Heutzutage stehen Verwaltungsratsmitgliedern ganz neue Möglichkeiten zur Verfügung, um ihrer
treuhänderische Verantwortung gegenüber den Aktionärinnen und Aktionären und ihrer Aufsichtspflicht im Bereich des Managements von Geschäftsrisiken gerecht zu werden. Sieben wichtige Fragen weisen ihnen dabei den Weg zum richtigen Umgang mit Cybersicherheit:
- Cybersicherheit beschränkt sich nicht nur auf den Datenschutz.
Welche Politik verfolgt das Unternehmen in diesem Bereich und welche Massnahmen ergreift es? Sollte man sich auf die im DSG oder der DSGVO vorgesehenen Verpflichtungen beschränken? Werden weitergehende Massnahmen ergriffen? Gibt es spezifische Risiken, die ein weitergehendes Vorgehen rechtfertigen?
- Der Verwaltungsrat sollte sich bewusst an der Überwachung der Cybersicherheit beteiligen.
Ist ein Unternehmen in Märkten ausserhalb der Schweiz aktiv, sind die Vorgaben der DSGVO und sonstiger Regelungen zu beachten. Es sollte sich daher die Frage stellen, wie sich der Verwaltungsrat an dieser Aufsicht beteiligt.
- Der Verwaltungsrat muss sich auf drei Aspekte konzentrieren: das Risiko, die Reputation und die Geschäftskontinuität.
Dies ist eine Botschaft, die unbedingt kommuniziert werden muss. Denn es ist ganz natürlich, dass die operativen Teams die Geschäftsaktivität verteidigen möchten. Allerdings führt dies zu einer Stressüberlastung der IT-Teams oder der externen Dienstleister, sofern diese Aufgabe an sie delegiert wird. Es stellt sich also die Frage, wie man diese externen Dienstleister bewerten und die Qualität ihrer Dienstleistungen prüfen kann. Es liegt in der Verantwortung des Unternehmens, sich im Krisenfall dafür zu rechtfertigen, dass es sich für einen bestimmten Dienstleister entschieden hat.
- Welche Notfallpläne gibt es?
Bei dieser Frage geht es darum, welchen «Impact» der Verwaltungsrat und seine Mitglieder haben können, wer in das Krisenmanagement einbezogen werden muss und wie ein Notfall ausgelöst wird.
- Welche Rolle spielt der Verwaltungsrat im Krisenfall?
Bereits im Vorfeld der Krise sollte man sich die Frage stellen, wie der Krisenstab bestmöglich besetzt werden kann und wie seine internen Abläufe ausgestaltet werden sollten.
- Welche Pläne bestehen für die Wiederaufnahme des Geschäftsbetriebs bei einem Cybervorfall?
Mit einem Business Continuity Plan (BCP) können Alternativlösungen für den Fall vorgesehen werden, dass ein Teil des Geschäfts zum Erliegen kommt. ReserveHardware, Ausweichstandort, sichere Software und Netzwerke – an all diesen Punkten kann man ansetzen, um zu verhindern, dass eine Krise alle Möglichkeiten, den Geschäftsbetrieb aufrechtzuerhalten, zunichtemacht.
- Reichen unsere Investitionen in die Cybersicherheit aus?
Anhand der (von IT-Expertinnen und Experten, Unterausschüssen oder einer mit diesem Thema betrauten Person des VR bereitgestellten) Erkenntnisse sollten Sie die potenziellen Risiken, Schwachstellen und Auswirkungen beurteilen und ein Instrumentarium beschliessen, das angemessen auf diese Aspekte eingeht.