Professional System
Professional System
Cybersecurity

KRITIS, NIS2, AI Act und CRA: Regulierungsflut bewältigen

von Oliver Schonschek,

Die Sicherheitslage der ProAV-Branche ist von zahlreichen Herausforderungen geprägt. Zusätzlich zur komplexen, sich verschärfenden Bedrohungslage und dem Fachkräftemangel kommen zahlreiche Cyber-Regulierungen auf die Unternehmen zu. Nun gilt es, nicht die Übersicht zu verlieren und möglichst viele Synergien zu nutzen.

Blick ins Rechenzentrum(Bild: DC Studio/Shutterstock)

Die Widerstandsfähigkeit Europas gegenüber Cyber-Angriffen muss gestärkt werden, das ist ein erklärtes Ziel der EU-Kommission. Als Grund dafür nennt die Kommission die zunehmende Zahl und Komplexität von Cyber-Angriffen und Cyber-Kriminalität in ganz Europa. Diese Tendenz dürfte in Zukunft noch steigen, da 2025 voraussichtlich 41 Milliarden Geräte weltweit mit dem Internet der Dinge verbunden und damit für Cyber-Attacken erreichbar sein werden.

Anzeige

Dabei sind die Schäden durch Cyber-Angriffe schon jetzt enorm: Mehr als jedes dritte Unternehmen (35 Prozent) in Deutschland war in den vergangenen zwei Jahren Opfer eines Cyber-Angriffs. Die Attacken belasten eine Vielzahl der Unternehmen finanziell stärker als in den Vorjahren: Bei 57 Prozent ist die Gesamtschadenssumme gestiegen. Zu diesen Ergebnissen kommt die KPMG-Studie „e-Crime in der Deutschen Wirtschaft 2024“.

An Investitionsbereitschaft in Cyber-Sicherheit mangelt es indes nicht: Der Absicherung ihrer digitalen Infrastrukturen messen die Unternehmen im DACH-Raum zukünftig einen hohen Stellenwert bei, so eine Untersuchung von Deloitte mit dem Titel „Future of Cyber Survey 2024. Die Zukunft der Cyber Security: Globale Trends und die Lage im DACH-Raum“. 67 Prozent planen, ihre Ausgaben für Cyber-Sicherheit in den nächsten ein bis zwei Jahren weiter zu erhöhen. Dieser Wert liegt deutlich über dem globalen Durchschnitt von 57 Prozent.

Michael Sauermann, KPMG
„Es reicht nicht, sich der Gefahr bewusst zu sein. Entscheider sollten jetzt vor allem Maßnahmen ergreifen, um sich zu schützen”, Michael Sauermann, Partner, Audit, Regulatory Advisory, Forensic, KPMG (Bild: KPMG)

Die große Frage ist: Warum führen die Angriffe der ­kriminellen Banden zu immer höheren Schäden, obwohl die Unternehmen immer mehr in die Cyber-Sicherheit ­investieren? Die Antwort vieler Experten lautet: Schuld ist ganz wesentlich die lückenhafte Implementierung der Maßnahmen und Strategien. So ist nur knapp die Hälfte der von Deloitte Befragten in hohem Maß überzeugt, ihr Unternehmen habe ­einen strategischen Cyber-Sicherheitsplan mit der Vision des Unternehmens für die Zukunft und einen operativen Plan, wie es dorthin gelangt.

„Um auch künftig der komplexen Bedrohungslage standhalten zu können, wird eine ­moderate Umsetzung von Sicherheitsmaßnahmen nicht aus­reichen. Für eine lückenlose ­Cyber-Sicherheit muss diese tief in die Unternehmensprozesse und -die Unternehmensstrategie verankert werden“, erklärt Marius von Spreti, Leiter des ­Cyber-Bereichs bei ­Deloitte Deutschland. „Neben den finanziellen Schäden erhöhen auch neue Regulierungsinitiativen und technologische Veränderungen wie der Boom generativer KI die Notwendigkeit einer lückenlosen Cyber-Resilienz”, berichtet Grant Waterfall, Cyber Security & Privacy Leader bei PwC Deutschland.

Regulierungen sollen Schub für Sicherheit bringen

Mit einer Vielzahl an neuen Gesetzen und Verordnungen will die EU strengere Maßnahmen für mehr Cyber-Sicherheit vorschreiben, um die Cyber-Resilienz und damit die Widerstandskraft gegen Cyber-Angriffe zu erhöhen. Die geforderten Cybersecurity-Maßnahmen betreffen nicht nur öffentliche Einrichtungen, sondern insbesondere auch die Wirtschaft. Die neuen Cyber-Regulierungen, die die Cybersecurity stärken sollen, sind so vielfältig, dass selbst Rechtsexpertinnen und -experten von einem „Regulierungs-Tsunami“ sprechen.

Unternehmen aus der ProAV-Branche sollten und können sich nicht vor dieser Welle an neuen gesetzlichen Vorgaben zur Cybersecurity „in Sicherheit bringen“, vielmehr müssen sie einen umfassenden Überblick über die neuen Anforderungen erlangen und die Cyber-Sicherheit entsprechend verbessern.

Andernfalls drohen nicht nur erfolgreiche Cyber-Angriffe, ­Datenverlust, Produktionsausfall und Reputationsschäden. Werden die neuen Vorgaben der EU und die nationalen Gesetze zur Umsetzung nicht eingehalten, können auch Sanktionen, Geldbußen und Haftungsfälle die Folge sein. Dabei richten sich die Sanktionen nicht etwa gegen die IT-Abteilung oder die Security der Unternehmen, sondern gegen die Unternehmensleitung als verantwortliche Stelle. Im Folgenden werden deshalb die wichtigsten neuen Regulierungen der EU mit Auswirkungen auf die Cyber-­Sicherheit vorgestellt und Hinweise zur Umsetzung gegeben.

Website der EU-Kommission zur NIS-Initiative
Die NIS2-Richtlinie soll ein hohes, gemeinsames Niveau der Cyber-Sicherheit in der gesamten EU gewährleisten (Bild: EU-Kommission)

Die NIS2-Richtlinie

Bereits das erste EU-Gesetz zur Cyber-Sicherheit, die NIS-Richt­linie, die EU-Richtlinie zur Netz- und Informationssicherheit, zielte darauf ab, die Widerstandsfähigkeit von Netz- und Informationssystemen in der EU gegen Cyber-Sicherheitsrisiken zu verbessern. Doch die erste NIS-Richtlinie litt unter einigen Einschränkungen, so die EU-Kommission. Insbesondere führte ihre Anwendung zu keiner umfassenden Cyber-­Resilienz der in der EU tätigen Unternehmen.

Im Dezember 2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2-Richtlinie) veröffentlicht, die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Cyber-Sicherheitsniveaus in der Union. Die Mitgliedstaaten mussten NIS2 bis 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland läuft die nationale Umsetzung im NIS-2- Umsetzungs- und Cyber-Sicherheitsstärkungsgesetzes (NIS2UmsuCG) jedoch noch. Die EU-Kommission hat deshalb Ende November 2024 gegen Deutschland (und 22 weitere EU-Mitgliedsstaaten) die erste Stufe eines Vertragsverletzungsverfahrens eingeleitet, das teuer enden kann.

Ziel der NIS2-Richtlinie ist es, die Defizite des bisherigen Regelwerks zu beheben, es an die aktuellen Bedürfnisse anzupassen und zukunftssicher zu gestalten, wie die EU-Kommission darlegt. Die NIS2 erweitert deshalb den Anwendungsbereich der bisherigen Vorschriften um neue Sektoren, je nach ihrem Grad der Digitalisierung und Vernetzung und ihrer Bedeutung für Wirtschaft und Gesellschaft. Dazu wird eine Größenschwelle eingeführt, die ­alle mittleren und großen Unternehmen in ausgewählten Sektoren in den Anwendungsbereich einbezieht. Die Unternehmen werden nach ihrer Bedeutung klassifiziert und in zwei Kategorien unterteilt, in „wichtige Einrichtungen” und „besonders wichtige Einrichtungen”, die unterschiedlichen Aufsichtsregelungen unterliegen.

Chart mit den Kritis-Sektoren
Das BSI definiert zehn Sektoren als kritische Infrastruktur – von Energie bis Staat, IT und TK bis Abfallentsorgung

NIS2 erhöht darüber hinaus die Sicherheits- und Meldepflichten für Unternehmen, indem sie einen Risikomanage­ment-Ansatz vorschreibt, der eine Mindestliste grundlegender Sicherheitselemente vorgibt, die anzuwenden sind. Zu den ­Anforderungen zählen unter ­anderem Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management und Konzepte zum Einsatz von Verschlüsselung.

Die neue Richtlinie führt zudem ein dreistufiges Verfahren für die Meldung von sicherheitsrelevanten Vorfällen, zum Inhalt der Berichte und zu den Fristen ein. Darüber hinaus befasst sich NIS2 mit der Sicherheit von Lieferketten und Lieferantenbeziehungen, ­indem es einzelne Unternehmen dazu verpflichtet, Cyber-Sicherheitsrisiken in den Lieferketten und Lieferantenbeziehungen ­anzugehen.

Die erste Frage, die sich Unternehmen aus der ProAV-Branche nun stellen müssen, ist, ob sie direkt von NIS2 betroffen sind, also zu den in NIS2 genannten Sektoren gehören und über den definierten Schwellwerten zu Umsatzgröße und Beschäftigtenzahl liegen. Bei der Beantwortung dieser Frage hilft die sogenannte Betroffenheitsprüfung (https://betroffenheitspruefung-nis-2.bsi.de/). Sie enthält konkrete, an der NIS2-Richtlinie orientierte Ja/Nein- Fragen, um Unternehmen in vier Kategorien einzuordnen: Betreiber Kritischer Infrastrukturen, besonders wichtige Einrichtungen, wichtige Einrichtungen und nicht betroffene Unternehmen.

BSI-Entscheidungsbaum zur Einstufung von Unternehmen
Unternehmen sollten prüfen, ob sie direkt von den Vorgaben der NIS2-Richtlinie bzw. der nationalen Umsetzung in Deutschland betroffen sind. Dabei hilft der sogenannte „Entscheidungsbaum der NIS-2-Betroffenheitsprüfung“ des BSI (Bild: BSI)

Auch wenn das deutsche Umsetzungsgesetz zu NIS2 erst auf den letzten Drücker noch zustande gekommen ist: Unternehmen sollten sich auf die NIS2-Regulierung vor allem vorbereiten, indem sie ihre Informationssicherheit verbessern und konkrete technisch-organisatorische Maßnahmen umsetzen, so das BSI (Bundesamt für ­Sicherheit in der Informationstechnik).

Umfragen zum Stand der Vorbereitungen auf NIS2 unterstreichen den Handlungsbedarf bei vielen Unternehmen. Alarmierend dabei ist: Die Mehrheit der Angestellten in Deutschland unterschätzt immer noch den Aufwand, der mit der NIS-2-Richtlinie, auf ihre Unternehmen zukommt. Trotz unklarer Vorgaben erwarteten 64 Prozent bis zum Jahresende 2024 die Umsetzung in ihrem Unternehmen. Drei von fünf Arbeitnehmerinnen und Arbeitnehmern von betroffenen Firmen in Deutschland waren optimistisch und glaubten, dass ihr Unternehmen alle Vorgaben bis Jahresende erfülle. Das belegt die repräsentative Studie „Cyber-Sicherheit in Zahlen“ von der G DATA CyberDefense AG, Statista und brand eins. Dieser für Deutschland sonst nicht gerade typische Optimismus birgt jedoch die Gefahr, dass der tatsächliche Aufwand für Maßnahmen unterschätzt wird.

Ansatzpunkte für den großen Handlungsbedarf in den Unternehmen liefern die zahlreichen in NIS2 geforderten Risikomanagementmaßnahmen wie Risikomanagement, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs, Backup-Management, Wiederherstellung nach einem Notfall, Krisenmanagement, Sicherheit der Lieferkette, Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung, systematische Bewertung der Wirksamkeit von Risikomanagementmaßnahmen der IT-Sicherheit, grundlegende Cyber-Hygiene, Schulungen zur Informationssicherheit, systematischer Einsatz von Kryptografie und Verschlüsselung, Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das ­Management von Anlagen und die Verwendung von Lösungen zur Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation.

KRITIS-Dachgesetz / CER-Richtlinie

Eine Sonderrolle bei der Regulierung der ­Cyber-Sicherheit spielen wegen ihrer Bedeutung für Wirtschaft, Staat und Gesellschaft die Kritischen Infrastrukturen, kurz KRITIS. Unter KRITIS versteht man „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren ­Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“.

Deshalb werden an KRITIS-Betreiber auch höhere Anforderungen zur Cybersecurity gestellt. Das sogenannte KRITIS-Dachgesetz setzt die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) um, es muss aber noch verkündet werden (Stand November 2024). Durch europaweite einheitliche Mindeststandards für den Schutz Kritischer Infrastrukturen sowie verstärkte grenzüberschreitende Kooperation soll auch die Versorgungssicherheit in Deutschland und Europa gestärkt werden.

Das Gesetz legt fest, welche Infrastruktur-Einrichtungen unentbehrlich dafür sind, die Versorgung der Bevölkerung zu sichern und die Wirtschaft aufrechtzuerhalten. Für die Betreiber dieser Einrichtungen legt das Gesetz Mindestanforderungen fest. Dabei gilt der All-Gefahren-Ansatz: Jedes denkbare Risiko muss berücksichtigt werden, von Naturkatastrophen bis hin zu Sabotage, Terroranschlägen und menschlichem Versagen. Und das KRITIS-Dachgesetz legt einheitliche Regeln in elf Sektoren fest: Energie, Transport und Verkehr, Finanzwesen, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung, Öffentliche Verwaltung sowie Leistungen der Sozialver­sicherung.

Welche Anlagen in Deutschland konkret unter die Regelungen des Gesetzes fallen, bemisst sich nach quantitativen und qualitativen Kriterien. Wenn eine Einrichtung zum Beispiel essenziell für die Gesamtversorgung in Deutschland ist und mehr als 500.000 Personen versorgt, zählt sie zur Kritischen Infrastruktur im Sinne des Gesetzes.

Alle KRITIS-Betreiber müssen die Risiken für ihre Anlagen regelmäßig überprüfen und umfassende Maßnahmen treffen, um deren Funktionsfähigkeit zu sichern. Dazu zählt, Störungen und Ausfälle zu verhindern, deren Folgen zu begrenzen und die Arbeitsfähigkeit nach einem Vorfall wiederherstellen zu können.

Dazu muss jeder Betreiber in Zukunft auf die spezifischen Risiken für seine Anlage mit passgenauen Maßnahmen reagieren, die in Resilienzplänen dargestellt werden. Wesentliche Resilienzmaßnahmen können etwa die Bildung von Notfallteams, Schulungen für Beschäftigte, Objektschutz und Maßnahmen zur Sicherstellung der Kommunikation, Notstromversorgung und Maßnahmen zur Ausfallsicherheit und Ersatzversorgung sein.

Die Betreiber Kritischer Infrastrukturen werden außerdem künftig dazu verpflichtet, Vorfälle auf einem Onlineportal von Bundesamt für Bevölkerungsschutz und Kata­strophenhilfe (BBK) und Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Cyber Resilienz Act (CRA)

Mit dem „Cyber-Resilienzgesetz“ soll gewährleistet werden, dass Produkte mit digitalen Elementen, wie Produkte des „Internets der Dinge“, über die gesamte Lieferkette und ihren gesamten Lebenszyklus hinweg sicher sind. Es werden EU-weite Cyber-Sicherheitsanforderungen für Konzeption, Entwicklung, Herstellung und Inverkehrbringen von entsprechenden Hardware- und Softwareprodukten eingeführt.

Die Verordnung gilt für alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder einem Netz verbunden sind. Ausnahmen gibt es nur für einige Produkte, für die in bestehenden EU-Vorschriften bereits Cyber-­Sicherheitsanforderungen festgelegt sind, wie Medizinprodukte, luftfahrttechnische Erzeugnisse und Kraftfahrzeuge.

Nach dem CRA werden die Software- und Hardware-Produkte mit der CE-Kennzeichnung versehen, die darauf hinweist, dass sie den Anforderungen der ­Verordnung entsprechen. Dadurch soll es Verbraucherinnen und Verbrauchern ermöglicht werden, die Cyber-Sicherheit bei der Auswahl und Nutzung von Produkten mit digitalen Elementen zu berücksichtigen.

Im CRA verankert ist auch der Grundsatz, den geforderten Supportzeitraum für ein digitales Produkt an dessen individuelle Lebensdauer zu koppeln. Darüber hinaus werden mit dem CRA Herstellern, Händlern und Importeuren weitreichende Informations-, Transparenz- und Aufklärungspflichten auferlegt. Das Bundesamt für Sicherheit in der Informationstechnik BSI sieht darin viele Vorteile, darunter transparente und klare Handlungsanweisungen im Fall von Sicherheitslücken; dies sei ein deutliches Plus für alle Nutzerinnen und Nutzer.

Das Cyber-Resilienzgesetz verlangt den produzierenden Unternehmen viel ab, da sie bis 2027 die weitreichenden Anforderungen des Cyber Resilience Acts (CRA) umsetzen müssen, kommentierte der BDI (Bundesverband der Deutschen ­Industrie). Gleichzeitig würden cyber-resiliente Produkte insbesondere jene Unternehmen helfen, die die Cyber-­Sicherheitsanforderungen der NIS2-Richtlinie umsetzen müssen, so der BDI. Wenn auf dem europäischen Markt nur noch cyber-resiliente Produkte (Hard- und Software) verfügbar wären, dann erleichtere dies die Implementierung der Risikomanagementmaßnahmen erheblich.

AI Act

Nur auf den ersten Blick ist der AI Act, also die KI-Verordnung der EU, keine Regulierung, die die Cyber-Sicherheit betrifft. Mit dem AI Act soll aber vor allem gewährleistest werden, dass in der EU entwickelte und verwendete KI vertrauenswürdig ist und Vorkehrungen zum Schutz der Grundrechte der Menschen bietet. Dazu muss KI aber auch sicher sein. Entsprechend müssen nach AI Act sogenannte Hochrisiko-KI-Systeme während ihres gesamten Lebenszyklus beständig funktionieren und ein angemessenes Maß an Genauigkeit, Robustheit und Cyber-Sicherheit nach dem allgemein anerkannten Stand der Technik aufweisen.

Unter Hochrisiko-KI-Systeme versteht man beispielsweise KI-Systeme, mit denen bewertet wird, ob jemand eine bestimmte medizinische Behandlung erhalten kann, für einen bestimmten Arbeitsplatz geeignet ist oder ein Darlehen für den Kauf einer Wohnung erhalten soll. Außerdem können auch KI-Systeme, mit denen Roboter, Drohnen oder Medizinprodukte betrieben werden, als Hochrisiko-Systeme eingestuft werden. Hochrisiko-KI-Systeme müssen widerstandsfähig gegen Versuche unbefugter Dritter sein, ihre Verwendung, Ausgaben oder Leistung durch Ausnutzung von Systemschwachstellen zu verändern.

Die technischen Lösungen für den Umgang mit KI-spezifischen Schwachstellen umfassen Maßnahmen, um Angriffe, mit denen versucht wird, eine Manipulation des Trainingsdatensatzes („data poisoning“) oder vortrainierter Komponenten, die beim Training verwendet werden („model poisoning“), vorzunehmen, Eingabedaten, die das KI-Modell zu Fehlern verleiten sollen („adversarial examples“ oder „model evasions“), Angriffe auf vertrauliche Daten oder Modellmängel zu verhüten, zu erkennen, darauf zu ­reagieren, sie zu beseitigen und zu kontrollieren.

Die Verpflichtungen gelten sowohl für Anbieter (wie Entwickler eines Auswertungsprogramms für Lebensläufe) als auch Betreiber von KI-Systemen (zum Beispiel für ein Unternehmen aus der ProAV-Branche, das ein solches Auswertungsprogramm anschafft).

Das KI-Gesetz ist am 1. August 2024 in Kraft getreten und wird zwei Jahre später in vollem Umfang anwendbar sein, mit einigen Ausnahmen: Verbote treten nach sechs Monaten in Kraft, die Governance-Regeln und die Verpflichtungen für KI-Modelle für allgemeine Zwecke nach zwölf Monaten, und die Vorschriften für KI-Systeme, die in regulierte Produkte eingebettet sind, gelten nach 36 Monaten.

Kritische Regelungsvielfalt

Wolfgang Weber
„Am Ende sitzen die Hersteller zwischen den Stühlen und sollen (derzeit) selbst Sicherheit gegen Usability abwägen”, Wolfgang Weber, Vorsitzender der Geschäftsführung des ZVEI e. V. (Bild: ZVEI)

Über die Notwendigkeit der diversen Regulierungen durch die EU gibt es keinen großen Dissens. Über die Art und Weise und viele Details aber schon. Ein zentraler Kritikpunkt ist die überhandnehmende Vielfalt an Gesetzen und Verordnungen. „Europa muss jetzt die Effizienz­wende auch im Digitalbereich starten“, fordert etwa Wolfgang Weber, der Vorsitzende der Geschäftsführung des Verbandes der Elektro- und Digitalindustrie (ZVEI). „Es ist nun an der künftigen EU-Kommission, die vielen Gesetze, die in den vergangenen fünf Jahren auf den Weg gebracht wurden, zu implementieren, auf Inkohärenzen und Doppelungen zu prüfen und gegebenenfalls zu bereinigen.“ Gerade im Bereich der EU-Digitalregulierungen sei das dringend notwendig.

Der ZVEI warnt zum Beispiel vor Inkonsistenzen bei den Regulierungen: Im CRA (Cyber Resilience Act) werde vorgegeben, dass ­Sicherheitslücken über Sicherheits-Updates geschlossen werden müssen. Die ESPR (Ökodesign-Verordnung) aber besage, dass die Leistung eines Produkts durch Soft- und Firmware-Updates nicht verschlechtert werden darf. „Am Ende sitzen die Hersteller zwischen den Stühlen und sollen (derzeit) selbst Sicherheit gegen Usability abwägen. Diese Unklarheit muss in dem Sinne aufgelöst werden, dass die CRA-Vorgaben zu Sicherheitslücken Vorrang vor den ESPR-Vorgaben zu Produktfunktionalitäten und Leistung haben“, fordert Weber.

Die Internet-Wirtschaft braucht einen klar definierten und kohärenten Ordnungsrahmen, um ihre Dienste effizient anzubieten, Klaus Landefeld, eco-Vorstand
„Die Internet-Wirtschaft braucht einen klar definierten und kohärenten Ordnungsrahmen, um ihre Dienste effizient anzubieten”, Klaus Landefeld, eco-Vorstand (Bild: eco e.V.)

Auch der Verband der Internetwirtschaft eco betont die Notwendigkeit klarer Abgrenzungen und fordert eine Regulierung ohne Überschneidungen, um Doppelstrukturen zu ver­meiden. eco-Vorstand Klaus Landefeld dazu: „Es muss gewährleistet sein, dass Anbietern, die bereits durch andere Gesetze reguliert sind, durch das KRITIS-DachG keine zusätzlichen Pflichten oder doppelte Aufsicht entstehen.”

Das Gesetz für die nationale Umsetzung von NIS2 hatte bereits die erste Lesung im Bundestag passiert. Zuletzt hatten aber Unstimmigkeiten innerhalb der Ampelkoali­tion das Gesetzgebungsverfahren gebremst. Meinungsverschiedenheiten gibt es zur Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI), den Meldepflichten bei erfolgreichen Cyber-Angriffen und bei der Ausgestaltung des Chief Information Security Officers für den Bund (Bundes-CISO).

„Die NIS2-Umsetzung ist in ­einer schwierigen geopolitischen Lage ein wichtiger Baustein, um das Niveau der Cyber-Sicherheit zu erhöhen“, erklärt Bühler. Bei dem Thema sollte zügig ein parteiübergreifender Kompromiss gefunden werden, zumal die Richtlinie gemäß den EU-Vorgaben eh schon bis zum 17. Oktober 2024 in deutsches Recht hätte umgesetzt werden müssen.

Beim europäischen AI Act war geplant, dass der Referentenentwurf für die Umsetzung im ersten Quartal 2025 vorgelegt wird. „Die Arbeiten an dem Gesetz sollten jetzt nicht gestoppt und der Referentenentwurf wie geplant vorgelegt werden, damit das Verfahren nicht ins Stocken gerät“, fordert Bühler und betont: „Anbieter von KI-Anwendungen und Prüforganisationen brauchen Planungs- und Rechtssicherheit, damit der deutschen Wirtschaft keine Wettbewerbsnachteile entstehen.“

Und noch ein weiteres Gesetz, das nicht nur, aber auch die IT-Branche betriff, hat der TÜV für eine kurzfristige Umsetzung noch der Bundestagswahl angemahnt: Das Gesetz für die nationale Umsetzung der europäischen Corporate Social Responsibilty Directive (CSRD) regelt, welche Unternehmen in Zukunft Nachhaltigkeitsberichte erstellen und welche unabhängigen externen Stellen diese dann – wie bei einem Jahresabschluss – prüfen dürfen. „Das nationale CSRD-Gesetz ist im parlamentarischen Verfahren weit fortgeschritten und könnte mit einer wichtigen Änderung schnell verabschiedet werden“, sagt Bühler.

Eine breite Allianz aus Wirtschaftsverbänden, Unternehmen, Prüfungsorganisationen und Rechtsexperten fordert, neben Wirtschaftsprüfern auch technische Sachverständige für die Prüfung der Nachhaltigkeitsberichte zuzulassen. „Technische Prüforganisationen prüfen bereits seit Jahren Nachhaltigkeitsberichte und sollten das auch in Zukunft tun dürfen“, fordert Bühler. „Ein breit aufgestellter Prüfmarkt senkt die Kosten für den Mittelstand, nutzt das Fachwissen der technischen Sachverständigen und verhindert Wettbewerbsnachteile innerhalb der EU.“

Die CSRD hätte gemäß den EU-Vorgaben bis zum 6. Juli 2024 in deutsches Recht umgesetzt werden müssen. Ein Vertragsverletzungsverfahren gegen Deutschland wurde von der EU-Kommission bereits eingeleitet.

Fazit & Ausblick

Obwohl Deutschland bei einigen EU-Regelungen, die es in deutsches Recht umsetzen sollte, wieder einmal verspätet dran ist, kamen mit dem Aus der Ampelregierung weitere Unsicherheiten hinzu. Nachdem der Termin für die vorgezogene Bundestagswahl feststand, forderte der TÜV-Verband nachdrücklich, dass wichtige laufende Regelungsvorhaben trotz Wahlkampf über Parteigrenzen hinweg auf den Weg gebracht werden. „Die Parteien sollten ihrer staatspolitischen Verantwortung gerecht werden und wichtige Gesetzesvorhaben im Bundestag verabschieden. Mit einer Blockade um der ­Blockade willen schaden die Parteien nicht nur der Wirtschaft, sondern auch der Demokratie und dem Vertrauen in unsere politischen Institutionen“, mahnt Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands. Das gelte vor allem für Regelungsvorhaben, in denen es um Fachthemen geht und die nicht den Kern der parteipolitischen Programme betreffen.

Ganz oben auf der Agenda sollten dem TÜV-Verband zufolge das NIS2-Gesetz für mehr Cyber-Sicherheit, das Umsetzungsgesetz für den AI Act und die Umsetzung der Nachhaltigkeitsrichtlinie (CSRD) stehen. Zumindest beim Kritis-Dachgesetz scheint der TÜV-Verband schon mal ­erhört zu werden. Das Parlament beriet am 5. Dezember den Entwurf der Bundesregierung für das „Kritis-Dach­gesetz“ zur Umsetzung der CER-Richtlinie der EU und zur Stärkung der Resilienz kritischer Anlagen.

Umsetzungs-Tipp: Synergien und Standards nutzen

Die anstehende Umsetzung der verschiedenen Cyber-Regulierungen muss von den Unternehmen fristgerecht erledigt werden, um die Compliance zu gewährleisten und mög­liche Sanktionen durch zuständige Aufsichtsbehörden zu vermeiden.

Die neuen EU-Regularien zur Cyber-Sicherheit setzen die digitalisierte und vernetzte Wirtschaft unter Handlungsdruck, beschreibt auch das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC die aktuelle Situation: Die NIS-2-Richtlinie und der Cyber Resilience Act (CRA) verpflichten Unternehmen, für ein ausreichend hohes Sicherheitsniveau zu sorgen. Angesichts der Vielzahl der Sicherheitsanforderungen, die es nachweislich effektiv zu erfüllen gilt, stelle dies oft eine Herausforderung dar, so Fraunhofer AISEC.

Claudia Eckert
„Mit den neuen EU-Regelwerken stehen für Unternehmen hilfreiche Leitplanken zur Verfügung, um Mindeststandards zu realisieren,” Professor Claudia Eckert, Institutsleiterin Fraunhofer AISEC

Doch es gibt eine gute Nachricht aus Sicht des Instituts: „Es gibt bereits heute eine Vielzahl an Technologien und Maßnahmen, die wirksam gegen viele Angriffe schützen. Mit den neuen EU-Regelwerken stehen nun für Unternehmen hilfreiche ­Leitplanken zur Verfügung, um Mindeststandards zu realisieren. Mit diesen sichern sie nicht nur ihre Marktzugänge, beispielsweise zum EU-Binnenmarkt mittels der CE-Kennung, oder vermeiden Sanktionen bei Gesetzesverstößen, sie schützen sich auch vor Missbrauch, Datenverlust und Spionage”, erläuterte Professor Claudia Eckert, Institutsleiterin des Fraunhofer AISEC. Die Regularien seien zwar zahlreich und vielfältig, hätten aber auch viele Gemeinsamkeiten bei den zu erfüllenden Anforderungen. Es lohne daher, die Vor­gaben aus den verschiedenen Richtlinien und Gesetzen für den unternehmensspezifischen Anwendungsfall zu vergleichen und systematisch Überlappungen zu identifizieren.

Als zentrale Gemeinsamkeiten in den zu erfüllenden Anforderungen nennt Eckert:

  • Das Aufsetzen von Risiko-Analysen und -Bewertungen
  • Die Implementierung eines Schwachstellenmanagements zum Beispiel mit Patches und Updates über den gesamten Produktlebenszyklus
  • Die Sicherstellung von Business Continuity etwa mittels eines Backup- und Krisenmanagements
  • Die Gewährleistung der Sicherheit der digitalen Lieferkette beispielsweise anhand der Erfassung der genutzten Hard- und Software-Komponenten mit der Software Bill of Materials (SBOM)
  • Das Aufsetzen eines Informationssicherheits-Managementsystems (ISMS), in dem etwa Zugriffsrechte sicher verwaltet werden und klare Regeln zum Umgang mit Passwörtern sowie E-Mails verankert sind
  • Die Umsetzung eines kontinuierlichen Berichts- und Meldewesens, zum Beispiel mit regelmäßigen Konformitätsnachweisen und einer kontinuier­lichen Dokumentation der getroffenen Vorkehrungen sowie ihrer Wirksamkeit
  • Die Realisierung von angemessenen Sicherheitsmaßnahmen entsprechend dem Stand der Technik, etwa gemäß Zero-Trust und Multi-Faktor-Authentifizierung.

Unternehmen aus der ProAV-Branche sollten diese Synergien nutzen und auf bereits umgesetzte Security-Standards wie ISO 27001 setzen, die bei der ­Implementierung der verschärften Cyber-Sicherheitsanforderungen helfen können. Es gibt viel zu tun in der Cyber-Sicherheit, es gibt aber auch viele ­gute Gründe dafür, und zwar nicht nur die Erfüllung der Cyber-Regulierungen: Cyber-Sicherheit ist die Basis jeder erfolgreichen und zuverlässigen Digitalisierung.

Aufbau eines Information Security Management Systems (ISMS)

Für die Betreiber kritischer Infrastrukturen ist der Aufbau eines Information Security Management Systems (ISMS) seit 2016 mit dem IT-Sicherheitsgesetz Pflicht. Informa­tionen müssen zuverlässig verfügbar sein und sind vor nicht autorisiertem Zugriff (Vertraulichkeit) und ungewollter Veränderung (Integrität) zu schützen. Genau das leistet ein ISMS, etwa auf Basis der internationalen Norm ISO/IEC 27001. Diese beschreibt, mit welchen Prozessen und Maßnahmen Firmen und Organisationen eine höhere Informationssicherheit erreichen. Sie formuliert Grundsätze zu Implementierung, Betrieb, Überwachung und Verbesserung eines Information Security Management Systems.

Ein ISMS gibt Richtlinien vor, regelt Verantwortlichkeiten (Pflichten- und Aufgabenverteilung) und den Umgang mit Risiken. Im normativen Anhang A beschreibt die ISO/IEC 27001 Maßnahmenziele (control objectives) und konkrete Maßnahmen (controls), mit denen Firmen die Informationssicherheit verbessern können.

Dazu gehören organisatorische, personenbezogene, physische und technische Maßnahmen mit Themen wie Security Awareness Trainings, Zugriffskontrolle, Kryptografie, Incident Management oder Kommunikationssicherheit. Die Norm fordert zudem, dass Firmen die Qualität des ISMS kontinuierlich verbessern sowie durch regelmäßige interne und externe Audits überprüfen. Letztere bilden die Basis für die Zertifizierung des ISMS.

Schlagwörter:
Anzeige

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Datenschutzbestimmungen

Das könnte Sie auch interessieren

Symbolbild für Cybersecurity

Best Practices für die Netzwerk-Sicherheit in AV-Installationen

Weiterlesen
Nutzer am Dynacord ProMatrix 9000

Wichtige Änderungen in DIN-VDE-Norm für Sprachalarmanlagen

Weiterlesen
Cybersecurity

Security-Trends 2025 – von KI-Angriffen bis Ransomware

Weiterlesen
SFP-Brandschutztechnologie von Screen Experts mit Flamme

Patentierte Lösung: LED-Brandschutz von Screen Experts

Weiterlesen
Gebäude des Energieerzeugers InfraServ im Industriepark „Kalle Albert“ in Wiesbaden

Control Rooms: Alles im Blick in der Leitwarte von InfraServ

Weiterlesen
Hand mit Handy vor einem Türgriff

Moderne Zutrittskontrolle und Zeiterfassung: Welche Vorteile bieten sie für Unternehmen?

Weiterlesen