Im September 2024 sind zwei bedeutende EU-Richtlinien in Kraft getreten, die die Cyber- und Betriebsresilienz in der gesamten EU auf eine neue Ebene heben: die Digital Operational Resilience Act (DORA) und die NIS-2-Richtlinie. Diese Regelwerke werden die Art und Weise, wie Unternehmen und Organisationen in der EU mit IT-Risiken und Cyberbedrohungen umgehen, grundlegend verändern. Doch was genau steckt dahinter und warum sind sie so wichtig?
DORA: Digital Operational Resilience Act
Der Fokus von DORA liegt auf der operativen Resilienz digitaler Finanzunternehmen. Die neue Verordnung zielt darauf ab, das Risikomanagement für IT-Infrastrukturen im Finanzsektor zu standardisieren und zu stärken. Hier sind die wichtigsten Aspekte:
Standardisiertes IT-Risikomanagement: Finanzinstitute müssen nun strenge Maßnahmen implementieren, um IT-Risiken zu identifizieren, zu bewerten und zu mindern. Dies umfasst regelmäßige Stresstests und die Einführung von Notfallplänen.
Drittdienstleister stärker im Fokus: Externe IT-Dienstleister, insbesondere Anbieter von Cloud-Services, stehen stärker unter regulatorischer Beobachtung. Finanzunternehmen müssen sicherstellen, dass ihre Zulieferer ebenfalls strenge Cybersicherheitsstandards einhalten.
Verpflichtende Meldepflicht: Alle IT-bezogenen Vorfälle, die die operative Geschäftstätigkeit beeinträchtigen könnten, müssen schnell an die zuständigen Behörden gemeldet werden.
Warum DORA wichtig ist: Die Digitalisierung im Finanzsektor schreitet rasant voran, und damit steigen auch die Risiken. DORA sorgt dafür, dass sich Unternehmen nicht nur auf den Geschäftsbetrieb, sondern auch auf potenzielle Cyber-Bedrohungen vorbereiten.
NIS-2: Neue Cybersicherheitsanforderungen für kritische Infrastrukturen
Mit der NIS-2-Richtlinie (Netz- und Informationssicherheit) geht die EU einen Schritt weiter und erweitert den Anwendungsbereich der Vorgängerrichtlinie (NIS-1). Die neue Version richtet sich an kritische Infrastrukturen wie Energieversorger, Gesundheitswesen und Transportwesen.
Erweiterter Anwendungsbereich: NIS-2 betrifft nun eine größere Bandbreite an Unternehmen und Organisationen. Auch mittelständische Betriebe, die wesentliche Dienste für die Wirtschaft und Gesellschaft erbringen, müssen strenge Cybersicherheitsvorgaben erfüllen.
Verschärfte Anforderungen an das Risikomanagement: Organisationen müssen nun ein umfassendes Cybersicherheitsmanagementsystem implementieren. Dazu gehören regelmäßige Risikobewertungen, die Identifizierung von Schwachstellen und präventive Maßnahmen zur Risikoabwehr.
Erhöhte Transparenz und Meldepflichten: Ähnlich wie bei DORA gibt es eine strikte Meldepflicht für Sicherheitsvorfälle. Die Meldung muss innerhalb von 24 Stunden nach der Erkennung eines Vorfalls erfolgen, was schnelles Handeln erfordert.
Warum NIS-2 wichtig ist: Angesichts der zunehmenden Bedrohungen durch Cyberangriffe, die oft kritische Infrastrukturen ins Visier nehmen, stellt NIS-2 sicher, dass diese Organisationen besser geschützt und widerstandsfähiger gegen Cyberangriffe sind.
Was bedeutet das für Unternehmen?
Für Unternehmen in der EU bringen DORA und NIS-2 erhebliche Änderungen mit sich:
Erhöhter Aufwand für Compliance: Die neuen Regelwerke erfordern eine umfassende Anpassung der internen IT- und Sicherheitsstrukturen.
Investitionen in Cybersicherheit: Unternehmen müssen möglicherweise in neue Technologien und Schulungen investieren, um die neuen Anforderungen zu erfüllen.
Wettbewerbsvorteil: Wer frühzeitig und umfassend auf die neuen Anforderungen reagiert, kann sich als zuverlässiger Partner positionieren und das Vertrauen der Kunden stärken.
Fazit: Ein großer Schritt in Richtung digitale Resilienz
DORA und NIS-2 setzen neue Maßstäbe für Cybersicherheit und Risikomanagement in der EU. Sie sind ein klares Zeichen dafür, dass die EU auf die wachsenden Cyber-Bedrohungen reagiert und sicherstellen will, dass Unternehmen besser vorbereitet sind. Für Unternehmen, die die neuen Anforderungen frühzeitig umsetzen, bieten sich zudem Chancen: mehr Vertrauen bei Kunden, erhöhte Resilienz und eine stärkere Wettbewerbsposition.
Comments