In der modernen Welt ist so gut wie jedes Unternehmen von vernetzter IT abhängig und potenziell von Cyberattacken bedroht. Der Gesetzgeber reagiert seit Längerem mit einer ganzen Reihe von Verordnungen, Richtlinien und Gesetzen. Damit haben die Unternehmen zwei Probleme: Sie müssen sich zum einen gegen reale Angriffe wehren und zudem die teils komplexen juristischen Vorgaben erfüllen. Lange wähnten sich KMU vom Richtliniendschungel nicht tangiert; spätestens seit NIS2 müssen sie sich aber damit beschäftigen. Das führt zu großer Verunsicherung.
NIS2: Zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit
NIS2 ist seit 2024 der Nachfolger der EU-Richtlinie NIS1. Sie zielt darauf ab, ein einheitliches Cybersicherheitsniveau in allen EU-Mitgliedsstaaten herzustellen sowie kritische Infrastrukturen (KRITIS) vor Cyberangriffen zu schützen. Dabei definiert NIS2 klarer als NIS1, welche Sektoren und Unternehmen zu KRITIS zählen und teilt diese in „wesentliche“ und „wichtige“ Einrichtungen ein. Die wesentlichen Einrichtungen sind beispielsweise Energieversorger oder digitale Infrastruktur. Zu den wichtigen Einrichtungen gehören unter anderem Postdienste und Hersteller von chemischen Produkten.
Betroffen sind alle kritischen Einrichtungen in der EU mit mindestens 50 Beschäftigten oder einem Jahresumsatz ab zehn Millionen Euro. Die Unternehmen müssen beispielsweise durch Krisenmanagementpläne, Risikoanalysen und Maßnahmen zur IT-Sicherheit sicherstellen, dass ihr Betrieb bei Cyberattacken aufrechterhalten bleibt und Bedrohungen schnell begegnet wird. Laut aktuellem Stand soll NIS2 im März 2025 in Kraft treten.
CER-Richtlinie: Critical Entities Resilience
Die CER-Richtlinie soll die Widerstandsfähigkeit kritischer Infrastrukturen in der Europäischen Union gegen physische und digitale Bedrohungen stärken. Im Gegensatz zu NIS2 umfasst die Richtlinie auch den Schutz vor Naturkatastrophen, menschlichem Versagen sowie Terror- und Sabotageakten. Seit Januar 2023 wird die CER-Richtlinie in Deutschland durch das KRITIS-Dachgesetz in nationales Recht umgesetzt.
KRITIS-Dachgesetz: Kritische Infrastrukturen
Das KRITIS-Dachgesetz setzt die EU-Richtlinie CER in Deutschland um und soll ab Januar 2026 in Kraft treten. Es definiert bundesweit, welche Einrichtungen als „kritische Infrastrukturen“ gelten und soll deren Sicherheit gegenüber Bedrohungen stärken. Betroffen sind Einrichtungen aus Sektoren wie Finanzwesen, Wasserversorgung, Energie, Transport, Telekommunikation, Gesundheitswesen und öffentliche Verwaltung, die mehr als 500.000 Einwohner versorgen. KRITIS-Betreiber müssen beispielsweise Risikoanalysen durchführen und Resilienzpläne erstellen.
DORA: Digital Operations Resilience Act
DORA ist eine EU-Verordnung, welche zur Erhöhung der Sicherheit des Finanzsektors gegenüber Cyberbedrohungen dient. Das Ziel ist es, bestehende Verordnungen und Richtlinien zu harmonisieren und einen einheitlichen Rahmen für die Bewältigung von Risiken in der Informations- und Kommunikationstechnologie zu schaffen. Betroffen sind beispielsweise Zahlungs- und Kreditinstitute. Die betroffenen Unternehmen müssen Maßnahmen ergreifen, um ihren Betrieb bei Cyberangriffen aufrechtzuerhalten. Dazu zählen unter anderem Notfallpläne, Überwachung von IT-Risikoquellen und Penetrationstests.
DORA gilt seit Januar 2023 und ist unmittelbar in allen EU-Staaten umzusetzen. Jedoch können Anpassungen in landesspezifischen Gesetzen erforderlich sein. In Deutschland unterstützt das Finanzmarktdigitalisierungsgesetz die Umsetzung. Ab Mitte Januar 2025 ist die Verordnung vollständig anwendbar.
CRA: Cyber Resilience Act
Cyber Resilience geht weit über reine Cybersecurity hinaus. Der CRA soll einen konsistenten rechtlichen Rahmen innerhalb der EU schaffen, um Nutzer von Produkten mit digitalen Elementen gegen Cyberangriffe zu schützen. Davon betroffen sind Hardware- und Softwareprodukte mit Datenverarbeitungs- oder Steuerungsfunktionen, wie beispielsweise Smartwatches. Die Hersteller, Importeure und Distributoren müssen die Cybersicherheit über den gesamten Produktlebenszyklus gewährleisten, regelmäßige Sicherheitsupdates durchführen und Schwachstellen schließen.
Der CRA trat im März 2024 in Kraft. Die Hersteller haben 36 Monate Zeit, die Anforderungen zu erfüllen. Ab 2027 dürfen Produkte ohne entsprechende Sicherheitsaspekte nicht mehr in der EU angeboten werden.
DGA: Data Governance Act
Durch den DGA soll der Datenaustausch innerhalb der EU erleichtert werden, um Projekte wie Klimaschutz, Gesundheitsversorgung und Verkehrskonzepte zu fördern. Betroffen sind primär öffentliche Stellen und Unternehmen, die Daten des öffentlichen Sektors nutzen möchten. Dabei steht die Erfüllung von Datenschutz- und Datensicherheitsanforderungen im Fokus.
EU Data Act
Der EU Data Act, der im Januar 2024 in Kraft trat und ab September 2025 EU-weit gilt, zielt auf eine gerechtere Verteilung der von vernetzten Geräten generierten Daten ab. Das Ziel ist es, den Dateninhabern (meist der Hersteller) als auch den Nutzern Zugang zu den gesammelten Informationen zu gewähren. Betroffen sind alle Unternehmen in der EU, die Informationen vernetzter Geräte wie beispielsweise Smartwatches oder Fitnesstracker sammeln und nutzen.
US CLOUD Act
Der CLOUD Act erlaubt US-Behörden weltweit den Zugriff auf Daten, die bei US-Unternehmen und deren Tochtergesellschaften gespeichert sind, selbst wenn diese Daten in Rechenzentren außerhalb der USA, beispielsweise in der EU, aufbewahrt werden. Betroffen sind auch Unternehmen, die Dienste US-amerikanischer Anbieter nutzen.
Der CLOUD Act steht im Widerspruch zur europäischen Datenschutz-Grundverordnung. Daher müssen Unternehmen abwägen, ob sie den CLOUD Act befolgen und gegen die DSGVO verstoßen oder umgekehrt. Ein klassisches Beispiel ist die Microsoft Cloud (MS 365, Teams und weitere). Selbst beratende Datenschutzbeauftragte verschließen hier ihre Augen und unterstützen MS 365 womit sie gegen die von ihnen selbst propagierte DSGVO verstoßen.
Nutzen und Gefahren
Klar ist, dass die genannten Verordnungen, Richtlinien und Gesetzesinitiativen wichtige und sehr relevante Aspekte einer sicheren IT adressieren. Wie sehr sie wirklich dabei helfen, diese Probleme zu lösen, steht auf einem anderen Blatt. Schlecht wäre, wenn die Bürokratie nur dazu führt, Sanktionen zu vermeiden, statt pragmatische und proaktive Maßnahmen zu ergreifen, die Risiken zu minimieren.