BSI-Gesetz und IT-Sicherheitsgesetz 1.0
In Deutschland bildet das BSI-Gesetz seit 2009 die Grundlage für die Sicherheit kritischer Infrastrukturen (KRITIS). Hier werden die Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) festgelegt, welches unter anderem als zentrale Meldestelle für IT-Sicherheit fungiert. KRITIS-Unternehmen müssen zudem angemessene Sicherheitsmaßnahmen zum Schutz der IT-Systeme treffen, erhebliche Störungen melden und die Einhaltung der Sicherheitsmaßnahmen nachweisen.
Um die KRITIS-Sicherheit zu erhöhen, wurde das IT-Sicherheitsgesetz 1.0 verabschiedet. Dieses ergänzt das BSI-Gesetz um die Pflicht zur Erfüllung von Mindestanforderungen.
EU-Datenschutz-Grundverordnung (DSGVO/EU-Verordnung 2016/679)
Ziel der DSGVO ist es, natürliche Personen bei der Verarbeitung personenbezogener Daten zu schützen und einen freien Datenverkehr zu unterstützen. Dabei sollen die Sicherheitsmaßnahmen zum jeweiligen Risiko passen und mit Hilfe von geeigneten technischen und organisatorischen Maßnahmen (sog. TOMs) geschützt werden, wie z. B. Verschlüsselung, Pseudonymisierung, Verfügbarkeit und Belastbarkeit der Systeme.
Cybersecurity Act (EU-Verordnung 2019/881)
Um die Transparenz und das Vertrauen in digitale Produkte und Dienste zu verbessern, wurde mit dem Cybersecurity Act ein EU-weiter Rahmen für die Cybersicherheitszertifizierung geschaffen. Die Zertifizierung erfolgt risikobasiert und ist freiwillig, außerdem ist sie in allen EU-Mitgliedsstaaten gültig.
IT-Sicherheitsgesetz 2.0
Mit der Einführung des IT-Sicherheitsgesetzes 2.0 wurden die Pflichten für KRITIS-Betreiber erweitert und die Befugnisse des BSI zusätzlich gestärkt. Das BSI ist seitdem eine nationale Behörde für Cybersicherheitszertifizierung. Neu hinzu kam auch, dass ein „System zur Angriffserkennung“ (SzA) und höhere Bußgelder bei Verstößen implementiert wurden sowie zusätzliche Sektoren in der KRITIS-Einstufung, z. B. die Abfallwirtschaft.
Digital Services Act/DSA (EU-Verordnung 2022/2065)
Der Digital Service Act gilt für alle Vermittlungsdienste, die ihre Dienste Nutzern in der EU anbieten. Dazu zählen z. B. Online-Marktplätze und soziale Netzwerke. Der DSA soll einen sicheren digitalen Binnenmarkt gewährleisten, illegale Inhalte effektiver bekämpfen und die Rechte der Nutzer schützen. In Deutschland wird der DSA durch das Digitale-Dienste-Gesetz ergänzt.
Cyber Resilience Act/CRA/Cyberresilienz-Verordnung (EU-Verordnung 2024/2847)
Mit dem Cyber Resilience Act werden erstmals alle vernetzten Produkte mit digitalen Komponenten in die Pflicht genommen. Hersteller müssen Sicherheitslücken über den gesamten Produktlebenszyklus geschlossen halten und schwerwiegende Vorfälle innerhalb von 24 Stunden an die europäische Agentur für Cybersicherheit (ENISA) melden. Produkte müssen nun ein CE-Kennzeichen tragen, welches die IT-Sicherheit bestätigt. Bei Nichteinhaltung drohen hohe Geldstrafen, Produktwarnungen, Verkaufsverbote oder der Verlust der CE-Kennzeichnung.
Digital Operational Resilience Act/DORA (EU-Verordnung 2022/2554)
Finanzinstitutionen wie Banken, Versicherungen und Wertpapierfirmen werden durch DORA dazu verpflichtet, ICT-Risiken zu managen, Sicherheitsvorfälle schnell zu melden und das Management von Drittanbietern überprüfen zu lassen.
NIS-2-Richtlinie (EU-Richtlinie 2022/2555)
Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, welches die europäische NIS-2-Richtlinie in deutsches Recht überführt, bezieht nun deutlich mehr Unternehmen in verpflichtende IT-Sicherheitsmaßnahmen ein.
Der Anwendungsbereich wurde um mehrere Sektoren erweitert. Daher beschränkt er sich längst nicht mehr nur auf den KRITIS-Bereich. Auch „normale“ Unternehmen ab 50 Mitarbeitenden bzw. einem Umsatz ab 10 Mio. € werden nun in die Pflicht genommen.
Betroffene Unternehmen werden dazu verpflichtet, strenge technische und organisatorische Sicherheitsmaßnahmen umzusetzen, um Risiken zu reduzieren, Vorfälle zu bewältigen und die Informationssicherheit zu verbessern. Dazu gehören ein Risikomanagement, die Prüfung der Lieferkette und die Einhaltung von ISO 27001-ähnlichen Standards.
Beispiele für derartige Maßnahmen sind Risikoanalysen, Incident-Management (Bewältigung von Vorfällen), Sicherheit in der Lieferkette, Einsatz von Kryptographie, Zugriffskontrollen und Identitätsmanagement, Business Continuity und Recovery.
Damit diese Maßnahmen im Ernstfall auch greifen, verpflichtet NIS-2 Unternehmen zusätzlich zu einem strikten Meldeverfahren. Nach Bekanntwerden eines Sicherheitsvorfalls muss dieser innerhalb von 24 Stunden gemeldet werden. Wer die Vorgabe nicht einhält, muss mit empfindlichen Bußgeldern rechnen.
EU RCE-Richtlinie/CER-Richtlinie (EU-Richtlinie 2022/2557)
Das KRITIS-Dachgesetz soll die NIS-2-Richtlinie um den Aspekt der physischen Resilienz ergänzen und wird für Ende 2025/Anfang 2026 angestrebt. KRITIS-Betreiber sollen Risikoanalysen durchführen, Resilienzpläne erstellen und sind verpflichtet, Sicherheitsvorfälle zu melden. So soll gewährleistet werden, dass wichtige Dienstleistungen trotz Störungen erbracht werden können.
Fazit
Während nationale Regelungen wie das BSI-Gesetz und die IT-Sicherheitsgesetze 1.0 und 2.0 insbesondere die Pflichten und Zuständigkeiten in Deutschland festlegen, vor allem für KRITIS, sorgen europäische Verordnungen wie DSGVO, der Cybersecurity Act, DORA, DAS und der Cyber Resilience Act (CRA) für einheitliche Standards und Meldepflichten.
Mit NIS-2 und dem KRITIS-Dachgesetz wird der Geltungsbereich künftig erheblich ausgeweitet: Nicht nur große KRITIS-Unternehmen, sondern auch viele mittelständische Betriebe sind nun verpflichtet, umfassende technische und organisatorische Sicherheitsmaßnahmen nachweisbar umzusetzen.
Die europäische und nationale IT-Sicherheitslandschaft entwickelt sich also in Richtung eines vernetzten, risikobasierten Sicherheitsrahmens, der Transparenz, Prävention und Reaktionsfähigkeit fördern soll. Wer frühzeitig in Informationssicherheit, Compliance und Cyberresilienz investiert, ist nicht nur gesetzlich auf der sicheren Seite, sondern schlicht besser gegen digitale Angriffe gewappnet.
Unser Tipp: Bringen Sie Klarheit in den Gesetzesdschungel!
Die Anforderungen im Bereich der Informationssicherheit sind komplex. Neben den bereits bestehenden Vorgaben tritt nun das NIS-2-Umsetzungsgesetz hinzu - mit spürbar erweiterten Pflichten, strengeren Haftungsregelungen und deutlich höheren Erwartungen an das Sicherheitsniveau. Mit unseren praxisnahen DTS Information Security Services unterstützen wir Sie dabei, rechtlichen Anforderungen gerecht zu werden, Ihre individuelle IT-Sicherheitsstrategie auf ein robustes Fundament zu stellen und Sie, bei Bedarf, optimal auf kommende Prüfungen oder Zertifizierungen vorzubereiten.
In unserem NIS-2-Einstiegs-Workshop zeigen Ihnen unsere Experten, wie Sie NIS-2 effizient umsetzen, mit Best Practices für Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle. In unserem Risikomanagement-Workshop gewinnen Sie mit unserer Unterstützung ein tieferes Verständnis von notwendigen Risikomanagementmaßnahmen. Durch Identifikation, Bewertung und Steuerung von bereits vorhandenen Maßnahmen helfen wir Ihnen, ein Risikomanagement zu etablieren, das wirklich trägt. Im Informationsmanagementsystem-(ISMS)-Workshop begleiten wir Sie beim Aufbau eines leistungsstarken ISMS, verständlich und umsetzbar mit praxisnahen Ideen und wirkungsvollen Strategien. Und beim Stand-der-Technik-Workshop machen wir gemeinsam Ihren Sicherheitsstatus transparent, decken Optimierungspotentiale auf und definieren moderne Sicherheitsmaßnahmen für das nächste Level.