In den letzten Monaten habe ich diverse Gespräche mit CEOs, CIOs und Führungskräften geführt, die eines gemeinsam hatten: Unsicherheit. Der IKT-Minimalstandard ist gesetzlich vorgeschrieben, doch viele Organisationen wissen nicht, wie sie das Thema praktisch anpacken sollen.
Die Folgen sind Sicherheitslücken, unklare Verantwortlichkeiten und ein Management, das glaubt, Cybersecurity sei allein «IT-Sache».
Die entscheidende Erfahrung
Ohne klaren Verantwortlichen in der Geschäftsleitung scheitern Umsetzungen. Cybersecurity muss Chefsache sein und jemand aus dem C-Level muss als «Kümmerer» fungieren. Oft ist das der CFO, CIO oder Legal, wenn kein CISO vorhanden ist.
Umsetzung – Schritt für Schritt
Damit Organisationen den IKT-Minimalstandard erfüllen, braucht es einen systematischen Ansatz:
- Identifikation der Anforderungen: Alle relevanten Gesetze, Normen und Verträge erfassen und ein vollständiges Verzeichnis pflegen
- Definition interner Richtlinien: Klare Compliance-Regeln etablieren und Überwachungs- und Reporting-Prozesse einführen
- Schulung & Sensibilisierung: Mitarbeiter regelmässig trainieren und eine Sicherheitskultur im Alltag verankern
- Überwachung & Risikomanagement: Risiken regelmässig bewerten und ein Frühwarnsystem implementieren
- Regelmässige Aktualisierung: Richtlinien laufend an neue Vorschriften anpassen
- Dokumentation & Kommunikation: Alle Massnahmen transparent dokumentieren und das Management und weitere Stakeholder informieren
Was ist das Resultat?
Wer diese Schritte geht, erreicht mehr als nur Compliance:
- Ein Mindestmass an Sicherheit, das Angriffe erschwert
- Reduktion von Bussgeldern und Reputationsschäden
- Mehr Vertrauen bei Kunden, Partnern und Aufsichtsbehörden
Zusammenfassend kann gesagt werden…
Der IKT-Minimalstandard ist kein Selbstzweck. Er zwingt Organisationen, Cybersecurity ernst zu nehmen und bietet gleichzeitig die Chance, Prozesse zu professionalisieren und Wettbewerbsvorteile zu schaffen.
Wer übernimmt in Ihrer Organisation die Rolle des «Kümmerers»?