Die EU verabschiedet immer strengere Gesetze zur Cybersicherheit die Organisationen in allen Sektoren betreffen. In diesem Artikel geben wir einen Überblick über sechs wichtige EU-Gesetze, die sich auf die Cybersicherheit auswirken:
- GDPR
- NIS-Richtlinie
- NIS-2-Richtlinie
- Gesetz über die Widerstandsfähigkeit des digitalen Betriebs (DORA)
- Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen (CER-Richtlinie)
- Gesetz über die Widerstandsfähigkeit im Internet
In jedem Fall werden wir Sie informieren:
- Wann das Gesetz in Kraft tritt.
- Welche Arten von Organisationen sind abgedeckt?
- Die wichtigsten Anforderungen.
Allgemeine Datenschutzverordnung (GDPR)
Die Allgemeine Datenschutzverordnung (GDPR), oder Verordnung (EU) 2016/679, ist kein Cybersicherheitsgesetz als solches. Allerdings,
Die Datenschutz-Grundverordnung erlegt Organisationen Sicherheitsanforderungen auf um sicherzustellen, dass sie die von ihnen verarbeiteten personenbezogenen Daten schützen können.
Für wen gilt die Datenschutz-Grundverordnung?
Die Datenschutz-Grundverordnung gilt für jeden, der „personenbezogene Daten verarbeitet“ (mit einigen Einschränkungen), was bedeutet
fast jede Organisation in der EU (sowie das Vereinigte Königreich, Island, Liechtenstein und Norwegen) sowie Organisationen aus Nicht-EU-Ländern, die das Verhalten von Menschen in der EU gezielt überwachen.
Die Verordnung unterteilt Organisationen in „für die Verarbeitung Verantwortliche“, die entscheiden, warum und wie sie personenbezogene Daten verarbeiten, und in „Auftragsverarbeiter“, die personenbezogene Daten im Auftrag der für die Verarbeitung Verantwortlichen verarbeiten.
GDPR: Die wichtigsten Sicherheitsanforderungen
Die meisten Verpflichtungen der Datenschutz-Grundverordnung gelten nur für die für die Verarbeitung Verantwortlichen. Allerdings,
sowohl die für die Verarbeitung Verantwortlichen als auch die Auftragsverarbeiter unmittelbar für die Sicherheit personenbezogener Daten verantwortlich sind.
Zu den wichtigsten Sicherheitsverpflichtungen der Verordnung, die in Artikel 32 der Datenschutz-Grundverordnung aufgeführt sind, gehören:
- Pseudonymisierung oder Verschlüsselung von personenbezogenen Daten.
- Gewährleistung der ständigen „Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit“ von Systemen, die personenbezogene Daten verarbeiten.
- Sicherstellung, dass Systeme, die personenbezogene Daten verarbeiten, „zeitnah“ wiederhergestellt werden können.
- Regelmäßige Prüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten.
Die für die Verarbeitung Verantwortlichen müssen außerdem Folgendes befolgen einen allgemeinen Grundsatz der „Vertraulichkeit und Integrität“.
(Sicherheit). Andere Grundsätze wie die Datenminimierung (nicht mehr personenbezogene Daten zu verarbeiten, als für einen bestimmten Zweck erforderlich sind) tragen ebenfalls zur Sicherheit bei.
Die Datenschutz-Grundverordnung erlaubt es Organisationen, diese Maßnahmen in einer Weise umzusetzen, die der Art der personenbezogenen Daten, den Ressourcen der Organisation und dem „Stand der Technik“ angemessen ist.
Richtlinie über Netz- und Informationssysteme (NIS)
Die Richtlinie über Netz- und Informationssysteme (NIS oder NIS1) bzw. die Richtlinie (EU) 2016/1148 trat im August 2016 in Kraft.
Da es sich bei NIS1 und NIS2 um Richtlinien handelt, müssen die EU-Mitgliedstaaten nationale Gesetze erlassen, um sie in Kraft zu setzen. Die Frist für die Umsetzung der NIS2 ist der 17. Oktober 2024, Daher sollte die NIS1 in allen EU-Mitgliedstaaten vor diesem Datum aufgehoben werden.
Wer ist durch die NIS1 gedeckt?
NIS1 gilt in erster Linie für:
- Anbieter digitaler Dienste (DSP), nämlich:
- Online-Marktplätze
- Suchmaschine
- Cloud Computing-Dienste
- Betreiber wesentlicher Dienste (OES), d. h. Unternehmen in den folgenden Sektoren:
- Energie
- Transport
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheit
- Trinkwasserversorgung und -verteilung
- Digitale Infrastruktur
NIS1: Zentrale Anforderungen
Zu den wichtigsten Anforderungen der NIS1 gehören:
- Umsetzung technischer Maßnahmen zur Verhinderung von Verstößen gegen die Cybersicherheit.
- Bereitstellung von Informationen um eine eingehende Bewertung der Systeme und Strategien zu ermöglichen.
- Meldung bedeutender Vorfälle im Bereich der Cybersicherheit„ohne unangemessene Verzögerung“ an Computer Security Incident Response Teams (CSIRTs).
Einige dieser Anforderungen gelten für DSPs und OESs unterschiedlich.
Richtlinie über Netz- und Informationssysteme 2 (NIS2)
Die Richtlinie zur Netz- und Informationssicherheit (NIS2), oder Richtlinie (EU) 2022/2555, hebt NIS1 auf. Bis zum 17. Oktober 2024 müssen alle EU-Mitgliedstaaten neue nationale Gesetze umsetzen die die nach NIS1 eingeführten Gesetze ändern oder aufheben.
Wer ist durch die NIS2 abgedeckt?
Mit der NIS2 wird der Anwendungsbereich der NIS1 geändert und erweitert:
- DSPs und OESs werden nicht mehr unterschieden. Dienstleistungen sind entweder „wesentlich“ oder „wichtig“.
- NIS2 deckt neue Sektoren ab einschließlich Abwasserentsorgung, Lebensmittel und IT-Dienstleister.
- Einige kleine Unternehmen sind von der NIS2 befreit. Die EU-Mitgliedstaaten haben einen gewissen Ermessensspielraum bei der Entscheidung, welche Unternehmen ausgenommen sind.
Organisationen, die in der Lieferkette einer von NIS2 erfassten Einrichtung tätig sind, könnten ebenfalls indirekt von dem Gesetz betroffen sein.
NIS2: Zentrale Verpflichtungen
Zu den wichtigsten Verpflichtungen im Rahmen der NIS2 gehören:
- Umsetzung einer Reihe von Cybersicherheitsmaßnahmen, einschließlich:
- Risikoanalyse und Reaktion auf Vorfälle
- Verschlüsselung
- Offenlegung von Schwachstellen
- Sicherheitsschulung
- Sicherheit der IT-Lieferkette.
- Umsetzung von technischen, betrieblichen und organisatorischen Maßnahmen zur Verhinderung von Cybersicherheitsvorfällen.
- Meldung bedeutender Vorfälle im Bereich der Cybersicherheit „ohne unnötige Verzögerung und innerhalb von 24 Stunden„.
Die NIS2 sieht auch eine Regelung für Sanktionen und Verwaltungsstrafen vor.
Gesetz über die Widerstandsfähigkeit des digitalen Betriebs (DORA)
Das Digital Operations Resilience Act (DORA), oder Verordnung (EU) 2022/2554, wurde im Dezember 2022 verabschiedet und wird ab dem 17. Januar 2025 gelten. Als Verordnung gilt DORA direkt für alle EU-Mitgliedstaaten.
Wer ist durch DORA gedeckt?
DORA umfasstUnternehmen, die im Finanzsektor tätig sind, und Unternehmen, die IT-Dienstleistungen im Finanzsektor anbieten.
In der Verordnung sind 20 Arten von „Finanzunternehmen“ aufgeführt, die in den Anwendungsbereich der Verordnung fallen, darunter:
- Zahlungsinstitute
- Kreditinstitute
- Anbieter von Krypto-Vermögensdienstleistungen
- Wertpapierfirmen
- Versicherungs- und Rückversicherungsunternehmen
- Rating-Agenturen
Auch „IKT-Diensteanbieter“ fallen unter die DORA.
DORA: Zentrale Anforderungen
Zu den wichtigsten Anforderungen des DORA gehören:
- Implementierung von IT-Risikomanagementprozessen.
- Meldung größerer IT-Vorfälle.
- Prüfung der digitalen operativen Belastbarkeit (Penetrationstests).
- Austausch von Informationen über Bedrohungen und Schwachstellen.
- Management von Risiken Dritter.
DORA wird auch verbindliche Standards für Verträge zwischen Finanzinstituten und IKT-Drittanbietern festlegen.
Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen (CER-Richtlinie)
Die Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen (Resilience of Critical Entities (CER-Richtlinie), oder Richtlinie (EU) 2022/2557, wurde im Dezember 2022 verabschiedet. Die Mitgliedstaaten müssen bis zum 18. Oktober 2024 nationale Gesetze zur Umsetzung der Richtlinie erlassen.
Wer wird von der CER-Richtlinie erfasst?
Die CER-Richtlinie gilt für „kritische Stellen“. Die Mitgliedstaaten haben einen gewissen Ermessensspielraum bei der Entscheidung, welche Arten von Organisationen „kritische Einrichtungen“ sind, aber sie werden in den folgenden Sektoren tätig sein:
- Energie
- Transport
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheit
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Öffentliche Verwaltung
- Weltraum
- Herstellung, Verarbeitung und Vertrieb von Lebensmitteln
CER-Richtlinie: Zentrale Anforderungen
Einige der Schlüsselverpflichtungen für kritische Einrichtungen gemäß der CER-Richtlinie umfassen:
- Durchführung von Risikobewertungen.
- Umsetzung von technischen und organisatorischen Maßnahmen zur Erhöhung der Widerstandsfähigkeit.
- Meldung störender Vorfälle an die nationalen Behörden.
Vorgeschlagenes Gesetz zur Cyber-Resilienz
Der vorgeschlagene Gesetz über die Widerstandsfähigkeit im Internet wurde von der Kommission im September 2022 vorgelegt. Der Text der Verordnung ist noch nicht fertiggestellt.
Für wen gilt das Gesetz über die Widerstandsfähigkeit im Internet?
Der Cyber Resilience Act gilt für Software- oder Hardware-Produkte und ihre „Ferndatenverarbeitungslösungen“. Nur Software und Geräte, die mit einem Gerät oder Netz verbunden sind oder verbunden werden können, sind abgedeckt.
Als solche, der Cyber Resilience Act könnte sich auf Tausende von Software- und Hardware-Unternehmen auswirken, die in Europa tätig sind.
In dem Gesetz werden bestimmte Arten von Produkten als „kritisch“ eingestuft“ und unterscheidet weiter zwischen kritischen Produkten der „Klasse I“ und der „Klasse II“.
Für jede Art von kritischem Produkt gibt es viele Beispiele, darunter auch die folgenden:
- Klasse I:
- Browser
- Antiviren-Software
- VPNs
- Klasse II:
- Betriebssysteme
- Infrastruktur für öffentliche Schlüssel
- Intelligente Zähler
Denken Sie daran, dass es noch Änderungen geben kann, bevor der Text des Gesetzes über die Widerstandsfähigkeit im Internet fertiggestellt ist.
Gesetz über die Widerstandsfähigkeit im Internet: Zentrale Anforderungen
Einige Schlüsselanforderungen im Rahmen des Cyber Resilience Act umfassen:
- Entwurf, Entwicklung und Herstellung von Produkten mit einem angemessenen Maß an Cybersicherheit.
- Nur Produkte ohne bekannte Sicherheitslücken freigeben.
- Schutz der vom Produkt verarbeiteten Daten.
- Bereitstellung von Sicherheitsupdates zur Behebung von Sicherheitslücken.
- Benachrichtigung der Benutzer über Sicherheitslücken.
Für kritische Produkte der Klassen I und II werden strengere Vorschriften gelten.