contact@techway.ch
+41 44 585 23 09
TECHWAY Schweiz Logo
DE
FRENIT

CISO-Führung – Teil 4/5

Cyberrisiken sind Chefsache: Die Rolle des CISO in Governance, Finanzen und Recht verändert sich rasant. In Europa erzwingen NIS2 und DORA strengere Berichtspflichten, in der Schweiz präzisieren FINMA‑Rundschreiben und das revidierte Datenschutzgesetz (DSG 2023) die Verantwortung von Sicherheitsverantwortlichen.

Warum CISOs heute stärker ins Management Reporting gehören

Die Position des CISO wandelt sich vom Technologieexperten zum Brückenbauer zwischen Risiko, Recht und Finanzierung. Laut dem CISO Report 2025 nehmen 83 % der europäischen CISOs regelmässig an Vorstandssitzungen teil. Gleichzeitig verfügen aber nur 29 % der Vorstände über ausgewiesene Cyber‑Expertise – ein Missverhältnis, das die Notwendigkeit klarer, geschäftsrelevanter Kommunikation unterstreicht.

In der Schweiz zeigt die Analyse von PwC, dass nur rund jedes sechste Unternehmen seine Cyber‑Budgets risikoorientiert zuweist und dass CISOs seltener in operative Geschäftsentscheidungen eingebunden sind als im globalen Durchschnitt (PwC Global Digital Trust Insights 2025). Für Verwaltungsräte und CEOs entsteht daraus ein einfacher Schluss: Ohne klare Einbindung des CISO bleiben finanzielle Entscheidungen und Compliance‑Massnahmen fragmentiert.

Budgetverantwortung und CFO‑Spannungsfelder

Die Übersetzung technischer Risiken in betriebswirtschaftliche Kennzahlen ist ein zentrales Spannungsfeld zwischen CISO und CFO. PwC stellt fest, dass in vielen Schweizer Firmen Cyber‑Investitionen nicht auf Basis von Risikobewertungen priorisiert werden (PwC, 2024). Ohne valide Risikoökonomie fehlt dem CFO die Grundlage, um Mittel zielgerichtet freizugeben.

Best‑Practice‑Ansatz: CISOs entwickeln Key Risk Indicators (KRIs) und Total Cost of Risk‑Modelle, die potenzielle Verlustszenarien monetarisieren und so Investitionsentscheidungen ermöglichen. Ein praktisches Vorbild liefert die SMG Swiss Marketplace Group: Group CISO Mostafa Hassanin berichtet direkt an die Geschäftsleitung und etablierte ein Reporting‑System mit KRIs, das die Abstimmung mit Finance und Legal erleichtert (Swiss CISO Awards / SMG).

Rechtliche Verantwortung: Zusammenarbeit mit Legal und Haftungsfragen

Regulatorische Vorgaben erhöhen die Schnittstellenlast zwischen CISO und Rechtsabteilung. CISOs tragen heute Mitverantwortung für die Einhaltung von Datenschutz‑ und Melderegeln (DSG/DSGVO) sowie für Compliance‑Standards wie ISO 27001. Eine enge Verzahnung mit Legal ist deshalb unverzichtbar, insbesondere bei Meldepflichten und Vertragsprüfungen mit Drittanbietern.

Die Praxis zeigt: CISOs, Legal und Compliance müssen Meldewege, Eskalationsregeln und Rollen bei Incident‑Response verbindlich regeln. Dies fordert auch die regulatorische Agenda – DORA und NIS2 schreiben etwa formalisierte Governance‑Strukturen und klare Meldefristen vor, die technische und rechtliche Verantwortlichkeiten überlagern.

Regulatorischer Druck: DORA, NIS2, FINMA und DSG

Die europäischen Vorgaben verändern Governance‑Anforderungen substantiell. DORA wird ab 2025 für Finanzinstitute in Kraft treten und verlangt unter anderem verpflichtende ICT‑Risikomanagement‑Frameworks, Resilience‑Tests und strikte Meldepflichten. Parallel erweitert NIS2 die Pflichten für Betreiber kritischer Dienste und ihre Zulieferer.

In der Schweiz ergänzen FINMA‑Rundschreiben die Anforderungen für Banken und Versicherungen, während das revidierte Datenschutzgesetz (DSG 2023) seit September 2023 strengere Transparenz‑ und Meldepflichten definiert. Zusammengenommen erhöhen diese Regelungen die operative Last für CISOs und verlangen eine deutliche Verankerung in der Geschäftsleitung und im Board.

Board Communication: Was Vorstände wirklich erwarten

Gute Board‑Kommunikation bedeutet: Risiko in Geschäftskennzahlen übersetzen, klare Handlungsempfehlungen geben und Entscheidungsspielräume aufzeigen. Studien zeigen erhebliche Wahrnehmungsunterschiede: 52 % der Vorstände sehen den CISO als Business Enabler, doch nur 34 % der CISOs teilen diese Sicht (CISO Report 2025).

Konkrete Erwartungen an Board‑Reports: – Kurzfristige Übersicht über kritische KRIs, – Bewertung möglicher finanzieller Auswirkungen (Loss‑Scenarios), – Status von Compliance‑Massnahmen (DORA/NIS2/DSG), – Entscheidungen mit Budget‑ und Risikofolgen zur Freigabe.

Praxisbeispiele: Schweizer Unternehmen als Vorbild

Aus der Schweizer Praxis zeigen Auszeichnungen und Fallbeispiele, wie CISO‑Funktionen wirksam in Governance integriert werden. Logitech‑CISO Tana Dubel, als Swiss CISO of the Year 2024 gewürdigt, führte eine Zero‑Trust‑Strategie ein, erreichte ISO‑27001‑Compliance und etablierte regelmässige Board‑Updates sowie eine gesteigerte Diversität im Team. Dies verbesserte Compliance und Resilienz zugleich (Swiss CISO Awards / Logitech).

Ähnlich berichtet die SMG Swiss Marketplace Group über direkte Berichtslinien an die Geschäftsleitung und ein KRI‑basiertes Reporting, das die Zusammenarbeit mit Finance und Legal stärkte und die Reaktionszeiten bei regulatorischen Anforderungen verkürzte (Swiss CISO Awards / SMG).

Handlungsempfehlungen für CISO, CFO und Legal

Aus den vorliegenden Studien und Praxisbeispielen lassen sich konkrete Schritte ableiten:

  • Verbindliches Reporting‑Framework einführen: KRIs, Loss‑Scenarios und Compliance‑Status standardisieren.
  • Finanzkennzahlen integrieren: Total Cost of Risk und Return‑on‑Security‑Investment (RoSI) für Budgetdiskussionen verwenden.
  • Governance verankern: CISO‑Reporting idealerweise an CEO oder Board ausrichten, ergänzt durch regelmäßige Briefings für CFO und Legal.
  • Regulatorische Roadmap erstellen: DORA/NIS2/FINMA‑Anforderungen in Projektpläne überführen und Drittanbieter‑Risiken priorisieren.
  • Interne Rollen klären: Incident‑Meldewege, Eskalationsstufen und Haftungsfragen gemeinsam mit Legal dokumentieren.

Fazit

Die CISO‑Funktion hat sich zu einer Führungsaufgabe entwickelt, die Governance, Finanzen und Recht gleichermassen berührt. Europäische Regulierung (DORA, NIS2) und Schweizer Vorgaben (FINMA, DSG 2023) treiben diese Entwicklung weiter voran. Unternehmen, die CISO, CFO und Legal frühzeitig auf eine gemeinsame Sprache und strukturierte Reporting‑Mechanismen verpflichten, reduzieren Compliance‑Risiken und schaffen die Voraussetzung für fundierte Investitionsentscheidungen.

CISO, CFO und Legal: Ihr nächster Schritt

Wenn Sie die CISO‑Funktion stärken wollen: Beginnen Sie mit einem KRI‑basierten Reporting und einer regulatorischen Gap‑Analyse für DORA/NIS2/DSG. Als Orientierung dienen die PwC Global Digital Trust Insights 2025 und der CISO Report 2025.

Key Take-away – Konvergente Verantwortung jetzt regeln

Verankern Sie die CISO‑Funktion in der Geschäftsleitung, standardisieren Sie Krisen‑ und Compliance‑Reporting (KRIs, Loss‑Scenarios, DORA/NIS2‑Roadmap) und etablieren Sie klare Abstimmungsprozesse mit CFO und Legal – nur so lassen sich regulatorische Pflichten, finanzielle Folgen und operative Risiken wirksam steuern.

CISO-Rolle in Europa & der Schweiz – Teil 3/5
Ratgeber PAM: Praxis-Tipps und Anleitung
Die neue Führungsrolle des CISO in Europa und der Schweiz – Governance, Regulierung und finanzielle Verantwortung - Teil 4/5

Haben Sie Fragen?

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte geben Sie eine gültige E-Mail-Adresse ein.
Bitte füllen Sie dieses Feld aus.

Beitrag von: 

Kris Kormany