07. Dez 2023

Relevante Gesetze und Richtlinien für Informationssicherheit

Bedeutende rechtliche Fortschritte für die Cyber-Security 2024

Im Jahr 2024 werden bedeutende Fortschritte für Cybersecurity-relevante Gesetze und Richtlinien erwartet. Die Einführung und Umsetzung neuer Richtlinien bieten Unternehmen bereits jetzt einen überzeugenden Anreiz sowie einen effektiven finanziellen Hebel zur Stärkung ihrer Informationssicherheitsmaßnahmen.

Zu den maßgeblichen Regelwerken zählen NIS 2 (Netz- und Informationssicherheitsrichtlinie 2), der Cyber Resilience Act (CRA), der Artificial Intelligence (AI) Act, der Digital Operational Resilience Act (DORA) und TISAX (Trusted Information Security Assessment Exchange).

1 NIS 2 (Netz- und Informationssicherheitsrichtlinie 2)

Mit der neuen Cybersicherheits-Richtlinie "NIS 2" gelten ab Oktober 2024 für viele Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen. Momentan gilt die NIS-Richtlinie aus 2016, die in Österreich durch das NIS-Gesetz umgesetzt wurde. Diese Regelung spezifiziert bereits Anforderungen an die Cybersicherheit in für die Gesellschaft wichtigen Branchen.

Weitere Infos zu Fristen und Betroffenen Unternehmen finden Sie hier.

2 Cyber Resilience Act (CRA)

Der in der EU-Cybersicherheitsstrategie 2020 angekündigte Verordnungsvorschlag soll bestehende Rechtsvorschriften, insbesondere den Rahmen um NIS 2, ergänzen. Davon betroffen sind alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden sind. Selbstverständlich gibt es auch Ausnahmen (z. B. Open Source oder bereits stark regulierte Bereiche wie Medizinprodukte oder Autos). Dies bedeutet, dass produzierende Unternehmen Cybersicherheit fortan durch den gesamten Produktzyklus ernst(er) nehmen müssen.

3 Artificial Intelligence Act (AIA)

Durch den Artificial Intelligence Act (AIA) soll die Verwendung von Künstlicher Intelligenz in der EU reguliert werden. Die EU-Kommission hat dies im Rahmen der EU-Digitalstrategie veröffentlicht – weltweit einzigartig in dieser Form. Der Entwurf enthält konkrete Vorschläge für den Umgang mit KI in Forschung und Wirtschaft. Noch ist davon aber nichts in nationales Recht überführt. Dennoch ist es für Unternehmen sinnvoll, sich schon jetzt mit möglichen Implikationen zu beschäftigen.

4 Digital Operational Resilience Act (DORA)

DORA, der Digital Operational Resilience Act, betrifft Unternehmen des Finanzsektors. Die Vorgaben dienen zur Überprüfung und Bestätigung der Widerstandsfähigkeit des Unternehmens auf IT-Ebene. Es gibt eine Reihe von sehr detailliert geforderten Vorgaben, die berücksichtigt werden müssen, wie z. B. Analysen künftiger Risiken durch Leistungen von Drittanbietern, wie Cloud-Dienstleistern.

Die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates über die digitale operationale Resilienz im Finanzsektor (DORA) ist mit 16. Jänner 2023 in Kraft getreten. Die Vorgaben von DORA sind von den betroffenen Unternehmen bis 17. Jänner 2025 zu implementieren.

5 TISAX (Trusted Information Security Assessment Exchange)

Der Verband der deutschen Automobilindustrie (VDA) hat am 16. Oktober 2023 die neue Version 6 des ISA-Katalogs veröffentlicht. Dieses Control-Framework definiert die Anforderungen an Cyber- und Informationssicherheit nach dem jüngsten Stand der Technik für die Zulieferer aus Sicht der Automobilindustrie und stellt die Prüfungsgrundlage für Assessments nach dem TISAX®-Standard dar. Mehr Informationen zu Änderungen und Timeline finden Sie hier.

Fazit

Diese Richtlinien spiegeln die kontinuierlich wachsenden Herausforderungen und Möglichkeiten in der digitalen Ära wider und betonen die Dringlichkeit, adaptive und resiliente Sicherheitsmaßnahmen zu etablieren. Dies ist von entscheidender Bedeutung, um nicht nur Kund*innen und Geschäftspartner*innen, sondern auch das eigene Unternehmen und die Gesellschaft als Ganzes wirksam zu schützen.

Wir stehen Ihnen dabei gerne zur Seite – wir freuen uns auf Ihre Kontaktaufnahme.

Weitere News & Events

Immer topaktuell informiert

11. Jun 2024

Aufnahme von Aspekten des Klimawandels in die Normen für Management­systeme

Neuerungen und wie es weiter geht

Mehr erfahren
22. Mai 2024

Wie lernen Sie am Besten?

Welche Ansprüche stellen Sie an eine Weiterbildung?

Mehr erfahren
22. Mai 2024

Der neue Online-Kurs für Information Security Manager*innen ist da!

Flexibel bleiben und online lernen

Mehr erfahren
22. Mai 2024

Neu: Kompaktkurs Datenschutz

Stärken Sie Ihre Position als Expert*in in nur einem Tag!

Mehr erfahren
15. Mai 2024

TISAX® deep dive: die 12 Prüfziele (Labels)

Sicherheit in der Automobilindustrie

Mehr erfahren
13. Mai 2024

TISAX® deep dive: die drei Assessment-Levels

Sicherheit in der Automobilindustrie

Mehr erfahren
30. Apr 2024

TISAX®: Informations­sicherheit in der Automobilbranche

Auf der Überholspur

Mehr erfahren
29. Apr 2024

Erfolgreiche erste Prüfung nach dem Netz- und Informations­systemsicherheits­gesetz (NIS-Gesetz)

Success Story am Beispiel der KAGes.m.b.H.

Mehr erfahren
04. Apr 2024

Exklusives Führungskräfte­training für NIS-2

Machen Sie Ihr Unternehmen fit für die neue Richtlinie

Mehr erfahren
03. Apr 2024

CIS tritt der Austrian Data Center Association (ADCA) bei

Neue Kooperation

Mehr erfahren
01. Apr 2024

Smarte Compliance für Rechenzentren

NISG und EN 50600

Mehr erfahren
28. Mrz 2024

ISO 42001 – die neue Norm für Künstliche Intelligenz

Weltweit erster Standard für KI

Mehr erfahren
+43 1 532 98 90