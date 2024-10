Managementexperte Dr. Harald Schönfeld: „Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS2 ist der Chief Information Security Officer die gefragteste Person auf der obersten Führungsebene.“

„Cyberresilienz ist derzeit eines der Hauptthemen im Top­management“, sagt der Managementexperte Dr. Harald Schönfeld. Er macht das an einer „stark steigenden Nachfrage nach Chief Information Security Officers auf Zeit“ am Personalmarkt fest. Dr. Harald Schönfeld ist Geschäftsführer der Personal­beratung butterflymanager, die auf die Vermittlung von Interim Managern, also Führungskräften auf Zeit, spezialisiert ist. „Wir hatten noch nie so eine hohe Nachfrage nach Managern, die sich in Projekten auf Vorstands- oder Geschäfts­leitungs­ebene um die Cyberresilienz von Unternehmen kümmern sollen“, erklärt der Personaler.

Haftung auf Vorstands-, Geschäftsleitungs- und Aufsichtsratsebene

Das Gros der Nachfrage kommt von mittelständischen Firmen, die nicht selbst eine sogenannte Kritische Infrastruktur (KRITIS) betreiben, aber KRITIS-Unternehmen im Kundenstamm haben, hat Dr. Harald Schönfeld in zahlreichen Gesprächen festgestellt. Der Hintergrund ist nach Ansicht des Managementfachmanns offensichtlich: Nach Umsetzung der EU-Cybersicherheitsrichtlinie NIS2 (Network & Information Security) in deutsches Recht haften die Firmen bei Hacker­angriffen. „Diese Haftung greift nach oben durch bis auf Vorstands- und Geschäftsleitungsebene“, erklärt Dr. Harald Schönfeld, warum Cyberresilienz plötzlich zum Topthema auf der obersten Führungsebene aufgestiegen ist. Er führt aus: „Verletzt das Topmanagement seine Pflicht oder unterlässt die Einführung von Maßnahmen zur Minimierung von Cyberrisiken, drohen hohe Bußgelder sowie rechtliche Konsequenzen für die Führungskräfte. Auch die Mitglieder der Überwachungs- und Kontrollorgane des Unternehmens stehen persönlich in der Haftung, insbesondere der Aufsichtsrat.“

Die Anpassung an die neuen rechtlichen Vorgaben erfordere nicht nur technologische Investitionen, sondern ebenso sehr eine Stärkung der Governance-Strukturen. „Governance ist im Grunde immer ein Thema für die oberste Führungs­ebene und den Aufsichtsrat. Deshalb suchen die Unternehmen einen Chief Information Security Officer und keinen bloßen Cybersicherheitsexperten“, weiß Dr. Harald Schönfeld aus Gesprächen mit Vorständen, Geschäftsführern und Aufsichtsräten.

Die NIS-2-Richtlinie setzt erhöhte Cybersicherheitsstandards für Unternehmen ab 50 Mitarbeitenden und 10 Millionen Euro Umsatz in 18 festgelegten Sektoren, die als kritisch für die Aufrechterhaltung wichtiger Infrastrukturen eingestuft werden. Dazu gehören die Branchen Energie, Transport, Bank­wesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwässer, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfall­wirtschaft, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittel­produktion, -ver­arbeitung und -vertrieb, Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten, digitale Anbieter und Forschung.

Haftung umfasst die gesamte KRITIS-Wertschöpfungskette

„Vielen Führungskräften im Mittelstand ist offenbar erst spät klargeworden, dass NIS2 nicht nur für die Betreiber kritischer Infrastrukturen gilt, sondern für die gesamte KRITIS-Wertschöpfungskette, also auch alle Zulieferer“, hat Managementexperte Dr. Harald Schönfeld festgestellt. „Deshalb ist Cyberresilienz in vielen Firmen beinahe über Nacht von der IT-Abteilung auf die Agenda der obersten Führungsebene und auch des Aufsichtsrates als Überwachungs- und Kontrollgremium gesetzt worden. Daher sucht man nun auf Topebene einen schnell verfügbaren Interim Manager, der das Unter­nehmen in der Rolle des Chief Information Security Officer auf die neuen NIS2-Anforderungen ein­stellt.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rechnet mit knapp 30.000 von NIS2 betroffenen Firmen in Deutschland, andere Zählungen kommen auf rund 40.000 Unternehmen über die gesamte Wertschöpfungskette hinweg. „Die hohe Nachfrage nach Interim Managern zur Stärkung der Cyberresilienz auf Topebene ist auch die Folge eines leergefegten Personalmarktes mit ent­sprechend qualifizierten Personen“, sagt Dr. Harald Schönfeld. Er erklärt: „Immer häufiger erhalten wir einen Doppelauftrag: einen Interim Manager zu finden, der praktisch sofort als Chief Information Security Officer einspringt, und parallel dazu einen Manager zu suchen, der diese Funktion in dauerhafter Festanstellung antreten will. Der erste gelingt uns immer kurzfristig, aber für die zweite Aufgabe gehen unter Umständen Monate dahin, bis sich eine geeignete Führungskraft findet.“

Bild: Dr. Harald Schönfeld Quelle: butterflymanager GmbH

Quelle:butterflymanager GmbH