Archiv Datenschutz

    Verschärfung der Cybersicherheitsvorschriften in ganz Europa bis 2022

    Die politischen Entscheidungsträger der EU und des Vereinigten Königreichs entwickeln angesichts der nicht enden wollenden Welle von Cyberangriffen neue Schutzmaßnahmen.

    by Karen Lynch
    GettyImages-990087650-1200px.jpg

    Wichtige Punkte

    • Sowohl die EU als auch das Vereinigte Königreich haben im Dezember weitreichende Strategien zur Cybersicherheit vorgelegt.
    • Es werden neue Vorschriften für mehr Unternehmen aufgenommen.
    • Während sich die Teile zusammenfügen, wird den Unternehmen geraten, vorausschauend zu planen.

    Da Cyberangriffe in der Europäischen Union und im Vereinigten Königreich in jeder Hinsicht - Umfang, Art und Auswirkungen - weiter zugenommen haben, ergreifen die politischen Entscheidungsträger an mehreren Fronten Initiativen, um sie zu stoppen.

    Im Dezember billigte der Europäische Rat die Richtlinie zur Netz- und Informationssicherheit 2 (NIS2), ein wichtiger Schritt zur Überarbeitung des derzeitigen EU-weiten Rahmens für Cybersicherheit. Es wird erwartet, dass die neue Richtlinie nach ihrer Fertigstellung im Jahr 2022 neben anderen Änderungen mehr Arten von Unternehmen zu strengeren Cybersicherheitsmaßnahmen verpflichten wird. Anbieter von Cloud-Diensten würden zum Beispiel als Anbieter wesentlicher Dienste gelten, für die strengere Anforderungen in Bereichen wie Verschlüsselung und Governance gelten.

    Ebenfalls im Dezember veröffentlichte die britische Regierung die Nationale Cyber-Strategie 2022, die sie als "ganzheitliches, gesellschaftsweites Vorhaben zur Verbesserung der Widerstandsfähigkeit des Vereinigten Königreichs" bezeichnete. [1] Ein Bericht in The Stack, einer britischen Technologiezeitschrift für Unternehmen, bezeichnete sie als "eine Industriestrategie, eine Qualifikationsstrategie, eine nationale Sicherheitsstrategie und eine Erklärung über die zunehmend aktive und interventionistische Absicht der Regierung Ihrer Majestät." [2]

    Diese und andere Initiativen im Bereich der Cybersicherheit werden in Europa angesichts der zunehmenden Cyberrisiken für Wirtschaft und Gesellschaft vorangetrieben. In der EU "nehmen die Bedrohungen für die Cybersicherheit zu ... und die Cybersicherheitslandschaft ist in Bezug auf die Raffinesse der Angriffe, ihre Komplexität und ihre Auswirkungen gewachsen", so die EU-Agentur für Cybersicherheit (ENISA). [3] Im Vereinigten Königreich "gingen die Bedrohungen zwar von verschiedenen Akteuren aus, die eine Reihe von Methoden einsetzten, aber sie hatten eines gemeinsam: Sie führten zu Auswirkungen in der realen Welt", so der Jahresbericht 2021 des National Cyber Security Centre (NCSC).[4] "Lebensersparnisse wurden gestohlen, kritische und sensible Daten wurden kompromittiert, das Gesundheitswesen und öffentliche Dienste wurden unterbrochen, und die Lebensmittel- und Energieversorgung wurde beeinträchtigt."

    EU-Vorschriften zur Cybersicherheit

    Die NIS2 wird durch nationale digitale Strategien und Vorschriften in den 27 EU-Mitgliedstaaten sowie durch gezieltere EU-Rechtsvorschriften ergänzt, darunter die Allgemeine Datenschutzverordnung (GDPR) für den Datenschutz, der anhängige European Cyber Resilience Act für das Internet der Dinge (IoT)[5] und anhängige Vorschriften mit dem Titel Digital Operational Resilience in the EU Financial Sector.[6]

    Die NIS2 und die DSGVO gelten als die beiden wichtigsten und weitreichendsten europäischen Rechtsvorschriften im Bereich der Cybersicherheit.[7] Die verschiedenen Maßnahmen können sich überschneiden. Während sich die Schlagzeilen im Jahr 2021 beispielsweise auf die GDPR-Bußgelder für den falschen Umgang von Unternehmen mit personenbezogenen Daten konzentrierten, wurden auch Bußgelder für Unternehmen verhängt, die es versäumt hatten, die Cybersicherheit zu gewährleisten.[8]

    NIS2 legt die Anforderungen an die nationalen Cybersicherheitskapazitäten der EU-Mitgliedstaaten, die Regeln für die grenzüberschreitende Zusammenarbeit und die Anforderungen an die Regulierung der Anbieter wesentlicher Dienste fest. Die NIS2-Entwürfe enthalten Bestimmungen für die Regulierung von Unternehmen: [9]

    • Grundlegende Maßnahmen zum Management von Cyberrisiken.
    • Berichtspflichten.
    • Rechtsbehelfe und Sanktionen für die Durchsetzung.
    • Eine aktualisierte Liste der erfassten Sektoren und Tätigkeiten.
    • Ausweitung der Abdeckung von mittleren und großen Unternehmen.

    Zu den Sektoren, die von dem aktuellen Entwurf abgedeckt werden, gehören Energie, Verkehr, Finanzdienstleistungen, Gesundheitswesen, Wasser, digitale Infrastruktur, Anbieter verwalteter Dienste (einschließlich Anbieter verwalteter Sicherheitsdienste), öffentliche Verwaltung, Raumfahrtdienste, Post- und Kurierdienste, Abfallwirtschaft, bestimmte Arten von Herstellern, die Lebensmittelindustrie und digitale Anbieter wie Online-Marktplätze, Suchmaschinen und Plattformen für soziale Netzwerke.[10]

    Der Europäische Rat, das Europäische Parlament und die Europäische Kommission werden Anfang 2022 über eine endgültige Fassung der NIS2 verhandeln, wobei einige Beobachter mit einer Einigung bis Mitte des Jahres rechnen. Danach hätten die Mitgliedsländer bis zu zwei Jahre Zeit, die Bestimmungen in nationales Recht umzusetzen.

    UK Cybersicherheitsregeln

    In der nationalen Cyberstrategie des Vereinigten Königreichs werden die bis 2025 zu erreichenden Ziele beschrieben, darunter:

    • Förderung von Talenten und Innovationen im Bereich der Cybersicherheit.
    • Aufbau der Führungsposition des Landes als globale "Cyber-Macht".
    • Widersacher abwehren.
    • Unterstützung von Unternehmen bei der Maximierung des wirtschaftlichen Nutzens der digitalen Technologie bei geringerem Risiko.
    • Schutz der Bürger.

    Die Strategie des Vereinigten Königreichs enthält zwar nicht viele konkrete Angaben zur Regulierung der Cybersicherheit, aber sie gibt eine Richtung vor: "Die Regierung hat die wichtige Aufgabe, Bürger, Unternehmen und Organisationen zu beraten und zu informieren, was sie tun müssen, um sich online zu schützen. Dazu gehört auch die Festlegung der Standards, die wir von den wichtigsten Unternehmen und Organisationen erwarten, um uns alle zu schützen", heißt es in dem Dokument.[11]

    Wie im übrigen Europa sind auch im Vereinigten Königreich zwei Schwerpunktbereiche für die Regulierung digitale Dienste und vernetzte Geräte. "Wir werden die bestehende Regulierung von Anbietern digitaler Dienste stärken und ausweiten", heißt es in der Strategie, die auch ein neues, kürzlich im Parlament eingebrachtes Gesetz zur Durchsetzung von Mindestsicherheitsstandards für vernetzte Geräte würdigt.

    Bewährte Praktiken der Cybersicherheit

    Nach Ansicht von Koen Van Impe, einem belgischen Sicherheitsforscher, sollten Unternehmen, die von NIS2 betroffen sind, mit der Planung ihrer Compliance-Strategien nicht warten, bis der Vorschlag fertiggestellt ist. "Obwohl der Vorschlag vor seiner Umsetzung in nationales Recht noch Genehmigungsrunden durchlaufen muss und noch geringfügige Änderungen möglich sind, wird er wahrscheinlich im Wesentlichen so bleiben, wie er geschrieben wurde", sagte er. "Sie können also jetzt Maßnahmen ergreifen, um sich vorzubereiten." [12]

    Ähnliche Ratschläge gelten auch für das Vereinigte Königreich. Ein Ratschlag der Unternehmensberatung EY für britische CISOs besagt, dass die Zentralisierung der Cybersicherheits-Governance der Schlüssel zur Einhaltung vieler neuer und sich ändernder Cybersicherheitsvorschriften sein wird. "Mit der richtigen Nachverfolgung und Aufsicht können Unternehmen einen Punkt erreichen, an dem die Beantwortung der unzähligen Compliance-Anforderungen von einer Person übernommen wird und von einer einzigen Kontrollinstanz stammt." [13]

    Die ENISA hat dargelegt, was sie im Rahmen der europäischen Cybersicherheitsvorschriften als bewährte Praktiken ansieht, und spezifische Schritte gegen Ransomware, E-Mail-Bedrohungen und andere Angriffe dargelegt. Im Bereich der Ransomware, die als Hauptbedrohung für die Jahre 2021 bis 2022 bezeichnet wurde, gibt die ENISA unter anderem folgende Empfehlungen:

    • Sichere und redundante Backups.
    • Audits der Identitäts- und Zugangsverwaltung.
    • Schulung zur Sensibilisierung.
    • Trennung von Entwicklungs- und Produktionsumgebung.
    • Informationsaustausch über Vorfälle mit Behörden und der Industrie.
    • Bewertungen der Bereitschaft.
    • Reaktions- und Wiederherstellungspläne.
    • Einsatz von Sicherheitstechnologien, die nachweislich Ransomware abwehren.
    • Kontinuierliche Überwachung.

    Die Quintessenz

    Die EU und das Vereinigte Königreich treiben Strategien zur Stärkung der Cyberabwehr in ganz Europa voran. Unternehmen werden in den nächsten Jahren viele neue Maßnahmen in ihre Planung einbeziehen müssen, um einer sich stark verändernden Regulierungslandschaft gerecht zu werden.


    [1] "Nationale Cyber-Strategie 2022," Britische Regierung

    [2] ""Eine rasche und radikale Überholung" - 10 wichtige Einblicke in Großbritanniens auffallend optimistische neue nationale Cybersicherheitsstrategie," The Stack

    [3] "ENISA Threat Landscape 2021," EU-Agentur für Cybersicherheit

    [4] "NCSC Jahresbericht 2021," Nationales Zentrum für Cybersicherheit

    [5] "How a European Cyber Resilience Act Will Help Protect Europe," Europäische Kommission

    [6] "ISACA bietet einen Leitfaden zum vorgeschlagenen EU-Gesetz zur digitalen Betriebsfestigkeit," ISACA

    [7] "The European Union, Cybersecurity, and the Financial Sector: Eine Fibel," Carnegie Endowment for International Peace

    [8] "GDPR Enforcement Tracker," CMS

    [9] "Stärkung der EU-weiten Cybersicherheit und Widerstandsfähigkeit - Rat legt seinen Standpunkt fest," Europäischer Rat

    [10] "Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union," Europäischer Rat

    [11] "Nationale Cyber-Strategie 2022," Britische Regierung

    [12] "Cyber Resilience Strategy Changes You Should Know in the EU's Digital Decade," Security Intelligence

    [13] "How UK CISOs Should Prepare for a New Era of Growth," EY

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang