Entscheiderverantwortung: Führungsetage muss sich an neue regulatorische Rechenschaftspflicht anpassen

Die C-Levels müssen die Widerstandsfähigkeit und die Bereitschaft zur Reaktion auf Vorfälle in ihre Organisation integrieren.

Von unserem Gastautor Rick Vanover, Vice President of Product Strategy, Veeam

[datensicherheit.de, 24.03.2025] Die Führungsetage hat die Themen Datenresilienz und Cybersecurity lange Zeit den Sicherheits- und IT-Teams überlassen. Es galt das Motto „Das lassen wir die Experten machen“, und für die längste Zeit fuhr man mit dieser Philosophie gut. Unternehmen sind zunehmend von Technologie abhängig und Sicherheitsvorfälle sind eine Frage des „Wann“ statt des „Ob“. Cybersicherheit ist zu einem Thema geworden, das ausnahmslos die gesamte Belegschaft und jede Abteilung im Unternehmen angeht.

Rick Vanover, Vice President of Product Strategy, Veeam, © Veeam

Vorschriften verankern die Rechenschaftspflicht von Unternehmen in Rechtsklauseln

Die jüngsten Vorschriften zur Cybersicherheit (einschließlich NIS2 und DORA) spiegeln dies wider und verankern die Rechenschaftspflicht von Unternehmen in Rechtsklauseln. Die gesamte Führungsebene, und nicht nur der CISO, kann nun im Falle eines Verstoßes zur Verantwortung gezogen werden. Sie sind direkt für das Management und die Schulung zu Cybersicherheitsmaßnahmen verantwortlich und müssen bei Nichteinhaltung mit Strafen rechnen.

Führungskräfte werden sich nun langsam aber sicher der Tatsache bewusst, dass es jetzt ein Risiko darstellt, einfach davon auszugehen, dass ihre Sicherheitsteams und Drittanbieter alles im Griff haben. Wenn Sicherheitslücken klaffen oder sie als Verantwortliche die Transformationsprozesse hin zu stärkerer Datenresilienz nicht ausreichend unterstützen, steht ihr Ruf auf dem Spiel. Der Ball liegt in Sachen IT-Sicherheit also im Feld der Führungsriege und das bedeutet, dass diese sich proaktiv einbringen und selbst mit den Prozessen befassen muss.

Die Führungsetage im Fokus: Vom Beobachter zum Entscheider

Natürlich ist es realitätsfern, zu erwarten, dass die meisten Führungskräfte Experten für Cybersicherheit und -resilienz sind. Viele von ihnen setzen sich im Zuge der sich verändernden Rechtslage womöglich das erste Mal überhaupt mit Plänen für Datenresilienz und die Reaktion auf Vorfälle auseinander und hinterfragen diese. Angesichts zunehmender Cyber-Bedrohungen und strengerer Vorschriften müssen Führungskräfte nicht nur hinnehmen, dass Sicherheitsvorfälle unvermeidlich sind, sondern auch proaktive Maßnahmen ergreifen, um ihre Verteidigung zu stärken und die Einhaltung von Gesetzen sicherzustellen.

Die C-Suite ist nun also für die Sicherheitsstrategie, das Risikomanagement und die Risikominderung in der Organisation sowie für Maßnahmen zur Meldung von Vorfällen verantwortlich. Darüber hinaus müssen sich Führungskräfte, die gegen die Vorschriften verstoßen, auf eine persönliche Haftung und potenzielle Geldbußen von bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes für wichtige Unternehmen einstellen, je nachdem, welcher Betrag höher ist.

Die konkreten Konsequenzen im Detail

• Persönliche Haftung: Nicht mehr nur der CISO steht im Fokus
• Finanzielle Risiken: Strafen von bis zu 7 Millionen Euro oder 1,4% des Jahresumsatzes
• Umfassende Verantwortung: Jedes Vorstandsmitglied muss Cybersicherheit aktiv verstehen und managen

Der Druck ist entsprechend hoch. Die C-Levels müssen die Widerstandsfähigkeit und die Bereitschaft zur Reaktion auf Vorfälle in ihre Organisation integrieren. Es braucht sowohl Investitionen in Sicherheit und Schulungen als auch die Umsetzung der Rechenschaftspflicht interner Interessengruppen.

Hier fällt das entscheidende Wort: Rechenschaftspflicht.

Vorschriften wie NIS2 beziehen die oberste Führungsebene jedoch nicht in die Rechenschaftspflicht ein, damit man ihnen im Ernstfall die Schuld in die Schuhe schieben kann. Die NIS2-Vorschriften verpflichten die Führungskräfte als Entscheidungsträger. Sie sind diejenigen im Unternehmen, die die Entscheidungsgewalt haben, um sicherzustellen, dass jeder seiner Verantwortung nachkommt.

Verantwortliche im C-Level müssen diese Rechenschaftspflicht auch auf wichtige Partner und Lieferanten ausdehnen. Von Partnern in der Lieferkette bis hin zu IT- und Sicherheitsanbietern und BaaS-Anbietern (Backup-as-a-Service), können entscheidende Glieder in der Kette der Datenresilienz und -wiederherstellung nicht ignoriert werden.

Drittanbieter auf dem Prüfstand

Laut einer EY-Umfrage zum globalen Risikomanagement von Drittanbietern erwarten 44 Prozent der Unternehmen, dass sie in den nächsten fünf Jahren verstärkt mit Drittanbietern zusammenarbeiten werden. Da sich dieser Trend fortsetzt, ist davon auszugehen, dass Führungskräfte ihre Drittanbieter-Partner genauer unter die Lupe nehmen und jeden Aspekt ihrer Maßnahmen zur Datenresilienz und Reaktion auf Vorfälle untersuchen werden. Früher reichte eine Vereinbarung oder Zertifizierung aus, um der Führungsebene ausreichend Vertrauen zu vermitteln. Da die Rechenschaftspflicht von Unternehmen nun jedoch ein Faktor ist, wird die Forderung nach einer stärkeren Rechenschaftspflicht von Dritten lauter werden.

Konkret könnte das bedeuten: von Neuverhandlungen von Service Level Agreements (SLAs) bis hin zu eingehenderen Untersuchungen, bei denen Führungskräfte versuchen, die Kontrollkette im Sinne der Datenresilienz zu sichern und jeden Schritt des Prozesses zu untersuchen. Es ist zwar unmöglich, das Risiko und die Verantwortung an Dritte auszulagern, aber Führungskräfte benötigen Transparenz von ihren Drittanbietern. So kann im Falle eines Verstoßes der Fehlerpunkt identifiziert und umgehend gehandelt werden, um Strafen zu vermeiden.

Der Sprung ins kalte Wasser

Die Umsetzung der genannten Maßnahmen wird sicherlich die allgemeine Datenresilienz erhöhen. Dennoch ist es unmöglich, das Risiko eines Verstoßes vollständig zu eliminieren. Das verlangen Vorschriften wie NIS2 und DORA aber auch gar nicht. Stattdessen geht es darum, so viele Risiken wie möglich zu minimieren und vor allem darauf vorbereitet zu sein, auf Vorfälle zu reagieren, wenn sie auftreten – und das werden sie.

Selbst mit allen möglichen Vereinbarungen und Technologien bleibt eines entscheidend: Tests sind unerlässlich. Dies ist der wichtigste Schritt zur Verbesserung der Widerstandsfähigkeit. Die Führungsebene sollte alle erforderlichen Untersuchungen durchführen, um das Vertrauen in ihre Datenlieferkette durch die Lieferanten zu stärken.

Und sie muss dieses Vertrauen auf die Probe stellen. Konsistente, umfassende Tests, die Ihre Maßnahmen bis an die Grenzen bringen, und das nicht nur unter perfekten Bedingungen. Ein Verstoß kann jederzeit auftreten. Man sollte die Sicherheitsstrategie zum ungünstigsten Zeitpunkt Tests unterziehen, beispielsweise wenn die Sicherheitsteams beschäftigt oder bestimmte Interessengruppen im Urlaub sind.

Im Grunde geht es darum, über bloße hypothetische Szenarien und starre Pläne hinauszugehen. Man lernt nicht schwimmen, indem man ein Buch darüber liest. Der einzige Weg zu lernen, ist es, es zu versuchen. Natürlich kann es sein, dass man direkt in der Lage ist, den Kopf über Wasser zu halten. Aber man kann auch untergehen. Und es ist besser, das auszuprobieren, wenn man ein paar Schwimmflügel zur Hand hat, als während des Ernstfalls.