In diesem Exklusivinterview erläutern Dr. Annette Kaffsack (CCO) und César Callejo (CIO) einige Details zur kommenden Compliance Commitment Week von Nippon Gases. Die Initiative, die die Compliance-Kultur des Unternehmens weiter stärkt, hat in diesem Jahr einen Schwerpunkt: Cybersicherheit.
Sie führen im Oktober diesen Jahres eine Compliance Commitment Week durch. Was ist damit gemeint?
|
|
Unser Compliance Programm bei Nippon Gases umfasst verbindliche Aktivitäten. Dazu gehören z.B. die jährliche Re-zertifizierung des Verhaltenskodexes, gesetzlich vorgeschriebene Schulungen, Compliance Schulungen für alle neuen Mitarbeiter*innen und zweijährig generell für alle Mitarbeiter*innen. Darüber hinaus wollen wir mit weiteren Maßnahmen unsere Compliance Kultur noch weiter stärken. Das tun wir mit regelmäßigen Compliance Nachrichten und anlassbezogenen Schulungen, aber auch mit der sog. Compliance Commitment Week, in der wir uns dem Thema Compliance besonders widmen. Wir führen diese nach 2019 nun zum zweiten Mal europaweit durch. Während 2019 allgemeine Themen zu Compliance und unserem Compliance Programm bzw. unserer Compliance Kultur Inhalt waren, haben wir dieses Jahr den Schwerpunkt Cyber Security, ergänzt um unsere IT Control Standards und Datenschutz/Vertraulichkeit, gewählt. |
Warum haben Sie diesen Schwerpunkt gewählt?
|
|
Nicht nur bedingt durch die Pandemie sehen wir generell ein sehr schnelles Fortschreiten der Digitalisierung bei unseren Geschäftspartner und selbstverständlich auch bei Nippon Gases. Hinzu kommt eine veränderte Arbeitskultur verstärkt durch das Arbeiten im Homeoffice. Dies bringt alles viele Vorteile in der Erreichbarkeit und Schnelligkeit. Leider erhöht es aber auch die Risiken durch direkte Cyberangriffe auf IT-Systeme, E-Mail-Phishing oder indirekte Versuche über unsere Geschäftspartner. Bisher konnten wir diese Angriffe glücklicherweise abwehren. Die Zahl und die Raffinesse von Cyberangriffen werden jedoch in Zukunft weiter zunehmen. Und wir werden auch verstärkt durch unsere Geschäftspartner informiert, dass sie Ofer von Cyber Angriffen geworden sind. Daher haben wir entschieden, dieses Thema zum Gegenstand der Compliance Commitment Week zu machen. |
|
|
Und da zu diesem Thema im weiteren Sinn auch Datenschutz bzw. Vertraulichkeit und unsere IT Control Standards bzw. Nutzung der IT und des entsprechenden Equipments gehören, wollen wir diese Themen auch ansprechen. |
Wie ist der Ablauf der Compliance Commitment Week geplant?
|
|
Wichtig für eine solche Maßnahmen ist eine entsprechende Kommunikation, die wir mit einer europaweiten Nachricht unseres Präsidenten Eduardo Gil im Intranet starten, gefolgt von Nachrichten und Hinweisen der lokalen Management-Teams und der lokalen Compliance Verantwortlichen. In der eigentlichen Compliance Commitment Week bitten wir die Manager mit ihren Teams über Cyber Security, Nutzung der IT und Datenschutz anhand eines vorgeschlagenen Fragebogens bzw. einer Themenliste zu sprechen, um von der Organisation zu erfahren, wie ihrerseits diese Themen bewertet werden und auch zu lernen, wo eventuell noch Handlungsbedarf besteht. Darüber hinaus werden die Mitarbeiter*innen aufgefordert, Online-Trainings zu den Themen durchzuführen. |
Was tun Sie ansonsten, um das Risiko eines Cyber-Angriffes zu minimieren?
|
|
Wenn es um Cybersicherheit geht, versuchen wir, einen ganzheitlichen Ansatz zu verfolgen, um die Sicherheit des Unternehmens zu gewährleisten. Dies schlägt sich in mehreren Unternehmensebenen und Arbeitsbereichen nieder. Angefangen bei einem starken allgemeinen, unternehmensweiten IT-Sicherheitsrahmen mit Standards, Richtlinien und Verfahren. Ergänzt durch eine Reihe neuer Sicherheitstechnologien, um unsere Systeme besser zu schützen. Und schließlich unser Programm zur Förderung des Sicherheitsbewusstseins. Damit wollen wir auf allen Unternehmensebenen eine angemessene Sensibilität für Cybersicherheit schaffen. Dieses Programm beinhaltet auch, die Mitarbeiter*innen durch spezielle Schulungen zu sensibilisieren und in Ihrer Arbeit zu unterstützen , da sie eine Schlüsselrolle beim Schutz des Unternehmens spielen.
|
|
|
Darüber hinaus führen wir seit einem Jahr monatliche E-Mail Phishing Tests durch und können glücklicherweise eine stetig ansteigende Sensibilität in unserer Organisation verzeichnen. Aber da ein einzelner Angriff ausreichend ist um das Unternehmen zu schädigen, werden wir nicht nachlassen, diese Test durchzuführen. Des Weiteren führen wir regelmäßig für alle Mitarbeiter*innen Awareness Schulungen zu diesem Thema durch und weiterführende Schulungen für besonderes anfällige Abteilungen wie Finanzen, Einkauf und den Vertriebsinnendienst. |
Director Legal Europe,
Chief Compliance Officer
Europe
Chief Information Officer