Cybersicherheit und das Einhalten von Vorschriften
Da weltweit immer mehr Vorschriften erlassen werden, um Systeme zu harmonisieren, die Cyber-Resilienz zu stärken und Cyber-Angriffe aller Art zu bekämpfen, können deren Grundlagen, Anforderungen und Richtlinien überwältigend sein.
Aus diesem Grund haben wir spezielle Artikel und Ressourcen erstellt, die Unternehmen dabei helfen, ihre regionalen Pflichten in Bezug auf die Meldung von Vorfällen und Sicherheitsmassnahmen zu erfüllen. Scrollen Sie nach unten, um unseren NIS2-Aktionsplan sowie Richtlinien für alle aktiven IT-Sicherheitsgesetze zu sehen.
bis zur neuen Digital Operational Resilience Act (DORA)-Richtlinie
Der NIS2 Risiko Kalkulator
Sind Sie sich angesichts NIS2 über Ihr Risiko und die Auswirkungen der Richtlinien im Klaren? Verwenden Sie den nachstehenden Rechner als Orientierungshilfe.
NIS2
Nach der neuesten NIS2-Richtlinie, die am 17.Oktober 2024 in Kraft tritt, müssen Organisationen eine Reihe von Massnahmen ergreifen, um die Sicherheit und Widerstandsfähigkeit ihrer Netzwerke und Informationssysteme zu gewährleisten.
Risikomanagement, technische und organisatorische Massnahmen sowie die Meldung von Vorfällen werden Teil dieser EU-weiten Richtlinie.
Was ist ein wichtiges Instrument für die erweiterte Sicherheitsüberwachung? Wie können Sie die Vorschriften am besten einhalten und Strafen vermeiden? Laden Sie den NIS2-Aktionsplan und die Compliance-Checkliste herunter oder lesen Sie unseren ausführlichen Blog.
DORA
Gesetz in Kraft getreten am: 16. Januar 2023
Inkrafttreten der Verordnung: 17. Januar 2025
Die Verordnung der EU-Kommission Digital Operational Resilience Act (DORA), die am 16.01.2023 in Kraft getreten ist, betrifft alle regulierten Finanzunternehmen in der EU und sieht mehrere Massnahmen im Zusammenhang mit IT-Systemen und der Meldung von Vorfällen vor.
Was sind die Auswirkungen von DORA für Schweizer Unternehmen? Wie können Unternehmen Cyber-Bedrohungen in diesem Bereich am besten bekämpfen?
ISG
Das neue Informationssicherheitsgesetz (ISG) in der Schweiz bündelt die relevanten Rechtsgrundlagen für Cybersecurity in einem Gesetz und führt zu einer grundlegenden Neuordnung der Cybersecurity durch den Bund.
Richtlinien zur IT-Sicherheit, wie die Bundesregierung Audits anordnen kann und die Verantwortlichkeit für den Umgang mit grösseren IT-Angriffen werden in unserem Blog beleuchtet. Lesen Sie unten mehr über Meldepflichten, Fristen und Bussgelder.
Aus dem Blickwinkel eines Data-Scientists
„Es ist unmöglich, ein Unternehmen vollständig vor Cyberangriffen zu schützen. Irgendwann werden Angreifer fast jedes Unternehmen erfolgreich gefährden.
Daher lautet die entscheidende Frage: Kann ein Unternehmen einen Cyberangriff erkennen und abwehren, bevor seine Daten gestohlen und verschlüsselt werden?“
- Dr. sc. David Gugelmann, Co-CEO @ Exeon Analytics
Was sollten Sie ab heute tun?
Nachfolgend finden Sie eine in vier Schwerpunktbereiche unterteilte, Aufgabenliste, die Unternehmen einen Überblick über bewährte Verfahren zur Einhaltung aller oben genannten Vorschriften bietet.
Durch die Umsetzung dieser vier Schritte erreicht Ihr Unternehmen nicht nur ein höheres Mass an Unternehmens- und IT-Sicherheit, sondern Sie sparen auch Zeit und Kosten für reaktive Massnahmen und potenzielle Strafen durch vollständige Prozesse, Planung und geeignete Tools.
1. Analysieren und bewerten Sie Ihre Sicherheitsrisiken:
- Durchführung einer umfassenden Risikobewertung, um potenzielle Bedrohungen und Schwachstellen zu ermitteln.
- Priorisierung der Risiken auf der Grundlage ihrer Wahrscheinlichkeit und ihrer möglichen Auswirkungen auf die Organisation.
- Entwicklung eines Risikomanagementplans, der Strategien zur Vorbeugung, Erkennung, Identifizierung, Eindämmung, Schadensbegrenzung und Incident Response enthält.
2. Sicherstellung der Business Continuity und des Krisenmanagements:
- Entwickeln Sie einen Plan zur Aufrechterhaltung des Geschäftsbetriebs und aktualisieren Sie ihn regelmässig, um sicherzustellen, dass Ihr Unternehmen im Falle einer Unterbrechung seine kritischen Abläufe weiterführen kann.
- Einführung von Krisenmanagementverfahren, um auf unerwartete Vorfälle wie Cyberangriffe, Naturkatastrophen oder andere Notfälle wirksam reagieren zu können.
- Führen Sie regelmässige Übungen und Simulationen durch, um die Wirksamkeit der Pläne für die Business Continuity und Krisenmanagement zu testen.
3. Gewährleistung der Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzen und Informationssystemen durch Dritte:
- Implementierung eines robusten Risikomanagementprogramms für Anbieter, um die Sicherheitspraktiken von Drittanbietern zu bewerten und zu überwachen.
- Aufnahme von Sicherheitsanforderungen in Beschaffungsverträge, um sicherzustellen, dass die Anbieter die Cybersicherheitsstandards der Organisation einhalten.
- Regelmässige Prüfung und Bewertung der Sicherheitslage von Systemen und Netzwerken Dritter.
4. Prüfung und Bewertung der Wirksamkeit von Massnahmen zum Management von IT-Sicherheitsrisiken:
- Durchführung regelmässiger Pentests und Schwachstellenbewertungen zur Ermittlung von Schwachstellen in den IT-Systemen des Unternehmens.
- Implementierung von Schulungsprogrammen für Mitarbeiter, um die Wahrscheinlichkeit zu verringern, dass menschliche Fehler zu Sicherheitsvorfällen führen.
- Festlegung wichtiger Leistungsindikatoren (KPIs) zur Messung der Wirksamkeit von Sicherheitsmassnahmen und regelmässige Überprüfung und Aktualisierung von Sicherheitsprotokollen auf der Grundlage der gewonnenen Erkenntnisse.
Ergebnis: Sie können Cyber-Resilienz erreichen
Wenn Sie diese Aufgaben in Angriff nehmen, können Sie die allgemeine Cybersicherheitslage Ihres Unternehmens verbessern, das Risiko von Sicherheitsvorfällen verringern und besser darauf vorbereitet sein, auf mögliche Störungen zu reagieren und sich davon zu erholen. Regelmässige Überwachung, Bewertung und Aktualisierung von Sicherheitsmassnahmen sind in der sich ständig weiterentwickelnden Landschaft der Cybersecurity-Bedrohungen von entscheidender Bedeutung.
Beratung und Anleitung zur IT-Sicherheit
Sind Sie unsicher, welche Massnahmen für Ihr Unternehmen erforderlich sind, oder möchten Sie die Einzelheiten dieser Vorschriften mit einem Sicherheitsexperten besprechen?
Wir laden Sie ein, uns Ihre Anforderungen und Anliegen direkt mitzuteilen, dazu werden wir Ihnen Lösungen vorschlagen.
Von unseren Sicherheitsexperten verfasst
Als leidenschaftliches und interdisziplinäres Team von Sicherheitsspezialisten, Datenwissenschaftlern, White-Hat-Hackern und Wirtschaftsfachleuten haben wir eine Fülle von Kenntnissen über Cybersicherheitsvorschriften angesammelt.
Durch regelmässige Kommunikation und Diskussionen mit Branchenführern und Entscheidungsträgern im Bereich IT-Sicherheit möchten wir diese Erkenntnisse in relevante und interessante Blogbeiträge für Sie umsetzen. Informieren Sie sich über unsere neuesten Blog-Beiträge und nehmen Sie Kontakt mit den Autoren auf, um Kommentare und Fragen zu stellen.
23.08.2023
Die Schweiz und die EU verschärfen die Anforderungen an die Cybersicherheit
Lesen Sie, wie Sie Cyber-Vorfälle konform erkennen und melden und was das Informationssicherheitsgesetz von Unternehmen im Rahmen eines ISMS verlangt.
20.09.2023
Was Schweizer und EU-Unternehmen über DORA (Digital Operational Resilience Act) wissen sollten
Die Verordnung der EU-Kommission Digital Operational Resilience Act (DORA) wurde als Gesetz veröffentlicht, das Finanzunternehmen betrifft - lesen Sie, welche Auswirkungen es auf die Schweiz und die EU hat und welche IT-Sicherheitsmaßnahmen vorgeschlagen werden.
05.05.2023
Die Auswirkungen von NIS2 auf die Netzwerküberwachung von kritischen Infrastrukturen: Ein umfassender Leitfaden
Die aktualisierte Richtlinie über die Sicherheit von Netz- und Informationssystemen stellt die Betreiber kritischer Infrastrukturen vor Herausforderungen, insbesondere im Hinblick auf die Anpassung an die sich entwickelnde Cybersicherheitslandschaft. Unser CCO berichtet über alle wichtigen Details der neuen EU Cybersicherheitsgesetzgebung.
