17.07.2024
Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen
In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.
Inhalt
Dr. Jan Scharfenberg
Director Informationssicherheit
NIS2 (Network Information Security Directive)
Die NIS2-Richtlinie muss bis zum 17. Oktober 2024 von den nationalen Gesetzgebern der EU-Mitgliedstaaten umgesetzt werden. Sie erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie von 2016 und legt strengere Sicherheitsanforderungen für Betreiber wesentlicher und Anbieter digitaler Dienste fest.
Betroffene Unternehmen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um ihre Netzwerke und Informationssicherheitssysteme ISMS) zu schützen. Die NIS2-Richtlinie umfasst zudem auch erweiterte Meldepflichten bei Sicherheitsvorfällen sowie strengere Sanktionen bei Verstößen.
Leitfaden NIS2-Compliance direkt in Ihr Postfach
Lassen Sie sich unseren umfangreichen Leitfaden zur Implementierung einer NIS2-Compliance kostenfrei zuschicken. Sie erhalten darin wertvolle und praxisnahe Informationen zur Betroffenheitsfeststellung, zu den Verpflichtungen sowie dem Aufbau eines Informationssicherheitsmanagementsystems (ISMS).
DORA (Digital Operational Resilience Act)
Der Digital Operational Resilience Act konzentriert sich auf die Stärkung der operationellen Resilienz im Finanzsektor. Finanzunternehmen werden verpflichtet, robuste Systeme und Prozesse zu implementieren, um sicherzustellen, dass sie gegenüber Cyberangriffen und anderen IT-bezogenen Störungen widerstandsfähiger sind.
Dies umfasst regelmäßige Tests und Bewertungen der IT-Sicherheitsmaßnahmen sowie die Erstellung von Notfallplänen und Krisenübungen. Die in der Verordnung niedergelegten Pflichten treffen die betroffenen Stellen ab dem 17. Januar 2025.
CER-Richtlinie (Critical Entities Resilience Directive)
Die CER-Richtlinie, die parallel zur NIS2-Richtlinie im Januar 2023 in Kraft trat und durch die Bundesregierung bis Oktober 2024 umgesetzt werden muss, wahrscheinlich im Rahmen des KRITIS- (richtet sich an die Betreiber kritischer Infrastrukturen.
Sie verlangt von diesen Unternehmen, umfassende Risikoanalysen durchzuführen und geeignete Sicherheitsmaßnahmen zu implementieren, um ihre Widerstandsfähigkeit gegenüber einer Reihe von Bedrohungen wie Naturkatastrophen, Terroranschlägen, Insiderbedrohungen oder auch Sabotage stärken. Abgrenzend zur NIS2-Richtlinie betrifft die CER-Richtlinie Vorgaben zur Cyberresilienz, nicht zur Cybersicherheit.
CRA (Cyber Resilience Act)
Der Cyber-Resilience-Act, der in der zweiten Hälfte des Jahres 2024 in Kraft treten und ab 2027 gelten soll, zielt darauf ab, Verbraucher und Unternehmen zu schützen, die Produkte oder Software mit einer digitalen Komponente kaufen oder verwenden. Hersteller und Einzelhändler sollen verbindliche Cybersicherheitsanforderungen einhalten müssen, wobei sich der entsprechende Schutz über den gesamten Produktlebenszyklus erstrecken soll.
Die Pflichten umfassen die Pflicht zur Implementierung von Mechanismen zur schnellen Behebung von Sicherheitslücken sowie auch die Bereitstellung regelmäßiger Sicherheitsupdates.
KI-VO (Verordnung über Künstliche Intelligenz)
Die Verordnung über Künstliche Intelligenz (KI-VO) wird voraussichtlich im Juli 2024 im Amtsblatt der EU veröffentlicht, 20 Tage später tritt sie in Kraft. Die einzelnen Vorschriften und resultierende Verpflichtungen werden gestaffelt Geltung erlangen.
Die Verordnung zielt darauf ab, die Nutzung von KI-Systemen sicherer und transparenter zu gestalten. Die Verordnung legt Anforderungen an die Entwicklung, Bereitstellung und Nutzung von KI-Systemen fest, insbesondere in Bezug auf Risikobewertungen, Transparenz und die Einhaltung ethischer Standards.
Ergänzende Regelungen im IT-Sicherheitsrecht
Neben den oben genannten Gesetzen gibt es eine Vielzahl weiterer Regelungen, die die IT-Sicherheit betreffen. Dazu gehören das IT-Sicherheitsgesetz 2.0 in Deutschland, das spezifische Anforderungen an die Sicherheitsmaßnahmen von Betreibern kritischer Infrastrukturen stellt, sowie die Datenschutz-Grundverordnung (DSGVO), die umfassende Vorgaben zum Schutz personenbezogener Daten macht.
Diese Regelungen ergänzen und verstärken die Anforderungen an die IT-Sicherheit in Unternehmen.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Weitere Neuigkeiten
28.11.2024
BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zu Datenschutzverstößen gefällt. Das Urteil birgt neue Risiken für Unternehmen, denn es bietet spezialisierten Klägervertretern einen mächtigen Hebel, um bei Datenschutzvorfällen Klagewellen auszulösen. Wir erklären, was das Urteil bedeutet, welche Konsequenzen es für Unternehmen hat und wie sie sich schützen können.
Weiterlesen … BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
21.11.2024
Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
Eine der proaktivsten und effektivsten Maßnahmen, um Cyber-Gefahren vorzubeugen, ist der Einsatz von Penetrationstests. Diese Methode, auch „Pentests“ genannt, simuliert Cyberangriffe auf die Systeme eines Unternehmens, um Schwachstellen aufzudecken, bevor sie von Angreifern ausgenutzt werden können. Dieser Artikel beleuchtet, warum Penetrationstests für Organisationen unerlässlich sind, die ihre Cybersicherheitsstrategie stärken und ihre wertvollen Vermögenswerte schützen wollen.
Weiterlesen … Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern