„Wieder neue Anforderungen“, seufzen die einen. Die anderen sind schon einen Schritt weiter und erkennen die Chancen, die Cyber-Regelungen mit sich bringen. Denn zu viel Sicherheit kann es gar nicht geben. Wir geben Ihnen wichtige Einblicke in NIS2 und den Cyber Resilience Act, und zeigen auf wie Sie die neuen Bürden der Compliance in Ihre Strategie einbauen können.  

Mit der NIS2-Richtlinie und dem Cyber Resilience Act hat die EU zwei bedeutende Regelwerke verabschiedet. Sie verpflichten Unternehmen, ihre Cyber-Sicherheitsmaßnahmen auf ein neues Niveau zu heben (oder überhaupt eine geordnete Betrachtung der Risiken anzugehen). Beide Vorgaben zielen darauf ab, Angriffsflächen zu minimieren, Infrastruktur zu sichern und ein Mehr an Transparenz zu schaffen – die eine mit allgemeinem Ansatz, die andere eher mit Software-Supply-Chain-Fokus.  

Das erhoffte Ergebnis der verschärften Anforderungen an Organisationen: digitale Widerstandsfähigkeit. Doch dass viele Verantwortlich dem gewachsenen Aufgabenpäckchen kritisch gegenübertreten, ist angesichts der damit verbundenen Aufwände verständlich. Letztlich sind die Regelungen jedoch ein Geschenk. Denn sie sorgen dafür, dass sich unsere Gesellschaft und die Unternehmen darin besser vor Cyber-Attacken schützen, die bei Erfolg nicht nur mehr Zeit, sondern auch viel mehr Geld kosten – laut der Auswertung des BSI über mehrere Studien liegen diese Kosten zwischen 20.000 und 150.000 € je Vorfall.  

NIS2 – Strengere Sicherheitsvorgaben für mehr Unternehmen 

Die überarbeitete NIS2-Richtlinie (EU 2022/2555) löst die bisherige NIS-Direktive ab und führt strengere Cyber-Sicherheitsanforderungen ein. Die Richtlinie ist seit Anfang 2023 in Kraft, und bis Oktober 2024 mussten die EU-Mitgliedsstaaten sie in nationales Recht umsetzen. Mit ihr will Brüssel die Cybersicherheit in Europa weiter stärken und die Anforderungen harmonisieren. Und JA – das nationale Recht hinkt hinterher, und wir sind bereits in der Nachfrist zur Umsetzung in Deutschland… 

Unternehmen müssen im Rahmen der EU-Richtlinie zur Netzwerk- und Informationssicherheit, wie NIS2 ausgesprochen lautet, einige Punkte beachten:  

• Erweiterter Geltungsbereich:
  • Die Zahl der betroffenen Sektoren steigt auf 18, darunter elf kritische (z. B. Energie, Gesundheitswesen) und sieben wichtige Sektoren (z. B. Telekommunikation, Logistik). 
  • Unternehmen mit mehr als 50 Mitarbeitenden oder einem Umsatz von über 10 Mio. EUR fallen ebenfalls unter die Richtlinie. 
  • Einige Betreiber, wie Teile der digitalen Infrastruktur und der öffentlichen Verwaltung, werden unabhängig von ihrer Größe reguliert. 
• Strengere Sicherheitsanforderungen: Unternehmen müssen umfassendere Sicherheitsmaßnahmen einführen, wie regelmäßige Risikoanalysen, Schutz vor Cyberangriffen und detaillierte Überwachungs- und Meldeprozesse. 
• Verschärfte Meldepflichten: Sicherheitsvorfälle müssen unverzüglich, spätestens jedoch innerhalb von 24 Stunden mit einer Frühwarnung gemeldet werden. Innerhalb von 72 Stunden ist eine detaillierte Meldung erforderlich. 
• Stärkere Durchsetzung und höhere Strafen: Nationale Regulierungsbehörden erhalten mehr Befugnisse, und Verstöße können mit erheblichen Strafen geahndet werden. 

Es ist also weiter Teil des für Deutschland und Mitteleuropa so wichtigen Mittelstands – und hier steht den Unternehmen ohne eine Sicherheitsstrategie und ohne nachhaltige Konzepte jede Menge Arbeit ins Haus. 

Der Cyber Resilience Act, kurz CRA, richtet sich an Hersteller digitaler Produkte und legt einen besonderen Fokus auf die Resilienz der Software Supply Chain. Ziel ist es, Sicherheitslücken bereits während der Entwicklung zu vermeiden und Produkte über ihren gesamten Lebenszyklus sicher zu halten. 

• Erweiterter Anwendungsbereich: Betroffen sind Hersteller digitaler Produkte wie Hardware, Software und IoT-Geräte sowie Importeure von White-Label-Waren. Medizinprodukte und Fahrzeugsicherheitssysteme sind ausgenommen. 
• Pflicht zur Cybersicherheit: Hersteller müssen Sicherheitsfunktionen bereits in der Entwicklungsphase („Security by Design“) integrieren und Cybersicherheitsanforderungen während der Produktion, Vermarktung und Nutzung erfüllen. 
• Sicherheitsupdates und Monitoring: Produkte müssen über mindestens fünf Jahre überwacht werden, und Hersteller sind verpflichtet, kostenlose Updates zur Behebung von Sicherheitslücken bereitzustellen. 
• Meldepflichten: Sicherheitsvorfälle, die ein Produkt gefährden, müssen der EU-Cybersicherheitsbehörde ENISA gemeldet werden. 
• Konformitätsverfahren für kritische Produkte: Produkte wie Passwortmanager, VPNs oder IoT-Geräte unterliegen einem speziellen Prüfverfahren, bevor sie mit dem CE-Kennzeichen auf den Markt kommen. 

Durch die Besonderheiten im deutschen Mittelstand, mit vielfältigen Cyber-physischen Systemen aus Produktionsmaschinen und zugehöriger oder eingebetteter Software stehen insbesondere Unternehmen des Maschinen- und Anlagenbaus aber auch Elektronik und Elektrotechnik im Fokus.  

Mit der NIS2-Richtlinie und dem Cyber Resilience Act hat die EU den Rahmen für eine stärkere Cybersicherheit in Europa geschaffen. Unternehmen sollten die Gelegenheit nutzen, nicht nur gesetzliche Vorgaben zu erfüllen, sondern ihre digitale Resilienz aktiv zu verbessern. Wer frühzeitig investiert, schützt nicht nur seine IT-Systeme, sondern stärkt auch das Vertrauen von Kunden und Partnern in eine sichere, verlässliche Zusammenarbeit.