01
Wer greift uns gerade jetzt an?
Nicht wer uns angreifen könnte. Wer es jetzt versucht, auf realen Systemen.
Persona · Eigentümer · Vorstand · CEO
Cyber ist keine IT-Kostenposition.
Es ist Governance.
Seit 2024 schreibt NIS2 Vorständen persönliche Haftung für unzureichende Cyber-Posture zu. Versicherungspolicen verlangen technische Belege zur Auszahlung. Die Frage ist nicht mehr ob wir damit umgehen werden — sondern wie und wann.
10 Mio. €NIS2-Höchstsanktion
2 %Umsatz · wesentliche Einrichtungen
72 hPflicht-CSIRT-Meldung
4×Vorstands-Reports pro Jahr
§ 01 · 10 Fragen an den CISO
Die Fragen, die der Vorstand bereits stellen sollte.
Wenn der CISO keine konkreten Antworten auf diese Fragen hat, liegt das Problem nicht beim CISO: Es ist die Informationsexposition des Vorstands. Wir unterstützen Unternehmen beim Aufbau eines technisch-strategischen Dialogs in Risikosprache.
02
Wie lange würde ein Ransomware-Shutdown dauern?
In Produktionsstunden, in Umsatz, in verlorenen Kunden. Zahlen, keine Gefühle.
03
Sind wir im NIS2-Geltungsbereich? Wesentlich oder wichtig?
NIS2 schreibt Vorständen persönliche Haftung zu. Wissen Sie, wo Sie einzuordnen sind?
04
Würden unsere Backups wirklich halten?
Wann wurde der letzte vollständige Restore getestet? Nicht simuliert — ausgeführt.
05
Haben wir eine Cyber-Police? Was deckt sie wirklich ab?
Vor 2024 unterzeichnete Policen schließen häufig Ransomware aus oder verlangen Mindest-Posture, die heute nicht garantiert ist.
06
Wer antwortet, wenn es um 3 Uhr morgens passiert?
Telefonnummer, Person, Sprache, Zeitzone. Konkret.
07
Wie viel investieren wir in Cyber im Vergleich zur Branche?
Branchen-Median: 2-4 % des IT-Budgets für Banken/Finanzwesen, 1-2 % für Fertigung. Bei Ihnen?
08
Sind unsere kritischen Lieferanten geschützt?
Supply Chain ist die führende moderne Angriffsfläche. NIS2 schreibt deren Aufsicht vor.
09
Was hat sich seit dem letzten Cyber-Vorstandstermin geändert?
Threat Landscape, Regulierung, interne Posture. Wenn die Antwort 'nichts' lautet, ist das Monitoring inaktiv.
10
Was würden wir der Presse morgen sagen?
Krisenkommunikation vorab vorbereitet, nicht während des Vorfalls improvisiert.
Möchten Sie ein druckbares Arbeitsblatt? Wir senden es per E-Mail →
§ 02 · Vergleich
Internes SOC vs. externes MDR.
Qualitativer Vergleich für ein Mid-Market-Unternehmen (200-500 Endpoints, 1-2 Standorte). Ein internes SOC erfordert Personal, Technologie-Stack, Intel, Detection Engineering, Kontinuität, Schulung. Das Fortgale-MDR-Modell aggregiert alles in einem Managed Service, mit deutlich geringerer relativer Investition.
| Komponente | Internes SOC | Fortgale MDR |
|---|---|---|
| Senior-SOC-Personal · 24/7 | Vollzeit-dedizierte Ressourcen | Enthalten · kein HR |
| EDR · SIEM · TIP-Stack | Zu kaufen und zu betreiben | Enthalten · Multi-Vendor |
| Threat-Intel-Feeds / Abos | Zusätzliche Abonnements | Enthalten · proprietäre CTI |
| Detection Engineering | Internes Team oder Beratung | Enthalten · Peer-reviewed Rules |
| Tabletops, Schulung, Zertifizierungen | Separates Budget | Enthalten (Silver+) |
| Kontinuität · Feiertage · Fluktuation | 30 % unvorhergesehen | Gemildert · Rotationsteam |
| Time-to-Value | 12-18 Monate | 30 Tage |
| Relative Investition | €€€€€ | €€ |
Das Verhältnis €€€€€ : €€ stellt die durchschnittliche relative Investition dar, die im europäischen Mid-Market beobachtet wurde. Möchten Sie einen Vergleich für Ihren spezifischen Fall? Mit unseren Analysten sprechen.
§ 03 · NIS2-Accountability
Sanktionen wirtschaftlich und persönlich.
Die NIS2-Umsetzung in den EU-Mitgliedstaaten führt erhebliche Sanktionen für das Unternehmen und für Vorstände auf individueller Ebene ein. Der Unterschied zur GDPR: Hier gibt es auch eine Aussetzung der Tätigkeit.
| Subjekt / Verstoß | Höhe | Hinweis |
|---|---|---|
| Wesentliche Einrichtungen | bis zu 10 Mio. € oder 2 % des globalen Umsatzes | Es gilt der höhere der beiden Werte |
| Wichtige Einrichtungen | bis zu 7 Mio. € oder 1,4 % des globalen Umsatzes | Es gilt der höhere der beiden Werte |
| Vorstände | persönliche Haftung | Aussetzung der Tätigkeit bei schweren wiederholten Verstößen |
| Versäumte CSIRT-Meldung | zusätzliche Sanktionen | Bis zu 1 Mio. € extra bei Unterlassung/Verzögerung der Meldung |
Persönliche Exposition der Vorstände.
NIS2 verpflichtet das Management, Cyber-Maßnahmen zu kennen und zu genehmigen.
Die Formel "Ich wusste es nicht" ist keine Verteidigung. Standard-D&O-Deckung antwortet
nicht immer auf Unterlassungen in Cyber-Angelegenheiten.
§ 04 · Versicherbarkeit
Die Police zahlt nur wenn.
Cyber-Policen 2025-2026 enthalten technische Posture-Bedingungen für Underwriting und Schadensauszahlung. Bei unzureichender Posture ist das Risiko doppelt: Den Angriff erleiden und keine Entschädigung erhalten.
Voraussetzung
Verpflichtende MFA
Ohne MFA bei privilegierten Zugriffen unterschreiben die meisten Underwriter nicht. Baseline-Posture 2026.
Voraussetzung
Immutable Backup + DR-Test
Off-line-/Immutable-Backups, im Jahr getestet. Ohne diese Ransomware-Ausschluss in neuen Policen.
Voraussetzung
EDR/MDR auf Endpoints
Endpoints mit moderner Detection · 24/7-Monitoring. Anbieter nicht in der Whitelist: der Wert ist die Abdeckung, nicht das Logo.
Prämienrabatt
Dokumentiertes Jahres-Tabletop
Top-Tier-Policen geben 5-15 % Rabatt, wenn eine dokumentierte jährliche IR-Übung mit Bericht existiert.
Prämienrabatt
Vendor Risk Management
Strukturierter Prozess zur Bewertung kritischer Lieferanten (NIS2 Art. 23). Reduziert die Prämie.
Wir arbeiten mit den Maklern Ihres Unternehmens zusammen, um die Posture zu zertifizieren und die Prämie zu reduzieren. Erzählen Sie uns von Ihrer Police.
§ 05 · Was sich geändert hat
Vier Präzedenzfälle, die die Verantwortung neu zeichnen.
Von 2022 bis 2026 haben vier internationale Entscheidungen die Latte der Cyber-Verantwortung vom technischen Team zum Vorstand verschoben. Sie zu kennen ist nicht optional: italienische und europäische Aufsichtsbehörden zitieren sie inzwischen als erwarteten Sorgfaltsstandard.
Okt 2022
USA · Federal Court · Northern District of California
Fall Joe Sullivan / Uber
Der ehemalige CSO von Uber wurde wegen Verschleierung eines Breach gegenüber den Bundesbehörden verurteilt. Erster weltweiter Präzedenzfall individueller strafrechtlicher Verantwortung einer Cyber-Führungskraft — nicht nur zivilrechtlich. Von ENISA als Warnung an europäische CISOs nach Inkrafttreten der NIS2 zitiert.
Okt 2023
USA · SEC · Securities Enforcement
SEC vs. SolarWinds & CISO
Erstmals hat die SEC den CISO (Tim Brown) direkt wegen irreführender Angaben gegenüber Investoren zur Cyber-Posture vor dem Breach angeklagt. Der Fall ist noch offen, hat aber die Cyber-Due-Diligence vor Börsenzulassung für alle EU-Dual-Listed-Unternehmen bereits verändert.
Jan 2025
EU · NIS2 Art. 20 · italienische NIS2-Umsetzung D.Lgs. 138/2024 Art. 23
Accountability der geschäftsführenden Organe
Die NIS2 (in Italien mit D.Lgs. 138/2024 umgesetzt) verpflichtet geschäftsführende Organe explizit, „Cyber-Risk-Management-Maßnahmen zu genehmigen" und „die Umsetzung zu beaufsichtigen". Nicht an den CISO delegierbar: Die rechtliche Verantwortung verbleibt beim Vorstand und schließt die Aussetzung der Tätigkeit bei schweren wiederholten Verstößen ein.
Jan 2025
EU · DORA-Verordnung 2022/2554 Art. 5
DORA · ICT-Governance
Für Banken, Versicherer und kritische ICT-Dienstleister weist DORA Art. 5 dem geschäftsführenden Organ die letztendliche Verantwortung für das ICT-Risk-Management-Framework zu. Sanktionen: bis zu 1 % des durchschnittlichen Tagesumsatzes pro Verstoßtag (potenziell jährlich: 365 % des Tagesumsatzes). Aufsicht durch nationale Zentralbanken, Versicherungs- und Wertpapieraufsichten.
§ 06 · Board-ready Reporting
Was in einem Cyber-Bericht an den Vorstand gehört.
Ein quartalsweiser Cyber-Bericht an den Vorstand muss fünf Fragen in Risikosprache beantworten, nicht in Technologie. Unten ist das Template, das Fortgale Advisory-Kunden liefert — anpassbar an Ihr internes Dashboard oder das SOC-Reporting.
01
Risikoregister · Top 5
Die fünf wirkungsstärksten Risikoszenarien mit Eintrittswahrscheinlichkeit × Impact im Vergleich zum Vorquartal. Richtung (verschlechtert/verbessert/stabil), Owner, laufende Mitigation. Eine Seite, fünf Zeilen. Keine 5×5-Matrix auf dem Vorstandsbildschirm.
02
Posture-KPIs · Trend
MTTR, MTTD, MFA-Coverage, % Patching-SLA, % Endpoints unter EDR. Nur Metriken mit vom Vorstand genehmigten Zielen und Vergleich mit Branchen-Benchmarks (Clusit, ENISA). Zahlen, keine Ampeln ohne Skala.
03
Vorfälle des Quartals
Anzahl, Severity, Erkennungs- und Eindämmungszeit, operativer Impact. Pro High-/Critical-Vorfall: Lessons Learned + abgeschlossene oder geplante Korrekturmaßnahme. Auch null Vorfälle werden berichtet — es ist ein Datenpunkt, kein Nicht-Ereignis.
04
Compliance-Status
NIS2, DORA, GDPR, ISO 27001, nationale Perimeter-Regime (sofern anwendbar). Offene Punkte mit Frist, Owner, Restrisiko bei Nicht-Abschluss. Laufende Audits/Inspektionen und Stand der Antwort. Was würde der Vorstand heute unterschreiben?
05
Investitionen · Quartal Q+1
Geplante Cyber-CapEx/OpEx, prägnanter Business Case (Risiko reduziert · Kosten · ROI), neue Bedrohungen aus Threat Intelligence, die außerplanmäßige Investitionen rechtfertigen. Vom Vorstand erbetene Entscheidung, mit Optionen und Empfehlung.
+
Anhang · Threat Briefing
Profil der 3 wahrscheinlichsten Akteure gegen den Sektor des Unternehmens im Quartal, mit beobachteten TTPs und bestehender Detection-Coverage. Hält den Vorstand für den Gegner sensibilisiert, nicht nur für die Controls. Optionales Technikblatt für vertiefende Leser.
Sollen wir den ersten Vorstandsbericht zur aktuellen Posture Ihres Unternehmens vorbereiten? Hier anfordern. Sie erhalten ihn vor der nächsten Vorstandssitzung.
Für ein Vorstands-Briefing
Ein 45-minütiges Briefing für Ihren Vorstand.
Risikosprache, keine Technologie. Risikoregister, Posture, Sanktionen, Versicherungsdeckung. Bereit zur Präsentation.