Startseite
Hier finden Sie einen Überblick über alle unsere Angebote und Dienstleistungen

Startseite
Hier finden Sie einen Überblick über alle unsere Angebote und Dienstleistungen
Branchen
Ob Branchenspezifisch oder Branchenübergreifend: Unsere IT-Sicherheitslösungen für viele Einsatzgebiete
- Gesundheitswesen
- Industrie, Versorger & Mobilität
- Grenze, Polizei & Sicherheit
- Behörden, Verwaltungen & Ministerien
- Verteidigung & Raumfahrt
- Cloud Solutions
Branchen
Ob Branchenspezifisch oder Branchenübergreifend: Unsere IT-Sicherheitslösungen für viele Einsatzgebiete
- Gesundheitswesen
- Industrie, Versorger & Mobilität
- Grenze, Polizei & Sicherheit
- Behörden, Verwaltungen & Ministerien
- Verteidigung & Raumfahrt
- Cloud Solutions
Produkte & Beratung
Um Ihre digitalen Infrastrukturen sicher und individuell zu stärken, reicht unser Portfolio von spezifischen Produkten hin zu allgemeinen Beratungsleistungen

Produkte & Beratung
Um Ihre digitalen Infrastrukturen sicher und individuell zu stärken, reicht unser Portfolio von spezifischen Produkten hin zu allgemeinen Beratungsleistungen
Projekte
Eine Übersicht über die Projekte, die wir bereits erfolgreich mit unseren Kunden umsetzen konnten

Projekte
Eine Übersicht über die Projekte, die wir bereits erfolgreich mit unseren Kunden umsetzen konnten
Karriere
Wir suchen engagierte Kolleg*innen für Software Development, Consulting, Sales, Produktmanagement und Verwaltung in allen Phasen ihres Werdegangs

Karriere
Wir suchen engagierte Kolleg*innen für Software Development, Consulting, Sales, Produktmanagement und Verwaltung in allen Phasen ihres Werdegangs
Über uns
Deutschlands führendes Cybersecurity-Unternehmen für höchste Sicherheitsstandards in Digitalisierungsprojekten
- Unternehmen
- News & Termine
- Investoren
- Presse
Über uns
Deutschlands führendes Cybersecurity-Unternehmen für höchste Sicherheitsstandards in Digitalisierungsprojekten
- Unternehmen
- News & Termine
- Investoren
- Presse
Kontakt
Kontaktieren Sie uns, damit wir gemeinsam effiziente Sicherheitskonzepte erarbeiten können

Kontakt
Kontaktieren Sie uns, damit wir gemeinsam effiziente Sicherheitskonzepte erarbeiten können

Cyberregulierung in Europa

Cybersecurity-Gesetze für Industrieunternehmen

Der Weg aus dem Dschungel der EU-Cyberregulierung

Cyber Resilience Act, NIS-2 und die CER-Richtlinie: Die Cybersecurity-Gesetzeslage für Industrieunternehmen in Europa ist vielfältig und unübersichtlich. Doch durch die Umsetzung der unterschiedlichen regulatorischen Anforderungen kann dabei geholfen werden, Cyberangriffe erfolgreich abzuwehren. Und das ist auch dringend notwendig, denn die Zahl der Cyberangriffe nimmt zu. Laut der techconsult-Studie „Angriffserkennung in Unternehmen Kritischer Infrastrukturen“ von Anfang 2023 schätzen 79 % der Unternehmen die aktuelle Bedrohungslage als wachsend bis stark wachsend ein.

Doch wen betreffen die Regulierungen? Welche Pflichten entstehen daraus? Und welche Fristen müssen Industrieunternehmen beachten?

Hier ein Überblick der wichtigsten Cybersecurity-Gesetze in Europa.

Directive on Security of Network and Information Systems (NIS-2 Richtlinie)

Die NIS-2 Richtlinie ist ein wichtiger Teil der EU-Digitalstrategie „Gestaltung der digitalen Zukunft Europas“ und die Weiterentwicklung der bereits 2016 erlassenen NIS Richtlinie. Ziel ist es, ein hohes Cybersicherheitsniveau auf europäischer Ebene sicherzustellen und damit den Binnenmarkt zu stärken.Die Richtlinie ist am 16. Januar 2023 in Kraft getreten. Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Bestimmungen in nationale Gesetzgebung zu überführen.

Betroffene Wirtschaftszweige sind in zwei Kategorien unterteilt: essential/wesentlich - also Sektoren mit hoher Kritikalität - und important/wichtig - weitere kritische Sektoren. Unter erstere fallen beispielsweise Energie, Transport und Verkehr, Finanzmärkte, der Gesundheitssektor, digitale Infrastrukturen sowie die öffentliche Verwaltung. Weitere kritische Sektoren sind unter anderem Post- und Kurierdienstleistungen, produzierendes Gewerbe, Chemie sowie die Fertigung von Medizingeräten, elektronischen Geräten, Maschinen und Transportmitteln. Welche Unternehmen innerhalb der definierten Sektoren genau betroffen sind, wird durch die jeweilige nationale Gesetzgebung definiert.

Für Industrieunternehmen bringt NIS-2 neue Spielregeln und damit neue Aufgaben.So müssen sich Firmen registrieren und Cybersicherheitsvorfälle nach fest definierten Vorgaben, in einem mehrstufigen Prozess, an die zuständigen Behörden melden.

Unternehmen müssen zudem ein aktives Risikomanagement einführen und sich an Standards beispielsweise für Netzwerk- u. Systemsicherheit, Vorfallbehandlung, Krisenmanagement sowie zu sicheren Lieferketten und dem Asset Management halten. Schutzmechanismen und eingesetzte Technologien müssen dem Stand der Technik entsprechen. Eine Zertifizierungspflicht zur Darstellung der Compliance kann durch die Nationalstaaten zusätzlich gefordert und eingeführt werden.

National ist geplant NIS-2 durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht zu überführen. Es handelt sich erneut um ein Artikelgesetz, welches viele bestehende Gesetze gemäß der Richtlinie anpasst. KRITIS-Betreiber in Deutschland haben in Folge des IT-Sicherheitsgesetz bereits ein solides Fundament aufgebaut. So sind zum Beispiel Unternehmen, die ein Information Security Management System (ISMS) und die nötige vertrauenswürdige Cybersicherheitstechnologie implementiert haben, gut aufgestellt und müssen mit nur geringen Anpassungen rechnen.

EU Cyber Resilience Act – Cybersicherheit für vernetzte Produkte

Der Cyber Resilience Act (CRA) der EU ist ein Gesetzentwurf mit dem Ziel, Endverbraucher und Unternehmen vor Produkten zu schützen, welche Cybersicherheit nur unzureichend berücksichtigen. Zu diesem Zweck soll das Gesetz Anforderungen an Produkte mit digitalen Elementen hinsichtlich Entwicklung, Ausgestaltung und Produktion definieren und damit Cybersicherheit im gesamten Lebenszyklus sichern – so z. B. auch die Bereitstellung von Softwareupdates. Das Sicherheitsniveau von vernetzten Endprodukten soll erhöht werden, um Cyberkriminalität vorzubeugen. Das Gesetz wird voraussichtlich 2023 in Kraft treten. Danach haben die Betroffenen zwölf bis 24 Monate Zeit für die Umsetzung der neuen Anforderungen.

Von den Vorschriften sind viele Hersteller von Hard- und Softwareprodukten betroffen. Die Anforderungen werden je nach möglicher Auswirkung unterschieden. Für Produkte, die größere wirtschaftliche Bereiche betreffen, wie IoT- und Mobilfunkgeräte oder Betriebssysteme, werden strengere Vorschriften erwartet. So soll die Cybersicherheit bereits im Produktionsprozess bzw. bei der Konfiguration berücksichtigt werden („Security by Design and Default“) – beginnend mit der Planung eines Produktes bis in die Betriebsphase und einige Jahre nach dem Produktverkauf (bis zu fünf Jahre). Zusätzlich müssen Hersteller ausführliche Dokumentation führen. Das Bereitstellen von Softwareupdates bzw. -patches und die aktive Kommunikation zu Sicherheitslücken und deren Fehlerbehebung ist ein weiterer wesentlicher Baustein der Regulierung.

Des Weiteren müssen für betroffene Produkte klare und verständliche Bedienungs- bzw. Betriebsanleitungen zur Verfügung gestellt werden.

Directive on the resilience of critical entities

Die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) hat das Ziel, die physische Widerstandsfähigkeit kritischer Einrichtungen zu stärken und soll somit insbesondere hybriden Bedrohungen entgegenwirken. Die CER-Richtlinie ersetzt die alte Richtlinie 2008/114/EC und weitet den Anwendungsbereich aus. Durch diese neuen Vorschriften werden die EU-Mitgliedstaaten zur Identifikation von kritischen Einrichtungen und Stärkung von deren Widerstandsfähigkeit verpflichtet. Die CER-Richtlinie ist am 16. Januar 2023 in Kraft getreten. Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Bestimmungen in nationale Gesetzgebung zu überführen.

Betroffene Wirtschaftszweige sind gemäß der Richtlinie in die Kategorien wesentlich und wichtig unterteilt. Insgesamt elf Sektoren gehören zum Geltungsbereich, die sich teilweise mit der NIS-2 Richtlinie überschneiden: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum sowie Produktion, Verarbeitung und Vertrieb von Lebensmitteln.

Unternehmen müssen sowohl organisatorische als auch technische Sicherheitsmaßnahmen umsetzen. Dazu zählt ein funktionsfähiges Risikomanagement, um Betriebsunterbrechungen zu verhindern. Ein Business Continuity Management System (BCMS) kann hier eine geeignete Maßnahme darstellen. Zudem sollen Unternehmen in der Lage sein, adäquat auf Sicherheitsvorfälle zu reagieren und dementsprechend einen Plan zur Vorfallbehandlung (Incident Management) zu definieren. Sicherheitsvorfälle sollen an die zuständigen Aufsichtsbehörden gemeldet werden. Diese können eigene Inspektionen und Audits durchführen und die Implementierung von angemessenen Maßnahmen einfordern.

Step by step zu mehr Sicherheit – das können Unternehmen jetzt tun

In fünf Schritten können Industrieunternehmen sich auf die Regulierungen vorbereiten:

Betroffenheit prüfen (Produkthersteller, Betreiber, Integratoren)
Anforderungen prüfen
Meldeprozesse vorbereiten bzw. vorhandene Umsetzungen hierzu anpassen
Sicherheitskonzepte, Informationssicherheitsmanagement (z. B. auf Basis ISO/IEC 27001 bzw. IEC 62443) inkl. Business Continuity Management etablieren
Risikomanagement im definierten Geltungsbereich umsetzen

Ob CRA, NIS-2 oder die CER-Richtlinie: Halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. Diese betragen zum Beispiel beim CRA bis zu 15 Mio. Euro bzw. 2,5 Prozent des Jahresumsatzes. Umso wichtiger ist eine strukturierte und ganzheitliche (Cyber-)Security-Strategie. Neben technischen Maßnahmen wie der Absicherung der Netzwerke und Geräte zählt dazu auch ein Blick auf die Absicherung der Unternehmensprozesse und die Sensibilisierung für das Thema bei den Mitarbeitenden.