Auswirkungen von Risk Exposure auf Compliance


Gefahr, dass die Vorschriften zu einer Reihe von Checklisten verkommen
Bewertung des Risikomanagements ein erster Schritt



Von Peter Machat, Senior Director Central EMEA bei Armis

Mit der DSGVO, DORA und der derzeit in der Luft hängenden NIS2 werden immer mehr Vorschriften und Richtlinien eingeführt, die Unternehmen beachten müssen. Dies hat dazu geführt, dass einige Unternehmen der Meinung sind, dass die Einhaltung der Vorschriften eher eine Belastung als ein Anfang zur Verbesserung ihrer Sicherheitsmaßnahmen ist. Das birgt das Risiko, dass die Security zwar angegangen werden muss, aber es bedeutet nicht, dass es die eigene Cybersicherheit auf ein höheres Level hebt. Stattdessen besteht die Gefahr, dass die Vorschriften zu einer Reihe von Checklisten verkommen.

Sie dienen lediglich dem Zweck nur für den Auditor bereit zu stehen, der ab und zu vorbeikommt und um die Einhaltung der Compliance zu überprüfen. Oftmals unternimmt er dieses Unterfangen, weil das Unternehmen weiterhin Aufträge mit sicherheitsbewussteren Partnern schließen will. Damit wird die gute und notwendige Absicht, die mit der Einhaltung der Vorschriften verfolgt wird, ins Lächerliche gezogen. Im Gegensatz dazu wollen die Regulierungsbehörden die Unternehmen darauf ausrichten die Cybersicherheit zu erhöhen, Risiken zu erkennen und zu verringern.

Die Gefahr, Opfer von Cyber-Bedrohungen zu werden, wächst seit Jahren. Die Zahl der Unternehmen, die gehackt werden, zeigt, dass die Cybersicherheit immer noch nicht überall Priorität hat. Immerhin zeichnen sich in letzter Zeit leichte Veränderungen zum Besseren ab. Um den wachsenden Cyberrisiken durch KI-gestützte Cyberkriminelle und staatliche Akteure zu begegnen, müssen alle Unternehmen in proaktive Cybersicherheitsmaßnahmen investieren. Diese müssen den gesamten Lebenszyklus von Cyber-Bedrohungen in 360 Grad und 24 / 7 angehen und verwalten und dabei auch KI-gestützte Cybersicherheitslösungen und -Tools nutzen.

Unternehmen müssen nach wie vor in die Cybersicherheit investieren, und um dies richtig zu tun, wurden Normen und Vorschriften priorisiert, um Unternehmen dabei zu unterstützen. Sie sollen Best Practices befolgen und gute Entscheidungen treffen, indem sie die Einfluss von Menschen, Prozessen und Technologie (People, Process and Technology, PPT) nutzen.

Die Umsetzung des Dreiklangs von PPT erhöht die Effektivität der Einhaltung von Vorschriften und wird somit ihrer wahren Bedeutung gerecht. Eine Bewertung des Risikomanagements ist ein erster Schritt zur Aufdeckung von Risiken innerhalb der Organisation. Es bedeutet, die folgenden Aufgaben mit einer Plattform durchzuführen, die es ermöglicht:
>> Alle Geräte zu sehen, Hardware (OT, IT, IoT, IoMT), virtuell, Cloud, Software, verwaltet und nicht verwaltet,
>> die mit diesen Geräten verbundenen Risiken wie Schwachstellen zu identifizieren und
>> einen Plan zu entwickeln, um das Risiko und die Gefährdung zu mindern.

Unternehmen sollten diese Erkenntnisse nutzen, um ihre Risiken im Rahmen ihrer Cybersicherheitsstrategie zu priorisieren und die vollständige Einhaltung der gesetzlichen Vorschriften zu gewährleisten. Die zunehmende Bedeutung gesetzlicher Rahmenbedingungen auf nationaler und europäischer Ebene unterstreicht den entscheidenden Bedarf an umfassenden Informationen und Berichten über alle Geräte im Netzwerk eines Unternehmens hinweg. Dazu gehören verwaltete, nicht verwaltete, OT-, IomT- und IoT-Geräte, unabhängig von ihrer Verbindungsmethode - sei es kabelgebunden, Wi-Fi, Bluetooth oder andere Peer-to-Peer-Protokolle.

Die sich entwickelnden Standards unterstreichen die Bedeutung einer vollständigen Gerätetransparenz und -verwaltung, einer zentralisierten Erkennung von Bedrohungen und der Erkennung von Schwachstellen, um diese zu priorisieren und zu beheben. Auf diese Weise können sie sowohl die Einhaltung gesetzlicher Vorschriften erreichen als auch proaktive Sicherheitsmaßnahmen stärken. (Armis: ra)

eingetragen: 04.02.25
Newsletterlauf: 02.04.25

Armis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Berichtspflichten dürfen kein Selbstzweck sein

    Die Europäische Kommission hat ihre Omnibus-Initiative zur Vereinfachung der ESG-Regulierung vorgestellt. Die Deutsche Kreditwirtschaft (DK) hat bereits im Vorfeld Vorschläge gemacht, wie das Regelwerk effizienter und steuerungsrelevanter werden kann.

  • Vereinfachung von Nachhaltigkeitsvorschriften

    Die EU-Kommission legte ihr erstes sogenanntes Omnibus-Paket zur Vereinfachung von Nachhaltigkeitsvorschriften vor, um Regulierungen und Bürokratie abzubauen. Zugleich sollen mit dem Clean Industrial Deal (CID) wichtige industriepolitische Weichen gestellt werden.

  • FIDA-Einführung belastet Finanzsektor erheblich

    Die Deutsche Kreditwirtschaft (DK) fordert eine umfassende und sorgfältige Überprüfung des Vorschlags der Europäischen Kommission zur Financial Data Access Regulation (FiDA). Die Debatte um das neue Arbeitsprogramm der Europäischen Kommission bis hin zu einer Rücknahme des FiDA-Vorschlags verdeutlicht den erheblichen Klärungsbedarf in zentralen Fragen.

  • EU-Regulierung von Online-Marktplätzen

    Zur Mitteilung der EU-Kommission zu den aktuellen Herausforderungen im Bereich von E-Commerce-Plattformen erklärt Dr. Bernhard Rohleder, Bitkom-Hauptgeschäftsführer: "Die EU-Kommission schlägt mit ihrer Mitteilung den richtigen Weg ein. Wer online einkauft, muss sich auf die Sicherheit der angebotenen Produkte verlassen können. Dafür braucht es allerdings keine weiteren Regeln, sondern stärkere Importkontrollen und die Aufhebung der Zollfreigrenze von 150 Euro. Denn wenn außereuropäische Händler unter Ausnutzung dieser Grenze illegale Produkte einführen, gefährdet das nicht nur die Verbraucherinnen und Verbraucher, sondern auch europäische Anbieter."

  • Künstliche Intelligenz: Was für Unternehmen gilt

    Seit Sonntag, 2. Februar 2025 sind weitere Regelungen der europäischen KI-Verordnung (AI Act) in Kraft. Dabei handelt es sich zum einen um Verbote von bestimmten KI-Praktiken wie Social-Scoring-Systemen, manipulative KI-Techniken oder Emotionserkennung am Arbeitsplatz. Zum anderen greifen Vorgaben für KI-Kompetenzanforderungen von Beschäftigten.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen