Verschärfte Regulatorien fordern die Cybersicherheit von Schweizer Unternehmen
Für Betreiber kritischer Infrastrukturen sind wichtige nationale Umwälzungen im Gange, die verbindliche Mindestwerte umsetzen. Darüber hinaus haben europäische Vorschriften auch erhebliche Auswirkungen auf Schweizer Firmen. Was heisst das konkret und welche Unternehmen und Branchen sind betroffen? Eine Analyse und Übersicht.
Mit fortschreitender Digitalisierung, Vernetzung und neuen Technologien wächst die Bedrohungslage stetig, was die Notwendigkeit effektiver Schutzmassnahmen unterstreicht. Cybersecurity gehört auf die Agenda des Managements. Immer strengere nationale und internationale Vorschriften sowie Compliance-Anforderungen wie DSG/DSGVO, NIS2, CRA, FINMA RS 23/1, DORA etc. fordern von Schweizer Unternehmen, ihre Cybersicherheit kontinuierlich zu optimieren und die eigene Cyberresilienz zu stärken.
NIS2-Richtlinie nicht nur in der EU wichtig
Die NIS2-Richtlinie der EU zielt darauf ab, die Cyberresilienz kritischer Infrastrukturen zu stärken. Unternehmen müssen umfassende Massnahmen zur Risikoanalyse und -bewältigung implementieren sowie regelmässige Sicherheitsüberprüfungen durchführen. Dies ist auch für Schweizer Unternehmen wichtig, die in der EU tätig sind oder mit EU-basierten Partnern zusammenarbeiten. Auch KMUs sind betroffen.
Finma RS 23/1 und DORA – Herausforderungen für Finanzinstitute
Die Finma hat mit dem Rundschreiben 23/1 strengere Anforderungen zur Überwachung und Kontrolle der IT- und Cyberinfrastruktur erlassen, um die Resilienz der Finanzinstitute zu stärken. Der Digital Operational Resilience Act (DORA) der EU verlangt ebenfalls robuste Strategien zur Überwachung, Bewertung und Bewältigung von Cyberrisiken, einschliesslich der Einbindung von Drittanbietern.
CRA verlangt Cyberresilienz
Der europäische Cyber Resilience Act (CRA) setzt neue Standards für die Cyberresilienz von IT-Produkten und -Dienstleistungen in der EU. Hersteller müssen Sicherheitslücken proaktiv beheben und sicherstellen, dass ihre Produkte während des gesamten Lebenszyklus sicher bleiben. Schweizer Unternehmen müssen ihre Produktentwicklungs- und Wartungsprozesse entsprechend anpassen.
Neue Anforderungen für Schweizer EV und ÖV
Das revidierte Stromversorgungsgesetz (StromVG) stellt neue Anforderungen an Stromversorger mit jährlichen Audits zur Überprüfung der Sicherheitsmassnahmen. Die Verordnung über die Sicherheitsvorschriften für Rohrleitungsanlagen (RLSV) verlangt von Gasversorgern den Schutz vor Cyberbedrohungen. Eisenbahnunternehmen müssen gemäss der revidierten Eisenbahnverordnung (EBV) ein Informationssicherheitsmanagementsystem (ISMS) aufbauen und regelmässige Audits durchführen.
Fokus auf operationelle Resilienz
Die operationelle Resilienz gegen Betriebsstörungen, insbesondere Cyberangriffe, ist zentral und rückt in den Fokus. Dies geht weit über Sicherheitsmassnahmen hinaus und umfasst die Erkennung und Reaktion auf Angriffe sowie die schnelle Erholung davon. Dazu gehören Notfall- und Krisenmanagement, Incident-Response-Pläne, Backup-Strategien, Erkennung und Reaktion auf Cyberangriffe, Risikomanagement, Automatisierung. KI und maschinelles Lernen können helfen, Anomalien zu erkennen und Bedrohungen frühzeitig zu identifizieren.
Technische und organisatorische Massnahmen
Richtlinien erfordern die Implementierung von Risikoanalyse- und Sicherheitskonzepten für IT-Systeme, die Bewertung der Wirksamkeit von Risikomanagement-Massnahmen, die Behandlung von Schwachstellen und die Sensibilisierung der Mitarbeitenden. Zentrale technische Massnahmen umfassen Zero-Trust-Prinzipien, regelmässige Software-Updates, Netzwerksegmentierung und Multi-Faktor-Authentifizierung. Die Wirksamkeit dieser Massnahmen wird durch Vulnerability Scans, Sicherheits-Assessments und Penetration Tests überprüft.
« NIS2, CRA und DORA sind auch für Unternehmen in der Schweiz relevant »
Schweizer Unternehmen mit Präsenz in der EU müssen sich in puncto Cybersicherheit an neue Vorschriften halten. Was die EU-Regularien NIS2, CRA und DORA für hiesige Firmen konkret bedeuten und was sie auf dem Weg zur Compliance beachten sollten, erklärt Markus Limacher, Head of Security Consulting bei Infoguard. Interview: Joël Orizet
Was bedeuten die Vorschriften der NIS2-, CRA- und DORA-Richtlinien der EU konkret für Schweizer Unternehmen?
Markus Limacher: Durch diese neuen Regulatorien müssen Schweizer Unternehmen, die in der EU operieren, die operative Cyberresilienz stärken, ein umfassendes ISMS implementieren, Cyberangriffe erkennen, darauf reagieren und sich davon erholen können sowie regelmässige Audits durchführen. Diese Massnahmen erfordern erhebliche Investitionen und Ressourcen. Die Regulatorien sind streng – aber angesichts der steigenden Bedrohung auch zwingend notwendig.
Wer ist von diesen neuen Vorschriften betroffen? Und inwiefern?
NIS2, CRA und DORA betreffen alle Schweizer Unternehmen, die in der EU tätig sind und/oder Produkte liefern. Viele Führungskräfte sind sich der technischen Details und der Komplexität dieser Regulatorien nicht bewusst, was zu Unsicherheit führen kann. Die neuen Richtlinien bieten jedoch auch die Chance, klare Strukturen und Verantwortlichkeiten zu schaffen.
Wie wirkt sich der aktuelle Hype um KI auf die Cybersecurity-Branche aus?
Künstliche Intelligenz bietet sowohl Chancen als auch Herausforderungen. KI spielt – zusammen mit der Automatisierung – auch bei der Umsetzung eines Zero-Trust-Ansatzes eine elementare Rolle. KI hilft aber auch bei der frühzeitigen Erkennung von Bedrohungen und bei der schnellen Behebung von Sicherheitslücken. Allerdings nutzen auch Cyberkriminelle KI, um komplexere Angriffe durchzuführen. Unternehmen sollten daher sicherstellen, dass ihre KI-Lösungen robust und sicher sind sowie kontinuierlich überwacht und aktualisiert werden.
Was raten Sie Kundinnen und Kunden, die vor der Einführung einer KI-Lösung stehen, in puncto IT-Sicherheit?
KI kann ein Gamechanger sein. Sie ermöglicht eine schnellere und genauere Analyse von Bedrohungen und kann Security-Teams dabei unterstützen, effizienter zu arbeiten. Unternehmen müssen jedoch sicherstellen, dass ihre KI-Lösungen widerstandsfähig und sicher gegen Manipulationen und Missbrauch sind. Wichtig ist, dass Unternehmen die richtigen Sicherheitsvorkehrungen treffen und ihre KI-Modelle kontinuierlich überwachen und aktualisieren. Die Kombination aus menschlicher Expertise und KI kann die Cybersecurity auf ein neues Level heben.
Welche Tipps können Sie Unternehmen auf dem Weg zur Compliance geben?
Die Überprüfung der eigenen Cybersicherheit im Vergleich zu den neuen und verschärften Vorschriften ist ein erster wichtiger Schritt. Eine Überprüfung durch externe Spezialisten – etwa durch Infoguard – bietet Unternehmen eine professionelle und transparente Einschätzung, ob das vorhandene Sicherheitsdispositiv den Anforderungen entspricht.
Was dürfen Unternehmen von einer Überprüfung erwarten?
Durch ein Gap-Assessment erhalten Unternehmen eine umfassende und unabhängige Einschätzung der aktuellen Situation ihrer Cybersicherheit, eine konkrete Risikoeinschätzung sowie konkrete Handlungs- und Massnahmenempfehlungen.
Was empfehlen Sie Ihren Kunden noch zu unternehmen?
Mein Tipp: Unternehmen sollten zwingend einen systematischen Ansatz zur Optimierung ihrer Cybersicherheit verfolgen. Das NIST Cyber Security Framework (CSF) oder ISO 27001 helfen Organisationen, Sicherheitsrisiken zu identifizieren, sich zu schützen, Cyberangriffe zu erkennen, darauf zu reagieren und sich davon zu erholen. Dies schafft Vertrauen und minimiert operationelle Risiken.
Bug Bounty Switzerland lanciert Schutzschild für Unternehmen
Albert Rösti über Gigabit-Strategie und KI-Regulierung am Suissedigital Day
SCION – Ein neuer Ansatz für sicheren Datenaustausch im Internet
HPE lanciert Virtualisierungsplattform
Dä Wolf vo dä Bahnhofstrass
Update: Bundesrat veranlasst Vorprojekt für Versuche mit E-Collecting
Fabasoft 4teamwork: Spezialist für Geschäftsverwaltung und Sitzungsmanagement
Cyberkriminelle nehmen Ledger-User ins Visier
Komax Gruppe konsolidiert komplexe ERP-Landschaft
