Prozess entwickeln?
Gerne entwickeln wir mit Ihnen gemeinsam Ihren individuellen Schwachstellenmanagement-Prozess – zugeschnitten auf Ihre Systeme, Ihre Strukturen und Ihre Anforderungen.
Lesedauer: 8 min
Cyber Resilience Act und NIS2 – rechtzeitig Schwachstellen identifizieren und Schutzmaßnahmen optimieren
Es gibt keine gesetzliche Definition von Cyber-Resilienz. Frei interpretiert kann der Begriff definiert werden als die Widerstandsfähigkeit eines Unternehmens gegen Hackerangriffe und die Vorbereitung auf den Ausfall von systemrelevanten Komponenten.
Cyberkriminalität stellt eine der größten Bedrohung für Unternehmen dar, stellt das BSI im Lagebericht 2022 fest. Für den Erfolg und das Überleben von Unternehmen ist es daher entscheidend, auf diese Gefahren vorbereitet zu sein und eine entsprechende Cyber-Resilienz aufzubauen.
Um eine allgemeine Widerstandfähigkeit gegen Cyberangriffe in Europa zu begründen, hat die EU den Cyber Resilience Act (CRA) und NIS2 ins Leben gerufen.
Wir unterstützen unsere Kunden seit 15 Jahren dabei, den bestmöglichen Sicherheitsstandard zu erreichen. Die neue Normierung durch den Cyber Resilience Act sehen wir als Chance, und helfen unseren Kunden gerne dabei, diese für noch mehr Sicherheit zu nutzen.
Testen Sie uns!
OPENVAS BASIC
Unser Einstiegsprodukt für 2.524 € pro Jahr
Inhaltsverzeichnis
Cyber Resilience Act und NIS2: Welche Ziele verfolgen sie?
Mit dem Cyber Resilience Act, kurz CRA, sieht die EU-Kommission neue verbindliche Sicherheitsanforderungen für Produkte mit digitalen Elementen vor. Dies gilt sowohl für Produkte, die an Endverbraucher verkauft werden, aber auch im Unternehmen für die Produktion eingesetzt, als Vorprodukte bezogen und weiterverarbeitet werden und somit Teil von Lieferketten sind. Der CRA sieht eine Reihe von Maßnahmen vor, um die Cybersicherheit von Produkten zu erhöhen.
Die neuen europäischen Cybersicherheitsvorschriften für Industrieunternehmen wie der Cyber Resilience Act oder NIS-2 mögen zunächst komplex erscheinen. Diese Vorschriften können jedoch Ihre Verbündeten sein, wenn es darum geht, sich wirksam vor Cyberangriffen zu schützen.
Welche Produkte betrifft das?
Die Europäische Kommission schlägt vor, für die genannten Produkte risikoadäquate Cybersicherheitsmaßnahmen in den Phasen des Design, der Entwicklung und Produktion sowie während des Inverkehrbringens und der Nutzung zu etablieren.
Dabei unterscheidet die Europäische Kommission nach der Kritikalität der Produkte:
- Nicht-kritische Produkte mit digitalen Elementen (z. B. Speichermedien, Grafikprogramme)
- Klasse I: kritische Produkte mit digitalen Elementen (z. B. Browser, Passwort-Manager, Firewalls, Mikrocontroller),
- Klasse II (z.B. Router oder Firewalls für den industriellen Einsatz, IoT Geräte),
- Sowie hochkritische Produkte mit digitalen Elementen
Was bedeutet das in der Praxis?
Die Europäische Kommission schätzt, dass etwa 90 Prozent der Produkte in die Kategorie der unkritischen Produkte fallen werden. Hersteller und Händler, die mit kritischen Produkten handeln, werden strengeren Anforderungen unterliegen, insbesondere im Hinblick auf die Konformitätsbewertung, die sich an harmonisierten EU-Normen orientiert. Die Einhaltung der Normen wird durch die CE-Kennzeichnung auf dem Produkt angezeigt, wobei die nationalen Marktaufsichtsbehörden die ordnungsgemäße Umsetzung überwachen.
Welche Anforderungen stellt der Cyber Resilience Act an betroffene Unternehmen?
Der CRA definiert Anforderungen an die Sicherheit im Lebenszyklus:
- Meldung bekannter Schwachstellen und bekannter Exploits an die ENISA innerhalb von 24 Stunden
- Meldung von Vorfällen an die Produktnutzer, einschließlich Abhilfemaßnahmen
- Meldung identifizierter Schwachstellen in Elementen von Drittanbietern an die entsprechenden Drittanbieter
Produktanbieter müssen bereitstellen:
- Software Bill of Materials (SBoM) der Produkte
- Schwachstellenscan, der keine Schwachstellen aufweist, um die CE-Zertifizierung zu erhalten
- Kontinuierliche Schwachstellenscans,
- Prozess und Infrastruktur für die Dokumentation und Meldung von Produktschwachstellen.
Unternehmen sind durch den Cyber Resilience Act aufgerufen, regelmäßig, dauerhaft und nachhaltig, Schwachstellenanalysen vorzunehmen und externe Audits vornehmen zu lassen. Wir können Ihnen helfen, den Anforderungen nachzukommen. Die Produktserie des Greenbone Vulnerability Managements, OPENVAS SCAN, ermöglichen Compliance mit dem CRA – on premise oder aus der Cloud.
NIS-2-Richtlinie: Erhöhung der Cybersicherheit für Unternehmen aus dem KRITIS Sektor
Die NIS-2-Richtlinie, ein wichtiger Teil der digitalen Strategie der EU „Shaping Europe’s Digital Future„, soll die Cybersicherheit in ganz Europa erhöhen. Sie verfolgt die Zielsetzung, Organisationen und kritische Infrastrukturen vor Cyberbedrohungen besser zu schützen und für einen hohes, EU-weites Sicherheitsniveau zu sorgen. Die Richtlinie ist am 16. Januar 2023 in Kraft getreten, und die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Vorschriften in ihre nationalen Gesetze zu übernehmen.
Welche Kategorien von Wirtschaftssektoren betrifft NIS2?
„Wesentliche/essentielle“ (sehr kritische) Sektoren und wichtige/wichtige“ (andere kritische) Sektoren.
Sektoren wie Energie, Verkehr, Finanzen, Gesundheitswesen, digitale Infrastruktur und öffentliche Verwaltung fallen in die erste Kategorie, während die zweite Kategorie die verarbeitende Industrie, Postdienste, Chemie und mehr umfasst.
Welche Unternehmen innerhalb dieser Sektoren unter die Richtlinie fallen, wird durch die Gesetze der einzelnen Länder bestimmt.
Für die betroffenen Unternehmen bringt die NIS-2-Richtlinie neue Verantwortlichkeiten mit sich. Sie müssen Cybersicherheitsvorfälle anhand bestimmter Kriterien an die Behörden melden:
- Frühwarnung: Meldung innerhalb von 24 Stunden nach einem Vorfall.
- Vorfallbenachrichtigung: Meldung innerhalb von 72 Stunden nach einem Vorfall.
- Zwischenbericht / Intermediate Report.
- Bericht über den Fortschritt der Vorfallbehandlung / Progress Report: im Falle von nicht gelösten Vorfällen ein Monat nach Vorfallbenachrichtigung.
- Abschlussbericht: innerhalb eines Monats nach Vorfallbenachrichtigung oder eines Monats nach abgeschlossener Vorfallbehandlung.
- Freiwillige Berichterstattung ist eine Option.
Die Unternehmen müssen auch ein aktives Risikomanagement betreiben und Standards für die Netz- und Systemsicherheit, den Umgang mit Zwischenfällen, das Krisenmanagement, sichere Lieferketten und die Vermögensverwaltung einhalten. Die verwendeten Schutzmechanismen und Technologien müssen auf dem neuesten Stand sein. Die Länder könnten sogar Zertifizierungspflichten einführen, um die Einhaltung der Vorschriften zu demonstrieren.
In Deutschland führt die NIS-2-Richtlinie zu Anpassungen im bestehenden IT-Sicherheitsgesetz 2.0 oder zu einem möglichen neuen Gesetz. Deutsche KRITIS-Betreiber mit einem etablierten Informationssicherheitsmanagementsystem (ISMS) und zuverlässiger Cybersicherheitstechnologie sind gut vorbereitet und benötigen wahrscheinlich nur geringfügige Anpassungen. Diese Richtlinie schafft die Voraussetzungen für eine robustere Cybersicherheitslandschaft in allen Branchen.
CRA
Das Europäische Parlament und der Rat prüfen den aktuell eingereichten Vorschlag für den Cyber Resilience Act.
Nach der Verabschiedung haben die Wirtschaftsakteure und Mitgliedstaaten zwei Jahre Zeit, um sich an die neuen Anforderungen anzupassen.
Die Verpflichtung zur Meldung von aktiv ausgenutzten Schwachstellen und Vorfällen wird nach einem Jahr gelten.
Die Kommission wird regelmäßig die Einhaltung der neuen Cybersicherheitsregeln für die EU überprüfen und ggfalls Missachtung sanktionieren.
NIS2
Die NIS-2-Richtlinie wurde am 27.12.2022 im Amtsblatt L333 der Europäischen Union veröffentlicht. Am 16. Januar 2023 trat die neue NIS2-Richtlinie in Kraft. Die EU-Mitgliedsstaaten haben 21 Monate Zeit, also bis Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Ab diesem Zeitpunkt gelten die Bestimmungen für alle betroffenen Unternehmen
Wir können Ihnen helfen, den Anforderungen nachzukommen.
