Neue EU-Vorschriften zur Cybersicherheit - SITS
News

Neue EU-Vorschriften zur Cybersicherheit

Erlass neuer und die Erweiterung bestehender EU-Verordnungen zur Informationssicherheit
13. Dezember 2023

Erlass neuer und die Erweiterung bestehender EU-Verordnungen zur Informationssicherheit

Eine Flut neuer EU-Verordnungen wird in den nächsten fünf Jahren wesentliche Auswirkungen auf Unternehmen, Geschäftsbereiche und Branchen haben. Die EU hat sich auf die Fahnen geschrieben, als Reaktion auf den Zusammenbruch der Lieferketten während der Corona-Pandemie sowie als Antwort auf die chinesische Herausforderung und den Ansturm von Ransomware den Wandel der Cybersicherheit hin zu mehr Widerstandsfähigkeit im Cyberspace anzuführen. Mit ihrer Vorgehensweise sorgt die EU für eine direkte Herausforderung der bestehenden Weltordnung, geprägt durch US-dominierte Big Techs. 

Mit NIS-2 hat die erste große Veränderung bereits begonnen 

Diese Richtlinie dient der Gewährleistung der Sicherheit von Netz- und Informationssystemen. Sie legt für die Betreiber kritischer Infrastrukturen und ihre Lieferketten Regeln für die Meldung von Sicherheitsvorfällen (Sicherheitsverletzungen und Schwachstellen) und die Zusammenarbeit mit Regierungen und Behörden fest und erweitert diese. Die jüngsten Erfahrungen haben gezeigt, dass die Bandbreite dessen, was unter NIS2 als lebenswichtige Infrastruktur gilt, massiv erweitert wurde. Alle in den Geltungsbereich fallenden Organisationen müssen dementsprechend über ausgereifte Fähigkeiten zur Reaktion auf Vorfälle verfügen und mit nationalen und EU-CSIRTs zusammenarbeiten. Die EU-Organisation für Cyber-Vorfälle wird entsprechend wissen, was vor sich geht, und die Reaktion koordinieren. Mit anderen Worten: Sie kann Unternehmen mitteilen, was anderswo funktioniert hat. 

Die  CER-Richtlinie (über die Resilienz kritischer Einrichtungen) verpflichtet die Betreiber kritischer Infrastrukturen zur Stärkung ihrer nachweisbaren Widerstandsfähigkeit (Ausfallsicherheit) gegenüber allen Vorfällen, einschließlich Cybersicherheit. Die EU-Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors, DORA, erweitert die CER-Richtlinie um den Finanzsektor samt Lieferkette. Dies gilt insbesondere für den elektronischen und digitalen Zahlungsverkehr. CER und DORA sollten Sie zur Überprüfung aktueller IT-Verträge veranlassen und werden mit großer Wahrscheinlichkeit die Anforderungen an Sicherheits-Monitoring und Managed-Response verändern und erweitern. 

Mit der EU-Verordnung zur Cyber-Resilienz (Cyber Resilience Act, CRA) werden die „gemeinschaftlichen Produktstandards“ auf den Bereich der Cybersicherheit ausgedehnt. Von Herstellern und Lieferanten wird erwartet, dass sie ihre Produkte gemäß EU-Zertifizierungsstandards (noch ausstehend) selbst zertifizieren, welche von der ENISA (EU-Agentur für Cybersicherheit) etabliert werden. Nach der Zertifizierung gilt die übliche EU-Produkthaftung: Sollte ein Lieferant nicht wie vereinbart liefern, kann der Kunde nachweisbare Schäden über den Lieferanten geltend machen. Der Lieferant kann nachfolgend den Anbieter für Schäden verantwortlich machen, wobei dies nicht nur auf unmittelbare Schäden beschränkt ist. Reseller müssen die Produkthaftung seitens ihrer Lieferanten abdecken und sollten eine Validierung ihrer Vertriebsprodukte erwägen. 

Der bürokratische Druck bei der Sicherung der Lieferkette und die Skalenerträge bzw. Größenvorteile werden dazu führen, dass Kunden die Zahl an Lieferanten und Unterlieferanten reduzieren, was eine unmittelbare Bedrohung für alle kleinen und mittelgroßen MSSP darstellt. Eine Umstrukturierung ist wahrscheinlich – für Lieferanten geht es um Wachstum oder Untergang. 

Letztlich birgt das Autonomiebestreben der EU im Bereich Technologie, welches in der praktischen Umsetzung zumindest eine weniger starke Abhängigkeit von den US-amerikanischen Big-Techs bedeutet, gleichzeitig Chancen aber auch Gefahren für Cybersicherheit auf dem europäischen Markt. Das umgangssprachlich mit „Souveränität“ bezeichnete Thema verlangt Ihre strukturelle Aufmerksamkeit, da Geopolitik in der Welt der Cybersicherheit zu einer unbestreitbaren Kraft geworden ist. 

Wir unterstützen Sie! 

Alle wichtigen Anforderungen des sich rasch entwickelnden EU-Regelwerk und Informationen zu Maßnahmen, die Sie ergreifen müssen, haben wir für Sie in unserem Whitepaper zusammengefasst. 

Der Cyber Chronicle Newsroom
Wir versorgen Sie mit aktuellen News, Daten und Trendthemen
Änderung der Support-Rufnummer von SITS Deutschland GmbH
Mehr erfahren
SITS Deutschland GmbH tritt Microsoft Intelligent Security Association bei
Mehr erfahren
SITS Deutschland erneut mit „Top Consultant“-Siegel ausgezeichnet: Ein Erfolg für die IT-Sicherheit
Mehr erfahren
Zusammenschluss der deutschen SITS-Gesellschaften schafft führenden deutschen Cybersecurity-Lösungsanbieter
Mehr erfahren
SITS Deutschland zum dritten Mal in Folge TOP CONSULTANT
Mehr erfahren
Technikpioniere
Mehr erfahren
Kooperation zwischen SITS Group und eperi für optimale Cloud-Verschlüsselung
Mehr erfahren
Swiss IT Security erfolgreich bei Ausschreibung der eOperations Schweiz
Mehr erfahren
SITS Group AG und AvePoint ermöglichen Governance Prozesse für den Modern Workplace
Mehr erfahren
Neue EU-Vorschriften zur Cybersicherheit
Mehr erfahren
SITS Group gewinnt Sabri Boughattas als neuen Head of Sales Deutschland
Mehr erfahren
SITS Group erweitert Managed SOC-Lösungen um CTI-as-a-Service
Mehr erfahren
Neuer Head of Sales für die Swiss IT Security AG
Mehr erfahren
SITS Group schließt Kooperation für sichere KI auf der it-sa 2023
Mehr erfahren
SITS Deutschland erneut TOP CONSULTANT
Mehr erfahren
Jens Rüster ist CEO Deutschland
Mehr erfahren