Direkt zum Inhalt wechseln
Mail Symbol Mail Symbol

EU-Maßnahmen zur Stärkung der Cybersicherheit: Wie Sie sich am besten darauf vorbereiten

Die EU plant mit der NIS-2-Richtlinie sowie dem Gesetz über Cyberresilienz umfassende Vorschriften zur Stärkung der Cybersicherheit. Diese Maßnahmen werden großen Einfluss auf beinahe alle digitalen Prozesse haben, von denen man sich nicht überraschen lassen sollte. 

von DI (FH) Stephan Leitner

Mit der zunehmenden Vernetzung der Welt hat Cybersicherheit eine neue Signifikanz im täglichen (Arbeits)leben erhalten. Um die Wirtschaft der EU fit für diese neue Welt zu machen und Anwender*innen zu schützen, plant die Europäische Union zahlreiche verpflichtende Maßnahmenpakete. 

Inhalt

  • Netz- und Informationssystemsicherheitsgesetz(NIS) 2.0
  • Gesetz über Cyberresilienz
  • Warum Warten keine Option ist
  • Die ersten Schritte
  • Weitere Linke
  • Autor
generated with Adobe Firefly

Netz- und Informationssystemsicherheitsgesetz (NIS) 2.0

Die NIS 2-Richtlinie ist eine europäische Rechtsvorschrift zur Cybersicherheit.  Sie zielt darauf ab, ein hohes Sicherheitsniveau für Netz- und Informationssysteme in der EU sicherzustellen. Sie konzentriert sich auf Sektoren, die für die Gesellschaft und die Wirtschaft von wesentlicher Bedeutung sind, wie Energie, Verkehr, Gesundheit, Finanzen und digitale Dienste. Im Vergleich zu aktuellen Netz- und Informationssystemsicherheitsgesetz (NIS), welches nur auf Betreiber sogenannter „wesentlicher Dienste“ sowie „digitaler Dienste“ zur Anwendung kommt, wird der Anwendungsbereich von NIS 2 auf weitere Sektoren ausgedehnt, darunter das Gesundheitswesen, Wasser, Abwasser, die Chemieindustrie und die digitale Infrastruktur. Die Richtlinie legt strengere Sicherheitsanforderungen fest, die von den betroffenen Unternehmen und Organisationen erfüllt werden müssen. Dazu gehören risikobasierte Sicherheitsmaßnahmen, die Einführung von Sicherheitsvorkehrungen und -praktiken sowie die Meldung von Sicherheitsvorfällen. Die NIS 2-Richtlinie sieht abschreckende Strafen für Verstöße gegen die Sicherheitsanforderungen vor, die sowohl Firmen als auch Personen in Führungspositionen haftbar machen. Die Mitgliedstaaten müssen geeignete Durchsetzungsmechanismen bereitstellen, um sicherzustellen, dass Unternehmen und Organisationen die Vorschriften einhalten. 

Gesetz über Cyberresilienz

Anders als NIS2, das auf Firmen in bestimmten Sektoren oder Funktionen anwendbar ist, gilt das Gesetz zur Cybersicherheit für alle Produkte, die einen digitalen Anteil haben. Damit ist eine weitreichende Produktpalette von einer smarten Glühbirne bis hin zu einem modernen Auto betroffen. Die Richtlinie ist noch in der Ausarbeitung, es wird aber erwartet, dass eine Reihe von verpflichtenden Maßnahmen vorgeschrieben werden. Es soll dabei der gesamte Produkt-Lebenszyklus betroffen sein. So muss die Cybersicherheit in der Planung-, Entwurfs-, Entwicklungs-, Herstellungs- und Wartungsphase betrachtet werden. Dazu werden umfassende Dokumentations- und Reporting-Pflichten (z. B. Meldung von Schwachstellen und Vorfällen) eingeführt. Weiters müssen Schwachstellen zeitnah behoben werden, und Security relevante Updates für jedes verkaufte Produkt mindestens fünf Jahre lang bereitgestellt werden. 

Warum Warten keine Option ist

Indem Unternehmen frühzeitig Maßnahmen aus dieser Richtlinie umsetzen, können sie sicherstellen, dass sie den rechtlichen Anforderungen entsprechen, sobald die Richtlinie in ihrem Land in Kraft tritt. Dies ermöglicht ihnen einen reibungslosen Übergang und verhindert mögliche Sanktionen oder rechtliche Konsequenzen. 

Abgesehen von rechtlichen Anforderungen zielen diese Richtlinien darauf ab, die Sicherheit von Netz- und Informationssystemen zu verbessern. Cyberangriffe stellen eine ständige Bedrohung dar. Unternehmen, die frühzeitig Maßnahmen zur Stärkung ihrer Sicherheitsstandards ergreifen, sind besser gerüstet, um diesen Bedrohungen zu begegnen. Durch die Implementierung von Sicherheitsvorkehrungen und -praktiken können Unternehmen potenzielle Schwachstellen identifizieren und beheben, die Sicherheit ihrer Systeme erhöhen und die Wahrscheinlichkeit von erfolgreichen Angriffen verringern. 

Damit können finanzielle Verluste minimiert werden – Cyberangriffe können erhebliche wirtschaftliche Schäden verursachen, sei es durch den Verlust von Daten, Betriebsunterbrechungen oder den Diebstahl geistigen Eigentums. Indem Unternehmen proaktiv Maßnahmen ergreifen, um ihre Netz- und Informationssysteme abzusichern, können sie potenzielle Schwachstellen erkennen und beseitigen, was zu einer Reduzierung der finanziellen Risiken führt. 

Darüber hinaus kann die Einhaltung der NIS 2-Richtlinie das Vertrauen von Kund*innen, Partner*innen und der Öffentlichkeit stärken. Angesichts der steigenden Bedrohung durch Cyberangriffe ist die Sicherheit von Netz- und Informationssystemen zu einem wichtigen Anliegen geworden. Unternehmen, die nachweislich robuste Sicherheitsmaßnahmen implementieren und die Anforderungen der NIS 2-Richtlinie erfüllen, können ihr Image als vertrauenswürdiger und zuverlässiger Geschäftspartner festigen. Dies kann zu einer verbesserten Wettbewerbsposition, einer erhöhten Kundenbindung und einem positiven Ruf führen. 

Die ersten Schritte

1. Bewertung der Auswirkungen:
Zuerst muss eine umfassende Bewertung der Netz- und Informationssysteme durchgeführt werden, um potenzielle Schwachstellen und Risiken zu identifizieren. Dies umfasst die Analyse der kritischen Infrastruktur, Identifizierung sensibler Daten und Bewertung möglicher Bedrohungen. 

2. Entwicklung einer Sicherheitsstrategie:
Auf Grundlage der Bewertung sollte eine umfassende Sicherheitsstrategie entwickelt werden. Diese Strategie sollte die erforderlichen Sicherheitsmaßnahmen und -praktiken umfassen, um das Schutzniveau ihrer Netz- und Informationssysteme zu erhöhen. 

3. Implementierung technischer und organisatorischer Maßnahmen:
Es müssen geeignete technische und organisatorische Maßnahmen ergriffen werden, um die Sicherheit der Systeme zu gewährleisten. Dazu gehören unter anderem die Implementierung von Firewalls, Intrusion Detection Systems (IDS), Zugriffskontrollen, regelmäßige Sicherheitsupdates und Patches, sichere Konfigurationen und Zugangsbeschränkungen. 

4. Risikomanagement:
Ein effektives Risikomanagement muss etabliert werden, um Risiken zu identifizieren, zu bewerten und angemessene Gegenmaßnahmen zu ergreifen. Dies umfasst die kontinuierliche Überwachung, das Erkennen von Sicherheitsvorfällen und die schnelle Reaktion auf diese Vorfälle. 

5. Incident Response Plan:
Es ist ratsam, einen Incident Response Plan zu erstellen, der klare Verfahren für den Umgang mit Sicherheitsvorfällen definiert. Dies umfasst die Kommunikation, das Eskalationsverfahren, die Wiederherstellung von Systemen und Daten sowie die Zusammenarbeit mit Behörden und Partnern. 

6. Schulung und Sensibilisierung:
Mitarbeiter sollten in die Sicherheitsmaßnahmen eingewiesen und für mögliche Bedrohungen sensibilisiert werden. Schulungsprogramme und regelmäßige Sicherheitsbriefings können dazu beitragen, das Bewusstsein für Cybersicherheit zu schärfen und Mitarbeiter zu befähigen, sicherheitsrelevante Aufgaben effektiv auszuführen. 

7. Zusammenarbeit und Austausch:
Sie sind nicht alleine! Die NIS 2-Richtlinie legt Wert auf Zusammenarbeit und Informationsaustausch zwischen Unternehmen, Behörden und relevanten Stakeholdern.  

Die RISC Software GmbH unterstützt Sie gerne bei der Entwicklung sicherer und resilienter Software und bringt ihre Expertise ein. Mit ihrem motivierten Team aus Expert*innen wird Ihre Software vom ersten Schritt an mit Hinblick auf höchste Qualität und Sicherheit entwickelt. Gerne werden Sie bei der Umsetzung Ihrer Produktidee beraten oder Ihre etablierte Software auf den neuesten Stand der Technik gebracht.

Weitere Links

Die neue NIS-2-Richtlinie (Bundeskanzleramt)
Gesetz über Cyberresilienz (EU)

Ansprechperson









    Autor

    DI (FH) Stephan Leitner

    Head of Unit Domain-specific Applications

    Weiterlesen