Cyberattacken möglichst gut abzuwehren, liegt bald nicht mehr nur in der Eigenverantwortung der Unternehmen. Durch neue Regularien kommen auf viele Branchen mehr Verpflichtungen, Aufsicht und Kontrollen zu.
Wien. Die Anpassung an die DSGVO sitzt vielen IT-Verantwortlichen noch in den Knochen, und im Moment schlagen sie sich mit Meldekanälen für Hinweisgeber herum. War es das dann? Nein, noch lange nicht: Auf etliche Firmen wartet schon die nächste große Herausforderung. Diesmal geht es um Cybersicherheit. Gleich zwei EU-Regularien sind umzusetzen: Die NIS2-Richtlinie, die bestehende Regeln über IT-Sicherheit adaptiert und den Adressatenkreis deutlich erweitert. Und der Digital Operation Resiliance Act (DORA), der den Finanzsektor samt Drittanbietern betrifft.
Um mit NIS2 zu beginnen: NIS steht für Netz- und Informationssicherheit, die EU-Kommission definiert die neue Direktive als „EU-weite Gesetzgebung zur Cybersicherheit“. Ziel sei es, das allgemeine Cybersicherheitsniveau in der EU zu steigern und „mit der zunehmenden Digitalisierung und einer sich entwickelnden Bedrohungslandschaft für Cybersicherheit Schritt zu halten“. Unternehmen, die als Betreiber „wesentlicher Dienste“ in bestimmten Sektoren eingestuft werden, „müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorkommnisse unterrichten. Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen die Sicherheits- und Meldepflichten gemäß der Richtlinie erfüllen“, heißt es auf der Website der Kommission. Auch Aufsicht und Sanktionen sollen verschärft werden.