Sicherheitsmanagement in Zeiten neuer EU-Regulierungen

Die Rolle des ISMS im Kontext aktueller Verordnungen und Richtlinien

Die Europäische Union hat in den letzten Jahren eine Reihe bedeutender Regulierungen verabschiedet, die Unternehmen vor neue Herausforderungen im Bereich Informationssicherheit und Compliance stellen. Verordnungen wie der Cyber Resilience Act (CRA), der AI Act, der Data Act sowie der Digital Operational Resilience Act (DORA) und die NIS2-Richtlinie setzen klare Rahmenbedingungen für den Umgang mit Daten, IT-Sicherheit und Künstlicher Intelligenz. Unternehmen stehen damit vor der Aufgabe, ihre Sicherheitsstrukturen und Managementsysteme entsprechend anzupassen.

Im Zentrum dieser Anforderungen steht häufig ein Informationssicherheits-Managementsystem (ISMS), das Unternehmen unterstützt, gesetzliche Vorgaben systematisch umzusetzen und Risiken effektiv zu steuern.

Aktuelle EU-Verordnungen und Richtlinien im Überblick

  1. Cyber Resilience Act (CRA) (Verordnung)
    Der CRA legt horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest. Ziel ist es, einheitliche Sicherheitsstandards für vernetzte Produkte auf dem EU-Markt zu schaffen. Der CRA fordert von Herstellern, über den gesamten Produktlebenszyklus hinweg Sicherheitsmaßnahmen zu implementieren und Schwachstellenmanagement sowie regelmäßige Updates sicherzustellen.
    BSI
  2. Digital Operational Resilience Act (DORA) (Verordnung)
    DORA stärkt die digitale Resilienz im Finanzsektor. Finanzunternehmen und kritische IKT-Dienstleister müssen robuste IKT-Risikomanagementsysteme implementieren, Vorfälle melden, regelmäßige Stresstests durchführen und Drittanbieter-Risiken bewerten. DORA sorgt so für eine höhere Ausfallsicherheit und Cybersicherheit innerhalb des Finanzsektors.
    BaFin
  3. Artificial Intelligence Act (AI Act) (Verordnung)
    Der AI Act regelt den Einsatz von Künstlicher Intelligenz innerhalb der EU. Er klassifiziert KI-Systeme nach Risikostufen und definiert Anforderungen hinsichtlich Transparenz, Nachvollziehbarkeit und Sicherheit. Insbesondere Hochrisiko-KI-Systeme unterliegen strengen Vorgaben bezüglich Datenqualität, menschlicher Aufsicht und Robustheit.
    ➔ a) offiziell aber nicht so gut lesbar b) nicht offiziell aber gut lesbar
  4. Data Act (Verordnung)
    Der Data Act fördert den fairen Zugang zu und die sichere Nutzung von Daten. Ziel ist es, Datensilos aufzubrechen und die Datenökonomie in der EU zu stärken. Der Act verpflichtet Unternehmen dazu, Daten unter bestimmten Bedingungen mit anderen Marktteilnehmern zu teilen und sorgt für mehr Transparenz im Umgang mit Daten.
    Data Act
  5. NIS2-Richtlinie (Network and Information Security Directive 2) (Richtlinie)
    Die NIS2 ist die überarbeitete Fassung der ursprünglichen NIS-Richtlinie und erweitert die Anforderungen an die Cybersicherheit in der EU. Unternehmen in kritischen Sektoren wie Energie, Verkehr, Gesundheitswesen, Finanzen und der digitalen Infrastruktur werden verpflichtet, umfangreiche Sicherheitsmaßnahmen umzusetzen und Sicherheitsvorfälle zu melden. Die Mitgliedstaaten müssen NIS2 bis Oktober 2024 in nationales Recht umsetzen.
    NIS2

Verordnung vs. Richtlinie – Was ist der Unterschied?

Ein zentraler Aspekt beim Verständnis der regulatorischen Anforderungen ist die Unterscheidung zwischen Verordnungen und Richtlinien:

  • EU-Verordnung:
    Eine Verordnung hat unmittelbare Rechtskraft in allen Mitgliedstaaten. Sie muss nicht erst in nationales Recht umgesetzt werden, sondern tritt nach ihrer Verabschiedung direkt in Kraft. Dies schafft eine einheitliche Rechtslage in der gesamten EU.
    Beispiel: Cyber Resilience Act, DORA, AI Act, Data Act
  • EU-Richtlinie:
    Eine Richtlinie gibt den Mitgliedstaaten ein Ziel vor, das innerhalb einer bestimmten Frist erreicht werden muss. Die Länder haben jedoch Gestaltungsspielraum bei der Umsetzung in nationales Recht. Dies führt dazu, dass Richtlinien in unterschiedlichen EU-Staaten variieren können.
    Beispiel: NIS2-Richtlinie

Warum ist dieser Unterschied wichtig?
Während Verordnungen sofort verbindlich sind, müssen Unternehmen bei Richtlinien auch die nationale Umsetzung berücksichtigen. Für Unternehmen bedeutet das, sich nicht nur auf EU-Ebene, sondern auch über die spezifischen Auslegungen der Richtlinien in den einzelnen Mitgliedstaaten zu informieren.

Die Rolle des ISMS in Bezug auf diese Verordnungen und Richtlinien

Ein Informationssicherheits-Managementsystem (ISMS) ist ein strukturiertes Rahmenwerk, das Unternehmen hilft, Sicherheitsrisiken systematisch zu identifizieren, zu bewerten und zu steuern. Im Kontext der aktuellen EU-Verordnungen und Richtlinien erfüllt ein ISMS eine zentrale Funktion, um regulatorische Anforderungen zu erfüllen und gleichzeitig die Informationssicherheit zu stärken.

Schlüsselaufgaben eines ISMS:

  1. Risikoanalyse und -management
    Ein ISMS ermöglicht die Identifizierung und Bewertung von Sicherheitsrisiken. Unternehmen können dadurch gezielt Maßnahmen entwickeln, um Bedrohungen zu minimieren.
  2. Compliance-Sicherung
    Durch ein ISMS können Unternehmen sicherstellen, dass sie die spezifischen Anforderungen der verschiedenen Verordnungen und Richtlinien erfüllen – von Datenschutzanforderungen im Data Act bis hin zu den Vorfallmanagement-Pflichten in DORA oder NIS2.
  3. Vorbereitung auf Audits und Nachweise
    Die systematische Dokumentation im ISMS erleichtert den Nachweis der Compliance gegenüber Aufsichtsbehörden und im Rahmen externer Audits.
  4. Krisenmanagement und Notfallpläne
    Im Falle von Sicherheitsvorfällen unterstützt das ISMS dabei, Notfallpläne schnell zu aktivieren und Schäden zu minimieren – eine zentrale Anforderung in Verordnungen wie DORA und der NIS2-Richtlinie.

Schritte zur Umsetzung der Compliance

Unternehmen sollten einen klaren Prozess verfolgen, um den neuen Anforderungen gerecht zu werden:

  1. Relevanzprüfung
    Analysieren Sie, welche der genannten Verordnungen und Richtlinien auf Ihr Unternehmen zutreffen. Faktoren wie Branche, Unternehmensgröße, eingesetzte Technologien oder die Verarbeitung personenbezogener Daten spielen hier eine entscheidende Rolle.
  2. Anforderungsanalyse
    Identifizieren Sie die spezifischen Anforderungen der jeweiligen Regelwerke. Während der AI Act insbesondere KI-Systeme adressiert, liegt bei DORA der Fokus auf der digitalen Resilienz im Finanzsektor. Die NIS2 betrifft hingegen ein breiteres Spektrum an kritischen Infrastrukturen.
  3. Integration in das ISMS
    Passen Sie Ihr bestehendes ISMS an oder implementieren Sie ein neues System, um die identifizierten Anforderungen zu integrieren. Dazu gehören beispielsweise Vorfallmanagement-Prozesse, Sicherheitsrichtlinien oder Maßnahmen zur Erhöhung der Resilienz gegen Cyberbedrohungen.
  4. Schulungen und Sensibilisierung
    Mitarbeitende müssen mit den neuen Anforderungen vertraut gemacht werden. Durch gezielte Schulungen können Unternehmen sicherstellen, dass alle Beteiligten wissen, wie sie Sicherheitsmaßnahmen umsetzen und Vorfälle korrekt melden.

Managementsysteme mit risikoorientiertem und prozessbezogenem Ansatz

Moderne Managementsysteme wie das ISMS basieren auf einem risikoorientierten und prozessbezogenen Ansatz. Das bedeutet, Risiken werden kontinuierlich bewertet und Prozesse so gestaltet, dass sie flexibel auf Bedrohungen und Veränderungen reagieren können.

Gerade in einem sich wandelnden regulatorischen Umfeld ist dieser Ansatz essenziell. Unternehmen müssen nicht nur aktuelle Anforderungen erfüllen, sondern auch zukünftige Entwicklungen antizipieren und ihre Sicherheitsarchitekturen entsprechend anpassen.

Fazit

Die Vielzahl an neuen EU-Verordnungen und Richtlinien zeigt: Unternehmen stehen vor der Herausforderung, Informationssicherheit und Compliance ganzheitlich zu betrachten und ihre Systeme entsprechend auszurichten. Der Aufbau oder die Anpassung eines Informationssicherheits-Managementsystems (ISMS) bildet dabei die zentrale Grundlage, um regulatorische Anforderungen effektiv umzusetzen und gleichzeitig die digitale Resilienz zu stärken.

Besonders wichtig ist die Unterscheidung zwischen Verordnungen und Richtlinien – denn während Verordnungen sofort rechtskräftig sind, variieren Richtlinien je nach nationaler Umsetzung. Unternehmen sollten daher proaktiv handeln, rechtliche Entwicklungen im Blick behalten und ihre Sicherheitsstrukturen kontinuierlich weiterentwickeln.

Ein gut integriertes ISMS hilft dabei nicht nur, gesetzliche Vorgaben zu erfüllen, sondern stärkt auch die langfristige Widerstandsfähigkeit gegenüber Cyberbedrohungen – ein entscheidender Wettbewerbsvorteil in einer zunehmend digitalisierten Welt.

Bleiben wir in Verbindung

Adinger Newsletter bestellen

Bitte aktiviere JavaScript in deinem Browser, um dieses Formular fertigzustellen.
Name
Datenschutz

Adinger bietet Unternehmen im hochregulierten Umfeld methodisches Know-how (strategy), praxisorientierte Schulungen (competence) und operative Projektumsetzung (operations), mit dem Ziel sichere, resiliente und gesetzeskonforme Systeme zu errichten und zu betreiben

Instagram Facebook Linkedin

Trainings

Expertise

Adinger

Newsletter

© Adinger IT Trainings 2025

Newsletter Anmeldung

Bitte aktiviere JavaScript in deinem Browser, um dieses Formular fertigzustellen.
Name
Datenschutz