Vieles neu in 2024: NIS2, TISAX und Co. verschärfen die Anforderungen

Cybersecurity wird zur Chefsache
Neue Gesetze und Vorschriften verschärfen Anforderungen und Sanktionen. NIS2, TISAX, ISO/IEC 27001 und weitere Regulatorien sind nun mehr denn je maßgebend für Entscheidungen im Bereich der Cybersicherheit in den Unternehmen. 
Der erweiterte NIS2-Geltungsbereich betrifft vor allem (kleinere) KRITIS-Unternehmen, Automobilzulieferer achten auf Vertraulichkeits- und Verfügbarkeitslabel nach TISAX®. Bei ISO/IEC 27001-Zertifizierung sind die angepasste Struktur und neue Prüfpunkte entscheidend. 

NIS2 betrifft viele Unternehmen
Bis Oktober 2024 müssen Unternehmen die Network and Information Security Directive 2 (NIS2) in Deutschland umsetzen. Die klaren Vorgaben und erweiterten Kategorisierungen betreffen nun auch Post- und Kurierdienste, Suchmaschinen, Cloud-Services und soziale Netzwerke. Wichtige Einrichtungen mit über 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz müssen sich auf neue Regelungen einstellen. Geldbußen drohen bei versäumten Nachweisen oder verletzten Meldepflichten. Die Richtlinie betrifft voraussichtlich über 29.000 Unternehmen in Deutschland, sodass es entscheidend ist, frühzeitig zu klären, ob sie betroffen sind und welche Maßnahmen sie ergreifen müssen.

Neue Regelungen in TISAX
Ab April 2024 sind für Unternehmen in der Automobilbranche TISAX-Änderungen relevant. Der neue ISA-Katalog 6.0 bringt spezifischere Labels wie "Verfügbarkeit" und "Vertraulichkeit" mit unterschiedlichen Graden. Dies ermöglicht präzisere Audits basierend auf der Rolle in der Lieferkette. Kostenersparnisse durch selektive Audits sind möglich, doch produzierende Unternehmen müssen nun auch ihre OT-Systeme im Informationssicherheits-Managementsystem integrieren. Die verbesserte Transparenz und Sicherheit steigert die Komplexität der Audits trotz neuer Bewertungskriterien. Es ist entscheidend, dass Unternehmen sich auf die veränderten Anforderungen vorbereiten.

Neue Strukturen für die ISO27001
Die ISO/IEC 27001-Zertifizierung, ein etablierter Standard für Informationssicherheitsmanagementsysteme, erfährt ab Mai 2024 eine Aktualisierung. Alle Zertifikate müssen bis Herbst 2025 umgestellt sein. Die neue Version 2022 betont verstärkt Cybersecurity, Datenschutz und Cloud-Sicherheit. Strukturelle Anpassungen machen die Norm nun vollständig kompatibel mit anderen Managementsystem-Normen. Inhaltlich wird die Nachvollziehbarkeit von Maßnahmen und geplanten Änderungen verbessert, mit einer stärkeren Fokussierung auf Kennzahlen und die Mitwirkung der Führungsebene. Auditoren berücksichtigen zusätzlich elf neue Punkte, darunter das Abfließen von Daten und die Überwachung von Aktivitäts- und Verhaltensmustern.

Weitere wichtige Entwicklungen
Auf EU-Ebene zeichnen sich zwei relevante Regelungen ab: Der Cyber Resilience Act befasst sich mit sicherer Software in Produkten, während der AI Act einen Rahmen für den Umgang mit Künstlicher Intelligenz schafft und eine mehrstufige Risikoeinschätzung vorsieht. Unternehmen, die Produkte mit digitalen Komponenten oder KI in der EU vermarkten wollen, sollten bereits jetzt den aktuellen Stand dieser Entwicklungen beachten, um gut vorbereitet zu sein.

Zertifizierung bietet keinen absoluten Schutz, verbessert jedoch nachweislich die Cybersecurity.
Sprechen Sie mit uns über Möglichkeiten, wie Sie mit einem umfassenden und ganzheitlichen IT-Sicherheitskonzept die hohen Anforderungen der genannten Regulatorien erfüllen können.