Führungskräfte nicht auf neue Cyber-Regeln aus Brüssel vorbereitet

WP.29, NIS-2, EU Cyber Resilience Act und die EU Supply Chain Directive – in diesem Jahr tritt eine Reihe neuer Regularien in Kraft, die unter anderem die digitale Sicherheit und Integrität von Produkten, Services und Unternehmen gewährleisten sollen. Allerdings ist das Management in vielen Unternehmen nur unzureichend oder gar nicht darauf vorbereitet. Dies geht aus der Kaspersky-Studie „Enterprise cybersecurity and increasing threats in the era of AI“ hervor.

Gleich vier neue EU-Regularien bestimmen die aktuelle Cyber-Agenda: So regelt WP.29 eine Reihe gemeinsamer Cybersicherheitsstandards für neue Fahrzeuge. Die Richtlinie NIS-2 setzt dagegen den Rechtsrahmen für kritische EU-Infrastruktursektoren wie Energie, Wasser, Telekommunikation, Transport, Finanzdienstleistungen, Gesundheitswesen und digitale Dienste. Der EU Cyber Resilience Act wiederum soll die IT- und digitale Sicherheit von Banken, Versicherungsunternehmen und Investmentfirmen in der EU stärken, indem er sie widerstandsfähiger gegenüber schweren Betriebsstörungen macht. Weiterhin soll die EU Supply Chain Directive die Sorgfaltspflicht aller großen Unternehmen in Bezug auf Menschenrechte und Umwelt in der EU und in ihren globalen Wertschöpfungsketten sicherstellen.

Aus Sicht von Kaspersky scheinen viele Unternehmen mit der Umsetzung der Bestimmungen überfordert – und zwar sowohl mit bereits aktiven Regularien als auch jenen, die in absehbarer Zeit eingeführt werden. So zeigt die Kaspersky-Studie beispielsweise, dass generative KI (GenAI) zwar am Arbeitsplatz zum Mainstream wird, Unternehmensleiter jedoch noch über die Cyberrisiken aufgeklärt werden müssen, die mit der Implementierung der neuen Technologie verbunden sind. Zwar weiß der Großteil (95 Prozent) der Führungsriege um deren Nutzung im Unternehmen und mehr als die Hälfte (53 Prozent) gibt an, dass sie nahtlos zu entscheidenden Optimierungsabläufen beiträgt. Allerdings sorgen sich nicht ein mal zwei Drittel (59 Prozent) der C-Level-Führungskräfte um KI-bezogene Datenlecks. Zudem haben weniger als ein Viertel (22 Prozent) KI-Vorschriften auf Vorstands- oder Führungsebene diskutiert.

Selbst Automobilsektor hinkt hinterher

Laut Studie betrifft diese Unvorbereitetheit aber nicht nur KI, sondern scheint eine allgemeine Herausforderung zu sein – unabhängig von Thema, Land oder Branche. Im Falle des Automobilsektors zeigt eine weitere Kaspersky-Untersuchung, dass ein großer Teil der Branche möglicherweise noch nicht auf die neue WP.29-Verordnung vorbereitet ist – und das, obwohl diese seit Juli dieses Jahres verpflichtend ist. Stand Januar hatten zwar 23 Prozent der Befragten in Deutschland bereits Pläne entwickelt, aber noch nicht mit deren Umsetzung begonnen oder diese realisiert. Lediglich 37 Prozent befanden sich im Umsetzungsprozess.

Angesichts dieser Ergebnisse ist Kaspersky zufolge davon auszugehen, dass die Führungsriege vermutlich auch nicht genügend auf NIS-2, den EU Resilience Act und die EU Supply Chain Directive vorbereitet ist. Dies müsse sich schnellstmöglich ändern, erklärt Waldemar Bergstreiser, General Manager Central Europe bei Kaspersky: „Cybersicherheit ist ein wesentlicher Bestandteil unseres alltäglichen Lebens – sowohl privat als auch beruflich; das reicht von privaten Computern über Fahrzeuge bis hin zu kritischen Geschäftsfunktionen. Dennoch hapert es noch oft an der Umsetzung der Schutzmaßnahmen beziehungsweise Compliance mit Regularien, die die EU und andere Organisationen vorgeben. Unternehmen müssen dringend Ressourcen bereitstellen, um sich auf zukünftige Regularien vorbereiten, da sie sonst mit schwerwiegenden Konsequenzen rechnen müssen.“