Wie steht es um die Cybersecurity in der EU? (2024)

Startseite > Automation > > Wie steht es um die Cybersecurity in der EU?

Industrie 4.0 – Schutz durch Regulatorik

27. Mai 2024, 8:30 Uhr | Von Steffen Heyde

Wie steht es um die Cybersecurity in der EU? (1)

Ob Cyber Resilience Act (CRA), NIS-2- oder CER-Richtlinie: Für die Absicherung der Wirtschaft vor Cyberangriffen gibt es im europäischen Raum immer mehr Regularien. Doch wie lassen sich diese am besten umsetzen, und worauf müssen Unternehmen dabei achten?

Die digitale Transformation schreitet auch in Europa mit großen Schritten voran. Automatisierte und optimierte Prozesse sorgen für erhebliche Effizienzsteigerungen in der Produktion, in der Ver- und Entsorgung, beim Transport, in der Finanzwirtschaft, in der Verwaltung und in anderen Bereichen der Wirtschaft und des öffentlichen Lebens. Das Ergebnis ist jedoch nicht nur eine erhöhte Produktivität und Effizienz, es entstehen auch neue Sicherheitsrisiken und Angriffsszenarien. Ob Datenleaks, Sabotage oder Ransomware: Cyberattacken haben oft finanzielle und operative Konsequenzen für betroffene Unternehmen – oder wirken sich gar auf das gesellschaftliche Leben aus.

Um den Bedrohungen, die durch die Digitalisierung entstehen können, in angemessener Weise zu begegnen, werden in der EU zahlreiche Regularien und Gesetze auf den Weg gebracht und umgesetzt, darunter der CRA, die NIS-2- sowie CER-Richtlinie. Ziel ist ein einheitlich hohes Sicherheitsniveau für alle EU-Mitgliedsstaaten. Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden mit erweiterten Befugnissen ausgestattet, um sicherzustellen, dass die Sicherheit nicht nur auf dem Papier existiert. Der Gesetzgeber hat mittlerweile erkannt, dass die Kompromittierung der digitalen Prozessverarbeitung nicht nur in jenen Unternehmen dringend verhindert werden muss, die für die Versorgung der Gesellschaft essenziell sind – und steuert nach. Es folgt ein Überblick der drei wichtigsten EU-Cyberregularien.

Cyber Resilience Act (CRA)

Der Cyber Resilience Act (CRA) legt Anforderungen für Produkte mit digitalen Elementen fest, um die Cybersecurity über den gesamten Lebenszyklus, einschließlich Softwareupdates, zu sichern. Dieser Gesetzentwurf zielt darauf ab, Endverbraucher und Unternehmen vor Produkten mit unzureichenden IT-Sicherheitsfunktionen zu schützen – und das wohl mit einem Umsetzungszeitraum von 21 bis 36 Monaten. Das Europäische Parlament hat dem CRA am 12. März zugestimmt. Jetzt müssen die Mitgliedstaaten das Gesetz noch bestätigen.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Wie steht es um die Cybersecurity in der EU? (7)

Betroffen sind Hersteller von Hard- und Software sowie von Produkten, die solche Komponenten enthalten und in der EU vertrieben werden. Für Produkte wie manipulationssichere Mikroprozessoren bzw. Mikrocontroller, Firewalls, aber auch Sicherheitskameras oder Router werden dabei strengere Vorschriften erwartet. So soll die Cybersecurity schon im Produktionsprozess und bei der Konfiguration berücksichtigt werden (»Security by Design and Default«) – beginnend mit der Planung eines Produkts bis in die Betriebsphase und einige Jahre nach dem Produktverkauf. Das Bereitstellen von Software-Patches und leicht verständlichen Bedienungs- bzw. Betriebsanleitungen sowie die aktive Kommunikation zu Sicherheitslücken und deren Fehlerbehebung ist ein weiterer wesentlicher Baustein der Regulierung.

Directive on Security of Network and Information Systems (NIS-2-Richtlinie)

Die Directive on Security of Network and Information Systems (NIS-2-Richtlinie), die seit Januar 2023 gilt, unterteilt betroffene Wirtschaftszweige in die Kategorien »essential« (wesentlich) – also Sektoren mit hoher Kritikalität – und »important« (wichtig) – weitere kritische Sektoren. Unter erstere fallen beispielsweise KRITIS-Unternehmen im Bereich Energie, Transport und Verkehr, Finanzmärkte, der Gesundheitssektor, digitale Infrastrukturen sowie die öffentliche Verwaltung auf Bundesebene. Weitere kritische Sektoren sind unter anderem Post- und Kurierdienstleistungen, Hersteller von Medizinprodukten und In-vitro-Diagnostika, Hersteller und Händler chemischer Stoffe sowie Hersteller von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, Maschinen, Kraftwagen und Kraftwagenteilen.

Betroffene Unternehmen sind dazu aufgefordert, sich im Bereich Informations-, IT- und OT-Sicherheit entsprechend den Anforderungen des Gesetzes aufzustellen und ihre Prozesse zu schützen. So sollen sie ein aktives Risikomanagement einführen und sich an Standards für Netzwerk- und Systemsicherheit, Vorfallbehandlung, Krisenmanagement, sichere Lieferketten sowie im Bereich Kryptografie und Verschlüsselung halten. Schutzmechanismen und eingesetzte Technologien müssen dem aktuellen Stand der Technik entsprechen. Die Richtlinie stärkt den Binnenmarkt und schafft klare Vorgaben für die Cybersecurity, die entlang dieser Kategorisierung in nationales Recht umgesetzt werden. Bis Oktober 2024 haben EU-Mitgliedsstaaten Zeit, die Richtlinie in nationales Recht umzusetzen. Auch Deutschland erarbeitet aktuell das entsprechende Umsetzungsgesetz.

Directive on the Resilience of Critical Entities (CER-Richtlinie)

Die Directive on the Resilience of Critical Entities (CER-Richtlinie) hat das Ziel, die physische Widerstandsfähigkeit kritischer Einrichtungen zu stärken. Sie ist am 16. Januar 2023 in Kraft getreten. Betroffene Wirtschaftszweige sind gemäß der Richtlinie in die Kategorien »wesentlich« und »wichtig« unterteilt und überschneiden sich in großen Teilen mit jenen der NIS-2-Richtlinie: Energie, Verkehr, das Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum sowie die Produktion, die Verarbeitung und der Vertrieb von Lebensmitteln.

Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Bestimmungen in nationale Gesetzgebung zu überführen. Ab diesem Zeitpunkt sind Unternehmen dazu verpflichtet, verschiedene organisatorische und technische Sicherheitsmaßnahmen umzusetzen. Dazu zählt unter anderem ein funktionsfähiges Risikomanagement, um Betriebsunterbrechungen zu verhindern. Zudem sollen Unternehmen in der Lage sein, adäquat auf Sicherheitsvorfälle zu reagieren und dementsprechend einen Plan zur Vorfallbehandlung (Incident Management) zu definieren. Sicherheitsvorfälle sollen an die zuständigen Aufsichtsbehörden gemeldet werden, die dazu berechtigt sind, eigene Inspektionen und Audits durchzuführen und die Implementierung angemessener Maßnahmen einzufordern.

Wie bereiten sich Unternehmen am besten vor?

Die Implementierung der Sicherheitsvorgaben aller Richtlinien ist als Marathon, nicht als Sprint zu sehen. Unternehmen sollten zunächst prüfen, ob und wie sie von den neuen Gesetzen betroffen sind oder sein werden. Ein Information Security Management System (ISMS), das Risikomanagement und die Umsetzung von Maßnahmen zur Erreichung eines angemessenen Risiko- und Sicherheitsniveaus in der IT und gegebenenfalls OT sind unerlässlich. Dazu gehören auch die Umsetzung und Aufrechterhaltung der IT-Sicherheitstechnologien, die dem aktuellen Stand der Technik entsprechen müssen. IT-Security-Beraterinnen und -Berater können unterstützen und maßgeschneiderte Konzepte für die angemessene Umsetzung bieten.

Schritt für Schritt zu mehr Cybersecurity

Jede der Regulierungen erfordert unterschiedliche Maßnahmen in verschiedenen Bereichen des Unternehmens. Für mehr Cybersecurity können sich Unternehmen an folgenden sieben Schritten orientieren:

  • Bestandsaufnahme realisieren und Umsetzungsgrad in einem Audit einschließlich Penetrationstests bewerten
  • Managementsysteme (ISMS und BCMS) einführen und Verantwortliche ernennen
  • Risiken identifizieren, bewerten und bei Bedarf technische und organisatorische Maßnahmen ableiten und umsetzen
  • Sicherheitslösungen nach Stand der Technik einführen und betreiben
  • Schwachstellen- und Patchmanagement organisieren
  • Notfallpläne aufstellen und Bewältigung von Sicherheitsvorfällen üben
  • Sicherheit der Lieferkette beachten und die Sicherheit bei Dienstleistern einfordern und prüfen

Ob der CRA, die NIS-2- oder die CER-Richtlinie: die neuen Regularien werden zur Chefsache. Denn halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. So werden zum Beispiel bei der NIS-2-Richtlinie bis zu 10 Mio. Euro bzw. 2 Prozent des weltweiten Jahresumsatzes fällig. Daher wird das konsequente Umsetzen einer ganzheitlichen Cybersecurity-Strategie zum wesentlichen Bestandteil. Neben technischen Maßnahmen wie der Absicherung der Netzwerke und Geräte zählt dazu auch ein Blick auf die Absicherung der Unternehmensprozesse und die Sensibilisierung für das Thema bei der Belegschaft.

Der Autor:

Steffen Heyde ist Leiter Marktsegmente, Division Industry, secunet Security Networks.

Lesen Sie mehr zum Thema

IoT / IIoT / Industrie 4.0 Industrial-/OT-Security Cyber-Security IoT-Security

Wie steht es um die Cybersecurity in der EU? (8)

Weitere Artikel zu Secunet Security Networks AG

Für ein sicheres digitales Europa NIS-2: Das Wichtigste zu den neuen Regeln IT- und OT-Sicherheit immer wichtiger Ohne Cybersecurity kein Internet of Things IT- und OT-Sicherheit Ohne Cybersecurity kein IoT Software im IIoT sicher betreiben Isoliert und virtualisiert im Container secunet bietet komplettes Lösungspaket Cybersecurity an der Edge sicherstellen

Weitere Artikel zu IoT / IIoT / Industrie 4.0

Auch in Prozessheizungssystemen nötig Lückenlose Datenaufzeichnung für… POS- und KIOSK-Hardware Advantech übernimmt Hersteller Aures Die Kombi macht‘s Industrie-4.0-Technologien für mehr Qualität und… Eine Voraussetzung für Industrie 4.0 Ressourcennutzung verstehen und berechnen Vollvernetzte Ladelösung Kontron ergattert Großauftrag für intelligente…

Weitere Artikel zu Industrial-/OT-Security

Blinde Flecken bei OT-Sicherheit Kritische Schwachstellen in vielen CPS-Geräten Industrielle App-Stores werden sicherer Wibu-Systems und Flecs Technologies sorgen für… Drastische Lücken bei Cybersecurity Die Industrie überschätzt ihre Cybersicherheit Neuheiten in einer Bildergalerie Produkte und Lösungen für Safety und Security Wibu-Systems auf der Hannover Messe 2024 Software-Schutz und -Lizenzierung

Weitere Artikel zu Cyber-Security

Für sichere Zahlungssysteme Touchscreen-Controller mit Sicherheitsfunktionen Alles was die gesamte Industrie betrifft Die Zukunftsthemen auf der Hannover Messe 2024 vom… Chance und Risiko zugleich Die Auswirkungen von KI auf die Cybersecurity Wibu-Systems CmReady-zertifizierte Speicherkarten für die… Microchip Technology Sicherheits-IC mit keySTREAM von Kudelski IoT

Weitere Artikel zu IoT-Security

NFC I2C bridge tag Contactless authentication and secured… Microchip: 32-Bit-MCUs Embedded Security einfach sicherstellen Cybersicherheitsverordnung Cyber Resilience Act für Sicherheit im IoT Netzwerksegmentierung genügt nicht mehr IT- und OT-Security: Präventiver Schutz ist… Informationstag am 20. März Wibu-Systems: Zur IT-Sicherheit in der Fertigung
Wie steht es um die Cybersecurity in der EU? (2024)
Top Articles
Latest Posts
Article information

Author: Edwin Metz

Last Updated:

Views: 6120

Rating: 4.8 / 5 (78 voted)

Reviews: 85% of readers found this page helpful

Author information

Name: Edwin Metz

Birthday: 1997-04-16

Address: 51593 Leanne Light, Kuphalmouth, DE 50012-5183

Phone: +639107620957

Job: Corporate Banking Technician

Hobby: Reading, scrapbook, role-playing games, Fishing, Fishing, Scuba diving, Beekeeping

Introduction: My name is Edwin Metz, I am a fair, energetic, helpful, brave, outstanding, nice, helpful person who loves writing and wants to share my knowledge and understanding with you.