Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

NIS2 (Network Information Security Directive)

Die NIS2-Richtlinie muss bis zum 17. Oktober 2024 von den nationalen Gesetzgebern der EU-Mitgliedstaaten umgesetzt werden. Sie erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie von 2016 und legt strengere Sicherheitsanforderungen für Betreiber wesentlicher und Anbieter digitaler Dienste fest.

Betroffene Unternehmen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um ihre Netzwerke und Informationssicherheitssysteme ISMS) zu schützen. Die NIS2-Richtlinie umfasst zudem auch erweiterte Meldepflichten bei Sicherheitsvorfällen sowie strengere Sanktionen bei Verstößen.

DORA (Digital Operational Resilience Act)

Der Digital Operational Resilience Act konzentriert sich auf die Stärkung der operationellen Resilienz im Finanzsektor. Finanzunternehmen werden verpflichtet, robuste Systeme und Prozesse zu implementieren, um sicherzustellen, dass sie gegenüber Cyberangriffen und anderen IT-bezogenen Störungen widerstandsfähiger sind.

Dies umfasst regelmäßige Tests und Bewertungen der IT-Sicherheitsmaßnahmen sowie die Erstellung von Notfallplänen und Krisenübungen. Die in der Verordnung niedergelegten Pflichten treffen die betroffenen Stellen ab dem 17. Januar 2025.

CER-Richtlinie (Critical Entities Resilience Directive)

Die CER-Richtlinie, die parallel zur NIS2-Richtlinie im Januar 2023 in Kraft trat und durch die Bundesregierung bis Oktober 2024 umgesetzt werden muss, wahrscheinlich im Rahmen des KRITIS- (richtet sich an die Betreiber kritischer Infrastrukturen.

Sie verlangt von diesen Unternehmen, umfassende Risikoanalysen durchzuführen und geeignete Sicherheitsmaßnahmen zu implementieren, um ihre Widerstandsfähigkeit gegenüber einer Reihe von Bedrohungen wie Naturkatastrophen, Terroranschlägen, Insiderbedrohungen oder auch Sabotage stärken. Abgrenzend zur NIS2-Richtlinie betrifft die CER-Richtlinie Vorgaben zur Cyberresilienz, nicht zur Cybersicherheit.

CRA (Cyber Resilience Act)  

Der Cyber-Resilience-Act, der in der zweiten Hälfte des Jahres 2024 in Kraft treten und ab 2027 gelten soll, zielt darauf ab, Verbraucher und Unternehmen zu schützen, die Produkte oder Software mit einer digitalen Komponente kaufen oder verwenden. Hersteller und Einzelhändler sollen verbindliche Cybersicherheitsanforderungen einhalten müssen, wobei sich der entsprechende Schutz über den gesamten Produktlebenszyklus erstrecken soll.

Die Pflichten umfassen die Pflicht zur Implementierung von Mechanismen zur schnellen Behebung von Sicherheitslücken sowie auch die Bereitstellung regelmäßiger Sicherheitsupdates.

KI-VO (Verordnung über Künstliche Intelligenz)

Die Verordnung über Künstliche Intelligenz (KI-VO) wird voraussichtlich im Juli 2024 im Amtsblatt der EU veröffentlicht, 20 Tage später tritt sie in Kraft. Die einzelnen Vorschriften und resultierende Verpflichtungen werden gestaffelt Geltung erlangen.

Die Verordnung zielt darauf ab, die Nutzung von KI-Systemen sicherer und transparenter zu gestalten. Die Verordnung legt Anforderungen an die Entwicklung, Bereitstellung und Nutzung von KI-Systemen fest, insbesondere in Bezug auf Risikobewertungen, Transparenz und die Einhaltung ethischer Standards.

Ergänzende Regelungen im IT-Sicherheitsrecht

Neben den oben genannten Gesetzen gibt es eine Vielzahl weiterer Regelungen, die die IT-Sicherheit betreffen. Dazu gehören das IT-Sicherheitsgesetz 2.0 in Deutschland, das spezifische Anforderungen an die Sicherheitsmaßnahmen von Betreibern kritischer Infrastrukturen stellt, sowie die Datenschutz-Grundverordnung (DSGVO), die umfassende Vorgaben zum Schutz personenbezogener Daten macht.

Diese Regelungen ergänzen und verstärken die Anforderungen an die IT-Sicherheit in Unternehmen.