Haben Sie den Überblick? Herausforderungen in der Berichterstattung von Cybervorfällen
Die regulatorischen Anforderungen steigen. Insbesondere in Industrien, die den kritischen Infrastrukturen unterliegen, sind die Bemühungen um einen einheitlichen Standard zur Berichterstattung von Cybervorfällen, aber auch zur Resilienzsteigerung des Sektors durch den Regulator deutlich gestiegen. Zwar sind gewisse Bestimmungen und Gesetze noch nicht in Kraft getreten oder vollständig implementiert, aber Regulierungen wie das hiesige Datenschutzgesetz (DSG) oder das EU-Pendant (DSGVO) sind für Unternehmen unterschiedlichster Grösse und Industrie relevant. Besonders herausfordernd und teilweise unübersichtlich wird es für multinationale Unternehmen, die Betriebsstätten und Standorte in verschiedenen Ländern vorweisen, oder aber auch Daten mit grenzüberschreitendem Bezug administrieren. Somit können jene Organisationen unterschiedlichsten Gerichtsbarkeiten in Bezug auf die Berichterstattung und Prävention von Cybervorfällen oder Datenschutzverletzungen unterliegen. Basierend auf unserer Erfahrung mit und der Rückmeldung von Kunden, ist dies ein durchaus relevantes Themengebiet, um die interne, aber auch die externe Compliance zu gewährleisten. Zusammen mit dem Lehrstuhl für «Sicherheit, Privatsphäre und Gesellschaft» der ETH Zürich führten wir daher ein Forschungsprojekt zu diesem Thema durch.*
Ein ausgewählter relativer Vergleich von entsprechenden Gesetzen aus acht Gerichtsbarkeiten (Australien, Singapur, Südkorea, China, Indien, EU, Schweiz, USA) zeigte, dass Unternehmen, die jenen Gesetzen unterliegen, durchaus unterschiedliche Anforderungen in ihrem Berichtswesen berücksichtigen müssen:
- Hohe Diskrepanz zwischen den Gerichtsbarkeiten in der Definition der Art der Cybervorfälle, die es zu berichten gilt.
- Hohe Diskrepanz zwischen den Gerichtsbarkeiten in der Definition der Strafen für die Nichteinhaltung der Vorschriften.
- Hohe Diskrepanz zwischen den Gerichtsbarkeiten in der Definition der Strenge des Zeitrahmens für die Berichterstattung.
Diese Erkenntnisse implizieren grosse Herausforderungen im Management der verschiedenen Anforderungen, was im weiteren Verlauf der Studie in Experteninterviews mit CISOs bestätigt wurde:
- Es gibt einen spürbaren Aufwärtstrend bei den gesetzlichen Anforderungen für die Berichterstattung über Cybervorfälle.
- Es ist eine zunehmende Komplexität bei der Einhaltung der Vorschriften zu verzeichnen.
- Es besteht ein dringender Bedarf an schlankeren Prozessen und innovativen Lösungen, um die steigenden Anforderungen der Aufsichtsbehörden zu erfüllen, ohne die Effizienz oder den Datenschutz zu beeinträchtigen.
Es sind insbesondere die Standardisierung sowie Automatisierung der Überwachung der unterschiedlichen Anforderungen, der effektiven Berichterstattung sowie der Ausbildung der für die Berichterstattung zuständigen Mitarbeitenden, die von den Befragten als äusserst relevant bewertet wurden.
Was sind Ihre Erfahrungen? Helfen Sie uns dabei, diese Herausforderungen zu überwinden!
* Ein umfassender Bericht der Studie wird im Journal «International Cybersecurity Law Review» publiziert.
Ein neues Zuhause für "Sustainability Robotics"
So führen Banken und Versicherungen generative KI datenschutzkonform ein
Eine neue Generation von GEVER-Systemen
Wie die Allianz Digitale Inklusion Schweiz den digitalen Graben aufschütten will
Fabasoft 4teamwork: Spezialist für Geschäftsverwaltung und Sitzungsmanagement
Unternehmen erholen sich zu langsam von Cyberangriffen
SCION – Ein neuer Ansatz für sicheren Datenaustausch im Internet
Künstliche Intelligenz für die Pflege zu Hause
Komax Gruppe konsolidiert komplexe ERP-Landschaft
