Mit Netz und doppeltem Boden
Durch Digitalisierung und zunehmende Vernetzung stellt die Cybersicherheit ein zentrales Element zum Schutz kritischer Infrastrukturen, von Unternehmensdaten und (personenbezogenen) Daten dar.
Autor: Jürgen H. Stroscher
Die Europäische Union (EU) hat eine neue Cybersicherheitsstrategie und einen Aktionsplan für die Jahre 2020-2025 veröffentlicht. Diese Initiative zielt darauf ab, die Cybersicherheit in der EU zu stärken und eine resiliente und sichere digitale Umgebung zu schaffen. Neben den konkret verabschiedeten Verordnungen und Richtlinien (Acts und Directives) sind für die nächsten Jahre auch Pläne zur Förderung einer europäischen Cloud-Infrastruktur von der EU entwickelt worden, um die Abhängigkeit von ausländischen Cloud-Anbietern zu verringern und die Datensouveränität der EU-Bürger und Unternehmen zu schützen. Dies hat auch Auswirkungen auf die Cybersicherheit. Der Beitrag soll auf einzelne Acts in diesem Zusammenhang aufmerksam, erhebt aber bei weitem nicht den Anspruch auf Vollständigkeit.
Durch Digitalisierung und zunehmende Vernetzung stellt die Cybersicherheit ein zentrales Element zum Schutz Kritischer Infrastrukturen, von Unternehmensdaten und (personenbezogenen) Daten dar. Die Europäische Union hat in diesem Zusammenhang eine Reihe von Verordnungen und Richtlinien verabschiedet und geplant, die darauf abzielen, die Resilienz gegenüber Cyberbedrohungen zu erhöhen und ein einheitliches Sicherheitsniveau innerhalb des europäischen Binnenmarktes zu schaffen. Der Beitrag zielt darauf ab, die Auswirkungen dieser rechtlichen Rahmenbedingungen, insbesondere der General Data Protection Regulation (GDPR), der NIS2-Richtlinie, des Cyber Resilience Act (CRA), des Cybersecurity Acts (CSA) und des vorgeschlagenen Digital Services Act (DSA), zu erklären.
Kernaspekte und deren Auswirkungen
Kleine- und mittelständische Unternehmen sind das Rückgrat der europäischen Wirtschaft und das Herzstück unserer regionalen Wertschöpfung. Insbesondere sie sind von den genannten EU-Verordnungen und Richtlinien im Bereich Cyber- und IT-Sicherheit betroffen. Die Auswirkungen umfassen sowohl Herausforderungen als auch Chancen. Hinzu kommt, dass die deutsche Wirtschaft, insbesondere der Mittelstand, sich mit der Einführung der neuen KRITIS-Verordnung, der Änderungen im BSI-Gesetz und dem vorgeschlagenen Cyber Resilience Act (CRA) vor zusätzliche Herausforderungen und Anpassungen gestellt sieht. Das Diagramm zeigt einen kleinen Ausschnitt der aktuellen EU-Verordnungen. Im Folgenden soll auf einige bereits bestehende und noch bevor-stehende europäische Rechtsakte näher eingegangen werden.
Aktuelle und für 2024 geplante Verordnungen der EU zur Cybersicherheit
BSI Gesetz (BSIG) und Kritis Verordnung (KritisV)
Die KRITIS-Verordnung (Verordnung zu Kritischen Infrastrukturen) in Verbindung mit dem BSI Gesetz (BSIG-E), welches sich aktuell im Entwurfsstadium befindet, liefert den Rahmen für Unternehmen, die als Betreiber kritischer Infrastrukturen eingestuft werden. Der Kreis der betroffenen Unternehmen wurde im Entwurf erheblich erweitert und präzisiert. Der Entwurf fasst Einrichtungsarten und Unternehmensgröße zusammen. Durch die geplante NIS2-Umsetzung kommen zu den KRITIS-Betreibern dann zwei neue Gruppen von Unternehmen hinzu, besonders wichtige Einrichtungen und wichtige Einrichtungen in insgesamt 18 Sektoren unterteilt und zusammengefasst. Damit können bereits Einrichtungen mit > 50 Mitarbeitern oder Unternehmen ab 10 Mio. EUR Umsatz und einer Bilanzsumme ab 10 Mio. EURO betroffen sein.
Für mittelständische Unternehmen in relevanten Sektoren wie Energie, Transport und Verkehr, Gesundheit, Trinkwasser, Ernährung, IT und Telekommunikation, etc. bedeutet dies:
- Erhöhte Sicherheitsanforderungen: Unternehmen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um die Sicherheit und Resilienz ihrer IT-Infrastrukturen zu gewährleisten.
- Meldepflichten: Betreiber müssen erhebliche Sicherheitsvorfälle an das BSI melden, was eine transparente und effiziente Incident-Response-Strategie erfordert.
- Kosten und Ressourcenaufwand: Die Einhaltung der KRITIS-Standards kann für mittelständische Unternehmen erhebliche Investitionen in Sicherheitstechnologien und Fachpersonal bedeuten.
Betroffene: Kritis Unternehmen, Stand: wird laufend aktualisiert, z.B. durch Kritis-V, SIG-2.0, NIS-II
BSI-Kritis-V:https://www.openkritis.de/it-sicherheitsgesetz/gesetzgebung-kritis-bsig.html#kritisv
In Verbindung mit der KRITIS-V muss auch das nationale IT-Sicherheitsgesetz 2.0 betrachtet werden. Es zielt darauf ab, die Sicherheit informationstechnischer Systeme und die Cybersicherheit in Deutschland zu erhöhen.
Die konkreten Auswirkungen auf deutsche Unternehmen hängen von verschiedenen Faktoren ab, wie etwa der Branche, in der das Unternehmen tätig ist, und ob es als Betreiber kritischer Infrastrukturen oder als Unternehmen im besonderen öffentlichen Interesse (UBI) eingestuft wird. Hier einige wesentliche Punkte, die durch das Gesetz beeinflusst werden:
- Meldepflichten
- Nachweis von Sicherheitsmaßnahmen
- Zertifizierungspflicht
- Betroffenheit von Zulieferketten
Unternehmen müssen hier auch die Sicherheit ihrer Zulieferketten beachten, insbesondere wenn es um kritische Komponenten geht. Das bedeutet, dass sie von ihren Zulieferern ebenfalls ein gewisses Maß an IT-Sicherheit fordern müssen. Bei Nichteinhaltung der gesetzlichen Vorgaben können hohe Bußgelder verhängt werden, was ein erhöhtes finanzielles Risiko für die betroffenen Unternehmen bedeutet.
Betroffene: Kritis Unternehmen, Stand 09/2021, 4. Änderung 01.01.2024
SIG 2.0:https://www.openkritis.de/it-sicherheitsgesetz/ausblick-it-sicherheitsgesetz-2-0.html
Network and Information Systems (NIS-2) Directive
Die NIS-2-Richtlinie (Richtlinie über die Sicherheit von Netz- und Informationssystemen) ist eine EU-weite Regelung, die darauf abzielt, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der gesamten Europäischen Union zu schaffen. Die Umsetzung der EU-Richtlinie in ein nationales Gesetz soll durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCUG) erfolgen. Es ändert die deutsche KRITIS-Regulierung deutlich, neben den Betreibern kritischer Anlagen wird es besonders wichtige Einrichtungen und wichtige Einrichtungen geben. Für etwa 30.000 betroffene Unternehmen in Deutschland steigen die Security-Pflichten.
Mit der NIS2 Richtlinie wurde auch die Richtlinie zur Resilienz kritischer Einrichtungen (Resilience of critical en-tities, EU RCE 2022/2557) Ende 2022 in der EU verabschiedet und muss bis 2024 in EU-Mitgliedsstaaten in nationales Recht überführt werden, das Resilienz-Anforderungen wahrscheinlich ab 2024 für KRITIS-Betreiber (Betreiber kritischer Anlagen) verpflichtend macht.
Für deutsche Unternehmen bedeutet die Umsetzung der NIS-II-Richtlinie, dass sie ihre Sicherheitspolitik und -prozesse überprüfen und gegebenenfalls anpassen müssen, um mit den europäischen Vorschriften konform zu gehen. Die genauen Anforderungen und Umsetzungsdetails werden allerdings erst dann vollständig klar sein, wenn die Richtlinie in 2024 in deutsches Recht überführt worden ist.
Betroffene: Kritis Unternehmen, Stand 10/2023 Umsetzung in 3/2024 geplant
NIS-2:https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html
Cybersecurity Act (CSA)
Mit dem Cybersecurity Act ((EU) 2019/881, ENISA potenziell Meldebehörde u.a. für CRA; in Überarbeitung befindlich: 2023/0108 COD), der 2019 in Kraft trat, stärkt die EU darüber hinaus die Rolle der Europäischen Agentur für Cybersicherheit (ENISA) und führt ein EU-weites Zertifizierungssystem für Cybersicherheit ein. Es ist ein wichtiger Teil der EU-Strategie zur Stärkung der Cybersicherheit in allen Mitgliedstaaten und trägt dazu bei, das Vertrauen in und die Sicherheit von digitalen Produkten und Diensten zu erhöhen. Zudem soll die europäische Cybersicherheitsindustrie unterstützt und die Wettbewerbsfähigkeit der EU auf dem globalen Markt für Cybersicherheit verbessert werden. Ergänzt wird dieser Rechtsakt durch den Verordnungsentwurf zur Festlegung von Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in den Organen, Einrichtungen und sonstigen Stellen der Union (COM(2022) 122 final), woraus jedoch keine Pflichten für Unternehmen erwachsen werden.
Cybersecurity Act: (Aktualisierter Stand 7/2023, Umsetzung erfolgte in 2019)
Siehe auch unter: BSI - Cyber Security Act (bund.de), EUR-Lex - 32019R0881 - DE - EUR-Lex
Artificial Intelligence Act (AI-Act)
Der AI-Act (KI-Verordnung) regelt die Anforderungen und den Einsatz von Produkten, die sich künstlicher Intelligenz (KI) bedienen. Der Gesetzesvorschlag der Europäischen Union zielt darauf ab, den Einsatz KI innerhalb der EU zu regulieren. Die KI-Verordnung wird ein breites Spektrum von Akteuren betreffen, die an der Entwick-lung, dem Einsatz und der Nutzung von KI-Systemen in der EU beteiligt sind. Unternehmen und Organisationen, die KI-Systeme in der EU nutzen oder betreiben, müssen sicherstellen, dass sie die in der Verordnung festgelegten Anforderungen und Pflichten einhalten. KI-Systeme müssen so gestaltet sein, dass sie die Anforderungen des Datenschutzrechts einhalten.
Derzeit befindet sich der Verordnungsentwurf in den Trilog-Verhandlungen zwischen dem Europäischen Parlament, dem Rat der EU und der Europäischen Kommission, wobei zum jetzigen Zeitpunkt noch nicht abgesehen werden kann, wann eine Einigung erreicht wird.
Betroffene: Industrieunternehmen, (Stand 10/2023 Kommissionsentwurf)
AI-Act:https://bmdv.bund.de/SharedDocs/DE/Artikel/DP/klare-regeln-fuer-ki.html
Vor dem Hintergrund der zukünftigen KI-Verordnung sollten potenziell betroffene Unternehmen bereits zum jetzigen Zeitpunkt die geplante EU-KI-Haftungsrichtlinie schon im Blick haben. Die Richtlinie ist Teil eines umfassenderen Pakets von Rechtsvorschriften zur Regulierung von KI in der EU, zu dem auch die KI-Verordnung gehört. Der Richtlinienvorschlag zielt darauf ab, ein EU-weit einheitliches Schutzniveau für durch KI-Systeme verursachte Schäden zu etablieren, um vertrauenswürdige KI-Systeme zu fördern, ihre Vorteile für den Binnenmarkt sicherstellen und dadurch die Rechtsunsicherheit des Haftungsrisikos für Unternehmen zu reduzieren. Sie zielt also darauf ab, klare Regeln für die Haftung bei Schäden durch KI festzulegen. Sie beinhaltet eine mögliche Umkehr der Beweislast, wobei Hersteller oder Betreiber von KI-Systemen nachweisen müssen, dass ihre Technologie nicht für Schäden verantwortlich ist. Die Richtlinie strebt zudem nach Transparenz und Nachvollziehbarkeit von KI-Entscheidungen, passt sich in das Produkthaftungsrecht ein und verfolgt einen risikobasierten Ansatz. Ihr Hauptziel ist es, den Verbraucherschutz zu stärken und eine einheitliche Regelung im EU-Raum zu schaffen.
Richtlinie für KI-Haftung: eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52022PC0496
Cyber Resilience Act (CRA)
Der EU Cyber Resilience Act ist eine Verordnung, die im Rahmen der Bemühungen der EU zur Stärkung ihrer Fähigkeit zum Schutz vor Cyberangriffen und zur Verbesserung der Cybersicherheit entwickelt wurde. Der CRA, der sich noch in der Vorbereitung befindet, zielt darauf ab, die Sicherheit von Produkten mit digitalen Elementen zu stärken. Dies könnte folgende Auswirkungen auf mittelständische Unternehmen haben:
- Produktsicherheitsanforderungen: Unternehmen, die digitale Produkte oder Dienste anbieten, müssen sicherstellen, dass diese den neuen Sicherheitsstandards entsprechen.
- Zertifizierung und Konformität: Möglicherweise wird eine Zertifizierung erforderlich sein, um zu bestätigen, dass Produkte und Dienstleistungen den Sicherheitsanforderungen entsprechen.
- Marktchancen: Die Einhaltung strenger Sicherheitsstandards kann als Qualitätsmerkmal dienen und neue Marktchancen eröffnen.
Das Gesetz möchte durch eine horizontale Regulierung einheitliche Standards für Cybersicherheit in der gesamten EU einführen und sicherstellen, so dass alle Akteure in den Mitgliedsstaaten sicher mit Cyberbedrohungen umgehen und es soll dabei die bereits bestehenden rechtlichen Vorschriften wie zum Beispiel die NIS2-Richt-linie ergänzen.
Betroffene: Alle Entwicklungs- und Produktionsunternehmen, Stand 7/2023 Einigung im EU-Rat, aktuell Trilogverhandlungen, Umsetzung in 10/2024 geplant)
CRA:EU Cyber Resilience Act (EU-Gesetz über Cyberresilienz) | Gestaltung der digitalen Zukunft Europas
General Data Protection Regulation (GDPR)
Nicht zu vergessen ist die Datenschutzgrundverordnung (General Data Protection Regulation, GDPR), die im Mai 2018 in Kraft trat und einen paradigmatischen Wandel in der Datenverarbeitungslandschaft darstellt. Sie fordert von Unternehmen, die personenbezogenen Daten von EU-Bürgern verarbeiten, die Einhaltung strenger Datenschutzprinzipien. Die Auswirkungen dieser Verordnung sind vielschichtig:
- Sie erhöht das Bewusstsein für Datenschutz bei Unternehmen und Verbrauchern.
- Sie fördert die Implementierung robuster Datenschutz- und Sicherheitsmaßnahmen.
- Sie hat globale Auswirkungen, da auch nicht-europäische Unternehmen, die mit EU-Bürgerdaten arbeiten, diese Richtlinien befolgen müssen.
Alle datenschutzrechtlichen Anforderungen ergeben sich aus der GDPR und dem deutschen Bundesdatenschutzgesetz (BDSG). KI untersteht damit genauso den allgemeinen Regelungen zu Verarbeitungen personen-bezogener Daten wie auch alle anderen Verarbeitungen.
Einige Regelungen adressieren zusätzlich speziell „automatisierte Entscheidungsfindungen“. Nicht nur aber auch mit der Bereitstellung von ChatGPT hat sich das Thema rasant entwickelt. So hat zum Beispiel ein Betroffener nach Art. 22 DSGVO das Recht, eine KI-Entscheidung durch ein Menschen überprüfen zu lassen, wenn die Entscheidung erhebliche Folgen für ihn hat. Die Datenschutzkonferenz (DSK) hat sich in einem Positionspapier zu weiteren datenschutzrechtlichen Anforderungen geäußert.
Dies ist unter: https://www.lda.brandenburg.de/sixcms/media.php/9/Positionspapier_TO-Massnahmen_KI-Systeme.pdf abrufbar und beschäftigt sich insbesondere mit technischen und organisatorischen Maßnahmen (TOM), die für den Betrieb von KI geboten werden.
Fazit
Die dargestellten Verordnungen und Richtlinien der Europäischen Union im Bereich Cyber- und IT-Sicherheit stellen wesentliche Schritte dar, um auf die Herausforderungen und Bedrohungen in der digitalisierten Welt zu reagieren, bilden jedoch zugleich nur einen Ausschnitt der von der EU anvisierten Rechtsakte in diesem und angrenzenden Bereichen ab. Durch die Einführung dieser umfassenden Regelwerke wird nicht nur die Sicher-heit und Resilienz gegenüber Cyberbedrohungen erhöht, sondern auch das Vertrauen in digitale Dienste gestärkt. Die Implementierung dieser Vorschriften führt zu einer signifikanten Veränderung in der Unternehmenslandschaft, fordert von Organisationen eine Anpassung ihrer Sicherheitsstrategien und fördert ein höheres Maß an Transparenz und Verantwortlichkeit. Langfristig tragen diese Maßnahmen zu einem sichereren und vertrauenswürdigen digitalen Binnenmarkt bei, der die digitale Souveränität der EU stärkt und ihre Bürger schützt.
- Erhöhte Compliance-Anforderungen: Die GDPR, NIS-Richtlinie und der Cybersecurity Act erfordern von mittelständischen Unternehmen die Einhaltung einer Vielzahl von Sicherheits- und Datenschutzstandards. Dies kann insbesondere für kleinere Unternehmen mit begrenzten Ressourcen eine Heraus-forderung darstellen, da die Implementierung und Aufrechterhaltung dieser Standards oft kostspielig und komplex sind.
- Notwendigkeit für technologische Aufrüstung: Um den erhöhten Anforderungen gerecht zu werden, müssen viele mittelständische Unternehmen in ihre IT-Infrastruktur investieren. Dies schließt nicht nur Hardware und Software ein, sondern auch die Schulung von Mitarbeitern und die Einstellung von spezialisiertem Personal.
- Risiko von Bußgeldern und Reputationsverlust: Nichtkonformität mit den EU-Vorschriften kann zu erheblichen finanziellen Strafen führen. Darüber hinaus kann ein Datenschutzverstoß oder eine Sicher-heitslücke erheblichen Schaden für das Ansehen eines Unternehmens bedeuten.
- Zugang zu neuen Märkten: Die Einhaltung dieser strengen Standards kann jedoch auch als Wettbewerbsvorteil dienen. Unternehmen, die nachweislich hohe Sicherheits- und Datenschutzstandards erfüllen, könnten leichter Zugang zu neuen Märkten und Kunden in der EU und darüber hinaus erhalten.
- Förderung von Innovation und Wettbewerbsfähigkeit: Mittelständische Unternehmen, die sich den Herausforderungen der Cyber- und IT-Sicherheit stellen, können ihre Innovationsfähigkeit und Wettbewerbsfähigkeit verbessern. Dies ist besonders relevant im Hinblick auf den Digital Services Act, der die digitale Integrität und Verantwortlichkeit in den Vordergrund stellt.
- Druck zur Verbesserung der Cybersicherheitspraktiken: Die EU-Vorschriften zwingen Unternehmen, ihre Cybersicherheitspraktiken zu überdenken und zu verbessern, was langfristig zu einer widerstandsfähigeren und sichereren digitalen Wirtschaftslandschaft führt.
Es ist wichtig zu beachten, dass die Richtlinien sowie die entsprechenden nationalen Umsetzungsgesetze und Verordnungen zur IT-Sicherheit und Cybersicherheit mehr denn je einer regelmäßigen Anpassung unterzogen werden. Unternehmen sollten die aktuellen Gesetze und Vorschriften beachten, die eigenen Prozesse regelmäßig überprüfen und bei Bedarf aktualisieren und gegebenenfalls rechtliche Beratung in Anspruch nehmen, um die Einhaltung der Vorschriften sicherzustellen.
Mehr dazu können Sie in der neuesten Ausgabe der IHK nachlesen.