01
Wer greift uns gerade jetzt an?
Nicht wer uns angreifen könnte. Wer es jetzt versucht, auf realen Systemen.
Persona · Eigentümer · Vorstand · CEO
Cyber ist keine IT-Kostenposition.
Es ist Governance.
Seit 2024 schreibt NIS2 Vorständen persönliche Haftung für unzureichende Cyber-Posture zu. Versicherungspolicen verlangen technische Belege zur Auszahlung. Die Frage ist nicht mehr ob wir damit umgehen werden — sondern wie und wann.
10 Mio. €NIS2-Höchstsanktion
2 %Umsatz · wesentliche Einrichtungen
72 hPflicht-CSIRT-Meldung
4×Vorstands-Reports pro Jahr
§ 01 · 10 Fragen an den CISO
Die Fragen, die der Vorstand bereits stellen sollte.
Wenn der CISO keine konkreten Antworten auf diese Fragen hat, liegt das Problem nicht beim CISO: Es ist die Informationsexposition des Vorstands. Wir unterstützen Unternehmen beim Aufbau eines technisch-strategischen Dialogs in Risikosprache.
02
Wie lange würde ein Ransomware-Shutdown dauern?
In Produktionsstunden, in Umsatz, in verlorenen Kunden. Zahlen, keine Gefühle.
03
Sind wir im NIS2-Geltungsbereich? Wesentlich oder wichtig?
NIS2 schreibt Vorständen persönliche Haftung zu. Wissen Sie, wo Sie einzuordnen sind?
04
Würden unsere Backups wirklich halten?
Wann wurde der letzte vollständige Restore getestet? Nicht simuliert — ausgeführt.
05
Haben wir eine Cyber-Police? Was deckt sie wirklich ab?
Vor 2024 unterzeichnete Policen schließen häufig Ransomware aus oder verlangen Mindest-Posture, die heute nicht garantiert ist.
06
Wer antwortet, wenn es um 3 Uhr morgens passiert?
Telefonnummer, Person, Sprache, Zeitzone. Konkret.
07
Wie viel investieren wir in Cyber im Vergleich zur Branche?
Branchen-Median: 2-4 % des IT-Budgets für Banken/Finanzwesen, 1-2 % für Fertigung. Bei Ihnen?
08
Sind unsere kritischen Lieferanten geschützt?
Supply Chain ist die führende moderne Angriffsfläche. NIS2 schreibt deren Aufsicht vor.
09
Was hat sich seit dem letzten Cyber-Vorstandstermin geändert?
Threat Landscape, Regulierung, interne Posture. Wenn die Antwort 'nichts' lautet, ist das Monitoring inaktiv.
10
Was würden wir der Presse morgen sagen?
Krisenkommunikation vorab vorbereitet, nicht während des Vorfalls improvisiert.
Möchten Sie ein druckbares Arbeitsblatt? Wir senden es per E-Mail →
§ 02 · Vergleich
Internes SOC vs. externes MDR.
Qualitativer Vergleich für ein Mid-Market-Unternehmen (200-500 Endpoints, 1-2 Standorte). Ein internes SOC erfordert Personal, Technologie-Stack, Intel, Detection Engineering, Kontinuität, Schulung. Das Fortgale-MDR-Modell aggregiert alles in einem Managed Service, mit deutlich geringerer relativer Investition.
| Komponente | Internes SOC | Fortgale MDR |
|---|---|---|
| Senior-SOC-Personal · 24/7 | Vollzeit-dedizierte Ressourcen | Enthalten · kein HR |
| EDR · SIEM · TIP-Stack | Zu kaufen und zu betreiben | Enthalten · Multi-Vendor |
| Threat-Intel-Feeds / Abos | Zusätzliche Abonnements | Enthalten · proprietäre CTI |
| Detection Engineering | Internes Team oder Beratung | Enthalten · Peer-reviewed Rules |
| Tabletops, Schulung, Zertifizierungen | Separates Budget | Enthalten (Silver+) |
| Kontinuität · Feiertage · Fluktuation | 30 % unvorhergesehen | Gemildert · Rotationsteam |
| Time-to-Value | 12-18 Monate | 30 Tage |
| Relative Investition | €€€€€ | €€ |
Das Verhältnis €€€€€ : €€ stellt die durchschnittliche relative Investition dar, die im europäischen Mid-Market beobachtet wurde. Möchten Sie einen Vergleich für Ihren spezifischen Fall? Mit unseren Analysten sprechen.
§ 03 · NIS2-Accountability
Sanktionen wirtschaftlich und persönlich.
Die NIS2-Umsetzung in den EU-Mitgliedstaaten führt erhebliche Sanktionen für das Unternehmen und für Vorstände auf individueller Ebene ein. Der Unterschied zur GDPR: Hier gibt es auch eine Aussetzung der Tätigkeit.
| Subjekt / Verstoß | Höhe | Hinweis |
|---|---|---|
| Wesentliche Einrichtungen | bis zu 10 Mio. € oder 2 % des globalen Umsatzes | Es gilt der höhere der beiden Werte |
| Wichtige Einrichtungen | bis zu 7 Mio. € oder 1,4 % des globalen Umsatzes | Es gilt der höhere der beiden Werte |
| Vorstände | persönliche Haftung | Aussetzung der Tätigkeit bei schweren wiederholten Verstößen |
| Versäumte CSIRT-Meldung | zusätzliche Sanktionen | Bis zu 1 Mio. € extra bei Unterlassung/Verzögerung der Meldung |
Persönliche Exposition der Vorstände.
NIS2 verpflichtet das Management, Cyber-Maßnahmen zu kennen und zu genehmigen.
Die Formel "Ich wusste es nicht" ist keine Verteidigung. Standard-D&O-Deckung antwortet
nicht immer auf Unterlassungen in Cyber-Angelegenheiten.
§ 04 · Versicherbarkeit
Die Police zahlt nur wenn.
Cyber-Policen 2025-2026 enthalten technische Posture-Bedingungen für Underwriting und Schadensauszahlung. Bei unzureichender Posture ist das Risiko doppelt: Den Angriff erleiden und keine Entschädigung erhalten.
Voraussetzung
Verpflichtende MFA
Ohne MFA bei privilegierten Zugriffen unterschreiben die meisten Underwriter nicht. Baseline-Posture 2026.
Voraussetzung
Immutable Backup + DR-Test
Off-line-/Immutable-Backups, im Jahr getestet. Ohne diese Ransomware-Ausschluss in neuen Policen.
Voraussetzung
EDR/MDR auf Endpoints
Endpoints mit moderner Detection · 24/7-Monitoring. Anbieter nicht in der Whitelist: der Wert ist die Abdeckung, nicht das Logo.
Prämienrabatt
Dokumentiertes Jahres-Tabletop
Top-Tier-Policen geben 5-15 % Rabatt, wenn eine dokumentierte jährliche IR-Übung mit Bericht existiert.
Prämienrabatt
Vendor Risk Management
Strukturierter Prozess zur Bewertung kritischer Lieferanten (NIS2 Art. 23). Reduziert die Prämie.
Wir arbeiten mit den Maklern Ihres Unternehmens zusammen, um die Posture zu zertifizieren und die Prämie zu reduzieren. Erzählen Sie uns von Ihrer Police.
Für ein Vorstands-Briefing
Ein 45-minütiges Briefing für Ihren Vorstand.
Risikosprache, keine Technologie. Risikoregister, Posture, Sanktionen, Versicherungsdeckung. Bereit zur Präsentation.