Die Cyber-Bedrohungslage hat in den letzten Jahren eine neue Dimension erreicht. Laut der Lünendonk-Studie 2023 „Von Cyber Security zu Cyber Resilienz“ nehmen 84 Prozent der Unternehmen eine Zunahme der Bedrohungslage im Vergleich zu 2022 wahr. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt diese Entwicklung. Insbesondere die fortschreitende Digitalisierung, die angespannte geopolitische Lage sowie der steigende Anteil professioneller Hacker befeuern die Situation. Infolgedessen haben viele Unternehmen erkannt, dass sie ihre IT Security auf diese neuen Anforderungen anpassen und verstärkt investieren müssen.
Um einheitliche Standards zu schaffen haben sowohl einzelne Länder als auch die EU neue Gesetze und Verordnungen auf den Weg gebracht. Doch welche Maßnahmen müssen Unternehmen in Zukunft ergreifen, wer sind die betroffenen Zielgruppen und welche Ziele werden mit den unterschiedlichen Richtlinien verfolgt?
EU AI Act: der europäische Wegweiser für die sichere KI-Nutzung
Am 13.03.2024 haben die EU-Mitgliedstaaten im Zuge des Hypes um generative KI mit dem EU AI Act die weltweit erste staatliche Regulierung von KI verabschiedet. Das Gesetz bietet eine EU-weit einheitliche Richtlinie für die Nutzung und Anwendung von künstlicher Intelligenz – sowohl im privaten als auch im beruflichen Umfeld. Der EU AI Act sieht eine risikobasierte Kategorisierung von KI-Systemen in Verbindung mit der Umsetzung spezifischer Maßnahmen vor. Die Maßnahmen sind vielfältig: bei geringem Risiko gibt es lediglich Transparenz- und Kennzeichnungspflichten, bei höherem Risiko umfangreiche Dokumentations- und Sorgfaltspflichten. Unzulässige Anwendungen, die ein unvertretbares Risiko darstellen, insbesondere im Hinblick auf Manipulation und Beeinflussung von Personen, sollen gänzlich verboten werden.
Das Gesetz soll einerseits die Grundrechte sichern, andererseits aber auch den notwendigen Freiraum für Forschung und Innovation schaffen. Bei Verstößen ist ein strenger Strafrahmen vorgesehen. Das Gesetz soll im August 2024 in Kraft treten. Das im Februar 2024 gegründete European AI Office soll die Umsetzung durch die Mitgliedstaaten überwachen.
DORA: digitale Resilienz im Finanzsektor
Von besonderer Relevanz für den Finanzsektor ist der Digital Operational Resilience Act (kurz: DORA). Diese Verordnung umfasst Regelungen zur Cybersicherheit, zur Zusammenarbeit mit Anbietern von Informations- und Kommunikationstechnologien (IKT) sowie zur digitalen operativen Widerstandsfähigkeit. Die Verordnung wurde im Dezember 2022 beschlossen, trat im Januar 2023 in Kraft und ist ab 17. Januar 2025 von ersten Unternehmen anzuwenden. Von DORA betroffen sind Banken, Versicherungsunternehmen, Wertpapierfirmen und Krypto-Dienstleister sowie Drittanbieter wie IKT- und Cloud-Anbieter, die mit diesen Organisationen zusammenarbeiten. Ausgenommen sind Kleinstunternehmen mit weniger als zehn Mitarbeitern und einem Jahresumsatz von weniger als 2 Millionen Euro sowie bestimmte Versicherungsvermittler mit maximal 50 Mitarbeitern. Damit müssen EU-weit mehr als 22.000 Finanzinstitute und IKT-Dienstleister DORA umsetzen.
Das übergeordnete Ziel von DORA ist es, die Cyber-Resilienz des Finanzdienstleistungs- und Versicherungssektors zu stärken, um im Falle eines Cyber-Angriffs den Geschäftsbetrieb aufrechterhalten zu können. Dabei rücken zunehmend Drittanbieter wie IKT- und Cloud-Anbieter in den Fokus, die für Banken und Versicherungen eine wichtige Rolle spielen. Schließlich ist ein umfassender Schutz vor Cyber-Bedrohungen nur möglich, wenn die gesamte Lieferkette betrachtet wird.
Doch gerade die Einbindung von Drittanbietern in die GRC-Prozesse (Governance, Risk, Compliance) stellt Finanzdienstleister und Versicherer vor große Herausforderungen. Laut der Lünendonk-Studie 2024 „Spannungsfeld Cloud Transformation und GRC“ fordert 85 Prozent der befragten der Abgleich, ob alle Drittanbieter in die GRC-Prozesse involviert werden, mit der BAIT/VAIT/KAIT/ZAIT heraus. Auch die Entwicklung entsprechender Richtlinien bezüglich der Zusammenarbeit mit Drittanbietern wird mehrheitlich als Herausforderung angesehen. Unternehmen der Versicherungsbranche bestätigen dies: laut der Lünendonk-Studie 2024 „Digital Outlook: Insurance“ sehen ebenfalls knapp 9 von 10 Versicherer die Einbindung der ITK-Dienstleister in die internen Prozesse als herausfordernd an.
NIS-2: Ausweitung der bestehenden Richtlinie
NIS-2 (The Network and Information Security Directive) ist die Neuauflage der europäischen Cybersicherheitsrichtlinie NIS-1. NIS-2 trat im Januar 2023 in Kraft und muss von den EU-Mitgliedstaaten bis Oktober 2024 in nationales Recht umgesetzt werden. Inhaltlich entspricht NIS-2 weitgehend der Vorgängerversion aus dem Jahr 2016: Der Schutz vor Cyberangriffen und die Etablierung eines EU-weit einheitlichen Schutzniveaus sind die Hauptziele der Richtlinie. Betroffene Unternehmen müssen Maßnahmen zum Cyber-Risikomanagement, zur Überwachung von Vorfällen und zum Business Continuity Management ergreifen. Zudem besteht eine Meldepflicht von Sicherheitsvorfällen an die Behörden.
Im Vergleich zu NIS-1 wurde jedoch der Anwendungsbereich erweitert: Nicht nur Betreiber kritischer Infrastrukturen zählen zu den Anwendern, sondern Unternehmen aus 18 verschiedenen Sektoren und im Vergleich zur Vorgängerregelung auch kleinere Unternehmen. Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz. Zum erweiterten Kreis gehören unter anderem Unternehmen der Lebensmittelindustrie und der chemischen Industrie. Schätzungen zufolge sind allein in Deutschland rund 30.000 Unternehmen von NIS-2 betroffen. Das Statistische Bundesamt rechnet mit jährlichen Kosten für die deutsche Wirtschaft in Höhe von 1,65 Milliarden Euro für die Umsetzung und Einhaltung der Richtlinie.
Die Richtlinie unterscheidet dabei zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“, wobei sich im Wesentlichen die Geldstrafen bei Nichteinhaltung und die behördliche Aufsicht der beiden Gruppen unterscheiden. Bei besonders wichtige Einrichtungen können Geldstrafen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes verhängt werden, bei wichtigen Einrichtungen bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes.
CRA: mehr Sicherheit von Produkten mit digitalen Elementen
Im Gegensatz zu den beiden vorherigen Richtlinien ist der CRA (Cyber Resilience Act) branchenunabhängig. Betroffen sind alle Unternehmen, die Produkte mit digitalen Elementen herstellen oder vertreiben. Neben der Herstellung von Endprodukten sind auch drittbezogene Vorprodukte und deren Veredelung von den Richtlinien betroffen. Die Hersteller sollen Verantwortung für die Cybersicherheit ihrer Produkte übernehmen, wodurch mehr Transparenz über die Sicherheit der Produkte geschaffen wird und letztlich der Anwender bzw. Nutzer profitiert. Im Rahmen der Produktentwicklung soll ein Cyber Security Risk Assessment durchgeführt werden, um bereits zu diesem Zeitpunkt die notwendigen Sicherheitsmaßnahmen nach dem Security-by-Design-Ansatz zu integrieren. Der Verordnungsentwurf wurde im März 2024 vom Europäischen Parlament verabschiedet. Weitere Entscheidungen stehen jedoch noch aus, so dass das CRA voraussichtlich ab 2027 in Kraft treten wird.
Steigende Budgets infolge der Regularien
Die genannten Vorgaben sind für die meisten Unternehmen Chance und Herausforderung zugleich. So muss sichergestellt werden, dass alle notwendigen Maßnahmen rechtzeitig ergriffen und deren Ausbau bzw. Neuerungen umgesetzt werden – was für einige Unternehmen aufgrund fehlender Expertise und Fachkräftemangel nur schwer zu realisieren ist. Laut der Lünendonk-Studie 2024 „Der Markt für IT-Services in Deutschland“ setzen daher 64 Prozent der Unternehmen in den Jahren 2024 und 2025 einen Investitionsschwerpunkt auf die Umsetzung regulatorischer Anforderungen. Dies spiegelt sich auch in den IT-Budgets wider: 32 Prozent planen, das Budget für IT-Governance/-Compliance/Riskmanagement bis 2025 zu erhöhen – wobei das Budget für die Umsetzung der Vorgaben in vielen Unternehmen nicht allein aus dem IT-Topf kommt.