Neue Cyberregulierungen für Unternehmen im Jahr 2024
Einleitung
Neue Cyberregulierungen für Unternehmen im Jahr 2024. Bereits das vergangene Jahr hat viele neue Regulierungen für Unternehmen gebracht und es sind Weitere für das Jahr 2024 in die Wege geleitet worden. Mit diesem Beitrag geben wir euch einen Ausblick, was das Jahr 2024 an Veränderungen bringt.
Mithilfe der neuen und kommenden Richtlinien und Gesetze soll ein grundlegender technischer Standard erreicht werden. Gefahrenerkennung und -abwehr sowie Risikomanagement und die Aufrechterhaltung des Geschäftsbetriebes stellen dabei einen wichtigen Aspekt zur Bekämpfung der stetig wachsenden Gefahren dar.
Die Neuerungen betreffen am stärksten die KRITIS Bereiche. KRITIS ist die Kurzform für kritische Infrastruktur und damit sind Organisationen und Institutionen mit gesellschaftlicher Funktion gemeint. Den KRITIS sind Unternehmen oder Behörden verschiedenster Branchen und Sektoren wie Transport und Verkehr, Energieversorgung, Informations- und Telekommunikationstechnik, Finanz- und Versicherungswesen, Staat, Regierung und Verwaltung, Wasserversorgung und Abwasserbeseitigung, Gesundheit oder auch Medien und Kultur zugeordnet.
NIS2-Richtlinie
Die NIS2-Richtlinie, diese haben wir euch bereits in einem früheren Beitrag nähergebracht (Link zum Beitrag), muss bis zum 17. Oktober 2024 in nationales Gesetz überführt werden. Dadurch kommt es im KRITIS-Bereich zu einer Erweiterung von 18 Sektoren. Zudem wird zwischen „wesentliche“ und „wichtige“ Einrichtungen unterschieden werden. Durch die Ergänzung der neuen Sektoren können dann auch z. B. digitale Dienste in den Bereich der „wichtigen Einrichtungen“ fallen und somit den KRITIS-Vorgaben unterliegen. Daher werden in Zukunft deutlich mehr Unternehmen erfasst werden müssen. Zudem werden durch die Umsetzung der NIS2 auch Lieferanten und die Lieferketten unter die rechtlichen Vorgaben fallen.
Durch die Umsetzung NIS2-Richtlinie müssen Unternehmen ihre Geschäftsprozesse vor Cyberangriffen schützen. Mithilfe von spezifischen Gefahrenanalysen und der Umsetzung von angemessenen Maßnahmen sollen die Auswirkungen von Cyberangriffen verhindert oder minimiert werden. Um dies zu erreichen, müssen betroffene Unternehmen und Einrichtungen in Zukunft Richtlinien und Konzepte zur Risikoanalyse und Sicherheit der Informationssysteme aufstellen. Hierbei eingeschlossen sind außerdem Training und Schulung des Personals.
Darüber hinaus wird nach der NIS2-Richtlinie die Haftung des Managements geregelt werden. Dadurch haften Geschäftsführer und Vorstände in Zukunft persönlich für die Einhaltung der erforderlichen Maßnahmen und müssen den fortlaufenden Geschäftsbetrieb sicherstellen
Resilience Critical Entities (RCE)
Durch die Überführung der Resilience Critical Entities (RCE) Richtlinie in das KRITIS-Dachgesetz steht der Ausbau der physischen Sicherheit und Widerstandsfähigkeit allen KRITIS-Betreibern bevor. Das bedeutet, dass KRITIS-Einrichtungen verstärkt vor z. B. Brand, Stromausfall oder Gebäudeschäden geschützt werden sollen, aber auch im Bereich von Personal Sicherheitsüberprüfungen und Zutrittskontrollen ausgebaut werden müssen.
Mit dem Cyber Resilience Act (CRA) sollen Hersteller und Importeure von Software oder Produkten mit digitalen Komponenten zur „Security by Design“ verpflichtet werden. Dadurch soll das grundlegende Sicherheitsniveau verbessert werden und über den gesamten Lebenszyklus der Software oder des Produkts wird zur Sorgfalt verpflichtet. Für Unternehmen und Verbraucher wird es dadurch einfacher zu erkennen, ob eine Software oder ein Produkt über die notwendige und geeignete Cybersicherheit verfügt.
Der Cyber Security Act (CSA) soll Cyberzertifizierungen für Produkte der Informations- und Kommunikationstechnik sowie deren Dienste und Prozesse einführen und vereinheitlichen. Damit sollen eine höhere Qualität und Zuverlässigkeit der Cybersicherheit erreicht werden.
Digital Operational Resilience Act (DORA)
Der Digital Operational Resilience Act (DORA) soll die digitale operationale Widerstandsfähigkeit des gesamten europäischen Finanzsektors in verschiedenen Bereichen stärken. Ab Oktober 2024 soll dies nicht nur die Finanzdienstleister direkt betreffen, sondern auch deren beanspruchte Cloud- und IT-Dienstleistungen müssen die Vorgaben erfüllen.
Dies alles erfordert umfassende technische und organisatorische Anpassungen und Veränderungen für alle betroffenen Unternehmen und öffentliche Einrichtungen. Darüber hinaus wird es immer wichtiger, die aktuelle Lage der Cybersicherheit im Auge zu behalten, um auf neue Bedrohungen reagieren zu können und einen grundlegenden Sicherheitsstandard zu pflegen.
Ihr benötigt Unterstützung in IT-Sicherheit oder in anderen Bereichen der IT? Wir von der BLUVIT stehen euch mit Rat und Tat zur Seite, um euer Unternehmen vor Cyberkriminalität zu schützen. Bei Beratungs- und Umsetzungswünschen könnt ihr uns gerne ansprechen oder anrufen unter der Telefonnummer 0561 9402 6666 an. Alternativ können ihr uns auch eine Mail an service@bluvit.de schreiben oder unser Kontaktformular unserer Homepage benutzen.
Quellen:
https://it-tuv.com/cyber-security-trends-2024/
https://www.metacompliance.com/de/blog/cyber-security-awareness/cyber-security
https://www.cyber-solutions.at/blog/nis2-richtline#headline4
https://it-service.network/it-lexikon/kritis
https://www.openkritis.de/eu/eu-rce-direktive-kritis.html
https://www.openkritis.de/eu/eu-nis-2-direktive-kritis.html
https://digital-strategy.ec.europa.eu/de/policies/cyber-resilience-act
https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html
