Während das digitale Ökosystem exponentiell wächst und Cyberkriminelle versuchen, darin Sicherheitslücken auszunutzen, üben die Regulierungsbehörden weiterhin Druck auf die Unternehmen aus, umfassende Strategien zum Schutz vor Cyberrisiken zu entwickeln, und ziehen sie zur Verantwortung, wenn etwas schiefgeht.
Angesichts der Vielschichtigkeit und globalen Natur von Cyberbedrohungen verfolgen Regulierungsbehörden einen einheitlicheren Ansatz bei der Einhaltung von Cyberrisiken. Ein Paradebeispiel hierfür ist der Digital Operational Resilience Act der Europäischen Union, der die europaweite Einhaltung gemeinsamer Cybersicherheitsregeln vorschreibt.
Auch die internationale Zusammenarbeit im Bereich der Cyber-Resilienz, insbesondere in Bereichen wie der künstlichen Intelligenz (KI), wächst. So werden beispielsweise im September 2024 Großbritannien, die USA und Kanada Kündigte Pläne an um bei der Cybersicherheit und KI-Forschung zusammenzuarbeiten.
Aufgrund der zunehmenden Konvergenz der Cyber-Regulierungen wird von Unternehmen aller Branchen erwartet, umfassende IT-Risikokontrollen und -Richtlinien zu entwickeln, durchzusetzen und regelmäßig zu bewerten. Cyber-Experten warnen, dass dies nicht länger nur eine einzelne, abgehakte Aufgabe sein kann.
Ein konvergenter Ansatz zur Cyber-Resilienz
Laut Anu Kapil, Senior Product Manager beim amerikanischen IT-Sicherheitsunternehmen Qualys, veranlassen ein rapider Anstieg komplexer Cyberbedrohungen und eine wachsende Abhängigkeit der Unternehmen von digitalen Technologien die globalen Regulierungsbehörden dazu, sich auf Kernbereiche wie Datenschutz, Cyber-Resilienz und Risikomanagement zu konzentrieren.
Sie argumentiert, dass Regulierungsbehörden durch einen einheitlichen Ansatz in den Bereichen Datenschutz, Cybersicherheit und KI von einer optimierten Aufsicht und der Durchsetzung grenzüberschreitender Rechenschaftspflicht profitieren. Gleichzeitig können Unternehmen standardisierte Rahmenbedingungen für eine zentralisierte Compliance nutzen.
Sam Peters, Chief Product Officer von ISMS.online, äußert ähnliche Ansichten und weist darauf hin, dass Regulierungsbehörden weltweit zunehmend bei domänenübergreifenden Cyber-Regulierungen zusammenarbeiten, um auf die zunehmende Verbreitung komplexer digitaler Bedrohungen, geopolitischer Herausforderungen und wachsender Erwartungen der Benutzer hinsichtlich der Rechenschaftspflicht zu reagieren.
Damit, so Peters, hoffen die Regulierungsbehörden, die bestehenden Silos in Bereichen wie Cybersicherheit, Datenschutz und KI aufzubrechen. Diese Silos erschweren es Unternehmen, Cyberbedrohungen zu erkennen und einzudämmen.
Aber durch die Beseitigung der oben genannten Silos, die Förderung einheitlicher IT-Vorschriften und stützen sich auf bestehende Risikostandards wie ISO 27001Er ist davon überzeugt, dass Regulierungsbehörden dazu beitragen können, branchenübergreifende Innovationen zu beschleunigen und Cyberrisiken zu verringern.
Es wird nicht genug getan
Obwohl Industriestandards wie NIS2, DOR und ISO 27001 in letzter Zeit stärker angeglichen wurden, sagt Mark Weir, Regionaldirektor für Großbritannien und Irland beim Anbieter von Cybersicherheitslösungen Checkpunkt-Software, deutet darauf hin, dass es noch ein weiter Weg ist, bis sie auf globaler Ebene wirklich „einheitlich“ und „umfassend“ werden.
Insbesondere das Fehlen formalisierter Richtlinien und Governance für künstliche Intelligenz erschwere es Organisationen, diese Technologie angemessen zu nutzen, so der Experte. Künstler befürchten beispielsweise, dass KI ihre Urheberrechte verletzen könnte, wenn die Technologie nicht angemessen reguliert wird.
Doch nicht nur die Regulierungsbehörden sind schuld. Obwohl Branchenverbände wie das National Cyber Security Centre vor den wachsenden Risiken von Cyberbedrohungen warnen und Richtlinien zu deren Bekämpfung herausgeben, scheitern laut Weir viele Unternehmen daran, diese in die Praxis umzusetzen. Besonders besorgt ist er über den Mangel an Cyber-Simulationen und -Übungen in den Cyber-Resilienz-Plänen der Unternehmen.
Gegenüber ISMS.online erklärt er: „Ohne proaktive Planung und regelmäßige Tests sinkt die Wahrscheinlichkeit einer erfolgreichen Wiederherstellung nach einem Cyberangriff erheblich, was häufig zu Dienstausfällen, Datenverlust und einem Vertrauensverlust der Kunden führt.“
Was konvergente Cyber-Regulierungen für Unternehmen bedeuten
Klar ist: Angesichts neuer Branchenvorschriften und der Annäherung bestehender Richtlinien müssen Unternehmen ihre regulatorischen Verpflichtungen ernst nehmen. Für Peters bedeutet dies, ausreichende IT-Risikokontrollen zu implementieren, diese streng zu verwalten und im Falle von Problemen zur Verantwortung zu ziehen.
Angesichts der rasant zunehmenden Cyber- und KI-Bedrohungen können es sich Unternehmen nicht leisten, Compliance wie eine einmalige Checkliste zu behandeln. Stattdessen müssen sie eine Kultur der kontinuierlichen Verbesserung entwickeln, um sicherzustellen, dass ihre Cyber-Resilienzpläne wirklich wirksam sind.
Peters ist der Meinung, dass Unternehmen, die Cyber-Resilienz als strategische und kontinuierliche Maßnahme in allen Abteilungen betrachten, am erfolgreichsten sein werden. Er erklärt: „Wer es richtig macht, verschafft sich einen Wettbewerbsvorteil: schnelleren Markteintritt, stärkeres Kundenvertrauen und geringeres Risiko von Bußgeldern oder Reputationsschäden.“
Kapil stimmt zu, dass Unternehmen angesichts vereinheitlichter Cyber-Regulierungen scheitern, wenn sie die Compliance nicht kontinuierlich verfolgen. Sie empfiehlt Unternehmen, anpassungsfähige Cybersicherheitsrichtlinien zu entwickeln, diese regelmäßig zu überwachen und auf spontane Prüfanforderungen der Aufsichtsbehörden vorbereitet zu sein.
Sie erklärt gegenüber ISMS.online: „Um dies effektiv zu erreichen, können Unternehmen die Beweissammlung automatisieren, Kontrolllücken proaktiv bewerten und sich an die sich entwickelnden Vorschriften in mehreren Bereichen anpassen.“
Ein intelligenterer und integrierter Ansatz zur Cyber-Resilienz
Wenn es darum geht, auf die gestiegenen regulatorischen Anforderungen an eine konvergente Cyber-Compliance zu reagieren und ihre Cyber-Abwehr zu stärken, drängt Peters Unternehmen dazu, manuelle und fragmentierte Compliance-Ansätze durch intelligentere und stärker integrierte Ansätze zu ersetzen.
In der Praxis bedeutet dies laut Peters, Risiken, Compliance und Governance in einer Umgebung zu zentralisieren, die leicht skalierbar ist, bestehende und neue Branchenvorschriften berücksichtigt und Einblick in die Risiken in verschiedenen Geschäftsbereichen bietet.
Eine Möglichkeit hierfür sei laut Peters die Implementierung eines Informationssicherheits-Managementsystems, das den Anforderungen eines anerkannten Industriestandards wie ISO 27001 entspricht. Er erklärt, dass solche Standards nicht nur bewusst eingeführt werden, sondern auch darauf ausgelegt sind, die länderübergreifende Cyber-Compliance auf strukturierte und anpassbare Weise zu erleichtern.
„Durch die Einführung von ISO 27001 als Grundlage erhalten Unternehmen eine systematische Möglichkeit, Risiken zu identifizieren, zu bewerten und zu mindern. Und was entscheidend ist: Seine Struktur unterstützt die Einbeziehung zusätzlicher Rahmenbedingungen, sei es für Datenschutz, KI-Ethik, Resilienz oder branchenspezifische Mandate“, sagt Peters.
Er fügt hinzu, dass Unternehmen nach der Einführung einer ISMS-Plattform die Empfehlungen anderer Frameworks – wie ISO 22301 für Geschäftskontinuität und ISO 42001 für KI – in ihre verschiedenen Compliance-Bemühungen integrieren können. Er fügt hinzu: „Dies vereinfacht das Management und erleichtert den Nachweis der Compliance über mehrere Standards und Regionen hinweg.“
Wie Peters warnt Kapil Unternehmen davor, unterschiedliche IT- und Cyber-Regulierungen getrennt zu handhaben, da dies zu „ineffizienten und riskanten“ Silos führe. Sie befürwortet einen zentralisierten Ansatz, bei dem Unternehmen abteilungsübergreifende Richtlinien entwickeln, die auf Rahmenwerke wie NIST, ISO und DSGVO abgestimmt sind.
Angesichts der sich ständig weiterentwickelnden regulatorischen Anforderungen betont sie die Bedeutung einer kontinuierlichen Überwachung der Richtlinien – eine Aufgabe, die sich mithilfe von Automatisierungstools optimieren lässt. Sie fügt hinzu: „Mit einem integrierten Ansatz für die Richtlinienprüfung können sie den manuellen Aufwand reduzieren, die Genauigkeit verbessern und die Risiko- und Compliance-Bemühungen auf einer Plattform bündeln.“
Die Zukunft der Cyber-Regulierung
Angesichts der rasant wachsenden und zunehmend aggressiven Cyber-Bedrohungen erwartet Kapil künftig noch strengere Branchenvorschriften. Sie ist überzeugt, dass der Druck auf Unternehmen steigen wird, den Nachweis zu erbringen, dass sie diese Risiken kontinuierlich und in Echtzeit mithilfe einer integrierten Cyber-Risikostrategie angehen. Ein sofortiger Beginn werde ihnen helfen, „agiler, auditfähiger und besser gegen regulatorische und Cyber-Risiken geschützt“ zu sein, fügt sie hinzu.
Alan Jones, CEO und Mitgründer des Anbieters für sichere Kommunikation YEO Messaging, stimmt zu, dass die Cyber-Risiko-Compliance in Zukunft stärker integriert sein wird. Er erwartet, dass mehr Unternehmen diesen Trend übernehmen, indem sie Benutzer in Echtzeit authentifizieren und Zero-Trust-Architekturen implementieren.
Da immer mehr Organisationen KI-Systeme entwickeln, implementieren und nutzen, ist Satish Swargam, leitender Berater für DevSecOps und sichere Entwicklung bei einem Anwendungssicherheitsunternehmen Black Duck, prognostiziert, dass zukünftige Cybersicherheitsvorschriften und Compliance-Richtlinien auf dieser Technologie basieren werden.
Branchenvorschriften zielen nicht nur darauf ab, die Bedrohungen durch KI-Modelle zu mindern, sondern die Modelle selbst könnten auch die Einhaltung der Cybersicherheitsvorschriften optimieren. Laut Swargam hat KI die Fähigkeit, „Sicherheitsrisiken im richtigen Kontext zu begegnen“.
Unternehmen profitieren stark von neuen Technologien wie KI, sind aber auch mit erheblichen ethischen und Cybersicherheitsrisiken konfrontiert, die immer umfangreicher und komplexer werden. Daher müssen Unternehmen diese Risiken entsprechend bewerten, um ihre Mitarbeiter, Kunden und ihren Ruf zu schützen. Und das wird die Aufsichtsbehörden zufriedenstellen.
