2024 bringt bedeutende Fortschritte für den Schutz gegen Cyberkriminalität. CIS-Geschäftsführer Harald Erkinger gibt einen Überblick über die geplanten Maßnahmen.

Die Einführung und Umsetzung mehrerer geplanter Richtlinien und Gesetze bietet Unternehmen einen effektiven Hebel zur Stärkung ihrer Sicherheitsmaßnahmen. »Diese Richtlinien betonen die Dringlichkeit, adaptive und resiliente Sicherheitsmaßnahmen zu etablieren«, sagt Harald Erkinger, Geschäftsführer der CIS – Certification & Information Security Services GmbH. »Dies ist von entscheidender Bedeutung, um nicht nur Kund*innen und Geschäftspartner*innen, sondern auch das eigene Unternehmen und die Gesellschaft als Ganzes wirksam zu schützen.«

Checkliste:
Die vier neuen Richtlinien

1. Netz- und Sicherheitsrichtlinie (NIS 2)
   Ab Oktober 2024 gelten für Unternehmen kritischer und systemrelevanter Sektoren verpflichtende Risikomanagementmaßnahmen und Meldevorschriften bei Sicherheitsvorfällen. Die Geschäftsführung bzw. der Vorstand haften bei Verstößen. In Österreich gilt derzeit das NIS-Gesetz von 2016, das bereits die Anforderungen an die Cybersicherheit in gesellschaftlich wichtigen Bereichen spezifiziert.
   
   
2. Cyber Resilience Act (CRA)
   Der angekündigte Vorschlag betrifft alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden sind. Dies bedeutet, dass produzierende Unternehmen Cybersicherheit künftig während des gesamten Produktzyklus ernst(er) nehmen müssen. Ausnahmen soll es für Open Source und bereits stark regulierte Bereiche wie Medizinprodukte oder Autos geben. 
   
   
3. Artificial Intelligence Act (AIA)
   Durch dieses Übereinkommen im Rahmen der EU-Digitalstrategie soll die Anwendung von künstlicher Intelligenz reguliert werden – weltweit einzigartig in dieser Form. Der Entwurf enthält konkrete Vorschläge für den Umgang mit KI in Forschung und Wirtschaft. Derzeit ist noch nichts in nationales Recht überführt, dennoch sollten sich Unternehmen mit möglichen Implikationen beschäftigen.
   
   
4. Trusted Information Security Assessment (TISAX)
   Der Verband der deutschen Automobilindustrie (VDA) hat im Oktober 2023 die neue Version 6 des ISA-Katalogs mit wesentlichen Neuerungen veröffentlicht. Dieses Control-Framework definiert die Anforderungen an Cyber- und Informationssicherheit nach dem jüngsten Stand der Technik für die Zulieferer aus Sicht der Automobilindustrie und stellt die Prüfungsgrundlage für Assessments dar.