Die Auswirkungen von Cyber-Bedrohungen und -Vorfällen sind nicht auf IT-Abteilungen beschränkt. Sie haben schwerwiegende Konsequenzen für den Betrieb, die Cyberstrategie und den Ruf eines Unternehmens. Infolgedessen wird die Aufgabe des Vorstands, diese Risiken zu überwachen und zu managen, immer komplexer und relevanter. Dies spiegelt eine weitreichende Verantwortung wider, die in neuen Gesetzen und Vorschriften deutlich wird.
Cyberrisiken sind unbestreitbar auch Geschäftsrisiken. Vorstände und Führungskräfte müssen sicherstellen, dass die Cyber-Risikostrategien mit den Geschäftszielen übereinstimmen und dass angemessene Ressourcen zum Schutz der kritischen digitalen Vermögenswerte und Infrastruktur des Unternehmens bereitgestellt werden. Die Vorlage datengestützter, risikobasierter Berichte für den Vorstand stellt sicher, dass die Führungskräfte besser informiert sind, wenn sie IT-Budgetentscheidungen treffen. Zusätzlich verbessern sie die Übersicht im Bereich Cybersicherheit.
Auch wenn die Vorstände ein hohes Problembewusstsein für Cyber-Risiken haben, fehlt es ihnen oft an einem tiefgehenden Verständnis für Cybersicherheitsfragen. Laut dem 2023 NACD Director's Handbook on Cyber-Risk Oversight verbessert sich jedoch das Bewusstsein der Vorstandsmitglieder. CISOs und IT-Teams können CRQ nutzen, um diese Wissenslücke zu schließen, datenbasierte Erkenntnisse zu gewinnen und dem Vorstand Cyberrisiken in finanzieller Hinsicht zu präsentieren.
Bei der Quantifizierung von Cyber-Risiken wird eine gemeinsame Sprache verwendet, so dass Cyber-Bedrohungen, Risikobereitschaft, Toleranz und Definitionen der Relevanz einheitlich sind. Diese einheitliche Kommunikation gewährleistet eine Abstimmung auf allen Ebenen und führt zu einer besseren Cybersecurity-Governance und -Aufsicht.
Neue Vorschriften wie DORA, Bestimmungen seitens der SEC und des deutschen IDW schreiben diverse Offenlegungspflichten und -praktiken vor. Durch eine effektive Risikokommunikation mit dem Vorstand sind Unternehmen den Compliance-Anforderungen immer einen Schritt voraus.
CRQ hilft mit risikobasierten und datengestützten Berichten die Lücke zwischen IT- und Geschäftszielen zu schließen, sodass Entscheidungsträger sowohl Sicherheit als auch Rentabilität priorisieren können.
CRQ berücksichtigt die Risikobereitschaft bei der Bewertung finanzieller Auswirkungen von Cybervorfällen und bei der Implementierung von Kontrollen, um die potenziellen Auswirkungen zu reduzieren und so einen Mehrwert für Ihre Cybersicherheitsstrategie zu schaffen.
Sie können darauf vertrauen, dass unsere CRQ-Lösungen und -Dienste Ihnen nicht nur dabei helfen, die neuesten Vorschriften an Ihrem Standort zu erfüllen, sondern sie zu übertreffen.
Nutzen Sie die Möglichkeiten datengestützter Einblicke mit der Quantifizierung von Cyberrisiken, und stellen Sie sicher, dass Ihre Führungskräfte mit klaren, praktikablen Informationen ausgestattet sind, um sich in der sich verändernden digitalen Landschaft behaupten zu können.
Durch die Implementierung eines risikobasierten CRQ-Ansatzes und die Nutzung der Leitlinien aus dem NACD Director's Handbook on Cyber-Risk Oversight von 2023 können Vorstände die Compliance-Anforderungen der sich ändernden Vorschriften erfüllen.
DORA gilt für relevante Drittparteien, die Informations- und Kommunikationstechnologie (IKT) für Finanzunternehmen bereitstellen. Organisationen müssen sicherstellen, dass sie allen Arten von IKT-bezogenen Störungen und Bedrohungen standhalten, auf sie reagieren und sich von ihnen erholen können.
Börsennotierte Unternehmen müssen wesentliche Risiken offenlegen, die sich auf ihre finanzielle Situation oder Geschäftstätigkeit auswirken könnten. Die SEC verlangt außerdem die Offenlegung eines wesentlichen Cybervorfalls innerhalb von vier Tagen nach seiner Feststellung.
Gemäß IDW PS 340 müssen börsennotierte Unternehmen in Deutschland Risiken in finanzieller Hinsicht identifizieren, quantifizieren und alle Risiken mithilfe von CRQ-Methoden, einschließlich Monte-Carlo-Simulationen, melden, um ihre Widerstandsfähigkeit zu stärken und sich auf zukünftige Cyberrisiken vorzubereiten.
Wenn Cyber- und Technologierisiken anhand von Geschäftskennzahlen kommuniziert werden, ist der Vorstand besser informiert und kann die Cybersecurity Governance verbessern. Wir identifizieren und quantifizieren Cyberrisiken in finanzieller Hinsicht.
Wir freuen uns von Ihnen zu hören.
Der Vorstand ist für das Management und die Überwachung von Cyber-Risiken zuständig. Der Vorstand ist auch für die Zuweisung von Ressourcen, die Planung der Reaktion auf Vorfälle und die Einhaltung der Cybersicherheitsrichtlinien verantwortlich.
Das Weltwirtschaftsforum veröffentlichte 2021 in Zusammenarbeit mit PwC einen Bericht über Cyberrisiken und den Vorstand. In dem Bericht sind sechs Prinzipien enthalten, die die Aufsicht durch den Vorstand unterstützen und eine cyberresistente Organisation aufbauen sollen:
1. Cybersicherheit ist ein strategischer Faktor für das Geschäft
2. Die wirtschaftlichen Faktoren und Auswirkungen von Cyber-Risiken verstehen
3. Ausrichtung des Cyber-Risikomanagements an den Geschäftsanforderungen
4. Sicherstellung, dass die Organisationsstruktur die Cyber-Sicherheit unterstützt
5. Integration von Cybersicherheitsexpertise in die Unternehmensführung
6. Systemische Widerstandsfähigkeit und Zusammenarbeit fördern.
CRQ-Methoden können für eine effektive Kommunikation mit dem Vorstand verwendet werden. Verdeutlichen Sie die potenziellen Auswirkungen von Cyber-Investitionsentscheidungen auf den Unternehmensgewinn. Nutzen Sie datengestützte Erkenntnisse, um ein klares Bild der potenziellen finanziellen Verluste, Reputationsschäden oder Betriebsunterbrechungen im Zusammenhang mit verschiedenen Cyber-Bedrohungen zu vermitteln. Und schlagen Sie Lösungen vor, die zeigen, wie Investitionen in die Cybersicherheit das Risiko mindern, die betriebliche Effizienz verbessern und letztlich zum finanziellen Wachstum und zur Stabilität des Unternehmens beitragen.
C-Risk ist ein renommierter Experte für die Quantifizierung von Cyber-Risiken mit der FAIR™-Methode. Wir bieten CRQ-Beratung, Verwaltungsdienste und Schulungen an.
