Cybersecurity

NIS-2 RL

Cyber Resilience Act

Cybersecurity Act

ENISA

Verbesserung der Cybersicherheitsanforderungen für Betreiber wesentlicher Dienste

Verbesserung der Cyberresilienz

Schutz der Versorgungssicherheit

Minimierung von Risiken für Unternehmen und Gesellschaft

Einheitlicher EU-weiter Sicherheitsrahmen

Erweiterter Anwendungsbereich (mehr Sektoren)

Strengere Meldepflichten

Harmonisierung der Umsetzung in der EU

Klare Sanktionen

Risiko-Management für Cyberbedrohungen

Sicherheitsmaßnahmen (z. B. Verschlüsselung, Notfallpläne)

Schulung von Mitarbeitern

Regelmäßige Audits

Meldepflichten

Meldung innerhalb von 24 Stunden (erste Einschätzung)

Ausführlicher Bericht innerhalb von 72 Stunden

Gilt für alle erhebliche Vorfälle

Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes

Haftung des Managements

Stärkung der IT-Sicherheit von Produkten mit digitalen Elementen.

Inkrafttreten: 10.12.2024 (vollständige Anwendung ab 11.12.2027).

• Ziel: Cybersicherheit von Produkten mit digitalen Elementen verbessern.

• Schwerpunkte:

• Sicherheitsanforderungen für Design, Entwicklung und Vertrieb.

• Meldepflichten bei Sicherheitsvorfällen.

• CE-Kennzeichnung für konforme Produkte.

Hersteller:

• Meldepflicht für Sicherheitslücken.

• Konformitätsbewertung + CE-Kennzeichnung.

• Cybersicherheitsrisiken minimieren (z. B. Datenschutz).

Importeure/Händler:

• Prüfung der CE-Kennzeichnung.

• Bei Verdacht auf Nichtkonformität: Meldung an Behörden.

Geldbußen:

• Bis zu 15 Mio. € oder 2,5 % des Umsatzes bei Verstößen gegen Grundanforderungen.

• Bis zu 10 Mio. € oder 2 % des Umsatzes für andere Pflichtverletzungen.

Produkthaftung:

• Neue EU-Produkthaftungs-RL (12/2024): Hersteller haften für Schäden durch fehlerhafte Produkte

Etablierung von EU-weiten Standards für Cybersicherheit.

Ziel: Stärkung der Cybersicherheit in der EU

• Zwei Hauptsäulen:

1.Stärkung der ENISA

2.Einführung eines EU-weiten Zertifizierungsrahmens

Stärken der ENISA

• Permanentes Mandat für ENISA

• Unterstützung bei der Umsetzung von Cybersicherheitsrichtlinien

• Koordinierung bei grenzüberschreitenden Vorfällen

• Förderung der Zusammenarbeit zwischen Mitgliedstaaten

EU Zertifizierung

• Einheitliche Cybersicherheitszertifizierungen

• Vertrauenssteigerung in IT-Produkte und -Dienstleistungen

• Schaffung eines Wettbewerbsnachteils für unsichere Produkte

• Freiwillig, aber mit Potenzial für verpflichtende Anwendungen

Vorteile:

• Höhere Sicherheitsstandards

• Harmonisierung innerhalb der EU

• Förderung von Innovation und Vertrauen

Herausforderungen:

• Komplexität der Umsetzung

• Internationale Kompatibilität

• Sicherstellung der Einhaltung

Auswirkungen

• Für Unternehmen: Wettbewerbsvorteil durch Zertifizierungen

• Für Verbraucher: Erhöhtes Vertrauen in IT-Produkte

• Allgemein: Verbesserung der digitalen Resilienz

Koordiniert und unterstützt die Umsetzung von Cybersecurity-Maßnahmen.

Aufgaben

• Beratung und Unterstützung der Mitgliedstaaten

• Aufbau von Netzwerksicherheitsfähigkeiten

• Entwicklung von EU-weiten Cybersicherheitsstandards

• Förderung von Forschung und Innovation

Strategien

• EU Cybersecurity Strategy

• European Cybersecurity Certification Framework

• Zusammenarbeit mit CERTs

• Awareness-Kampagnen

Kritische Sektoren: Energie, Verkehr, Banken, Gesundheitswesen, neue Sektoren wie Abwasser & Weltraum.

Sonstige kritische Sektoren: Abfallwirtschaft, Lebensmittelproduktion, Forschung.

Größe:

>50 Mitarbeiter oder >10 Mio. € Jahresumsatz/Bilanz.

Ausnahmen: Keine Größenbeschränkung für z. B. Domänennamen-Registrare, öffentliche

Kommunikationsnetze.

Betroffene Produkte:

• Hardware (Router, Smartphones).

• Software (inkl. Cloud-Lösungen).

• Open Source (nur bei kommerzieller Nutzung).

• Ausnahmen: Medizinprodukte, Fahrzeuge (bereits sektorspezifisch geregelt),…

Risikoklassen:

1.Standard (geringes Risiko).

2.Wichtig (z. B. Passwort-Manager, Router).

3.Kritisch (z. B. Smart-Meter-Gateways).