Regulatorisches Minenfeld der Cybersicherheit: Was CISOs im Jahr 2025 brauchen

Die regulatorische Landschaft im Bereich der Cybersicherheit hat sich zu einem immer komplexeren Netz von Compliance-Anforderungen entwickelt, die Unternehmen nicht mehr ignorieren können. In dem Maße, in dem Unternehmen Cloud Computing, Lösungen mit künstlicher Intelligenz und Technologien für das Internet der Dinge einsetzen, sehen sie sich gleichzeitig mit einem erhöhten Risiko von Datenschutzverletzungen und einer verschärften Kontrolle durch Aufsichtsbehörden weltweit konfrontiert. Moderne Cybersicherheit geht weit über den Schutz von Systemen vor Online-Angriffen hinaus - sie umfasst nun auch die strikte Einhaltung sich entwickelnder gesetzlicher Rahmenbedingungen zum Schutz sensibler Daten, zur Gewährleistung der organisatorischen Verantwortlichkeit und zur Einrichtung robuster Sicherheitsinfrastrukturen.

Die Nichteinhaltung von Cybersicherheitsvorschriften hat schwerwiegende Folgen, darunter erhebliche finanzielle Strafen und rechtliche Konsequenzen, die die Geschäftskontinuität gefährden können. Unternehmen müssen sich in diesem regulatorischen Minenfeld zurechtfinden, um das Vertrauen ihrer Kunden zu erhalten, ihren Ruf zu schützen und die mit Datenschutzverletzungen verbundenen Risiken zu minimieren. Für Chief Information Officers, Chief Information Security Officers und Sicherheitsexperten ist das Verständnis und die Umsetzung dieser Compliance-Anforderungen für den Unternehmenserfolg von entscheidender Bedeutung.

Die Europäische Union stärkt das Cybersecurity Framework

Die Europäische Union hat mehrere umfassende Regelwerke eingeführt, die sich erheblich darauf auswirken, wie Unternehmen an die Cybersicherheit herangehen. Die NIS2-Richtlinie, die für Netzwerk- und Informationssicherheits-Richtlinie steht, stellt eine aktualisierte und erweiterte Version der ursprünglichen NIS-Richtlinie dar, die speziell entwickelt wurde, um die Unzulänglichkeiten der Vorgängerrichtlinie zu beseitigen. Die Mitgliedsstaaten mussten diese Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen, was einen entscheidenden Meilenstein in der europäischen Cybersicherheitsregulierung darstellt.

Die NIS2 verpflichtet die Betreiber kritischer Infrastrukturen und grundlegender Dienste in der gesamten EU, geeignete Sicherheitsmaßnahmen zu ergreifen und alle Vorfälle im Bereich der Cybersicherheit zu melden, um die Sicherheit von Netz- und Informationssystemen zu verbessern. Die Richtlinie deckt im Vergleich zum ursprünglichen Rahmenwerk eine wesentlich größere Anzahl von Sektoren ab, die wichtige Bereiche der Gesellschaft repräsentieren. Ihre vier primären Anforderungsbereiche -Risikomanagement, Unternehmensverantwortung, Meldepflichten und Geschäftskontinuität - stellen strengere Anforderungen als NIS1. Unternehmen, die diese Anforderungen nicht erfüllen, müssen mit erheblichen Geldstrafen und möglichen rechtlichen Konsequenzen rechnen.

Der Digital Operational Resilience Act, allgemein bekannt als DORA, trat am 17. Januar 2025 in Kraft und richtet sich in erster Linie an Finanzinstitute. Vor dem Inkrafttreten von DORA gab es keine einheitliche Methodik für den Umgang mit Problemen im Bereich der Informations- und Kommunikationstechnologie, unabhängig davon, ob diese auf Cyberangriffe oder technische Fehler zurückzuführen sind. Die Verordnung verpflichtet nun Finanzinstitute wie Banken, Versicherungen und Investmentbanken zur Einhaltung strenger Richtlinien, die sicherstellen, dass sie erheblichen Betriebsunterbrechungen widerstehen, darauf reagieren und sich davon erholen können, während sie gleichzeitig Cyberangriffe verhindern und reduzieren.

Der Cyber Resilience Act trägt der Tatsache Rechnung, dass sowohl Hardware als auch Software zu Hauptzielen für bösartige Aktivitäten geworden sind. Diese Verordnung gilt für Hersteller, Importeure und Vertreiber von Produkten mit digitalen Elementen und gewährleistet die Cybersicherheit während des gesamten Produktlebenszyklus. Sie führt verbindliche Cybersicherheitsanforderungen für die Planung, den Entwurf, die Entwicklung und die Wartung solcher Produkte ein. Die Vorschriften der CRA für die Meldung von Cybersicherheitsvorfällen werden am 11. September 2026 in Kraft treten, alle anderen Anforderungen werden bis zum 11. Dezember 2027 umgesetzt. Produkte wie medizinische Geräte und Kraftfahrzeuge mit eigenen Sicherheitsvorschriften sind von diesem Rahmen ausgenommen.

Künstliche Intelligenz auf dem Prüfstand der Regulierungsbehörden

Das EU-Gesetz über künstliche Intelligenz konzentriert sich in erster Linie auf die Regulierung von KI, hat aber auch erhebliche Auswirkungen auf die Cybersicherheitspraktiken. Die Gesetzgebung verlangt, dass KI-Systeme mit hohem Risiko so konzipiert und entwickelt werden, dass sie ein angemessenes Niveau an Genauigkeit, Robustheit und Cybersicherheit erreichen und diese Eigenschaften während ihres gesamten Lebenszyklus beibehalten. Die Europäische Kommission wird diese Leistungsniveaus messen und bewerten, um die Einhaltung zu gewährleisten.

KI-Systeme mit hohem Risiko müssen verzerrte Ergebnisse verhindern und gegen Manipulation durch Unbefugte gesichert sein. Diese Verordnung tritt am 2. August 2026 in Kraft, so dass Unternehmen Zeit haben, ihre KI-Systeme auf die Einhaltung der Vorschriften vorzubereiten. Die Überschneidung von KI- und Cybersicherheitsvorschriften spiegelt die wachsende Erkenntnis wider, dass Systeme der künstlichen Intelligenz einzigartige Sicherheitsherausforderungen darstellen, die eine spezielle Aufsicht erfordern.

Vereinigtes Königreich bringt Gesetzgebung zur Cyberabwehr voran

Das britische Gesetz über Cybersicherheit und Widerstandsfähigkeit (Cyber Security and Resilience Bill) zielt darauf ab, die Cyberabwehr des Landes zu verbessern und sicherzustellen, dass lebenswichtige kritische Infrastrukturen, auf die sich Unternehmen für digitale Dienstleistungen verlassen, sicher bleiben. Das Gesetz schreibt die Umsetzung strenger Cybersicherheitsmaßnahmen vor und verlangt die Meldung von Vorfällen an die Regierung, um die Datenerfassung über Cyberangriffe zu verbessern. Die Regierung kündigte im Juli 2024 an, dass sie diesen Gesetzentwurf während der laufenden Legislaturperiode einbringen wird. Die Einzelheiten werden im April 2025 veröffentlicht und die formelle Einführung im Parlament ist für später im Jahr 2025 geplant.

Die Vereinigten Staaten verbessern die Berichterstattung über kritische Infrastrukturen

Der Cyber Incident Reporting for Critical Infrastructure Act, bekannt als CIRCIA, ist ein Gesetz der Vereinigten Staaten, das die Cybersicherheit des Landes verbessern soll, indem bessere und schnellere Informationen über Cyberangriffe gewonnen werden. Das Gesetz verpflichtet kritische Organisationen, die Agentur für Cybersicherheit und Infrastruktursicherheit zu benachrichtigen, wenn sie von einem Cyberangriff betroffen sind oder ein Lösegeld gezahlt haben, um den Behörden ein klareres Bild der Cyberbedrohungslandschaft zu vermitteln. Die Meldepflichten werden voraussichtlich 2026 in Kraft treten, nachdem die endgültigen Vorschriften 2025 veröffentlicht werden, so dass die Unternehmen genügend Zeit haben, geeignete Meldemechanismen einzurichten.

Indien schafft einen Rahmen für den Datenschutz

Indien hat mit seinem Digital Personal Data Protection Act wichtige Schritte zur Verbesserung des Datenschutzes und der Privatsphäre unternommen. Die DPDP-Regeln, die im Rahmen des Digital Personal Data Protection Act von 2023 erlassen wurden, stellen für Indien einen bedeutenden Fortschritt im Bereich der Cybersicherheit dar. Dieses Gesetz schreibt die Ernennung eines Datenschutzbeauftragten für Organisationen vor, die mit personenbezogenen Daten umgehen. Chief Information Security Officers werden eng mit den Datenschutzbeauftragten zusammenarbeiten müssen, um Cybersecurity-Strategien mit den Datenschutzanforderungen in Einklang zu bringen und einen einheitlichen Ansatz für Informationssicherheit und Datenschutz zu schaffen.

Strategische Vorbereitung auf die Einhaltung gesetzlicher Vorschriften

Chief Information Officers und Chief Information Security Officers müssen einen proaktiven Ansatz verfolgen, um das breite Spektrum der gesetzlichen Anforderungen im Jahr 2025 zu erfüllen. Sicherheitsverantwortliche können ihre Unternehmen dabei unterstützen, den Herausforderungen der Einhaltung von Vorschriften einen Schritt voraus zu sein, indem sie Zugang zu den neuesten Cybersicherheitsverfahren haben, die auf den Änderungen der gesetzlichen Rahmenbedingungen basieren. Dies erfordert eine kontinuierliche Überwachung der regulatorischen Entwicklungen und ein Verständnis dafür, wie sich neue Anforderungen auf bestehende Sicherheitsprogramme auswirken.

Das Verstehen der organisatorischen Auswirkungen gesetzlicher Rahmenbedingungen erfordert eine enge Zusammenarbeit mit internen Mitarbeitern aus verschiedenen Abteilungen. Rechts-, Compliance-, Finanz- und Betriebsteams müssen zusammenarbeiten, um ein umfassendes Verständnis der gesetzlichen Anforderungen und ihrer praktischen Umsetzung zu gewährleisten. Darüber hinaus bietet die Zusammenarbeit mit externen Beratern oder Rechtsbeiständen für regulatorische Beratung wertvolles Fachwissen bei der Navigation durch komplexe Compliance-Landschaften.

Die Kommunikation ist ein wichtiger Bestandteil der Vorbereitung auf die Einhaltung von Vorschriften. Indem Teams und Stakeholder über die Auswirkungen gesetzlicher Änderungen auf dem Laufenden gehalten werden, wird sichergestellt, dass jeder seine Rolle und Verantwortung bei der Einhaltung der Vorschriften versteht. Dazu gehören regelmäßige Schulungen, eine aktualisierte Dokumentation und klare Eskalationsverfahren für Compliance-bezogene Probleme.

Für ein effektives Compliance-Management ist es unerlässlich, die aktuelle Lage des Unternehmens zu verstehen. Unternehmen müssen gründliche Bewertungen durchführen, um Lücken zwischen den aktuellen Sicherheitspraktiken und den gesetzlichen Anforderungen zu ermitteln. Diese Bewertungen bilden die Grundlage für die Entwicklung umfassender Fahrpläne zur Einhaltung der Vorschriften, in denen Initiativen auf der Grundlage von Risikobewertung, Ressourcenverfügbarkeit und gesetzlichen Fristen priorisiert werden.

Sicherheitsverantwortliche können ihre Unternehmen dabei unterstützen, den Herausforderungen der Compliance immer einen Schritt voraus zu sein, indem sie Zugang zu den neuesten Cybersicherheitsverfahren haben und sicherstellen, dass Antivirenlösungen in Übereinstimmung mit den gesetzlichen Vorschriften ordnungsgemäß eingesetzt und aktualisiert werden.

Sicherheitsverantwortliche sollten außerdem Rahmenbedingungen für die laufende Überwachung der Einhaltung von Vorschriften schaffen, anstatt die Einhaltung von Vorschriften als einmaliges Projekt zu betrachten. Kontinuierliche Bewertungsmechanismen helfen Unternehmen, entstehende Compliance-Lücken zu erkennen, bevor sie zu kritischen Problemen werden, und ermöglichen so proaktive Abhilfemaßnahmen anstelle eines reaktiven Krisenmanagements.

Das regulatorische Umfeld wird sich in dem Maße weiterentwickeln, wie Cyber-Bedrohungen zunehmen und Regierungen mit aktualisierten Rahmenwerken reagieren. Unternehmen, die in flexible, anpassungsfähige Compliance-Programme investieren, sind für künftige regulatorische Änderungen besser gerüstet als Unternehmen, die starre, minimalistische Ansätze verfolgen, die sich ausschließlich auf aktuelle Anforderungen konzentrieren. Der Aufbau von Compliance-Kapazitäten, die über die unmittelbaren Anforderungen hinausgehen, schafft Widerstandsfähigkeit gegenüber zukünftigen Erweiterungen der Vorschriften und stärkt gleichzeitig die allgemeine Sicherheitslage.

Quelle: https://www.cyberdefensemagazine.com/cybersecurity-is-now-a-regulatory-minefield-what-cisos-must-know-in-2025