Thought Leadership
Die regulatorischen Anforderungen an die IT-Sicherheit haben sich in Europa spürbar verschärft. Mit der NIS-2-Richtlinie und dem Digital Operational Resilience Act (DORA) rückt vor allem ein Aspekt in den Mittelpunkt, der lange unterschätzt wurde: Die Verantwortung endet nicht bei der IT-Abteilung − sie liegt bei der Geschäftsleitung.
Die NIS-2 verpflichtet die Leitungsorgane dazu, Maßnahmen zur Risikosteuerung nicht nur zu genehmigen, sondern diese auch aktiv zu überwachen. DORA verfolgt im Finanzsektor einen ähnlichen Ansatz. Die IT-Sicherheit wird damit zu einer unübertragbaren Leitungspflicht.
Zahlreiche Unternehmen stehen deshalb jetzt vor der Aufgabe, ihre Strukturen neu auszurichten. In diesem Kontext wird auch der Haftungsschutz für Geschäftsführer immer wichtiger, da klare Zuständigkeiten und belastbare Prozesse zur Absicherung beitragen.
Die Verantwortung bleibt bei der Geschäftsführung
In der Praxis ergibt sich somit eine Verschiebung. Die Geschäftsführungen können operative Tätigkeiten zwar weiterhin delegieren. Die Gesamtverantwortung bleibt jedoch bei ihnen.
Dadurch entsteht ein Spannungsfeld, das viele Organisationen noch immer unterschätzen. Typische Aufgaben, die bislang oft unscharf verteilt waren, müssen jetzt klar verortet werden. Dazu gehören unter anderem Risikoanalysen, die Pflege eines Informationssicherheitsmanagementsystems, die Vorbereitung auf Audits sowie die Dokumentation sicherheitsrelevanter Maßnahmen. Auch Schulungen und die Sensibilisierung der Mitarbeitenden für die entsprechenden Themen fallen darunter.
Ohne definierte Zuständigkeiten entsteht schnell das Risiko für einen Blindflug. Entscheidungen lassen sich dann nicht nachvollziehen, Risiken bleiben unklar und im Ernstfall fehlen belastbare Nachweise. Für die Geschäftsleitung kann das zu einem großen Problem werden.
ISB als zentrale Steuerungsinstanz
Vor allem die Rolle des Informationssicherheitsbeauftragten gewinnt an Gewicht. Der ISB bündelt Informationen, bewertet Risiken und sorgt dafür, dass Maßnahmen strukturiert umgesetzt werden. Gleichzeitig schafft er die Grundlage für fundierte Entscheidungen auf Leitungsebene.
Ein gut aufgestellter ISB arbeitet nicht isoliert. Er ist eng in die Reporting-Strukturen eingebunden, liefert regelmäßige Lagebilder und bereitet Entscheidungsoptionen vor. Diese Transparenz ist nötig, um die aktuellen regulatorischen Anforderungen erfüllen zu können.
In vielen Unternehmen ist die Rolle jedoch historisch gewachsen. Häufig fehlt somit eine klare Abgrenzung zu anderen Funktionen oder der ISB wird nur nebenbei eingesetzt. Unter den aktuellen Rahmenbedingungen reicht das nicht mehr aus.
Externe ISB-Modelle gewinnen an Bedeutung
Viele Unternehmen prüfen deshalb mittlerweile die Auslagerung der ISB-Funktion. Externe Informationssicherheitsbeauftragte bringen Erfahrung aus vergleichbaren Projekten mit und kennen die regulatorischen Anforderungen im Detail. Sie können die Strukturen daher schneller bewerten und gezielt weiterentwickeln.
Ein wesentlicher Vorteil besteht in ihrer Unabhängigkeit. Externe ISB sind nicht Teil interner Hierarchien. Dadurch können sie Risiken besser sachlich einordnen. Das erleichtert eine offene Kommunikation gegenüber der Geschäftsleitung und verhindert, dass kritische Themen abgeschwächt werden.
Darüber hinaus ergibt sich so eine klare Arbeitsteilung. Operative Aufgaben werden professionell gesteuert. Die Geschäftsleitung konzentriert sich währenddessen auf strategische Entscheidungen. Das entlastet, ohne die notwendige Kontrolle aufgeben zu müssen.
Eine klare Struktur entscheidet über die Wirksamkeit
DORA und NIS-2 brauchen keine Einzelmaßnahmen. Sie brauchen belastbare Strukturen. Unternehmen müssen heute in der Lage sein, ihre Risiken systematisch zu erfassen, zu bewerten und nachzuverfolgen. Daran zeigt sich, ob die Organisation tragfähig aufgestellt ist.
Für Geschäftsführungen ist deshalb ein Perspektivwechsel nötig. Es geht weniger um technische Details, sondern um die Qualität der Steuerung. Funktionieren unsere Prozesse? Werden Risiken transparent gemacht? Gibt es klare Eskalationswege?
Unternehmen, die diese Fragen überzeugend mit einem Ja beantworten können, sind regulatorisch besser aufgestellt und operativ stabiler. Die Auslagerung der ISB-Funktion kann dabei ein sinnvoller Baustein sein, um die nötigen Strukturen aufzubauen und dauerhaft zu sichern.
