Cyber Resilience Act und NIS2 – rechtzeitig Schwachstellen identifizieren und Schutzmaßnahmen optimieren

Es gibt keine gesetzliche Definition von Cyber-Resilienz. Frei interpretiert kann der Begriff definiert werden als die Widerstandsfähigkeit eines Unternehmens gegen Hackerangriffe und die Vorbereitung auf den Ausfall von systemrelevanten Komponenten.

Cyberkriminalität stellt eine der größten Bedrohung für Unternehmen dar, stellt das BSI im Lagebericht 2022 fest. Für den Erfolg und das Überleben von Unternehmen ist es daher entscheidend, auf diese Gefahren vorbereitet zu sein und eine entsprechende Cyber-Resilienz aufzubauen.

Um eine allgemeine Widerstandfähigkeit gegen Cyberangriffe in Europa zu begründen, hat die EU den Cyber Resilience Act (CRA) und NIS2 ins Leben gerufen.

Wir unterstützen unsere Kunden seit 15 Jahren dabei, den bestmöglichen Sicherheitsstandard zu erreichen. Die neue Normierung durch den Cyber Resilience Act sehen wir als Chance, und helfen unseren Kunden gerne dabei, diese für noch mehr Sicherheit zu nutzen.

Mehr

Cyber Resilience Act und NIS2: Welche Ziele verfolgen sie?

Mit dem Cyber Resilience Act, kurz CRA, sieht die EU-Kommission neue verbindliche Sicherheitsanforderungen für Produkte mit digitalen Elementen vor. Dies gilt sowohl für Produkte, die an Endverbraucher verkauft werden, aber auch im Unternehmen für die Produktion eingesetzt, als Vorprodukte bezogen und weiterverarbeitet werden und somit Teil von Lieferketten sind. Der CRA sieht eine Reihe von Maßnahmen vor, um die Cybersicherheit von Produkten zu erhöhen.

Die neuen europäischen Cybersicherheitsvorschriften für Industrieunternehmen wie der Cyber Resilience Act oder NIS-2 mögen zunächst komplex erscheinen. Diese Vorschriften können jedoch Ihre Verbündeten sein, wenn es darum geht, sich wirksam vor Cyberangriffen zu schützen.

Cyber Resilience Act – für welche Unternehmen ist der CRA relevant?

Die neuen Regelungen betreffen alle Unternehmen, die Produkte mit digitalen Elementen herstellen. Darüber hinaus gibt es Verpflichtungen für Händler und Importeure. Es gibt keine größenabhängigen Ausnahmen.

Welche Produkte betrifft das?

Die Europäische Kommission schlägt vor, für die genannten Produkte risikoadäquate Cybersicherheitsmaßnahmen in den Phasen des Design, der Entwicklung und Produktion sowie während des Inverkehrbringens und der Nutzung zu etablieren.

Dabei unterscheidet die Europäische Kommission nach der Kritikalität der Produkte:

Nicht-kritische Produkte mit digitalen Elementen (z. B. Speichermedien, Grafikprogramme)
Klasse I: kritische Produkte mit digitalen Elementen (z. B. Browser, Passwort-Manager, Firewalls, Mikrocontroller),
Klasse II (z.B. Router oder Firewalls für den industriellen Einsatz, IoT Geräte),
Sowie hochkritische Produkte mit digitalen Elementen

Was bedeutet das in der Praxis?

Die Europäische Kommission schätzt, dass etwa 90 Prozent der Produkte in die Kategorie der unkritischen Produkte fallen werden. Hersteller und Händler, die mit kritischen Produkten handeln, werden strengeren Anforderungen unterliegen, insbesondere im Hinblick auf die Konformitätsbewertung, die sich an harmonisierten EU-Normen orientiert. Die Einhaltung der Normen wird durch die CE-Kennzeichnung auf dem Produkt angezeigt, wobei die nationalen Marktaufsichtsbehörden die ordnungsgemäße Umsetzung überwachen.

Infografik der EU-Kommission zur Einteilung digitaler Produkte im Cyber Resilience Act: 90 % in Standardkategorie (Selbstbewertung), 10 % in kritische Klassen I und II mit strengeren Anforderungen. Kategorien unterscheiden sich nach Funktion, Verwendung und Auswirkungen.

Quelle: https://digital-strategy.ec.europa.eu/de/library/cyber-resilience-act-factsheet

Welche Anforderungen stellt der Cyber Resilience Act an betroffene Unternehmen?

Der CRA definiert Anforderungen an die Sicherheit im Lebenszyklus:

Meldung bekannter Schwachstellen und bekannter Exploits an die ENISA innerhalb von 24 Stunden
Meldung von Vorfällen an die Produktnutzer, einschließlich Abhilfemaßnahmen
Meldung identifizierter Schwachstellen in Elementen von Drittanbietern an die entsprechenden Drittanbieter

Produktanbieter müssen bereitstellen:

Software Bill of Materials (SBoM) der Produkte
Schwachstellenscan, der keine Schwachstellen aufweist, um die CE-Zertifizierung zu erhalten
Kontinuierliche Schwachstellenscans,
Prozess und Infrastruktur für die Dokumentation und Meldung von Produktschwachstellen.

Unternehmen sind durch den Cyber Resilience Act aufgerufen, regelmäßig, dauerhaft und nachhaltig, Schwachstellenanalysen vorzunehmen und externe Audits vornehmen zu lassen. Wir können Ihnen helfen, den Anforderungen nachzukommen. Die Produktserie des Greenbone Vulnerability Managements, die Greenbone Enterprise Appliances, ermöglichen Compliance mit dem CRA – on premise oder aus der Cloud.

Mehr

Wen betrifft NIS2?

Öffentliche und private Einrichtungen in 18 kritischen Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanz müssen den neune NIS2 Regeln folgen.

NIS-2-Richtlinie: Erhöhung der Cybersicherheit für Unternehmen aus dem KRITIS Sektor

Die NIS-2-Richtlinie, ein wichtiger Teil der digitalen Strategie der EU „Shaping Europe’s Digital Future„, soll die Cybersicherheit in ganz Europa erhöhen. Sie verfolgt die Zielsetzung, Organisationen und kritische Infrastrukturen vor Cyberbedrohungen besser zu schützen und für einen hohes, EU-weites Sicherheitsniveau zu sorgen. Die Richtlinie ist am 16. Januar 2023 in Kraft getreten, und die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Vorschriften in ihre nationalen Gesetze zu übernehmen.

Welche Kategorien von Wirtschaftssektoren betrifft NIS2?

„Wesentliche/essentielle“ (sehr kritische) Sektoren und wichtige/wichtige“ (andere kritische) Sektoren.

Sektoren wie Energie, Verkehr, Finanzen, Gesundheitswesen, digitale Infrastruktur und öffentliche Verwaltung fallen in die erste Kategorie, während die zweite Kategorie die verarbeitende Industrie, Postdienste, Chemie und mehr umfasst.

Welche Unternehmen innerhalb dieser Sektoren unter die Richtlinie fallen, wird durch die Gesetze der einzelnen Länder bestimmt.

Für die betroffenen Unternehmen bringt die NIS-2-Richtlinie neue Verantwortlichkeiten mit sich. Sie müssen Cybersicherheitsvorfälle anhand bestimmter Kriterien an die Behörden melden:

Frühwarnung: Meldung innerhalb von 24 Stunden nach einem Vorfall.
Vorfallbenachrichtigung: Meldung innerhalb von 72 Stunden nach einem Vorfall.
Zwischenbericht / Intermediate Report.
Bericht über den Fortschritt der Vorfallbehandlung / Progress Report: im Falle von nicht gelösten Vorfällen ein Monat nach Vorfallbenachrichtigung.
Abschlussbericht: innerhalb eines Monats nach Vorfallbenachrichtigung oder eines Monats nach abgeschlossener Vorfallbehandlung.
Freiwillige Berichterstattung ist eine Option.

Die Unternehmen müssen auch ein aktives Risikomanagement betreiben und Standards für die Netz- und Systemsicherheit, den Umgang mit Zwischenfällen, das Krisenmanagement, sichere Lieferketten und die Vermögensverwaltung einhalten. Die verwendeten Schutzmechanismen und Technologien müssen auf dem neuesten Stand sein. Die Länder könnten sogar Zertifizierungspflichten einführen, um die Einhaltung der Vorschriften zu demonstrieren.

In Deutschland führt die NIS-2-Richtlinie zu Anpassungen im bestehenden IT-Sicherheitsgesetz 2.0 oder zu einem möglichen neuen Gesetz. Deutsche KRITIS-Betreiber mit einem etablierten Informationssicherheitsmanagementsystem (ISMS) und zuverlässiger Cybersicherheitstechnologie sind gut vorbereitet und benötigen wahrscheinlich nur geringfügige Anpassungen. Diese Richtlinie schafft die Voraussetzungen für eine robustere Cybersicherheitslandschaft in allen Branchen.

Wann treten die Richtlinien in Kraft?

CRA

Das Europäische Parlament und der Rat prüfen den aktuell eingereichten Vorschlag für den Cyber Resilience Act.

Nach der Verabschiedung haben die Wirtschaftsakteure und Mitgliedstaaten zwei Jahre Zeit, um sich an die neuen Anforderungen anzupassen.

Die Verpflichtung zur Meldung von aktiv ausgenutzten Schwachstellen und Vorfällen wird nach einem Jahr gelten.

Die Kommission wird regelmäßig die Einhaltung der neuen Cybersicherheitsregeln für die EU überprüfen und ggfalls Missachtung sanktionieren.

NIS2

Die NIS-2-Richtlinie wurde am 27.12.2022 im Amtsblatt L333 der Europäischen Union veröffentlicht. Am 16. Januar 2023 trat die neue NIS2-Richtlinie in Kraft. Die EU-Mitgliedsstaaten haben 21 Monate Zeit, also bis Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Ab diesem Zeitpunkt gelten die Bestimmungen für alle betroffenen Unternehmen

Wir können Ihnen helfen, den Anforderungen nachzukommen.

Sprechen Sie uns an

Inhaltsverzeichnis

Cyber Resilienz Act und NIS2 – rechtzeitig Schwachstellen identifizieren und Schutzmaßnahmen optimieren

1 Cyber Resilience Act und NIS2: Welche Ziele verfolgen sie?

1.1 Cyber Resilience Act – für welche Unternehmen ist der CRA relevant?

1.2 Welche Produkte betrifft das?

1.3 Was bedeutet das in der Praxis?

2 Welche Anforderungen stellt der Cyber Resilience Act an betroffene Unternehmen?

3 Wen betrifft NIS2?

3.1 NIS-2-Richtlinie: Erhöhung der Cybersicherheit für Unternehmen aus dem KRITIS Sektor

3.2 Welche Kategorien von Wirtschaftssektoren betrifft NIS2?

4 Wann treten die Richtlinien in Kraft?

4.1 CRA

4.2 NIS2

Prozess entwickeln?

Gerne entwickeln wir mit Ihnen gemeinsam Ihren individuellen Schwachstellenmanagement-Prozess – zugeschnitten auf Ihre Systeme, Ihre Strukturen und Ihre Anforderungen.

Jetzt Kontakt aufnehmen

Testen Sie uns!

Greenbone Basic
Unser Einstiegsprodukt für 2.450 € pro Jahr

14 Tage kostenlos testen