NIS-2 als Impulsgeber für die Sicherheit kritischer Infrastrukturen

Es ist soweit: Am 13. November wurde die NIS-2-Richtlinie vom Deutschen Bundestag verabschiedet und wird Anfang 2026 in Kraft treten. Diese Entwicklung hat die Voraussetzungen für einen Schub in Richtung Compliance-orientierter Sicherheit geschaffen. Mit Blick auf das Jahr 2026 und darüber hinaus gibt es gleich mehrere Vorschriften, die in Kraft treten werden oder bereits in Kraft sind und bei denen insbesondere Betreiber kritischer Infrastrukturen handeln müssen. Unter diesen Richtlinien befinden sich der Digital Operational Resilience Act (DORA), der EU AI Act und der Cyber Resilience Act (CRA) mit der wichtigen Meldepflicht für Schwachstellen ab September 2026. Diese vier sind aus Sicht der Security-Verantwortlichen für die Absicherung von KRITIS die wichtigsten im nächsten Jahr.

NIS-2 wird nun auch in Deutschland eingeführt und alle Betreiber kritischer Infrastrukturen müssen sich darauf vorbereiten. Sie sollten spätestens jetzt für ein risikobasiertes Cybersicherheits- und Incident-Management sorgen, die Lieferkette absichern und Risiken durch Dritte managen. Darüber hinaus müssen sie die Meldepflichten für erhebliche Sicherheitsvorfälle erfüllen. Prozesse wie Governance, Berichterstattung, Lieferkette und Risikoanalyse sollten spätestens Anfang 2026 vollständig funktionsfähig und darauf abgestimmt sein.

DORA gilt für den Finanzsektor und die Finanzmarktteilnehmer, ist bereits seit dem 17. Januar 2025 verbindlich und regelt das IKT-Risikomanagement, die Meldepflichten für IKT-Vorfälle, die Testanforderungen für die Widerstandsfähigkeit sowie Abhängigkeiten von Dritten und der Cloud. Für 2026 bedeutet dies, dass Unternehmen des Finanzsektors – ebenso wie ihre IKT-Dienstleister – ihre Resilienzorganisation etabliert und in den laufenden Betrieb überführt haben müssen.

Der EU AI Act regelt die Nutzung und Bereitstellung von KI-Systemen in der EU nach Risikokategorien und trat am 1. August 2024 in Kraft. Viele der wichtigsten Verpflichtungen treten jedoch erst am 2. August 2026 in Kraft, einige sogar etwas später. Um diese Verordnung zu erfüllen, muss beispielsweise ein Inventar aller verwendeten KI-Systeme erstellt werden und alle Anforderungen hinsichtlich Risikobewertung, Transparenz und Dokumentation, einschließlich Überwachung und Qualitätssicherung, müssen erfüllt werden. Darüber hinaus muss eine KI-Governance eingerichtet werden, um sicherzustellen, dass keine Schatten-KI aus Compliance- und Sicherheitsperspektive Probleme verursacht.

Die CRA Verordnung über die Sicherheit von Produkten mit digitalen Elementen, einschließlich Hardware und Software, soll Mindestanforderungen an die Cybersicherheit während des gesamten Produktlebenszyklus einführen. Sie wurde am 12. November 2024 eingeführt und tritt am 11. Dezember 2027 in Kraft. Mit Blick auf das Jahr 2026 sollten Hersteller und Lieferanten digitaler Produkte bereits ihre Prozesse für „Security by Design“ und „Secure by Default“ sowie das Schwachstellenmanagement etablieren und ihre SBOMs (Software Bill of Materials) in Ordnung bringen. Im September 2026 wird die Meldung von Schwachstellen obligatorisch.

Die meisten dieser Themen werden seit mindestens zwei Jahren diskutiert, aber aufgrund von Unsicherheiten und vagen Formulierungen suchen Unternehmen noch immer nach Leitlinien, um sich und ihre IT-Infrastrukturen vorzubereiten. Die meisten von ihnen verstehen, dass Compliance mehr ist als nur ein Häkchen auf einer Checkliste, sondern als Schlüssel zur Verhinderung von Sicherheitsverletzungen angesehen werden muss. Cyberkriminelle setzen keine Häkchen, sie suchen nach Schwachstellen und nutzen alles, was ihnen zur Verfügung steht. Sie denken kreativ und sind an keine Vorschriften oder Gesetze gebunden. Insbesondere Betreiber kritischer Infrastrukturen müssen über die Compliance hinausgehen und ihre aktuelle Sicherheitsstrategie mit Hilfe von KI auf die Automatisierung ausweiten.

Armis erfüllt mit seiner Cyber-Exposure-Management-Plattform Centrix viele der in diesen Vorschriften festgelegten Kernverpflichtungen. Durch die Bereitstellung modernster Transparenz für alle kritischen Assets, Echtzeit-Asset-Intelligence, Schwachstellenanalysen, KI-gestützte Bedrohungserkennung und kontextbezogene Informationen zu Vorfällen ermöglicht Armis Unternehmen, fundierte Entscheidungen zum Cyber-Risikomanagement zu treffen.

Peter Machat, Senior Director EMEA Central bei Armis

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk