Rechtsgrundlage
NIS-2 RL
Cyber Resilience Act
Cybersecurity Act
ENISA
NIS-2 Richtlinie
Verbesserung der Cybersicherheitsanforderungen für Betreiber wesentlicher Dienste
Verbesserung der Cyberresilienz
Schutz der Versorgungssicherheit
Minimierung von Risiken für Unternehmen und Gesellschaft
Einheitlicher EU-weiter Sicherheitsrahmen
Erweiterter Anwendungsbereich (mehr Sektoren)
Strengere Meldepflichten
Harmonisierung der Umsetzung in der EU
Klare Sanktionen
Risiko-Management für Cyberbedrohungen
Sicherheitsmaßnahmen (z. B. Verschlüsselung, Notfallpläne)
Schulung von Mitarbeitern
Regelmäßige Audits
Meldepflichten
Meldung innerhalb von 24 Stunden (erste Einschätzung)
Ausführlicher Bericht innerhalb von 72 Stunden
Gilt für alle erhebliche Vorfälle
Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
Haftung des Managements
Stärkung der IT-Sicherheit von Produkten mit digitalen Elementen.
Inkrafttreten: 10.12.2024 (vollständige Anwendung ab 11.12.2027).
• Ziel: Cybersicherheit von Produkten mit digitalen Elementen verbessern.
• Schwerpunkte:
• Sicherheitsanforderungen für Design, Entwicklung und Vertrieb.
• Meldepflichten bei Sicherheitsvorfällen.
• CE-Kennzeichnung für konforme Produkte.
Hersteller:
• Meldepflicht für Sicherheitslücken.
• Konformitätsbewertung + CE-Kennzeichnung.
• Cybersicherheitsrisiken minimieren (z. B. Datenschutz).
Importeure/Händler:
• Prüfung der CE-Kennzeichnung.
• Bei Verdacht auf Nichtkonformität: Meldung an Behörden.
Geldbußen:
• Bis zu 15 Mio. € oder 2,5 % des Umsatzes bei Verstößen gegen Grundanforderungen.
• Bis zu 10 Mio. € oder 2 % des Umsatzes für andere Pflichtverletzungen.
Produkthaftung:
• Neue EU-Produkthaftungs-RL (12/2024): Hersteller haften für Schäden durch fehlerhafte Produkte
Etablierung von EU-weiten Standards für Cybersicherheit.
Ziel: Stärkung der Cybersicherheit in der EU
• Zwei Hauptsäulen:
1.Stärkung der ENISA
2.Einführung eines EU-weiten Zertifizierungsrahmens
Stärken der ENISA
• Permanentes Mandat für ENISA
• Unterstützung bei der Umsetzung von Cybersicherheitsrichtlinien
• Koordinierung bei grenzüberschreitenden Vorfällen
• Förderung der Zusammenarbeit zwischen Mitgliedstaaten
EU Zertifizierung
• Einheitliche Cybersicherheitszertifizierungen
• Vertrauenssteigerung in IT-Produkte und -Dienstleistungen
• Schaffung eines Wettbewerbsnachteils für unsichere Produkte
• Freiwillig, aber mit Potenzial für verpflichtende Anwendungen
Vorteile:
• Höhere Sicherheitsstandards
• Harmonisierung innerhalb der EU
• Förderung von Innovation und Vertrauen
Herausforderungen:
• Komplexität der Umsetzung
• Internationale Kompatibilität
• Sicherstellung der Einhaltung
Auswirkungen
• Für Unternehmen: Wettbewerbsvorteil durch Zertifizierungen
• Für Verbraucher: Erhöhtes Vertrauen in IT-Produkte
• Allgemein: Verbesserung der digitalen Resilienz
ENISA (Agentur der Europäischen Union für Cybersicherheit)
Koordiniert und unterstützt die Umsetzung von Cybersecurity-Maßnahmen.
Aufgaben
• Beratung und Unterstützung der Mitgliedstaaten
• Aufbau von Netzwerksicherheitsfähigkeiten
• Entwicklung von EU-weiten Cybersicherheitsstandards
• Förderung von Forschung und Innovation
Strategien
• EU Cybersecurity Strategy
• European Cybersecurity Certification Framework
• Zusammenarbeit mit CERTs
• Awareness-Kampagnen
NIS 2 Betroffene Sektoren
Kritische Sektoren: Energie, Verkehr, Banken, Gesundheitswesen, neue Sektoren wie Abwasser & Weltraum.
Sonstige kritische Sektoren: Abfallwirtschaft, Lebensmittelproduktion, Forschung.
Größe:
>50 Mitarbeiter oder >10 Mio. € Jahresumsatz/Bilanz.
Ausnahmen: Keine Größenbeschränkung für z. B. Domänennamen-Registrare, öffentliche
Kommunikationsnetze.
Cyber Resilience Act Betroffen
Betroffene Produkte:
• Hardware (Router, Smartphones).
• Software (inkl. Cloud-Lösungen).
• Open Source (nur bei kommerzieller Nutzung).
• Ausnahmen: Medizinprodukte, Fahrzeuge (bereits sektorspezifisch geregelt),…
Risikoklassen:
1.Standard (geringes Risiko).
2.Wichtig (z. B. Passwort-Manager, Router).
3.Kritisch (z. B. Smart-Meter-Gateways).
Zuletzt geändertvor 2 Tagen