10.10.2023

Die EU-Kommission versucht durch Vorgaben und gesetzliche Regularien, den europäischen Cyberraum so sicher und transparent wie möglich zu gestalten. Aktuell bringen diese drei neuen Direktiven grundlegende Änderungen für Unternehmen. Welche das sind, erläutert Alain de Pauw, Divisionsleiter Security bei Axians Deutschland und Axians Schweiz.

Kein System funktioniert ohne Regeln, schon gar nicht, wenn es aus diversen, weltumspannenden Netzwerken und Millionen Nutzenden besteht und auf sich ständig weiterentwickelnden technologischen Bedingungen beruht. Der Cyberraum ist daher Gegenstand immer neuer Regularien, die von den zuständigen Behörden, allen voran der EU-Kommission, erlassen werden.

Sie bilden damit einen einheitlich rechtlichen Rahmen aus Bestimmungen zu Themen wie Cyberkriminalität, Datenschutz, Netzwerksicherheit und vieles mehr. Dadurch haben Unternehmen wie Privatpersonen die Gewissheit, dass sie sich im Cyberraum geschützt und sicher bewegen können. Um den ständigen Weiterentwicklungen sowie der wachsenden Bedrohung durch Cyberkriminelle gerecht zu werden, hat die EU jetzt einige Vorgaben erneuert, bzw. neue Richtlinien beschlossen.

Die NIS2 Direktive: mehr Unternehmen betroffen, Anforderungen verschärft

Bereits seit 2016 existiert die Network and Information Security Directive, kurz NIS, auf EU-Ebene. Diese soll den Schutz von Netzwerken und Informationssystemen gewährleisten, etwa durch Vorgaben, welche Unternehmen Sicherheitsmanagementsysteme implementieren müssen. Die EU-Kommission hat unlängst mit NIS2 eine überarbeitete Version mit deutlich veränderten Anforderungen an Unternehmen beschlossen. Sie ist seit Anfang des Jahres in Kraft, die EU-Mitgliedsstaaten müssen die Richtline bis Oktober 2024 in nationales Recht umsetzen.

Gemäß den Bestimmungen des (CRA) sind Hersteller in jeder Phase des Produktionsprozesses verpflichtet, die Cybersicherheitsanforderungen zu erfüllen. Bildquelle: Adobe Stock / Angelov

Durch NIS2 sind jetzt deutlich mehr Unternehmen von der Richtlinie betroffen. Künftig müssen bereits Betriebe ab 50 Mitarbeitenden und einem Jahresumsatz von mehr als 10 Millionen Euro die Vorgaben beachten. Zudem steigt die Anzahl der von der Direktive betroffenen Sektoren auf insgesamt 18, aufgeteilt in elf kritische und sieben wichtige Sektoren. Auch inhaltlich kommen einige Änderungen auf Unternehmen zu. So gelten jetzt strengere und detailliertere Sicherheitsanforderungen, Unternehmen müssen mehr Arten von Sicherheitsvorfällen unverzüglich, jedenfalls aber innerhalb von 24 Stunden nach Kenntnisnahme mit einer sogenannten Frühwarnung und innerhalb von 72 Stunden detailliert, melden. Zusätzlich werden die Durchsetzungskräfte der nationalen Regulierungsbehörden gestärkt und höhere Strafen für Verstöße eingeführt.

Das bringt der Cyber Resilience Act

 Als Ergänzung zu bestehenden Richtlinien wie NIS2 sieht der Cyber Resilience Act (CRA) verbindliche Sicherheitsanforderungen für Produkte mit digitalen Elementen vor. Ziel ist es, sowohl Unternehmen als auch Verbraucher zu schützen, die digitale Produkte oder Software erwerben oder nutzen. Neben Herstellern von Hardwareprodukten wie Mobilgeräten und Netzwerkgeräten sind auch Softwarehersteller vom CRA betroffen. Dazu müssen auch Importeure von Produkten mit digitalen Elementen – sogenannte White-Label-Waren – die Regularien beachten. Der CRA durchläuft derzeit das Prüfverfahren durch das EU-Parlament.

Besondere Aufmerksamkeit widmet der CRA Herstellern von sogenannten kritischen Produkten. Diese müssen ein besonderes Konformitätsverfahren durchlaufen. In dieser Klassifizierung sind verschiedene Produktkategorien zu unterscheiden. Die erste Gruppe umfasst Produkte wie Internetbrowser, Antivirenprogramme, Passwortmanager und VPNs. Die zweite Kategorie hingegen beinhaltet Kartenlesegeräte, Desktop-Computer, mobile Endgeräte und sämtliche Geräte, die Teil des Internet der Dinge (IoT) sind.

Gemäß den Bestimmungen des (CRA) sind Hersteller in jeder Phase des Produktionsprozesses verpflichtet, die Cybersicherheitsanforderungen zu erfüllen. Das schließt die Planung, den Entwurf, die Entwicklung, die Produktion und den Vertrieb mit ein. Das Hauptziel besteht darin, Sicherheitsrisiken während des gesamten Produktlebenszyklus zu minimieren, potenzielle Vorfälle zu verhindern und die Auswirkungen möglicher Sicherheitsvorfälle zu begrenzen.

Strenge Vorgaben für alle Wireless Geräte – die Radio Equipment Directive

Mobiltelefone, Tablets und Smartwatches, Bluetooth-Geräte, Radios, Wireless Charging-Produkte, funkgesteuerte Drohnen: Sie alle fallen ab August 2024 unter die neue Radio Equipment Directive (RED) der EU. Die Direktive soll einerseits sicherstellen, dass Funkgeräte, die auf dem EU-Markt verfügbar sind, keinerlei Gesundheits- oder Sicherheitsrisiken darstellen und ordnungsgemäß funktionieren. Andererseits soll sie die effiziente Nutzung des Funkspektrums fördern, um Störungen zu vermeiden.

Zu diesem Zweck müssen alle Funkgeräte so konzipiert und hergestellt werden, dass sie die Gesundheit und Sicherheit nicht beeinträchtigen und gleichzeitig die Privatsphäre sowie persönliche Daten angemessen schützen. Die RED verpflichtet dabei die Hersteller, selbst Konformitätsbewertungen durchzuführen. Somit müssen sie selbst dafür Sorge tragen, dass ihre Produkte den Anforderungen der Direktive entsprechen. Diese müssen vor einem Verkauf in der EU mit dem CE-Siegel versehen werden sowie über eine EU-Konformitätserklärung verfügen.

Worauf Unternehmen jetzt achten müssen

Neue Vorgaben sorgen für Unsicherheiten. Unternehmen sollten daher darauf achten, dass sie die Gesetzestexte genau verstehen, und überprüfen, ob ihre aktuellen Prozesse den neuen Bestimmungen entsprechen. Auf Grundlage dieser Analyse können sie dann ihre Mitarbeitenden vorbereiten und schulen, sowie entsprechende Vorkehrungen treffen, um die Einhaltung der Vorgaben transparent nachzuweisen.

Axians lebt seit 2002 für Cyber Security mit Leib und Seele. Bildquelle: Axians

Ein kompetenter Partner wie Axians kann Unternehmen bei diesem anspruchsvollen Vorhaben unterstützen!

Quelle Titelbild: Adobe Stock | Florian

Diesen Beitrag teilen:

Weitere Beiträge

03.04.2025

Hannover Messe 2025 ganz im Zeichen von KI und Robotik

Redaktion Digital Chiefs

Die weltgrößte Industrieschau in Hannover hat am 31. März 2025 ihre Tore geöffnet. Im Mittelpunkt ...

Zum Beitrag
26.03.2025

Weniger oder mehr Energieverbrauch? Green IT in Zeiten von KI

Redaktion Digital Chiefs

Green IT hat in den letzten Jahren nicht mehr die Aufmerksamkeit von einst bekommen. Das hat vor allem ...

Zum Beitrag
19.03.2025

Cyberkriminalität: KMUs besonders gefährdet

Redaktion Digital Chiefs

Angriffe auf namhafte Konzerne sorgen für große Schlagzeilen. Einer Studie zufolge richten Hacker & ...

Zum Beitrag
12.03.2025

Industrial IoT und AIoT sind im Kommen

Redaktion Digital Chiefs

Viele Unternehmen planen, Industrial IoT und AIoT, die intelligente Variante von IIoT, in ihre Fertigungsprozesse ...

Zum Beitrag
05.03.2025

Aktuelles aus der Welt der KI: Newcomer, Verbote und ungeliebte Angebote

Redaktion Digital Chiefs

Das chinesische Startup DeepSeek hat die Börsenmärkte Ende Januar kurzzeitig auf Talfahrt geschickt. ...

Zum Beitrag
20.02.2025

Klicks auf Phishing-Links haben sich 2024 fast verdreifacht

Redaktion Digital Chiefs

Trotz häufigerer Schulungen haben Angestellte 2024 laut einer Studie etwa dreimal so oft auf Links von ...

Zum Beitrag