Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird Cyberresilienz zum Thema im Topmanagement. Die Nachfrage nach Chief Information Security Officers am Personalmarkt ist stark gestiegen.
Die NIS-2-Richtlinie soll die Cyberresilienz der Unternehmen stärken und ihre Umsetzung ist derzeit ein sehr wichtiges Thema im Topmanagement. Der Managementexperte Dr. Harald Schönfeld macht das an einer „stark steigenden Nachfrage nach Chief Information Security Officers auf Zeit“ am Personalmarkt fest. Er ist Geschäftsführer der Personalberatung butterflymanager, die Interim Manager, also Führungskräfte vermittelt. „Wir hatten noch nie so eine hohe Nachfrage nach Managern, die sich in Projekten auf Vorstands- oder Geschäftsleitungsebene um die Cyberresilienz von Unternehmen kümmern sollen.“
Vorstands-, Geschäftsleitungs- und Aufsichtsrat haften
Das Gros der Nachfrage nach derartigen Experten kommt laut Schönfeld von mittelständischen Firmen, die nicht selbst eine sogenannte Kritische Infrastruktur (KRITIS) betreiben, aber KRITIS-Unternehmen im Kundenstamm haben. Der Hintergrund ist nach Ansicht des Managementfachmanns offensichtlich: „Nach Umsetzung der EU-Cybersicherheitsrichtlinie NIS-2 (Network & Information Security) in deutsches Recht haften Unternehmen bei Hackerangriffen. Diese Haftung greift nach oben durch bis auf Vorstands- und Geschäftsleitungsebene.“ Genau deshalb sei Cyberresilienz plötzlich ein Topthema auf der obersten Führungsebene: „Verletzt das Topmanagement seine Pflicht oder unterlässt die Einführung von Maßnahmen zur Minimierung von Cyberrisiken, drohen für die Führungskräfte hohe Bußgelder sowie rechtliche Konsequenzen. Auch die Mitglieder der Überwachungs- und Kontrollorgane des Unternehmens, insbesondere der Aufsichtsrat stehen persönlich in der Haftung.“
Die NIS-2-Richtlinie setzt erhöhte Cybersicherheitsstandards für Unternehmen ab 50 Mitarbeitern und 10 Millionen Euro Umsatz in 18 festgelegten Sektoren, die als kritisch für die Aufrechterhaltung wichtiger Infrastrukturen eingestuft werden. Dazu gehören die Branchen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwässer, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Produktion von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten, digitale Anbieter und Forschung.
Die Anpassung an die neuen rechtlichen Vorgaben erfordere nicht Investitionen in Technologie, sondern darüber hinaus eine Stärkung der Governance-Strukturen: „Eine derartige Steuerung ist immer ein Thema für die oberste Führungsebene und den Aufsichtsrat“, weiß Schönfeld aus Gesprächen mit Vorständen, Geschäftsführern und Aufsichtsräten. „Deshalb suchen die Unternehmen einen Chief Information Security Officer und keinen bloßen Cybersicherheitsexperten.“
NIS-2-Richtlinie erfasst die gesamte KRITIS-Wertschöpfungskette
Vielen Führungskräften im Mittelstand ist laut Schönfeld erst spät klar geworden, dass NIS-2-Richtlinie nicht nur für die Betreiber kritischer Infrastrukturen gilt, sondern für die gesamte KRITIS-Wertschöpfungskette, also auch alle Zulieferer: „Cyberresilienz ist deshalb in vielen Firmen beinahe über Nacht von der IT-Abteilung auf die Agenda der obersten Führungsebene und auch des Aufsichtsrates als Überwachungs- und Kontrollgremium gesetzt worden. Daher suchen nun viele Unternehmen einen Interim Manager, der das Unternehmen in der Rolle des Chief Information Security Officer auf die neuen NIS-2-Anforderungen einstellt.“
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rechnet mit knapp 30.000 von NIS-2-Richtlinie betroffenen Unternehmen in Deutschland, andere Zählungen kommen auf rund 40.000 Unternehmen über die gesamte Wertschöpfungskette hinweg. „Die hohe Nachfrage nach Interim Managern zur Stärkung der Cyberresilienz auf Topebene ist auch die Folge eines leergefegten Personalmarktes mit entsprechend qualifizierten Personen“, erläutert Schönfeld. „Oft erhalten wir einen Doppelauftrag: einen Interim Manager zu finden, der praktisch sofort als Chief Information Security Officer einspringt, und parallel dazu einen Manager zu suchen, der diese Funktion in dauerhafter Festanstellung antritt. Die erste gelingt uns kurzfristig, aber für die zweite Aufgabe dauert es unter Umständen Monate, bis sich ein geeigneter Kandidat findet.“ Jürgen Frisch
