3 Minuten Lesezeit Mit Insights von Dr. Kunal Sehgal Principal Cybersecurity Consultant kunal.sehgal@zuhlke.com Hongkongs 'Protection of Critical Infrastructures (Computer Systems) Bill' führt strenge Cybersecurityauflagen für Organisationen in kritischen Sektoren ein. Das Gesetz soll die Cyberhygiene durch umfassende Sicherheitskontrollen stärken, einschließlich regelmäßiger Risikobewertungen, Echtzeit-Systemüberwachung, Penetrationstests und zeitnaher Meldung von Vorfällen.Unternehmen müssen nicht nur robuste Cybersecuritymaßnahmen umsetzen, sondern auch ihre Wirksamkeit bei der Eindämmung von Cyberbedrohungen nachweisen. Die Nichteinhaltung kann zu schweren Sanktionen führen, weshalb Unternehmen proaktive Maßnahmen zur Erfüllung dieser neuen Verpflichtungen ergreifen müssen. Compliance ist nicht länger optional, sondern eine rechtliche Notwendigkeit – es steht mehr auf dem Spiel als je zuvor.Die Herausforderung liegt auch in der Mehrdeutigkeit des Gesetzes: Es ist nicht klar definiert, welche Organisationen unter die Klassifikation der „kritischen Infrastruktur“ fallen. Obwohl es sich im Großen und Ganzen an Sektoren wie Finanzen, Telekommunikation, Gesundheitswesen, Energie und Transportwesen richtet, können fehlende Qualifikationskriterien dazu führen, dass einige Unternehmen unsicher sind, ob sie die Vorschriften einhalten müssen.Das Risiko? Eine unbeabsichtigte Nichteinhaltung kann Sanktionen, Audits oder, schlimmer noch, Schwachstellen während einer Cyberkrise entlarven. Da die Durchsetzung bereits 2026 ansteht, müssen Unternehmen proaktiv handeln und sicherstellen, dass sie angesichts dieser Unsicherheit nicht unvorbereitet getroffen werden. Weckruf für CIOs und CISOs kritischer Infrastrukturen Das Gesetz richtet sich an große Organisationen, insbesondere an solche, die für die Erbringung grundlegender Dienstleistungen oder die Aufrechterhaltung lebenswichtiger gesellschaftlicher und wirtschaftlicher Funktionen verantwortlich sind. Denken Sie an CIOs von Finanzinstituten, Stromnetzen, Transportnetzen und Telekommunikationsanbietern in Sektoren, in denen ein einziger Cyberangriff den Geschäftsbetrieb lahmlegen oder das tägliche Leben stören könnte. Da die Durchsetzung am 1. Januar 2026 beginnen soll, müssen die Organisationen jetzt handeln. Nur so können sie wirklich bereit sein und die Anforderungen fristgerecht erfüllen. Wir empfehlen, sich auf folgende Themen zu fokussieren: Reichen Sie einen Plan für das Sicherheitsmanagement von Computersystemen ein und setzen Sie ihn um, um die Sicherheit ihrer kritischen Computersysteme zu gewährleisten. Dieser Plan ist gemäß den Anforderungen in Anlage 3 zu erstellen. Führen Sie Sicherheitsrisikobewertungen von Computersystemen hinsichtlich der Risiken für die Sicherheit ihrer kritischen Computersysteme durch. Die erste Bewertung muss innerhalb von 12 Monaten nach dem Tag der Benennung erfolgen, die weiteren Bewertungen mindestens einmal alle 12 Monate. Diese Bewertungen müssen alle in Anhang 4 aufgeführten Aspekte abdecken. Organisieren Sie die Durchführung von Computersystem-Sicherheitsprüfungen hinsichtlich der Sicherheit ihrer kritischen Computersysteme. Das erste Audit muss innerhalb von 24 Monaten nach dem Tag der Benennung und weitere Prüfungen mindestens einmal alle 24 Monate erfolgen. Diese Prüfungen müssen den vorgegebenen Zeitraum und alle in Anhang 5 aufgeführten Punkte abdecken und von einem unabhängigen Prüfer durchgeführt werden. Erstellen und implementieren Sie einen Notfallplan der das Protokoll für die Reaktion auf Sicherheitsvorfälle in Computersystemen hinsichtlich ihrer kritischen Computersysteme detailliert beschreibt. Dieser Plan ist gemäß Klausel 27(3) zu erstellen und muss alle in Teil 2 von Anhang 3 aufgeführten Punkte abdecken. Die Gesetzesvorlage zum Schutz kritischer Infrastrukturen (Computersysteme) ist ein Gamechanger – und die Vorbereitungszeit ist kurz.Wir bei Zühlke verstehen die Komplexität dieser neuen regulatorischen Landschaft. Als globaler Technologiepartner haben wir Organisationen aus verschiedenen Branchen wie BitMEX und Justitia.Swiss, das Schweizer Justizsystem, dabei unterstützt, ihre Cybersecurityrahmen zu stärken und Compliance-Herausforderungen zu meistern. „ Die Einführung dieser neuen Gesetzgebung könnte nicht zeitgemäßer sein. Da die Cyberangriffe laut HKCERT im Jahresvergleich um rund 39 Prozent gestiegen sind, wird die Bedrohungslandschaft von Tag zu Tag gefährlicher. Das dient als Weckruf und fordert Organisationen auf, ihre Cybersicherheitsabwehr zu stärken, bevor sie zum nächsten Ziel werden. “ Raphael Reischuk Partner und Group Head Cybersecurity Cybersecurity mit Zühlke – Ihr globaler Partner für Transformation Mehr erfahren
„ Die Einführung dieser neuen Gesetzgebung könnte nicht zeitgemäßer sein. Da die Cyberangriffe laut HKCERT im Jahresvergleich um rund 39 Prozent gestiegen sind, wird die Bedrohungslandschaft von Tag zu Tag gefährlicher. Das dient als Weckruf und fordert Organisationen auf, ihre Cybersicherheitsabwehr zu stärken, bevor sie zum nächsten Ziel werden. “ Raphael Reischuk Partner und Group Head Cybersecurity
Versicherungen – Generative AI zur Bewältigung von Herausforderungen in der Versicherungsbranche Mehr erfahren
Versicherungen – Wie Versicherer mit IoT wachsen können – Die Zukunft von Versicherungen ist hochvernetzt Mehr erfahren