Rollout neuer Cyberregularien: Was Sie über NIS2, CRA und RED wissen sollten

Cyberregulierungen können eine Reihe an verschiedenen Themen abdecken, darunter Datenschutz, Produkt- und Datensicherheit, Cyberkriminalität, digitale Rechte und Verantwortlichkeiten, Netzwerksicherheit und vieles mehr.

Eines haben sie gemeinsam: Sie bieten vereinheitlichte rechtliche Rahmenbedingungen, um Unternehmen anzuleiten und zu schützen, wenn sie sich im digitalen Raum bewegen. Dazu schützen sie auch Nutzer:innen vor Sicherheitsvorfällen, wenn sie Produkte oder Services der von den Regularien betroffenen Unternehmen nutzen.

Wozu gibt es Cyberregularien?

Schutz von Infrastrukturen: Cyberregulierungen verpflichten Betreiber von Infrastrukturen (auch KRITIS) und digitale Dienstleister dazu, bestimmte Sicherheitsmaßnahmen zu ergreifen und ernsthafte Sicherheitsvorfälle zu melden.

Verbesserung der Cybersicherheit: Durch die Festlegung von Mindeststandards für die Netzwerk- und Informationssicherheit fördern sie eine stärkere und effektivere Cybersicherheit.

Förderung von Zusammenarbeit: Sie fördern die Zusammenarbeit und den Informationsaustausch zwischen den betroffenen Staaten und Unternehmen.

Gesteigerte Transparenz: Durch Meldepflichten fördern Regulierungen eine größere Transparenz im Umgang mit Sicherheitsvorfällen und helfen dabei, das Bewusstsein für Cybersicherheitsrisiken zu schärfen.

Schaffung eines einheitlichen Rahmens: Wenn es Staaten mit unterschiedlichen nationalen Gesetzen und Vorschriften gibt, helfen übergreifende Richtlinien dabei, einen konsistenten und harmonisierten Ansatz zu schaffen.

NIS2-Richtinie: Verschärfte Anforderungen für noch mehr Unternehmen

Bereits 2016 hat die Europäische Union (EU) die erste NIS-Richtlinie (Network and Information Security Directive) verabschiedet. Doch die technologische Landschaft ändert sich rasant und erfordert ständige Anpassungen. Daher wurde im Dezember 2020 der Vorschlag für eine Überarbeitung der NIS-Richtlinie von der EU vorgestellt, bekannt als NIS-2-Richtlinie (EU 2022/2555).

Bis wann muss die NIS2-Richtlinie umgesetzt werden?

Sie ist seit Anfang 2023 in Kraft und löst die bisherige NIS-Direktive ab. Bis Oktober 2024 müssen die EU-Mitgliedsstaaten sie in nationales Recht umsetzen. Das Ziel der NIS2-Richtlinie ist es, die Cybersicherheitsanforderungen innerhalb der EU weiter zu stärken und zu harmonisieren.

Was deckt die überarbeitete Richtlinie ab?

Die NIS2-Richtlinie deckt eine größere Anzahl von Unternehmen ab, einschließlich wichtiger Anbieter von öffentlichen und privaten digitalen Diensten sowie einer größeren Anzahl von Sektoren, die als wesentliche Dienste betrachtet werden. Konkret steigt die Anzahl der von der Direktive betroffenen Sektoren auf insgesamt 18, aufgeteilt in elf kritische und sieben wichtige Sektoren.

Welche Unternehmen sind betroffen?

Eine weitere wichtige Änderung betrifft die Unternehmen selbst: Mit mehr als 50 Mitarbeitenden oder einem Umsatz von über 10 Mio. EUR sind sie von der Direktive betroffen. Dazu sollen auch einige Betreiber unabhängig von ihrer Größe reguliert werden, darunter Teile der digitalen Infrastruktur und der öffentlichen Verwaltung.

Was ändert sich in Sachen Sicherheit?

Nicht zuletzt führt die NIS2-Richtlinie auch strengere und detailliertere Sicherheitsanforderungen ein, die die betroffenen Unternehmen erfüllen müssen. Dazu gehören etwa verschärfte Meldepflichten von Sicherheitsvorfällen. Zusätzlich werden die Durchsetzungskräfte der nationalen Regulierungsbehörden gestärkt und höhere Strafen für Verstöße eingeführt.

Das Wichtigste zur NIS2-Richtlinie auf einen Blick:

• Die Anzahl der betroffenen Sektoren steigt auf insgesamt 18, aufgeteilt in elf kritische und sieben wichtige Sektoren.
• Unternehmen mit mehr als 50 Mitarbeitenden oder einem Umsatz von über 10 Mio. EUR sind von der NIS2-Richtlinie betroffen.
• Die NIS2-Richtlinie führt strengere Sicherheitsanforderungen ein, die Unternehmen erfüllen müssen.
• Unternehmen sind verpflichtet, mehr Arten von Sicherheitsvorfällen zu melden.
• Unternehmen müssen Sicherheitsvorfälle unverzüglich, jedenfalls aber innerhalb von 24 Stunden nach Kenntnisnahme mit einer sogenannten Frühwarnung und innerhalb von 72 Stunden mit einer detaillierten Meldung des Sicherheitsvorfalls bekanntgeben.
• Die Durchsetzungskräfte der nationalen Regulierungsbehörden werden gestärkt und es werden höhere Strafen für Verstöße eingeführt.
• Die EU-Mitgliedsstaaten müssen die NIS2-Richtlinie bis Oktober 2024 in nationales Recht umsetzen.

Cyber Resilience Act: Wachsende Sicherheitsanforderungen an Produkte mit digitalen Komponenten

Der Cyber Resilience Act (CRA) ist ein Zusatz zu bereits bestehenden Rechtsvorschriften wie der NIS-Richtlinie, der verbindliche Sicherheitsanforderungen für Produkte mit digitalen Elementen vorsieht. Das Hauptziel besteht darin, sowohl Unternehmen als auch Verbraucher zu schützen, die digitale Produkte oder Software erwerben oder nutzen. Der Gesetzesentwurf wurde am 15. September 2022 veröffentlicht und wird derzeit vom Europäischen Parlament geprüft. Nach seiner Annahme und Veröffentlichung wird er mit Übergangsfristen von 12 bzw. 24 Monaten in Kraft treten.

Wer ist vom CRA betroffen?

Neben Herstellern von Hardwareprodukten wie Mobilgeräten und Netzwerkgeräten sind auch Softwarehersteller vom CRA betroffen. Dazu müssen auch Importeure von Produkten mit digitalen Elementen – sogenannte White-Label-Waren – die Regularien beachten. Explizit ausgenommen sind jedoch Hersteller von Medizinprodukten und Fahrzeugsicherheitssystemen.

Welche speziellen Regelungen gibt es?

Zusätzlich enthält der Cyber Resilience Act spezielle Regelungen für Hersteller sogenannter „kritischer Produkte“, die ein besonderes Konformitätsverfahren durchlaufen müssen. Gemäß Anhang III des CRA fallen hierunter zwei Kategorien: Die erste Kategorie umfasst Produkte wie Internetbrowser, Antivirenprogramme, Passwortmanager und VPNs. Zur zweiten Kategorie gehören Kartenlesegeräte, Desktop-Computer, mobile Endgeräte und alle Geräte, die auf das Internet der Dinge (IoT) setzen.

Was müssen die betroffenen Hersteller leisten?

Die Hersteller von Produkten mit digitalen Komponenten werden dazu verpflichtet, die Cybersicherheitsanforderungen des CRA während aller Phasen zu erfüllen – von der Planung und dem Entwurf bis hin zur Entwicklung, der Produktion und dem Vertrieb. Das Ziel ist es, Sicherheitsrisiken während des gesamten Wertschöpfungsprozesses zu minimieren, Vorfälle zu verhindern und die Folgen potenzieller Sicherheitsvorfälle zu begrenzen.

Darüber hinaus werden die Hersteller verpflichtet, ihre Produkte über den gesamten Lebenszyklus hinweg zu überwachen. Im CRA wird dazu ein Zeitraum von fünf Jahren genannt. Treten Sicherheitslücken auf, müssen kostenlose Updates bereitgestellt werden. Sollte ein Vorfall die Sicherheit eines Produkts mit digitalen Elementen beeinträchtigen, muss der Hersteller diesen Vorfall der EU-Cybersicherheitsbehörde ENISA melden.

Ein Beispiel aus der Industrie

Ein Industriebetrieb nutzt Halbleiter als elementare Komponenten seines Erzeugnisses. Es ist von essenzieller Bedeutung, dass das Unternehmen sich auf die sichere Auslegung dieser Chips verlassen kann und für einen bestimmten Zeitraum Sicherheitsaktualisierungen vom Produzenten erhält, um eine durchgängige Sicherheit der Lieferkette zu sichern. Im Einklang mit der CRA muss der Chipproduzent belegen, dass EU-harmonisierte Cybersicherheitsstandards während der Entwicklungs- und Produktionsprozesse beachtet wurden. Dies wird mithilfe einer sogenannten Software-Stückliste nachgewiesen.

Zudem ist es seine Pflicht, über bekannte Schwachstellen zu berichten. Vor der Markteinführung des Chips muss ein Konformitätsprüfverfahren durchgeführt werden, und nur danach darf das CE-Kennzeichen angebracht werden. Das Industrieunternehmen ist gleichermaßen verantwortlich, diesen Prozess für seinen Teil der Lieferkette zu verfolgen. Nach der Markteinführung von Chip und Industrieprodukt müssen beide Unternehmen weiterhin Updates bereitstellen und Reporting- und Informationspflichten einhalten.

Das Wichtigste zum Cyber Resilience Act auf einen Blick:

• Hersteller werden verpflichtet, die Cybersicherheitsanforderungen des CRA während aller Phasen der Produktentwicklung und -vermarktung zu erfüllen.
• Hersteller müssen ihre Produkte über ihren gesamten Lebenszyklus hinweg (im CRA sind 5 Jahre definiert) überwachen und bei Sicherheitslücken kostenlose Updates bereitstellen.
• Bei einem Vorfall, der die Sicherheit eines digitalen Produkts beeinträchtigt, müssen Hersteller diesen Vorfall der EU-Cybersicherheitsbehörde ENISA melden.
• Der CRA legt spezielle Regelungen für Hersteller kritischer Produkte fest, die ein gesondertes Konformitätsverfahren durchlaufen müssen.
• In Zukunft müssen Unternehmen Sicherheitsupdates in vollem Umfang gewährleisten und die Verbraucher vollständig und transparent darüber informieren.
• Anbieter und Hersteller von Produkten mit digitalen Elementen sollten von vornherein auf Security by Design achten und über einen definierten Zeitraum eine sichere Nutzung durch Sicherheitsupdates gewährleisten.

Radio Equipment Directive: Cyber Security für alle Wireless Geräte

Ab August 2024 wird die EU-Verordnung zur Radio Equipment Directive (RED) in Kraft treten, die Cybersicherheitsanforderungen für alle kabellosen Geräte festlegt, die Funksignale senden oder empfangen können. Dazu zählen Mobiltelefone, Tablets und Smartwatches, aber auch Bluetooth-Geräte, Funkmäuse, Radios, Wireless Charging-Produkte und andere funkgesteuerte Geräte wie etwa Drohnen.

Welche Ziele verfolgt die RED?

Die Radio Equipment Directive verfolgt zwei Hauptziele: Zum einen soll sie sicherstellen, dass Funkausrüstungen auf dem EU-Markt keine Gesundheits- oder Sicherheitsrisiken bergen und ordnungsgemäß funktionieren. Zum anderen soll sie die effiziente Nutzung des Funkspektrums fördern, um Störungen zu vermeiden. Dafür müssen Funkausrüstungen so gestaltet und hergestellt sein, dass sie die Gesundheit und Sicherheit nicht gefährden und die Privatsphäre sowie persönliche Daten schützen.

Wozu werden Hersteller noch verpflichtet?

Zuätzlich werden die Hersteller dazu verpflichtet, eine Konformitätsbewertung durchzuführen, um sicherzustellen, dass ihre Produkte den Anforderungen der RED genügen. So müssen Produkte vor dem Verkauf auf dem EU-Markt mit einem CE-Kennzeichen versehen werden und über eine EU-Konformitätserklärung verfügen.

Das Wichtigste zur Radio Equipment Directive auf einen Blick:

• Die RED betrifft ein breites Sprektrum an Geräten, die Funksignale senden oder empfangen können – darunter Mobiltelefone, WLAN-Geräte, Bluetooth-Geräte und Autozubehör.
• Die Hauptziele der RED sind, sicherzustellen, dass Funkausrüstungen keine Gesundheits- oder Sicherheitsrisiken darstellen, ordnungsgemäß funktionieren und das Funkspektrum effizient genutzt wird.
• Hersteller müssen eine Konformitätsbewertung durchführen, um sicherzustellen, dass ihre Produkte den Anforderungen der RED entsprechen.
• Vor dem Verkauf ihrer Produkte auf dem EU-Markt müssen die Hersteller diese mit dem CE-Kennzeichen versehen und eine EU-Konformitätserklärung ausstellen.

Was Sie als betroffenes Unternehmen jetzt tun sollten

Immer, wenn neue Regularien ausgerollt werden, tauchen neue Fragen auf. Und falls Ihr Unternehmen von einer der neu ausgerollten Cyberregulierungen betroffen ist, sollten Sie folgendes tun:

• Stellen Sie sicher, dass Sie die neuen Regularien vollständig verstehen.
• Überprüfen Sie bestehende Prozesse, um festzustellen, ob sie den neuen Regularien entsprechen.
• Schulen Sie Ihre Mitarbeitenden, damit diese die Bedeutung der Cyberregularien und ihre Rolle bei der Einhaltung verstehen.
• Richten Sie Systeme ein, um sicherzustellen, dass sie die Regularien einhalten und auch in der Lage sind, dies nachzuweisen.
• Führen Sie einen Incident-Response-Plan ein, der den Prozess für den Umgang mit einem Sicherheitsvorfall oder Regularienverstoß definiert.
• Überprüfen und passen Sie Ihre Prozesse und Systeme regelmäßig an, um sicherzustellen, dass sie weiterhin den Regularien entsprechen.

Sie haben Fragen zum Thema oder möchten sich beraten lassen, wenn es um die Vorbereitung auf und die Einhaltung der neuen Regularien geht? Zögern Sie nicht, mich jederzeit zu kontaktieren.