Autor: Gökce Boz

The new version of the TISAX VDA ISA catalogue is now available. This updated version contains extended requirements that are aligned with the latest security standards. Companies are advised to familiarise themselves with the new requirements in order to continue to optimally protect their data.

TISAX (Trusted Information Security Assessment Exchange) is of great importance to the automotive industry as it enables a standardised assessment of information security. With TISAX certification, companies can demonstrate to their business partners and customers that they meet high security standards and are able to effectively protect sensitive information. Compliance with these standards offers a decisive advantage at a time when data protection and information security are becoming increasingly important

NIS2UmsuCG – a complicated-sounding string of letters – is coming our way this year and translates as the NIS 2 Implementation and Cyber Security Strengthening Act.

It is estimated that the law will affect at least 30 thousand companies when it is introduced.

It is therefore important that you check whether you also fall under it. This is the case if you belong to the „essential“ and „important“ institutions, or if you are a KRITIS operator. The legislative process is expected to be completed by October 2024.

In any case, you will have to deal with the regulations if you are active in the following sectors:

Essential: energy, transportation, banking, healthcare, drinking water, wastewater, digital infrastructure, ICT service management, administration, financial market, space,

or

Important: Post, waste management, industry, digital services, research, chemical companies, food industry,

and if you have 50 or more employees and generate an annual turnover of 10 million.

However, it is important to note that small companies that generate less turnover or have fewer employees may also fall within the scope of application. If they carry out critical activities that could have an impact on public order, or if they have cross-border effects, they are also affected.

The NIS 2 Directive is also of particular importance for managing directors, CEOs and board members, as they are held accountable. Specifically, this means that these persons must approve and monitor risk management.

If they do not comply with these obligations, this can also result in personal liability. Inadequate or insufficient preparatory actions can also give rise to such liability.

In any case, action should be taken quickly and, if necessary, professional support should be sought. We draw your attention to this in particular as part of our duty to inform. Gindat can also support you in all phases of the process. We recently presented an overview of this topic at our ITQC event to raise your awareness. Feel free to contact us if you have any questions or uncertainties. Our team is always at your disposal.

Die neue Version des TISAX VDA ISA Katalogs ist jetzt verfügbar. Diese aktualisierte Version enthält erweiterte Anforderungen, die auf die neuesten Sicherheitsstandards abgestimmt sind. Unternehmen wird empfohlen, sich mit den neuen Vorgaben vertraut zu machen, um ihre Daten weiterhin optimal zu schützen.

TISAX (Trusted Information Security Assessment Exchange) ist von großer Bedeutung für die Automobilindustrie, da es eine einheitliche Bewertung der Informationssicherheit ermöglicht. Mit einer TISAX-Zertifizierung können Unternehmen ihren Geschäftspartnern und Kunden nachweisen, dass sie hohen Sicherheitsstandards entsprechen und in der Lage sind, sensible Informationen effektiv zu schützen. Die Einhaltung dieser Standards bietet einen entscheidenden Vorteil in einer Zeit, in der Datenschutz und Informationssicherheit immer wichtiger werden.

NIS2UmsuCG – eine kompliziert klingende Buchstabenkette – kommt noch in diesem Jahr auf uns zu und bedeutet übersetzt NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz.

Mit seiner Einführung wird das Gesetz schätzungsweise mindestens 30 Tausend Unternehmen betreffen.

Wichtig ist also, dass Sie prüfen, ob Sie ebenfalls darunter fallen. Das ist der Fall, wenn Sie zu den „wesentlichen“ und „wichtigen“ Einrichtungen gehören, oder aber wenn Sie KRITIS Betreiber sind. Bis Oktober 2024 ist mit dem Abschluss des Gesetzgebungsverfahrens zu rechnen.

In jedem Fall müssen Sie sich also mit den Vorschriften beschäftigen, wenn Sie in den folgenden Sektoren tätig sind:

Wesentlich: Energie, Transport, Bankwesen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT Service Management, Verwaltung, Finanzmarkt, Raumfahrt,
oder
Wichtig: Post, Abfallwirtschaft, Industrie, digitale Dienste, Forschung, chemische Betriebe, Nahrungsmittelgewerbe,

und wenn Sie ab 50 Mitarbeitern beschäftigen und 10 Millionen Jahresumsatz erwirtschaften.

Wichtig ist aber zu beachten, dass auch kleine Unternehmen in den Anwendungsbereich fallen können, die weniger Umsatz generieren oder weniger Mitarbeitende haben. Üben diese kritischen Tätigkeiten aus, welche Auswirkungen auf die öffentliche Ordnung haben können, oder aber sind grenzüberscheitende Auswirkungen damit verbunden, sind diese ebenfalls betroffen.

Von besonderer Bedeutung ist die NIS 2 Richtlinie auch für Geschäftsführer und Vorstände, da diese in die Verantwortung genommen werden. Konkret bedeutet dies, dass diese Personen das Risikomanagement billigen und auch überwachen müssen.

Kommen sie diesen Pflichten nicht nach, kann dies auch eine persönliche Haftung bedeuten. Auch mangelnde oder nicht ausreichende Vorbereitungshandlungen können eine solche Haftung bereits begründen.

In jedem Fall sollte hier also schnell gehandelt werden und – wenn nötig – auch professionelle Unterstützung herbeigeholt werden. Im Rahmen unserer Informationspflichten weisen wir Sie darauf besonders hin. Auch die GINDAT kann Sie dabei in allen Phasen des Prozesses unterstützen. Zuletzt haben wir im Rahmen unserer ITQC Veranstaltung einen Überblick über diese Thematik referiert, um Sie zu sensibilisieren. Kommen Sie gerne auf uns zu, wenn Sie Fragen oder Unklarheiten haben. Unser Team steht Ihnen jederzeit zur Verfügung.

Das EU-Parlament hat einen wegweisenden Schritt getan, indem es den „AI-Act“ genehmigt hat, der klare Richtlinien für den Einsatz von Künstlicher Intelligenz in der Europäischen Union festlegt. Diese Entscheidung markiert einen Meilenstein in der weltweiten Regulierung von KI-Technologien und soll das Vertrauen in die europäische KI-Branche stärken sowie ihre Wettbewerbsfähigkeit auf globaler Ebene erhöhen.

Ein herausragendes Merkmal des „AI-Act“ ist die Einführung des „Made in EU“-Siegel, das darauf abzielt, das Vertrauen in die europäische KI-Branche zu stärken und ihre Wettbewerbsfähigkeit auf globaler Ebene zu erhöhen. Durch die Betonung auf Gründlichkeit und Qualität bei der Umsetzung von KI-Systemen soll die europäische KI-Branche als eine Quelle für zuverlässige und ethisch verantwortungsvolle Innovationen positioniert werden.

Das Gesetz klassifiziert KI-Systeme in verschiedene Risikogruppen, wobei je nach potenziellen Gefahren unterschiedliche Regulierungsanforderungen gelten. Von geringem oder minimalem Risiko bis hin zu Hochrisiko-KI-Systemen werden entsprechende Maßnahmen zur Risikominderung und -kontrolle festgelegt, um eine sichere Anwendung zu gewährleisten.

Ein weiterer wichtiger Schritt ist das Verbot bestimmter KI-Anwendungen wie soziales Scoring und Gesichtserkennung im öffentlichen Raum, die im Widerspruch zu den grundlegenden Werten der EU stehen. Diese Maßnahme zielt darauf ab, die Privatsphäre und die individuellen Rechte der Bürgerinnen und Bürger zu schützen und eine Überwachung ähnlich wie in China zu verhindern.

Dennoch gibt es Ausnahmen für Sicherheitsbehörden, die Gesichtserkennung zur Verfolgung bestimmter schwerwiegender Straftaten wie Menschenhandel oder Terrorismus nutzen dürfen. Diese Ausnahmen sind jedoch eng definiert und unterliegen strengen Regeln.

Das „AI-Act“ ist ein wichtiger Schritt für die EU, um den verantwortungsvollen und ethischen Einsatz von Künstlicher Intelligenz zu fördern und gleichzeitig potenzielle Risiken zu adressieren. Wir bleiben gespannt auf die weitere Entwicklung und Auswirkungen dieses wegweisenden Gesetzes.

 

Die NIS2-Richtlinie der Europäischen Union stellt eine erweiterte Initiative dar, um die Sicherheit von Netz- und Informationssystemen innerhalb des Binnenmarktes zu stärken. Während die Richtlinie direkt bestimmte Organisationen betrifft, entfaltet sie ihre Wirkung zunehmend auch auf Unternehmen, die nicht unmittelbar unter ihre Bestimmungen fallen. Ein entscheidender Mechanismus dieser indirekten Wirkung liegt im Business-to-Business (B2B)-Sektor, wo Kunden die Einhaltung der NIS2-Standards von ihren Lieferanten und Dienstleistern verlangen können.

Kundenforderungen als Treiber für Sicherheitsmaßnahmen

Im B2B-Kontext haben Sicherheit und Zuverlässigkeit oberste Priorität. Unternehmen, die direkt unter die NIS2-Richtlinie fallen, müssen sicherstellen, dass ihre Netz- und Informationssysteme den höchsten Sicherheitsstandards entsprechen. Diese Anforderung überträgt sich auf ihre Zulieferer und Dienstleister, da jede Schwachstelle in der Lieferkette potenziell die Sicherheit und Verfügbarkeit der Dienste gefährdet. Infolgedessen können diese Unternehmen von ihren B2B-Kunden verlangen, dass auch sie die NIS2-Standards erfüllen, um das Risiko von Sicherheitsvorfällen zu minimieren und die Kontinuität der Geschäftsprozesse zu gewährleisten.

Die Umsetzung als Notwendigkeit

Die Forderung nach Einhaltung der NIS2-Richtlinie durch B2B-Kunden macht die Umsetzung der entsprechenden Sicherheitsmaßnahmen für Zulieferer und Dienstleister praktisch zu einer Notwendigkeit. Dies gilt insbesondere für Unternehmen, die in kritischen Sektoren tätig sind oder essentielle Dienste anbieten, wo die Auswirkungen von Sicherheitsvorfällen besonders gravierend sein können. Die Einhaltung der NIS2-Standards wird somit zu einem entscheidenden Faktor für die Aufrechterhaltung bestehender Geschäftsbeziehungen und die Sicherung neuer Aufträge.

Die Anforderungen der NIS2-Richtlinie setzen neue Standards für die Sicherheit von Netz- und Informationssystemen in der EU. Für Unternehmen, die nicht direkt unter diese Richtlinie fallen, kann die Einhaltung dennoch zur Notwendigkeit werden – insbesondere wenn B2B-Kunden dies verlangen. Die Umsetzung der NIS2-Standards bietet nicht nur Schutz vor Sicherheitsrisiken, sondern dient auch der Stärkung der Marktposition und der Sicherung der Geschäftskontinuität.

Die NIS 2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union) ist die Nachfolgeregelung der NIS-Richtlinie von 2016. Sie trat am 16. Januar 2023 in Kraft und muss von den EU-Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.

Die NIS 2-Richtlinie hat zum Ziel, die Cybersicherheit in der Europäischen Union zu erhöhen. Dazu stellt sie umfassende Anforderungen an Betreiber kritischer Infrastrukturen (KRITIS) und Betreiber bedeutender Netz- und Informationssysteme (BNIS).

Ausweitung des Anwendungsbereichs

Ein zentraler Aspekt der NIS 2-Richtlinie ist die Ausweitung des Anwendungsbereichs. So werden nun auch Betreiber von KRITIS in den Sektoren Gesundheit, Energie, Verkehr und Wasserversorgung erfasst. Außerdem werden auch Betreiber von BNIS, die nicht in den Sektoren KRITIS tätig sind, aber einen erheblichen Einfluss auf die öffentliche Sicherheit oder die Wirtschaft haben können, unter die Richtlinie fallen.

Verschärfung der Anforderungen

Die NIS 2-Richtlinie verschärft auch die Anforderungen an die Cybersicherheit von KRITIS- und BNIS-Betreibern. Dazu gehören unter anderem:

• Die Einrichtung eines Cybersicherheitsmanagementsystems (CSMS)
• Die regelmäßige Durchführung von Risikobewertungen
• Die Umsetzung von Maßnahmen zur Risikominderung
• Die Meldung von Sicherheitsvorfällen an die zuständigen Behörden

Umsetzung in Deutschland

Die Bundesregierung hat im September 2023 einen Entwurf eines NIS2-Umsetzungsgesetzes vorgelegt. Das Gesetz soll die NIS 2-Richtlinie in deutsches Recht umsetzen und die Anforderungen an die Cybersicherheit von KRITIS- und BNIS-Betreibern in Deutschland konkretisieren.

Das NIS2-Umsetzungsgesetz wird voraussichtlich im Frühjahr 2024 in Kraft treten.

Ausblick

Die NIS 2-Richtlinie ist ein wichtiger Schritt zur Verbesserung der Cybersicherheit in der Europäischen Union. Die Ausweitung des Anwendungsbereichs und die Verschärfung der Anforderungen stellen hohe Anforderungen an die betroffenen Unternehmen. Die Umsetzung der NIS 2-Richtlinie wird daher eine große Herausforderung für die nächsten Jahre sein.

Unternehmen, die als KRITIS- oder BNIS-Betreiber von der NIS 2-Richtlinie betroffen sind, sollten sich frühzeitig mit den Anforderungen der Richtlinie auseinandersetzen und entsprechende Maßnahmen zur Umsetzung ergreifen.

Ab jetzt müssen Unternehmen ab 50 Mitarbeitenden interne Meldekanäle einrichten. Frist verpasst? Es drohen Bußgelder bis zu 20.000 €. Schützen Sie Whistleblower und beachten Sie die Datenschutzvorgaben. Handeln Sie jetzt!​

Unternehmen setzen verstärkt auf innovative Lösungen wie Online-Whistleblower-Portale, um den gesetzlichen Anforderungen gerecht zu werden und Whistleblower zu schützen. Erfahrungen zeigen, dass eine frühzeitige und strategische Implementierung der internen Meldekanäle nicht nur Bußgelder vermeidet, sondern auch das Vertrauen der Mitarbeiter stärkt. Setzen Sie ein Zeichen für Integrität und Compliance in Ihrem Unternehmen!

Die Wichtigkeit der Cybersecurity nimmt mit zunehmender globaler Vernetzung immer mehr an Bedeutung zu und stellt eine Herausforderung für Unternehmen, Regierungen und auch Bürger dar. Statistiken zeigen, dass rund 46 % der befragten Unternehmen in Deutschland mindestens einmal Opfer einer Cyber-Attacke geworden sind.

Die am 16. Januar 2023 in Kraft getretene NIS2 EU-Richtlinie – eine Modifizierung der in 2016 eingeführten EU-Vorschriften zur Cybersicherheit – erweitert den bestehenden Rechtsrahmen, um zum einen mehr Sektoren abzudecken und zum anderen den Schutz der kritischen Infrastruktur aufrechtzuerhalten. Mit diesem breitgefächerten Geltungsbereich soll nun das Cybersicherheitsniveau in Europa langfristig erhöht werden.

Wer ist betroffen?

Betroffen sind Unternehmen und Organisationen, die als Operatoren von Kritischen Infrastrukturen (KRITIS) eingestuft werden. In der Richtlinie werden zwei Kategorien genannt – und zwar die Betreiber wesentlicher Dienste (Operators of Essential Services OES) und die Anbieter digitaler Dienste (Digital Service Providers DSP).

Die Betreiber wesentlicher Dienste umfassen Unternehmen, die als wesentlich für das Funktionieren von Wirtschaft und Gesellschaft angesehen werden, wie Unternehmen der Energieversorgung, Gesundheitswesen, Trinkwasser- und Abwasserversorgung. Die Größe des Unternehmens ist in diesem Fall unbeachtlich.

Die Anbieter digitaler Dienste sind Unternehmen, die Online-Dienste anbieten, z.B. Cloud Computing-Anbieter und Suchmaschinen. Hierbei allerdings haben die Unternehmen die Vorgaben der Richtlinie nur dann zu erfüllen, wenn sie eine bestimmte Größe überschreiten. Während mittlere Unternehmen mit mehr als 50 MitarbeiterInnen und einem Jahresumsatz von mindestens 10 Mio. EUR den Vorgaben gerecht werden müssen, sind große Unternehmen mit mehr als 250 MitarbeiterInnen und einem Jahresumsatz von mindestens 50 Mio. EUR davon betroffen.

Was ist zu tun?

Zunächst müssen die betroffenen Unternehmen prüfen, ob sie als Netz- und Informationssystemdienst eingestuft werden und dann ihre Security-Maßnahmen überprüfen, ggf. anpassen. Ein großer Fokus liegt nun bei einer Risikobewertung zur Ermittlung und Bewertung von potenziellen Angriffen und möglichen IT-Sicherheitsrisiken. Außerdem bedarf es der Implementierung eines Sicherheitsmanagementsystems, um die Sicherheitsmaßnahmen effektiv und regelmäßig zu überprüfen. Für eine adäquate Umsetzung der Sicherheitsmaßnahmen, müssen die Unternehmen ihr Personal über die Richtlinie informieren. Des Weiteren müssen Sicherheitsvorfälle bei der zuständigen Behörde gemeldet werden. Ein weiterer Fokus ist auf die Sicherheit von Lieferketten (Supply Chain Security) gerichtet – die Unternehmen sollen ihre Lieferketten prüfen und dafür sorgen, dass sich auch ihre Zulieferer ausreichend vor Cyberbedrohungen schützen.

Wie hilft nun die NIS2 EU-Richtlinie die Risiken vor Cyberangriffen zu minimieren?

Die Umsetzung der Richtlinie trägt dazu bei, dass das Risiko vor Cyberangriffen und Datenlecks enorm verringert wird. Somit werden zum einen durch die Vorfälle verursachten Kosten minimiert und zum anderen mögliche Bußgelder vermieden.

Einen weiteren Vorteil bringt die Richtlinie im Rahmen der Aufrechterhaltung des Betriebs – die Unternehmen sind nun verpflichtet, ihre Backup- und Wiederherstellungspläne zu überprüfen und diese auf einem aktuellen Stand zu halten. Das heißt auch, dass die angemessenen technischen und organisatorischen Maßnahmen zu treffen sind, um die Risiken eines Netzwerks- und Informationssystems zu bewältigen.

Die NIS2 EU-Richtlinie ist ein wichtiger Schritt für die Cybersicherheit in Europa. Indem sie klare Verpflichtungen und Mindestsicherheitsanforderungen vorschreibt, trägt sie dazu bei, die Widerstandsfähigkeit der digitalen Infrastruktur zu stärken und die Auswirkungen von Cyberangriffen zu minimieren. Zur Umsetzung wurde eine Frist von 21 Monaten vorgesehen – bis Oktober 2024 müssen die EU-Mitgliedstaaten die Richtlinie in nationales Recht überführen.