Relevante Gesetze und Richtlinien für Informationssicherheit
Bedeutende rechtliche Fortschritte für die Cyber-Security 2024
Im Jahr 2024 werden bedeutende Fortschritte für Cybersecurity-relevante Gesetze und Richtlinien erwartet. Die Einführung und Umsetzung neuer Richtlinien bieten Unternehmen bereits jetzt einen überzeugenden Anreiz sowie einen effektiven finanziellen Hebel zur Stärkung ihrer Informationssicherheitsmaßnahmen.
Zu den maßgeblichen Regelwerken zählen NIS 2 (Netz- und Informationssicherheitsrichtlinie 2), der Cyber Resilience Act (CRA), der Artificial Intelligence (AI) Act, der Digital Operational Resilience Act (DORA) und TISAX (Trusted Information Security Assessment Exchange).
1 NIS 2 (Netz- und Informationssicherheitsrichtlinie 2)
Mit der neuen Cybersicherheits-Richtlinie "NIS 2" gelten ab Oktober 2024 für viele Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen. Momentan gilt die NIS-Richtlinie aus 2016, die in Österreich durch das NIS-Gesetz umgesetzt wurde. Diese Regelung spezifiziert bereits Anforderungen an die Cybersicherheit in für die Gesellschaft wichtigen Branchen.
Weitere Infos zu Fristen und Betroffenen Unternehmen finden Sie hier.
2 Cyber Resilience Act (CRA)
Der in der EU-Cybersicherheitsstrategie 2020 angekündigte Verordnungsvorschlag soll bestehende Rechtsvorschriften, insbesondere den Rahmen um NIS 2, ergänzen. Davon betroffen sind alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden sind. Selbstverständlich gibt es auch Ausnahmen (z. B. Open Source oder bereits stark regulierte Bereiche wie Medizinprodukte oder Autos). Dies bedeutet, dass produzierende Unternehmen Cybersicherheit fortan durch den gesamten Produktzyklus ernst(er) nehmen müssen.
3 Artificial Intelligence Act (AIA)
Durch den Artificial Intelligence Act (AIA) soll die Verwendung von Künstlicher Intelligenz in der EU reguliert werden. Die EU-Kommission hat dies im Rahmen der EU-Digitalstrategie veröffentlicht – weltweit einzigartig in dieser Form. Der Entwurf enthält konkrete Vorschläge für den Umgang mit KI in Forschung und Wirtschaft. Noch ist davon aber nichts in nationales Recht überführt. Dennoch ist es für Unternehmen sinnvoll, sich schon jetzt mit möglichen Implikationen zu beschäftigen.
4 Digital Operational Resilience Act (DORA)
DORA, der Digital Operational Resilience Act, betrifft Unternehmen des Finanzsektors. Die Vorgaben dienen zur Überprüfung und Bestätigung der Widerstandsfähigkeit des Unternehmens auf IT-Ebene. Es gibt eine Reihe von sehr detailliert geforderten Vorgaben, die berücksichtigt werden müssen, wie z. B. Analysen künftiger Risiken durch Leistungen von Drittanbietern, wie Cloud-Dienstleistern.
Die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates über die digitale operationale Resilienz im Finanzsektor (DORA) ist mit 16. Jänner 2023 in Kraft getreten. Die Vorgaben von DORA sind von den betroffenen Unternehmen bis 17. Jänner 2025 zu implementieren.
5 TISAX (Trusted Information Security Assessment Exchange)
Der Verband der deutschen Automobilindustrie (VDA) hat am 16. Oktober 2023 die neue Version 6 des ISA-Katalogs veröffentlicht. Dieses Control-Framework definiert die Anforderungen an Cyber- und Informationssicherheit nach dem jüngsten Stand der Technik für die Zulieferer aus Sicht der Automobilindustrie und stellt die Prüfungsgrundlage für Assessments nach dem TISAX®-Standard dar. Mehr Informationen zu Änderungen und Timeline finden Sie hier.
Fazit
Diese Richtlinien spiegeln die kontinuierlich wachsenden Herausforderungen und Möglichkeiten in der digitalen Ära wider und betonen die Dringlichkeit, adaptive und resiliente Sicherheitsmaßnahmen zu etablieren. Dies ist von entscheidender Bedeutung, um nicht nur Kund*innen und Geschäftspartner*innen, sondern auch das eigene Unternehmen und die Gesellschaft als Ganzes wirksam zu schützen.
Wir stehen Ihnen dabei gerne zur Seite – wir freuen uns auf Ihre Kontaktaufnahme.