Navigieren durch die wichtigsten heutigen Cybersicherheitsvorschriften

Warum die Einhaltung von Vorschriften im Bereich der Cybersicherheit wichtig ist

In der heutigen vernetzten Welt sind Datensicherheit und Netzwerksicherheit nicht mehr nur ein technisches Problem, sondern auch ein rechtliches und rufschädigendes Problem. Da sich die Bedrohungen weiterentwickeln und die digitale Infrastruktur wächst, müssen die rechtlichen Rahmenbedingungen, die die Sicherheit der Systeme gewährleisten sollen, damit Schritt halten. Bei der Einhaltung dieser Vorschriften geht es jedoch nicht nur um die Vermeidung von Geldstrafen oder das Abhaken von Kästchen. Es geht darum, die Sicherheit in jede Phase der Produktentwicklung und Systemintegration einzubinden.

In den ersten beiden Blogs dieser Reihe haben wir uns mit der menschlichen Seite der Cybersicherheit befasst - warum Bewusstsein wichtig ist und wie man verantwortungsvoll mit Schwachstellen umgeht. Jetzt wenden wir uns den Cybersicherheitsvorschriften zu, die den Mindeststandard für sichere Systeme festlegen.

Obligatorische Vorschriften: Was Sie beachten müssen

Richtlinie zur Netz- und Informationssicherheit 2 (NIS-2): Stärkung des Bewusstseins für Cybersicherheit in der gesamten EU

Was ist NIS-2?

Die von der EU im Jahr 2022 verabschiedete Richtlinie zur Netz- und Informationssicherheit 2 (NIS-2) erweitert die verbindlichen Cybersicherheitsanforderungen auf eine breitere Palette von Branchen, darunter kritische Infrastrukturen, digitale Dienste, Hersteller vernetzter Geräte, Post-/Kurierdienste, Wissenschaft, Forschung und Bildung. Gemäß NIS-2 müssen Unternehmen

• risikobasierte Sicherheitsmaßnahmen für ihre Netzwerke und Informationssysteme ergreifen,

• schwere Sicherheitsvorfälle innerhalb von 24 Stunden nach ihrer Entdeckung melden,

• strengere Sicherheitsanforderungen für die Lieferkette umsetzen und sicherstellen, dass das gesamte Ökosystem – einschließlich Hersteller, Integratoren und Dienstleister – robuste Sicherheitspraktiken einhält.

NIS-2 spielt eine entscheidende Rolle bei der Sicherung grundlegender Dienste in der gesamten EU, indem strengere Cybersicherheitsmaßnahmen und -aufklärung durchgesetzt werden, um kritische Infrastrukturen wie Energienetze, Wasserversorgungs- und Gesundheitssysteme zu schützen. Auf diese Weise wird dafür gesorgt, dass alltägliche Grundbedürfnisse wie Strom, sauberes Wasser und medizinische Versorgung gegen Cyberbedrohungen gewappnet sind und somit die gesellschaftliche Stabilität und die öffentliche Sicherheit gewahrt bleiben.

Erfahren Sie mehr in unserem Blogbeitrag: Der Weg zur digitalen Sicherheit: ein Blick auf die NIS2-Richtlinie der EU.

Die Funkanlagenrichtlinie (RED): Cybersicherheitsanforderungen für drahtlose Geräte

Was ist die RED?

Die von der Europäischen Union durchgesetzte Funkanlagenrichtlinie (RED) wird weiterentwickelt, um verbindliche Cybersicherheitsanforderungen für alle drahtlosen und funkverbundenen Geräte einzuführen. Dies ist auch für IP-basierte Gegensprechanlagen und Zutrittskontrollsysteme relevant, da diese Systeme häufig funkbasierte Technologien für die Zutrittskontrolle verwenden, wie z. B. RFID-Kartenleser oder Bluetooth-Lesegeräte. Wenn ein Gerät nicht der RED entspricht, kann es zu Betriebsstörungen kommen oder es kann sogar verboten werden, es in der EU zu verkaufen. Dazu gehören:

• Sicherstellung der Netzwerkstabilität, um unbefugten Zugriff zu verhindern.

• Schutz personenbezogener Daten und der Privatsphäre durch die Verpflichtung der Hersteller, eine stärkere Verschlüsselung und Authentifizierung zu implementieren.

• Verhinderung von Betrug, indem sichergestellt wird, dass Geräte nicht durch schwache Sicherheitskonfigurationen ausgenutzt werden können.

Bleiben Sie auf dem Laufenden mit unserem Blog: Bereit für RED? Erfüllen Sie die Funkanlagenrichtlinie.

Produktsicherheits- und Telekommunikationsinfrastruktur (PSTI): Mindestsicherheitsanforderungen

Was ist PSTI?

Eine der wichtigsten regulatorischen Veränderungen der letzten Zeit ist der britische Product Security and Telecommunications Infrastructure (PSTI) Act, der von Herstellern vernetzter Geräte verlangt, klare Informationen über ihre Richtlinien für Software-Updates bereitzustellen. Das bedeutet, dass Unternehmen Sicherheitsupdates nicht mehr ohne Vorankündigung einstellen können, wodurch Systeme anfällig werden. Außerdem müssen sie

• angeben, wie lange Software-Updates vor dem Ende der Produktlebensdauer verfügbar sein werden,

• die Verwendung von Produkten mit Standardkennwörtern deaktivieren und sicherstellen, dass Geräte die Einrichtung eindeutiger Kennwörter erzwingen,

• Benutzern und Forschern öffentlich Mittel zur Verfügung stellen, um das Bewusstsein für Cybersicherheit zu schärfen und potenzielle Schwachstellen zu melden.

Branchenstandards: Mehr als nur die Einhaltung von Vorschriften

Während verbindliche Vorschriften die Mindestanforderungen an die Cybersicherheit festlegen, zeigen Branchenzertifizierungen das Engagement für höhere Sicherheitsstandards. Obwohl diese Zertifizierungen nicht gesetzlich vorgeschrieben sind, sind sie aussagekräftige Indikatoren dafür, dass ein Unternehmen das Bewusstsein für Cybersicherheit ernst nimmt und über strukturierte, wiederholbare Prozesse zur Risikobewältigung verfügt. Führende Anbieter orientieren sich an Rahmenwerken wie:

• ISO 27001 – Der internationale Standard für das Informationssicherheitsmanagement

Eine weltweit anerkannte Zertifizierung, die sicherstellt, dass ein Unternehmen strukturierte Cybersicherheitsrichtlinien und Risikomanagementstrategien befolgt.

• EN 303 645 – Ein Sicherheitsstandard für IoT-Geräte

Ein europäischer Standard, der bewährte Sicherheitsverfahren für vernetzte Geräte festlegt, darunter sichere Software-Updates, Passwortrichtlinien, Datenschutzanforderungen und vieles mehr.

• NDAA-Konformität – Vertrauenssicherung für und über den US-Markt hinaus

Der US-amerikanische National Defense Authorization Act (NDAA) schränkt die Verwendung von Telekommunikations- und Sicherheitsgeräten bestimmter Hersteller ein, die als Cybersicherheitsrisiko gelten. Integratoren, die an Projekten der Regierung oder an kritischen Infrastrukturprojekten arbeiten, müssen darauf achten, dass alle Geräte, wie z. B. IP-Kameras, Gegensprechanlagen und Zugangslesegeräte, die NDAA-Compliance-Anforderungen erfüllen. Dies ist jedoch nicht nur eine Anforderung der US-Regierung; weltweit übernehmen viele Nichtregierungsorganisationen freiwillig die gleichen Sicherheitsstandards. Durch den Ausschluss nicht vertrauenswürdiger Marken stärken sie die Widerstandsfähigkeit ihrer Systeme und gewährleisten eine langfristige Cybersicherheit.

Compliance ist nur der Anfang – Cybersicherheitsführerschaft geht darüber hinaus

Die Einhaltung von Standards wie RED, NIS-2 oder PSTI ist zwar unerlässlich, aber Compliance allein bedeutet nicht, dass ein Unternehmen in Sachen Cybersicherheit führend ist. Die Einhaltung von Vorschriften ist die Mindestanforderung – sicher und zukunftsorientiert zu sein, bedeutet, darüber hinauszugehen und die Komplexität der Cybersicherheit zu verstehen.

Viele Unternehmen betrachten Cybersicherheit immer noch als eine Notwendigkeit, die sich aus der Einhaltung von Vorschriften ergibt, und nicht als einen strategischen Vorteil. Vorfälle aus der Praxis haben jedoch gezeigt, dass es bei Investitionen in robuste Sicherheitsmaßnahmen nicht nur darum geht, Bußgelder zu vermeiden – es geht um den Schutz der Geschäftskontinuität, des Kundenvertrauens und sogar um Menschenleben.

Für Systemintegratoren und Immobilienverwalter ist die Auswahl der richtigen Anbieter von entscheidender Bedeutung. Bevor Sie eine Entscheidung treffen, fragen Sie sich:

• Bietet der Hersteller langfristigen Software-Support und Sicherheitsupdates an?

• Sind sie transparent in Bezug auf die Offenlegung von Schwachstellen und Patches?

• Übertreffen sie die gesetzlichen Anforderungen, indem sie sich an bewährte Verfahren wie ISO 27001 und EN 303 645 halten?

Wenn die Antwort „Nein“ lautet, ist es vielleicht an der Zeit, Ihre Optionen zu überdenken. Cyberbedrohungen warten nicht – warum sollten Sie es tun?