Cybersicherheit

NIS-2, DORA und CRA: Was das ist und warum es dieses Jahr viele Unternehmen betrifft

"Die Zeiten, in denen Cybersicherheit eine rein technische Entscheidung war, sind vorbei. Jetzt geht es um wirtschaftliche Resilienz, digitale Souveränität und letztlich auch um persönliche Haftung", erklärt Ari Albertini, CEO von FTAPI. Das Münchener Software-Unternehmen spezialisiert sich auf sichere Daten-Workflows und damit zusammenhängende Automatisierungen.

"Die neuen Regularien zwingen Unternehmen, Cybersicherheit strategisch zu denken – wer nicht handelt, wird abgehängt", ergänzt Albertini. Von möglichen Bußgeldern ganz zu schweigen: Verstöße gegen die neuen EU-Regularien können Strafzahlungen von bis zu zehn Millionen Euro oder aber zwei Prozent des weltweiten Jahresumsatzes des "Täters" nach sich ziehen.

Doch um welche Regularien geht es überhaupt?

• NIS-2 (Network and Information Security Directive) bringt eine deutliche Verschärfung und Ausweitung bereits eingeführter Regeln mit sich. Statt kritischer Infrastruktur (wie die Vorgängerrichtlinie) bezieht sich die neue Fassung auf eine Vielzahl mittelständischer Unternehmen.
  
  Die Fachleute von FTAPI nennen hier Hersteller, IT-Dienstleister, Pharmaunternehmen oder Logistikbetriebe als Beispiel. Unternehmen sind demnach dazu verpflichtet, digitale Angriffe innerhalb von 24 Stunden zu melden – andernfalls kann es zu Strafen im eben genannten Ausmaß kommen.
  
  
• Der Digital Operational Resilience Act (DORA) besagt, dass sich Banken, Versicherungen und Fintechs regelmäßig durchgeführten Cyber-Resilienz-Tests stellen müssen und ferner zur Absicherung ihrer vollständigen IT-Lieferkette verpflichtet sind.
  
  FTAPI stellt heraus, dass insbesondere externe IT-Dienstleister, die mit Finanzunternehmen zusammenarbeiten, betroffen sind:  Künftig müssen sie strengen Sicherheitsstandards entsprechen, um ein zulässiger Geschäftspartner zu sein.
  
  
• Der Cyber Resilience Act (CRA) befasst sich mit den Sicherheitsstandards von digitalen Produkten und schreibt vor, dass diese ihren gesamten Lebenszyklus lang mit sicherheitsrelevanten Updates versorgt werden. Missachtete Lücken lassen Brüssels Bußgeldkassen auch hier klingeln, wobei insbesondere Soft- und Hardwarehersteller vom CRA betroffen sind.

Fünf Tipps für Unternehmen

Unternehmensverantwortliche und IT-Spezialisten stehen somit mehr denn je in der Verantwortung, wenn es um sichere digitale Strukturen geht. Allerdings ordnet FTAPI-CEO Ari Albertini ein: "Cybersicherheit ist kein notwendiges Übel, sondern ein Wettbewerbsvorteil. Wer frühzeitig in IT-Sicherheit investiert, gewinnt nicht nur regulatorische Sicherheit, sondern stärkt auch das Vertrauen von Kunden und Partnern."

Unternehmen legt FTAPI fünf Maßnahmen ans Herz, um Risiken zu vermeiden und sich ergebende Chance nicht entgehen zu lassen:

1. Sicherheit prüfen Bestehende Maßnahmen mit den neuen Regeln abgleichen, Lücken durch Risikoanalysen und Notfallpläne schließen
   
   
2. Meldeprozesse festlegen Klare Strukturen für Vorfallmeldungen und Dokumentation aufbauen
   
   
3. Cybersecurity strategisch angehen IT-Sicherheit als Führungsaufgabe definieren, nicht nur als IT-Thema
   
   
4. Europäische Anbieter wählen Digitale Souveränität stabil stärken durch EU-Dienstleister für bessere Compliance
   
   
5. Früh handeln Jetzt investieren, um Regeln einzuhalten, Wettbewerbsvorteile zu nutzen und Vertrauen zu gewinnen

• https://www.ftapi.com