„Navigieren durch den Regularien-Dschungel“ – eine Rückschau

Am 08.11.2024 fand der Workshop „Navigieren durch den Regularien-Dschungel: DORA, NIS2 und CRA als Wegweiser für Informationssicherheit“ der Fachgruppe „Management von Informationssicherheit“ (SECMGT) der Gesellschaft für Informatik e.V. (GI) statt, bei dem Marion Steiner, IT-Sicherheitsexpertin der IT-Security@Work GmbH (ISW) und Mitglied im Leitungsgremium GI-FG SEGMGT auch aktiv als Referentin teilnahm.

Die Veranstaltung wurde mit einer freundlichen Begrüßung durch Benedikt Voßbein (stellvertretender Sprecher des Leitungsgremiums) und Dr. Frank Damm (Sprecher der Fachgruppe SECMGT) eröffnet.

Cybersecurity-Regulierung und Cybersicherheitsrecht 2.0

Dr. Frank Damm (FTI Consulting Deutschland GmbH, Sprecher der Fachgruppe SECMGT) begann mit dem ersten Vortrag der Reihe zum Thema „Cybersecurity-Regulierung am Beispiel DORA, NIS2 und CRA“. Er informierte über den Stand im Gesetzgebungsprozess, Anforderungen, Umsetzungstermine und mögliche Sanktionen.

Nach einer Pause zum Wissensaustausch referierte Thomas Kahl (Tayler Wessing Partnergesellschaft mbB).  Zum Thema „Cybersicherheitsrecht 2.0“ verschaffte er den Teilnehmern einen Überblick über die aktuelle Cybersicherheits-Gesetzgebung in der EU und Deutschland – und erläuterte dabei sehr lebendig den Flickenteppich der EU-Digitalgesetzgebung, bevor es dann in den Punkten zu NIS2, DORA und CRA konkreter wurde.

Informationsregister nach DORA und die Herausforderungen

Zur Mittagspause ging es in die Mensa der Uni Frankfurt und dann folgte der Vortrag von Clarissa Bent und Sebastian Dosch von der microfin Unternehmensberatung GmbH zum Thema „DORA-Informationsregister zur Unterstützung des Risikomanagements“. Am Beispiel Ihres Tools „Cloudgate“ erläuterten sie hierbei die Herausforderungen der Erstellung des Informationsregisters nach DORA – welche insbesondere in dem Management der einzutragenden Referenzen bestehen. Das Register arbeitet anstelle von konkreten Inhalten wie Namen, mit Referenzen – dies ohne technische Unterstützung zu händeln ist nicht möglich, da waren sich die Workshop-Teilnehmer einig.

IKT-Risikomanagement kritischer Geschäftsprozesse

Es folgte der Vortrag von Marion Steiner „Praktische Umsetzung des Risikomanagements – vom kritischen Prozess zum Schutzbedarf der IT-Assets“, in dem sie erläuterte, wie das IKT-Risikomanagement die „kritischen Geschäftsprozesse“ gemäß KRITIS/DORA oder NIS2 bis hin zur Ableitung des Schutzbedarfs und damit der notwendigen Informationssicherheits-maßnahmen für die IT-Assets umgesetzt werden kann. Zudem wurde dargelegt, wie dies mit den Richtlinien, die im Unternehmen aufzustellen sind, unterlegt werden kann.

Den Abschluss der Vorträge machte Christopher Ruppricht, CISO der SCHUFA Holding AG, und berichtete den Teilnehmern über DORA aus Sicht eines IKT-Drittdienstleisters. Eine Herausforderung, die erkennbare Schwierigkeiten bereitet – schon allein die Einstufung der „Wichtigkeit“ lässt sich nicht abschließend selbst bestimmen, die Abhängigkeiten von den Sichten der regulierten Unternehmen ist ein relevanter Faktor.

Der Austauschbedarf zum Regulierungsdschungel ist groß

In einer abschließenden Diskussionsrunde hatten alle nochmals die Möglichkeit, sich über Erfahrungen und Best Practices auszutauschen. Obwohl bereits nach jedem Vortrag und in den Kommunikationspausen zwischen den Vorträgen intensiv über die Themen des Tages diskutiert wurde, ein Punkt, der noch länger hätte sein können – der Austauschbedarf zum Regulierungsdschungel ist erkennbar groß.

So war ein einstimmiger Wunsch, im nächsten Jahr das Thema erneut aufzugreifen und dabei die Entwicklungen zu verfolgen und weitere Erfahrungen zu geeigneten Umsetzungen auszutauschen.

Wer die Vorträge der diesjährigen Veranstaltung gerne nachlesen möchte, kann dies auf der Programmseite der FG Secmgt – Veranstaltung tun. Sie werden dort als PDF-Datei verlinkt, sobald sie von den Vortragenden bereitgestellt werden.

Programmseite FG-SECMGT

Den Vortrag unserer IT-Sicherheitsexpertin Marion Steiner „Praktische Umsetzung des Risikomanagements – vom kritischen Prozess zum Schutzbedarf der IT-Assets“ gibt es direkt hier: