Security-Gesetz­ge­bung: Was passiert 2024?

NIS 2: Mehr Pflichten für mehr Unter­nehmen

Die Richt­linie für Netz- und Infor­ma­ti­ons­sys­tem­si­cher­heit 2 EU 2022/2555 (NIS 2) gibt Maßnahmen für ein hohes gemein­sames Cyber­si­cher­heits­ni­veau in der EU vor. Das NIS-Gesetz, die bishe­rige natio­nale Umset­zung der NIS 1, galt vorwie­gend für kriti­sche Infra­struktur und Anbieter rele­vanter digi­taler Dienste. NIS 2 erwei­tert die Sektoren beispiels­weise um das herstellende/produzierende Gewerbe: Maschi­nenbau, Hersteller von Daten­ver­ar­bei­tungs­ge­räten, elek­tro­ni­schen und opti­schen Erzeug­nissen, elek­tri­schen Ausrüs­tungen, Kraft­wagen und Kraft­wa­gen­teilen sowie sons­tiger Fahr­zeugbau. Inner­halb dieser Bran­chen sind Unter­nehmen mit mehr als 50 Beschäf­tigten ODER einem Jahres­um­satz bzw. einer Jahres­bi­lanz von über 10 Millionen Euro betroffen.

Diese Unter­nehmen werden künftig verpflichtet, Risi­ko­ma­nage­ment­maß­nahmen für die Cyber­si­cher­heit zu ergreifen, etwa Risi­ko­ana­lysen und Sicher­heits­kon­zepte zu erstellen für Infor­ma­ti­ons­sys­teme, den Schutz der Liefer­kette und die Sicher­heit des Perso­nals, ebenso Konzepte für die Zugriffs­kon­trolle und das Manage­ment von Anlagen. Hinzu kommen verpflich­tende Schu­lungen für das Manage­ment. Bei bestimmten Security-Vorfällen, sog. signi­fi­cant inci­dents, muss binnen 24 Stunden eine Früh­war­nung und binnen 72 Stunden eine Meldung an die zustän­dige Behörde erfolgen.

Bei Verstößen drohen empfind­liche Sank­tionen wie Geld­bußen von 7 Millionen Euro oder 1,4 Prozent des Gesamt­jah­res­um­satzes, außerdem können natür­liche Personen (leitende Ange­stellte) haftbar gemacht werden. Die Richt­linie wurde Ende 2022 durch das Euro­päi­sche Parla­ment und den Rat der EU verab­schiedet. Bis 18.10.2024 müssen die EU-Mitglieds­staaten die Richt­linie in natio­nales Recht über­führen.

Cyber Resi­li­ence Act – Security für den gesamten Produkt­le­bens­zy­klus

Im September 2022 hat die Euro­päi­sche Kommis­sion einen Entwurf für eine Verord­nung vorge­legt, die die Cyber­si­cher­heit von Produkten erhöhen soll. Dieser Cyber Resi­li­ence Act richtet sich an Hersteller von Produkten mit digi­talen Elementen (Hard- und Soft­ware), die in der Lage sind, mit anderen Produkten zu kommu­ni­zieren. Betroffen sind also Produkte sowohl aus dem B2C-Bereich, wie Smart­phones oder Staub­sauger­ro­boter, als auch aus dem B2B-Bereich, wie Steue­rungen und Sensoren, aber auch reine Soft­ware­pro­dukte wie Betriebs­sys­teme.

Wie groß die Auswir­kungen tatsäch­lich sein werden, hängt davon ab, welche Krite­rien am Ende für die Einstu­fung der Produkte ange­legt werden. Laut Cyber Resi­li­ence Act dürfen nur noch Produkte in Verkehr gebracht werden, die ein ange­mes­senes Cyber­si­cher­heits­ni­veau gewähr­leisten – und zwar über den gesamten Lebens­zy­klus eines Produkts. Experten gehen davon aus, dass die Verord­nung 2024 verab­schiedet wird. Der Cyber Resi­li­ence Act ist eine EU-Verord­nung und wird somit in den EU-Mitglieds­staaten unmit­telbar gültig sein.

Pilz beob­achtet die Gesetz­ge­bung im Bereich Indus­trial Security aufmerksam für seine Kunden. Neue gesetz­liche Anfor­de­rungen fließen laufend in das Schu­lungs- und Bera­tungs­an­gebot ein.