NIS2, DORA, Data Act & Co.: Die wichtigsten Security-Gesetze im Überblick

Foto: microstock3D – shutterstock.com

2024 steht für Unternehmen im Zeichen verstärkter Regulierungen in der IT-Sicherheit, getrieben durch eine wachsende Zahl an Cyberbedrohungen und die Notwendigkeit, digitale Infrastrukturen zu sichern. Eine Vielzahl von Verordnungen, Richtlinien und Gesetzesinitiativen auf EU-Ebene und international zielt darauf ab, die Cyberresilienz zu erhöhen.

So etwa soll die EU-Richtlinie NIS2 eine einheitliche Cybersicherheitsbasis in den EU-Mitgliedstaaten schaffen, während die RCE-Richtlinie (CER Direktive) und das KRITIS-Dachgesetz die generelle Widerstandsfähigkeit kritischer Infrastrukturen stärken. Aber auch der Digital Operational Resilience Act (DORA), der Cyber Resilience Act (CRA), der EU Data Governance Act und der EU Data Act sind Regulatorien, mit denen sich Unternehmen auseinandersetzen müssen.

Sich in diesem Dschungel an regulatorischen Vorschriften zurechtzufinden, ist jedoch gar nicht so einfach. Im Folgenden finden Sie einen Überblick über die anstehenden Regelungen.

1. NIS2: EU-weit einheitliches Cybersicherheitsniveau

Beschreibung: Wie der Name bereits andeutet, handelt es sich bei NIS2 (Network and Information Security 2) um den Nachfolger der EU-Richtlinie NIS1. Deren Ziel war es, in allen Mitgliedsstaaten ein einheitliches Niveau für die Cybersicherheit herzustellen und unter anderem kritische Infrastrukturen (KRITIS) vor Hackerangriffen & Co. zu schützen. Das Problem: Die Definition, was zu KRITIS zählt, variierte von Land zu Land, ebenso interpretierte jedes auf seine Art, wie NIS1 umzusetzen ist. NIS2 soll hier nun Abhilfe schaffen. Dessen Hauptziel ist es, die Widerstandsfähigkeit Europas zu stärken und sowohl Bürgern als auch Unternehmen einen sicheren Zugriff auf vernetzte Systeme und wesentliche Infrastrukturen zu ermöglichen. Dazu gehören kritische Sektoren wie Energieversorgung, die öffentliche Verwaltung, das Gesundheitswesen und Finanzdienstleistungen. Dabei zählt NIS2 weit mehr Sektoren und Unternehmen zu KRITIS als sein Vorgänger NIS1 und teilt diese in “wesentliche” und “wichtige” Einrichtungen ein.

Lesetipp: Condor-CISO im Interview – “Ich sehe NIS2 insgesamt positiv”

Geltungsbereich: Zu den von NIS2 betroffenen Unternehmen zählen alle kritischen Einrichtungen, die in der EU tätig sind oder zumindest dort ihre Serviceleistungen anbieten. Vorausgesetzt, sie haben mindestens 50 Beschäftigte, beziehungsweise einen Jahresumsatz von mindestens 10 Millionen Euro. Für sie gilt es, sicherzustellen, dass ihr Geschäftsbetrieb auch bei Cyberattacken aufrechterhalten bleibt und sie rasch auf die Bedrohung reagieren können. Hierzu gehören Maßnahmen wie die Durchführung von Risikoanalysen, die Erstellung eines Krisenmanagementplans, die Einführung technologischer Lösungen für den sicheren Datenaustausch, ein regelmäßiges Update und Backup ihrer IT-Systeme (Cyberhygiene), Sicherheitsschulungen der Angestellten sowie das Melden von Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Inkrafttreten: NIS2 ist bereits seit 16. Januar 2023 in Kraft. Die EU-Mitgliedsstaaten müssen diese EU-Richtlinie nun bis 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland gibt es dazu bereits einen Referentenentwurf (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) – eine verabschiedete Version existiert jedoch noch nicht.

Sie möchten regelmäßig über alles Wichtige rund um das Thema Cybersicherheit informiert werden? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten.

2. CER Directive: KRITIS-Absicherung vor Gefahren aller Art

Beschreibung: “CER” steht für “Critical Entities Resilience”. Die im Deutschen als “Richtlinie über die Resilienz kritischer Einrichtungen” (RCE-Richtlinie) bekannte EU-Direktive soll die Widerstandsfähigkeit kritischer Infrastrukturen in der EU stärken. Sie dient also – anders als NIS2 – nicht nur der Absicherung gegenüber Cyberattacken, sondern auch der Resilienz von KRITIS gegenüber Hackerangriffen, Naturkatastrophen, Terror- und Sabotageakten sowie menschlichem Versagen (“All-Gefahren-Ansatz”).

Inkrafttreten und Geltungsbereich: Gültig ist die CER-Richtlinie bereits seit dem 16. Januar 2023. Zu den betroffenen Unternehmen zählen KRITIS-Betreiber, die sowohl für das öffentliche Wohl als auch für essenziell notwendige staatliche Institutionen unabdingbar sind und deren Ausfall gravierende Auswirkungen auf die öffentliche Sicherheit und Versorgung hätte. Der nächste Schritt ist jedoch die Übersetzung der Richtlinie in nationales Recht. Im Fall von Deutschland geschieht dies durch das KRITIS-Dachgesetz.

3. KRITIS-Dachgesetz: Nationale Umsetzung der CER Directive

Beschreibung und Inkrafttreten: Das KRITIS-Dachgesetz ist die nationale Umsetzung der EU-Richtlinie CER in Deutschland und tritt am 1. Januar 2026 in Kraft. Somit liegt der Fokus auf der Stärkung der Sicherheit von KRITIS gegenüber Bedrohungen aller Art. Mit dem Gesetz wird erstmals auf Bundesebene definiert, welche Einrichtungen “kritische Infrastrukturen” sind. Auch die starke Verzahnung der verschiedenen Wirtschaftssektoren und die damit verbundenen gegenseitigen Abhängigkeiten stehen hier im Mittelpunkt. Gibt es in einem Bereich wie etwa im Energiesektor oder in der IT Ausfälle, kann dies erhebliche negative Konsequenzen für alle anderen Sektoren und somit für die gesamte Wertschöpfungskette nach sich ziehen.

Geltungsbereich: Mit der Einführung des KRITIS-Dachgesetzes wird nun zum ersten Mal eine übergreifende gesetzliche Basis (“Dach”) geschaffen, die eine breite Palette von Sektoren abdeckt: Energie, Transport und Verkehr, das Finanz- und Versicherungswesen, der Gesundheitssektor, die Wasserversorgung, Abwasser- und Abfallentsorgung, die Bereiche Ernährung, Informationstechnik und Telekommunikation, die Weltraumforschung sowie die öffentliche Verwaltung.

Vom KRITIS-Dachgesetz betroffen sind Einrichtungen, die für die grundlegende Versorgung in Deutschland essenziell sind und zu deren Verantwortungsbereich mehr als 500.000 Einwohner zählen.

Für KRITIS-Betreiber bedeutet dies, dass sie Vorkehrungen treffen müssen, um angemessen auf alle möglichen Gefahren reagieren zu können. Dazu gehört die Durchführung von Risikoanalysen ebenso wie die Erstellung von Resilienzplänen. Aber auch die Nutzung adäquater Technologien wie etwa von virtuellen Datenräumen, die einen unerlaubten Zugriff auf Daten ausschließen und dies auch durch unabhängige Zertifizierungen belegen können, ist eine probate Maßnahme. Für noch mehr Sicherheit sorgt ein Anbieter, der eigene Server in zertifizierten Rechenzentren betreibt (Housing statt Hosting).

4. DORA: Cybersicherheit für den Finanzsektor

Beschreibung: Beim Digital Operations Resilience Act (DORA) handelt es sich um eine EU-Verordnung, die darauf abzielt, die Robustheit des Finanzsektors gegenüber Cyberbedrohungen zu erhöhen. Ziel ist es, bestehende Verordnungen und Richtlinien zu harmonisieren und so einen einheitlichen Rahmen für die Bewältigung von Cybersicherheits­risiken in der Informations- und Kommunikationstechnologie (IKT) zu schaffen.

Geltungsbereich: DORA richtet sich an eine Vielzahl verschiedener Einrichtungen im europäischen Finanzsektor – insbesondere an Zahlungs- und Kreditinstitute, Wertpapierfirmen und Versicherungsunternehmen sowie an IKT-Dienstleister, die diese unterstützen.

Unternehmen, die unter DORA fallen, sind angehalten, gewisse Vorkehrungen zu treffen, die sicherstellen, dass ihr Geschäftsbetrieb aufrechterhalten bleibt. Hierzu gehören unter anderem:

• Aufbau und Wartung stabiler IT-Systeme zur Risikominderung

• Identifikation und Dokumentation kritischer Funktionen

• dauerhafte Überwachung von IT-Risikoquellen

• schnelle Erkennung ungewöhnlicher Aktivitäten (Anomalien)

• Implementierung von Plänen zum Aufrechterhalten des Geschäftsbetriebs sowie für Notfallsituationen

• Einführen von Lern- und Anpassungsmechanismen aus IT-Ereignissen

• Durchführen von bedrohungsorientierten Penetrationstests (TLPT) zur Schwachstellenfindung und -behebung

• effektive Risikoüberwachung bei der Zusammenarbeit mit externen IKT-Dienstleistern

• detaillierte Dokumentation aller IKT-Vorfälle und Meldung kritischer Ereignisse

Inkrafttreten: Wirksam ist DORA bereits seit dem 16. Januar 2023. Als EU-Verordnung gilt sie unmittelbar in allen EU-Mitgliedstaaten und muss daher nicht gesondert in nationales Recht übertragen werden. Allerdings müssen die Mitgliedsstaaten möglicherweise bestimmte Anpassungen in ihrem landesspezifischen Gesetzen vornehmen. In Deutschland unterstützt das Finanzmarktdigitalisierungsgesetz (FinmadiG) die Implementierung von DORA. Ab dem 17. Januar 2025 wird die Verordnung vollständig anwendbar sein.

5. Cyber Resilience Act: Cybersicherheit digitaler Produkte

Beschreibung: Auch der Cyber Resilience Act (CRA) soll innerhalb der EU einen konsistenten rechtlichen Rahmen schaffen. Ziel des CRA ist es, Verbraucher und Unternehmen, die Produkte mit digitalen Elementen kaufen und nutzen, gegen Angriffe aus dem Cyberraum zu schützen. Als “Produkte mit digitalen Elementen” gelten Gegenstände oder Software, die mit Funktionen zur Datenverarbeitung oder zur interaktiven Steuerung über ein internes oder externes Netzwerk ausgestattet sind und somit ein potenzielles Cybersicherheitsrisiko bergen. Hierzu zählen beispielsweise Smartwatches, Babyphones oder IoT-Geräte. Das Gesetz soll es Nutzern zudem einfacher machen, bei Auswahl und Einsatz dieser Produkte die Cybersicherheit im Auge zu behalten.

Geltungsbereich: Betroffen sind Hersteller, Importeure und Distributoren von Hardware- oder Softwareprodukten mit digitalen Bestandteilen. Die Hersteller sind verpflichtet, ihre Produkte von Beginn an sicher zu gestalten und die Cybersicherheit über den gesamten Produktlebenszyklus hinweg zu gewährleisten – etwa durch regelmäßiges Schwachstellenmanagement und Security-Updates. Die Bewertung der Sicherheitsstandards ihrer Erzeugnisse müssen sie dabei eigenständig vornehmen. Ebenfalls sind sie dazu angehalten, den Nutzern klar verständliche Cybersecurity-Informationen und Handlungsempfehlungen mitzugeben. Über etwaige Sicherheitsvorfälle sind sowohl die ENISA (European Union Agency for Cybersecurity) als auch die Produktanwender zu benachrichtigen.

Inkrafttreten: In Kraft getreten ist der CRA am 12. März 2024. Von da ab haben die Produkthersteller 36 Monate Zeit, die Anforderungen zu erfüllen. Verstöße gegen diese Vorschriften können zu Geldstrafen führen, die bis zu 15 Millionen Euro oder 2,5 Prozent des globalen Jahresumsatzes eines Unternehmens betragen können. In schwerwiegenden Fällen ist sogar eine Marktrücknahme des Produkts möglich. Und ab 2027 gilt: Ohne entsprechende Sicherheitsaspekte dürfen Produkte mit digitalen Elementen nicht mehr in der EU angeboten werden.

6. Data Governance Act: Datenaustausch für das Gemeinwohl

Beschreibung und Inkrafttreten: Der EU Data Governance Act (DGA), der seit dem 24. September 2023 wirksam ist, zielt darauf ab, den Austausch von Daten innerhalb der EU zu vereinfachen. Der Gedanke dahinter: Die Daten sollen dem Gemeinwohl zur Verfügung stehen und damit altruistische Projekte wie den Klimaschutz, eine optimierte Gesundheitsversorgung oder moderne Verkehrskonzepte vorantreiben. Der Act soll dazu beitragen, das Vertrauen in den freiwilligen Datenaustausch zu stärken, zudem einen sicheren Rahmen für das Teilen von Informationen bieten und technische Stolpersteine für deren Wiederverwendung beseitigen. Ebenso steuert er die Aktivitäten von Datenintermediären (Datenvermittlungsdiensten), die den Austausch der Daten zwischen deren Inhabern und Nutzern gestatten.

Geltungsbereich: Grundsätzlich ist jedes Unternehmen vom DGA betroffen. Insbesondere sind es aber Datenintermediäre, öffentliche Stellen sowie Unternehmen, die Daten des öffentlichen Sektors verwenden möchten. Für diese Akteure gilt es, einige Richtlinien zu beachten: Zum einen müssen sie rechtliche und technische Bedingungen für Datenschutz und Datensicherheit erfüllen, zum anderen die Rechte Dritter wie geistiges Eigentum oder Geschäftsgeheimnisse wahren. Auch heißt es für sie, transparente Prozesse für einen fairen und sicheren Informationshandel zu etablieren.

7. EU Data Act: faire Wertschöpfung aus Geräteinformationen

Beschreibung und Inkrafttreten: Die “Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung” – kurz EU Data Act – trat am 11. Januar 2024 in Kraft und findet nach einer 20-monatigen Übergangsfrist ab dem 12. September 2025 EU-weit Anwendung.

Während die Nutzung der von vernetzten Geräten generierten Daten bisher nur den jeweiligen Geräteherstellern möglich war, sieht der EU Data Act eine gerechtere Verteilung dieser Informationen vor. Ziel ist es, sowohl den Dateninhabern (dies sind meist die Produkthersteller) als auch den Nutzern dieser Produkte sowie Drittparteien einen Zugang zu den Daten zu gewähren, sodass diese gleichermaßen von den gesammelten Informationen profitieren können. Dabei definiert der EU Data Act, wer wann Zugriff auf diese Daten erhält und sie weiterverteilen darf. Ein weiterer Schwerpunkt des Verordnungsentwurfs liegt in der Optimierung der Kompatibilität ausgetauschter Daten.

Geltungsbereich: Der Data Acts umfasst alle in der EU agierenden Unternehmen, die Informationen vernetzter Geräte sammeln und nutzen – unabhängig von ihrer Branche oder ihrem Firmensitz. Die Verordnung fordert von den betroffenen Einrichtungen eine erhöhte Transparenz und Kontrolle über die Daten. Dateninhaber sind zum Beispiel angehalten, die anfallenden Informationen dem Endverbraucher zu überlassen. Sie selbst dürfen die durch das Produkt entstehenden Daten nur im Rahmen eines entsprechenden Datenlizenzvertrags verwenden. Die Produkthersteller wiederum verpflichtet der EU Data Act dazu, zum einen die Anwender vor Vertragsabschluss über die zu erwartenden Daten zu informieren, zum anderen ihre Produkte so zu gestalten, dass die Informationen für den Nutzer einfach und sicher zugänglich sind.

Bei Nichteinhaltung drohen Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Kleinstunternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz unter 10 Millionen Euro sind hiervon ausgenommen.

8. US CLOUD Act: weltweiter Datenzugriff für US-Behörden

Beschreibung: Keine Initiative der EU, aber dennoch beim Thema “aktuelle regulatorische Anforderungen” nicht außer Acht zu lassen, ist der CLOUD Act. Hierbei handelt es sich um ein Gesetz aus den USA, das – anders als der Name vermuten lässt – nicht unmittelbar mit der Cloud zu tun hat. CLOUD steht hier für “Clarifying Lawful Overseas Use of Data”, also für die Klärung der rechtmäßigen Nutzung von Daten, die außerhalb der USA gespeichert sind.

Geltungsbereich und Inkrafttreten: Wobei “Klärung” im Prinzip mit “Erlaubnis” gleichzusetzen ist. Denn Ziel des Ende März 2018 in Kraft getretenen Gesetzes ist es, US-Behörden weltweit den Zugriff auf Daten zu ermöglichen, die bei US-amerikanischen Unternehmen und deren Tochtergesellschaften gespeichert sind. Dies gilt auch für Informationen, die etwa eine in Deutschland ansässige Niederlassung eines US-Unternehmens in einem Rechenzentrum innerhalb der EU aufbewahrt. Auch alle Unternehmen, die Dienste US-basierter Anbieter wie Microsoft Teams nutzen, sind von diesem Gesetz betroffen. Und selbst dann, wenn ein Betrieb seinen Hauptsitz in Europa hat und seine Daten in einem EU-Rechenzentrum speichert, sind seine Informationen nicht automatisch vor dem Zugriff der US-Behörden gefeit. Diese können nämlich dann die Herausgabe der Daten verlangen, wenn der Betreiber des Rechenzentrums ein US-Unternehmen ist.

Das Problem: Das US-Gesetz steht damit der europäischen Datenschutz-Grundverordnung (DSGVO) diametral entgegen. Betroffene Unternehmen haben somit die Qual der Wahl: Entweder folgen sie dem CLOUD Act, indem sie den US-Behörden personenbezogene Daten aushändigen – und verstoßen so gegen geltendes EU-Recht. Oder sie kommen den Anforderungen der US-Behörden nicht nach und verletzen somit den CLOUD Act. Hier gilt es wohl, abzuwägen, welcher Schritt den geringsten Schaden verursacht.

Um auf der sicheren Seite zu sein, empfiehlt es sich für die Unternehmen, auf Technologien wie Confidential Computing zurückzugreifen. Diese sorgen für den zuverlässigen Schutz sensibler Daten, unabhängig davon, wo der (idealerweise von unabhängiger Stelle zertifizierte) Anbieter sich befindet. Hat dieser selbst nicht einmal Zugang zu den Daten (Betreiberabschirmung), lässt sich ein Zugriff seitens der US-Behörden auch nicht erzwingen. Befinden sich die Rechenzentren zudem in einem Land mit starkem Datenschutz wie Deutschland und können ihre Sicherheit über ein entsprechendes Zertifikat nachweisen, ist das Unternehmen selbst für die anspruchsvollsten regulatorischen Anforderungen gewappnet. (jm)