:quality(80)/p7i.vogel.de/wcms/d7/ca/d7ca53fb63877b71ed8f40be734754ca/0117973730.jpeg "Die große Leserwahl zum Security-Insider-Award 2024 hat begonnen! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/ed/9fed7160871e01f51ccab928dbaeab92/0118467232.jpeg "Cyberkriminelle können durch eine Schwachstelle komplette Konten bei GitLab übernehmen. Zwei-Faktor-Authentifizierung schützt nicht vor dem Angriff aber vor der Kontenübernahme. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/a1/2ba1aa634bb635185b992c84d6fafe4a/0118481703.jpeg "Eine Analyse aktueller Telemetriedaten von Kaspersky zeigt, dass Unternehmen im Schnitt zwei Cybervorfälle pro Tag verzeichnen müssen. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351d4b937d1f9dc0224fa277a3a74de/0118466557.jpeg "Bei Sniffing- und Man-in-the-Middle-Angriffen weiß der Betroffene eigentlich nie, dass ein Verbrecher da ist, bis er Maßnahmen ergreift. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/34/5d34836fbfae674ca8e6f10841213b03/0118372926.jpeg ""Wie viel Kontrolle benötigt KI?", ein Interview von Oliver Schonschek, Insider Research, mit Oliver Keizers von Semperis. (Bild: Vogel IT-Medien / Semperis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/71/1f/711feeca53f58761a7d711bf317aec47/0118276223.jpeg "Cullen Childress von SolarWinds warnt davor, KI zu vorschnell einzusetzen – mahnt in Sachen KI aber auch Technologie- und Fortschrittsoffenheit an. (Bild: SolarWinds)")
:quality(80)/p7i.vogel.de/wcms/c3/02/c302cd9efb930246cc8bde485a6f83ec/0118446808.jpeg "Erfolgreiche SIEM-Projekte setzen auf umfassende Tests, spezialisierte Teams und detaillierte Planung, um die umfangreichen Datenmengen effektiv zu analysieren und zu überwachen. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/69/4f6904a6142ebe0d7976702b7c15b358/0118451654.jpeg "Das Sicherheitsupdate KB5034441 verursacht teilweise den Fehler 0x80070643, Microsoft wird dafür aber keinen Patch liefern. (Bild: EricPictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0f/3a0f48a72d0ec33c3e9979f639caff9d/0118466573.jpeg "Mark Barcham, Head of Services Sales & Go-to-Market EMEA bei Arrow. (Bild: Arrow Electronics/Canva)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6fa12509d231ae90bf82565b5380eb/0118478841.jpeg "Verletzungen der Datensicherheit stellen laut „Check Point Cloud Security Report 2024“ die häufigsten Cloud-Sicherheitsvorfälle dar. (Bild: Mustafa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/0a/200a0580874f1b3875df1b9bc65e8a39/0118421857.jpeg "Netbird verbindet die Sicherheit und Geschwindigkeit von WireGuard mit einer zentralen Zugriffssteuerung. Das Tool ist außerdem beim Einsatz mit bis zu 5 Personen und 100 Geräten kostenlos. (Bild: Vladimir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/0d/cf0dcef3b9de9eb898ff2e52367e3047/0118249659.jpeg "Microsoft stellt Hotfixes für Exchange 2016 und 2019 zur Verfügung. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3b/893b2aad437cb2ff84a9d879a9c48b6a/0118298118.jpeg "In diesem Tool-Tipp zeigen wir, wie der Einstig in die Nutzung des Metasploit Framework zum Pentesting im eigenen Netzwerk einfach klappt. (Bild: MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/91/5491e2c59cbe3754d963cbdac6f6be13/0118349502.jpeg "Aktuell gibt es umfassende Phishing-Angriffe auf LastPass-Nutzer. (Bild: Eightshot Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/72/0372ece5adc46f626b82eb5affb44e1b/0118441205.jpeg "Automatisierung in der IT-Sicherheit ist für Unternehmen ein entscheidender Faktor, um aktuelle Herausforderungen zu bewältigen und um sich proaktiv auf die Zukunft vorzubereiten. (Bild: Tierney - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/1f/941f77db5c1061ab5dafafb8d25a12b8/0118037871.jpeg "Cyberangriffe werden zunehmend als Bedrohung für die deutsche Wirtschaft wahrgenommen. In diesem Kontext bedeutet Glasfaserinternet für einen Großteil der Befragten Zuverlässigkeit und Stabilität. (Bild: 1&1 Versatel)")
:quality(80)/p7i.vogel.de/wcms/4b/c8/4bc87650edb2e4b320682b42c3000b8b/0118377216.jpeg "Der anhaltende Trend zum Hybrid Work bietet Cyberkriminellen neue Angriffsmöglichkeiten. (Bild: DuxX / Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/a5/e3/a5e3b7833dd63fab7b7e0321969e45e0/0116955924.jpeg "FraudGPT ist ein auf Cyberkriminalität und Betrug spezialisierter, unmoderierter Chatbot auf Basis eines für kriminelle Zwecke trainierten LLM. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ein Compliance-Leitfaden für Industrieunternehmen Wichtige Cyberregulierungen in Europa
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Cyber Resilience Act, NIS-2 und die CER-Richtlinie: Die Cybersecurity-Gesetzeslage für Industrieunternehmen in Europa ist vielfältig und unübersichtlich. Doch durch die Umsetzung der unterschiedlichen regulatorischen Anforderungen kann dabei geholfen werden, Cyberangriffe erfolgreich abzuwehren. Und das ist auch dringend notwendig, denn die Zahl der Cyberangriffe nimmt zu.
Laut IDC Studie „Cybersecurity in DACH 2022“ waren im vergangenen Jahr 72 Prozent der Unternehmen in der DACH-Region von Ransomware betroffen. Doch wen betreffen die Regulierungen? Welche Pflichten entstehen daraus? Und welche Fristen müssen Industrieunternehmen beachten? Hier ein Überblick der wichtigsten Cybersecurity-Gesetze in Europa.
1. Directive on Security of Network and Information Systems (NIS-2 Richtlinie)
Die NIS-2 Richtlinie ist ein wichtiger Teil der EU-Digitalstrategie „Gestaltung der digitalen Zukunft Europas“ und die Weiterentwicklung der bereits 2016 erlassenen NIS Richtlinie. Ziel ist es, ein hohes Cybersicherheitsniveau auf europäischer Ebene sicherzustellen und damit den Binnenmarkt zu stärken. Die Richtlinie ist am 16. Januar 2023 in Kraft getreten. Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Bestimmungen in nationale Gesetzgebung zu überführen.
Betroffene Wirtschaftszweige sind in zwei Kategorien unterteilt: essential/wesentlich - also Sektoren mit hoher Kritikalität - und important/wichtig - weitere kritische Sektoren. Unter erstere fallen beispielsweise Energie, Transport und Verkehr, Finanzmärkte, der Gesundheitssektor, digitale Infrastrukturen sowie die öffentliche Verwaltung. Weitere kritische Sektoren sind unter anderem Post- und Kurierdienstleistungen, produzierendes Gewerbe, Chemie sowie die Fertigung von Medizingeräten, elektronischen Geräten, Maschinen und Transportmitteln. Welche Unternehmen innerhalb der definierten Sektoren genau betroffen sind, wird durch die jeweilige nationale Gesetzgebung definiert.
Für Industrieunternehmen bringt NIS-2 neue Spielregeln und damit neue Aufgaben. So müssen sich Firmen registrieren und Cybersicherheitsvorfälle nach fest definierten Vorgaben an die zuständigen Behörden melden:
- Frühwarnung: Meldung innerhalb von 24 Stunden nach einem Vorfall
- Vorfallbenachrichtigung / Incident notification: Meldung innerhalb von 72 Stunden nach einem Vorfall
- Zwischenbericht / Intermediate Report
- Bericht über den Fortschritt der Vorfallbehandlung / Progress Report: im Falle von nicht gelösten Vorfällen ein Monat nach Vorfallbenachrichtigung
- Finaler Bericht / Final Report: innerhalb eines Monats nach Vorfallbenachrichtigung oder eines Monats nach abgeschlossener Vorfallbehandlung
- Freiwillige Berichterstattung möglich
Unternehmen müssen zudem ein aktives Risikomanagement einführen und sich an Standards beispielsweise für Netzwerk-/Systemsicherheit, Vorfallbehandlung, Krisenmanagement sowie zu sicheren Lieferketten und dem Asset Management halten. Schutzmechanismen und eingesetzte Technologien müssen dem Stand der Technik entsprechen. Eine Zertifizierungspflicht zur Darstellung der Compliance kann durch die Nationalstaaten gefordert und eingeführt werden.
Für den deutschen Markt bedeutet NIS-2, dass es eine Anpassung des bisher bestehenden IT-Sicherheitsgesetzes 2.0 bzw. ein neues Gesetz als Nachfolger zum derzeitigen IT-Sicherheitsgesetz 2.0 geben wird. KRITIS-Betreiber in Deutschland haben durch das IT-Sicherheitsgesetz bereits ein solides Fundament aufgebaut. So sind zum Beispiel Unternehmen, die ein Information Security Management System (ISMS) und die nötige vertrauenswürdige Cybersicherheitstechnologie implementiert haben, gut aufgestellt und müssen nur mit geringen Anpassungen rechnen.
2. EU Cyber Resilience Act – Cybersicherheit für vernetzte Produkte
Der Cyber Resilience Act (CRA) der EU ist ein Gesetzentwurf mit dem Ziel, Endverbraucher und Unternehmen vor Produkten mit unzureichenden IT-Sicherheitsfunktionen zu schützen. Zu diesem Zweck soll das Gesetz Anforderungen an Produkte mit digitalen Elementen hinsichtlich Entwicklung, Ausgestaltung und Produktion definieren und damit Cybersicherheit im gesamten Lebenszyklus sichern – unter anderem auch die Verfügbarkeit von Softwareupdates. Das Sicherheitsniveau von vernetzten Endprodukten soll dadurch erhöht werden, um Cyberkriminalität vorzubeugen. Das Gesetz wird voraussichtlich 2023 in Kraft treten. Danach haben die Betroffenen zwölf bis 24 Monate Zeit für die Umsetzung der neuen Anforderungen.
Von den Vorschriften betroffen sind Hersteller von Hard- oder / und Software sowie von Produkten, die solche Komponenten enthalten und in der EU vertrieben werden. Die Anforderungen werden je nach möglicher Auswirkung unterschieden. Für Produkte, die größere wirtschaftliche Bereiche betreffen, wie IoT- und Mobilfunkgeräte oder Betriebssysteme, werden strengere Vorschriften erwartet. So soll die Cybersicherheit bereits im Produktionsprozess bzw. bei der Konfiguration berücksichtigt werden („Security by Design and Default“) – beginnend mit der Planung eines Produktes bis in die Betriebsphase und einige Jahre nach dem Produktverkauf (bis zu fünf Jahre). Zusätzlich müssen Hersteller ausführlich Dokumentation führen. Das Bereitstellen von Softwarepatches und die aktive Kommunikation zu Sicherheitslücken und deren Fehlerbehebung ist ein weiterer wesentlicher Baustein der Regulierung. Des Weiteren müssen für betroffene Produkte klare und verständliche Bedienungs- bzw. Betriebsanleitungen zur Verfügung gestellt werden.
3. Directive on the resilience of critical entities
Die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) hat das Ziel, die physische Widerstandsfähigkeit kritischer Einrichtungen zu stärken. Die CER-Richtlinie ersetzt die alte Richtlinie 2008/114/EC und weitet den Anwendungsbereich aus. Durch diese neuen Vorschriften werden die EU-Mitgliedstaaten zur Identifikation von kritischen Einrichtungen und Stärkung von deren Widerstandsfähigkeit verpflichtet. Die CER-Richtlinie ist am 16. Januar 2023 in Kraft getreten. Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Bestimmungen in nationale Gesetzgebung zu überführen.
Betroffene Wirtschaftszweige sind gemäß der Richtlinie in die Kategorien wesentlich und wichtig unterteilt. Insgesamt elf Sektoren gehören zum Geltungsbereich, die sich teilweise mit der NIS-2 Richtlinie überschneiden: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum sowie Produktion, Verarbeitung und Vertrieb von Lebensmitteln.
Unternehmen müssen sowohl organisatorische als auch technische Sicherheitsmaßnahmen umsetzen. Dazu zählt ein funktionsfähiges Risikomanagement, um Betriebsunterbrechungen zu verhindern. Ein Business Continuity Management System (BCMS) kann hier eine geeignete Maßnahme darstellen. Zudem sollen Unternehmen in der Lage sein, adäquat auf Cybersicherheitsvorfälle zu reagieren und dementsprechend einen Plan zur Vorfallbehandlung (Incident Management) zu definieren. Cybersicherheitsvorfälle sollen an die zuständigen Aufsichtsbehörden gemeldet werden. Diese können eigene Inspektionen und Audits durchführen und die Implementierung von angemessenen Maßnahmen einfordern.
Step by step zur Cybersecurity – das können Unternehmen jetzt tun
In fünf Schritten können Industrieunternehmen sich auf die Regulierungen vorbereiten:
- 1. Betroffenheit prüfen (Produkthersteller, Betreiber, Integratoren)
- 2. Anforderungen prüfen
- 3. Meldeprozesse vorbereiten bzw. vorhandene Umsetzungen hierzu anpassen
- 4. Sicherheitskonzepte, Informationssicherheitsmanagement (z.B. auf Basis ISO/IEC 27001 bzw. IEC 62443) inkl. Business Continuity Management etablieren
- 5. Risikomanagement im definierten Geltungsbereich umsetzen
Ob CRA, NIS-2 oder die CER-Richtlinie: Halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. Diese betragen zum Beispiel beim CRA bis zu 15 Mio. Euro bzw. 2,5 Prozent des Jahresumsatzes. Umso wichtiger ist eine strukturierte und ganzheitliche Cybersecurity-Strategie. Neben technischen Maßnahmen wie der Absicherung der Netzwerke und Geräte zählt dazu auch ein Blick auf die Absicherung der Unternehmensprozesse und die Sensibilisierung für das Thema bei den Mitarbeitenden.
Über den Autor: Steffen Heyde arbeitet als Marktsegmentleiter für die Marktsegmente Critical & Digital Infrastructure in der Division Industrie bei Secunet. Zusätzlich vertritt Steffen Heyde das Unternehmen bei verschiedenen Verbänden, wie dem Bundesverband IT-Sicherheit (TeleTrusT) und dem Bitkom. Er ist seit über 25 Jahren in den Bereichen Cyber-, IT- bzw. OT-Sicherheit tätig. Als Berater war er vor allem in den Unternehmenszweigen Öffentliche Verwaltung, Finanz- und Versicherungswirtschaft, Versorgungswirtschaft (u.a. Energie, Wasser, Lebensmittel), Transport, Automotive und im produzierenden Gewerbe tätig.
(ID:49587318)
:quality(80)/p7i.vogel.de/wcms/9f/ac/9faca201431447da5e7b91ef47fc677b/0110984493.jpeg "Welche harten finanziellen und strafrechtlichen Folgen die Missachtung der DSGVO, der NIS2-Richtlinie oder des Cyber Resilience Act haben kann, ist vor allem KMU oft nicht bewusst. (Bild: DOC RABE Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313cc72c03a2283b6adbc1acd5b8a3a1/0115810762.jpeg "Der EU Cyber Resilience Act (CRA) ist eine EU-Verordnung zur Definition verbindlicher Anforderungen an die Cybersicherheit von Produkten mit digitalen Bestandteilen. (Bild: gemeinfrei)")