In einer zunehmend digitalisierten Welt gewinnt die Sicherheit im Netz an Bedeutung. Die EU reagiert auf die sich ständig weiterentwickelnde Bedrohungslandschaft mit neuen Gesetzgebungen. Diese verpflichten Unternehmen, ihre Cyberresilienz (NIS 2 Gesetz) zu stärken und die Sicherheit ihrer digitalen Produkte (Cyber Resilience Act) zu gewährleisten.
NIS 2 Gesetz: Modernisierung der Cybersicherheit in der EU
Basierend auf der Richtlinie vom 14. Dezember 2022, wird das NIS 2 Gesetz einen klaren Fokus auf die Modernisierung des Rechtsrahmens für Cybersicherheit in Österreich setzen. Das Gesetz, welches bis 17. Oktober 2024 erlassen werden soll, fördert die operative Zusammenarbeit auf EU-Ebene und legt gemeinsame Sicherheitsanforderungen für die Sektoren Energie, Verkehr, öffentliche Verwaltung, Forschung, Abfallwirtschaft, verarbeitendes und herstellendes Gewerbe fest.
Ein neu eingeführter Größenschwellenwert (size cap rule) ist ausschlaggebend dafür, dass nur mittlere und große Unternehmen unter die gesetzlichen Vorgaben fallen sollen. Diese Regelung basiert auf der Mitarbeiter:innenzahl und dem Jahresumsatz und gilt im gesamten EU-Raum. Kleinunternehmen sollen nur in bestimmten Ausnahmefällen umfasst sein.
Unternehmen sehen sich zudem mit zwei zentralen Pflichten konfrontiert: Risikomanagement und Berichtspflichten. Das Risikomanagement umfasst Aspekte wie Risikoanalyse, Lieferkettensicherheit, Cyberhygiene und Schulungen, während die Berichtspflichten eine schnelle Meldung bei Verdacht auf Sicherheitsvorfällen erfordern.
Cyber Resilience Act (CRA): Einheitlicher Rechtsrahmen für digitale Produkte
Der CRA konzentriert sich auf die Sicherheit digitaler Produkte in der EU und soll 2024 europaweit in Kraft treten. Er legt klare Anforderungen an Produkte mit digitalen Elementen fest, die in Europa auf den Markt gebracht werden, darunter Endgeräte wie Laptops und Smartphones, Software und Komponenten.
Die Verordnung erstreckt sich prinzipiell auf alle Sektoren. Hersteller sind angehalten, Risikoanalysen durchzuführen, umgesetzte Sicherheitsmaßnahmen zu dokumentieren und Systeme sicher zu konfigurieren (Security-by-Design-Prinzipien). Weiters muss die Sicherheit über den gesamten Produktlebenszyklus, standardmäßig für eine Dauer von fünf Jahren, gewährleistet sein.
Das NIS 2 Gesetz und der CRA zielen darauf ab, die Cybersicherheit in der EU zu stärken und Unternehmen auf die Herausforderungen des digitalen Zeitalters vorzubereiten. Ob die Ziele mit dieser Regulierung tatsächlich erreicht werden, wird die Zukunft zeigen.
Für mehr Informationen: das Webinar zum Nachhören / Nachschauen NIS 2 Gesetz und Cyber Resilience Act (CRA) (youtube.com)
