☝ Zu beachten
Es liegt in der Verantwortung der Firmen selbst, zu bewerten, ob sie von NIS2 betroffen sind. Behördlicherseits gibt es keine proaktiven Hinweise!
11 Min. Lesezeit
8 Rechtsvorschriften, Richtlinien und Gesetze zur IT-Sicherheit, die Sie im Auge behalten müssen
21 März 2024
Ob Cyberattacken, Naturkatastrophen, Terroranschläge oder menschliches Versagen: Gerade im Zeitalter der digitalen Transformation ist die Unternehmens-IT einer Vielzahl von Bedrohungen ausgesetzt. Aus diesem Grund hat die EU eine Reihe von Maßnahmen ergriffen, um die Resilienz ihrer analogen und digitalen Infrastrukturen zu stärken – und eine regelrechte Flut von Verordnungen, Richtlinien und Gesetzesinitiativen ausgelöst. Bei all diesen Gesetzen zur IT-Sicherheit den Überblick zu bewahren, ist nicht einfach. Mit diesem Beitrag schafft Compliance und Audit Specialist Louis Woisetschläger Klarheit.
NIS2 (Network and Information Security 2)
Was ist NIS2?
NIS2 ist eine EU-weite Richtlinie, deren Ziel es ist, ein einheitliches Cybersicherheitsniveau in den Mitgliedstaaten zu schaffen. Dies soll Europas Widerstandsfähigkeit gegen Bedrohungen aus dem Cyberraum (Cyberresilienz) festigen und EU-Bürgern und -Unternehmen einen problemlosen und sicheren Zugang zu vernetzten Geräten und kritischen Infrastrukturen ermöglichen. Hierzu zählen Stromnetze ebenso wie die öffentliche Verwaltung, medizinische Einrichtungen oder Banken.
| Kritische Dienste gemäß NIS2: | |
|---|---|
| Wesentliche Einrichtungen (Essential Entities) | Wichtige Einrichtungen (Important Entities) |
| Energieversorgung Straßen-, Schienen, Luft- und Schiffsverkehr Bankwesen Infrastrukturen im Finanzmarkt Gesundheitswesen Trinkwasserversorgung Abwasserentsorgung Digitale Infrastrukturen wie beispielsweise Rechenzentren und Clouddienste Verwaltung von Informations- und Kommunikationstechnologie-Dienstleistungen im B2B-Bereich Öffentliche Verwaltung Raumfahrt | Post- und Kurierdienste Abfallwirtschaft Produzenten und Händler von chemischen Stoffen Produzenten und Vertreiber von Lebensmitteln Verarbeitendes Gewerbe/Warenhersteller Anbieter digitaler Dienste Forschungseinrichtungen |
Ab wann gilt NIS2?
NIS2 trat bereits am 16. Januar 2023 in Kraft. Die Mitgliedsstaaten waren aufgefordert, diese EU-Richtlinie bis zum 18. Oktober 2024 in nationales Recht umzusetzen. Diesen Stichtag hat der deutsche Gesetzgeber allerdings verpasst. Deshalb soll die EU-Richtlinie – so der Plan – in Deutschland nun im März 2025 in Kraft treten.
Wen betrifft NIS2?
NIS2 betrifft alle kritischen Einrichtungen (s. Infokasten) mit mindestens 50 Beschäftigten oder 10 Millionen EUR Jahresumsatz, die ihre Dienste in der EU anbieten oder dort tätig sind.
Was ist zu tun?
Betroffene Unternehmen müssen sicherstellen, dass ihr Geschäftsbetrieb aufrechterhalten bleibt und sie im Fall eines Cyberangriffs schnell reagieren können. Insbesondere sind diese Vorkehrungen zu treffen:
- Erstellung eines Konzepts für Risikoanalysen hinsichtlich der Sicherheit der unternehmenseigenen Informationssysteme
- regelmäßige Durchführung solcher Risikoanalysen
- Entwicklung eines Notfallplans zum Krisenmanagement: Erkennen, Beenden und Bewältigung von Sicherheitsvorfällen
- Installieren technologischer Maßnahmen zum sicheren Datenaustausch – wie Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung, Zugriffskontrolle und Asset Management
- Sicherstellen der Cyberhygiene (etwa durch regelmäßige Updates) und Backup-Management
- Erstellung eines Prozesses zur Meldung sicherheitsrelevanter Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Schulung der Belegschaft
CER Directive (Critical Entities Resilience)
Was ist die CER Directive?
Die CER Directive – zu Deutsch: „Richtlinie über die Resilienz kritischer Einrichtungen“ („RCE-Richtlinie“) – ist eine EU-weite Direktive. Sie dient der Stärkung der Resilienz kritischer Infrastrukturen in der EU gegen Online- und Offline-Bedrohungen.
Ab wann gilt die CER-Richtlinie?
Die CER-Richtlinie gilt bereits seit 16. Januar 2023.
Wen betrifft die CER-Richtlinie?
Für Betreiber kritischer Infrastrukturen (KRITIS) bedeutet die CER-Richtlinie eine Reihe geänderter und neuer Anforderungen.
☝ Schon gewusst?
Unter „KRITIS“ versteht man Institutionen, die für die Aufrechterhaltung essenzieller staatlicher Funktionen und für das öffentliche Wohl von zentraler Bedeutung sind. Eine Störung oder ein Ausfall dieser Infrastrukturen könnte zu langanhaltenden Versorgungsdefiziten, signifikanten Beeinträchtigungen der öffentlichen Sicherheit oder anderen weitreichenden Konsequenzen führen.
Was ist zu tun?
Die Umsetzung erfolgt durch die nationale Gesetzgebung. In Deutschland ist dies das KRITIS-Dachgesetz (s. u.)
Der Unterschied zwischen NIS2 und CER
Während NIS2 die Cybersicherheit im Blick hat, ist die CER-Richtlinie auf die physische Resilienz kritischer Infrastrukturen ausgelegt. NIS2 betrifft eine Vielzahl von wirtschaftlichen Sektoren und mittelgroße sowie große Unternehmen. Die CER-Richtlinie hingegen verpflichtet die Mitgliedstaaten dazu, kritische Einrichtungen gegen Bedrohungen aller möglichen Art abzusichern. Dazu gehören Cyberangriffe, aber auch menschliches Versagen, Sabotageversuche, Terroranschläge oder Naturkatastrophen (“All-Gefahren-Ansatz”).
KRITIS-Dachgesetz
Was ist das KRITIS-Dachgesetz?
Beim KRITIS-Dachgesetz handelt es sich um die Umsetzung der CER-Richtlinie in Deutschland. Es betrifft also die Robustheit kritischer Infrastrukturen (KRITIS) gegenüber Gefahren jeglicher Art und legt erstmalig auf Bundesebene fest, welche Einrichtungen als kritisch zu erachten sind.
Ab wann gilt das KRITIS-Dachgesetz?
Die EU-Mitgliedstaaten sind verpflichtet, das CER bis zum 17. Oktober 2024 in nationales Recht zu gießen. Damit ist das KRITIS-Dachgesetz ab dem 18. Oktober 2024 in Kraft. KRITIS-Unternehmen haben dann noch bis 17. Juli 2026 die Gelegenheit, die erforderlichen Maßnahmen umsetzen. Erst ab dann drohen Sanktionen bei Versäumnissen.
Wen betrifft das KRITIS-Dachgesetz?
Adressaten des Gesetzes sind Einrichtungen, die entscheidend für die allgemeine Versorgung in Deutschland sind und zu deren Zuständigkeitsbereich mehr als 500.000 Einwohner zählen.
Was ist zu tun?
KRITIS-Betreiber müssen Vorkehrungen treffen, um auf die spezifischen Bedrohungen verhältnismäßig reagieren zu können. Hierzu gilt es, Risikoanalysen durchzuführen und daraufhin entsprechende Resilienzpläne zu entwickeln. Hier können Betreiber und Branchenverbände auch zusammenarbeiten, um gemeinsam sektor- und branchenspezifische Mindeststandards zu entwickeln.
ℹ Experten-Tipp
Gerade KRITIS-Unternehmen unterliegen besonders hohen Datenschutz- und Compliance-Auflagen. Für sie heißt es, auf Technologien zu setzen, die nachweislich vor unbefugten Zugriffen sicher sind und dies auch durch unabhängige Zertifizierungen dokumentieren können. Idealerweise verfügt der Anbieter über eigene Server (Housing statt Hosting) in zertifizierten Rechenzentren.
DORA – Digital Operational Resilience Act
Was ist DORA?
Der Digital Operations Resilience Act – kurz DORA – ist eine EU-Verordnung, die die Widerstandsfähigkeit des Finanzsektors gegenüber Bedrohungen aus dem Cyberraum stärken soll. Hierzu sollen bereits existierende Verordnungen und -Richtlinien miteinander in Einklang gebracht werden. Dies soll den Finanzmärkten einen einheitlichen Rahmen für die Handhabung von Cybersicherheitsbedrohungen und Risiken in der Informations- und Kommunikationstechnologie (IKT) bieten. In Deutschland wird DORA durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) in nationales Recht gewandelt.
Ab wann gilt DORA?
Die Verordnung ist bereits seit 16. Januar 2023 wirksam und musste innerhalb von 24 Monaten umgesetzt werden. Seit dem 17. Januar 2025 ist DORA direkt in allen EU-Ländern gültig und anwendbar.
Wen betrifft DORA?
DORA richtet sich an eine sehr breite Palette von Akteuren im europäischen Finanzsektor, darunter unter anderem:
- Zahlungs- und Kreditinstitute
- Wertpapierunternehmen
- Kontoinformationsdienstleister
- E-Geld-Institute
- Versicherungs- und Rückversicherungsunternehmen
- Versicherungsvermittler
- Datenbereitstellungsdienste
- Anbieter betrieblicher Altersversorgung
- IKT-Dienstleister, die für solche Unternehmen tätig sind.
Was ist zu tun?
Betroffene Unternehmen sind verpflichtet, diverse Maßnahmen zu ergreifen, die sicherstellen, dass der Geschäftsbetrieb aufrechterhalten bleibt. Insbesondere müssen sie diese Kernthemen angehen:
- Management von IKT-Risiken
- Überwachung von Risikoquellen
- Maßnahmen zur sofortigen Erkennung ungewöhnlicher Aktivitäten
- Entwicklung robuster Notfallpläne
- Handhabung von IKT-Sicherheitsvorfällen und Cyberattacken
- Dokumentation aller IKT-bezogenen Vorfälle
- Meldung schwerwiegender Ereignisse
- Resilienztests
- Durchführung regelmäßiger Resilienztests, einschließlich Threat-led Penetration Testing (TLPT) zur Identifikation und anschließenden Behebung von Schwachstellen.
- Governance und Risikomanagement von ITK-Drittparteien
- Effektive Überwachung der Risiken, die sich durch die Zusammenarbeit mit IKT-Drittanbietern ergeben.
- Informationsaustausch
- Finanzunternehmen dürfen und sollen Informationen sowie Erkenntnisse über Cyberattacken untereinander teilen. Dies soll ihre Fähigkeit stärken, Bedrohungen aus dem Cyberraum zu erkennen und angemessen darauf zu reagieren.
Cyber Resilience Act (CRA)
Was ist der Cyber Resilience Act?
Ziel des Cyber Resilience Act (Cyberresilienzgesetz, CRA) ist es, einen EU-weit einheitlichen Rechtsrahmen zu schaffen, der Verbraucher und Unternehmen, die Produkte mit digitalen Elementen (wie Fitnessarmbänder, Babyphones oder IoT-Geräte) erwerben und nutzen, vor Cyberangriffen schützt. Den Anwendern wiederum soll es das neue Gesetz erleichtern, bei der Wahl und Nutzung solcher Produkte die Cybersicherheit im Blick zu haben.
Welche Konsequenzen drohen Unternehmen bei Verstößen gegen den CRA?
Bei Nichteinhaltung drohen Geldbußen in Höhe von bis zu 15 Millionen Euro beziehungsweise 2,5 Prozent des weltweiten Jahresumsatzes des betreffenden Unternehmens. Gegebenenfalls kann auch das Produkt komplett vom Markt genommen werden.
Ab wann gilt der CRA?
Der CRA trat am 11. Dezember 2024 in Kraft. Die Produkthersteller haben im Anschluss 36 Monate – also bis 11. Dezember 2027 – Zeit, die Vorgaben umzusetzen.
Wen betrifft der CRA?
Unternehmen, die Hard- oder Softwareprodukte mit digitalen Komponenten herstellen oder vertreiben (Hersteller, Importeure und Distributoren).
Was ist zu tun?
Die Hersteller sind angehalten, ihre Hard- und Softwareprodukte von vornherein sicherer zu designen und den Schutz über die gesamte Lebensdauer des Erzeugnisses aufrechtzuerhalten.
Insbesondere sind sie in der Pflicht,
- selbst zu bewerten, ob ihre Produkte die Sicherheitsanforderungen des CRA erfüllen
- regelmäßige Security-Updates für ihr Produkt bereitzustellen
- Anwendern unmissverständliche Informationen und Handlungsempfehlungen hinsichtlich der Cybersecurity des Produkts an die Hand zu geben
- Sicherheitsvorfälle der ENISA (European Union Agency for Cybersecurity) zu melden und die Anwender darüber zu informieren.
Zudem dürfen Hersteller, Importeure und Distributoren ausschließlich Produkte auf den EU-Markt bringen, die die Cybersecurity-Anforderungen erfüllen.
EU Data Governance Act (DGA)
Was ist der EU Data Governance Act?
Der EU Data Governance Act ist eine sektorübergreifende Verordnung der EU, die den Austausch und die Verwendung von Daten über Mitgliedstaaten hinweg erleichtern soll. Mit ihr soll ein rechtlicher Rahmen dafür geschaffen werden, die Daten für das Gemeinwohl weiterverwenden zu können. Dies gestattet es, altruistische Ziele wie die Bekämpfung des Klimawandels, Verbesserungen in der Gesundheitsversorgung oder optimierte Mobilitätskonzepte schneller zu erreichen. Der EU Data Governance Act soll deshalb das Vertrauen in den freiwilligen Austausch von Daten fördern, den Rahmen für ein sicheres Teilen der Informationen bieten und technische Hindernisse für deren weitere Nutzung beseitigen. Zusätzlich regelt die Verordnung die Tätigkeit von Datenvermittlungsdiensten (Datenintermediären), die den Informationsaustausch zwischen Dateninhabern und -nutzern ermöglichen.
Ab wann gilt der EU Data Governance Act?
Der EU Data Governance Act trat am 23. Juni 2022 in Kraft und ist nach einer Übergangsfrist von 15 Monaten seit 24. September 2023 gültig.
Wen betrifft der EU Data Governance Act?
Der Data Governance Act betrifft prinzipiell jedes Unternehmen, hauptsächlich aber öffentliche Stellen, Datenvermittlungsdienste, altruistische Organisationen und Unternehmen, die sich die Daten des öffentlichen Sektors zunutze machen möchten.
Was ist zu tun?
Datenvermittler oder Unternehmen, die Daten aus dem öffentlichen Sektor gemäß dem DGA verwenden möchten, sind verpflichtet, bestimmte Aspekte zu beachten. Hierzu zählen die folgenden:
- Auflagen bezüglich des Zugriffs und der Verwendung von Daten
Um den Zugriff auf die gewünschten Informationen zu erhalten und diese rechtmäßig nutzen zu können, heißt es für die Unternehmen, sowohl juristische als auch technische Auflagen zu erfüllen. Allen voran sind dies solche zum Datenschutz und der Datensicherheit. - Wahrung der Rechte Dritter
Bei der Verwendung von Daten gemäß DGA müssen die Unternehmen sicherstellen, dass sie keinerlei Rechte Dritter verletzen. Hierzu gehören geistiges Eigentum ebenso wie Geschäftsgeheimnisse. - Transparente Abläufe
Dienstleister im Bereich der Datenvermittlung sind angehalten, transparente Abläufe zu implementieren und ebenfalls die Rechte Dritter zu wahren. Dies soll einen gerechten und sicheren Handel mit Daten sichern.
EU Data Act
Was ist der EU Data Act?
Bislang waren die bei der Nutzung vernetzter Geräte entstehenden Daten meist ausschließlich den jeweiligen Geräteherstellern vorbehalten. Dem will der EU-Verordnungsvorschlag „EU Data Act“ entgegenwirken und die Wertschöpfung aus diesen Informationen auf alle Akteure gerecht verteilen. So sollen nicht nur die Dateninhaber (Hersteller des Produkts) auf die Informationen zugreifen können, sondern auch die Nutzer der Produkte und eventuelle Drittempfänger.
Der EU Data Act definiert, wann sowohl Unternehmen als auch Nutzer Daten von vernetzten Geräten erhalten und weiterverteilen dürfen. Auch der Wechsel von einem Datenverarbeitungsdienst zum nächsten sowie die verbesserte Kompatibilität ausgetauschter Daten steht im Fokus des Data Acts.[7]
Ab wann gilt der EU Data Act?
Der EU Data Act – oder „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ – trat am 11. Januar 2024 in Kraft. Er gilt nach einer Übergangsfrist von 20 Monaten EU-weit und ist ab dem 12. September 2025 anwendbar.
Wen betrifft der EU Data Act?
Der EU Data Act betrifft alle in der EU tätigen Unternehmen gleich welcher Branche, die Daten vernetzter Geräte erfassen und verarbeiten. Das heißt: Auch Firmen, die ihren Sitz nicht in der EU haben, dort aber Geschäfte betreiben, sind davon nicht ausgenommen. Vornehmlich sind es aber die Produzenten von vernetzten Produkten, die der Data Act berührt.
Welche Konsequenzen drohen Unternehmen bei Verstößen gegen den EU Data Act?
Verstöße gegen den EU Data Act werden mit bis zu 20 Millionen EUR oder beziehungsweise bis zu 4 Prozent des weltweiten Umsatzes des vorherigen Geschäftsjahres geahndet. Lediglich Unternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz unter 10 Millionen Euro sind davon nicht betroffen.
Was ist zu tun?
Insbesondere Unternehmen werden nun hinsichtlich Transparenz und Kontrolle über die Daten zur Verantwortung gezogen. So verpflichtet der Data Act etwa den Dateninhaber, die entstandenen Daten dem Endnutzer, einem von diesem beauftragten Dritten oder behördlichen Institutionen bereitzustellen. Ebenso sind die Hersteller dazu angehalten, ihre Produkte von vornherein so zu gestalten, dass die bei ihrer Verwendung anfallenden Daten dem Nutzer standardgemäß auf eine einfache, sichere und unmittelbare Weise zugänglich gemacht werden. Die Anwender sind dabei bereits vor Vertragsabschluss über die Art und den Umfang der durch die Produktnutzung zu erwartenden Daten sowie über die Modalitäten des Datenzugriffs aufzuklären.
Welche Herausforderungen gibt es?
Unternehmen, speziell KMUs, müssen sich auf wesentliche Herausforderungen durch den Data Act einstellen:
- Evaluierung der Relevanz des Data Acts für das Unternehmen
Unternehmen müssen eigenständig prüfen, ob der Data Act auf sie zutrifft oder nicht. - Auflagen hinsichtlich Produktdesign und Informationspflichten
Unternehmen, die dem Data Act unterliegen, müssen die entsprechenden Auflagen bereits während der Produktentwicklung berücksichtigen. Bei der Vermarktung sind sie verpflichtet, Informationen darüber bereitzustellen, welche Daten durch die Nutzung des Produkts entstehen und wer Zugriff darauf erhält. - Vertragsklauseln und Datenlizenzen
Den Datenzugriff müssen die Unternehmen anhand von Vertragsbedingungen nach dem FRAND-Prinzip (Fair, Reasonable and Non-Discriminatory) regeln. Ferner darf der Dateninhaber die durch das Produkt anfallenden Informationen lediglich auf Basis eines abzuschließenden Datenlizenzvertrags nutzen. - Datenzugangsrechte
Unter Umständen heißt es für die Unternehmen, neue Technologien zu implementieren, um dem Datenschutz gerecht zu werden. - Kooperation mit Behörden
Für die vollständige Konformität mit dem Data Act (Compliance) ist ein intensiver Austausch mit Aufsichtsbehörden erforderlich.
US CLOUD Act (Clarifying Lawful Overseas Use of Data Act)
Was ist der CLOUD Act?
Der “Clarifying Lawful Overseas Use of Data Act” (CLOUD Act) ist ein US-amerikanisches Gesetz, das es US-Behörden erlaubt, weltweit auf Daten zuzugreifen, die bei US-amerikanischen Unternehmen und deren Tochtergesellschaften gespeichert sind. Dabei ist es unerheblich, ob sich die Daten in der Cloud oder in einem Rechenzentrum befinden. Das bedeutet: Selbst, wenn das US-Unternehmen seine Daten in einem Datenzentrum der EU speichert, sind diese nicht vor dem Zugriff durch die US-Behörden geschützt.
☝ Schon gewusst?
Der CLOUD Act steht in Konflikt mit der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Verstöße gegen die DSGVO können Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens nach sich ziehen.
Wen betrifft der US CLOUD Act?
Betroffen sind sämtliche Unternehmen, die Dienste oder Tools von US-basierten Anbietern (wie etwa Microsoft Teams) nutzen.
☝ Zu beachten
Auch europäische Firmen, die ihre Daten in einem Rechenzentrum in der EU speichern, können verpflichtet sein, den US-Behörden Zugriff auf ihre Daten zu geben. Dies ist dann der Fall, wenn das Rechenzentrum von einem US-Provider zur Verfügung gestellt wird
Ab wann gilt der US CLOUD Act?
Ist bereits seit Ende März 2018 in Kraft.
Was ist zu tun?
Betroffene Unternehmen stehen vor einem Dilemma: Beugen sie sich dem CLOUD Act und geben die Daten heraus, verstoßen sie gegen geltendes EU-Recht. Weigern sie sich, den US-Behörden die Informationen zur Verfügung zu stellen, ist dies ein Verstoß gegen den CLOUD Act. Sie müssen also überlegen, welches Recht sie verletzen möchten, um den geringsten Schaden zu erleiden.
Wer als betroffenes Unternehmen auf Nummer sicher gehen will, kann auf Technologie-Ansätze wie Confidential Computing oder die Sealed Cloud setzen. Diese bieten einen zuverlässigen Schutz für sensible Daten, unabhängig vom Sitz des Anbieters. Sind diese auch noch zertifiziert und befinden sie sich zudem in ebenfalls zertifiziert sicheren Rechenzentren in einem Land wie Deutschland, das ein ausreichendes Datenschutzniveau bietet, gibt dies extra Sicherheit.
Titelbild: Shutterstock / Ground Picture
