17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Unverbindliches Erstgespräch vereinbaren

Inhalt

Ihr ISiCO-Experte für das Thema:
Dr. Jan Scharfenberg
Director Informationssicherheit

NIS2 (Network Information Security Directive)

Die NIS2-Richtlinie muss bis zum 17. Oktober 2024 von den nationalen Gesetzgebern der EU-Mitgliedstaaten umgesetzt werden. Sie erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie von 2016 und legt strengere Sicherheitsanforderungen für Betreiber wesentlicher und Anbieter digitaler Dienste fest.

Betroffene Unternehmen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um ihre Netzwerke und Informationssicherheitssysteme ISMS) zu schützen. Die NIS2-Richtlinie umfasst zudem auch erweiterte Meldepflichten bei Sicherheitsvorfällen sowie strengere Sanktionen bei Verstößen.

Leitfaden NIS2-Compliance direkt in Ihr Postfach

Lassen Sie sich unseren umfangreichen Leitfaden zur Implementierung einer NIS2-Compliance kostenfrei zuschicken. Sie erhalten darin wertvolle und praxisnahe Informationen zur Betroffenheitsfeststellung, zu den Verpflichtungen sowie dem Aufbau eines Informationssicherheitsmanagementsystems (ISMS).

*Ihre Einwilligung für den Versand unseres Newsletters umfasst auch die aggregierte Nutzungsanalyse (Öffnungsrate & Linkklicks). Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung

DORA (Digital Operational Resilience Act)

Der Digital Operational Resilience Act konzentriert sich auf die Stärkung der operationellen Resilienz im Finanzsektor. Finanzunternehmen werden verpflichtet, robuste Systeme und Prozesse zu implementieren, um sicherzustellen, dass sie gegenüber Cyberangriffen und anderen IT-bezogenen Störungen widerstandsfähiger sind.

Dies umfasst regelmäßige Tests und Bewertungen der IT-Sicherheitsmaßnahmen sowie die Erstellung von Notfallplänen und Krisenübungen. Die in der Verordnung niedergelegten Pflichten treffen die betroffenen Stellen ab dem 17. Januar 2025.

CER-Richtlinie (Critical Entities Resilience Directive)

Die CER-Richtlinie, die parallel zur NIS2-Richtlinie im Januar 2023 in Kraft trat und durch die Bundesregierung bis Oktober 2024 umgesetzt werden muss, wahrscheinlich im Rahmen des KRITIS- (richtet sich an die Betreiber kritischer Infrastrukturen.

Sie verlangt von diesen Unternehmen, umfassende Risikoanalysen durchzuführen und geeignete Sicherheitsmaßnahmen zu implementieren, um ihre Widerstandsfähigkeit gegenüber einer Reihe von Bedrohungen wie Naturkatastrophen, Terroranschlägen, Insiderbedrohungen oder auch Sabotage stärken. Abgrenzend zur NIS2-Richtlinie betrifft die CER-Richtlinie Vorgaben zur Cyberresilienz, nicht zur Cybersicherheit.

Lernen Sie unsere Expertise in der Informationssicherheit kennen

Schützen Sie mit unserer Expertise Ihre digitalen Vermögenswerte mit maßgeschneiderten IT-Sicherheitslösungen.

Jetzt Kennenlerntermin vereinbaren

CRA (Cyber Resilience Act)  

Der Cyber-Resilience-Act, der in der zweiten Hälfte des Jahres 2024 in Kraft treten und ab 2027 gelten soll, zielt darauf ab, Verbraucher und Unternehmen zu schützen, die Produkte oder Software mit einer digitalen Komponente kaufen oder verwenden. Hersteller und Einzelhändler sollen verbindliche Cybersicherheitsanforderungen einhalten müssen, wobei sich der entsprechende Schutz über den gesamten Produktlebenszyklus erstrecken soll.

Die Pflichten umfassen die Pflicht zur Implementierung von Mechanismen zur schnellen Behebung von Sicherheitslücken sowie auch die Bereitstellung regelmäßiger Sicherheitsupdates.

KI-VO (Verordnung über Künstliche Intelligenz)

Die Verordnung über Künstliche Intelligenz (KI-VO) wird voraussichtlich im Juli 2024 im Amtsblatt der EU veröffentlicht, 20 Tage später tritt sie in Kraft. Die einzelnen Vorschriften und resultierende Verpflichtungen werden gestaffelt Geltung erlangen.

Die Verordnung zielt darauf ab, die Nutzung von KI-Systemen sicherer und transparenter zu gestalten. Die Verordnung legt Anforderungen an die Entwicklung, Bereitstellung und Nutzung von KI-Systemen fest, insbesondere in Bezug auf Risikobewertungen, Transparenz und die Einhaltung ethischer Standards.

Ergänzende Regelungen im IT-Sicherheitsrecht

Neben den oben genannten Gesetzen gibt es eine Vielzahl weiterer Regelungen, die die IT-Sicherheit betreffen. Dazu gehören das IT-Sicherheitsgesetz 2.0 in Deutschland, das spezifische Anforderungen an die Sicherheitsmaßnahmen von Betreibern kritischer Infrastrukturen stellt, sowie die Datenschutz-Grundverordnung (DSGVO), die umfassende Vorgaben zum Schutz personenbezogener Daten macht.

Diese Regelungen ergänzen und verstärken die Anforderungen an die IT-Sicherheit in Unternehmen.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte rechnen Sie 7 plus 7.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Weitere Neuigkeiten