Die Fristen für die Einhaltung der NIS2-Richtlinie und des Digital Operations Resilience Act (DORA) rücken rasch näher und dementsprechend stehen Bestrebungen zur Einhaltung der Auflagen rund um die Regulierung der Cybersicherheit für viele Unternehmen derzeit im Fokus.
Während diese Direktiven die Hoffnung auf positive Veränderungen hinsichtlich des Schutzniveaus der Betreiber kritischer Infrastrukturen in Europa wecken, fehlt es ihnen dennoch an einer entscheidenden Komponente: einer Vision zur Transformation der weltweiten Cybersicherheit. Zwar sind Regulierungsbestrebungen von Natur aus immer eine Reaktion auf Veränderungen, aber dennoch könnten sie etwas visionärer ausfallen. Aktuell mangelt es allerdings noch an einer Reaktion auf neue Technologien, die über eine kurzfristige Anpassung des Sicherheitsniveaus hinausgeht. Wieder einmal überschreitet die Innovationstätigkeit die Geschwindigkeit, mit der Regularien implementiert werden können.
Unsicherheit als Antrieb
Auch die Diskussionen auf dem World Economic Forum in Davos zeigten einmal mehr, dass Entscheidungsträger und Politiker Regularien eher aus Angst denn aus Innovationsfreude auf die Tagesordnung setzen. Nicht bedacht wurde, dass Regulierung und Innovation Hand in Hand gehen sollten, um den Schritt in die Zukunft ohne Angst und mit weniger Risiken angehen zu können. Das Entstehen von Regularien ist ein zyklischer Prozess, angetrieben durch die Evolution neuer Standards. Hinter einem solchen Prozess steht eine bestehende Technologie, die in vielerlei Hinsicht vorhersehbar sein sollte.
KI-gestütztes 5G ist ein gutes Beispiel für eine solch neue Technologie, die bald neue Regularien erforderlich machen wird, wenn sie in Form von 6G mit einer ganzen Reihe neuer Funktionen aufwartet. Die technologische Marschrichtung von Unternehmen erhält durch Regularien Vorschub, die über die Reaktion auf Sicherheitsvorfälle hinausgehen und zu strategischer Planung führen sollte. Es ist jedoch wichtig zu erkennen, dass es nicht die Regularien sind, die Unternehmen zu höherer Innovationstätigkeit veranlassen. Vielmehr zwingen sie jegliche Organisation dazu, den Status Quo einzuhalten.
Echte Innovation kann dann entstehen, wenn Führungskräfte und Visionäre dazu bereit sind, herkömmliche Herangehensweisen angetrieben vom Wunsch nach dem Erhalt von Wettbewerbsfähigkeit grundlegend zu überdenken. Ein Unternehmen, das Lebensmittel oder Getränke herstellt, wird normalerweise immer Technologien zur Verbesserung der Produktionsprozesse gegenüber IT-Sicherheitsprozessen den Vorrang geben. Solche Organisationen betrachten die Regulierung als Mittel, um den Status Quo zu erhalten. Sie nutzen sie nicht als Gelegenheit, um eine Modernisierung der Abläufe und die Erschließung gänzlich neuer Möglichkeiten auf den Weg zu bringen.
Aus diesem Grund erfolgt ein größerer Wandel oft nur aufgrund eines katastrophalen Moments, der droht, ein unsinkbares Schiff zum Kentern zu bringen. Oder er erfolgt eben durch den Anstoß von außen, der durch Regularien losgetreten wird. In diesem Sinne spielt die Regulierung eine wichtige Rolle bei der Beschleunigung der technologischen Evolution von denjenigen Unternehmen, deren Hauptaugenmerk darauf liegt, den Motor am Laufen zu halten, zu verkaufen und zu produzieren.
Visionäres Denken
Regulierungen wie NIS2 und DORA haben ihre Berechtigung, denn sie tragen dazu bei, das Wissen und das Verständnis für Cybersicherheit zu beschleunigen. Sie setzen neue Grenzen und führen zu neuen Kontrollmechanismen und aktualisierten Reports zum Datenverkehr. Schlussendlich sind sie aber nicht die transformative Kraft, die Unternehmen dabei hilft, mit dem Tempo der technologischen Entwicklung und der Innovation Schritt zu halten. In ihrer jetzigen Form ist es unwahrscheinlich, dass diese Art der Regulierung die Welt unter dem Gesichtspunkt der Informationssicherheit grundlegend verbessern wird. Ohne eine Vision, die die Innovationstätigkeit in den Vordergrund stellt, wird sie das Sicherheitspostulat nicht revolutionieren. Sie dient lediglich dazu, Unternehmen bei der Problembeseitigung zu unterstützen, aber nicht bahnbrechend zu transformieren.
Damit Unternehmen innovative Cybersicherheit wirklich vorantreiben, müssen Innovation und Regulierung zusammenspielen und eine zukunftsorientierte Denkweise fördern. Nur so werden Unternehmen dazu befähigt, sich im Einklang mit dem Tempo neuer, transformativer Technologien zu modernisieren. Dazu bedarf es einer echten Vision im heutigen Zeitalter, wo kein Jahrzehnt hinsichtlich der technologischen Entwicklung mehr vergleichbar ist mit dem vorangegangenen.