InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Im stetigen Wandel der technologischen Landschaft ist die Sicherheit von Unternehmensdaten und -systemen zu einer zentralen Herausforderung für IT- und Cyber-Security-Verantwortliche geworden. Angesichts der steigenden Bedrohungen und der fortschreitenden Digitalisierung ist es für Unternehmen daher unerlässlich, proaktiv Sicherheitsmassnahmen sowie regelmässig Schwachstellenscans, Audits und Assessments durchzuführen, um die eigene Cyber-Security-Strategie aktiv zu überprüfen und zu optimieren. Ein zentrales und besonders effektives Instrument ist die Durchführung eines Gap-Assessments. Warum und welche Bedeutung dies für Ihre Unternehmenssicherheit im Jahr 2024 hat, zeigen wir Ihnen in diesem Artikel auf.
Die zunehmende Digitalisierung birgt für Unternehmen eine Vielzahl an attraktiven Möglichkeiten und eröffnet grosses ökonomisches Potenzial. Damit einhergehend entstehen neue Risiken, denen ein Unternehmen schnell, konsequent und effizient begegnen muss.
Nebst dem NIST Cyber Security Framework (NIST CSF v1.1) gibt es spezifische Richtlinien und Gesetzgebungen, die Unternehmen in der Schweiz berücksichtigen sollten, um eine umfassende und effektive Sicherheitsstrategie zu entwickeln. Beispielsweise der IKT-Minimalstandard des BWL (Bundesamt für wirtschaftliche Landesversorgung). Dieser dient als Empfehlung zur Verbesserung der IKT-Resilienz. Er richtet sich hauptsächlich an Betreiber von kritischen Infrastrukturen. Grundsätzlich ist der IKT-Minimalstandard aber für jedes Unternehmen oder jede Organisation anwendbar.
Das Jahr 2024 ist bereits in vollem Gange und es zeichnet sich bereits ab: Die Cyber-Bedrohungslage verschärft sich weiter. Cyberangriffe und «Hacktivismus» nehmen weiter zu. So ist jetzt der richtige Zeitpunkt, sich eingehend mit den Sicherheitspraktiken Ihres Unternehmens auseinanderzusetzen. Ein Gap-Assessment bietet hierbei einen klaren Mehrwert. Sie fragen sich nun bestimmt, ob und warum Sie dies auch für Ihr Unternehmen zwingend in Erwägung ziehen sollten?
Im Jahr 2024 werden die Anforderungen an Datenschutz und Informationssicherheit weiter steigen. Für die kritischen Infrastrukturen Strom- und Gasversorgung sowie öffentlicher Verkehr sind wichtige Gesetzesrevisionen im Gange. Diese Revisionen beinhalten verbindliche Umsetzungen von Mindestwerten.
Die Cyber-Sicherheit wird immer wichtiger – auch bei den Eisenbahnen. Ab Juli 2024 treten die neuen Regelungen auf Grundlage von Art. 5c die revidierte Verordnung über Bau und Betrieb der Eisenbahnen in Kraft. Die revidierte Verordnung über Bau und Betrieb der Eisenbahnen (EBV) verpflichtet die Eisenbahnunternehmen, ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen. In diesem Zusammenhang hat das Bundesamt für Verkehr die Richtlinie (RL CySec-Rail) erarbeitet. Es definiert sieben Mindestanforderungen an ein ISMS und 29 Massnahmen, die umgesetzt werden müssen. Um die Einhaltung der Vorschriften zu überprüfen, sind periodische Audits der Informationssicherheit vorgeschrieben.
Eine regelmässige Überprüfung der Informationssicherheit / Audits ermöglicht es Unternehmen, die Richtlinien der RL CySec-Rail effektiv umzusetzen. Die Durchführung regelmässiger Audits liefert Informationen darüber, in welchen Bereichen die Informationssicherheit zu verbessern ist. Dabei sind auch Lieferanten und Dienstleister zu berücksichtigen. Durch die Identifizierung von Abweichungen, Schwachstellen und Risiken können Unternehmen sicherstellen, dass ihre Cyber-Sicherheitsstrategie den nationalen Standards entspricht und somit einen robusten und effektiven Schutz vor digitalen Bedrohungen bietet.
Lieferanten Audit der NOVA-Plattform (Prüfen der Lieferanten) für die Nutzer der an NOVA angeschlossenen Systeme und deren Benutzer (NOVA-Nutzende).
Im öffentlichen Verkehr müssen gemäss dem Übereinkommen der Alliance SwissPass (Ue500, Kapitel 4.2.4), die Vorgaben zur Cyber Protection und Datensicherheit eingehalten werden. Zur Überprüfung der Einhaltung dieser Vorgaben sind Sicherheitsüberprüfungen der Dienstleister erforderlich. Es müssen verschiedene Massnahmen des IKT-Minimalstandards (Details siehe V591) umgesetzt sein.
Von besonderer Bedeutung für alle Stromversorger ist das revidierte Stromversorgungsgesetz, das voraussichtlich bereits im Juli 2024 in Kraft treten wird. Das StromVV schreibt vor das Netzbetreiber je nach transportierter Menge an Elektrizität nach Schutzniveau (A ≥ 450 GWh/Jahr; B ≥ 112 GWh/Jahr und < 450 GWh/Jahr; C < 112 GWh/Jahr) unterschiedliche Minimalanforderungen mit einer Übergangsfrist von 24 Monaten umzusetzen sind. Zur Überprüfung des Umsetzungsstandes sind jährliche Audits durchzuführen.
Die Revision der Verordnung über die Sicherheitsvorschriften für Rohrleitungsanlagen (RLSV; SR 746.12) hat zum Ziel, den IKT-Mindeststandard mit unterschiedlichen Anforderungen an das Schutzniveau verbindlich zu machen und tritt voraussichtlich am 1.07.2025 in Kraft.
Im überarbeiteten IKT-Minimalstandard für die Gasversorgung 2.0 (Kapitel 5.2) wurden wie bereits in der Strom Branche drei Schutzniveaus (A, B und C) geschaffen, die auf zwei Hauptkriterien basieren: der Druck des Netzes oder der Anlage (bar) in Verbindung mit der Leitungslange (km) und der transportierten Energiemenge (GWh/Jahr). Jedes Schutzniveau entspricht einer spezifischen Maturitätsstufe. Betreiber von Gasanlagen (Rohrleitungsanlagen) mit einem Druck von mehr als 5 bar und einer Leitungslang von über 15 Kilometern werden automatisch der Schutzniveau A zugeordnet. Bei anderen Gasnetzbetreibern wird der Durchschnittswert der transportierten Energie der letzten fünf Jahre berücksichtigt (A > 2’600 GWh/Jahr; B > 400 GWh und ≤ 2’600 GWh/Jahr; C ≤400 GWh/Jahr).
Die Mindestanforderungen unterscheiden sich gegenüber der StromVV nur im Schutzniveau A, wobei die StromVV in diesem Niveau höhere Mindestwerte vorschreibt.
Ein Gap-Assessment im aktuellen Jahr durchzuführen, ist mehr als nur eine effiziente und sinnvolle Massnahme zur Einhaltung von Standards. Viel mehr: Es ist ein strategischer Schutzmechanismus für die Zukunft Ihres Unternehmens. Durch die Identifikation von Sicherheitslücken und Risiken, die Anpassung an neue Cyber-Bedrohungen und die Erfüllung von Compliance-Anforderungen können Sie für Ihr Unternehmen eine solide Basis für Ihre Cyber-Security-Strategie erzielen. Investitionen in die Sicherheit zahlen sich nicht nur in finanzieller Hinsicht aus, sondern tragen auch zur nachhaltigen Stabilität und Reputation des Unternehmens bei.
Finden Sie es heraus und verschaffen Sie sich volle Transparenz – dank einem Gap-Assessment. Sie profitieren von einer Übersicht über die aktuelle Situation Ihrer Cybersicherheit, einer Risikoeinschätzung, einem Stärken-/Schwächen-Profil und konkreten Handlungs- und Massnahmenempfehlungen. Jetzt ist der richtige Zeitpunkt für eine gezielte Risiko-Minimierung Ihrer Cybersicherheit.