In den kommenden Monaten werden zahlreiche Unternehmen und Behörden unter Hochdruck an ihren IT-Sicherheitskonzepten und -maßnahmen arbeiten. Sie wappnen sich gegen die steigende Bedrohung durch Cyber Crime. Dabei unterliegen sie verschiedenen Regularien, die sie demnächst verbindlich erfüllen müssen. Welche das sind, lesen Sie im ersten Beitrag unserer Blogreihe.
Regulatorik für alle Organisationen: NIS2 (Europa) bzw. IT-Sicherheitsgesetz (Deutschland)
Mit dem Inkrafttreten der EU-weiten Richtlinie für Cybersicherheit „Network and Information Security“ (NIS2) gehen neue Vorschriften und Sicherheitsanforderungen einher, die bis Oktober 2024 umzusetzen sind. Im Vergleich zur ersten Version NIS, erweitert NIS2 stark den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht.
- Die Richtlinie betrifft alle Unternehmen ab 50 Mitarbeitenden und 10 Mio. EUR Jahresumsatz. Einige Betreiber, zum Beispiel der digitalen Infrastruktur oder in der öffentlichen Verwaltung, sollen unabhängig von der Größe reguliert werden.
- Mit NIS2 zählen 18 verschiedene Sektoren zur kritischen Infrastruktur. Darunter fallen Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste, Rechenzentrumsdienste, Abwasser- und Abfallwirtschaft, Herstellung kritischer Produkte, Post- und Kurierdienste sowie Einrichtungen der öffentlichen Verwaltung. Aber auch bestimmte Bereiche aus dem Gesundheitssektor und der Forschung unterliegen der Richtlinie, wenn es beispielsweise um die Entwicklung und Herstellung von Arzneimitteln geht. Bei kleineren Unternehmen, die zu einem der Sektoren gehören, gibt es einen Ermessensspielraum.
- Die NIS2-Richtlinie verschärft die Anforderungen an das Cyber Security-Risikomanagement, zu deren Einhaltung Unternehmen verpflichtet sind. Organisationen müssen technische, betriebliche und organisatorische Maßnahmen ergreifen. Dazu gehört es zum Beispiel, Richtlinien für Risiken und Informationssicherheit etablieren, ein Incident Management einrichten, Maßnahmen zur Authentifikation ergreifen, Trainings für Mitarbeitende anbieten sowie Vorgaben für die Verschlüsselung oder auch zur Notfallkommunikation machen. Ebenfalls ist die Absicherung der gesamten Lieferkette bis zur sicheren Entwicklung bei Zulieferern zu gewährleisten.
- Beim Verstoß gegen die Regelungen drohen Bußgelder von bis zu 10 Mio. EUR oder zwei Prozent des weltweiten Umsatzes.
Die europäische Richtlinie NIS2 findet Eingang in das deutsche IT-Sicherheitsgesetz.
Regulatorik im Bereich KRITIS: BSI-Gesetz
Betreiber von kritischer Infrastruktur sowie Energieversorgungsnetzen und Energieanlagen sind seit dem 1. Mai 2023 verpflichtet, im Rahmen ihrer organisatorischen und technischen Vorkehrungen Systeme zur Angriffserkennung einzusetzen.
Die eingesetzten Systeme zur Angriffserkennung (SzA) müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.
- Spätestens ab dem 1. Mai 2025 gilt für KRITIS (ohne Energiesektor) eine Nachweispflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik. Für Betreiber von Energieversorgungsnetzen/Energieanlagen galt dies bereits zum 1. Mai 2023.
- Diese Nachweispflicht muss alle zwei Jahre mit Hilfe eines Reifegradmodells erfolgen.
- Für betroffene Organisationen gibt es eine Orientierungshilfe vom BSI, die gefüllt ist mit Anforderungen, um den Nachweis zu erbringen.
- Die Anforderungen umfassen allgemeine technische, organisatorische und personelle Rahmenbedingungen, wie das Einholen von Informationen zu aktuellen Angriffsmustern oder das Etablieren von Prozessen zur effektiven Angriffserkennung sowie die Protokollierung, Detektion sicherheitsrelevanter Ereignisse und die entsprechende Reaktion.
Regulatorik im Bankenumfeld: „Digital Operational Resilience Act” (DORA)
Im Januar 2023 ist DORA in Kraft getreten. Nach einer Umsetzungsfrist von zwei Jahren ist die Verordnung ab Januar 2025 durchsetzbar. Eine Nichteinhaltung kann empfindliche Strafen für Finanzunternehmen und Anbieter von Informations- und Kommunikationstechnologien (IKT-Dienstleister) nach sich ziehen. Diese reichen bis hin zu Bußgeldern in Höhe von einem Prozent des weltweiten Tagesumsatzes.
Die neue und weitreichende Verordnung der Europäischen Union stellt konkrete Anforderungen an den IT-Betrieb. Neben den Finanzunternehmen selbst, befinden sich nun auch die eingesetzten IKT-Dienstleister im Geltungsbereich der Verordnung. Ziel ist es, eine ganzheitliche Betrachtung der digitalen Betriebsstabilität von Finanzunternehmen einzufordern, um deren IT robuster gegenüber externen und internen Störungen aufzustellen und somit die Aufrechterhaltung des Betriebes zu stärken.
Die DORA-Verordnung lässt sich grundsätzlich in die folgenden Kernbereiche gliedern:
- Risikomanagement und operative Resilienz der eigenen IKT-Bereiche
- Management von IKT relevanten Vorfällen und deren Meldung an Behörden
- Regelmäßige interne und externe Überprüfungen der Belastbarkeit, sowie deren Planung und Dokumentation
- Überwachung von Risiken, auch von IKT-Drittparteien
Diese Kernbereiche werden bis Mitte 2024 in diversen Dokumenten zu den technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) noch weiter konkretisiert.
Die Anforderungen aus DORA orientieren sich an der bestehenden nationalen Regulatorik, wie den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) bzw. „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT), oder auch „Aufsichtsrechtliche Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen“ (MaGo) bzw. „Mindestanforderungen an das Risikomanagement“ (MaRisk).
Wie sich die vielfältigen Anforderungen der unterschiedlichen Richtlinien und Gesetze möglichst reibungslos und sinnvoll aufeinander abgestimmt umsetzen lassen, erfahren Sie in weiteren Beiträgen dieser Blogreihe.
