Industrie 4.0 – Schutz durch Regulatorik
Wie steht es um die Cybersecurity in der EU?
Ob Cyber Resilience Act (CRA), NIS-2- oder CER-Richtlinie: Für die Absicherung der Wirtschaft vor Cyberangriffen gibt es im europäischen Raum immer mehr Regularien. Doch wie lassen sich diese am besten umsetzen, und worauf müssen Unternehmen dabei achten?
Die digitale Transformation schreitet auch in Europa mit großen Schritten voran. Automatisierte und optimierte Prozesse sorgen für erhebliche Effizienzsteigerungen in der Produktion, in der Ver- und Entsorgung, beim Transport, in der Finanzwirtschaft, in der Verwaltung und in anderen Bereichen der Wirtschaft und des öffentlichen Lebens. Das Ergebnis ist jedoch nicht nur eine erhöhte Produktivität und Effizienz, es entstehen auch neue Sicherheitsrisiken und Angriffsszenarien. Ob Datenleaks, Sabotage oder Ransomware: Cyberattacken haben oft finanzielle und operative Konsequenzen für betroffene Unternehmen – oder wirken sich gar auf das gesellschaftliche Leben aus.
Um den Bedrohungen, die durch die Digitalisierung entstehen können, in angemessener Weise zu begegnen, werden in der EU zahlreiche Regularien und Gesetze auf den Weg gebracht und umgesetzt, darunter der CRA, die NIS-2- sowie CER-Richtlinie. Ziel ist ein einheitlich hohes Sicherheitsniveau für alle EU-Mitgliedsstaaten. Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden mit erweiterten Befugnissen ausgestattet, um sicherzustellen, dass die Sicherheit nicht nur auf dem Papier existiert. Der Gesetzgeber hat mittlerweile erkannt, dass die Kompromittierung der digitalen Prozessverarbeitung nicht nur in jenen Unternehmen dringend verhindert werden muss, die für die Versorgung der Gesellschaft essenziell sind – und steuert nach. Es folgt ein Überblick der drei wichtigsten EU-Cyberregularien.
Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA) legt Anforderungen für Produkte mit digitalen Elementen fest, um die Cybersecurity über den gesamten Lebenszyklus, einschließlich Softwareupdates, zu sichern. Dieser Gesetzentwurf zielt darauf ab, Endverbraucher und Unternehmen vor Produkten mit unzureichenden IT-Sicherheitsfunktionen zu schützen – und das wohl mit einem Umsetzungszeitraum von 21 bis 36 Monaten. Das Europäische Parlament hat dem CRA am 12. März zugestimmt. Jetzt müssen die Mitgliedstaaten das Gesetz noch bestätigen.
Betroffen sind Hersteller von Hard- und Software sowie von Produkten, die solche Komponenten enthalten und in der EU vertrieben werden. Für Produkte wie manipulationssichere Mikroprozessoren bzw. Mikrocontroller, Firewalls, aber auch Sicherheitskameras oder Router werden dabei strengere Vorschriften erwartet. So soll die Cybersecurity schon im Produktionsprozess und bei der Konfiguration berücksichtigt werden (»Security by Design and Default«) – beginnend mit der Planung eines Produkts bis in die Betriebsphase und einige Jahre nach dem Produktverkauf. Das Bereitstellen von Software-Patches und leicht verständlichen Bedienungs- bzw. Betriebsanleitungen sowie die aktive Kommunikation zu Sicherheitslücken und deren Fehlerbehebung ist ein weiterer wesentlicher Baustein der Regulierung.
Directive on Security of Network and Information Systems (NIS-2-Richtlinie)
Die Directive on Security of Network and Information Systems (NIS-2-Richtlinie), die seit Januar 2023 gilt, unterteilt betroffene Wirtschaftszweige in die Kategorien »essential« (wesentlich) – also Sektoren mit hoher Kritikalität – und »important« (wichtig) – weitere kritische Sektoren. Unter erstere fallen beispielsweise KRITIS-Unternehmen im Bereich Energie, Transport und Verkehr, Finanzmärkte, der Gesundheitssektor, digitale Infrastrukturen sowie die öffentliche Verwaltung auf Bundesebene. Weitere kritische Sektoren sind unter anderem Post- und Kurierdienstleistungen, Hersteller von Medizinprodukten und In-vitro-Diagnostika, Hersteller und Händler chemischer Stoffe sowie Hersteller von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, Maschinen, Kraftwagen und Kraftwagenteilen.
Betroffene Unternehmen sind dazu aufgefordert, sich im Bereich Informations-, IT- und OT-Sicherheit entsprechend den Anforderungen des Gesetzes aufzustellen und ihre Prozesse zu schützen. So sollen sie ein aktives Risikomanagement einführen und sich an Standards für Netzwerk- und Systemsicherheit, Vorfallbehandlung, Krisenmanagement, sichere Lieferketten sowie im Bereich Kryptografie und Verschlüsselung halten. Schutzmechanismen und eingesetzte Technologien müssen dem aktuellen Stand der Technik entsprechen. Die Richtlinie stärkt den Binnenmarkt und schafft klare Vorgaben für die Cybersecurity, die entlang dieser Kategorisierung in nationales Recht umgesetzt werden. Bis Oktober 2024 haben EU-Mitgliedsstaaten Zeit, die Richtlinie in nationales Recht umzusetzen. Auch Deutschland erarbeitet aktuell das entsprechende Umsetzungsgesetz.
Directive on the Resilience of Critical Entities (CER-Richtlinie)
Die Directive on the Resilience of Critical Entities (CER-Richtlinie) hat das Ziel, die physische Widerstandsfähigkeit kritischer Einrichtungen zu stärken. Sie ist am 16. Januar 2023 in Kraft getreten. Betroffene Wirtschaftszweige sind gemäß der Richtlinie in die Kategorien »wesentlich« und »wichtig« unterteilt und überschneiden sich in großen Teilen mit jenen der NIS-2-Richtlinie: Energie, Verkehr, das Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum sowie die Produktion, die Verarbeitung und der Vertrieb von Lebensmitteln.
Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Bestimmungen in nationale Gesetzgebung zu überführen. Ab diesem Zeitpunkt sind Unternehmen dazu verpflichtet, verschiedene organisatorische und technische Sicherheitsmaßnahmen umzusetzen. Dazu zählt unter anderem ein funktionsfähiges Risikomanagement, um Betriebsunterbrechungen zu verhindern. Zudem sollen Unternehmen in der Lage sein, adäquat auf Sicherheitsvorfälle zu reagieren und dementsprechend einen Plan zur Vorfallbehandlung (Incident Management) zu definieren. Sicherheitsvorfälle sollen an die zuständigen Aufsichtsbehörden gemeldet werden, die dazu berechtigt sind, eigene Inspektionen und Audits durchzuführen und die Implementierung angemessener Maßnahmen einzufordern.
Wie bereiten sich Unternehmen am besten vor?
Die Implementierung der Sicherheitsvorgaben aller Richtlinien ist als Marathon, nicht als Sprint zu sehen. Unternehmen sollten zunächst prüfen, ob und wie sie von den neuen Gesetzen betroffen sind oder sein werden. Ein Information Security Management System (ISMS), das Risikomanagement und die Umsetzung von Maßnahmen zur Erreichung eines angemessenen Risiko- und Sicherheitsniveaus in der IT und gegebenenfalls OT sind unerlässlich. Dazu gehören auch die Umsetzung und Aufrechterhaltung der IT-Sicherheitstechnologien, die dem aktuellen Stand der Technik entsprechen müssen. IT-Security-Beraterinnen und -Berater können unterstützen und maßgeschneiderte Konzepte für die angemessene Umsetzung bieten.
Schritt für Schritt zu mehr Cybersecurity
Jede der Regulierungen erfordert unterschiedliche Maßnahmen in verschiedenen Bereichen des Unternehmens. Für mehr Cybersecurity können sich Unternehmen an folgenden sieben Schritten orientieren:
- Bestandsaufnahme realisieren und Umsetzungsgrad in einem Audit einschließlich Penetrationstests bewerten
- Managementsysteme (ISMS und BCMS) einführen und Verantwortliche ernennen
- Risiken identifizieren, bewerten und bei Bedarf technische und organisatorische Maßnahmen ableiten und umsetzen
- Sicherheitslösungen nach Stand der Technik einführen und betreiben
- Schwachstellen- und Patchmanagement organisieren
- Notfallpläne aufstellen und Bewältigung von Sicherheitsvorfällen üben
- Sicherheit der Lieferkette beachten und die Sicherheit bei Dienstleistern einfordern und prüfen
Ob der CRA, die NIS-2- oder die CER-Richtlinie: die neuen Regularien werden zur Chefsache. Denn halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. So werden zum Beispiel bei der NIS-2-Richtlinie bis zu 10 Mio. Euro bzw. 2 Prozent des weltweiten Jahresumsatzes fällig. Daher wird das konsequente Umsetzen einer ganzheitlichen Cybersecurity-Strategie zum wesentlichen Bestandteil. Neben technischen Maßnahmen wie der Absicherung der Netzwerke und Geräte zählt dazu auch ein Blick auf die Absicherung der Unternehmensprozesse und die Sensibilisierung für das Thema bei der Belegschaft.
Der Autor:
Steffen Heyde ist Leiter Marktsegmente, Division Industry, secunet Security Networks.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Cybersecurity
CrowdStrike: Das waren die Folgen für deutsche Unternehmen
Sicheres Asset-Tracking und Management
eSIM unterstützt den bevorstehenden GSMA-Standard
