NIS2 Archive - SITS

Erlass neuer und die Erweiterung bestehender EU-Verordnungen zur Informationssicherheit

Eine Flut neuer EU-Verordnungen wird in den nächsten fünf Jahren wesentliche Auswirkungen auf Unternehmen, Geschäftsbereiche und Branchen haben. Die EU hat sich auf die Fahnen geschrieben, als Reaktion auf den Zusammenbruch der Lieferketten während der Corona-Pandemie sowie als Antwort auf die chinesische Herausforderung und den Ansturm von Ransomware den Wandel der Cybersicherheit hin zu mehr Widerstandsfähigkeit im Cyberspace anzuführen. Mit ihrer Vorgehensweise sorgt die EU für eine direkte Herausforderung der bestehenden Weltordnung, geprägt durch US-dominierte Big Techs. 

Mit NIS-2 hat die erste große Veränderung bereits begonnen 

Diese Richtlinie dient der Gewährleistung der Sicherheit von Netz- und Informationssystemen. Sie legt für die Betreiber kritischer Infrastrukturen und ihre Lieferketten Regeln für die Meldung von Sicherheitsvorfällen (Sicherheitsverletzungen und Schwachstellen) und die Zusammenarbeit mit Regierungen und Behörden fest und erweitert diese. Die jüngsten Erfahrungen haben gezeigt, dass die Bandbreite dessen, was unter NIS2 als lebenswichtige Infrastruktur gilt, massiv erweitert wurde. Alle in den Geltungsbereich fallenden Organisationen müssen dementsprechend über ausgereifte Fähigkeiten zur Reaktion auf Vorfälle verfügen und mit nationalen und EU-CSIRTs zusammenarbeiten. Die EU-Organisation für Cyber-Vorfälle wird entsprechend wissen, was vor sich geht, und die Reaktion koordinieren. Mit anderen Worten: Sie kann Unternehmen mitteilen, was anderswo funktioniert hat. 

Die  CER-Richtlinie (über die Resilienz kritischer Einrichtungen) verpflichtet die Betreiber kritischer Infrastrukturen zur Stärkung ihrer nachweisbaren Widerstandsfähigkeit (Ausfallsicherheit) gegenüber allen Vorfällen, einschließlich Cybersicherheit. Die EU-Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors, DORA, erweitert die CER-Richtlinie um den Finanzsektor samt Lieferkette. Dies gilt insbesondere für den elektronischen und digitalen Zahlungsverkehr. CER und DORA sollten Sie zur Überprüfung aktueller IT-Verträge veranlassen und werden mit großer Wahrscheinlichkeit die Anforderungen an Sicherheits-Monitoring und Managed-Response verändern und erweitern. 

Mit der EU-Verordnung zur Cyber-Resilienz (Cyber Resilience Act, CRA) werden die „gemeinschaftlichen Produktstandards“ auf den Bereich der Cybersicherheit ausgedehnt. Von Herstellern und Lieferanten wird erwartet, dass sie ihre Produkte gemäß EU-Zertifizierungsstandards (noch ausstehend) selbst zertifizieren, welche von der ENISA (EU-Agentur für Cybersicherheit) etabliert werden. Nach der Zertifizierung gilt die übliche EU-Produkthaftung: Sollte ein Lieferant nicht wie vereinbart liefern, kann der Kunde nachweisbare Schäden über den Lieferanten geltend machen. Der Lieferant kann nachfolgend den Anbieter für Schäden verantwortlich machen, wobei dies nicht nur auf unmittelbare Schäden beschränkt ist. Reseller müssen die Produkthaftung seitens ihrer Lieferanten abdecken und sollten eine Validierung ihrer Vertriebsprodukte erwägen. 

Der bürokratische Druck bei der Sicherung der Lieferkette und die Skalenerträge bzw. Größenvorteile werden dazu führen, dass Kunden die Zahl an Lieferanten und Unterlieferanten reduzieren, was eine unmittelbare Bedrohung für alle kleinen und mittelgroßen MSSP darstellt. Eine Umstrukturierung ist wahrscheinlich – für Lieferanten geht es um Wachstum oder Untergang. 

Letztlich birgt das Autonomiebestreben der EU im Bereich Technologie, welches in der praktischen Umsetzung zumindest eine weniger starke Abhängigkeit von den US-amerikanischen Big-Techs bedeutet, gleichzeitig Chancen aber auch Gefahren für Cybersicherheit auf dem europäischen Markt. Das umgangssprachlich mit „Souveränität“ bezeichnete Thema verlangt Ihre strukturelle Aufmerksamkeit, da Geopolitik in der Welt der Cybersicherheit zu einer unbestreitbaren Kraft geworden ist. 

Wir unterstützen Sie! 

Alle wichtigen Anforderungen des sich rasch entwickelnden EU-Regelwerk und Informationen zu Maßnahmen, die Sie ergreifen müssen, haben wir für Sie in unserem Whitepaper zusammengefasst.