Dank des neuen EU-Gesetzes zur Bekämpfung von Cyberbedrohungen werden Maßnahmen verpflichtend um Unternehmen, Regierungen und die Gesellschaft vor feindlichen Cyberoperationen schützen. Thomas Kress, ein Experte für IT-Security und Inhaber von TheUnifed, erklärt in einem exklusiven Gastbeitrag, dass Europa nun über verbesserte Abwehrmaßnahmen verfügt - wie Enhanced Cybersecurity Frameworks -, die es Organisationen erlauben, den schnell fortschreitenden Bedrohungslandschaften entgegenzuwirken und ihre Netzwerke zu stärken. Das mit dem Ziel, Ransomware und anderen gefährlichen Cyberangriffen effizienter entgegenzuwirken und widerstandsfähiger gegen diese Bedrohungen zu werden.
Was hat sich verändert?
Die Europäische Union hat zwei Richtlinien eingeführt, die in deutsches Recht umgesetzt werden müssen. Die NIS2-Richtlinie (Netz- und Informationssysteme-Richtlinie) ist besonders von Bedeutung und muss bis zum 17. Oktober 2024 in deutschem Recht verankert sein. Dies betrifft zusätzlich zur bisherigen Richtlinie NIS ca. 40.000 Unternehmen in Deutschland, angefangen vom Mittelstand bis hin zu Großkonzernen. Betroffen sind Unternehmen, die mindestens 50 Mitarbeiter haben und einen Umsatz von 10 Millionen Euro erwirtschaften können.
NIS2 unterscheidet zwischen 'Wesentlich' und 'Wichtig'. Bereiche wie Energie (Strom, Öl, Gas, Wärme, Wasserstoff), Gesundheit (Versorger, Labore, Forschung & Entwicklung, Pharma), Transport (Luft, Schiene, Wasserstraße), Banken und Finanzmärkte oder Wasser und Abwasser sowie Digital sind davon betroffen (Anbieter von Internet Exchange Points usw.). Weitere von der Regelung abgedeckte Sektoren sind Post- und Kurierdienste, Abfallwirtschaft, Chemieindustrie, Ernährungsbranche und Industrie allgemein.
Für 'Wesentliche' Einrichtungen liegt die Höchststrafe bei mindestens 10 Millionen Euro bzw. 2 Prozent des gesamten Umsatzes weltweit, falls die Richtlinie nicht eingehalten wird; für 'Wichtige' Einrichtungen bei 7 Millionen Euro bzw. 1,4 Prozent des Umsatzes im vorangegangenen Jahr - je nachdem welcher Betrag höher ist. Es ist offensichtlich immens wichtig für alle betroffenen Organisationen, sich mit den neu aufgestellten Regelungen vertraut zu machen und ihre IT-Sicherheit dementsprechend anzupassen, um etwaigen Strafen aus dem Weg zu gehen.
Unter NIS2 werden verschiedene Themen verpflichtend
NIS2 bringt Unternehmen viele Verpflichtungen, darunter auch die Einführung von IT-Sicherheitstrainings für die Mitarbeiterinnen und Mitarbeitern sowie Risikomanagement und Sicherheitslösungen auf dem aktuellen Stand der Technik. Unternehmen müssen sicherstellen, dass ihre Lieferketten und Kommunikation gesichert sind, indem sie Backup- und Wiederherstellungslösungen implementieren und Multifaktor-Authentisierung. Mit NIS2 müssen Unternehmen eine zuverlässige Infrastruktur mit den neuesten Sicherheitsmechanismen umsetzen.
Auch der EU Cyber Resilience Act (CRA) kommt auf deutsche Unternehmen zu
Der CRA zielt darauf ab, Unternehmen bei der Entwicklung sicherer Produkte mit digitalen Elementen zu unterstützen. Dazu soll durch die Einführung der Software Bill of Materials (SBoM), welche in den USA bereits verpflichtend ist, sichergestellt werden, dass Hardware- und Softwareprodukte nur wenige Schwachstellen haben und die Hersteller die Sicherheit über den gesamten Lebenszyklus eines Produkts ernst nehmen. Ziel ist es, dass Unternehmen besser herausfinden können, welche Art von Softwarepaketen und Laufzeitbibliotheken auf ihren Systemen installiert sind und ob diese mögliche Schwachstellen aufweisen.