In der Praxis werden Umsetzungsaufgaben für neue Regulierungen wie die NIS2 (DORA im Finanzbereich) oft auf die IT abgewälzt. Bei der KI-Verordnung und dem Cyber Resilience Act ist gleiches zu vermuten.
Natürlich ist die Zuweisung bequem, sind doch vielfältig IT-Themen betroffen, da liegt der Schluss nahe und alle zeigen auf die IT Leitung.
So ist schnell die Frage beantwortet, wer die Ärmel hochkrempeln muss, die anderen sind froh, daß man es nicht auf dem eigenen Tisch hat.
Ja, es sind IT-Themen betroffen, aber das ist nicht alles, denn z. B. bauliche Maßnahmen, juristische Themen für Lieferanten-, Kunden- und Arbeitsverträge sind auch zu beachten, das ist alles nicht Sache der IT. Daneben sind organisatorische Fragen, Business-Entscheidungen und vielleicht sogar die gesamte Struktur des Unternehmens in die Veränderungen einzubeziehen.
Und manchmal mag es gar keine konkrete Person oder Rolle geben, die sich um die Themen NIS-2-Richtlinie, die EU-KI-Verordnung (KIVO) und den Cyber Resilience Act (CRA) generalistisch über Abteilungsgrenzen kümmern kann oder eigenes Budget dafür hat.
Wir versuchen hier im Überblick einige Fakten darzulegen und die Frage ders Verantwortung zu erläutern, warum dies (NIS-2, KIVO, CRA) keine isolierten Compliance-Themen der IT sind:
Digitalisierung erhöht die Angriffsfläche
Digitalisierung ist heute das Gebot der Stunde, immer mehr Lebensbereiche sind davon betroffen. Sie erweitert Geschäftsmodelle und Prozesse, erhöht jedoch auch die Angriffsfläche für Cyberkriminalität. Die o.g. regulatorischen Anforderungen umzusetzen ist wie die Digitalisierung vielfach nicht nur die Einführung einer einfachen Softwarelösung oder Tausch eines Routers. Sie greifen ggf. tief in die Prozesse ein, wirken auf die strategische Ausrichtung eines Unternehmens und erfordern daher die volle Aufmerksamkeit und das Engagement der Geschäftsleitung.
Gesamtunternehmensstrategie und Integration von Sicherheit und KI
Die Themen erfordern eine ganzheitliche Sicht auf Sicherheit und Technologie im Unternehmen. Während NIS2 die Cybersicherheit und Geschäftskontinuität der Struktur betont, fordert die KI-Verordnung die Sicherstellung von ethischen und sicheren KI-Anwendungen. Der Cyber Resilience Act erweitert diese Anforderungen (auch ohne KI-Einsatz) um die Resilienz von Produkten und digitalen Diensten über den Lebenszyklus hinweg. Die Geschäftsleitung muss diese Anforderungen in die Unternehmensstrategie integrieren, um Wettbewerbsfähigkeit und Innovationsfähigkeit zu sichern. Und dies langfristig!
Verantwortung und Haftungsrisiken
Alle drei Regulierungen beinhalten Haftungsregelungen und Compliance-Anforderungen. Die Geschäftsleitung ist dafür verantwortlich, dass das Unternehmen diese einhält, um nicht nur rechtliche Konsequenzen mit Aufsichtsbehörden zu vermeiden, sondern auch um das Vertrauen von Investoren, Kunden und Partnern zu wahren. Nichteinhaltung könnte zu erheblichen Bußgeldern, Schadenersatzansprüchen und schwerwiegenden Reputationsverlusten führen.
Die Sorgfaltspflichten der Leitung (siehe AG-Gesetz, GmbH-Gesetz) sind auszuüben, ein "Nichtstun" ist in den Zeiten der bekannten Cyber-Bedrohungen schlecht mit den Sorgfaltspflichen vereinbar, persönliche Haftungsrisiken sind vorhanden.
Gleichwohl ist die Frage, welcher Rolle die Verantwortung für die Themen intern zugewiesen werden kann, nicht generell klar. In KMU sind die Strukturen eher schlank, mehrfache Rollen in einer Person sind nicht selten. Es braucht Lösungen.
Business Continuity und Resilienz
Sowohl NIS2 als auch der Cyber Resilience Act betonen die Notwendigkeit, widerstandsfähig gegenüber Cybervorfällen zu sein. KI-Systeme, die in der Unternehmensstrategie eingebettet sind, müssen ebenfalls robust und sicher gestaltet werden, um die Kontinuität des Geschäftsbetriebs zu gewährleisten. Die Geschäftsleitung trägt die Verantwortung, sicherzustellen, dass das Unternehmen in der Lage ist, auf Störungen flexibel zu reagieren und den Betrieb schnell wieder aufzunehmen.
Vertrauen und ethische Verantwortung
Die EU-KI-Verordnung verlangt, dass Unternehmen KI-Systeme ethisch und transparent einsetzen. Die Geschäftsleitung muss sicherstellen, dass KI-Anwendungen nicht nur regulatorisch konform, sondern auch im Einklang mit den Werten und der ethischen Verantwortung des Unternehmens stehen. Dies muss initial und über den ganzen Lebenszyklus des Produktes hinweg erfolgen. Dies stärkt das Vertrauen der Stakeholder und minimiert das Risiko von Skandalen oder Reputationsverlusten.
Ressourcenallokation und Innovation
Die Umsetzung von NIS2, KIVO und CRA erfordert unter Umständen erhebliche Investitionen in Technologie, Prozesse und Personal. Für die NIS-2 sind strukturelle Maßnahmen nötig, für den CRA und die KIVO sind Maßnahmen über den ganzen Lebenszyklus der Produkte nötig, also ggf. über Jahre hinweg, auch über Produktionsende hinaus.
Die Geschäftsleitung ist dafür verantwortlich, die notwendigen Ressourcen bereitzustellen und sicherzustellen, dass Innovationen im Bereich der KI und Cybersicherheit vorangetrieben werden, um langfristig wettbewerbsfähig zu bleiben. Diese strategischen Entscheidungen können nur auf der obersten Führungsebene getroffen werden.
Zum Thema Investition: Hier besteht oft Unsicherheit. Die Einführung eines ISMS kann den Rahmen vorgeben, um für alle Beteiligten die notwendigen Themen klar aufzulisten sowie den Organisationsteilen zuweisen zu können. Auf Basis einer Gap-Analyse kann die Abweichung von den jeweiligen Anforderungen festgestellt werden, Maßnahmen (Was? Wer? Kosten?) können definiert und die Umsetzung kann schrittweise angegangen werden. Dann können Kosten auch über Geschäftsjahre hinweg verteilt werden.
Kultureller Wandel und Leadership
Die Umsetzung dieser Regulierungen erfordert vielfach einen kulturellen Wandel innerhalb des Unternehmens hin zu einer Kultur der Sicherheit, Resilienz und ethischen Verantwortung. Die Geschäftsleitung spielt eine entscheidende Rolle dabei, diese Kultur zu fördern, indem sie klare Vorgaben macht, Verantwortung übernimmt und als Vorbild agiert. Ein solches Umfeld unterstützt nicht nur die Einhaltung der Regulierungen, sondern fördert auch die Innovationskraft und Agilität des Unternehmens.
Fazit
Ja, die IT ist hier überall wichtiger Mitspieler. Aber einfach alle Themen der IT aufzuerlegen wird der NIS2-Richtlinie, der EU-KI-Verordnung und dem Cyber Resilience Act nicht gerecht. Dies sind weit mehr als technische IT-Anforderungen, sondern kritische Elemente einer umfassenden Strategie zur Sicherstellung der Zukunftsfähigkeit und Widerstandskraft des Unternehmens.
Diese Verantwortung liegt unvermeidlich bei der Geschäftsleitung, die sowohl die strategische Ausrichtung, die ethischen Leitlinien und die notwendigen Ressourcen festlegen und überwachen muss.
Comentários