NEU im #ConfareBlog
Nikola Đinić, CONVOTIS, NIS2, Lieferketten und neue Risiken: Die wichtigsten Handlungsfelder für CIOs und CISOs
Angesichts ständig wachsender Compliance-Anforderungen wie NIS2 stehen Unternehmen unter Druck, ihre IT-Strategien kontinuierlich zu modernisieren und gleichzeitig regulatorische Vorgaben zu erfüllen. Nikola Đinić ist Group CISO von CONVOTIS. In diesem Beitrag beleuchten wir, wie eine frühe Vorbereitung, klare Prioritäten und eine enge Zusammenarbeit zwischen IT und Fachbereichen entscheidend für den Erfolg sind. Erfahren Sie, welche Handlungsfelder für CIOs und CISOs aktuell besonders wichtig sind und wie Sie die Balance zwischen Innovation und Compliance meistern können.
Das Confare #CIOSUMMIT Wien ist der wichtigste Treffpunkt Österreichs. Hier treffen sich IT-Entscheider*innen, die proaktiv den Unternehmenserfolg mitgestalten und die IT-Manager*innen des Jahres werden mit dem Confare #CIOAWARD gekürt. Sie wollen dabei sein? Die Anmeldung ist für IT-Manager*innen nicht mit Kosten verbunden.
Wie bereitet Ihr Euch konkret auf die neuen Compliance- und Regulierungsanforderungen wie NIS2 etc. vor?
CONVOTIS hat sehr früh (November 2023) mit der Analyse der gesetzlichen Schriftstücke sowie Status der vom Gesetzgeber veröffentlichten Entwürfe zum Thema NIS2 begonnen.
In dieser Phase lag der Fokus unserer Vorbereitungsaktivitäten vor allem in der Definition des relevanten Geltungsbereichs, sowie Einstufung des Konzerns im Sinne der NIS2-Kritikalitätskriterien gruppenweit. Angesichts davon, dass CONVOTIS eine Familie mit ca. 30, im Sinne des Produktportfolios sowie Größe, deutlich unterschiedlichen Entitäten in und außerhalb von Europa ist, sowie an 27 Standorten agiert, war dieses Blickwinkel entscheidend für die Bestimmung der weiteren, notwendigen Maßnahmen.
Aktuell ist CONVOTIS IT Security Abteilung vorwiegend mit der Erfassung sowie Analyse der deutschen NIS2-Vorgaben beschäftigt, die im letzten Entwurf des Implementierungsaktes vom 19.07.2024 veröffentlicht wurden. Die auf der BSI-Website zur Verfügung gestellte NIS2-Betroffenheitsprüfung würde ich sehr empfehlen, da es eine solide Basis für die Beantwortung grundlegender Frage nach NIS2-Geltungsbereich liefern kann.
Ich muss ebenso anmerken, dass Gesetzgeber in den für CONVOTIS-Gruppe relevanten EU-Mitgliedsstaaten NIS2-Thema sehr divers behandeln – Umstand der bisher zu großen Prozessineffizienzen, unnötiger Auslegung der konkreten Anforderungen sowie erhöhten Implementierungskosten geführt hat.
Wie findet man bei der schnellen Entwicklung und den breiten Bedrohungsfeldern im Bereich Cybersecurity die richtigen Prioritäten?
In diesem Kontext kann Risiko Management insbesondere in den Phasen der Identifizierung und oft unterschätzter Kontextualisierung eine wertvolle Antwort geben. Jedes Unternehmen ist im Sinne der relevanten Security Aspekte ein differierender Organismus.
Entscheidend für die effektive Priorisierung der Schutzmaßnahmen in besonders komplexen Umgebungen liegt in der Identifikation der schützenswerten Daten (z.B. qualitativ, quantitativ, systembezogen) sowie Definition ihrer Kritikalitätsstufen, Datenflüsse und Systemabhängigkeiten. Nicht zu unterschätzen sind auch relevante regulatorische Pflichten, Marktpositionierung des Unternehmens sowie Lieferantenmanagement.
Wo sind aktuell die wichtigsten Handlungsfelder für CIOs und CISOs?
Für Leader im Informationssicherheitsbereich sind das, strategisch gesehen, Definition und Implementierung der langfristigen Cloud-Strategien, Gewährleistung der nachhaltigen und sicheren Versorgungsketten sowie immer größer werdender regulatorische Pflichten und Emerging Risks (z.B. Quantum Computing, Künstliche Intelligenz, Ressourcenknappheit usw.).
Auf operativer Ebene sind das die Altbekannten: Zugriffs-, Schwachstellen-, Werte- sowie Änderungsmanagement sowie kontinuierliche Sensibilisierung der Mitarbeiter auf informationssicherheitsrelevante Entwicklungen und Bedrohungen.
Welche Rolle spielt dabei die Zusammenarbeit zwischen IT und Fachbereich?
Diese Kooperation ist maßgeblich vor allem wegen der Reichweite und Auswirkung der IT-Strategien auf die Unternehmensziele. IT hat sich in den letzten 2 Jahrzehnten rasant schnell aus ihrer Supporting-Rolle zu einem Business Enabler entwickelt, ohne den keine vernünftige Management-Entscheidung getroffen bzw. kein marktorientiertes Ziel verfolgt werden kann.
Wenn man dazu die immer schwerwiegendere und gefährlichere Cyber-Bedrohungen miteinbezieht, könnte man behaupten, dass die fokussierte Zusammenarbeit dieser Bereiche für ein modernes Unternehmen existenzfördernd ist.
Wie gelingt es, Modernisierung, Innovation und die hohen Compliance-Anforderungen unter einen Hut zu bringen?
Modernisierungs- bzw. Innovationsdruck sind echt und setzen Unternehmen manchmal in eine sehr unangenehme Situation – einerseits hängen ganz konkrete und operative Finanzergebnisse vom Takt und der Qualität der Modernisierungsmaßnahmen ab, andererseits ist technologischer Fortschritt oft von regulatorischen Pflichten begleitet, die manchmal, betriebswirtschaftlich gesehen, realitätsfern aussehen und oft alles andere als entwicklungsfördernd wirken.
Allgemein gesehen, erreicht man dieses Ziel vor allem durch eine klare, an alle Beteiligten kommunizierte und mit wichtigsten Entscheidungsträgern abgestimmte und vor allem langfristige Strategie. Fokus müsste in der Definition der Prioritäten (Umsatzaspekte, Produktportfolioüberlegungen, Modernisierungskontext sowie Konkretisierung der Compliance-Anforderungen usw.) sowie Balance zwischen dieser liegen. Dies ist natürlich oft leichter gesagt als getan.
Was bedeutet der aktuelle AI Hype für Cybersecurity?
Ausprägungen der KI-Technologien sind zahlreich und weitreichend. Cyber-Bereich kann durch innovative, von KI-getriebenen oder unterstützen Lösungen unabhängig von Einsatzbereich profitieren. Positiv sind Implikationen auf Verbesserte Erkennung von Bedrohungen (z.B. Verhaltensanalyse, Automatisierte Überwachung), verbesserte Reaktionszeiten, Automatisierte Reaktion auf Vorfälle, Erweiterte Malware- sowie prädiktive Analyse, qualitativ verbesserte Sicherheits-Tools: z. B. fortschrittliche Firewalls, Intrusion-Detection-Systeme und Anti-Malware-Software.
Negative Seite darf man selbstverständlich auch nicht unterschätzen: höhere Raffinesse der Angriffe (z.B. automatisierte Phishing-Schemata oder adaptive Malware, die von der Verteidigung lernt), Bedenken in Bezug auf den Datenschutz sind ebenso vielfältig – Datenerfassung (große Mengen an Daten notwendig, um effektiv zu funktionieren), Unsicherheit durch False Positives/False Negatives, Genauigkeitsprobleme, oft unterschätzte übermäßige Abhängigkeit von KI. Fazit: um KI im Bereich der Cybersicherheit wirksam einsetzen zu können, ist es entscheidend, diese Aspekte in Einklang zu bringen.
Wie kann eine Cybersecurity Strategie mit der schnellen Entwicklung von Technologie und Business mithalten?
Hier ist eine breite Palette an Maßnahmen denkbar. Allerdings sollte der Fokus vor allem in folgenden Bereichen liegen: adaptive Sicherheitsarchitektur, Regelwerke zur agilen Entwicklung, Reaktions- und Wiederherstellungsplanung bei Incidents, effektives Lieferanten- und Lieferkettenmanagement, sowie effektive, zeitgemäße und koordinierte Integration von neuen Technologien (z.B. KI und Automatisierung, Cloud-Sicherheit usw.)
Welche Rolle spielt die Unternehmenskultur dabei? Was braucht es an Leadership?
Die Unternehmenskultur spielt eine entscheidende Rolle bei der Gestaltung und Aufrechterhaltung einer wirksamen Cybersicherheitsstrategie. Vor allem die Führungskräfte müssen eine Kultur pflegen, die der Sicherheit eine gewisse Priorität einräumt und ein kollektives Engagement für den Schutz der Unternehmenswerte fördert.
Konkrete Beispiele in diesem Kontext wären Förderung des Sicherheitsbewusstseins durch z.B. Kultur der Wachsamkeit, kontinuierliches Lernen, offene Kommunikation, Verbesserte Reaktion usw. Leadership auf der anderen Seite benötigt vor allem klare Vision und Strategie, direkte Verpflichtung zur Cybersicherheit, durchdachte Ressourcenzuweisung und spürbare sowie kontinuierliche Unterstützung der Fachbereiche, Förderung einer Kultur der Sicherheit auf allen Geschäftsebenen und Bereichen, Role Model-Etablierung usw.
Sie wollen Top IT-Entscheider*innen der gesamten DACH-Region persönlich treffen? Beim Confare CIOSUMMIT Wien haben Sie die Möglichkeit dazu – also am besten schnell hier anmelden.