Wir sehen einen dringenden Bedarf an strengeren Rechtsvorschriften wie der NIS-2 und dem EU Cyber Resilience Act, um auf die zunehmenden Bedrohungen zu reagieren. Gibt es bestimmte Ereignisse, die diesen Trend bestätigt haben?
Ja, zahlreiche Ereignisse haben bestätigt, dass ein Bedarf an strengeren Cybersecurity-Vorschriften besteht. Insbesondere die Zunahme von Cyberangriffen auf kritische Infrastrukturen, wie die Log4j-Schwachstelle und Ransomware-Angriffe im Gesundheitswesen und im Energiesektor, unterstreicht die Dringlichkeit von Maßnahmen wie der NIS-2 und dem CRA. Aber auch Vorfälle, bei denen es sich nicht um direkte Cyberangriffe handelt, wie z. B. der weltweite Absturz von Computersystemen im Juli 2024, der durch ein fehlerhaftes Update verursacht wurde, zeigen, welche weitreichenden Folgen ein Ausfall von IT-Systemen haben kann.
Was sind Ihrer Meinung nach die bedeutendsten Neuerungen, die mit der NIS-2 eingeführt wurden?
Eine der wichtigsten Neuerungen der der NIS-2 ist die Erweiterung ihres Geltungsbereichs auf eine größere Anzahl von Wirtschaftszweigen, einschließlich kritischer Bereiche wie Energiesektor, Verkehrswesen und Gesundheitswesen. Darüber hinaus unterstreicht die NIS-2 die Bedeutung umfassender Risikomanagementsysteme, die auch Maßnahmen zur Sicherung der Lieferkette umfassen, um besser gegen die immer raffinierter werdenden Angriffe auf die Lieferkette gewappnet zu sein. Eine weitere wichtige Änderung ist die Einführung der persönlichen Haftung von Geschäftsführern, wenn diese die Sicherheitsanforderungen der Richtlinie nicht erfüllen. Und zu guter Letzt kann die Nichteinhaltung der Anforderungen der NIS-2 zu hohen Bußgeldern führen, die bis zu zehn Millionen Euro bzw. zwei Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen können.
Wie reagieren Geschäftsführer auf die Einführung der persönlichen Haftung bei Nichteinhaltung der Sicherheitsanforderungen der NIS-2?
Die Einführung der persönlichen Haftung findet starke Beachtung bei Geschäftsführern. Viele Unternehmen reagieren darauf mit verstärkten Investitionen in Compliance- und Cybersecurity-Strategien, um die Haftungsrisiken zu minimieren. Darüber hinaus wird vermehrt Wert auf Schulungen und die Einbindung des Unternehmensmanagements gelegt.
Inwieweit haben die strengeren Anforderungen zu höheren Investitionen in die Sicherheit geführt? In welchen Sektoren waren diese besonders hoch?
Die verschärften Anforderungen der NIS-2 und des CRA haben zu erhöhten Investitionen in die Sicherheit geführt, insbesondere in Branchen wie dem Finanzwesen, der Energiewirtschaft und dem Gesundheitswesen. In diesen Branchen müssen erhebliche Ressourcen investiert werden, um die neuen Compliance-Anforderungen zu erfüllen und die Infrastruktur zu sichern. Unternehmen, die digitale Produkte auf den Markt bringen, suchen Unterstützung bei der Verbesserung der Cybersecurity ihrer Produkte. Dies gilt für alle Arten von Unternehmen, von Anbietern von Verbraucherprodukten bis hin zu Herstellern von Komponenten für die Industrieautomation.
Was sind die größten Herausforderungen für Unternehmen bei der Umsetzung dieser Anforderungen?
Eine der größten Herausforderungen für Unternehmen bei der Umsetzung der NIS-2-Anforderungen ist die Komplexität der neuen Vorschriften, die ein eingehendes Verständnis und eine sorgfältige Anpassung der internen Prozesse erfordern. Darüber hinaus können die Kosten für die Umsetzung umfassender Maßnahmen zur Risikobewertung und zur Sicherung der Lieferkette beträchtlich sein, was für viele Unternehmen eine finanzielle Belastung darstellt. Hinzu kommt, dass es vielen Unternehmen an internem Fachwissen mangelt, wodurch es schwierig wird, die strengen neuen Anforderungen der Richtlinie effektiv zu erfüllen.
Welche besonderen Herausforderungen gibt es für globale Unternehmen bei der Umsetzung der NIS-2 und des CRA?
Bei der Umsetzung der Anforderungen der NIS-2, des Cyber Resilience Act (CRA) und der Funkanlagenrichtlinie (RED) stehen globale Unternehmen vor der Herausforderung, unterschiedliche regulatorische Anforderungen in verschiedenen Ländern harmonisieren zu müssen. Global aufgestellte Unternehmen müssen sicherstellen, dass sie sowohl die EU-Vorschriften als auch andere internationale Standards einhalten, wie z. B. die NIST-Richtlinien in den USA oder branchenspezifische Vorschriften in Asien. Die Harmonisierung dieser unterschiedlichen Vorschriften ist eine besonders große Herausforderung, da einige Regionen, wie die USA, eher auf risikobasierte Ansätze setzen, während in der EU oft strengere Sicherheitsanforderungen und Meldepflichten gelten. Um diese Herausforderungen zu bewältigen, greifen Unternehmen zunehmend auf globale Compliance-Frameworks zurück, die verschiedene gesetzliche Anforderungen kombinieren, wie z. B. ISO 27001, IEC 62443 oder NIST CSF.
Bei der Umsetzung der Anforderungen der NIS-2, des CRA und der RED stehen globale Unternehmen vor der Herausforderung, unterschiedliche regulatorische Anforderungen in verschiedenen Ländern harmonisieren zu müssen.
Was sollten Organisationen tun, um sich auf die Einführung der NIS-2 und des CRA vorzubereiten?
Organisationen sollten jetzt umfassende Risikobewertungen durchführen, Notfallpläne entwickeln und ihre IT- und OT-Infrastrukturen an Sicherheitsstandards wie ISO 27001, IEC 62443 oder dem NIST CSF ausrichten. Darüber hinaus ist die Schulung von Mitarbeitenden ein wichtiger Schritt bei der Etablierung einer robusten Sicherheitskultur. Unternehmen, die Produkte mit digitalen Elementen in der EU vertreiben, müssen gewährleisten, dass ihre Produkte den neuen Vorschriften entsprechen. Dazu gehört die Durchführung einer EU CRA-Readiness-Analyse, um festzustellen, welche Produkte unter das EU CRA fallen, und um die Lücken zwischen dem aktuellen Stand und den Anforderungen des EU CRA zu ermitteln. Um die notwendigen Maßnahmen zur Schließung dieser Lücken zu entwickeln und umzusetzen, sind große Anstrengungen erforderlich.
Welchen langfristigen Nutzen versprechen Sie sich von dem CRA, sowohl für Unternehmen als auch für Verbraucher:innen?
Der Cyber Resilience Act wird Unternehmen und Verbraucher:innen langfristigen Nutzen bringen, insbesondere durch die Einführung des Konzepts der „Security by Design“. Dieses Prinzip verlangt von Herstellern, Sicherheit bereits bei der Produktentwicklung zu berücksichtigen, anstatt sie erst im Nachhinein zu ergänzen. Die Verbraucher:innen können darauf vertrauen, dass die von ihnen genutzten digitalen Produkte sicher sind und dass ihre persönlichen Daten besser geschützt sind. Darüber hinaus sind Unternehmen verpflichtet, mindestens fünf Jahre lang Sicherheitsupdates für ihre Produkte bereitzustellen, damit Verbraucher:innen auch nach dem Kauf von der Verbesserung der Sicherheit eines Produkts profitieren können.
Sie möchten den steigenden rechtlichen und regulatorischen Anforderungen gerecht werden? Wir helfen Ihnen gerne weiter!
