fbpx

NIS2 und ISG – Regulierung und Compliance erfordern eine agile Cyber-Strategie

by Edita Nemcova

OUT NOW im #ConfareBlog
Roman Haltinner über NIS2 und ISG – Regulierung und Compliance erfordern eine agile Cyber-Strategie

NIS2, ISG, DORA … täglich werden die Anzahl und die Dringlichkeit jener Abkürzungen länger, die gesetzliche IT-betreffende Normen und Regulierungen bezeichnen. Eine Menge zu tun, für Roman Haltinner und sein Team bei EY Schweiz. Im Vorfeld des wichtigsten IT-Management Treffpunkts der Schweiz, dem Confare CIOSUMMIT Zürich, haben wir mit Roman darüber gesprochen, was Unternehmen JETZT tun sollten, wie man mit Legacy-Systemen umgeht und welche Rolle das Thema AI dabei spielt. Im Confare Blog erfahren Sie, welche Schritte für einen sinnvollen Umgang mit NIS2 und ISG in Bezug auf eine Compliance Strategie essentiell sind.

Persönlich treffen Sie Roman Haltinner, die Cybersecurity Experten von EY und knapp 200 hochkarätige IT-Profis beim Confare #CIOSUMMIT Zürich. Melden Sie sich hier an.

Was bedeutet die Regulierungswelle für international tätige Unternehmen?

Der Umgang mit gesetzlichen Vorgaben und Regulierungsanforderungen ist für Unternehmen von entscheidender Bedeutung, um rechtliche Risiken zu minimieren und die Compliance sicherzustellen.

Hierzulande unterliegen die Unternehmen schon heute zahlreichen Compliance Vorgaben- und Berichtspflichten, und aus Brüssel werden noch viele weitere dazukommen, die für im europäischen Raum tätige Unternehmen eine Relevanz  haben.  Das Themenspektrum ist vielfältig, und es umfasst Lieferketten wie Produktsicherheit, Datenschutz sowie natürlich auch Cybersecurity. Transparenz und Klarheit schaffen steht an erster Stelle, so dass die Anwendbarkeit und Umsetzung maßvoll beurteilt werden kann. Heißt eine Umfang- und Rechtsanalyse und Identifikation relevanter Vorschriften, einschließlich branchenspezifischer Regelungen.

Wie gut sind die bestehenden Security Infrastrukturen den neuen Anforderungen gewachsen? Welches Risiko bedeuten Legacy Systeme in der Praxis?

Wirksame Sicherheits-Infrastrukturen – insbesondere bei Schutzbedarfsfeststellung und der Erkennung von Angriffen – sind auf die vollständige Transparenz aller Systeme in der IT Landschaft angewiesen. Dies führt dazu, dass die Sicherheit roman_haltinner manchmal einen besseren Einblick in die Informatik haben als Informatikverantwortliche. Dieser Einblick kann für Optimierung genutzt werden, indem die Leistung der vorhandenen Informatik optimiert wird, aber auch, indem die Risiken von Legacy Systemen auf eine Weise erkannt wird, die die zentrale Informatikabteilung nicht erkennen kann. Auch hier ist eine agile kontinuierliche Cyber-Strategie gefordert, die eine angemessen und effektive Sicherheitsarchitektur beschreibt.

Was ist bei einer Standortanalyse zu beachten? Welche Fragen muss man sich dabei stellen?

Eine Umfang- und Rechtsanalyse und Identifikation relevanter Vorschriften, einschließlich branchenspezifischer Regelungen soll Klarheit bringen. Global tätigen Unternehmen werden die einzelnen Standorte risikoorientiert auf ihre Compliance Risiken beurteilen, um die notwendigen Maßnahmen definieren und umsetzen zu können. Insbesondere wie sie im Umfang der Regulierung zu beurteilen sind. Oft wir diese Auslegung auch mit den rechtlichen Vertretern des Unternehmens sowie den zuständigen Behörden getroffen.

Die Themen, die zu adressieren sind, sind vielfältig. Wie findet man die richtigen Prioritäten?

Die meisten regulatorischen Anforderungen entsprechen im Grunde allgemein gängiger Sicherheit – und Branchenstandards. Oftmals kommt noch ein länderspezifischer „Finish“ zum Tragen. Die bereits erwähnte Umfang- und Rechtsanalyse und Identifikation relevanter Vorschriften, einschließlich branchenspezifischer Regelungen, kann Abhilfe schaffen, die richtigen Prioritäten zu setzen.

 

Was bedeutet das Siegel: Maturity Level III in der Praxis? Ist es ausreichend?

Zurzeit peilen viele Unternehmen mit ihren Cybersecurity Transformation Programmen oder Zertifizierungen einen Maturitätslevel 3 an. Oft getrieben durch Compliance (z.B. NIS2, Informationssicherheitsgesetz (ISG)) und Zertifizierungsvorgaben. Bei diesem Level werden die Prozesse weiter standardisiert und dokumentiert. Die Organisation entwickelt Richtlinien und Verfahren, um die Wiederholbarkeit und Konsistenz der Prozessdurchführung sicherzustellen. Ob der Maturity Level für ein Unternehmen ausreichend ist, hängt stark vom spezifischen Kontext und Anforderungen ab.

Wo sind die gesetzlichen Vorgaben und Regulierungsanforderungen noch unklar? Wie geht man mit den offenen Fragen um?

Jeder einzelne Standort eines Unternehmen ist je nach Geschäft, Geografie und Rechtsraum unterschiedlich zu betrachten. Bei offenen Fragen können rechtliche Vertreter des Unternehmens die zuständigen Behörden anfragen oder sich von spezialisierte Unternehmen, die Rechts- und Fachbereiche unternehmensweit beurteilen, beraten lassen. Eine Compliance Strategie lässt sich bei NIS2 und ISG nicht vereinheitlichen.

 

Was bedeutet der aktuelle AI Hype für Cybersecurity?

Es ist naheliegend, dass sich Angreifer – insbesondere auch die organisierte Cyberkriminalität – für die Möglichkeiten der Künstlichen Intelligenz interessiert. Es sind Szenarien denkbar, in denen generative KI direkt für Angriffe eingesetzt werden. KI-Agenten, die dank des Trainings mit entsprechenden Informationen selbständig Websites angreifen und kompromittieren, sind durchaus machbar – bis jetzt allerdings nur in der Theorie.

KI dürfte also die Cybersecurity im Moment nicht komplett umkrempeln, sondern vielmehr das nächste Level im ewigen Wettstreit zwischen Angreifern und Verteidigern einläuten. Wichtig ist, dass die Verteidiger genauso offen und aktiv mit der neuen Technologie umgehen wie die Angreifer. Die Cyber-Defence muss verstehen lernen, wie die neuen Angriffstechniken genutzt werden und wie sie sich dagegen verteidigen kann. Es gilt also, am Ball zu bleiben und das Know-how entsprechend zu erweitern. Mit dem Aufkommen von künstlicher Intelligenz gewinnt also auch die menschliche Intelligenz in Form einer gesteigerten Security Awareness an Bedeutung.

 

Wie kann eine Cybersecurity Strategie mit der schnellen Entwicklung von Technologie und Business mithalten?

Geschäftsstrategien werden in der Regel für 3-5 Jahre entwickelt. Cyber Strategien richten sich auf den Schutz der Geschäfts aus und reduzieren die Cyber Risiken. Da diese Zeitzyklen immer kürzen werden, muss auch die Cybersecurity-Strategie agiler werden und sich kontinuierlich an die schnell verändernden Anforderungen der Technologie- und Geschäftswelt anpassen können. Um sicherzustellen, dass die Cybersecurity-Strategie mit der schnellen Entwicklung von Technologie und Geschäft Schritt hält, sind  Maßnahmen wie proaktive Risikoanalyse und Bedrohungsbewertung sowie eine homogene, effektive  Sicherheitsarchitektur die Voraussetzung. Die Um- und Durchsetzung von Prinzipien wie Security by design sowie operative und reaktive Fähigkeiten bilden fundamentale Pfeiler der Cybersecurity.

 

Für Sie ausgewählt

Leave a Comment