NIS2, CRA, RED – Die neuen EU-Vorgaben für mehr Datenschutz und Netzwerksicherheit
Die EU-Kommission versucht durch Vorgaben und gesetzliche Regularien, den europäischen Cyberraum so sicher und transparent wie möglich zu gestalten. Aktuell bringen diese drei neuen Direktiven grundlegende Änderungen für Unternehmen. Welche das sind, erläutert Alain de Pauw, Divisionsleiter Security bei Axians Deutschland und Axians Schweiz.
Kein System funktioniert ohne Regeln, schon gar nicht, wenn es aus diversen, weltumspannenden Netzwerken und Millionen Nutzenden besteht und auf sich ständig weiterentwickelnden technologischen Bedingungen beruht. Der Cyberraum ist daher Gegenstand immer neuer Regularien, die von den zuständigen Behörden, allen voran der EU-Kommission, erlassen werden.
Sie bilden damit einen einheitlich rechtlichen Rahmen aus Bestimmungen zu Themen wie Cyberkriminalität, Datenschutz, Netzwerksicherheit und vieles mehr. Dadurch haben Unternehmen wie Privatpersonen die Gewissheit, dass sie sich im Cyberraum geschützt und sicher bewegen können. Um den ständigen Weiterentwicklungen sowie der wachsenden Bedrohung durch Cyberkriminelle gerecht zu werden, hat die EU jetzt einige Vorgaben erneuert, bzw. neue Richtlinien beschlossen.
Die NIS2 Direktive: mehr Unternehmen betroffen, Anforderungen verschärft
Bereits seit 2016 existiert die Network and Information Security Directive, kurz NIS, auf EU-Ebene. Diese soll den Schutz von Netzwerken und Informationssystemen gewährleisten, etwa durch Vorgaben, welche Unternehmen Sicherheitsmanagementsysteme implementieren müssen. Die EU-Kommission hat unlängst mit NIS2 eine überarbeitete Version mit deutlich veränderten Anforderungen an Unternehmen beschlossen. Sie ist seit Anfang des Jahres in Kraft, die EU-Mitgliedsstaaten müssen die Richtline bis Oktober 2024 in nationales Recht umsetzen.
Durch NIS2 sind jetzt deutlich mehr Unternehmen von der Richtlinie betroffen. Künftig müssen bereits Betriebe ab 50 Mitarbeitenden und einem Jahresumsatz von mehr als 10 Millionen Euro die Vorgaben beachten. Zudem steigt die Anzahl der von der Direktive betroffenen Sektoren auf insgesamt 18, aufgeteilt in elf kritische und sieben wichtige Sektoren. Auch inhaltlich kommen einige Änderungen auf Unternehmen zu. So gelten jetzt strengere und detailliertere Sicherheitsanforderungen, Unternehmen müssen mehr Arten von Sicherheitsvorfällen unverzüglich, jedenfalls aber innerhalb von 24 Stunden nach Kenntnisnahme mit einer sogenannten Frühwarnung und innerhalb von 72 Stunden detailliert, melden. Zusätzlich werden die Durchsetzungskräfte der nationalen Regulierungsbehörden gestärkt und höhere Strafen für Verstöße eingeführt.
Das bringt der Cyber Resilience Act
Als Ergänzung zu bestehenden Richtlinien wie NIS2 sieht der Cyber Resilience Act (CRA) verbindliche Sicherheitsanforderungen für Produkte mit digitalen Elementen vor. Ziel ist es, sowohl Unternehmen als auch Verbraucher zu schützen, die digitale Produkte oder Software erwerben oder nutzen. Neben Herstellern von Hardwareprodukten wie Mobilgeräten und Netzwerkgeräten sind auch Softwarehersteller vom CRA betroffen. Dazu müssen auch Importeure von Produkten mit digitalen Elementen – sogenannte White-Label-Waren – die Regularien beachten. Der CRA durchläuft derzeit das Prüfverfahren durch das EU-Parlament.
Besondere Aufmerksamkeit widmet der CRA Herstellern von sogenannten kritischen Produkten. Diese müssen ein besonderes Konformitätsverfahren durchlaufen. In dieser Klassifizierung sind verschiedene Produktkategorien zu unterscheiden. Die erste Gruppe umfasst Produkte wie Internetbrowser, Antivirenprogramme, Passwortmanager und VPNs. Die zweite Kategorie hingegen beinhaltet Kartenlesegeräte, Desktop-Computer, mobile Endgeräte und sämtliche Geräte, die Teil des Internet der Dinge (IoT) sind.
Gemäß den Bestimmungen des (CRA) sind Hersteller in jeder Phase des Produktionsprozesses verpflichtet, die Cybersicherheitsanforderungen zu erfüllen. Das schließt die Planung, den Entwurf, die Entwicklung, die Produktion und den Vertrieb mit ein. Das Hauptziel besteht darin, Sicherheitsrisiken während des gesamten Produktlebenszyklus zu minimieren, potenzielle Vorfälle zu verhindern und die Auswirkungen möglicher Sicherheitsvorfälle zu begrenzen.
Strenge Vorgaben für alle Wireless Geräte – die Radio Equipment Directive
Mobiltelefone, Tablets und Smartwatches, Bluetooth-Geräte, Radios, Wireless Charging-Produkte, funkgesteuerte Drohnen: Sie alle fallen ab August 2024 unter die neue Radio Equipment Directive (RED) der EU. Die Direktive soll einerseits sicherstellen, dass Funkgeräte, die auf dem EU-Markt verfügbar sind, keinerlei Gesundheits- oder Sicherheitsrisiken darstellen und ordnungsgemäß funktionieren. Andererseits soll sie die effiziente Nutzung des Funkspektrums fördern, um Störungen zu vermeiden.
Zu diesem Zweck müssen alle Funkgeräte so konzipiert und hergestellt werden, dass sie die Gesundheit und Sicherheit nicht beeinträchtigen und gleichzeitig die Privatsphäre sowie persönliche Daten angemessen schützen. Die RED verpflichtet dabei die Hersteller, selbst Konformitätsbewertungen durchzuführen. Somit müssen sie selbst dafür Sorge tragen, dass ihre Produkte den Anforderungen der Direktive entsprechen. Diese müssen vor einem Verkauf in der EU mit dem CE-Siegel versehen werden sowie über eine EU-Konformitätserklärung verfügen.
Worauf Unternehmen jetzt achten müssen
Neue Vorgaben sorgen für Unsicherheiten. Unternehmen sollten daher darauf achten, dass sie die Gesetzestexte genau verstehen, und überprüfen, ob ihre aktuellen Prozesse den neuen Bestimmungen entsprechen. Auf Grundlage dieser Analyse können sie dann ihre Mitarbeitenden vorbereiten und schulen, sowie entsprechende Vorkehrungen treffen, um die Einhaltung der Vorgaben transparent nachzuweisen.
Ein kompetenter Partner wie Axians kann Unternehmen bei diesem anspruchsvollen Vorhaben unterstützen!
Quelle Titelbild: Adobe Stock | Florian
