Verwaltungsräte haben die gesetzliche Pflicht, Risiken angemessen zu überwachen. Cyberrisiken sind heute ein kritisches, potenziell wesentliches Geschäftsrisiko. Die meisten Vorstände sind jedoch schlecht für den Umgang mit Cyberrisiken gerüstet. Sie sehen Cyber als zu technisch an, genehmigen lediglich Ressourcen und delegieren das Risiko.
Für traditionelle Geschäftsrisiken gibt es eine etablierte Praxis, wie Informationen gemeldet werden sollten, und eine akzeptierte Aufteilung der Verantwortung/Delegation. Für Cyberrisiken gibt es dies derzeit nicht. CISOs haben Schwierigkeiten, die Wirksamkeit ihres Cybersicherheitsprogramms zu messen und hinreichend zu gewährleisten, dass das verbleibende Cyberrisiko unter der Risikobereitschaft des Unternehmens liegt. Viele CISOs sprechen nicht die "Vorstandssprache" und werden nicht zur Berichterstattung eingeladen.
Im Folgenden finden Sie zwei Berichte.
Das erste Dokument richtet sich an Chief Information Security Officers (CISOs). Es wird beschrieben, wie sie Cyberrisiken am besten überwachen, messen und ihrem Vorstand Bericht erstatten können.
Das zweite Dokument ist für die Verwaltungsräte selbst bestimmt. Es ist eine Ergänzung zum ersten Dokument.