KI, Cyber-Resilienz und NIS-2: Zwischen Chancen, Risiken und Regulierung. Interview mit Kerstin Keltner und Sofia Ludwig von Aon

Keltner:

Business Circle: Sehr geehrte Frau Mag. Keltner, sind Ihrer Meinung nach aktuell die größten Herausforderungen, wenn es um KI und Cyber-Resilienz geht?

Kerstin Keltner: Aus meiner Sicht ist die aktuelle Herausforderung einen kühlen Kopf zu bewahren und nicht sofort – ohne die Securityfolgen zu bedenken – auf den KI-Zug aufzuspringen. KI ist ein wertvolles Tool zur Effizienzsteigerung und bietet Unternehmen viele Chancen, man darf es allerdings nicht leichtfertig einsetzen und muss vor dem Einsatz von KI eine Strategie für das eigene Unternehmen entwickeln.

BC: Zum Thema: Künstliche Intelligenz versichern – Wunschdenken oder Wirklichkeit? Ist das klassische Instrumentarium der Versicherung – also Policen, Deckungsbausteine, Risikoanalysen – überhaupt geeignet, mit den dynamischen und schwer vorhersagbaren KI-Risiken umzugehen?

Keltner: Ja, solange die Bedingungen technikneutral formuliert sind, sind sie sehr gut dazu in der Lage auch neuartige Risikowelten zu erfassen. Die Versicherungswirtschaft kann sich zudem – wenn sie will – sehr schnell auf neue Lebenssituation einstellen und geeignete Versicherungslösungen anbieten.

BC: Wie schätzen Sie die Bereitschaft von Unternehmen ein, KI-Risiken transparent zu machen, wenn gleichzeitig ein wirtschaftlicher Druck besteht, die Technologie möglichst schnell einzusetzen?

Keltner: Das ist eine schwierige Frage, jene Unternehmen, die mit uns über diese Thematik sprechen, haben die Risiken, die hinter der KI-Verwendung stehen erkannt und weisen daher die notwendige Awareness auf. Dies ist aber ein trügerisches Bild, glaubt man den neuesten Statistiken, dann wird KI schon fast flächendeckend verwendet, aber so viele Gespräche zu diesem Thema führen wir aktuell nicht. Aus diesem Grund ist davon auszugehen, dass KI zwar stark genutzt wird, eine Strategie oder ein ordnungsgemäßes Risikomanagement jedoch fehlen.

BC: Zum Thema: NIS-2 im Fokus: Effektive Umsetzung und Best Practice für mehr Resilienz. Wenn ich KI in meinem Unternehmen einsetze, muss ich das dem Versicherer melden und entstehen dadurch neue Risiken?

Keltner: Nein, der Einsatz von KI muss dem Versicherer grundsätzlich nicht gemeldet werden und ist aktuell, in keinem uns am Markt bekannten Produkt ausgeschlossen. Sofern die KI nicht selbst entwickelt wird, benötigt man aus diesem Grund auch kein spezielles Produkt. Vorsicht ist geboten bei neuartigen KI-Deckungen in bestehenden Produkten, diese werden den Versicherungsschutz eher einschränken als erweitern. Sollte ein Versicherer derartige „Deckungserweiterungen“ anbieten müssen diese genau geprüft werden

BC: Abschließend: Wir werden jetzt das Jubiläum der 10. PriSec feiern, Sie begleiten uns nun schon länger ein Stück des Weges. Was ist in Ihren Augen der Erfolgsgarant für diese Konferenz?

Keltner: Die tolle Organisation, die interessante Themenauswahl, die großartigen Vortragenden und die offene PriSec-Community. Die PriSec is the place to be, wenn man sich mit Gleichgesinnten vernetzen will!

Ludwig

Business Circle: Sehr geehrte Frau Ludwig, uzum Thema: NIS-2 im Fokus: Effektive Umsetzung und Best Practice für mehr Resilienz. DSGVO, TISAX, ISO-Zertifizierungen und andere Standards: Bringt NIS-2 Mehrwert im Sinne der ursprünglichen Zielsetzung oder kommt da einfach noch mehr Regulierungsflut auf Unternehmen zu?

Sofia Ludwig: Unternehmen sollten die NIS-2 jetzt nicht als noch ein Bürokratiemonster verstehen, dass nur Mehrarbeit bringt und von der man nur die Mindestanforderungen erfüllt, um irgendwie den Strafen zu entkommen. Vielmehr sollten sich die betroffenen Unternehmen die NIS-2 mehr als einen Leitfaden zur Seite legen. Der Druck für mehr Cybersicherheit kommt ursprünglich nicht von den Gesetzgebern, sondern durch die steigende Anzahl an Cyberangriffen. Was der Gesetzgeber nun erreichen will, ist, dass unsere wichtigen Unternehmen sich selbst besser schützen und das in einem Rahmen, der für das Unternehmen passt. Wer sich als Unternehmen bereits mit Cybersicherheit beschäftigt, regelmäßig Risiko-Assessments durchführt und einen Umsetzungsplan für die ermittelten Maßnahmen hat, ist hier bereits auf dem Weg, den die EU erreichen will. Sie fordert genau das, was jedes Unternehmen bereits seit Jahren tun sollte: Erfasst die Risiken und arbeitet an der Behebung dieser mit den Ressourcen, die eurem Unternehmen zur Verfügung stehen. Hier gibt es kein „one fits all“ und das ist auch den Gesetzgebern klar.

Cybersicherheit als neue Klausel in Lieferantenverträgen

BC: Wie verändert NIS-2 den Umgang von Unternehmen mit ihren Zulieferketten und Partnern?

Ludwig: Noch arbeiten die meisten Unternehmen eher daran ihre eigene Cybersicherheit zu verbessern, um den Anforderungen der NIS-2 gerecht zu werden, es gibt jedoch schon die Ersten, die sich Gedanken darum machen, wie sie die Lieferkettensicherheit ihrer hunderten Lieferanten in ihr Risikomanagement integrieren können. Plötzlich wird mit der NIS-2 die Sicherheit anderer Unternehmen ebenfalls ein Thema für das eigene Unternehmen. Allen Lieferanten den Zugriff auf firmeneigene Ressourcen zu entziehen, oder für jeden Lieferanten noch einen Ersatzlieferanten in der Hinterhand zu haben ist nicht realistisch und für kaum ein Unternehmen umsetzbar, darum müssen viele Unternehmen ihren Umgang mit ihren Lieferanten überdenken. Es ist davon auszugehen, dass sich hier einige Unternehmen an den Anforderungen des Schwestergesetzes DORA für den Finanzsektor orientieren werden, in dem Vertragsanforderungen und Auditpflichten für Lieferanten beschrieben werden. Worauf sich jetzt also viele Lieferanten einstellen müssen ist, dass auf sie Vertragsneuverhandlungen zukommen, in denen die Cybersicherheit garantiert werden muss, oder es kommen Fragebögen und Audits auf sie zu. Es ist klar im Sinne des Gesetzgebers, dass die hohen Anforderungen der NIS-2 indirekt durch die Pflicht zur Sicherheit der Lieferkette auch eben an jene Lieferanten durchsickert. Wie hier mit Schwachen Unternehmen in der Lieferkette umgegangen wird, ist eine individuelle Entscheidung der Unternehmen, diese Unternehmen auszutauschen sollte jedoch die allerletzte Maßnahme sein, die ein Unternehmen hier treffen muss.

BC: Wie können Unternehmen echte Widerstandskraft aufbauen?

Ludwig: Wer jetzt echte Widerstandskraft aufbauen will, sollte sich nicht zu sehr auf die NIS-2 oder zahllose ISO-Zertifizierungen versteifen. Wir sagen ganz klar: Macht Cybersecurity zu einer gelebten Praxis im Unternehmen, die für alle Beteiligten umsetzbar ist. Regelmäßige Risiko-Assessments nach einem Standard sollten hierbei die absolute Basis für alle Unternehmen sein, unabhängig davon, ob das Unternehmen aus dem Mittelstand kommt, oder ein internationaler Großkonzern ist. Welche Maßnahmen daraus resultieren sollte individuell für jedes Unternehmen bestimmt werden. Nicht jedes Unternehmen hat die gleichen Ressourcen es gibt gravierende Unterschiede im Aufbau der Unternehmen. Hier muss darauf geachtet werden, dass die Maßnahmen auch im Verhältnis zum Risiko stehen und man nicht unverhältnismäßig viel investiert, ohne dass es einen Mehrwert bietet. Die Investitionen sollten jedoch nicht unterschätzt werden, Cybersicherheit kostet nicht nur Geld, sondern auch Personalaufwand.

BC: Sehr geehrte Frau Keltner, sehr geehrte Frau Ludwig. Danke für dieses Gespräch, mit dem Sie alles auf den Punkt gebracht haben. Wir freuen uns sehr, auf der PriSec noch mehr von Ihnen zu hören.