Cyberregulation in Europe – What are Companies supposed to do now

Die Cyberregulierung in Europa hat in den letzten Jahren erheblich zugenommen, da die digitale Welt weiterwächst und sich entwickelt. Unternehmen stehen vor immer strengeren Vorschriften und Anforderungen, um ihre Cybersecurity-Praktiken zu stärken und den Schutz sensibler Daten zu gewährleisten. Angesichts dieser Entwicklung müssen Unternehmen proaktiv handeln, um den gesetzlichen Anforderungen gerecht zu werden und potenzielle Sanktionen zu vermeiden. Cyber Resilience Act, NIS-2 und CER-Richtlinie, die europäische Politik intensiviert den Regulierungsdruck für Industrie Unternehmen. Die Cybersecurity-Gesetzeslage für Industrieunternehmen in Europa ist vielfältig. Wen betreffen die Regulierungen? Welche Pflichten entstehen daraus? Und was müssen Unternehmen jetzt tun? Einen Überblick gibt Frank Sauber, Global Head of Sales & Business Enablement Division Industry bei secunet.

1. Directive on Security of Network and Information Systems (NIS-2 Richtlinie)
   Die NIS-2 Richtlinie ist ein wichtiger Teil der EU-Digitalstrategie „Gestaltung der digitalen Zukunft Europas“ und die Weiterentwicklung der bereits 2016 erlassenen NIS Richtlinie. Ziel ist es, ein hohes Cybersicherheitsniveau auf europäischer Ebene sicherzustellen und damit den Binnenmarkt zu stärken. Die Richtlinie ist am 16. Januar 2023 in Kraft getreten. Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Bestimmungen in nationale Gesetzgebung zu überführen.
   Betroffene Wirtschaftszweige sind in zwei Kategorien unterteilt: essential/wesentlich - also Sektoren mit hoher Kritikalität - und important/wichtig - weitere kritische Sektoren. Unter erstere fallen beispielsweise Energie, Transport und Verkehr, Finanzmärkte, der Gesundheitssektor, digitale Infrastrukturen sowie die Öffentliche Verwaltung. Weitere kritische Sektoren sind unter anderem Post- und Kurierdienstleistungen, produzierendes Gewerbe, Chemie sowie die Fertigung von Medizingeräten, elektronischen Geräten, Maschinen und Transportmitteln. Welche Unternehmen innerhalb der definierten Sektoren genau betroffen sind, wird durch die jeweilige nationale Gesetzgebung definiert.
2. EU Cyber Resilience Act – Cybersicherheit für vernetzte Produkte
   Der Cyber Resilience Act (CRA) der EU ist ein Gesetzentwurf mit dem Ziel, Endverbraucher und Unternehmen vor Produkten mit unzureichenden IT-Sicherheitsfunktionen zu schützen. Zu diesem Zweck soll das Gesetz Anforderungen an Produkte mit digitalen Elementen hinsichtlich Entwicklung, Ausgestaltung und Produktion definieren und damit Cybersicherheit im gesamten Lebenszyklus sichern – unter anderem auch die Verfügbarkeit von Softwareupdates. Das Sicherheitsniveau von vernetzten Endprodukten soll erhöht werden, um Cyberkriminalität vorzubeugen. Das Gesetz wird voraussichtlich noch 2023 in Kraft treten. Danach haben die Betroffenen zwölf bis 24 Monate Zeit für die Umsetzung der neuen Anforderungen.
3. Directive on the resilience of critical entities
   Die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) hat das Ziel, die physische Widerstandsfähigkeit kritischer Einrichtungen zu stärken. Die CER-Richtlinie ersetzt die alte Richtlinie 2008/114/EC und erweitert den Anwendungsbereich. Durch diese neuen Vorschriften werden die EU-Mitgliedstaaten zur Identifikation von kritischen Einrichtungen und Stärkung derer Widerstandsfähigkeit verpflichtet. Die CER-Richtlinie ist am 16. Januar 2023 in Kraft getreten. Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Bestimmungen in nationale Gesetzgebung zu überführen. Betroffene Wirtschaftszweige sind in die Kategorien wesentlich und wichtig unterteilt. Insgesamt elf Sektoren gehören zum Geltungsbereich, die sich teilweise mit der NIS-2 Richtlinie überschneiden: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, Öffentliche Verwaltung, Weltraum, sowie die sowie die Produktion, Verarbeitung und Vertrieb von Lebensmitteln.