PHYTEC Blog | Embedded Systems Insights

Was Sie zum EU Cyber Resilience Act wissen und jetzt tun sollten

Geschrieben von Yves Astein | 31 Januar 2024

Viele Unternehmen stellen sich die Frage, ob sie von den aktuellen Cyberregulierungen betroffen sind. Eine genauere Betrachtung offenbart jedoch, dass es nicht nur um das "ob", sondern vielmehr um das "wann" und "wie stark" geht.

Bereits jetzt unterliegen zahlreiche Unternehmen der kritischen Infrastruktur der NIS-2-Richtlinie, und bald wird der neue Cyber Resilience Act für alle Industrieunternehmen relevant. Besonders Hersteller von Hard- und Software sollten sich daher verstärkt mit dem Thema Cyber Security auseinandersetzen.

Was bereits gilt: die Directive on Security of Network and Information Systems (NIS-2 Richtlinie)

Die NIS-2 Richtlinie, ein zentraler Baustein der EU-Digitalstrategie „Gestaltung der digitalen Zukunft Europas“, ist die Fortführung der 2016 eingeführten NIS-Richtlinie. Sie trat am 16. Januar 2023 mit dem Ziel in Kraft, ein robustes Cybersicherheitsniveau in Europa zu etablieren und somit den Binnenmarkt zu festigen. Die EU-Staaten haben bis zum 17. Oktober 2024 Zeit, um die Richtlinien in ihre nationalen Gesetze zu integrieren.

Die Richtlinie kategorisiert betroffene Sektoren in zwei Gruppen: essenziell und wichtig, wobei erstere Sektoren wie Energie, Verkehr, Finanzmärkte und Gesundheitswesen umfasst. Die genaue Bestimmung der betroffenen Unternehmen innerhalb dieser Sektoren obliegt den nationalen Gesetzen.

NIS-2 bringt neue Regelungen, die Industrieunternehmen befolgen müssen, einschließlich der Meldung von Cybersicherheitsvorfällen an die zuständigen Behörden, basierend auf spezifischen Anforderungen und Zeitrahmen. Unternehmen sind auch verpflichtet, ein proaktives Risikomanagement zu implementieren und aktuelle Standards und Technologien in Bereichen wie Netzwerksicherheit und Krisenmanagement anzuwenden. Eine Zertifizierung, die die Einhaltung dieser Anforderungen bestätigt, kann von den Mitgliedstaaten erforderlich gemacht werden.

In Deutschland wird die NIS-2 Richtlinie zu Anpassungen im bestehenden IT-Sicherheitsgesetz führen. Unternehmen, die bereits solide Cybersicherheitspraktiken, wie ein Informationssicherheitsmanagementsystem (ISMS), etabliert haben, werden voraussichtlich nur minimale Änderungen vornehmen müssen.

Was 2024 kommen soll: der EU Cyber Resilience Act

Für welche Unternehmen gilt der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist derzeit (Stand Januar 2024) noch ein Gesetzentwurf und soll für alle Hardware- und Softwareprodukte aus dem Consumer- und industriellen Bereich gelten, die miteinander oder dem Internet verbunden werden können. Alle in der EU produzierten oder in die EU importierten Geräte werden den Regularien unterliegen.

Ab wann gilt der Cyber Resilience Act und wie schnell muss die Richtlinie umgesetzt werden?

Der EU Cyber Resilience Act ist bisher nicht in Kraft getreten (Stand: Januar 2024): Ein endgültiger Beschluss im Parlament ist voraussichtlich bis Juni 2024 zu erwarten, mit einer Übergangszeit von bis zu zwei Jahren.