Die Geschäftsleitung von Unternehmen steht angesichts der Digitalisierung nahezu aller Arbeitsprozesse vor neuen Herausforderungen. Zum einen bedeutet zügige Digitalisierung eine Veränderung in der tatsächlichen Arbeitswelt, zum anderen steigen mit der Digitalisierung die Risiken von Daten- und Wissensverlusten. Zudem darf nicht vergessen werden, dass auch die Compliance-Anforderungen einzuhalten sind. Bei alldem müssen Unternehmen sicherstellen, dass ihre IT-Infrastrukturen widerstandsfähig gegenüber Cyberangriffen sind. Die gesetzlichen Vorgaben in Bezug auf die IT-Sicherheit sind vielfältig und komplex.
Oftmals besteht auf Leitungsebene Unsicherheit im Hinblick auf die konkrete Planung, Priorisierung und Umsetzung der geforderten Maßnahmen. Aktuell sieht insbesondere die zweite EU-Richtlinie zur Network & Information Security (EU 2022/2555; NIS-2-Richtlinie) neue Regeln und schärfere Maßnahmen für Unternehmen vor. Davon sind auch Krankenhäuser bzw. allgemein medizinische Einrichtungen unmittelbar betroffen, daneben natürlich auch viele andere Unternehmen der Gesundheitswirtschaft, die die in der NIS-2-Richtlinie definierte Größe erreichen. Die Herausforderungen werden nicht geringer. Im vorliegenden Artikel werden sie beleuchtet, und es werden Lösungswege aufgezeigt, die bei der Bewältigung der Anforderungen helfen können.
Die Compliance-Pflicht aus der NIS 2
Zunächst stellt die NIS-2-Richtlinie eine Konkretisierung und Verschärfung der IT-Compliance für alle Unternehmen dar. Der Begriff „Compliance“ bedeutet wörtlich die Einhaltung von Vorgaben und Regeln, und damit die Einhaltung von Gesetzen und Richtlinien. Abgeleitet wird diese Pflicht aus den §§ 92, 93 AktG und § 43 GmbHG, wonach die Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden hat.
Die Regelungen zur Sicherheit der IT-Systeme zielen auf die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen als zentralen Bestandteil der IT-Compliance ab. Auch die Umsetzung der Standards, die von Behörden und anderen Einrichtungen oder als interne Regelungen des Unternehmens zu befolgen sind, gehören dazu. Um die Integrität von Netzwerken, Systemen, Daten und anderen Vermögenswerten zu schützen, müssen alle Organisationen Richtlinien, Verfahren und Kontrollen einführen.
Die NIS-2-Richtlinie als Compliance-Aufgabe sehen
Mit der Umsetzung der NIS-2-Richtlinie werden die Anforderungen an die spezifischen technischen und organisatorischen Anforderungen verschärft. Diese beinhalten u.a. robuste Risikomanagementprozesse, klare Zuständigkeiten und technische Schutzmaßnahmen. Alle Unternehmen, die nach den neuen Vorgaben NIS-2-relevant werden, sind verpflichtet, die Risikomanagementmaßnahmen aus Art. 21 der Richtlinie im Bereich der Cybersicherheit umzusetzen. Die Nichtumsetzung stellt nicht nur einen Verstoß gegen die Anforderungen dar, sondern birgt auch erhebliche Risiken im IT-Bereich. Bei anstehenden Audits oder Assessments eines Unternehmens wird vermehrt erwartet, dass die Geschäftsführung zu den aktuellen Risiken Stellung bezieht und den Umsetzungsstand in Bezug auf zukünftige Lösungen erläutert.
Der Druck auf die Geschäftsführung wird ab Oktober 2024 auch deswegen besonders hoch sein, da die Maßnahmen höchstpersönlich zu billigen und zu überwachen sind. Auch ist die Geschäftsführung zur Durchführung von Schulungen im Bereich der Cybersicherheit verpflichtet. Die Nichteinhaltung der verpflichtenden Maßnahmen kann zu Sanktionen in Millionenhöhe für die Geschäftsführung führen.
Spätestens mit Umsetzung der NIS-2-Richtlinie ist die Geschäftsführung daher dazu verpflichtet, ihre Prozesse und Strukturen im Bereich der Cybersicherheit anzupassen. Insbesondere, wenn bisherige Abläufe nicht mit den neuen Anforderungen und Maßnahmen übereinstimmen oder blinde Flecken in der Sicherheitsarchitektur aufgedeckt werden, stehen Unternehmen vor einer besonderen Schwierigkeit. Aus diesem Grund ist es unerlässlich, dass Unternehmen verstärkt in Compliance-Lösungen investieren, um den gesetzlichen Vorgaben der NIS-2-Richtlinie gerecht zu werden und gleichzeitig einen effektiven Schutz vor Sicherheitsrisiken zu gewährleisten. Dies umfasst die Etablierung von Informationssicherheitsmanagementsystemen, beispielsweise in Form eines branchenspezifischen Sicherheitsstandards (B3S), regelmäßige Schulungen der Mitarbeiter sowie die Nutzung moderner Technologien zur Überwachung und Sicherung von IT-Systemen.
Mit der Etablierung des B3S können die Anforderungen der Risikomanagementmaßnahmen umgesetzt werden. Als speziell für die jeweiligen Sektoren zugeschnittenes Rahmenwerk gibt der B3S über zweihundert Einzelaspekte umfassende Empfehlungen für die Umsetzung von IT-Sicherheitsmaßnahmen. Dabei erstrecken sich die Anforderungen des B3S sowohl über organisatorische als auch über technische Aspekte, wobei der Fokus weit über die herkömmliche IT-Sicherheit und auch über die NIS-2-Anforderungen hinausgeht. Aus diesem Grund wird dem B3S zukünftig eine höhere Bedeutung zugesprochen, da er die Anforderungen aus der NIS-2-Richtlinie komplett abdeckt.
Compliance Tool: Sowohl umfänglich als auch reduziert auf das Wesentliche
Unternehmen sehen sich mit der anspruchsvollen Aufgabe konfrontiert, die Vielschichtigkeit der Zuständigkeiten im Bereich IT-Sicherheit effizient zu bewältigen. Dies beinhaltet nicht nur die Umsetzung von Compliance-Anforderungen, sondern auch die Herausforderung, verschiedene Interessen und Meinungen der Stakeholder zu berücksichtigen. Oftmals bestehen eine gewisse Zurückhaltung oder Widerstände gegenüber den umfangreichen Verpflichtungen und Dokumentationsanforderungen gerade im Bereich Compliance. Diese Dynamik erfordert ein geschicktes Management, um die unterschiedlichen Perspektiven in Einklang zu bringen und die notwendige Akzeptanz für die Einhaltung der Compliance-Richtlinien zu fördern.
Um diese anspruchsvollen Herausforderungen zu bewältigen, kann ein Compliance Tool wertvolle Unterstützung bieten. Ganz gleich, ob es sich um ein kleines, mittleres oder großes Unternehmen handelt. Ein Compliance Tool ermöglicht eine agile Umsetzung der Compliance-Anforderungen. Auf diese Weise können Unternehmen nicht nur das Compliance-Management mit minimalem Aufwand und optimaler Ressourcennutzung realisieren, sondern auch die Zustimmung und Begeisterung von Verantwortlichen, Anwendern und Mitarbeitern steigern. Eine solche Lösung fördert nicht nur die Einhaltung von Compliance-Vorschriften, sondern sie schafft auch eine positive Arbeitsatmosphäre, indem sie die Beteiligten aktiv in den Prozess einbezieht und ihre Zustimmung gewinnt.
Die Vorteile eines Compliance Tools auf einen Blick:
- Anwenderfreundlichkeit: Durch die vollständige Historie werden Daten zentral verwaltet und kontinuierlich protokolliert, was sowohl Ressourcen einspart als auch höchste Effizienz ermöglicht.
- Rückverfolgbarkeit: Vollumfängliche Einsicht der Änderungshistorie für die Datensätze. Zusätzlich kann nachvollzogen werden, ob Daten verifiziert wurden und somit manipulationssicher sind.
- Automatisierung: Das Compliance Tool generiert automatisch die Dokumentation der Änderungshistorie, schon während der aktiven Arbeit am Dokument.
Synergien durch Effizienz schaffen
Viele Lösungen im Bereich Compliance Tools präsentieren sich mit modularen Strukturen, die im Kern miteinander verbunden sind. Hierbei wird auf über-greifendes Risikomanagement, Asset Management und den organisatorischen Aufbau zurückgegriffen. Ausgehend von diesem Grundgerüst hat das Unternehmen die Möglichkeit, zusätzliche Module im Tool zu aktivieren, um die Synergien zwischen beispielsweise einem Datenschutzmanagementsystem und einem Informationsmanagementsystem optimal zu nutzen. Dies automatisiert nicht nur Prozesse, sondern ermöglicht auch eine schnelle Reaktion auf eventuelle Verstöße.
Integrale Bestandteile solcher Lösungen sind Auditierbarkeit und eine Protokollierung, die externe Prüfungen und interne Kontrollen unterstützt. Ein effektives Identitäts- und Zugriffsmanagement gewährleistet zudem, dass nur autorisierte Benutzer:innen auf Ressourcen zugreifen können. Insgesamt wird die Compliance Cloud zu einem Gamechanger, indem sie Unternehmen dabei unterstützt, die neuen Anforderungen vollständig, effektiv und nachhaltig zu erfüllen.
Compliance Tools bieten Unternehmen maßgeschneiderte Unterstützung bei der Erfüllung branchenspezifischer, rechtlicher, sicherheitsrelevanter und regulatorischer Anforderungen. Sie ermöglichen eine durchgängige Überwachung der Benutzeraktivitäten, eine Optimierung des Risikomanagements und die Implementierung erforderlicher Kontrollen. Ein zentraler Beitrag dieser Tools besteht darin, die Einhaltung von Vorschriften und Gesetzen zu dokumentieren und zu bewerten, um sicherzustellen, dass Unternehmen den branchenspezifischen Anforderungen gerecht werden. Darüber hinaus tragen sie dazu bei, die Effizienz und Effektivität von Compliance-Maßnahmen zu steigern und die Kosten für die Einhaltung von Vorschriften zu reduzieren. So betrachtet ist die Nutzung eines Compliance Tools nicht nur ein Schritt in Richtung maximaler Compliance-Effizienz, sondern auch ein strategischer Hebel zur Steigerung der Wettbewerbsfähigkeit eines Unternehmens sowie des Vertrauens in die Integrität des jeweiligen Unternehmens.
AUTOR
Patrick Tonnius
Experte für Digitalisierung im Gesundheitswesen
PwC Deutschland
Kontakt: patrick.tonnius(at)pwc.com