Cyber-Security 2024
Das Jahr 2024 hält im Bereich der IT- und Datensicherheit viele Veränderungen bereit, die entweder heute schon Gesetzescharakter haben, oder in diesem Jahr Gesetz werden oder wo wir uns bereits in einer Übergangsfrist befinden, in der Unternehmen bestimmte IT-Sicherheitsmaßnahmen umzusetzen haben. Das große Thema ist dabei Resilienz, d.h. wie machen wir unsere Unternehmen Widerstandsfähig gegen mögliche Angriffe aber auch gegen fehlerhafte Bedienung oder andere Ereignisse, die den Unternehmensbetrieb einschränken oder gefährden können. Dabei werden viele dieser Maßnahmen Unternehmen aller Größenordnungen mittelbar oder unmittelbar treffen. Viele der neuen oder verschärften Verordnungen beinhalten dabei die direkte Haftung der Inhaber / Geschäftsführer, ohne dass diese in irgendeiner Art und Weise delegiert werden kann.
Gefährdungslage
Alle Bereiche unserer Unternehmen, ja die meisten Bereiche des täglichen Lebens sind mittlerweile digitalisiert. Neben den schon eher traditionellen Anwendungen zur Speicherung und Verarbeitung von Unternehmensdaten führen das „Internet of Things“ (IoT) und „Machine to Machine Communication“ zu einem exponentiellem Wachstum der Vernetzung aller Dinge die uns umgeben. Mit der verstärkten Nutzung künstlicher Intelligenz kommen neben neuen technischen auch ethische Herausforderungen auf uns zu. Die dadurch vergrößerten Angriffsflächen werden ausgenutzt. Laut dem BSI Bericht zur Lage der IT-Sicherheit 2023 wurden täglich 68 neue Schwachstellen in Software entdeckt. Gleichzeitig entwickeln sich Angreifer und Angriffsmethodiken ständig weiter – mit einem wachsenden Dienstleistungscharakter (Cybercrime-as-a-Service). Überdurchschnittlich werden dabei kleine und mittlere Unternehmen, sowie Kommunalverwaltungen und kommunale Betriebe angegriffen.
Neue Regelungen
Das große, übergeordnete Thema heißt heute Resilienz, was im Kontext der Cybersicherheit am besten mit Widerstandsfähigkeit übersetzt werden kann. Innerhalb der Europäischen Union wird es hier zukünftig neue bzw. verschärfte Rechtsnormen geben, die Regelungen zum Aufbau einer Widerstandsfähigkeit gegen jegliche Bedrohung der IT-Infrastrukturen festlegen. Widerstandsfähigkeit bedeutet hier nicht nur Schutzmaßnahmen gegen isolierte Angriffe zu implementieren, sondern Regelungen, Prozesse und Tools einzusetzen, die sich genauso gegen interne Fehlbedienungen wie gegen Angriffe von außen richten. Sollte es dennoch zu einer Beeinträchtigung oder gar eines Ausfalls von IT-Systemen kommen müssen Maßnahmen für den schnellst möglichen Wiederanlauf getroffen werden.
Zu den neuen, auf EU Ebene verabschiedeten Regeln zählen NIS 2, DORA oder der Cyber Resilience Act (CRA).
DORA
Die EU Verordnung über die digitale operationale Resilienz im Finanzsektor tritt am 17. Januar 2025 in Kraft – als Verordnung gilt sie sofort und wird nicht zunächst in nationales Recht überführt. Sie gilt für den gesamten Finanzsektor (Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen, Versicherungsvermittler u.v.m). Auch hier ist das übergreifende Thema die Widerstandsfähigkeit der Unternehmen gegen Bedrohungen der ITK und Maßnahmen zur Fortführung der Geschäftstätigkeit. In vielen Bereichen handelt es sich um eine Verschärfung der NIS 2.
Warum beschäftige ich mich damit? Über die unmittelbar betroffenen Finanzunternehmen, definiert DORA explizit das „Management des IKT-Drittparteienrisikos“, was bedeutet, dass jedes Unternehmen welches Dienstleistungen für ein Finanzunternehmen erbringt von den Regelungen dieser Verordnung betroffen ist.
NIS 2
Die zweite Fassung der Network-and-Information-Security-Richtlinie (NIS 2) wurde vom Europäischen Parlament und dem Rat der EU Ende 2022 verabschiedet. Als Richtlinie muss sie von den Einzelstaaten in nationales Recht überführt werden (im Gegensatz zu einer EU Verordnung, die sofort für alle Staaten in Kraft tritt). Dies muss zwingend bis zum 17. Oktober 2024 geschehen sein. In Deutschland wird dazu das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG) entwickelt. Als sogenanntes „Änderungsgesetz“ werden hier Änderungen für bereits bestehende Gesetze (u.a. BSI-Gesetz, IT-Sicherheitsgesetz) festgelegt. Unmittelbar sind von den neuen Regelungen Unternehmen bzw. Unternehmensteile betroffen die zur kritischen Infrastruktur (KRITIS) zählen (Energie, Informationstechnik und Telekommunikation, Gesundheit, Ernährung, Finanz- und Versicherungswesen u.a.). In Deutschland betrifft dies ca. 30.000 Unternehmen. Mittelbar rechnet man allerdings mit wesentlich mehr Unternehmen, da auf Grund des hohen Haftungsrisikos (bis zu 20 Mio. € bzw. 2% des weltweiten Umsatzes) KRITIS Unternehmen die gesetzlichen Verpflichtungen an Zulieferer und Dienstleister weitergeben (wenn das nicht per Gesetz sowieso verpflichtend ist).
Haben Sie fragen zu diesen nicht einfachen Themen? Sind Sie nicht sicher ob und in wie weit Ihr Unternehmen von den neuen Richtlinien betroffen ist? Sprechen Sie mich an. Am besten nutzen Sie noch heute den WhatsApp Link oben auf dieser Seite.