Der Cyber Resilience Act (CRA), das IT-Sicherheitsgesetz 2.0 und die NIS2-Richtlinie stellen wesentliche regulatorische Herausforderungen für deutsche produzierende Unternehmen dar, insbesondere für solche im KRITIS-Bereich (Kritische Infrastrukturen). Complioty kann diese Unternehmen unterstützen, indem es ihnen hilft, die komplexen Anforderungen dieser Gesetze zu erfüllen.
| Aspekt | Cyber Resilience Act (CRA) | IT-Sicherheitsgesetz 2.0 | NIS2-Richtlinie bzw. NIS2UmsuCG |
|---|---|---|---|
| Ziel | Erhöhung der Cybersicherheit von Produkten mit digitalen Elementen in der EU | Erhöhung der Sicherheit informationstechnischer Systeme, insbesondere bei KRITIS-Betreibern | Verbesserung der Cybersicherheit in Netz- und Informationssystemen in der EU |
| Geltungsbereich | Produkte mit digitalen Elementen, unterteilt in Klasse I, Klasse II und unklassifizierte Kategorie | Betreiber Kritischer Infrastrukturen, erweiterte Befugnisse für BSI | Erweiterter Geltungsbereich umfasst mehr Unternehmen und Sektoren |
| Hauptanforderungen | Essentielle Sicherheitsanforderungen, Sicherheits-By-Design, Handhabung von Schwachstellen | Systeme zur Angriffserkennung, neuester Stand der Technik, Zertifizierungen und Audits | Verstärkte Sicherheitsmaßnahmen, strengere Meldepflichten, erhöhte Aufsicht |
| Meldepflichten | Meldepflicht bei entdeckten Sicherheitslücken und Sicherheitsvorfällen | Meldepflicht bei IT-Störungen, Registrierungspflicht beim BSI | Erweiterte Meldepflichten bei Sicherheitsvorfällen |
| Sanktionen | Bis zu 15 Millionen Euro oder 2,5% des weltweiten Jahresumsatzes des Vorjahres | Bußgelder bis zu 20 Millionen Euro | t.b.a. |
| Inkrafttreten | t.b.a. | 28. Mai 2021 | Ab 2024 |
Cyber Resilience Act (CRA):
Der CRA zielt darauf ab, die Cybersicherheit von Produkten mit digitalen Elementen in der EU zu erhöhen. Er unterteilt Produkte in drei Kategorien: Klasse I, Klasse II und eine unklassifizierte oder Standardkategorie. Klasse-I-Produkte müssen entweder eine standardisierte oder eine Drittanbieterbewertung durchlaufen, während Klasse-II-Produkte eine Drittanbieterkonformitätsbewertung benötigen. Hersteller müssen ihre Produkte entsprechend den essentiellen Sicherheitsanforderungen des CRA entwerfen und entwickeln. Die MPS-Plattform kann Unternehmen dabei unterstützen, ihre Produkte gemäß diesen Anforderungen zu gestalten, indem sie Schwachstellen identifiziert und Verbesserungsvorschläge liefert.
IT-Sicherheitsgesetz 2.0:
Das IT-Sicherheitsgesetz 2.0 ist seit dem 28. Mai 2021 in Kraft. Es erweitert die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) und die Rechte und Pflichten von Betreibern Kritischer Infrastrukturen. Unter anderem müssen Betreiber Kritischer Infrastrukturen ihre informationstechnischen Systeme auf den neuesten Stand der Technik bringen und Systeme zur Angriffserkennung bis spätestens 26. Mai 2023 implementieren. Die MPS-Plattform kann KMUs im KRITIS-Bereich dabei unterstützen, diese erhöhten Sicherheitsanforderungen zu erfüllen und ein effektives Risikomanagement zu implementieren.
NIS2-Richtlinie bzw. NIS2UmsuCG:
Die NIS2-Richtlinie wird 2024 in Kraft treten und in Deutschland durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) umgesetzt. Das NIS2UmsuCG wird bestehende Gesetze, insbesondere die KRITIS-Teile des BSI-Gesetzes, ändern. Es betrifft etwa 30.000 Unternehmen in Deutschland, erweitert die Sektoren und führt neue Kategorien von Einrichtungen ein. Zu den Hauptänderungen gehören umfassendere Sicherheitsmaßnahmen, erhöhte Meldepflichten und erweiterte staatliche Aufsicht. Die Sanktionen werden mit Bußgeldern zwischen 100.000 und 20 Millionen Euro, teils abhängig vom weltweiten Umsatz, verstärkt. Die Umsetzung von NIS2 beinhaltet ein detailliertes Risikomanagement und erfordert von den Unternehmen ein hohes Maß an Cybersecurity.
Zusammenfassend bietet Complioty mit seiner KI-basierten Compliance-Plattform eine wichtige Unterstützung für deutsche produzierende Unternehmen im KRITIS-Bereich. Indem es Unternehmen dabei hilft, die komplexen Anforderungen des CRA, des IT-Sicherheitsgesetzes 2.0 und der NIS2-Richtlinie zu erfüllen, trägt es dazu bei, dass diese Unternehmen nicht nur ihre Cybersicherheit verbessern, sondern auch regulatorische Strafen vermeiden und ihre Wettbewerbsfähigkeit erhalten können.