Wie die effiziente Konvergenz von Managementsystemen hilft, interne und externe Anforderungen umzusetzen.
NIS-2, KRITIS und das IT-Sicherheitsgesetz, Lieferkettensorgfaltspflichtengesetz, Hinweisgeberschutzgesetz oder der EU Data Act – die Liste lässt sich beliebig fortsetzen. Damit ist klar, dass die regulatorischen Anforderungen an den Betrieb und Einsatz von IT im Unternehmen drastisch ansteigen.
IT-Compliance nach internen und externen Vorgaben
So gruppieren sich unter dem Sammelbegriff der IT Compliance für jeden Wirtschaftsbereich sowohl spezifische als auch übergeordnete Gesetze und Richtlinien, die es im Sinne der unternehmerischen Sorgfaltspflichten und Risikovermeidung umzusetzen gilt. Hinzu kommen interne Vorgaben zu Nachhaltigkeit, Compliance & Ethics, Corporate Risk Management/IKS und vieles mehr.
Um qualitativ hochwertige und funktionale Lösungen umzusetzen, hat sich seit vielen Jahren der Einsatz von Standard-Rahmenwerken wie ISO 27001/ 27002, COBIT oder COSO bewährt. In der Regel sind diese Systeme nebeneinander aus den Unternehmensbereichen IT Security, Datenschutz, Informationssicherheit und Compliance entwickelt worden. Angesichts der steigenden regulatorischen Dichte erscheint dies nicht mehr zeitgemäß, da es durch die Fraktionierung der Disziplinen zu Inkonsistenzen, Redundanzen und Dysfunktionalitäten kommen kann.
Strengere Vorgaben führen zu mehr Sicherheitsinvestitionen
Dabei würde laut der TÜV Cybersecurity Studie 2023 jedes zweite Unternehmen, im Fall von strengeren Vorgaben, stärker in die IT-Sicherheit investieren. Und fast zwei Drittel der Unternehmen sehen hier den Gesetzgeber in der Pflicht und fordern Richtlinien, die angemessene Maßnahmen für Cybersecurity in der Wirtschaft vorschreiben. Denn die helfen in knapp jedem zweiten Unternehmen dabei, zusätzliche Maßnahmen für die IT-Sicherheit umzusetzen, das Thema in der Firmenleitung zu priorisieren und vorhandene Budgets in Cybersecurity-Themen zu investieren.
Dabei nutzen vor allem große und mittelgroße Unternehmen die bestehenden Normen und Standards für ihre Cybersecurity-Maßnahmen. Durch die Trennung der unterschiedlichen Fachabteilungen werden jedoch überwiegend Standards umgesetzt, die voneinander unabhängig sind und nicht miteinander interagieren. Wenn unterschiedliche Regelwerke bestehen, die nicht aufeinander abgestimmt sind, stellt dies ein großes Risiko für die Steuerungsfähigkeit eines ganzheitlichen Governance-Modells dar.
Konvergenz der Standards und Managementsysteme
Die meisten Standards und Rahmenwerke zur Umsetzung von IT-Compliance-Anforderungen weisen eine große Schnittmenge im Bereich der operativen Umsetzung (Maßnahmen) auf. Einige ISO-Standards haben dies bereits erkannt und konvergieren verschiedene Perspektiven – wie etwa die ISO 27001 für Informationssicherheitsmanagement-Systeme mit der Scope-Erweiterung des ISO 27701 für Datenschutzmanagement-Systeme. Dieser Ansatz der synergetischen Verbindung lässt sich auf weitere Disziplinen ausdehnen und mit der übergeordneten Disziplin Compliance in Einklang bringen.
Neben der Harmonisierung der unternehmensinternen Richtlinienstruktur gilt es also, die organisationstypischen Abteilungs-Silos zu überwinden. So ist der Aufbau einer Projektorganisation ein gängiger Ansatz, die relevanten Stakeholder einzubinden – und zwar ausgehend von den gesetzlichen Anforderungen als Teil der unternehmensweiten Compliance-Aufgaben. Dabei gilt, dass es leichter ist, die "Board Attention" – also die Aufmerksamkeit und Budgetzuweisung seitens der Unternehmensleitung – zu erhalten, wenn man potenzielle Auswirkungen der Nichteinhaltung im Rahmen der Organhaftung aufzeigt.
Regulatorische Treiber und ihre Einordnung hinsichtlich der steigenden Anforderungen
Das LkSG verpflichtet deutsche Unternehmen mit mehr als 3.000 Arbeitnehmenden, ihre globalen Wertschöpfungsketten zu prüfen. Im Kern der Betrachtung steht dabei die Einhaltung von Menschenrechten, Arbeitsrechts- und Sozialstandards sowie des Umweltschutzes.
Dieser Prüfpflicht lässt sich mit den Audit-Maßnahmen der Disziplinen Compliance (Business Partner Compliance Check) und Datenschutz/ Informationssicherheit (Dienstleister Audit) konvergieren. Dabei bietet es sich an, ein umfassendes Auditprogramm als Teil des Regelprüfkreislaufs zu etablieren.
Ein entsprechender kennzahlenbasierter Ansatz der Auswertung liefert wiederum wichtige Erkenntnisse für das gesamthafte Risikomanagement. Zudem lassen sich so Befunde zur Identifikation von Maßnahmen zur Ausfallsicherheit einzelner Bestandteile der Supply Chain im Sinne des Business Continuity Managements bergen.
Ab einer Anzahl von 50 Arbeitnehmenden sind Unternehmen verpflichtet, ein sicheres Meldesystem für Hinweisgeber zu Missständen zu implementieren.
Das Ziel ist der Schutz der internen oder externen Hinweisgeber und die sachgerechte Bearbeitung und Nachverfolgung entsprechender Hinweise. Dabei gilt es, den Hinweisgeber und die Kommunikation durch geeignete Funktionen zu anonymisieren. Zusätzlich sind strenge Datenschutzanforderungen umzusetzen.
In diesem Zusammenspiel aus Compliance und Datenschutz besteht auf Ebene der Prozessgestaltung das Potential, bereits bewährte Maßgaben des Datenschutzes zur Wahrung von Betroffenenrechten zu konvergieren. Auf der Ebene der technischen Maßnahmen hingegen, bieten das Identity & Access Management (IAM) sowie Verschlüsselungs- und Anonymisierungsfunktionalitäten die benötigten Werkzeuge, um die Anforderungen nach Stand der Technik umzusetzen.
Mit der NIS2 (EU 2022/2555) hat der Gesetzgeber eine Überarbeitung der ersten Version der Network-and-Information-Security-Richtlinie auf den Weg gebracht. Bis Oktober 2024 müssen die EU-Mitgliedsstaaten die aktualisierte Norm in nationales Recht umsetzen, die mit einigen Änderungen die Cybersicherheitsstandards für Betreiber kritischer Infrastrukturen (KRITIS) stärken soll:
- Elf kritische und sieben wichtige Sektoren erhöhen die Gesamtzahl der betroffenen Bereiche auf 18.
- Firmen mit über 50 Angestellten oder einem Jahresumsatz von mehr als 10 Millionen Euro müssen die NIS2-Richtlinie beachten.
- Unternehmen müssen nun eine breitere Palette von Sicherheitsvorfällen melden.
- Im Falle eines Sicherheitsvorfalls fordert die Richtlinie eine Frühwarnung innerhalb von 24 Stunden und eine detaillierte Meldung innerhalb von 72 Stunden.
- Nationale Regulierungsbehörden stärken ihre Durchsetzungsmöglichkeiten und verhängen höhere Strafen bei Verstößen.
Zusätzlich wird die Cyberabwehr kritischer Infrastrukturen mit dem IT-Sicherheitsgesetz 2.0 gestärkt: Seit dem 1. Mai 2023 müssen KRITIS-Unternehmen im Bereich der IT wie auch OT ein „System zur Angriffserkennung“ (SzA) einsetzen und dies dem BSI (Bundesamt für Informationstechnik) nachweisen. Zu den Kernpunkten des Gesetzes zählt die Stärkung:
- der Kompetenzen des BSI,
- des Verbraucherschutzes,
- der unternehmerischen Vorsorgepflicht,
- der staatlichen Schutzfunktion und
- die zusätzliche Überarbeitung von Bußgeldvorschriften.
Natürlich sind Betreiber kritischer Infrastrukturen in Branchen wie Energie, Wasser, Transport, Verkehr, Ernährung, Gesundheit, Finanzwesen, Versicherungen, Telekommunikation und Informationstechnik vom IT-Sicherheitsgesetz betroffen. Mit der Einführung von Version 2.0 fallen aber auch die Abfallentsorgung in Siedlungen sowie Unternehmen des besonderen öffentlichen Interesses (UBI/UNBÖFI) und deren Zulieferer unter diese Regelung.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die neue Edition 2023 des IT-Grundschutz-Kompendiums veröffentlicht. Sie löst die Edition 2022 ab und steht nun mit 111 IT-Grundschutz-Bausteinen zur Verfügung. Dabei wurden insgesamt 21 Bausteine überarbeitet und die inhaltlichen Änderungen in separat veröffentlichten Änderungsdokumenten festgehalten.
Unter anderem sind Aspekte wie die Nutzung von Outsourcing, Unified Communications und Collaboration (UCC), Terminalserver, Network Access Control, die Client-Virtualisierung oder Virtual Desktop Infrastructure neu hinzugekommen. Außerdem wurden mehrere Rollenbezeichnungen angepasst sowie alle Bausteine des IT-Grundschutz-Kompendiums strukturell und sprachlich überarbeitet.
Weil Cybercrime keine Grenzen kennt, muss die Cybersecurity auch international in Abwehrstellung gehen. Und dafür existieren globale Sicherheitsstandards wie die Normenreihe ISO 27000.
Dabei haben sich mit der aktuellen Version der ISO 27001:2022 wichtige Änderungen in Sachen IT-Sicherheit, Datenschutz (durch die ergänzende ISO 27701) sowie konkrete Maßnahmen zur Cloudsicherheit (Information security for use of cloud services) ergeben.
Außerdem befasst sich die internationale Normenreihe IEC 62443 nach wie vor mit der Cybersecurity von „Industrial Automation and Control Systems“ (IACS), die als ganzheitlich verfolgter Ansatz für Betreiber, Integratoren und Hersteller bei vernetzten Produktionen immer wichtiger wird.
Wichtig zu wissen: Die Übergangsfrist für bestehende ISO 27001-Zertifikate beträgt drei Jahre ab dem letzten Tag des Veröffentlichungsmonats der neuen ISO/IEC 27001:2022 (Oktober 2022). Das heißt, dass alle Zertifikate nach ISO/IEC 27001:2013 beziehungsweise DIN EN ISO/IEC 27001:2017 bis zum 31. Oktober 2025 auf die neue Version ISO 27001 aus 2022 umgestellt sein müssen.
Erfahren Sie hier mehr über unsere Services im Bereich Cybersecurity und regulatorische Anforderungen.
Für Ihre Cybersicherheit gibt es nicht die eine Lösung. Deswegen bieten wir Ihnen ein flexibles Serviceangebot – abgestimmt auf Ihre individuellen Bedürfnisse und Anforderungen.
Sie möchten den steigenden rechtlichen und regulatorischen Anforderungen gerecht werden? Wir helfen Ihnen gerne weiter!
