Aktuell sehen sich Unternehmen mit einer Welle neuer Regulierungen im Bereich der IT-Sicherheit konfrontiert. Diese Entwicklungen sind eine Reaktion auf die zunehmenden Bedrohungen durch Cyberangriffe und die wachsende Bedeutung der Sicherung von Netzwerken und Infrastrukturen.
Auf EU-Ebene wurden zahlreiche Verordnungen, Richtlinien und Gesetzesinitiativen eingeführt, um die Widerstandsfähigkeit von Unternehmen und (kritischen) Einrichtungen gegenüber digitalen Gefahren zu stärken. Angesichts der Komplexität und Vielfalt dieser Vorschriften fällt es jedoch schwer, den Überblick zu behalten. In diesem Artikel beleuchten wir die wichtigsten Regularien und bieten eine Orientierungshilfe im dichten Regelwerk.
1. NIS2
NIS2, die Nachfolgerichtlinie von NIS1, zielt darauf ab, ein einheitliches Cybersicherheitsniveau in der EU zu schaffen und kritische Infrastrukturen (KRITIS) besser vor Hackerangriffen zu schützen. Sie definiert erstmals klar, welche Sektoren und Unternehmen zu KRITIS gehören, und teilt diese in “wesentliche” (z. B. Energieversorger, Gesundheitseinrichtungen) und “wichtige” Einrichtungen (z. B. Postdienste, Abfallwirtschaft) ein.
NIS2 gilt für alle kritischen Einrichtungen in der EU mit mindestens 50 Beschäftigten oder einem Jahresumsatz ab 10 Millionen EUR und fordert umfassende Maßnahmen zur Cybersicherheit. Die Richtlinie ist seit dem 16. Januar 2023 in Kraft und muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland hat das Bundeskabinett die NIS2-Umsetzung bereits auf den Weg gebracht, der Digitalverband Bitkom rechnet allerdings mit Verzögerungen.
2. CER Directive
Die CER-Richtlinie (Critical Entities Resilience) soll die Widerstandsfähigkeit kritischer Infrastrukturen in der EU gegen physische und digitale Bedrohungen stärken. Anders als NIS2 umfasst sie auch den Schutz vor Naturkatastrophen, Terror- und Sabotageakten sowie menschlichem Versagen. Die Richtlinie gilt seit dem 16. Januar 2023 und wird in Deutschland durch das KRITIS-Dachgesetz in nationales Recht umgesetzt.
3. KRITIS-Dachgesetz
Das KRITIS-Dachgesetz setzt die EU-Richtlinie CER in Deutschland um. Sie tritt am 1. Januar 2026 in Kraft und definiert nicht nur abermals, welche Einrichtungen als „kritische Infrastrukturen“ gelten, sondern stärkt auch deren Sicherheit gegenüber Bedrohungen. Das Gesetz betrifft Einrichtungen bestimmter Sektoren, die mehr als 500.000 Einwohner versorgen. KRITIS-Betreiber müssen Risikoanalysen durchführen, Resilienzpläne erstellen und moderne Technologien (wie beispielsweise virtuelle Datenräume) nutzen, um Daten vor Schaden, Verlust oder unbefugten Zugriffen zu schützen.
4. DORA
Der Digital Operations Resilience Act (DORA) ist eine EU-Verordnung, die darauf abzielt, den Finanzsektor gegen Cyberbedrohungen widerstandsfähiger zu machen, indem bestehende Regelungen harmonisiert und ein einheitlicher Rahmen für die Cybersicherheit geschaffen wird. Betroffen sind Zahlungs- und Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen und IKT-Dienstleister. Unternehmen, die unter DORA fallen, müssen Maßnahmen ergreifen, um die Aufrechterhaltung ihres Geschäftsbetriebs auch im Falle eines Cyberangriffs sicherzustellen.
Dazu gehören u. a. der Aufbau stabiler IT-Systeme, die Implementierung von Notfallplänen und die Durchführung von Penetrationstests. Die Verordnung ist seit dem 16. Januar 2023 in Kraft und ab dem 17. Januar 2025 vollständig anwendbar. In Deutschland unterstützt das Finanzmarktdigitalisierungsgesetz die Umsetzung von DORA.
5. Cyber Resilience Act
Der Cyber Resilience Act (CRA) schafft einen konsistenten rechtlichen Rahmen innerhalb der EU, um Nutzer von Produkten mit digitalen Elementen gegen Cyberangriffe zu schützen. Betroffen sind Hardware- und Softwareprodukte mit Datenverarbeitungs- oder Steuerungsfunktionen, wie Smartwatches oder IoT-Geräte.
Hersteller, Importeure und Distributoren müssen die Cybersicherheit über den gesamten Produktlebenszyklus gewährleisten, regelmäßige Sicherheitsupdates durchführen und Schwachstellen managen. Sicherheitsvorfälle sind an die Europäische Agentur für Cybersicherheit (ENISA) und die Nutzer zu melden.
Der CRA trat am 12. März 2024 in Kraft; Hersteller haben 36 Monate Zeit, die Anforderungen zu erfüllen. Ab 2027 dürfen Produkte ohne entsprechende Sicherheitsaspekte nicht mehr in der EU angeboten werden. Verstöße können zu Geldstrafen von bis zu 15 Millionen Euro oder 2,5 Prozent des globalen Jahresumsatzes führen; in schweren Fällen ist außerdem eine Marktrücknahme des jeweiligen Produkts möglich.
6. Data Governance Act
Der EU Data Governance Act (DGA) soll den Datenaustausch innerhalb der EU erleichtern, um altruistische Projekte wie Klimaschutz, Gesundheitsversorgung und Verkehrskonzepte zu fördern. Ziel des DGA ist die es, das Vertrauen in den freiwilligen Datenaustausch zu stärken und einen sicheren Rahmen für das Teilen von Informationen zu bieten.
Der Data Governance Act betrifft öffentliche Stellen und Unternehmen, die Daten des öffentlichen Sektors nutzen möchten. Diese müssen bestimmte Anforderungen an Datenschutz und Datensicherheit erfüllen, die Rechte Dritter wahren und transparente Prozesse für einen sicheren und fairen Informationshandel etablieren. Außerdem steuert der DGA die Aktivitäten von Datenvermittlungsdiensten, die den Austausch zwischen Dateninhabern und -nutzern ermöglichen.
7. EU Data Act
Der EU Data Act trat am 11. Januar 2024 in Kraft und gilt ab dem 12. September 2025 EU-weit. Sein Ziel ist eine gerechtere Verteilung der von vernetzten Geräten erzeugten Daten, indem er sowohl den Herstellern als auch den Nutzern sowie Dritten den Zugang zu diesen Informationen ermöglicht.
Der Data Act betrifft alle Unternehmen in der EU, die Daten von vernetzten Geräten sammeln und nutzen. Er verlangt Transparenz und Kontrolle über diese Daten und verpflichtet die Dateninhaber, diese dem Endverbraucher, einem von ihm benannten Dritten oder behördlichen Stellen zugänglich zu machen.
Bei Verstößen gegen den Data Act drohen Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Kleinstunternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz unter 10 Millionen Euro sind davon ausgenommen.
Fazit: Vorausschauendes Handeln ist gefragt.
Unternehmen sollten die neuen und aktualisierten Sicherheitsvorschriften genau im Blick behalten und frühzeitig Maßnahmen ergreifen, um Risiken zu minimieren und Strafen zu vermeiden. Innovative Technologien wie Confidential Computing und virtuelle Datenräume unterstützen dabei, Compliance-Anforderungen zu erfüllen und ein hohes Maß an Datensicherheit sicherzustellen.