Haftung auf Vorstands-, Geschäftsleitungs- und Aufsichtsratsebene
Das Gros der Nachfrage kommt von mittelständischen Firmen, die nicht selbst eine sogenannte Kritische Infrastruktur (KRITIS) betreiben, aber KRITIS-Unternehmen im Kundenstamm haben, hat
Dr. Harald Schönfeld in zahlreichen Gesprächen festgestellt. Der Hintergrund ist nach Ansicht des Managementfachmanns offensichtlich: Nach Umsetzung der EU-Cybersicherheitsrichtlinie NIS2 (Network & Information Security) in deutsches Recht haften die Firmen bei Hackerangriffen. „Diese Haftung greift nach oben durch bis auf Vorstands- und Geschäftsleitungsebene“, erklärt Dr. Harald Schönfeld, warum Cyberresilienz plötzlich zum Topthema auf der obersten Führungsebene aufgestiegen ist. Er führt aus: „Verletzt das Topmanagement seine Pflicht oder unterlässt die Einführung von Maßnahmen zur Minimierung von Cyberrisiken, drohen hohe Bußgelder sowie rechtliche Konsequenzen für die Führungskräfte. Auch die Mitglieder der Überwachungs- und Kontrollorgane des Unternehmens stehen persönlich in der Haftung, insbesondere der Aufsichtsrat.“
Die Anpassung an die neuen rechtlichen Vorgaben erfordere nicht nur technologische Investitionen, sondern ebenso sehr eine Stärkung der Governance-Strukturen. „Governance ist im Grunde immer ein Thema für die oberste Führungsebene und den Aufsichtsrat. Deshalb suchen die Unternehmen einen Chief Information Security Officer und keinen bloßen Cybersicherheitsexperten“, weiß Dr. Harald Schönfeld aus Gesprächen mit Vorständen, Geschäftsführern und Aufsichtsräten.
Die NIS-2-Richtlinie setzt erhöhte Cybersicherheitsstandards für Unternehmen ab 50 Mitarbeitenden und 10 Millionen Euro Umsatz in 18 festgelegten Sektoren, die als kritisch für die Aufrechterhaltung wichtiger Infrastrukturen eingestuft werden. Dazu gehören die Branchen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwässer, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten, digitale Anbieter und Forschung.
Haftung umfasst die gesamte KRITIS-Wertschöpfungskette
„Vielen Führungskräften im Mittelstand ist offenbar erst spät klargeworden, dass NIS2 nicht nur für die Betreiber kritischer Infrastrukturen gilt, sondern für die gesamte KRITIS-Wertschöpfungskette, also auch alle Zulieferer“, hat Managementexperte Dr. Harald Schönfeld festgestellt. „Deshalb ist Cyberresilienz in vielen Firmen beinahe über Nacht von der IT-Abteilung auf die Agenda der obersten Führungsebene und auch des Aufsichtsrates als Überwachungs- und Kontrollgremium gesetzt worden. Daher sucht man nun auf Topebene einen schnell verfügbaren Interim Manager, der das Unternehmen in der Rolle des Chief Information Security Officer auf die neuen NIS2-Anforderungen einstellt.“
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rechnet mit knapp 30.000 von NIS2 betroffenen Firmen in Deutschland, andere Zählungen kommen auf rund 40.000 Unternehmen über die gesamte Wertschöpfungskette hinweg. „Die hohe Nachfrage nach Interim Managern zur Stärkung der Cyberresilienz auf Topebene ist auch die Folge eines leergefegten Personalmarktes mit entsprechend qualifizierten Personen“, sagt Dr. Harald Schönfeld. Er erklärt: „Immer häufiger erhalten wir einen Doppelauftrag: einen Interim Manager zu finden, der praktisch sofort als Chief Information Security Officer einspringt, und parallel dazu einen Manager zu suchen, der diese Funktion in dauerhafter Festanstellung antreten will. Der erste gelingt uns immer kurzfristig, aber für die zweite Aufgabe gehen unter Umständen Monate dahin, bis sich eine geeignete Führungskraft findet.“
Markenzeichenhinweis: butterflymanager®-Methode ist eine geschützte Marke der butterflymanager GmbH
Weitere Informationen: butterflymanager GmbH, Schweiz, www.butterflymanager.com, E‑Mail: info@butterflymanager.com
PR-Agentur: euromarcom public relations, team@euromarcom.de, www.euromarcom.de