Schlagwortarchiv für: Cybersecurity

Cyber Resilience Act (CRA): Neue Anforderungen, neue Rolle für das BSI

Der Cyber Resilience Act (CRA) wird den europäischen Markt für IT-Produkte und Geräte mit digitalen Elementen grundlegend verändern. Denn: IT-Sicherheitseigenschaften der Produkte werden künftig ein entscheidendes Kriterium für den Marktzugang in der EU.

Die Bundesregierung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun offiziell als notifizierende und marktüberwachende Behörde gegenüber der Europäischen Kommission benannt. Damit nimmt das BSI eine zentrale Rolle bei der Umsetzung des CRA ein – sowohl als Prüforgan, Regulator und technischer Berater.

Neue Aufgaben für das BSI

Notifizierende Behörde: Das BSI bewertet und notifiziert Drittstellen, damit diese IT-Produkte unabhängig auf die Anforderungen des CRA prüfen können.

Marktüberwachende Behörde: Das BSI prüft stichprobenartig oder gezielt IT-Produkte auf deren Cybersicherheit. Bei Verstößen können Sanktionen und Bußgelder in Höhe von bis zu 15 Mio. Euro bzw. bis zu 2,5 % des weltweiten Vorjahresumsatzes verhängt werden. Zudem kann das BSI Produkte mit digitalen Elementen vom Markt nehmen, wenn sie den Anforderungen des CRA nicht gerecht werden.

BSI-Präsidentin Claudia Plattner: „Der CRA ist ein Gamechanger für die Sicherheit digitaler Produkte! Wir steigern damit das Cybersicherheitsniveau zahlreicher Geräte in Europa. Das BSI wird seine Rolle sehr gewissenhaft ausfüllen und darauf achten, dass die Bürgerinnen und Bürger ihre IT-Produkte mit einem sicheren Gefühl nutzen können.“

Das BSI als zentrale Säule der Marktaufsicht

Das BSI ist die zentrale Cybersicherheitsbehörde Deutschlands und bringt seine umfassende technische Erfahrung in die Umsetzung des CRA ein. Für Unternehmen bedeutet das: Es gibt einen klaren Ansprechpartner in Deutschland, der nicht nur kontrolliert, sondern auch aktiv unterstützt.

Das BSI übernimmt unter anderem:

  • Die Benennung und Überwachung unabhängiger Prüfstellen
  • Die Entwicklung von Hilfestellungen und Musterdokumenten für Hersteller
  • Die Zusammenarbeit mit europäischen Normungsorganisationen
  • Die Durchführung von Marktanalysen und Risikoabschätzungen

Ein wichtiges Ziel: Kleine und mittlere Unternehmen (KMU) sollen verständliche Anleitungen erhalten, um CRA-Vorgaben realistisch umsetzen zu können. Das BSI stellt hierzu eine eigene CRA-Themenseite mit zahlreichen Materialien bereit, darunter:

Warum der CRA ein Meilenstein ist

Mit dem CRA schafft die EU erstmals verbindliche Anforderungen für die Cybersicherheit vernetzter Produkte. Das betrifft sowohl einfache Verbraucherelektronik als auch professionelle Softwarelösungen. Die Regeln gelten einheitlich in allen Mitgliedstaaten und erhöhen das Sicherheitsniveau im gesamten Binnenmarkt.

Wichtig für die Praxis: Seit Dezember 2024 ist der CRA in Kraft. Hersteller haben bis Dezember 2027 Zeit, ihre Produkte entsprechend auszustatten. Das wirkt weit weg – ist es aber nicht, denn einige Vorgaben gelten schon vorher, etwa die Pflicht zur Schwachstellenmeldung ab September 2026 (Mehr dazu beim BSI).

Was gilt für Produkte mit digitalen Elementen?

Der CRA betrifft alle Geräte und Softwareprodukte, die über eine digitale Schnittstelle verfügen – egal ob WLAN, Bluetooth oder Online-Verbindung. Das betrifft zum Beispiel:

  • Smartphones, Laptops, Smartwatches
  • Intelligente Spielzeuge und Haushaltsgeräte
  • Softwarelösungen für Buchhaltung, CRM oder Produktionssteuerung

Wichtig: Nicht-kommerzielle Open-Source-Software fällt nicht unter die CRA-Pflichten. Wer aber Open Source professionell einsetzt oder weiterverarbeitet, sollte genau hinsehen, ob Pflichten greifen.

Zeitplan: Fristen auf einen Blick

  • Ab 10.12.2024: CRA ist in Kraft
  • Ab 11.09.2026: Meldung kritischer Schwachstellen innerhalb von 24 Stunden verpflichtend
  • Ab 11.12.2027: Alle neu in Verkehr gebrachten Produkte müssen CRA-konform sein

Unternehmen sollten daher spätestens 2025 beginnen, ihre Produktentwicklung und Lieferkette auf die neuen Anforderungen auszurichten.

Was Hersteller jetzt konkret tun sollten

  1. CRA in Entwicklungsprozesse integrieren
    Die Cybersicherheit muss bereits in der Produktentwicklung mitgedacht werden. Dazu gehören:

    • Risikobewertungen für jedes Produkt
    • „Secure by Design“: Schwachstellen vermeiden, bevor sie entstehen
    • „Secure by Default“: Sichere Voreinstellungen und automatische Updates
  2. SBOM einführen (Software Bill of Materials)
    Diese Stückliste dokumentiert alle verwendeten Softwarekomponenten und Bibliotheken – Pflicht laut CRA.
    Wie so etwas konkret aussieht, zeigt die BSI-Richtlinie TR-03183:

    • Teil 1 – General Requirements: Leitlinien an Hersteller und Produkte in Anlehnung an die Anforderungen aus Artikeln und Anhängen des CRA.
    • Teil 2 – Software Bill of Materials (SBOM): Formelle und fachliche Vorgaben für die Erstellung von SBOMs.
    • Teil 3 – Vulnerability Reports and Notifications: Anforderungen an den Umgang mit Schwachstellenmeldungen und Sicherheitsvorfällen.
  3. Konformität dokumentieren
    Für viele Produkte reicht eine interne Selbstbewertung. Bei kritischen Produkten ist eine externe Prüfung erforderlich. Das BSI wird in Kürze zertifizierte Stellen benennen.
  4. Updates und Support regeln
    Hersteller müssen über den gesamten Supportzeitraum – meist fünf Jahre – Sicherheitsupdates bereitstellen und Schwachstellenmanagement betreiben.
  5. Frühzeitig Meldepflichten vorbereiten
    Ab 2026 müssen Unternehmen aktiv genutzte Schwachstellen schnell melden – über eine zentrale EU-Plattform. Ansprechpartner in Deutschland wird das BSI-CSIRT sein.

Herausforderungen für Hersteller in der Umsetzung

Für viele Unternehmen stellt der CRA einen Paradigmenwechsel dar. Besonders kleinere Hersteller oder solche mit internationalen Lieferketten müssen ihre Prozesse grundlegend überdenken. Häufig fehlt es an etablierten Sicherheitsstandards in der Produktentwicklung oder an Know-how im Bereich Schwachstellenmanagement. Auch die Verpflichtung, für die gesamte Supportdauer Updates bereitzustellen, erfordert organisatorische und technische Anpassungen. Hier empfiehlt es sich, frühzeitig mit internen Workshops oder externer Beratung zu arbeiten. Das BSI bietet zudem Schulungsmaterialien und Webinare an, um den Einstieg in die CRA-Umsetzung zu erleichtern.

CRA im Kontext anderer EU-Verordnungen

Der Cyber Resilience Act ist Teil einer größeren Digitalstrategie der EU. Parallel treten der Digital Services Act (DSA), der Digital Markets Act (DMA) und der AI Act in Kraft. Für Unternehmen bedeutet das: Es gilt, mehrere regulatorische Anforderungen gleichzeitig zu erfüllen. Umso wichtiger ist es, interne Compliance-Prozesse effizient zu gestalten. Das BSI unterstützt hier nicht nur inhaltlich, sondern auch mit Orientierungshilfen, wie sich CRA-Vorgaben mit bestehenden IT-Sicherheitsmaßnahmen kombinieren lassen.

Produktklassen: Standard, wichtig, kritisch

Die CRA unterscheidet drei Risikoklassen. Für „wichtige“ und „kritische“ Produkte gelten strengere Prüfpflichten. Ob ein Produkt betroffen ist, ergibt sich aus seiner Funktion (z. B. Passwortmanager, Netzwerktechnik) und wird in Anhängen der Verordnung konkret benannt.

Unterstützung für kleine Unternehmen

KMU und Start-ups werden nicht allein gelassen. Es gibt:

  • Praktische Leitfäden
  • Technische Vorlagen
  • Vereinfachte Dokumentationspflichten
  • Förderangebote und Testumgebungen (Regulatory Sandboxes)

Rolle der Normen

Technische Details werden in europäischen Normen konkretisiert. Wer sich daran orientiert, hat es bei der Prüfung leichter. Das BSI arbeitet aktiv an diesen Normen mit – zum Beispiel zu sicheren Update-Mechanismen oder zur Gestaltung von Benutzeroberflächen.

Fazit: Jetzt handeln – mit Unterstützung des BSI

Der CRA verändert die Anforderungen an vernetzte Produkte grundlegend. Wer frühzeitig handelt, sichert sich Wettbewerbsvorteile und schützt seine Kunden. Das BSI steht als Ansprechpartner bereit – mit Informationen, Richtlinien und konkreten Hilfestellungen.

Eine Übersicht aller Anforderungen und Hilfestellungen finden Sie auf der offiziellen CRA-Seite der EU-Kommission und beim BSI.

Erfahren Sie, wie wir Sie bei der Umsetzung zielgerichtet und praxisnah unterstützen – von der Gap-Analyse über SBOM-Konzepte bis zur Konformitätsbewertung: Prüfung & Implementierung.

Cybersecurity Act: Bedeutung, Zertifizierungen und Chancen für deutsche Unternehmen

Der Cybersecurity Act ist ein Kernstück der europäischen Digitalstrategie. Mit ihm wurde nicht nur die EU-Agentur für Cybersicherheit ENISA dauerhaft gestärkt, sondern auch ein europaweit einheitlicher Rahmen für Cybersicherheitszertifizierung geschaffen.
Für deutsche Unternehmen ist das längst mehr als ein theoretischer EU-Plan: Beschaffungsentscheidungen, Marktchancen und regulatorische Anforderungen sind direkt betroffen.

In diesem Beitrag erfahren Sie, was der Cybersecurity Act ist, für wen er wichtig ist, welche Zertifizierungen bestehen und wie er mit bisherigen Prüfungen zusammenspielt.

Was ist der Cybersecurity Act?

Der Cybersecurity Act (Verordnung (EU) 2019/881) verfolgt zwei zentrale Ziele:

  1. Stärkung von ENISA: Die EU-Agentur für Cybersicherheit erhielt ein dauerhaftes Mandat, um Mitgliedstaaten, Institutionen und Unternehmen zu unterstützen – z. B. bei Incident Response, Risikomanagement und Cybersecurity-Strategien.
  2. Europäisches Zertifizierungsrahmenwerk: Produkte, Dienste und Prozesse im Bereich IKT können nach EU-weit harmonisierten Standards zertifiziert werden.

Die Zertifikate basieren auf drei Vertrauensstufen (basic, substantial, high) und gelten in allen Mitgliedstaaten. Damit wird der Flickenteppich nationaler Zertifizierungen aufgelöst.

Für welche Unternehmen ist der Cybersecurity Act relevant?

Die Teilnahme an EU-Zertifizierungen ist zwar freiwillig, in der Praxis gewinnen sie jedoch massiv an Bedeutung, da öffentliche Auftraggeber und internationale Geschäftspartner diese Nachweise zunehmend verlangen. Besonders betroffen sind:

  • Hersteller von Hard- und Software (z. B. Chips, Smartcards, Security-Software)
  • Cloud-Anbieter – hier wird das künftige EUCS-Schema entscheidend
  • Managed Security Services (MSS) – seit 2025 im CSA-Rahmen verankert
  • KRITIS-Betreiber und regulierte Sektoren (Energie, Transport, Finanz- und Gesundheitswesen)
  • Zulieferer in globalen Lieferketten, die ihre Vertrauenswürdigkeit nachweisen müssen

Für deutsche Unternehmen heißt das: Zertifizierung wird mehr und mehr zu einem Wettbewerbsfaktor.

Welche Zertifizierungen stehen mit dem Cybersecurity Act in Verbindung?

Der CSA ist ein Rahmenwerk. Die eigentlichen Zertifizierungsschemata werden durch die EU-Kommission verabschiedet. Aktuell gilt bzw. entsteht:

EUCC – European Common Criteria

Erstes offizielles EU-Zertifizierungsschema (seit 27. Februar 2025 anwendbar), ersetzt nationale CC-Zertifikate, gilt für ICT-Produkte (Assurance: substantial & high). Rechtsgrundlage:
Durchführungsverordnung (EU) 2024/482.

EUCS – European Cybersecurity Certification Scheme for Cloud Services

Zertifizierungsschema für Cloud-Dienste (IaaS, PaaS, SaaS), mit Levels basic, substantial, high. Noch nicht final verabschiedet, aber als
Candidate Scheme bei ENISA veröffentlicht.

EUSCS – European Scheme for Managed Security Services

Erweiterung des CSA seit 2025; künftig Zertifizierungen für Sicherheitsdienstleister (z. B. Penetration Testing, Threat Intelligence, Incident Response).

Zusammenspiel mit bisherigen Zertifizierungen

Viele Unternehmen verfügen bereits über BSI C5, ISAE 3402, ISAE 3000 oder IDW PS 860/880. Diese Nachweise bleiben relevant, weil sie von Kunden, Aufsichtsbehörden und internationalen Partnern nachgefragt werden. Der Cybersecurity Act schafft eine europäische Ergänzung:

  • Schwerpunktsetzung: Während C5/ISAE/IDW vor allem Kontrollen, Prozesse und Governance adressieren, bescheinigen CSA-Zertifikate primär die technische Sicherheit von Produkten und Diensten.
  • Koexistenz statt Ablösung: Bestehende Testate bleiben wertvoll. CSA-Zertifikate erweitern das Nachweis-Portfolio und erleichtern die Anerkennung am EU-Binnenmarkt.
  • Brücke zum CRA: CSA-Zertifizierungen (z. B. EUCC) können eine Vermutungswirkung in Richtung Cyber-Resilience-Konformität entfalten.

Verbindung zum Cyber Resilience Act

Der Cybersecurity Act steht in engem Zusammenhang mit dem Cyber Resilience Act (CRA) (EU-Informationsseite).
Der CRA verpflichtet Hersteller und Anbieter von Produkten mit digitalen Elementen ab 2027 zu strengen Sicherheits- und Meldepflichten; bereits ab September 2026 starten Reporting-Pflichten für Schwachstellen und Vorfälle.

Vorteil: CSA-Zertifizierungen wie EUCC können als Konformitätsnachweis herangezogen werden.

Was bedeutet das für deutsche Unternehmen?

  • Zertifizierungsstrategie entwickeln: Identifizieren, welche Produkte/Services EUCC- oder künftig EUCS-relevant sind.
  • Fristen im Blick behalten: CRA-Meilensteine ab 2026 rechtzeitig operativ verankern (Reporting, SBOM, Patch-Prozesse).
  • Bestehende Zertifikate nutzen: C5/ISAE/IDW mit CSA-Zertifikaten kombinieren, um unterschiedliche Stakeholder-Anforderungen abzudecken.
  • Wettbewerbs- und Beschaffungsvorteile sichern: EU-Zertifikate werden in Ausschreibungen und großen Deals zunehmend erwartet.

Passende Grundlagen und praktische Umsetzung unterstützen wir u. a. über ISO 27001-Leistungen.

Fazit

Der Cybersecurity Act ist das Fundament für ein europaweites Zertifizierungssystem. Mit EUCC ist das erste Schema Realität,
EUCS (Cloud) und EUSCS (Security Services) folgen. Für deutsche Unternehmen heißt das:
Bestehende Zertifizierungen wie BSI C5, ISAE 3402/3000, IDW PS bleiben wichtig, werden aber durch CSA-Zertifikate sinnvoll ergänzt.
Wer die Synergien nutzt, stärkt seine Marktposition, beschleunigt Nachweise gegenüber Kunden und Behörden und ist bestens auf den
Cyber Resilience Act vorbereitet.

Was ist KRITIS? Definition und Anforderungen für Unternehmen in Deutschland

Kritische Infrastrukturen (KRITIS) sind für die Versorgungssicherheit in Deutschland unverzichtbar.

Steigende Cyberangriffe und neue EU-Regelungen wie NIS-2 erhöhen den Druck auf betroffene Unternehmen. Betreiber in Sektoren wie Energie, Wasser, IT und Telekommunikation, Gesundheit oder Transport müssen prüfen, ob sie KRITIS-Schwellenwerte erfüllen.

Für IT-Leitungen, Sicherheitsbeauftragte und Compliance-Verantwortliche bedeutet das: Rechtliche Rahmenbedingungen verstehen und Betreiberpflichten erfüllen, um gesetzeskonform und sicher aufgestellt zu sein.

Was bedeutet der Begriff KRITIS?

Unter KRITIS versteht man in Deutschland sogenannte Kritische Infrastrukturen – also Organisationen und Anlagen, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit nach sich ziehen würde.

Der gesetzliche Rahmen wird durch das BSI-Gesetz (BSIG), die KRITIS-Verordnung und ergänzende Regelwerke wie das IT-Sicherheitsgesetz definiert. Mit der schrittweisen Umsetzung der EU-NIS-2-Richtlinie in deutsches Recht kommen weitere Anforderungen hinzu.

Kritische Dienstleistungen im Überblick

Zu den kritischen Dienstleistungen zählen die Energieversorgung, die Trinkwasserversorgung, der Betrieb von Krankenhäusern oder zentrale IT- und Telekommunikationsdienste.

Unternehmen, die in diesen Bereichen tätig sind, gelten als potenzielle KRITIS-Betreiber und müssen prüfen, ob sie die gesetzlich festgelegten Schwellenwerte erreichen.

Gerade im B2B-Kontext ist dieses Wissen entscheidend: Wenn Ihr Unternehmen Teil einer Lieferkette oder Betreiber einer kritischen Dienstleistung ist, haben Sie besondere Sicherheits- und Meldepflichten.

Welche Sektoren gehören konkret zu KRITIS?

In Deutschland definiert das BSI im Rahmen der KRITIS-Verordnung und des IT-Sicherheitsgesetzes, welche Sektoren als Kritische Infrastrukturen gelten.

Diese Bereiche sind so zentral für die Versorgungssicherheit, dass ihr Ausfall erhebliche Folgen für Wirtschaft und Gesellschaft hätte.

KRITIS Sektoren:

  • Energie: Strom-, Gas- und Kraftstoffversorgung, Netzbetrieb und Energiehandel
  • Wasser: Trinkwasserversorgung und Abwasserentsorgung
  • Ernährung: Produktion, Verarbeitung und Logistik von Lebensmitteln
  • Gesundheit: Krankenhäuser, Kliniken, Notfallversorgung und teilweise Apotheken
  • Informationstechnik & Telekommunikation: Rechenzentren, Internetknoten, Telekommunikationsnetze
  • Finanz- und Versicherungswesen: Zahlungsverkehr, Börsen, Versicherungsdienstleistungen
  • Transport und Verkehr: Bahn, Luftfahrt, Schifffahrt und Logistiknetzwerke
  • Weitere Sektoren: Staat und Verwaltung sowie Medien und Kultur

Rechtliche Konsequenzen für Unternehmen:

Für Unternehmen in diesen Bereichen gilt: Sobald die gesetzlichen Schwellenwerte erreicht werden, greifen umfangreiche Anforderungen aus dem BSIG, der KRITIS-Verordnung und zukünftig der NIS-2-Richtlinie.

Das umfasst Meldepflichten, technische und organisatorische Sicherheitsmaßnahmen sowie regelmäßige Nachweise gegenüber Behörden.

Wann gehört ein Unternehmen zu KRITIS?

Nicht jedes Unternehmen in einem KRITIS-Sektor wird automatisch als KRITIS-Betreiber eingestuft.

Entscheidend sind klar definierte Schwellenwerte und Kriterien, die in der KRITIS-Verordnung festgelegt sind.

Was bedeuten Schwellenwerte konkret?

Die Schwellenwerte sind je nach Sektor unterschiedlich und orientieren sich an messbaren Größen:

  • Energie: Netzbetreiber, die eine bestimmte Anzahl an Haushalten versorgen oder eine festgelegte Netzlänge betreiben
  • Wasser: Trinkwasserversorger, die eine definierte Anzahl von Menschen zuverlässig versorgen
  • Gesundheit: Krankenhäuser, die jährlich eine bestimmte Anzahl vollstationärer Fälle behandeln
  • IT & Telekommunikation: Rechenzentren oder Internetknoten, die eine festgelegte Leistungskapazität oder bestimmte Kundenzahlen überschreiten

Wer sind KRITIS-Betreiber?

Als KRITIS-Betreiber gelten Unternehmen, die diese Schwellenwerte erfüllen und eine kritische Dienstleistung erbringen, deren Ausfall die Versorgungssicherheit gefährden würde.

Welche Pflichten ergeben sich daraus?

Meldepflichten: Sicherheitsvorfälle müssen unverzüglich an das BSI gemeldet werden

IT-Sicherheitsmaßnahmen: Umsetzung von Maßnahmen nach IT-Sicherheitsgesetz und zukünftig NIS-2-Richtlinie, inklusive regelmäßiger Sicherheitsüberprüfungen

Nachweispflichten: Dokumentation und Auditierung der umgesetzten Schutzmaßnahmen

Was ist die KRITIS-Verordnung und welche Gesetze sind relevant?

Das Herzstück bildet die KRITIS-Verordnung, die im BSI-Gesetz (BSIG) verankert ist. Sie konkretisiert die gesetzlichen Vorgaben und beschreibt im Detail, welche kritischen Dienstleistungen erfasst sind und welche Anforderungen ab den definierten Schwellenwerten gelten.

Rechtlicher Rahmen im Überblick

Nationaler Rahmen: Das IT-Sicherheitsgesetz 2.0 verpflichtet Betreiber, technische und organisatorische Schutzmaßnahmen nach dem aktuellen Stand der Technik umzusetzen.

Europäischer Rahmen: Die EU-NIS-2-Richtlinie wird schrittweise in deutsches Recht umgesetzt und erweitert den Kreis der betroffenen Unternehmen. Sie führt strengere Melde-, Prüf- und Nachweispflichten ein.

Standards und Zertifizierungen
Um diese Anforderungen zu erfüllen, sind regelmäßige Audits, Prüfungen oder Zertifizierungen notwendig.

Anerkannte Standards sind:

·       ISO 27001 (auf Basis des IT-Grundschutzes oder in der internationalen Variante)

·       B3S (branchenspezifische Sicherheitsstandards)

·       BSI C5 Katalog (bei der Nutzung von Cloud Services)

Diese Nachweise dienen als Beleg dafür, dass die geforderten Schutzmaßnahmen umgesetzt werden.

Warum ist KRITIS für Unternehmen wichtig?

Compliance und Wettbewerbsvorteile
Sich mit den Anforderungen für Kritische Infrastrukturen auseinanderzusetzen, bringt Unternehmen nicht nur in Einklang mit gesetzlichen Vorgaben. Es schafft vor allem einen nachhaltigen Mehrwert.

Resilienz und Vertrauen schaffen
Unternehmen, die frühzeitig ihre Prozesse an den geforderten Standards ausrichten und ihre Sicherheitsmaßnahmen systematisch überprüfen lassen, erhöhen die Resilienz ihrer Infrastruktur und gewinnen das Vertrauen von Kunden, Partnern und Behörden.

Investition in die Zukunft
Eine nachweislich robuste Sicherheitsarchitektur verbessert die Reputation, schafft Argumente in Ausschreibungen und reduziert gleichzeitig das Risiko von Sicherheitsvorfällen und damit verbundenen Kosten.

Fazit – mehr als nur ein rechtlicher Rahmen

KRITIS ist für Unternehmen in Deutschland mehr als nur ein rechtlicher Rahmen: Es ist ein entscheidender Baustein für Sicherheit, Resilienz und Vertrauen.

Wer sich frühzeitig mit der KRITIS-Verordnung, dem IT-Sicherheitsgesetz und den Anforderungen der NIS-2-Richtlinie auseinandersetzt, schützt nicht nur seine eigenen kritischen Dienstleistungen, sondern verschafft sich auch Vorteile im Wettbewerb und in der Zusammenarbeit mit Kunden und Partnern.

Sie möchten wissen, ob Ihr Unternehmen zu KRITIS zählt?

Unsere Experten unterstützen Sie bei der Analyse und Umsetzung!

Sie haben Fragen zur KRITIS-Compliance oder möchten sich konkret auf Zertifizierung vorbereiten?
Wir freuen uns auf den Austausch – Rufen Sie uns an!

Foto: istockphoto/NicoElNino

 

Zweck der DORA Verordnung: Digitale Resilienz in Finanzunternehmen nachhaltig stärken

Die DORA Verordnung (Digital Operational Resilience Act) ist ein zentraler EU-Rechtsrahmen, der auf die digitale Resilienz von Finanzunternehmen abzielt. Ziel ist es, Cyberrisiken systematisch zu minimieren, die Betriebskontinuität zu sichern – und IT-Störungen frühzeitig zu erkennen, abzuwehren und zu überstehen.

Cyberangriffe, Systemausfälle und IKT-Risiken sind längst keine Ausnahmeerscheinung mehr – sie sind ein strukturelles Risiko für Finanz- und Versicherungsdienstleister in der gesamten EU. Genau an dieser Stelle setzt die DORA Verordnung für digitale Resilienz in Finanzunternehmen (Digital Operational Resilience Act) an: Sie will Schwachstellen in IT-Systemen minimieren, die Reaktionsfähigkeit erhöhen und damit die Stabilität des EU-Finanzsystems stärken. Doch der wahre Zweck von DORA geht über technische Anforderungen hinaus. Es geht um ein grundlegendes Umdenken: Wie können Institute ihre IKT-Systeme, Prozesse und Dienstleister so aufstellen, dass sie auch in Krisensituationen widerstandsfähig und funktionsfähig bleiben?

Welche Anforderungen stellt die DORA Verordnung an die digitale Resilienz von Finanzunternehmen?

Die DORA-Verordnung ist keine rein technische Regulierung – sie ist die strategische Reaktion der Europäischen Union auf die zunehmende Abhängigkeit des Finanz- und Versicherungssektors von digitalen Systemen und global vernetzten IKT-Dienstleistern. Mit dem Digital Operational Resilience Act (DORA) will die EU einheitliche Standards für IKT-Risikomanagement, Cybersecurity und IT-Resilienz im gesamten Finanzdienstleistungssektor schaffen.

Dabei stehen insbesondere sogenannte IKT-Systeme im Mittelpunkt – also sämtliche Informations- und Kommunikationstechnologien, die für den operativen Betrieb eines Finanz- oder Versicherungsdienstleisters entscheidend sind. Dazu zählen unter anderem Netzwerke, Datenbanken, Cloud-Anwendungen, interne Plattformen sowie die Infrastruktur externer IT-Dienstleister. DORA betrachtet diese Systeme nicht isoliert, sondern als integralen Bestandteil unternehmerischer Resilienz.

Ziel der Verordnung ist es, die digitale operationale Resilienz aller Marktteilnehmer sicherzustellen – also ihre Fähigkeit, IT-Störungen, Angriffe und Ausfälle nicht nur zu erkennen, sondern auch gezielt abzuwehren und geschäftskritische Prozesse aufrechtzuerhalten.

Besonders wichtig ist der systemische Ansatz der DORA-Regulierung: Nicht nur einzelne Banken oder Versicherungen sollen widerstandsfähiger werden – die Stabilität des gesamten EU-Finanzsystems steht im Fokus. Denn eine digitale Schwachstelle bei einem Anbieter kann Kettenreaktionen auslösen – mit potenziell erheblichen Auswirkungen auf Märkte, Kunden und die Finanzaufsicht.

Für wen gilt die DORA-Verordnung – und warum ist sie für den Finanzsektor so entscheidend?

Der Anwendungsbereich der DORA-Verordnung ist breit gefasst – und gerade das macht die Umsetzung für viele Unternehmen zur Herausforderung. Der Digital Operational Resilience Act gilt für nahezu alle Unternehmen der Finanz- und Versicherungswirtschaft in der EU, darunter Banken, Versicherungen, Kapitalverwaltungsgesellschaften, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Krypto-Dienstleister, Pensionskassen sowie Betreiber von Handelsplätzen und Verwahrstellen. Auch kleinere, bislang weniger regulierte Akteure im Finanzmarkt müssen sich mit der neuen EU DORA Regulation auseinandersetzen – unabhängig von ihrer Größe.

Besonders weitreichend ist DORA jedoch, weil sie auch IKT-Drittdienstleister in die Verantwortung nimmt. Dazu zählen IT-Outsourcing-Partner, Cloud-Service-Anbieter, Datenzentren, Infrastrukturbetreiber und andere Unternehmen, die für den sicheren, stabilen Betrieb der IT-Systeme von Finanzdienstleistern essenziell sind. Die Verordnung sieht vor, dass diese kritischen IKT-Dienstleister künftig unter direkter Aufsicht der EU-Finanzaufsichtsbehörden (speziell in Deutschland die BaFin)  stehen – eine bedeutende Neuerung im regulatorischen Rahmen.

Damit betrifft DORA Compliance nicht nur klassische Finanzinstitute, sondern ganze Wertschöpfungsketten im Finanz-IT-Bereich. Wer Dienstleistungen für Banken, Versicherer oder Investmentgesellschaften erbringt, sollte seine Rolle im DORA-Anwendungsbereich jetzt kritisch prüfen – und entsprechende Vorbereitungen treffen.

Was verlangt DORA konkret? Zentrale Anforderungen an digitale Resilienz & Compliance

Zu den wesentlichen Handlungsfeldern der DORA-Umsetzung gehören:

  • IKT-Risikomanagement: Finanz- und Versicherungsunternehmen müssen ihre gesamten IKT-Strukturen erfassen, Schwachstellen identifizieren und ein nachvollziehbares System zur Risikobewertung und -steuerung etablieren. Dieses IKT-Risikomanagement ist kontinuierlich zu überprüfen und in die übergeordnete Governance einzubetten.
  • Vorfallmanagement und Meldeprozesse: DORA verpflichtet zu standardisierten Abläufen bei schwerwiegenden IKT-Vorfällen. Diese müssen nicht nur intern bearbeitet, sondern in definierten Fällen auch an die zuständigen EU-Aufsichtsbehörden gemeldet werden. Ziel ist es, Transparenz im gesamten Finanzsektor herzustellen und die gemeinsame Reaktionsfähigkeit zu verbessern.
  • Testverfahren zur digitalen Belastbarkeit: Die operative Resilienz muss regelmäßig überprüft werden – etwa durch Penetrationstests, simulationsbasierte Übungen oder andere technische Belastungstests. Diese Tests sollen nicht nur Schwachstellen aufdecken, sondern auch die Wirksamkeit bestehender Schutzmechanismen nachweisen.
  • Steuerung externer IKT-Dienstleister: Da viele Institute auf Cloud-Anbieter und externe IT-Dienstleister angewiesen sind, verlangt DORA klare Regeln zur vertraglichen, technischen und operativen Kontrolle dieser Beziehungen. Dazu zählen Exit-Strategien, Sicherheitsprüfungen und Risikoanalysen im Rahmen des Lieferkettenmanagements.
  • Sicherstellung der Betriebsfähigkeit: Unternehmen müssen gewährleisten, dass sie auch bei erheblichen Systemstörungen weiter arbeitsfähig bleiben. Dazu sind Maßnahmen wie Wiederherstellungspläne, Business Continuity Management (BCM) und regelmäßige Notfalltests erforderlich.

Die DORA Verordnung schreibt unter anderem vor, dass Finanzunternehmen ihre digitale Resilienz systematisch prüfen und dokumentieren müssen – insbesondere im Hinblick auf Drittanbieter und vernetzte IT-Infrastrukturen.

Ziel ist nicht nur die Einhaltung regulatorischer Anforderungen, sondern der strategische Aufbau digitaler Resilienz in Finanzunternehmen.

Frühzeitig handeln: Wie Sie die DORA Verordnung strategisch in Finanzunternehmen umsetzen

Ab dem 17. Januar 2025 ist die DORA-Verordnung verbindlich anzuwenden. Doch um DORA Compliance rechtzeitig zu erreichen, müssen viele Finanz- und Versicherungsdienstleister jetzt aktiv werden: Prozesse analysieren, Zuständigkeiten klären und Systeme anpassen. Frühzeitiges Handeln schafft dabei nicht nur Rechtssicherheit – es verbessert auch Transparenz, Risikosteuerung und IT-Governance nachhaltig.

Ein guter Einstieg beginnt mit einer Gap-Analyse, um bestehende Maßnahmen mit den DORA-Anforderungen abzugleichen. Darauf aufbauend lässt sich eine DORA-Umsetzungsstrategie mit klaren Verantwortlichkeiten und Prioritäten entwickeln – bis hin zur gezielten Audit-Vorbereitung.

Wer bereits heute auf DORA-konforme IT-Dokumentation, Vorfallmanagement und funktionierendes Business Continuity Management (BCM) setzt, reduziert nicht nur Prüfaufwand – sondern stärkt auch das Vertrauen von Aufsicht, Investoren und Kunden.

Was können wir für Sie tun?

Als spezialisierter Partner für die prüfungsnahe Beratung im Finanzsektor unterstützt die Securance – iAP GmbH Unternehmen dabei, die Anforderungen der DORA-Verordnung nachvollziehbar, effizient und revisionssicher umzusetzen. Unser Fokus liegt dabei auf strukturellen, organisatorischen und dokumentationsbezogenen Aspekten.

Unsere Leistungen im Überblick:

  1. DORA Readiness Assessment: Reifegradanalyse zur Bewertung bestehender IKT-Kontrollen und Identifikation von Umsetzungsbedarf
  2. Aufbau und Optimierung IKS (IKT-bezogen): Entwicklung praxistauglicher, prüfbarer Kontrollsysteme im Einklang mit regulatorischen Vorgaben
  3. Beratung zum Business Continuity Management (BCM): Unterstützung bei der Konzeption von Notfallprozessen – abgestimmt auf ISO 22301
  4. Vorbereitung auf DORA-bezogene Prüfungen: Strukturierte Unterstützung bei der Erstellung und Pflege prüffähiger IT-Dokumentation und Governance-Nachweise
  5. Input zu DORA Compliance-Strukturen & Dokumentationsstandards: Unterstützung bei der internen Umsetzung regulatorischer Anforderungen

Fazit – DORA ist mehr als nur Compliance

Die DORA-Verordnung verfolgt ein klares Ziel: Sie soll die digitale Widerstandsfähigkeit des europäischen Finanzsektors nachhaltig stärken. Im Fokus steht nicht nur der Schutz einzelner Unternehmen, sondern die Stabilität des gesamten Systems – insbesondere im Umgang mit IKT-Risiken, Cyberbedrohungen und ausgelagerten IT-Diensten.

Für Finanzdienstleister bietet DORA die Chance, ihre Organisation gezielt robuster und transparenter aufzustellen. Wer sich frühzeitig mit der DORA-Umsetzung 2025 beschäftigt, reduziert Risiken, erfüllt die Anforderungen der EU-Finanzaufsicht – und stärkt das Vertrauen von Kunden und Partnern.

Mit tiefem Verständnis für regulatorische Anforderungen und umfassender Erfahrung im Finanzsektor hilft Ihnen die Securance – iAP GmbH, die DORA Verordnung zur digitalen Resilienz in Finanzunternehmen effizient und strukturiert in die Praxis umzusetzen.

Durch die gezielte Umsetzung der DORA Verordnung zur digitalen Resilienz in Finanzunternehmen stärken Organisationen nicht nur ihre Cyberabwehr, sondern sichern auch ihre Zukunftsfähigkeit. Die Anforderungen dienen nicht nur der regulatorischen Erfüllung, sondern etablieren digitale Resilienz als strategischen Erfolgsfaktor.

Mit den richtigen Maßnahmen – von Risikomanagement über Vorfallbearbeitung bis hin zur Governance externer IT-Dienstleister – wird DORA zur Chance: Für mehr Sicherheit, Vertrauen und Wettbewerbsfähigkeit im digitalen Finanzmarkt.

Sie haben Fragen zur DORA-Compliance oder möchten sich konkret vorbereiten?
Wir freuen uns auf den Austausch – Rufen Sie uns an oder sichern Sie sich direkt unser Whitepaper:

DORA – Schritt für Schritt-Anleitung

Foto: istockphoto/NicoElNino

 

NIS 2, DORA – Gemeinsamkeiten und Unterschiede und was sonst noch wichtig ist

Die Network-and-Information-Security-Richtlinie 2.0-Richtlinie (NIS 2), in Kraft seit dem 16. Januar 2023, legt EU-weite Sicherheitsstandards für kritische Infrastrukturen und wesentliche Dienstleister fest, darunter Unternehmen in den Sektoren Energie, Verkehr, Finanzdienstleistungen und digitale Dienste. Sie zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyberangriffen zu stärken und die Reaktionsfähigkeit im Falle von Sicherheitsvorfällen zu verbessern, indem sie klare Anforderungen an das Risikomanagement und das Reporting von Sicherheitsvorfällen stellt.

Was ist DORA?

DORA (Digital Operational Resilience Act) konzentriert sich auf den Finanzsektor und zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyber-Angriffen, wie zum Beispiel Denial-of-Service-Attacken, sicherzustellen. Es fasst die Leitlinien der Europäischen Bankenaufsicht in einem kompakten Rahmenwerk zusammen, um die Cyber-Sicherheit in diesem Sektor zu verbessern.

Was sind die Gemeinsamkeiten von NIS 2 und DORA?

Sowohl NIS 2 als auch DORA zielen darauf ab, die Cybersicherheit in Unternehmen zu verbessern und die Risiken im Zusammenhang mit der Nutzung von Informations- und Kommunikationstechnologie (IKT) zu adressieren.

Sie legen Anforderungen an Finanzdienstleister fest und fordern Maßnahmen wie Risikobewertungen, die auch Lieferketten umfassen, um die Sicherheit zu gewährleisten.

Beide betonen die Bedeutung der Einbeziehung von Software-Zulieferern in das Risikomanagement und die Sicherheitsüberprüfungen. Während DORA auf regelmäßige Penetrationstests und Sicherheitsüberprüfungen alle drei Jahre abzielt, erfordert NIS 2 zumindest in Deutschland alle zwei Jahre ein Sicherheitsaudit.

Darüber hinaus sehen beide Vorschriften Strafen vor, die sowohl für Unternehmen als auch für leitende Personen wie das Top-Management und die Geschäftsführung gelten, falls die Anforderungen nicht erfüllt werden. Diese Strafen richten sich entweder nach dem Jahresumsatz des Unternehmens oder einer festgelegten Summe, ähnlich den Sanktionen in der Datenschutzgrundverordnung.

Worin unterscheiden sich NIS 2 und DORA?

NIS 2 und DORA weisen trotz einiger Gemeinsamkeiten grundlegende Unterschiede auf.

Während NIS 2 darauf abzielt, die Cybersicherheit EU-weit zu harmonisieren und den Informationsaustausch nach Angriffen zu verbessern, konzentriert sich DORA hauptsächlich auf die Aufrechterhaltung der Betriebsstabilität im Finanzsektor.

NIS 2 legt grobe Anforderungen an das Risikomanagement und das Reporting fest, während DORA konkretere Maßnahmen wie Penetrationstests und Sicherheitsaudits vorschreibt, um die Funktionsfähigkeit trotz erfolgreicher Angriffe sicherzustellen.

Die Klärung der Zuständigkeiten bleibt eine Herausforderung, da für NIS 2 die Prüfkompetenz in Deutschland beim BSI bzw. der BaFin liegt, während Artikel 46 von DORA eine Reihe von Behörden vorsieht, die die Einhaltung der Vorschriften sicherstellen sollen, darunter die EZB und möglicherweise auch die BaFin.

Welche Norm ist anzuwenden, wenn Sie sowohl von NIS 2 als auch DORA betroffen sind?

Wenn ein Unternehmen sowohl von NIS 2 als auch von DORA betroffen ist, hat DORA Vorrang. Dies liegt daran, dass DORA speziell auf den Finanzsektor zugeschnitten ist und spezifischere Anforderungen festlegt.

In Fällen, in denen NIS 2 Bereiche reguliert, die nicht von DORA abgedeckt sind, muss jedoch auch NIS 2 berücksichtigt werden.

Sollte auch DORA betrachtet werden, wenn unser Unternehmen nur NIS 2 unterliegt?

Auch wenn Ihr Unternehmen nur NIS-2 unterliegt, kann es sinnvoll sein, sich mit den spezifischeren Anforderungen von DORA vertraut zu machen. Diese können als Referenz dienen, um einen umfassenderen Überblick darüber zu erhalten, wie Ihr Unternehmen im Vergleich zu den strengeren Anforderungen von DORA aufgestellt ist. Auf diese Weise können potenzielle Lücken oder Bereiche identifiziert werden, in denen zusätzliche Maßnahmen erforderlich sind, um die Anforderungen von NIS 2 zu erfüllen.

Bis wann haben die Unternehmen Zeit, die Vorgaben umzusetzen?

Die Umsetzungsfrist für die NIS 2-Richtlinie endet im Oktober 2024, nachdem es im Januar 2023 in Kraft getreten ist.

Der Digital Operational Resiliance Act (DORA) ist eine Verordnung, d.h. ein direkt gültiges, europäisches Gesetz, und tritt 2025 in den Mitgliedsstaaten unmittelbar und unverändert in Kraft.

Fazit: Die Kritik an NIS 2 und DORA?

Die Cyber-Sicherheit ist in der heutigen digitalen Welt von entscheidender Bedeutung, insbesondere für Unternehmen im Finanzsektor. Um dieser wachsenden Bedrohung gerecht zu werden, hat die EU Regularien wie den Digital Operational Resilience Act (DORA) und die Network and Information Security 2 (NIS 2) eingeführt. Diese sollen die Resilienz stärken und die Betriebsstabilität im Finanzsektor sicherstellen. Doch das Nebeneinander dieser beiden Regularien wirft einige Herausforderungen auf.

Das gleichzeitige Bestehen von DORA und NIS 2 könnte zu einem erhöhten bürokratischen Aufwand führen. Unternehmen sehen sich möglicherweise mit unterschiedlichen Anforderungen und Prüfverfahren konfrontiert, was die Umsetzung erschweren könnte. Diese Situation birgt die Gefahr eines Audit-Chaos, da Unternehmen Schwierigkeiten haben könnten, die Anforderungen beider Regularien effizient zu erfüllen.

Es ist wichtig, dass die Regulierungsbehörden und betroffene Parteien, die die verschiedenen Gesetze und Richtlinien ausarbeiten, enger zusammenarbeiten, um Redundanzen zu vermeiden, die Zusammenarbeit zu verbessern und klare Leitlinien für die Umsetzung der Regularien bereitzustellen. Durch eine effiziente Koordination, mehr Abstimmung und klare Kommunikation zwischen den einzelnen Mitgliedsstaaten der europäischen Union kann das Risiko eines Audit-Chaos minimiert werden und die Effektivität der Cybersicherheitsmaßnahmen im Finanzsektor gestärkt werden.

Insgesamt ist es entscheidend, dass alle Beteiligten sich der Herausforderungen bewusst sind und gemeinsam daran arbeiten, Wege zu finden, um das Nebeneinander von DORA und NIS 2 im Finanzsektor der EU erfolgreich zu bewältigen.

Wie kann Securance-iAP dabei unterstützen?

Securance-iAP begleitet Sie professionell bei der Umsetzung von NIS-2 und DORA – von der ersten Gap-Analyse bis zum prüfungssicheren Bericht.
Unsere Leistungen umfassen:

  • Systematische Anforderungsermittlung über Gap-Analysen für NIS-2 und DORA

  • Aufbau und Optimierung prüfbarer IKT-Kontrollsysteme (IKS) zur Sicherstellung der Compliance

  • Beratung zum Business Continuity Management (BCM) und Incident-Response-Strategien

  • Auditvorbereitung mit revisionssicheren Nachweisen für Governance und IT-Sicherheit

Mit rechtzeitigen Änderungen bei der physischen Sicherheit in Ihrer Organisation können Sie sich schon früh auf die Anforderungen von NIS 2 und DORA einstellen. Dank unserer langjährigen Erfahrung im KRITIS-Bereich sowie im Finanzsektor unterstützen wir Sie gezielt bei der Vorbereitung und der nachhaltigen Einhaltung dieser Vorschriften.

👉 Noch nicht sicher, wo Sie starten sollen?
Laden Sie jetzt unsere kostenlosen Schritt-für-Schritt-Anleitungen herunter:

So gewinnen Sie einen schnellen Einstieg und eine klare Roadmap – und mit Securance-iAP den richtigen Partner für eine nachhaltige Compliance-Strategie.

DORA – Digital Operational Resilience Act

DORA steht für „Digital Operational Resilience Act“ und ist eine EU-Verordnung, die darauf abzielt, die digitale Betriebsfähigkeit und Widerstandsfähigkeit von Unternehmen im Finanzsektor zu stärken. Diese Verordnung wurde erstmals im September 2020 von der Europäischen Kommission vorgeschlagen und hat das Ziel, den Umgang mit Informations- und Kommunikationstechnologierisiken (IKT-Risiken) im Finanzdienstleistungssektor zu verbessern.

Die Verordnung wurde im November 2022 offiziell vom Rat der Europäischen Union und dem Europäischen Parlament angenommen. DORA gilt für eine Vielzahl von Finanzinstituten, darunter Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und weitere. Auch Unternehmen, die kritische IKT-Dienstleistungen für den Finanzsektor erbringen, fallen unter den Anwendungsbereich von DORA.

Die Umsetzung von DORA erfolgt schrittweise. Obwohl die Verordnung bereits in Kraft ist, wird ihre Anwendung erst ab dem 17. Januar 2025 wirksam. Dies gibt den betroffenen Unternehmen Zeit, die notwendigen Anpassungen vorzunehmen.

Die Hauptziele von DORA

  1. Umfassende Behandlung des IKT-Risikomanagements: DORA legt großen Wert auf die Einführung eines umfassenden IKT-Risikomanagements im Finanzsektor. Das beinhaltet die Identifizierung von Risiken, die Bewertung ihrer Auswirkungen auf den Geschäftsbetrieb und die Umsetzung von Maßnahmen zur Reduzierung dieser Risiken.
  2. Harmonisierung der IKT-Risikomanagementvorschriften: Vor DORA gab es in den verschiedenen EU-Mitgliedstaaten unterschiedliche Vorschriften zum IKT-Risikomanagement. DORA strebt eine Harmonisierung dieser Vorschriften an, um ein einheitliches Regelwerk zu schaffen und die Compliance für Finanzinstitute zu erleichtern.
  3. Stärkung der Resilienz des Finanzsystems: Durch die Einführung von strengen Anforderungen an die digitale Betriebsfähigkeit und Cybersicherheit zielt DORA darauf ab, die Widerstandsfähigkeit des gesamten EU-Finanzsystems gegenüber digitalen Störungen und Sicherheitsvorfällen zu stärken.
  4. Schaffung eines europaweiten Regelwerks: DORA schafft ein europaweites Regelwerk für die digitale Betriebsfähigkeit und Cybersicherheit im Finanzsektor. Dies soll dazu beitragen, regulatorische Fragmentierung zu reduzieren und gleichzeitig die Sicherheit des Finanzsektors zu gewährleisten.

Um diese Ziele zu erreichen, setzt DORA strenge Anforderungen an die betroffenen Finanzinstitute. Diese müssen sicherstellen, dass ihre IKT-Systeme robust sind, gut durchdachte Prozesse implementiert sind und klare Vereinbarungen mit IKT-Dienstleistern getroffen werden. Die Verordnung legt außerdem besonderen Wert auf das Risikomanagement von Drittanbietern und die Notwendigkeit eines effektiven Informationsaustauschs über Cyberbedrohungen zwischen den Finanzunternehmen und den Aufsichtsbehörden.

Für wen gilt DORA?

DORA (Digital Operational Resilience Act) gilt für eine breite Palette von Akteuren im Finanzsektor innerhalb der Europäischen Union. Zu den Hauptgruppen, die von DORA erfasst werden, gehören:

  1. Finanzinstitute: Dazu gehören Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, (Rück-)Versicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Schwarmfinanzierungsdienstleister und andere.
  2. IKT-Drittdienstleister: Unternehmen, die IKT-Dienstleistungen für den Finanzsektor erbringen, sind ebenfalls von DORA betroffen. Dazu gehören Cloud-Service-Anbieter, Rechenzentren und andere Unternehmen, die kritische IKT-Dienstleistungen für Finanzinstitute bereitstellen.
  3. Aufsichtsbehörden: Die Regulierung und Aufsicht über die Einhaltung von DORA obliegt den zuständigen nationalen Aufsichtsbehörden in den EU-Mitgliedstaaten. Dazu gehören beispielsweise die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) sowie die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA).
  4. Kritische IKT-Drittanbieter: Unternehmen, die als kritische IKT-Drittanbieter eingestuft werden, unterliegen ebenfalls den Bestimmungen von DORA. Die genauen Kriterien zur Bestimmung dieser kritischen Anbieter werden noch ausgearbeitet, aber sie spielen eine entscheidende Rolle im Kontext der digitalen operationellen Resilienz und werden direkt von den führenden Aufsichtsstellen der ESAs (Europäische Aufsichtsbehörden) überwacht.

Die Verordnung betrifft somit nicht nur traditionelle Finanzinstitute, sondern auch diejenigen, die entscheidende IKT-Dienstleistungen für den Finanzsektor erbringen. Dieser breite Anwendungsbereich zeigt die Absicht von DORA, sicherzustellen, dass alle relevanten Akteure im Finanzsektor die notwendigen Maßnahmen ergreifen, um die digitale Betriebsfähigkeit und Sicherheit zu gewährleisten.

Der zeitliche Ablauf von DORA

  • September 2020: Die Europäische Kommission schlägt DORA erstmals vor.
  • November 2022: Der Rat der Europäischen Union und das Europäische Parlament nehmen DORA offiziell an.
  • 2024: Die Europäische Bankenaufsichtsbehörde (EBA) stellt technische Regulierungsstandards (RTS) bereit, die verschiedene Aspekte von DORA abdecken. Dazu gehören Netzwerksicherheit, Schutzvorrichtungen gegen Eindringen und Missbrauch von Daten, Kontrollen von Zugangs- und Zugriffsrechten, Erkennung anomaler Aktivitäten, Überwachung anomalen Verhaltens, Reaktionsprozesse, IKT-Geschäftsfortführungsplanung, Überprüfung des IKT-Risikomanagementrahmens, Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, Meldungen über schwerwiegende IKT-bezogene Vorfälle und erweiterte Tests von IKT-Tools, -Systemen und -Prozessen.
    Die Europäische Kommission entwickelt einen Aufsichtsrahmen für entscheidende IKT-Anbieter.
  • Januar 2025: Die rechtliche Durchsetzung von DORA beginnt. Ab diesem Zeitpunkt können die zuständigen Behörden in den EU-Mitgliedstaaten Sicherheitsmaßnahmen verlangen, Sicherheitslücken beheben und Sanktionen gegen Finanzunternehmen verhängen, die gegen die DORA-Vorgaben verstoßen.

Wie erfolgt die Durchsetzung von DORA?

DORA sieht vor, dass die EU-Mitgliedstaaten sicherstellen, dass ihre zuständigen nationalen Behörden die Einhaltung der DORA-Anforderungen wirksam überwachen. Die Geldbußen sollen dabei „wirksam, verhältnismäßig und abschreckend“ sein, wie es in Artikel 50 Absatz 3 der DORA-Verordnung festgelegt ist.

Die zuständigen Behörden können demnach Geldbußen gegen Finanzunternehmen verhängen, die gegen die DORA-Vorschriften verstoßen. Die Höhe der Geldbuße wird unter Berücksichtigung der Umstände des Einzelfalls festgelegt. Es wird betont, dass die Sanktionen angemessen und darauf ausgerichtet sein sollten, Verstöße zu beheben und zukünftige Verstöße zu verhindern.

Zusätzlich zu Geldbußen können Behörden Maßnahmen wie die Aussetzung oder Kündigung von Verträgen ergreifen.

Es ist wichtig zu beachten, dass die Durchsetzung von DORA nicht nur auf nationaler Ebene erfolgt. Kritische IKT-Drittanbieter, die als entscheidend eingestuft werden, unterliegen der direkten Aufsicht der Europäischen Aufsichtsbehörden (ESAs). Die führenden Aufsichtsstellen der ESAs können Sicherheits- und Abhilfemaßnahmen verlangen und Bußgelder gegen IKT-Anbieter verhängen, die die Vorschriften nicht einhalten. Bußgelder können bis zu 1 Prozent des durchschnittlichen weltweiten Tagesumsatzes des Anbieters im vorangegangenen Geschäftsjahr betragen. Bei anhaltenden Verstößen können Geldbußen täglich für bis zu sechs Monate verhängt werden.

Was können wir für Sie tun?

IAP verfügt als Dienstleister für Wirtschaftsprüfer im Finanzsektor über eine breite Erfahrung in der Entwicklung und Testierung von IT-bezogenen Internen Kontrollsystemen (IKS). Die immer weiterwachsende Landschaft an Anforderungen erfordert einen pragmatischen und flexiblen Ansatz, die Konformität zu diesen Anforderungen nachzuweisen.

Der zentrale Ansatz von iAP ist es für Unternehmen, ein zentrales IKS aufzubauen, aus dem alle Anforderungen heraus nachgewiesen werden können.

Folgende Leistungen bieten wir Ihnen an:

  1. DORA 
  2. Cybersecurity Testing (Basis, Standard, Extened)
  3. IKS Aufbau – Basis, Standard, Extended
  4. Notfallmanagement- Konzept und –Testierung (BCM nach ISO22301)

Rufen Sie uns an!

 

Foto: istockphoto/Dmytro Yarmolin

 

Cybersicherheit nach NIS2: Umfassende Handlungsstrategien für betroffene Unternehmen

Mit dem Inkrafttreten der NIS2 Richtlinie im Oktober 2024 stehen Unternehmen vor der Herausforderung, ihre Cybersicherheitsmaßnahmen zu verstärken. Die Richtlinie verpflichtet zu umfassenden Sicherheitsvorkehrungen und Meldepflichten, um sensible Daten vor Cyberangriffen zu schützen. Im Folgenden zeigen wir detaillierte Handlungsmaßnahmen auf, die Unternehmen ergreifen können, um den Anforderungen der NIS2-Richtlinie gerecht zu werden und ihre Cybersicherheit zu verbessern. 

NIS2 verstehen: Anforderungen und Pflichten im Überblick

1. Umfassende Risikoanalyse und Identifikation kritischer Bereiche:

Eine eingehende Risikoanalyse ist der Schlüssel zur Identifizierung potenzieller Schwachstellen. Unternehmen sollten nicht nur ihre IT-Infrastruktur, sondern auch ihre OT-Bereiche sorgfältig überprüfen. Dies umfasst die Identifizierung von kritischen Assets, bestehenden Sicherheitslücken und potenziellen Angriffspunkten.

2. Investition in technologische Sicherheitslösungen:

Die Implementierung moderner Sicherheitstechnologien ist entscheidend. Unternehmen sollten in fortschrittliche Firewall-Systeme, Intrusion Detection und Prevention Systems (IDPS) sowie Verschlüsselungstechnologien investieren. Regelmäßige Software-Updates und Patch-Management sind unerlässlich, um aktuelle Sicherheitslücken zu schließen.

3. Mitarbeiterschulungen und Sensibilisierung:

Die menschliche Komponente ist oft eine Schwachstelle in der Cybersicherheit. Schulungen für Mitarbeiter sind jedoch leicht umsetzbar und tragen maßgeblich dazu bei, das Bewusstsein für Cyberrisiken zu schärfen. Schulungen sollten nicht nur Best Practices für den Umgang mit sensiblen Daten, sondern auch für die Identifizierung von Phishing-Angriffen und verdächtigen Aktivitäten umfassen.

4. Strikte Einhaltung von Meldepflichten:

Die NIS2-Richtlinie legt klare Meldepflichten fest. Unternehmen müssen sicherstellen, dass sie effektive Incident-Response-Teams haben, die im Falle eines Angriffs sofort handeln können. Klare Kommunikationswege und vordefinierte Prozesse sind entscheidend, um die vorgeschriebenen Meldepflichten zeitnah zu erfüllen.

5. Optimierung der OT-Sicherheit:

Besonders für Unternehmen mit Operational Technology (OT) ist eine verstärkte Sicherheit von großer Bedeutung. Die Segmentierung von Netzwerken, die Implementierung von Sicherheitsrichtlinien und die Kontrolle des Datenverkehrs in OT-Bereichen sind umsetzbare Maßnahmen. Hierbei spielt auch die Priorisierung von Maßnahmen gegen USB-basierte Bedrohungen eine entscheidende Rolle. In diesem Kontext ist die Verwendung spezieller Sicherheitslösungen ratsam, die autorisierte USB-Sticks identifizieren, die automatische Ausführung von Skripten unterbinden und vorhandene Schadprogramme auf USB-Sticks oder Maschinen automatisch entfernen. Damit wird nicht nur die allgemeine OT-Sicherheit gestärkt, sondern auch gezielt auf eine der potenziellen Schwachstellen eingegangen.

6. Integration von Cybersecurity as a Service:

Die Herausforderung, qualifiziertes Sicherheitspersonal zu finden, kann durch den Einsatz von Cybersecurity as a Service überwunden werden. MDR (Managed Detection and Response)-Services bieten eine 24/7-Abdeckung durch ein Team von Sicherheitsexperten, um auf Angriffe effektiv zu reagieren. Die Zusammenarbeit mit externen Dienstleistern kann eine kosteneffiziente Lösung für den Fachkräftemangel darstellen.

7. Regelmäßige Überprüfung und Aktualisierung von Sicherheitsrichtlinien:

Cybersicherheitsrichtlinien sollten dynamisch sein und regelmäßig überprüft werden. Unternehmen sollten ihre Sicherheitsrichtlinien an aktuelle Bedrohungen anpassen und sicherstellen, dass sie den Anforderungen der NIS2-Richtlinie entsprechen. Regelmäßige Audits sind notwendig, um die Einhaltung sicherzustellen.

8. Zusammenarbeit mit externen Experten:

Die Kooperation mit externen Unternehmen, wie den Cybersicherheitsexperten von iAP, bietet wertvolle Unterstützung. Durch unsere Beratung unterstützen wir Sie bei der Implementierung von Best Practices, führen Risikoanalysen durch und stellen sicher, dass ihre Sicherheitsmaßnahmen den neuesten Standards entsprechen.

Fazit:

Die NIS2-Richtlinie stellt Unternehmen vor neue Herausforderungen im Bereich der Cybersicherheit. Die proaktive Umsetzung leicht umsetzbarer Handlungsmaßnahmen ist entscheidend, um nicht nur die Einhaltung der Richtlinie sicherzustellen, sondern auch die Gesamtcybersicherheit zu verbessern. Der Schutz vor finanziellen Strafen und die Minimierung potenzieller geschäftlicher Auswirkungen von Cyberangriffen sind essenzielle Ziele.

In diesem Kontext sollten Unternehmen zusätzliche Maßnahmen ergreifen. Dazu gehören kontinuierliche Schulungen, um das Bewusstsein für Cybersicherheit zu fördern. Das Incident-Response-Team sollte regelmäßig geschult und durch Cyberangriffssimulationen auf dem neuesten Stand gehalten werden. Die Evaluierung neuer Technologien wie KI und maschinelles Lernen ist entscheidend für eine verbesserte Cyberabwehr.

Transparenz in der Kommunikation, regelmäßige externe Audits zur Überprüfung von Sicherheitsstandards und die Einführung einer Cybersecurity-Kultur tragen ebenfalls zur Stärkung der Cybersicherheit bei.

Die NIS2-Richtlinie bietet eine Chance zur umfassenden Stärkung der Cybersicherheit. Durch die konsequente Umsetzung dieser Maßnahmen können Unternehmen nicht nur gesetzlichen Anforderungen gerecht werden, sondern auch eine robuste Cybersicherheitsstrategie etablieren.

 

Foto: istockphoto/mixmagic

Was bedeutet die NIS2-Richtlinie für mein Unternehmen?

Die Network and Information Security Directive (NIS) ist eine EU-Richtlinie, die darauf abzielt, die Cybersicherheit in gesellschaftlich bedeutsamen Sektoren zu stärken. Die aktuelle Version dieser Richtlinie, NIS2, bringt einige wichtige Veränderungen mit sich, die Unternehmen in diesen Sektoren betreffen. In diesem Artikel werden wir einen genaueren Blick darauf werfen, was die NIS2-Richtlinie für Ihr Unternehmen bedeutet und wie Sie sich darauf vorbereiten können.

Verpflichtende Umsetzung ab dem 17. Oktober 2024

Eine der wichtigsten Informationen, die Unternehmen beachten müssen, ist, dass die Umsetzung der geforderten IT-Sicherheitsmaßnahmen gemäß der NIS2-Richtlinie ab dem 17. Oktober 2024 verpflichtend wird. Dies bedeutet, dass Unternehmen, die in den betroffenen Sektoren tätig sind, die erforderlichen Schritte unternehmen müssen, um die Cybersicherheit zu stärken und sicherzustellen, dass ihre wertschöpfenden Prozesse bei IT-Sicherheitsvorfällen und Cyberangriffen weiterhin verfügbar sind.

Start der NIS2 und nationale Umsetzung

Die NIS2-Richtlinie wurde am 16. Januar 2023 offiziell freigegeben. Sie muss bis zum 17. Oktober 2024 von allen EU-Mitgliedsstaaten in nationales Recht übertragen werden. Dies bedeutet, dass jedes Land in der EU die Richtlinie in seine Gesetzgebung aufnehmen und die darin enthaltenen Anforderungen umsetzen muss.

In Deutschland gibt es bereits einen Entwurf für die Umsetzung der NIS2-Richtlinie, der über die NIS2-Anforderungen hinausgeht. Die Anforderungen aus der NIS1 von 2016 werden durch das IT-Sicherheitsgesetz 2.0 und das KRITIS-Gesetz 2.0 erweitert.

Betroffene Unternehmen und Sektoren

Die NIS2-Richtlinie gilt grundsätzlich für Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von mindestens 10 Millionen Euro, die in gesellschaftlich relevanten und kritischen Sektoren tätig sind. Diese Sektoren sind in Anhang I & II der NIS2-Richtlinie aufgeführt und umfassen folgende Bereiche:

  • Energie mit Elektrizität, Erdöl, Erdgas, Wasserstoff, Fernwärme und -kälte
  • Verkehr mit Straßenverkehr, Schienenverkehr, Luftverkehr, Schifffahrt
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung IKT-Dienste
  • Öffentliche Verwaltung: Behörden und Ämter auf nationaler und regionaler Ebene
  • Weltraum: Betreiber von Bodeninfrastrukturen
  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Medizinprodukten, Diagnostika, Datenverarbeitungsgeräten, elektronische und optische Erzeugnisse, elektrischen Ausrüstungen, Maschinenbau, Kraftwagen und Kraftwagenteilen sowie sonstiger Fahrzeugbau
  • Anbieter digitaler Dienste
  • Forschung

(siehe hierzu https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555&qid=1687268912734#d1e32-143-1)

Anforderungen an Unternehmen

Die Umsetzung der NIS2-Sicherheitsanforderungen auf Basis eines Risikomanagements mit Betrachtung der Wahrscheinlichkeit und Auswirkung muss nachgewiesen werden. Das bedeutet, dass Unternehmen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen müssen, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme vollständig zu beherrschen und die Auswirkungen von Sicherheitsvorfällen abzuwenden und so gering wie möglich zu halten.

Alle Sicherheitsmaßnahmen müssen sich dabei am Stand der Technik und der aktuellen individuellen Gefährdungslage orientieren. Die Schutzmaßnahmen müssen somit gefahrenübergreifend die gesamte IT und Cybersicherheit berücksichtigen, um alle Arten von IT-Vorfällen in der eigenen Umgebung zu kontrollieren und die Verfügbarkeit wesentlicher Dienstleistungsprozesse sicherzustellen. Die Wirksamkeit dieser Sicherheitsmaßnahmen muss regelmäßig geprüft und bewertet werden.

Die Sicherheitsanforderungen bedingen Maßnahmen vor, während und nach einem IT-Sicherheitsvorfall, einschließlich grundlegender Praktiken der Cyberhygiene.

Ein besonderes Augenmerk liegt auf der Absicherung der Lieferkette, einschließlich Partnerunternehmen, Lieferanten, Dienstanbietern und Kunden, insbesondere deren Netzzugänge.

Unternehmen müssen sich bei der zuständigen Behörde registrieren und Kontaktdaten hinterlegen. Sicherheitsvorfälle, die zu schweren Betriebsstörungen führen, sind meldepflichtig.

Die betroffenen Sektoren unterliegen behördlicher Aufsicht, was bedeutet, dass externe Kontrollen und Prüfungen regelmäßig und ad-hoc durchgeführt werden. Für wesentliche Einrichtungen gilt zusätzlich die EU RCE-Richtlinie zur Ausfallsicherheit.

Die Erfüllung dieser Anforderungen ist entscheidend, um die Cybersicherheit zu stärken und die Risiken von Cyberangriffen zu minimieren. Unternehmen sollten sich daher intensiv mit den NIS2-Sicherheitsanforderungen auseinandersetzen und sich rechtzeitig darauf vorbereiten, um die Verfügbarkeit ihrer Dienstleistungsprozesse sicherzustellen. (siehe hierzu https://eur-lex.europa.eu/eli/dir/2022/2557/oj)

Fazit: Vorbereitung auf die NIS2-Richtlinie

Die NIS2-Richtlinie ist ein bedeutender Schritt zur Stärkung der Cybersicherheit in der EU. Unternehmen in den betroffenen Sektoren sollten die verbleibende Zeit nutzen, um sich auf die Umsetzung der erforderlichen Sicherheitsmaßnahmen vorzubereiten. Dies ist entscheidend, um die Verfügbarkeit kritischer Dienstleistungen zu gewährleisten und die Risiken von Cyberangriffen zu minimieren. Stellen Sie sicher, dass Ihr Unternehmen die Vorschriften der NIS2-Richtlinie erfüllt, um sicher und geschützt in die digitale Zukunft zu gehen.

Wir empfehlen die Anforderungen mit unserem iAP-IKS umzusetzen. Dies schließt das Management der externen Dienstleister im Bereich Sicherheitsmanagement mit ein. Gemeinsam mit Ihnen bauen wir ein umfassendes Risikomanagement über alle Unternehmensbereiche auf.

 

Weitere Informationen:

RICHTLINIE (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie)

 

Bild: istockphoto.com/BirgitKorber

KI – Eine Bedrohung für den Datenschutz? 

KI – „Künstliche Intelligenz“ ist die Bezeichnung für die Fähigkeit von Maschinen, mit Hilfe von Algorithmen Aufgaben selbständig zu lösen und in der Lage zu sein, flexibel auf sich ändernde Situationen zu reagieren. Sie kann aus der Lösung der Aufgaben lernen und ihr Verhalten anpassen. Somit kann sie menschliche Fähigkeiten wie logisches Denken, Planen, Lernen und Kreativität nachahmen.

KI lässt sich hinsichtlich ihrer Anwendung in verschiedene Teilbereiche unterteilen:

  • Natural Language Processing (NLP): Große Sprachmodelle wie ChatGPT
  • Künstliche neuronale Netz: Virtuelle Assistenten und Chatbots, wie Siri, Alexa oder Google Assistant
  • Maschine Learning: Empfehlungsdienste
  • Deep Learning: Betrugserkennung, wie BIG Data Auswertungen
  • Wissensrepräsentation: Content-Moderation, genutzt z.B. zur Auswertung medizinischer Daten

Was ist im Rahmen des Datenschutzes zu beachten?

Das Unternehmen, das ein KI-basiertes System in eigene Prozesse integriert, wird in der Regel als „verantwortlich“ einzustufen sein, denn es entscheidet über Zweck und Mittel der Datenverarbeitung.
Der KI-System-Anbieter erfüllt die Rolle des Auftragsverarbeiters, da die Datenverarbeitung zumeist auf seinen Servern erfolgt. Die Daten werden im Auftrag und auf Weisung des Unternehmens, welches das System einsetzt, verarbeitet. Hier ist ein Auftragsverarbeitungsvertrag abzuschließen. Dieser ist inhaltlich auf seine Vollständigkeit zu prüfen.

Viele KI-Anbieter nutzen die erhobenen Daten ebenfalls für die Weiterentwicklung ihrer KI-Modelle, hierfür ist das Einverständnis des Auftraggebers notwendig. Unternehmen sollten diese Zustimmung nicht erteilen bzw. von einer etwaigen Opt-out-Möglichkeit Gebrauch machen und somit ihre Betroffenenrechte schützen.

Die Datenverarbeitung mittels KI kann nur auf der Rechtsgrundlage der Einwilligung der betroffenen Person gemäß DSGVO Artikel 6 (1)a erfolgen. Betroffene müssen gem. Art 13 DSGVO über die Verarbeitung ihrer Daten informiert werden und haben gem. Art. 22 DSGVO das Recht der freien Entscheidung, einer automatisierter Verarbeitung zuzustimmen oder diese abzulehnen.

Das Unternehmen hat außerdem geeignete Prozesse für die Umsetzung der Betroffenenrechte zu etablieren. Die Umsetzung der Betroffenenrechte im Rahmen von Löschung und Berichtigung dürfte schwierig umzusetzen sein, da damit das Modell beeinträchtig werden kann. In jedem Fall besteht die Pflicht zur DSFA (Datenschutzfolgenabschätzung), die durch die Blacklist der deutschen Datenschutzkonferenz festgelegt ist.

Aktueller Rechtsrahmen

Neben der EU DSGVO ist ein EU-Gesetz mit Pioniercharakter in der Entwicklung (EU AI Act). Mit dieser KI-Verordnung will die EU erstmals einen gesetzlichen Rahmen für die Entwicklung und Nutzung von KI schaffen.

Die Entscheidungsvorlage sieht vor, die KI nach den Risiken ihrer Anwendungszwecke zu klassifizieren. Dabei geht es um die Einstufung in

  • risikoarme KI,
  • begrenzt riskante KI,
  • zu riskante KI und
  • verbotene KI.

KI, die imstande ist, Menschen zu unterdrücken, soll ganz verbannt werden. Darunter fallen unter anderem

  • „Social Scoring“-Systeme, die das Verhalten von Menschen bewerten,
  • die automatisierte Erkennung von Emotionen, etwa bei der Vernehmung von Verdächtigen und
  • eine flächendeckende Überwachung mit biometrischen Echtzeitdaten in der Öffentlichkeit.

Auf Grund eines aktuellen richterlichen Beschlusses darf nachträglich auf Daten zugegriffen werden, falls es um schwere Straftaten geht.
Risikoarme Anwendungszwecken, wie z.B. KI-betriebene Spielzeuge, sollen grundsätzlich erlaubt sein. Das gilt auch für sogenannte generative KI, wie den Chatbot ChatGPT, der mithilfe im Internet gesammelter Informationen eigenständig Artikel verfassen kann.

Gefahren durch KI-gestützte Cyber-Attacken

Hacker sind in der Lage, ihre Angriffe durch die Nutzung von KI zu personalisieren und zu optimieren. Damit erhöhen sie die Wahrscheinlichkeit, dass Nutzer auf Phishing-Mails hereinfallen oder dass sie mittels Ransomware in das Unternehmens IT- Netzwerk eindringen können.

Ein aktuelles IKS-System schützt jedes Unternehmen vor weitreichenden Folgen eines Cyber-Angriffs. Ein Basissockel stellt dabei die Schulung und Sensibilisierung der Mitarbeiter, die Aktualität der Sicherheitssysteme, Notfallpläne und Datensicherung dar.

Fazit

KI-gestützte Cyber-Attacken sind eine ernste Bedrohung für Unternehmen und Einzelpersonen. Unter Einhaltung aller datenschutzrechtlichen Anforderungen bietet Künstliche Intelligenz aber auch zahlreiche Vorteile und Möglichkeiten, die unser Leben, unsere Gesellschaft und unsere Geschäftswelt beeinflussen. Die Technologie kann uns dabei helfen, komplexe Probleme schneller und effizienter zu lösen. Sie reduziert Fehler, automatisiert sich wiederholende Aufgaben, unterstützt bei wichtigen Business-Entscheidungen und sorgt für Entlastung, so dass Sie Zeit haben, sich um die wirklich wichtigen Dinge zu kümmern.

Als externe Datenschutzbeauftragte unterstützt iAP Ihr Unternehmen bei der Umsetzung der DSGVO und berät Sie zu datenschutzrechtlichen Themen.

 

Foto: istockphoto.com/ipopba

Cyber-Security im Hotel ist Chefsache!

Um die Relevanz für Cyber-Security in Hotels zu verdeutlichen, erfolgt zunächst eine grundsätzliche Betrachtung. Hotels gibt es in unterschiedlichen Größen und Ausstattungen. Oft bieten sie Beherbergung für über tausend Gäste und ein umfangreiches Serviceangebot. Eine große Anzahl von Mitarbeitern ist verantwortlich für die entsprechende Dienstleistungserbringung. Die jährlichen Umsätze liegen schnell im zwei- bzw. dreistelligen Millionenbereich, wodurch viele Hotels zu den Großbetrieben gehören.

Die Digitalisierung hat auch in Hotels Einzug gehalten. Dabei werden Prozesse effizienter gestaltet und Personal eingespart. Grundsätzlich ist ein Hotel aufgebaut wie jedes andere Unternehmen. Es besteht aus operativen Systemen, welche die Wertschöpfungskette abbilden. Diese werden durch Planungs- und Kontrollsysteme gesteuert. Für den reibungslosen Betrieb tauschen alle Systeme ihre Informationen in digitaler Form vertikal sowie horizontal über die Hoteldateninfrastruktur, deren Schnittstellen und gemeinsam genutzten Datenbanken aus.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!, IT Sicherheit, iAP

Cyber-physische Systeme und Cyber-Attacken​

Designer und Architekten haben seit jeher versucht der Hotelkundschaft besonderen Komfort unter Zuhilfenahme von neuen Technologien zu bereiten. Dazu zählt heutzutage, neben anderen, die zunehmende automatisierte Ausstattung der Hotelgebäudetechnik mit smarten Cyber-Physischen Systemen, auch, um z.B. Zugänge zu Stockwerken, Garagen, Zimmern und Aufzügen, Tagungsräumen, Restaurants sowie Wellness-Bereichen zu kontrollieren bzw. berührungslos freizugeben oder zu sperren.

Das hoteleigene Netzwerk muss neben internen zusätzlich unterschiedliche Arten externer Schnittstellen vorhalten, z.B. für die Kommunikation und den Datenaustausch mit Lieferanten, Logistikpartnern, Reisebüros und Privatkunden. Der Grad der Digitalisierung und Vernetzung schreitet also auch in Hotels unaufhaltsam voran. Allerdings wächst damit ebenfalls die Bedrohungslandschaft, welche vermehrte Angriffsfläche für Cyber-Attacken bietet, und somit neue Herausforderungen für die Gewährleistung der Sicherheit des Hotels und seiner Gäste entstehen.

Sensible Daten und Info-Displays

Jedes Hotel hält nicht nur eigene, sondern auch vertrauliche sowie sensible Daten seiner Gäste, Mitarbeiter und Geschäftspartner vor. Dazu gehören z.B. persönliche Informationen (Name, Anschrift, Nationalität, Geburtsdatum, KFZ-Kennzeichen), Kreditkarteninformationen, Firmennamen und Zahlungskonditionen. Die Gäste können umfangreiche Dienstleistungen über das WLAN, die hoteleigene App, oder interaktive Terminals bzw. Info-Displays buchen sowie bezahlen. Hotels waren für gewisse Kriminelle schon immer ein Tummelplatz, um sich durch verschiedenste Art und Weise am Hotel und seinen Gästen zu bereichern.

Die Schwerpunkte und der Umfang von Sicherheitsmaßnahmen verschieben sich im Zeitalter der Digitalisierung enorm, denn durch sie ergeben sich auch neue Möglichkeiten für kriminelle Handlungen. Ransomware-Angriffe auf Hoteldatenbanken und IT-Anwendungen, DDOS und Bot-Net-Angriffe auf die IT-Infrastruktur, Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware z.B. durch Gäste und interne oder externe Mitarbeiter, Infektionen mit Schadsoftware über das Internet oder Intranet, Einbruch über Fernwartungszugänge der Gebäudeautomatisierung, menschliches Fehlverhalten oder Sabotage, Identitäts- und Kreditkartendatendiebstahl sind nur einige der neuen immateriellen Szenarien.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!,, Internet-Security, iAP

Die Schadensfolgen von Cyber-Attacken können für jedes Hotel schnell existenzgefährdend werden und sind deshalb unbedingt unter Kontrolle zu halten.

  • Der Verlust von Performance und Verfügbarkeit der Dienstleistungsprozesse,
  • der Verlust von Vertraulichkeit durch Abfluss sensibler Gästedaten,
  • mangelhafte Integrität durch Datenverlust oder Manipulation,
  • das Fehlen von Authentizität durch gefälschte Quellnachweise,
  • physische Schäden bzw. Zerstörung der Hotelanlagen,
  • das Auslösen von Safety-Prozeduren,
  • die Bereinigung und Systemwiederherstellung nach Attacken und
  • der Verlust der Hotelreputation

sind nur wenige Beispiele möglicher Auswirkungen von Primär- und Folgeangriffen. Zum Schutz vor Sicherheitsvorfällen empfiehlt sich eine strukturierte und organisierte Herangehensweise z.B. durch den Aufbau eines Informationssicherheitsmanagementsystems. Mit entsprechenden technischen und organisatorischen, als auch rechtlichen Konzepten wird die Hotelsicherheit analysiert, proaktiv gefestigt und damit Resilienz erzeugt.

Digitalisierung und Herausforderungen

Wie andere Unternehmen, haben auch Hotels im Zuge der Digitalisierung mit den Herausforderungen zu kämpfen ihre sicherheitsstrategischen Ziele sowie Sicherheitsprozesse praktisch anwendbar zu definieren bzw. zu gestalten, um Cyber-Angriffe von innen und außen zu vermeiden. Es besteht bei den verantwortlichen Mitarbeitern ein unzureichendes Bewusstsein über die möglichen Angreifer, ihre Angriffsarten, Ziele und damit verbundene Risiken. Meistens mangelt es an Klarheit für die gewünschte Baseline durch insuffizientes Verständnis über den Reifegrad der Ist- und Soll-Zustände. Die Strukturanalyse inklusive der Aufnahme und Beschreibung der IT-Assets ist oft bereits unzureichend.

Unternehmens- und Bedrohungsdaten werden dürftig prozess- und risikobezogen erfasst sowie bewertet, mit der Folge, das organisatorische sowie technische Sicherheitsmaßnahmen nicht an die tatsächlichen Bedürfnisse des Hotels angepasst werden können und damit niemals ein angemessenes Schutzniveau besteht. Budget sowie fähiges bzw. erfahrenes Personal wird in allen Ebenen benötigt, auch um die Auswahl, Integration und Anwendung passender Sicherheitswerkzeuge effizient zu realisieren und somit unnötige Kosten zu vermeiden.

iAP – Independent Consulting + Audit Professionals GmbH bietet externe IT-Prüfungen und Zertifizierungen sowie Beratung mit umfassender Expertise an. Das Portfolio der iAP deckt die Bereiche des Governance Risk & Compliance Management, der IT-Security & Resilienz, IT-Beratung & Data  , Nachhaltigkeit & ESG sowie Datenschutz nach der DSGVO vollumfänglich ab.

 

 

Fotos: iStock.com/da-vooda,  iStock.com/anyaberkut, iStock.com/Tijana Simic