Im Moment hat man das Gefühl man kommt mit neuen Anforderungen an Datenschutz und vor allem an IT Sicherheit gar nicht mehr hinterher. Nachdem die KI-Verordnung ab Februar 2025 Schritt für Schritt umgesetzt werden muss, gab es im Zuge der Erhöhung der Cybersicherheit einige neue Verordnungen die evtl. zusätzlich umgesetzt werden müssen.
Die Umsetzung EU NIS2 Richtlinie zur Stärkung der Cybersicherheit wird über das NIS2UmsuCG in Deutschland zum Gesetz werden und voraussichtlich noch 2025 in Kraft treten. Betroffen sind Unternehmer aus Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Management (B2B), Regierung und Raumfahrt sowie Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter und Forschung. Das Bundesamtes für Sicherheit in der Informationstechnik (BSI) bietet unter dem Link: https://betroffenheitspruefung-nis-2.bsi.de eine Betroffenheitsprüfung an.
Etwas länger besteht bereits der Kriterienkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) spezifiziert mit C5 Mindestanforderungen an sicheres Cloud Computing. Hier müssen Unternehmen die Gesundheitsdaten in der Cloud verarbeiten bzw. Anbieter von Clouddienstleistungen ein sog. C5 Testat nachweisen. Viele Unternehmen aus der Gesundheitsbranche arbeiten zur Zeit an der Umsetzung des Kriterienkataloges. D. h. werden z. B. Gesundheitsdaten in der Cloud verarbeitet, sollte der Anbieter ein C5 Testat nachweisen können.
Der Digital Operational Resilience Act (DORA) ist ebenfalls eine EU-Verordnung, die darauf abzielt, die Widerstandsfähigkeit der Digital- und Finanzwirtschaft zu kräftigen. DORA verlangt von den betroffenen Unternehmen, dass sie ihre IT-Systeme, Cybersicherheitsstrategien und Prozesse robust und zuverlässig gestalten, um den wachsenden Anforderungen im Bereich der digitalen Resilienz gerecht zu werden um sich auf Krisen einzustellen, sich anzupassen und dadurch die Auswirkungen von Krisen vermeiden bzw. diese so gering wie möglich zu halten.
Warum das alles? Lt. einer am 28. August 2024 veröffentlichten Umfrage des Branchenverband Bitkom sind Deutsche Unternehmen zunehmend Ziel von Cyberangriffen. In den letzten zwölf Monaten waren 81 Prozent der Unternehmen von Datendiebstahl, Spionage oder Sabotage betroffen. Der Schaden beläuft sich auf 267 Milliarden Euro, Tendenz steigend. Hauptangreifer sind das organisierte Verbrechen und ausländische Geheimdienste wie China und Russland.
