Was Unternehmen 2024 über neue Cybersicherheitsvorgaben wissen müssen
Mit der zunehmenden Digitalisierung und den wachsenden Cyberbedrohungen steigt auch der Bedarf an klaren gesetzlichen Rahmenbedingungen, um die IT-Sicherheit in Unternehmen zu stärken. Im Jahr 2024 stehen mehrere neue und aktualisierte Verordnungen an, die Unternehmen vor große Herausforderungen stellen. Diese Regulierungen sollen die Resilienz gegen Cyberangriffe fördern und kritische Infrastrukturen besser schützen. Hier sind acht zentrale Cybersicherheitsvorgaben, die Sie 2024 unbedingt im Blick haben sollten.
1. NIS 2 – Verbesserte Sicherheit für kritische Infrastrukturen
Die NIS2-Richtlinie (Network and Information Security) baut auf der ursprünglichen NIS1 auf und zielt darauf ab, ein einheitliches Cybersicherheitsniveau in der gesamten EU zu schaffen. Unternehmen ab einer Größe von 50 Mitarbeitenden oder mit einem Jahresumsatz von mindestens 10 Millionen Euro sind betroffen. Sie müssen Maßnahmen wie Risikoanalysen und Krisenmanagementpläne implementieren, um ihre Systeme vor Cyberangriffen zu schützen.
2. CER Directive – Resilienz gegenüber physischen und digitalen Bedrohungen
Die CER-Richtlinie (Critical Entities Resilience) erweitert den Schutz kritischer Infrastrukturen und berücksichtigt auch physische Bedrohungen wie Naturkatastrophen und menschliches Versagen. Sie soll sicherstellen, dass die Resilienz von KRITIS-Einrichtungen in der gesamten EU gestärkt wird. In Deutschland wird die CER-Richtlinie durch das KRITIS-Dachgesetz umgesetzt.
3. KRITIS-Dachgesetz – Bundesweite Vorgaben für kritische Infrastrukturen
Das KRITIS-Dachgesetz tritt am 1. Januar 2026 in Kraft und legt in Deutschland verbindliche Anforderungen für Betreiber kritischer Infrastrukturen fest. Unternehmen müssen Risikoanalysen durchführen, Resilienzpläne erstellen und moderne Technologien nutzen, um umfassende Schutzmaßnahmen gegen Bedrohungen zu gewährleisten.
4. DORA – Cybersicherheit im Finanzsektor
Der Digital Operational Resilience Act (DORA) zielt darauf ab, die Cybersicherheit im Finanzsektor zu stärken. Finanzunternehmen müssen ihre IT-Systeme stabilisieren, Notfallpläne aufstellen und regelmäßig Penetrationstests durchführen. Zudem müssen Cybervorfälle sofort gemeldet werden.
5. Cyber Resilience Act – Schutz von digitalen Produkten
Der Cyber Resilience Act (CRA) richtet sich an Hersteller von Hardware- und Softwareprodukten, die in der EU vertrieben werden. Unternehmen müssen sicherstellen, dass ihre Produkte während des gesamten Lebenszyklus sicher sind, regelmäßige Updates erhalten und Schwachstellenmanagement betreiben. Bei Verstößen drohen hohe Strafen.
6. Data Governance Act – Vertrauen im Datenaustausch stärken
Der Data Governance Act (DGA) fördert den sicheren Datenaustausch zwischen Unternehmen und öffentlichen Stellen in der EU. Unternehmen müssen sicherstellen, dass Datenschutz und Datensicherheit beim Datenaustausch gewahrt bleiben. Ziel ist es, vertrauenswürdige Datenflüsse zu schaffen und das Vertrauen in den Datenaustausch zu stärken.
7. EU Data Act – Kontrolle über gesammelte Daten
Der EU Data Act gibt Unternehmen und Verbrauchern mehr Kontrolle über von vernetzten Geräten gesammelte Daten. Unternehmen müssen sicherstellen, dass diese Daten auf Anfrage dem Endverbraucher und Dritten zugänglich gemacht werden. Der Data Act fördert Transparenz und stellt strenge Anforderungen an die Nutzung von Daten.
8. US CLOUD Act – Herausforderungen für den Datenschutz
Der US CLOUD Act erlaubt es US-Behörden, auf Daten zuzugreifen, die von US-Unternehmen weltweit gespeichert werden – auch in der EU. Dies stellt Unternehmen vor die Herausforderung, zwischen US-Recht und der europäischen DSGVO zu balancieren. Technologien wie Confidential Computing können hier helfen, sensible Daten zu schützen.
Fazit: Vorbereitung ist alles
Angesichts der Vielzahl neuer Cybersicherheitsregulierungen, die 2024 in Kraft treten, sollten Unternehmen proaktiv handeln. Durch den Einsatz moderner Technologien wie Confidential Computing und die Anpassung ihrer IT-Sicherheitsstrategien an die aktuellen Regulierungen können Unternehmen ihre Compliance sicherstellen und ihre Daten vor Cyberangriffen schützen.
