Ángel García-Madrid Velázquez, Leiter der Resilience Services & Business Continuity Manager von GMV, nahm mit einem Vortrag unter der Überschrift „NIS2: Normative und operative Herausforderungen für Industriestrategie und Lieferkettenmanagement“ am 15. Mai an der Veranstaltung „La Voz de la Industria de Andalucía“ (Die Stimme der Industrie Andalusiens) teil, die vom Centro de Ciberseguridad Industrial (Zentrum für industrielle Cybersicherheit, CCI) organisiert wurde. Sein Beitrag bot eine strategische Sicht auf die Auswirkungen der neuen NIS2-Richtlinie auf die Industrie, insbesondere in multinationalen Umgebungen und auf den Schutz der Lieferkette.

Angel begann mit einer kontextuellen Darstellung der wichtigsten Herausforderungen, denen sich die Industrie in Bezug auf die Cybersicherheit gegenübersieht, insbesondere in OT- und IoT-Umgebungen, wo es darauf ankommt ist, dass je nach der Typologie des Industriesektors bestimmte Standards eingehalten werden. Er betonte, dass NIS2 nicht isoliert, sondern als Teil eines breiteren regulatorischen Ökosystems in Europa zu verstehen ist. Dieses umfasst Initiativen wie die CER-Richtlinie, die sich auf die Resilienz kritischer Einrichtungen konzentriert, das Cyber Resilience Act (CRA), das den Grundsatz Security by Design bei digitalen Produkten einführt, sowie RECAPI und das neue Industriegesetz zur Stärkung der Mechanismen zum Krisenmanagement.

Einer der wichtigsten Aspekte, die angesprochen wurden, war der aktuelle Stand der Umsetzung der NIS2-Richtlinie sowohl auf nationaler als auch internationaler Ebene.

Angel wies auf die erheblichen regulatorischen Unterschiede zwischen den Ländern hin, die eine Herausforderung für multinationale Unternehmen darstellen, und betonte die Notwendigkeit, hin zu einem homogeneren und besser abgestimmten europäischen Rahmen voranzuschreiten.

In diesem Zusammenhang schlug er eine mehrstufige Compliance-Strategie vor, die GMV mit verschiedenen Industrien in unterschiedlichen Sektoren umsetzt und die auf den folgenden Säulen beruht:

• Entwicklung eines gemeinsamen Katalogs von Kontrollen, die auf die wichtigsten internationalen Vorschriften abgestimmt sind.
• Wiederverwendung bestehender Kontrollen und ihre Zuordnung zur lokalen Umsetzung der NIS2.
• Automatisierung der Compliance durch GRC-Tools, die an das jeweilige Land angepasst sind.
• Stärkung der Unternehmens- und nationalen Governance, Integration der NIS2 in die Strategie- und Compliance-Agenda von Organisationen.
• Entwicklung einer Strategie für das Drittpartei-Risikomanagement.