eine immense Herausforderung für diejenigen, die für die Verteidigung verantwortlich sind. Bei der Entwicklung von Schwert und Schild war der Wettkampf schon immer da.
Die schnelle Entwicklung von Technologie und Geschäftsmodellen stellt eine immense Herausforderung für die Cybersicherheit dar, der wir uns stellen müssen. Eine effektive Cybersecurity-Strategie muss flexibel und anpassungsfähig sein, um mit diesen Veränderungen Schritt zu halten.
Regelmäßige und automatisierte Risikobewertungen sind unerlässlich, um sich an veränderte Bedrohungen und Geschäftsumfelder anzupassen. Es ist unerlässlich, Risiken nach ihrer Wahrscheinlichkeit und ihrem potenziellen Schaden zu priorisieren, um Ressourcen effektiv einzusetzen. Ebenso müssen Sicherheitsmaßnahmen kontinuierlich überprüft und an die aktuellen Risiken angepasst werden.
Agile Methoden sind der Schlüssel zu einer schnellen Reaktion auf sich ändernde Bedrohungen und ermöglichen eine iterative Verbesserung von Sicherheitsmaßnahmen. Eine enge Zusammenarbeit zwischen IT, Geschäftsbereichen und Sicherheitsexperten ist dabei unerlässlich für diese agile Sicherheit. Automatisierte Prozesse sind der Schlüssel zu mehr Effizienz und kürzeren Reaktionszeiten bei Sicherheitsvorfällen. Das Zero-Trust-Prinzip ist dabei die Grundlage. Es besagt, dass niemandem vertraut werden sollte. Jede Verbindung und jeder Benutzer muss kontinuierlich authentifiziert und autorisiert werden. Netzwerke müssen segmentiert werden, um im Falle eines Angriffs den Schaden zu begrenzen.
KI kann große Datenmengen analysieren, um Muster zu erkennen, die auf potenzielle Bedrohungen hinweisen, und Routineaufgaben automatisieren, so dass Sicherheitsexperten mehr Zeit für komplexe Aufgaben haben. KI-Systeme können sich auf neue Bedrohungen einstellen und ihre Abwehrmechanismen entsprechend anpassen.
Unabhängig von der NIS2-Richtlinie, die in Art. 20 Abs. 2 das Management einer Einrichtung zur Schulung verpflichtet, stehen Schulung und Sensibilisierung ganz oben auf der Prioritätenliste. Regelmäßige Mitarbeiterschulungen zu aktuellen Bedrohungen und sicheren Arbeitsweisen sind unerlässlich, und die Mitarbeiter sollten für das Thema Cybersicherheit sensibilisiert werden und ihre Rolle für die Sicherheit des Unternehmens verstehen. Wir bieten unseren Kunden diese Schulungen auch in Form von E-Learning-Einheiten an.
Unabhängig von diesen Regelungen, die die Meldung von Sicherheitsvorfällen und ernsthaften Bedrohungen vorschreiben, sollte eine offene Meldekultur gefördert werden, damit die Beschäftigten Sicherheitsvorfälle ohne Angst vor Konsequenzen melden können.
Wie gesagt der Grundgedanke von ISO 9001/27001 ist die kontinuierliche Verbesserung. Die Wirksamkeit der Sicherheitsmaßnahmen muss ständig überwacht und analysiert werden. Rückmeldungen von Mitarbeitern und Kunden sollen zur Verbesserung der Prozesse genutzt werden, denn nur so kann eine Organisation aus diesen Vorfällen lernen und nur eine lernende Organisation ist in der Lage, sich schnell an neue Herausforderungen anzupassen.
Eine erfolgreiche Cyber-Sicherheitsstrategie erfordert einen ganzheitlichen Ansatz und eine kontinuierliche Anpassung an die sich verändernde Bedrohungslandschaft. Durch die Kombination von technologischen Lösungen, menschlichen Faktoren und einer starken Unternehmenskultur kann ein hohes Maß an Sicherheit erreicht werden. Genau das ist unsere Philosophie.
Welche Rolle spielt die Unternehmenskultur dabei? Was braucht es an Leadership?
Die Unternehmenskultur ist der unsichtbare Klebstoff, der ein Unternehmen zusammenhält. Sie prägt das Verhalten der Mitarbeiter, ihre Einstellung zur Arbeit und ihre Bereitschaft, sich für gemeinsame Ziele einzusetzen. In Bezug auf Cybersicherheit, NIS2 und DORA spielt die Unternehmenskultur eine entscheidende Rolle, da sie maßgeblich beeinflusst, wie ernst Sicherheitsmaßnahmen genommen und wie effektiv sie umgesetzt werden. Doch warum ist die Unternehmenskultur für die Cybersicherheit so wichtig?
Eine starke Sicherheitskultur sorgt dafür, dass die Mitarbeiter die Bedeutung von Cybersicherheit verstehen und sich aktiv an der Sicherung der Unternehmensdaten beteiligen, und eine offene Meldekultur ermutigt die Mitarbeiter, Sicherheitsvorfälle ohne Angst vor Konsequenzen zu melden. Eine positive Unternehmenskultur erleichtert die Einhaltung von Vorschriften und Compliance-Standards, und eine Kultur der kontinuierlichen Verbesserung ermöglicht es, schnell auf neue Bedrohungen zu reagieren und Sicherheitsmaßnahmen anzupassen.
Führungskräfte spielen dabei eine entscheidende Rolle, indem sie eine positive Sicherheitskultur fördern und ihre Mitarbeiter motivieren. Durch eine konsequente Umsetzung von Sicherheitsmaßnahmen und eine kontinuierliche Verbesserung können Unternehmen ihre Widerstandsfähigkeit gegen Cyberangriffe deutlich erhöhen.
Balint und viele weitere Top-CIOs und IT-Entscheider:innen treffen Sie beim Confare #CIOSUMMIT Wien. Anmeldungen sind hier möglich.