Viele Unternehmen stellen sich die Frage, ob sie von den aktuellen Cyberregulierungen betroffen sind. Eine genauere Betrachtung offenbart jedoch, dass es nicht nur um das "ob", sondern vielmehr um das "wann" und "wie stark" geht.
Bereits jetzt unterliegen zahlreiche Unternehmen der kritischen Infrastruktur der NIS-2-Richtlinie, und bald wird der neue Cyber Resilience Act für alle Industrieunternehmen relevant. Besonders Hersteller von Hard- und Software sollten sich daher verstärkt mit dem Thema Cyber Security auseinandersetzen.
Die NIS-2 Richtlinie, ein zentraler Baustein der EU-Digitalstrategie „Gestaltung der digitalen Zukunft Europas“, ist die Fortführung der 2016 eingeführten NIS-Richtlinie. Sie trat am 16. Januar 2023 mit dem Ziel in Kraft, ein robustes Cybersicherheitsniveau in Europa zu etablieren und somit den Binnenmarkt zu festigen. Die EU-Staaten haben bis zum 17. Oktober 2024 Zeit, um die Richtlinien in ihre nationalen Gesetze zu integrieren.
Die Richtlinie kategorisiert betroffene Sektoren in zwei Gruppen: essenziell und wichtig, wobei erstere Sektoren wie Energie, Verkehr, Finanzmärkte und Gesundheitswesen umfasst. Die genaue Bestimmung der betroffenen Unternehmen innerhalb dieser Sektoren obliegt den nationalen Gesetzen.
NIS-2 bringt neue Regelungen, die Industrieunternehmen befolgen müssen, einschließlich der Meldung von Cybersicherheitsvorfällen an die zuständigen Behörden, basierend auf spezifischen Anforderungen und Zeitrahmen. Unternehmen sind auch verpflichtet, ein proaktives Risikomanagement zu implementieren und aktuelle Standards und Technologien in Bereichen wie Netzwerksicherheit und Krisenmanagement anzuwenden. Eine Zertifizierung, die die Einhaltung dieser Anforderungen bestätigt, kann von den Mitgliedstaaten erforderlich gemacht werden.
In Deutschland wird die NIS-2 Richtlinie zu Anpassungen im bestehenden IT-Sicherheitsgesetz führen. Unternehmen, die bereits solide Cybersicherheitspraktiken, wie ein Informationssicherheitsmanagementsystem (ISMS), etabliert haben, werden voraussichtlich nur minimale Änderungen vornehmen müssen.
Der Cyber Resilience Act (CRA) ist derzeit (Stand Januar 2024) noch ein Gesetzentwurf und soll für alle Hardware- und Softwareprodukte aus dem Consumer- und industriellen Bereich gelten, die miteinander oder dem Internet verbunden werden können. Alle in der EU produzierten oder in die EU importierten Geräte werden den Regularien unterliegen.
Der EU Cyber Resilience Act ist bisher nicht in Kraft getreten (Stand: Januar 2024): Ein endgültiger Beschluss im Parlament ist voraussichtlich bis Juni 2024 zu erwarten, mit einer Übergangszeit von bis zu zwei Jahren.