BSI: Unternehmensleitung darf Management von Cyberrisiken nicht wegdelegieren
Unternehmen werden heute regelmäßig Opfer von Cyberangriffen und die Bedrohungslage hat ein nie da gewesenes Ausmaß erreicht. Das Bundesamt für Sicherheit in der Informationstechnik plädiert dafür, dass sich die Unternehmensleitung dieser Tatsache bewusst sein muss, um Cybersicherheit als wichtigen Bestandteil des Risikomanagements etablieren zu können.
Das Handbuch „Management von Cyber-Risiken“ , das in Zusammenarbeit mit der Internet Security Alliance (ISA) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt wurde, erhält nun ein umfassendes Update. Es beschäftigt sich mit einer umfassenden Unternehmenskultur, die Cybersicherheit ständig im Blick hat und somit die Widerstandsfähigkeit von Unternehmen erhöht. Die aktualisierte Version des Handbuchs wurde am 22.03.2023 veröffentlicht.
Die Forderungen lassen sich auf die Einhaltung von sechs Prinzipien verdichten:
- Cybersicherheit nicht nur als IT-Thema, sondern als Baustein des unternehmensweiten Risikomanagements verstehen:
Die Unternehmensleitung muss die Cybersicherheit nicht nur als IT-Risiko, sondern als strategisches Unternehmensrisiko verstehen und angehen. - Rechtliche Auswirkungen von Cyberrisiken verstehen:
Die Unternehmensleitung sollte die rechtlichen Auswirkungen von Cyberrisiken in Bezug auf die individuellen Anforderungen ihres Unternehmens verstehen. - Zugang zu Cybersicherheits-Expertise sowie regelmäßigen Austausch sicherstellen:
Die Unternehmensleitung sollte einen angemessenen Zugang zu Cybersicherheits-Expertise fordern. Diskussionen über Cyberrisikomanagement sollten regelmäßig und in angemessenem Umfang auf die Tagesordnung gesetzt werden.