Was bedeutet der Cyber-Governance-Verhaltenskodex der britischen Regierung für Ihr Unternehmen?
Inhaltsverzeichnis:
Es gab eine Zeit, in der Cybersicherheit stark als Technologiefunktion betrachtet wurde. Nicht mehr. Regierungen und Regulierungsbehörden auf der ganzen Welt verlangen zunehmend, dass Vorstände mehr Verantwortung für das Management von Cyberrisiken übernehmen. Es ist neu Regeln der SEC letztes Jahr und im kommenden Jahr eingeführt NIS2-Direktive, wodurch die Geschäftsleitung bei schwerwiegenden Verstößen persönlich haftbar gemacht wird. Um nicht zu übertreffen, folgt die britische Regierung diesem Beispiel mit einem neuen Vorschlag Verhaltenskodex für Cyber-Governance.
Obwohl es freiwillig ist, hat die Regierung ihre Absicht bekundet, den Kodex in die „bestehende Regulierungslandschaft“ einzubetten. Die Gremien täten gut daran, dies zur Kenntnis zu nehmen.
Was steht in der Anleitung?
Der Kodex wurde im Januar in Entwurfsform veröffentlicht und steht vor einem entmutigenden Hintergrund von Verstößen. Entsprechend der RegierungMehr als die Hälfte mittlerer (59 %) und großer (69 %) britischer Unternehmen erlitten in den 12 Monaten bis April 2023 einen schweren Cyberangriff oder -verstoß. Dieselbe Studie zeigt, dass, obwohl fast drei Viertel (71 %) der leitenden Manager Obwohl viele Unternehmen sagen, dass sie Cybersicherheit als „hohe Priorität“ ansehen, haben nur 30 % der Unternehmen Vorstandsmitglieder oder Treuhänder, die explizit für Cyber verantwortlich sind.
Damit gliedert sich der Verhaltenskodex in fünf Säulen:
Risikomanagement: Sicherstellen, dass die kritischsten digitalen Prozesse, Daten und Dienste des Unternehmens identifiziert, priorisiert und vereinbart wurden. Dazu gehören regelmäßige Risikobewertungen und Maßnahmen zur Risikominderung, Entscheidungen über Risikostufen und Lieferantenrisikomanagement.
Cyber-Strategie: Überwachung und Überprüfung der Cyber-Resilienzstrategie im Einklang mit der Risikobereitschaft, der Geschäftsstrategie sowie den gesetzlichen und regulatorischen Verpflichtungen. Dazu gehört auch die Sicherstellung, dass die entsprechenden Ressourcen entsprechend dem sich ständig ändernden Geschäftsrisiko zugewiesen werden.
Menschen: Sponsoring von Kommunikation über die Bedeutung der Cyber-Resilienz für das Unternehmen, Bereitstellung klarer Cybersicherheitsrichtlinien, die eine positive Sicherheitskultur unterstützen, sowie Durchführung und Teilnahme an Sicherheitsschulungsprogrammen.
Vorfallplanung und Reaktion: Sicherstellen, dass die Organisation über einen Plan verfügt, um auf Cybervorfälle zu reagieren und sich davon zu erholen, die sich auf geschäftskritische Prozesse und Dienste auswirken. Dazu gehören regelmäßige Tests des Plans, Überprüfungen nach Vorfällen und die Übernahme der Verantwortung für regulatorische Verpflichtungen.
Sicherheit und Aufsicht: Etablierung einer Governance-Struktur, die mit der Organisation übereinstimmt, einschließlich einer klaren Definition von Rollen und Verantwortlichkeiten sowie der Verantwortung für Cyber-Resilienz auf Direktorenebene. Überwachung der Cyber-Resilienz durch die Aufsichtsbehörden, Einrichtung eines wechselseitigen Dialogs mit wichtigen Führungskräften und formelle vierteljährliche Berichterstattung sowie Sicherstellung, dass die Cyber-Resilienz-Strategie in bestehende Sicherungsmechanismen integriert wird.
Wie sollten Organisationen reagieren?
Darren Anstee, CTO bei Netscout, argumentiert, dass Vorstände traditionell mit der Planung von Vorfällen zu kämpfen hätten.
„Der Leitfaden besagt, dass die Prüfung des Vorfallbehandlungsplans einer Organisation und die damit verbundene Schulung mindestens einmal im Jahr stattfinden sollten. Die meisten Organisationen tun dies heute, und das ist viel besser als vor einem Jahrzehnt, aber es reicht nicht aus, dies jährlich zu tun“, sagt er gegenüber ISMS.online.
„Wir möchten, dass Tests die Vertrautheit und Optimierung von Prozessen vorantreiben – es sollte nicht nur darum gehen, herauszufinden, wo der Plan aktualisiert werden muss, weil er nicht mehr zu den Prozessen und der Technologie eines Unternehmens passt. Das ist das Risiko bei jährlichen Tests.
Anstee fügt hinzu, dass die Gremien auch ihre Sicherheit und Aufsicht verbessern könnten.
„Die Herausforderung hier ist nicht neu, da es schwierig sein kann, das, was in Bezug auf Bedrohungsabwehr und Cyberrisiken passiert, in etwas Sinnvolles auf der Ebene des Geschäftsrisikos zu übersetzen“, argumentiert er.
„Dies bedeutet normalerweise, dass mehrere Datensätze miteinander korreliert werden, um verständliche Metriken und Visualisierungen zu generieren. Dies ist möglich und sehr wichtig, wenn wir wollen, dass Cyber-Risiken gut gemanagt werden, aber viele Unternehmen verfügen nicht über die Ressourcen, um dies gut zu bewältigen.“
Kevin Curran, Senior-Mitglied des IEEE und Professor für Cybersicherheit an der Universität Ulster, argumentiert, dass Gremien es oft nicht schaffen, Cyber-Risiken angemessen zu managen, weil es ihnen an Engagement, Fachwissen und Konzentration mangelt.
„Einige Bereiche, in denen Unternehmen versagen, sind unter anderem das Versäumnis, gründliche Risikobewertungen durchzuführen oder klare Cybersicherheitsstrategien zu etablieren, was sie anfällig für Bedrohungen macht. Andere Bereiche sind unzureichende Investitionen, veraltete Richtlinien, schlechte Kommunikation zwischen Abteilungen und ein Compliance-zentrierter Ansatz können auch die Cybersicherheits-Governance untergraben“, sagt er gegenüber ISMS.online.
„Letztendlich soll der Kodex Organisationen dabei helfen, robuste Governance-Rahmenwerke zu etablieren, Führungspersönlichkeiten in Cybersicherheitsentscheidungen einzubeziehen, regelmäßige Risikobewertungen durchzuführen, ausreichende Ressourcen zuzuweisen, eine Cybersicherheits-bewusste Kultur zu fördern und ihre Cybersicherheits-Governance-Praktiken kontinuierlich zu verbessern, um sich an sich entwickelnde Bedrohungen anzupassen.“
Nächste Schritte mit ISO 27001
Die Einhaltung der Best-Practice-Standards und Frameworks wie ISO 27001, NIST Cybersecurity Framework, CIS Controls und COBIT könnte den Vorständen dabei helfen, ihre Ziele im Rahmen der fünf Säulen zu erreichen, argumentiert Curran.
„ISO 27001 bietet einen systematischen Ansatz zur Identifizierung, Bewertung und Minderung von Sicherheitsrisiken, der bei der Priorisierung digitaler Assets und der Integration des Risikomanagements in die Governance hilft. Es kommt auch der Cyberstrategie zugute, da es ein Informationssicherheits-Managementsystem (ISMS) mit der Geschäftsstrategie in Einklang bringt und eine effiziente Ressourcenzuweisung für die Überwachung und Überprüfung der Cybersicherheitsstrategie gewährleistet“, erklärt er.
„ISO 27001 fördert die Sicherheitskultur durch Richtlinien und Schulungen und verbessert die Cyberkompetenz der Mitarbeiter im Einklang mit der Sicherheitsstrategie der Organisation. Es fördert auch die Planung von Vorfallreaktionen … und hilft bei der Definition von Rollen, Überwachung, Berichterstattung und Kommunikation mit leitenden Führungskräften – und erleichtert so die Integration der Cybersicherheit in Governance-Strukturen.“
Obwohl der Kodex freiwillig ist, wird er eine wichtige Rolle in der sich entwickelnden Regulierungslandschaft spielen, erklärt Sarah Pearce, Partnerin bei Hunton Andrews Kurth.
„Der Companies Act 2006 und der UK Corporate Governance Code enthalten bestimmte Anforderungen, und ich verstehe, dass dieser Code und die zugehörigen Leitlinien aktualisiert werden müssen, um die Konsistenz mit dem von der Regierung vorgeschlagenen [Cyber-Governance-]Verhaltenskodex sicherzustellen“, sagt sie gegenüber ISMS.online.
„Die Regierung hat erklärt, sie sei sich darüber im Klaren, dass der Kodex „allein nicht ausreicht, um die erforderlichen Verbesserungen im Cyber-Risikomanagement auf Vorstandsebene voranzutreiben“. Es untersucht seinen Einsatz zur Unterstützung von Regulierungsbehörden, um zu verstehen, wie es zur Unterstützung der Einhaltung gesetzlicher Vorschriften, einschließlich der britischen DSGVO- und NIS-Verordnungen, eingesetzt werden könnte.“
