Mitte Januar 2023 sind in der Europäischen Union deutlich verschärfte Regeln für Cybersicherheit und die Resilienz kritischer Einrichtungen gegen Hackerangriffe in Kraft getreten. Betroffen sind davon nicht nur die bislang schon im Fokus stehenden Betreiber kritischer Infrastrukturen, sondern auch deren kompletten Lieferantenketten. Sie und einige weitere Branchen müssen jetzt aufrüsten zum Schutz vor Angriffen aus dem Internet.
Die NIS-2-Richtlinie
Die NIS-2-Richtlinie soll ein sichereres und stärkeres Europa gewährleisten, indem sie die Bereiche von Wirtschaft und Infrastruktur, die auf den Schutz ihrer Steuerungssysteme besonders achtgeben müssen, erheblich erweitert. Dazu gehören jetzt auch die Anbieter von öffentlichen elektronischen Kommunikationsnetzen und -diensten, die Betreiber von Rechenzentren sowie Cloud-Dienstleister, die gesamte Wasser-, Abwasser- und Abfallwirtschaft, die Hersteller kritischer Produkte wie zum Beispiel Medikamente aber auch Post- und Kurierdienste, Einrichtungen der öffentlichen Verwaltung sowie weite Teile des Gesundheitssektors. Die Unternehmen sollen höhere Anforderungen an das Cybersicherheits-Risikomanagement erfüllen, die Meldepflichten für Vorfälle werden gekürzt. Hinzu kommen präzisere Bestimmungen über die Berichterstattung und ihren Inhalt.
Die CER-Richtlinie
Dieser neue Rechtsrahmen soll die Widerstandsfähigkeit kritischer Infrastrukturen gegenüber einer ganzen Reihe weiterer Bedrohungen wie Naturkatastrophen, Terroranschlägen, Insider-Bedrohungen oder Sabotage stärken. Elf Sektoren müssen Ihre Vorsorge und ihren Schutz verbessern: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastrukturen, öffentliche Verwaltung, Raumfahrt und Lebensmittel.
Die CRA-Richtlinie
Davon betroffen sind zum einen die Hersteller von Software, zum anderen Handelshäuser für elektronisches Gerät. Programmierer sind aufgefordert, Software so zu schreiben, dass ein Hacking erschwert bis unmöglich wird. Erkannte Schwachstellen sind sofort dem BSI zu melden und abzustellen. Auch kommt die Pflicht, jede Software mindestens fünf Jahre regelmäßig upzudaten. CRA fordert zudem alle Händler auf, dafür zu sorgen, dass mit ihren Produkten niemand ausspioniert werden kann. Produktsicherheit in Bezug auf Datenklau oder Manipulation durch Fernzugriff ist zu garantieren. Und es kommt eine Pflicht für klare und verständliche Bedienungsanleiten für elektronisches Gerät.
Länder sind jetzt am Zug
Die EU-Vorgaben sind in den Mitgliedsländern bis Ende 2024 umzusetzen. In wenigen Monaten müssen die Mitgliedstaaten eine nationale Strategie verabschieden, alle Einrichtungen ermitteln die als kritisch oder lebenswichtig für die Gesellschaft und die Wirtschaft gelten. Und sie sollen regelmäßige Risikobewertungen durchführen.
Viele müssen investieren
„Die neuen Vorgaben aus Brüssel treffen den Mittelstand mit voller Wucht“ sagt Datenschutzexperte Thomas Floß (Versmold) auf Anfrage von Unternehmen.OWL. Die Politik habe spätestens durch die aktuelle Energiekrise verstanden, wie verletztlich Wirtschaft und Gesellschaften sind. Seit Beginn des Angriffs auf die Ukraine steige die Zahl von Cyberangriffen aus Russland. Und betroffen seien immer seltener die mittlerweile gut vorbereiteten Konzerne, dafür immer häufige deren Zulieferer und Dienstleister. Das besitze auch eine hohe Logik: „Wenn an einem Automodell auch nur ein Türgriff fehlt oder die Software nicht funktioniert, produzieren die großen Werke auf Halde, der Verkauf dieses Modells steht weltweit still.“ Deshalb müssten die unteren Stufen einer arbeitsteiligen Wirtschaft ebenso gut geschützt sein wie die Konzerne.
Hohe Strafen drohen
Floß warnt die betroffenen Einrichtungen und Unternehmen davor, das Thema Informationssicherheit weiter zu schieben: „Die Signale aus Brüssel sind eindeutig.“ Denn die neuen Gesetze sehen auch Strafen für Verstöße vor – bis zu 10 Mio. Euro. Die Höhe, so war man sich auf EU-Ebene einig, müsse „verhältnismäßig, wirksam und abschreckend“ sein. Cyber-Kriminelle würden auch künftig stets das schwächste Glied einer Kette angreifen, insofern sei der flächendeckende Schutz ein berechtigtes Ziel.
Autor:
Volksbank Herford-Mindener Land – Bild © Thaut Images – adobe stock