Warum Cyber-Resilienz keine reine IT-Frage ist – und was Unternehmen jetzt tun müssen

Die neue Cyber-Meldepflicht gemäss Art. 74c ISG bringt es auf den Punkt: Sicherheit ist kein isoliertes IT-Projekt, sondern eine unternehmensweite Führungsaufgabe. Besonders in kritischen Infrastrukturen, wo IT, OT und Facility Management ineinandergreifen, entscheidet die Vorbereitung über den Ausgang eines Vorfalls.

Wenn niemand vorbereitet ist – ein realitätsnahes Szenario

Frühjahr 2025: Ein medizinisches Labor mit 80 Mitarbeitenden wird Opfer eines Cyberangriffs über das Gebäudeautomationssystem. Eine unzureichend gesicherte Fernwartungsschnittstelle wird zur Einfallstür. Die Folge: unkontrollierte Klimaveränderungen, beschädigte Proben, ausgefallene Geräte – der Betrieb steht still. Die Analyseergebnisse bleiben aus, der Reputationsschaden ist immens.

Was diesen fiktiven Fall so real macht? Die fehlende Vorbereitung. Keine klaren Verantwortlichkeiten, keine definierten Abläufe, keine geübten Prozesse. Die Meldepflicht wurde unterschätzt – und Zeit wurde zur Last.

OT-Sicherheit ist mehr als Technik

«OT-Sicherheit ist kein reines IT-Thema mehr», sagt Michel Renfer, CEO von dualstack. «Verschiedene Funktionen im Unternehmen sind betroffen. Ist die Organisation nicht vorbereitet, wird die Rückkehr zur Normalität zur Mammutaufgabe.»

Gerade IT-Verantwortliche stehen heute an der Schnittstelle zwischen Technik, Führung und Fachbereichen. Sie müssen Brücken bauen – zwischen Systemen, Prozessen und Menschen. Doch viele Organisationen wissen nicht einmal, dass sie unter die Cyber-Meldepflicht fallen. Noch weniger haben sie klare Prozesse, um Vorfälle zu erkennen, zu melden und zu dokumentieren.

Vom Risiko zur Routine – die Cyber-Meldepflicht als Chance

Die Pflicht zur Meldung von Cybervorfällen ist mehr als eine regulatorische Vorgabe – sie ist ein Weckruf zur strukturellen Resilienz. Unternehmen sollten sich jetzt folgende Fragen stellen:

• Wo steht unsere Organisation heute?
• Welche Systeme, Prozesse und Rollen sind betroffen?
• Wo liegen technische, organisatorische und kommunikative Schwachstellen?
• Wie etablieren wir gemeinsame Standards und klare Verantwortlichkeiten?
• Wie sichern wir Stabilität bei Personalwechseln?Und wie trainieren wir Notfälle, bevor sie eintreten?

Denn: «Sicherheit wird dann robust, wenn sie trainiert ist. Was nicht regelmässig geübt wird, funktioniert im Ernstfall nicht», so Michel Renfer.

Fazit: Resilienz ist eine Führungsaufgabe

Cyber-Resilienz bedeutet nicht, jeden Angriff zu verhindern. Sondern Strukturen zu schaffen, die im Ernstfall funktionieren – technisch, organisatorisch und kommunikativ. Der Erfolg liegt dort, wo IT, OT, Facility Management und Führung auf gemeinsame Standards und gute Vorbereitung setzen.

Wie vorbereitet ist Ihr Unternehmen auf die Cyber-Meldepflicht?

dualstack AG unterstützt Sie mit technischer Expertise, Prozessverständnis und einem Blick für das Ganze. Damit IT- und OT-Sicherheit nicht nebeneinander, sondern miteinander funktionieren.