NIS-2 stärkt die Sicherheit kritischer Infrastrukturen
Einführung der NIS-2-Richtlinie in Deutschland
Am 13. November wurde die NIS-2-Richtlinie vom Deutschen Bundestag verabschiedet, und die Umsetzung wird Anfang 2026 erwartet. Diese Entwicklung hat die Rahmenbedingungen für eine compliance-orientierte Sicherheit entscheidend verändert. Betreiber kritischer Infrastrukturen (KRITIS) stehen nun vor der Herausforderung, sich auf diese neuen Vorschriften einzustellen. Es sind mehrere wichtige Richtlinien auf dem Weg, darunter der Digital Operational Resilience Act (DORA), der EU AI Act sowie der Cyber Resilience Act (CRA). Diese Vorschriften werfen eine Reihe von Pflichten und Anforderungen auf, die von den Unternehmen beachtet werden müssen, um die Sicherheit und Resilienz ihrer Systeme und Infrastrukturen zu gewährleisten.
Pflichten unter der NIS-2-Richtlinie
Die NIS-2-Richtlinie wird in Deutschland nun verbindlich in Kraft treten und verlangt von den Betreibern kritischer Infrastrukturen, umfassende Maßnahmen zum riskobasierten Cybersicherheits- und Incident-Management zu ergreifen. Dies umfasst die Absicherung ihrer Lieferketten und das Management von Risiken, die von Dritten ausgehen. Ein zentraler Aspekt dieser Richtlinie ist die Meldepflicht für erhebliche Sicherheitsvorfälle, welche die Unternehmen zeitnah umsetzen müssen. Bis Anfang 2026 sollten Prozesse in den Bereichen Governance, Berichterstattung und Risikoanalyse implementiert und optimiert sein. Diese Maßnahmen sind notwendig, um den Anforderungen der neuen Regularien gerecht zu werden und potenzielle Sicherheitsvorfälle rechtzeitig zu erkennen und zu melden.
Überblick zu DORA und dem Finanzsektor
Der Digital Operational Resilience Act (DORA) ist seit dem 17. Januar 2025 für den Finanzsektor verbindlich und regelt umfassend das IKT-Risikomanagement in den Institutionen des Finanzmarktes. Diese Regelung beinhaltet Meldepflichten für IKT-Vorfälle, Testanforderungen zur Widerstandsfähigkeit sowie die Berücksichtigung von Abhängigkeiten zu Drittanbietern und Cloud-Diensten. Unternehmen, die dem Finanzbereich angehören, stehen vor der Aufgabe, eine Resilienzorganisation zu etablieren und diese vollständig in den laufenden Betrieb zu integrieren. Die fristgerechte Umsetzung dieser Anforderungen ist entscheidend, um eine robuste Infrastruktur zu gewährleisten und den Herausforderungen im digitalen Zeitalter gewachsen zu sein.
Regelungen des EU AI Act
Der EU AI Act, der die Nutzung und Bereitstellung von KI-Systemen in der EU regelt, gilt seit dem 1. August 2024, wobei die wichtigsten Verpflichtungen erst am 2. August 2026 in Kraft treten. Zur Einhaltung dieser Verordnung wird von den Unternehmen erwartet, ein vollständiges Inventar der eingesetzten KI-Systeme zu führen. Darüber hinaus müssen sie strenge Anforderungen in Bezug auf Risikobewertung, Transparenz und Dokumentation erfüllen. Die Etablierung einer soliden KI-Governance ist notwendig, um sicherzustellen, dass keine inoffiziellen oder unsicheren KI-Anwendungen entstehen, die die Sicherheit und Compliance gefährden könnten.
Der Cyber Resilience Act (CRA) und zukünftige Anforderungen
Die Cyber Resilience Act-Regelung strebt an, Mindestanforderungen an die Sicherheit von Produkten mit digitalen Elementen festzulegen. Diese Anforderungen treten am 11. Dezember 2027 in Kraft, nachdem die Verordnung bereits am 12. November 2024 eingeführt wurde. Hersteller und Anbieter digitaler Produkte sind aufgefordert, Prozesse für Sicherheitsmaßnahmen wie „Security by Design“ und „Secure by Default“ zu implementieren. Auch das Management von Schwachstellen wird ab September 2026 obligatorisch. Unternehmen müssen bereits jetzt mit der Vorbereitung auf die kommenden Vorschriften beginnen, um ihren Produkten eine robuste Sicherheitsarchitektur zu verleihen und die Erwartungen der Gesetzgeber zu erfüllen.
Fazit: Vorbereitung auf die neuen Richtlinien
Die bevorstehenden Vorschriften erfordern von Unternehmen ein Umdenken in Bezug auf Compliance und Cybersicherheit. Es wird deutlich, dass die Einhaltung gesetzlicher Vorgaben nicht bloß eine Pflichtübung ist, sondern aktiv zur Risikominderung und Sicherstellung der Betriebsfähigkeit beiträgt. Cyberkriminelle agieren zunehmend professionell und kreativ; deshalb müssen Unternehmen ihre Sicherheitsstrategien anpassen und automatisieren. Die hier besprochenen Richtlinien sowie deren konsequente Umsetzung sind für die Sicherstellung der Kritischen Infrastrukturen und die Verhinderung künftiger Sicherheitsvorfälle von zentraler Bedeutung.