Die Rolle des CISO in der Vorstandsetage
Im Digital Operational Resilience Act (DORA) nimmt der Chief Information Security Officer (CISO) aufgrund des Fokus der Verordnung auf IT- und Kommunikations-technologie (IKT) und das Management von Informationssicherheitsrisiken eine zentrale Rolle ein. DORA sieht vor, dass die Geschäftsleitung aktiv am Gesamt-management von IKT-Risiken beteiligt ist und diese überwacht. Folglich sollte der CISO direkt an den Vorstand berichten.
Dieser Artikel stellt einige der Herausforderungen der Rolle des CISOs dar und definiert die relevanten Themenbereiche, die bei einer Berichterstattung an den Vorstand berücksichtigt werden sollten.
Die Verantwortung der Geschäftsleitung nach DORA
DORA fordert, dass „die letztliche Verantwortung des Leitungsorgans für das Management des IKT-Risikos eines Finanzunternehmens sollte in einem übergeordneten Prinzip dieses umfassenden Ansatzes bestehen, das sich weiter im kontinuierlichen Engagement des Leitungsorgans bei der Kontrolle der Überwachung des IKT-Risikomanagements niederschlägt.
Im skandinavischen Raum wurde „Leitungsorgan“ als Geschäftsführung interpretiert. Aus Sicht der Informationssicherheit ist diese verantwortlich für:
- Definition, Genehmigung, Überwachung und Verantwortung für die Umsetzung aller Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagement-Rahmenwerk (einschließlich Informationssicherheit).
- Tragen der letztendlichen Verantwortung für das Management des IKT-Risikos des Finanzinstituts.
- Festlegung von Richtlinien, die darauf abzielen, die Aufrechterhaltung hoher Standards in Bezug auf Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten sicherzustellen.
- Festlegung klarer Rollen und Verantwortlichkeiten für alle IKT-bezogenen Funktionen und Definition einer geeigneten Governance, um eine effektive und zeitnahe Kommunikation, Zusammenarbeit und Koordination zwischen diesen Funktionen zu gewährleisten.
- Übernahme der Gesamtverantwortung für die Festlegung und Genehmigung der Strategie für die digitale operative Resilienz.
- Genehmigung und regelmäßige Überwachung der Umsetzung der IKT-Geschäftskontinuitätsrichtlinie und der IKT-Reaktions- und Wiederherstellungspläne des Finanzinstituts.
- Genehmigung und regelmäßige Überwachung der internen IKT-Auditpläne des Finanzinstituts, einschließlich Änderungsmanagements.
- Zuweisung und regelmäßige Überwachung eines angemessenen Budgets, um die Anforderungen des Finanzinstituts an die digitale operative Widerstandsfähigkeit in Bezug auf alle Arten von Ressourcen zu erfüllen.
- Genehmigung und regelmäßige Überwachung der Richtlinien des Finanzinstituts zu Vereinbarungen über die Nutzung von IKT-Diensten, die von IKT-Drittanbietern bereitgestellt werden.
- Einrichtung von Meldekanälen auf Unternehmensebene, die es ermöglichen, ordnungsgemäß über Vereinbarungen mit Dritten informiert zu werden.
Herausforderungen bei der Berichterstattung
Unter Berücksichtigung der oben gelisteten Aufgaben ist es offensichtlich, dass der Vorstand von einer direkten Berichterstattung durch den CISO profitieren würde. Dabei gibt es jedoch einige Herausforderungen zu beachten.
Zum einen ist die Rolle des CISOs in kleineren Finanzinstituten und in einigen technologieorientierten Fintech-Unternehmen tendenziell eher auf das Themengebiet Cybersicherheit ausgerichtet. Dies könnte zu einer technologie-orientierten Berichterstattung führen, die zu Missverständnissen und Verwirrung im Vorstand führen kann.
Zweitens kann eine signifikante Wissenslücke zwischen einem CISO und dem Vorstand vorhanden sein. Hier ist zu berücksichtigen, dass eine Kernkompetenz des CISOs die Fähigkeit ist, Governance-Risiken (z. B. Status der Informationsklassifizierung) oder technisch fortgeschrittene Risiken (z. B. Ergebnisse von Sicherheitstests) an einen nicht-technischen Vorstand verständlich zu kommunizieren.
Drittens wirkt sich die Einordnung des CISOs in die Verteidigungslinien auch auf die Sicherheit der Berichterstattung aus. Wird der CISO der ersten Verteidigungslinie zugeordnet, kann der CISO voreingenommen sein. Ist er jedoch der zweiten Linie zugeordnet, ist die Unabhängigkeit klarer definiert. CISOs bewegen sich in der Praxis häufig zwischen der ersten und zweiten Verteidigungslinie (in Krisensituationen agiert der CISO häufig auch operativ), was die Gewährleistung der Berichterstattung etwas in Frage stellt.
Überlegungen
Im Rahmen der DORA-Verordnung ist eine Schlüsselkompetenz des CISOs die Berichterstattung auf Vorstandsebene und die Fähigkeit, klar und stringent über technisch anspruchsvolle Themen wie Informationssicherheit zu berichten.
Die Geschäftsleitung sollte die Einordnung des CISOs in den Verteidigungslinien klar definieren und deren tatsächliche Umsetzung sicherstellen. Praxisorientierte Mitarbeiter in den Bereichen Cybersicherheit und Operative Sicherheit, wie ein Chief Technology Security Officer (CTSO) oder ein Chief Cyber Security Officer (CCSO), sollten der ersten Verteidigungslinie zugeordnet werden, während Governance-orientierte Mitarbeiter zur zweiten Verteidigungslinie zählen. Die Geschäftsleitung kann damit eine Berichterstattung von beiden Parteien erhalten und so von einer umfassenderen Informationsbasis profitieren. Ein stärker Governance-orientierter CISO führt zur Vermeidung von Wissenslücken der Geschäftsleitung, da ein CISO der zweiten Verteidigungslinie mehr Erfahrung in der Kommunikation in nicht-technischer Hinsicht aufweisen kann.
Schlussfolgerung
Die DORA-Verordnung setzt zwingend eine Berichterstattung über die operative Resilienz des Instituts voraus. Die Rolle des CISO ist dafür die geeignetste Funktion, um über Informationssicherheitsthemen aus einer Risikomanagement-, Informations-klassifizierungs-, Cybersicherheits- und Geschäftskontinuitätsperspektive zu berichten. Dies erfordert eine direkte Berichtslinie zur Geschäftsführung.
FCG empfiehlt die Einordnung des CISOs in die zweite Verteidigungslinie, um eine unabhängige Berichterstattung zu gewährleisten. Dies schließt eine zusätzliche Berichterstattung aus der ersten Verteidigungslinie nicht aus, wenn dies von der Geschäftsführung ebenfalls gewünscht ist.
Für weitere Informationen zu DORA und dem Thema Reporting wenden Sie sich bitte an: