KRITIS, ISO/IEC 27001 und Automotive

Regulatorische Änderungen für Cybersicherheit – das bringt 2024

Cybersecurity

Cybersecurity wird zur Chefsache: Neue Vorstöße und Gesetze verschärfen die Anforderungen, ihren Anwendungsbereich und die Sanktionsmöglichkeiten bei Verstößen. Was Verantwortliche jetzt zu NIS2, TISAX, ISO/IEC 27001 und den zugehörigen Nachweisen und Zertifizierungen wissen müssen – und welche Trends sich außerdem am Horizont abzeichnen.

Laut einer Studie des TÜV-Verbands aus dem Jahr 2023 sind mehr als drei Viertel der Unternehmen davon überzeugt, sich durch ein höheres Level bei der IT-Sicherheit auch Wettbewerbsvorteile sichern zu können. Das Bewusstsein für Cybersicherheit und der entsprechende Handlungsbedarf ist in der Mehrzahl der Unternehmen also vorhanden. Dem tragen aktuelle Entwicklungen Rechnung: 2024 kommt mit einer Reihe von Neuerungen, die nicht nur Unternehmen interessieren sollten, für die Cybersecurity-Maßnahmen Pflicht sind. Auch bei branchenspezifischen Nachweisen oder freiwilligen Zertifizierungen gibt es Änderungen.

Anzeige

NIS2 betrifft mehr Unternehmen

Bis Oktober 2024 muss Deutschland eine europäische Richtlinie in nationales Recht umsetzen: Die Network and Information Security Directive 2 (NIS2) fordert von Betreibern, kritische Infrastrukturen (KRITIS) sowie sogenannte besonders wichtige und wichtige Einrichtungen wirksam gegen Cyberangriffe abzusichern. Das damit verbundene NIS2-Umsetzungsgesetz erfordert mehrere bestehende Gesetze wie das BSI-Gesetz zu novellieren und umzustrukturieren. Die 2016 verabschiedete erste NIS-Richtlinie galt als zu abstrakt und wurde in der EU sehr unterschiedlich umgesetzt. Unternehmen sollten sich jetzt schon die Zeit nehmen, um zu klären, ob sie davon betroffen sind, welche Maßnahmen sie ergreifen müssen und ob sie dafür externe Expertise brauchen.

Neu sind in NIS2 klarere Vorgaben und erweiterte bzw. differenzierte Kategorisierungen betroffener Unternehmen. Für die „wichtigen“ Einrichtungen wirken sich die Regelungen bereits ab mindestens 50 Mitarbeitern oder über zehn Millionen Euro Jahresumsatz aus. Hier sind nun auch Post- und Kurierdienste sowie Suchmaschinen, Cloud-Services oder soziale Netzwerke gelistet. Die Anforderungen sind für „besonders wichtige“ und „wichtige Einrichtungen“ grundsätzlich gleich, nur die Sanktionen und ggfs. auch die Nachweispflichten unterscheiden sich. Geldbußen sind künftig auch bei versäumten Nachweisen oder verletzten Meldepflichten fällig. Die ersten veröffentlichten Gesetzesentwürfe deuten darauf hin, dass die Richtlinie statt der aktuell 4.500 künftig über 29.000 Unternehmen hierzulande betrifft.

TISAX bringt andere Label

Für Unternehmen aus der Automobilbranche sind Änderungen der branchenseitigen Regulierung TISAX von Bedeutung. Der Trusted Information Security Assessment Exchange ist eine Plattform, um Prüfergebnisse auszutauschen. Immer häufiger kommen nur solche Unternehmen als Geschäftspartner oder Zulieferer in Frage, die in dem geschlossenen Ökosystem gelistet sind. Ab April 2024 gilt für ein Information Security Assessment der neue ISA-Katalog 6.0. Zu den zentralen Neuerungen zählt, dass statt des bisherigen allgemeinen Labels „Informationssicherheit“ die spezielleren Label „Verfügbarkeit“ und „Vertraulichkeit“ flächendeckend eingeführt werden – differenziert nach „hohe“ und „sehr hohe Verfügbarkeit“ bzw. „vertraulich“ und „streng vertraulich“.

Anzeige

Das erlaubt eine präzisere Auditierung auf Basis der Rolle eines Unternehmens in der Lieferkette. Beide Labels stellen gleiche Basisanforderungen mit je zusätzlichen Punkten für höhere Schutzbedarfe. So sind selektive Audits möglich, was mitunter Kosten und Aufwände spart. Allerdings fordert ISA 6.0 produzierende Unternehmen nun auf, auch ihre OT-Systeme analog zu den IT-Systemen in einem Informationssicherheits-Managementsystem (ISMS) zu integrieren und zu monitoren. Die verbesserte Transparenz, Vergleichbarkeit und Sicherheit erhöht durch neue Bewertungskriterien aber auch die Komplexität der Audits. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

ISO/IEC 27001 neu strukturiert

Cybersecurity betrifft letztlich alle Branchen. Deshalb verbreitet sich die freiwillige Zertifizierung nach der internationalen Norm ISO/IEC 27001 stetig. Sie gilt als etablierter Standard, der die Anforderungen an ein Managementsystem für die Informationssicherheit (ISMS) festlegt. Ab Mai 2024 gilt für Audits zur Erst- und Rezertifizierung die aktualisierte Version von 2022. Eine Übergangsfrist läuft bis Herbst 2025, dann müssen alle Zertifikate auf die neue Version umgestellt sein. Cybersecurity, der Datenschutz und vor allem die Sicherheit der Cloud bekommen einen noch höheren Stellenwert. Zudem wurde die Struktur der Norm leicht angepasst, so dass sie nun den Vorgaben für Managementsystem-Normen vollständig entspricht. 

Wesentliche inhaltliche Änderungen betreffen die Nachvollziehbarkeit und Wechselwirkung von Maßnahmen und planvollen Änderungen, zum Beispiel basierend auf Gap-Analysen. Insgesamt bekommen Kennzahlen, Kriterien und die Messbarkeit mehr Bedeutung, wodurch sich die Wirksamkeit besser beurteilen lässt. Zudem wird die Mitwirkung der Führungsebene stärker adressiert. Auditoren blicken darüber hinaus auf elf neue Punkte. Diese reichen vom Abfließen oder Maskieren von Daten bis zur Überwachung von Aktivitäts- und Verhaltensmustern. 

Was sonst noch zu erwarten ist

Neben diesen sehr konkreten Entwicklungen deutet sich auf EU-Ebene die Verabschiedung zweier Regelungen mit Bezug zur IT an: Das ist zum einen der Cyber Resilience Act, der sich mit (cyber)sicherer Software in Produkten beschäftigt und diesbezüglich Lücken schließt. Zum anderen bereitet die EU den AI Act vor, der einen Rahmen für den Umgang mit Künstlicher Intelligenz schaffen soll, und u. a. eine mehrstufige Risikoeinschätzung enthält. Unternehmen, die Produkte mit digitalen Komponenten bzw. mit Künstlicher Intelligenz in der EU auf den Markt bringen wollen, sind gut beraten, jetzt schon einen Blick auf den aktuellen Stand zu werfen.

Genügend Vorlauf einplanen

TÜV SÜD empfiehlt IT-Managern und Unternehmen Neuerungen zeitnah anzugehen – auch wenn Übergangsfristen bestehen. Mit der weiter gestiegenen Komplexität werden IT-Fachkräfte und Auditoren zu einer noch knapperen Ressource. Wer externe Dienstleister einbeziehen muss oder möchte, benötigt ausreichend Vorlauf, um sich Prüfkapazitäten zu sichern und nicht unter Termindruck zu geraten. Das gilt auch für die Kommunikation mit den Behörden. Diese können zum Flaschenhals werden, wenn Unternehmen nicht früh genug handeln oder sie viele Anfragen in einem kurzen Zeitraum erreichen.

Auch 2024 sollten Unternehmen die sich stetig wandelnden Regularien im Auge behalten. Der erweiterte NIS2-Geltungsbereich und die Kategorisierung nach Wichtigkeit sind vor allem für (kleinere) KRITIS-Unternehmen relevant. Für Automobilzulieferer sind es die Vertraulichkeits- und Verfügbarkeitslabel nach TISAX®. Bei der freiwilligen Cybersecurity-Zertifizierung nach der branchenübergreifenden Norm ISO/IEC 27001 kommen insbesondere die angepasste Struktur und neue Prüfpunkte zum Tragen. Eine Zertifizierung bietet dabei keinen absoluten Schutz vor Angriffen – aber sie verbessert die Cybersecurity von Unternehmen nachweislich und dokumentiert das auch gegenüber Dritten.

Alexander

Häußler

Global Product Performance Manager IT

TÜV SÜD Management Service GmbH

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.