IT-Sicherheit

NIS-2 Geschäftsleiterschulung nach aktuellen BSI-Empfehlungen

Workshop

Übersicht

Cyber-Sicherheit in der Führungsetage

Cyber-Attacken nehmen rasant zu – jedes Unternehmen kann zum Ziel werden. Der Gesetzgeber reagiert darauf mit verschärften Anforderungen an die Informationssicherheit und einer erweiterten persönlichen Verantwortung des Managements. Kurzum: Cyber-Security wird zur Chefsache.

Die NIS-2-Richtlinie verpflichtet zahlreiche Sektoren, darunter bisher nicht abgedeckte, zu strengeren Sicherheitsmaßnahmen und Meldepflichten bei Vorfällen. Für die Leitungsebene von als wichtig oder besonders wichtig eingestuften Einrichtungen werden Schulungen zur IT-Sicherheit verpflichtend.

Dieses exklusive Management-Seminar befähigt Sie als Mitglied der Unternehmensleitung eine angemessene Cyber-Sicherheit in Ihrem Unternehmen gezielt zu steuern und zu überwachen und damit persönliche Haftungsrisiken zu vermeiden. In geschütztem Rahmen erhalten Sie das praxisrelevante Know-how, das für die Ihnen obliegende Überwachung und Billigung von Aufbau und Umsetzung eines wirksamen Cyber-Security-Risikomanagements erforderlich ist. Das Seminar folgt dabei den aktuellen Empfehlungen des BSI zur NIS-2-Geschäftsleiterschulung, indem individuell sektorbezogen auf für Ihr Unternehmen typische Bedrohungsszenarien eingegangen wird. So erfüllen Sie mit diesem Seminar Ihre gesetzlichen Schulungspflichten nach NIS-2.

Ziele des Seminars

Die Teilnehmenden erwerben das nötige Wissen, um Cyber-Sicherheit in ihrem Unternehmen wirksam zu etablieren und zu steuern. So können Verantwortliche Cyber-Attacken vorbeugen und im Ernstfall angemessen reagieren. Das Seminar legt den Wissensgrundstein, um Cyber-Vorfälle möglichst zu vermeiden und im Ernstfall Schäden zu reduzieren. Durch gezieltes Training in den rechtlichen Vorgaben sowie den technisch-operativen Aspekten von Risiko und Risikomanagement vermittelt es genau das Wissen, das nach NIS-2 verpflichtend ist.

Zielgruppe

Der Gesetzgeber legt im Umsetzungsgesetz zur NIS 2-Richtlinie eine Schulungspflicht und persönliche Haftung der Leitungsebene fest. Daher richtet sich dieses Exklusivseminar explizit an Mitglieder der Unternehmensleitung – also Geschäftsführungen, Vorstände, Aufsichtsgremien sowie leitende Personen zentraler Unternehmensbereiche. Juristische oder IT-spezifische Vorkenntnisse sind nicht erforderlich.

Das Seminar ist nicht für IT-Fachkräfte (z. B. CISOs oder IT-Sicherheitsbeauftragte) konzipiert.

Seminarprogramm

Inhalte des Seminars

Im engsten Teilnehmerkreis erhalten die Teilnehmende einen Überblick über die Anforderungen an eine angemessene Cyber-Security. Die Referenten arbeiten mit Beispielen, kombiniert mit Checklisten und der Simulation von konkreten Vorfällen. Der Tätigkeitsbereich der Teilnehmenden wird individuell mit berücksichtigt.

Behandelt wird:

Haftungsrisiken für die Unternehmensleitung und Überblick über die rechtlichen Vorgaben
Ressourcen: Verantwortung und Risikoanalyse
Trainieren: Risikomanagementmaßnahmen definieren und weitere Anforderungen an die Cyber-Security
Awareness: Auswirkungen von Risiken und Risikomanagement-Maßnahmen, Sensibilität, Motivation und Haftungsrisiken
Notfallplan: Prozesse und Kommunikation, Registrierungs- und Meldepflichten
Sektorspezifische Besonderheiten

Agenda

Ressourcen

Haftungsrisiken und Rechtsrahmen: Persönliche Haftungsrisiken für die Leitungs-ebene, Rechtsrahmen aus NIS-2-Richtlinie (BSIG)
Zuständigkeiten: Verteilung der Verantwortlichkeiten, Ressourcen bereitstellen und (auch künftig noch) zulässiger Delegationsumfang
Risikoanalyse: Erkennen und bewerten von Risiken, Herangehensweise und praxisnahe Fahrpläne für die Risikobewertung
Sicherheitslevel: Relevanz der Sicherheitslevel und wie sie bestimmt werden, Besonderheiten für bestimmte Sektoren (soweit relevant)

Trainieren

Know-how der rechtlichen Anforderungen an die Sicherheit mit Trainingsfällen: Konziser Überblick über die rechtlichen Anforderungen der Datenschutzgrundverordnung über BSIG- und NIS-2-Umsetzungsgesetz bis hin zu Sondervorgaben, etwa im Energierecht
Risikomanagement: Richtlinien als Compliance-Anforderung und Informations-Management-Systeme (ISMS) im Unternehmen umsetzen
Checklisten mit BSI IT-Grundschutz und ISO27001: Handreichung für das C-Level, welche Checklisten und Tools bei der Kontrolle vorgeschlagener Maßnahmen, ihrer Billigung und der Überprüfung fortlaufender Einhaltung helfen, unter individueller Berücksichtigung der für Ihr Unternehmen relevanten Anforderungen
Dokumentation, Registrierungs- und Meldepflichten: Entwicklung der Anforderungen an eine rechtlich sichere Dokumentation der Maßnahmen und Vorgänge sowie Überblick über die Meldepflichten, um im Ernstfall vorbereitet zu sein

Awareness

Auswirkungen von Risiken und Risikomanagementmaßnahmen auf den Unternehmensbetrieb: Überblick über die regelmäßigen Auswirkungen auf den Unternehmensbetrieb und ihre rechtliche Relevanz sowie Steuerungsoptionen: von Lieferverzögerungen über den Datenschutz bis hin zu Erpressungsforderungen
Rechtliche Risiken bei unzureichender Sicherheit - Haftungsrisiken für das Unternehmen und das Management: Wann sind Cyber-Vorfälle „höhere Gewalt“ und unverschuldet, wann muss ein Unternehmen für Verzögerungen haften, wann drohen Vertragsstrafen und Schadensersatzansprüche von Betroffenen und wie kann ein Unternehmen diese Risiken minimieren? Zudem: Schäden des Unternehmens können zu Schäden des Managements werden, insbesondere nach Umsetzung der NIS-2-Richtlinie. Wie können diese persönlichen Haftungsrisiken minimiert werden? Was gilt individuell für Ihre Branche?
Mitarbeitende schulen mit Trainingsfällen: Welche Mitarbeiterschulungen sind unabdingbar, um die Awareness zur Risikoreduktion im gesamten Unternehmen zu verankern?

Notfallplan

Detecting: Anforderungen und rechtlich zulässige Möglichkeiten an eine fortlaufende Überwachung der Datenflüsse, um Hackerzugriffe frühestmöglich zu vermeiden
Reaktion planen und richtig durchführen mit Trainingsfällen: Wie Sie einen an Ihr Unternehmen angepassten Notfallplan erstellen und erfolgreich implementieren
Folgen erfolgreicher Angriffe: vom Umgang mit Erpressungsforderungen bis zum Handling von Schadensersatz- und Regressansprüchen mit Praxisbeispielen: Wie Sie nach einer Cyber-Attacke systematisch und schnell vorgehen, um Schäden zu minimieren: von der forensischen Aufklärung über die Formulierung von Behördenmeldungen über Betroffeneninformationen bis hin zum Umgang mit Erpressungsforderungen und dem Handling von Folgeansprüchen von Geschäftspartnern und Betroffenen
Registrierungs- und Meldepflichten: Rechtliche Anforderungen und strategisches Umgehen in der Behördenkommunikation