Was die Änderungen der EU am Cybersecurity Act für Unternehmen bedeuten
Inhaltsverzeichnis:
Die Europäische Union setzt ihre Bemühungen zur Stärkung der Cyber-Resilienz im gesamten Block fort, indem sie neue Änderungen am Cybersecurity Act (CSA) die Zertifizierungssysteme für verwaltete Sicherheitsdienste vorschreiben.
Diese Änderungen werden sowohl für die Anbieter als auch für die Endnutzer von Cybersicherheitsdiensten wie Incident-Response- und Penetrationstestplattformen neue Compliance-Verpflichtungen mit sich bringen. Doch so mühsam solche regulatorischen Änderungen auch sein können, argumentieren Experten, dass sie die Cyberabwehr und die Wettbewerbsfähigkeit vieler betroffener Unternehmen stärken könnten.
Ein verschärftes Cybersicherheitsregime
Laut Phil McGowan, Systemingenieur bei Managed Cybersecurity Platform Jägerin, werden die bevorstehenden CSA-Änderungen die Art und Weise, wie Unternehmen Cybersicherheitsstrategien implementieren und in absehbarer Zukunft ihren Compliance-Verpflichtungen nachkommen, erheblich verändern.
Konkret sagt er, diese Änderungen würden angesichts einer sich ständig weiterentwickelnden Cyber-Bedrohungslandschaft „einen größeren Schwerpunkt auf proaktives Risikomanagement, Transparenz und Verantwortlichkeit“ legen.
Er fügt hinzu, dass Unternehmen dadurch wahrscheinlich einem größeren Druck ausgesetzt sein werden, vertrauliche Informationen zu schützen, Verstöße gegen die Cybersicherheit rechtzeitig zu melden und die Einhaltung der Vorschriften durch die Durchführung von Sicherheitsprüfungen und den Erwerb von Branchenzertifizierungen nachzuweisen.
McGowan sagt gegenüber ISMS.online: „Im Wesentlichen sollen die Änderungen sicherstellen, dass Unternehmen der Cybersicherheit Priorität einräumen, da sie ein IT-Thema und ein entscheidender Bestandteil ihrer allgemeinen Geschäftsstabilität und Betriebsstrategie ist.“
Laut Ralph Arrate, Partner für KI und Cybersicherheit einer Anwaltskanzlei Spencer West LLPDiese Änderungen sind zusammen mit neuen Gesetzen wie dem Digital Operational Resilience Act, dem Cyber Resilience Act und der NIS2-Richtlinie ein klares Zeichen dafür, dass die EU ihre Aufsicht über Fragen der Cybersicherheit in der Region verschärft.
Arrate ist davon überzeugt, dass sie damit ein robustes und einheitliches Cybersicherheitssystem etablieren werden, das das Vertrauen europäischer Unternehmen in Technologieprodukte und -dienstleistungen stärken soll.
Er erklärt, dass die EU dies erreichen möchte, indem sie Zertifizierungen zu einer wichtigen Voraussetzung für digitale Produkte, Dienste und Prozesse macht. In der Praxis bedeutet dies, dass Unternehmen eine „umfassende Überprüfung der bestehenden Sicherheitsmaßnahmen“ durchführen müssen.
Trotz des Brexits werden diese Regeln auch viele in Großbritannien ansässige Unternehmen betreffen. Arrate sagt, britische Unternehmen mit Niederlassungen und Handelspartnern in Europa würden gezwungen sein, bei der IT-Sicherheit und dem Produktlebenszyklusmanagement einen „akribischen Ansatz“ zu verfolgen.
Obwohl einige britische Geschäftsinhaber diese Regeln als regulatorisches Problem empfinden, könnten sie auf lange Sicht von Vorteil sein. Laut Arrate könnte ihnen der Erwerb einer EU-Cybersicherheitszertifizierung (EUCC) helfen, „einen Wettbewerbsvorteil zu erlangen“, da dies ein Zeichen für „Qualität und Vertrauenswürdigkeit“ ist.
Einige IT-Anbieter sind jedoch möglicherweise weniger optimistisch, was die Änderungen angeht. Arrate argumentiert, dass sie „zusätzliche Bürokratie mit sich bringen“. Er fügt hinzu: „Viele Akteure in diesem Sektor erfüllen bereits die US-amerikanischen NIST- oder ISO-Standards, die nicht genau den neuen EUCC-Anforderungen entsprechen.“
Sean Wright, Leiter der Anwendungssicherheit bei der Plattform zur Betrugs- und Finanzkriminalitätsbekämpfung Featurespace, betrachtet die CSA-Änderungen als positive Entwicklung für Unternehmen und die Cybersicherheitslandschaft im weiteren Sinne.
Er sagt, dass viele Organisationen derzeit „außergewöhnliche“ Summen für Cybersicherheitsprodukte ausgeben, die nicht den beworbenen Nutzen bringen und den Unternehmen ein „falsches Sicherheitsgefühl“ vermitteln.
Wright ist jedoch überzeugt, dass etablierte Standards wie die neuen CSA-Regeln dem entgegenwirken werden, indem sie sicherstellen, dass zertifizierte Produkte ihre vorgesehene Aufgabe erfüllen. Er fährt fort: „Darüber hinaus können Unternehmen, die einen zuverlässigen und vertrauenswürdigen Dienstleister haben, einige der komplexen Aspekte der Informationssicherheit an diejenigen auslagern, die für diese Aufgaben besser gerüstet sind.“
Einhaltung dieser Änderungen
Wenn es darum geht, diese Regeln einzuhalten, müssen Unternehmen laut Arrate zunächst prüfen, ob sie in ihren Geltungsbereich fallen. Er erklärt, dass die betreffenden Änderungen auf Unternehmen abzielen, die verwaltete Sicherheitsdienste, 5G, IT-Anwendungen und andere digitale Produkte und Dienste anbieten.
Betroffene Unternehmen sollten dann ihre bestehenden Cybersicherheitsprozesse prüfen und sie mit den Anforderungen dieser Gesetzgebung vergleichen. Auf diese Weise können Unternehmen laut Arrate etwaige Schwachstellen in ihrer Cyberabwehr erkennen und diese entsprechend beheben, um behördliche Maßnahmen zu vermeiden. Arrate empfiehlt Unternehmen außerdem, so schnell wie möglich Kontakt zu Zertifizierungsstellen aufzunehmen, da dies der Schlüssel zum Verständnis der Anforderungen verschiedener Systeme ist.
Zu den weiteren wichtigen Empfehlungen von Arrate gehören die Einführung von Secure-by-Design-Prinzipien in allen Phasen der Produktentwicklung, eine enge Zusammenarbeit mit Lieferanten bei Sicherheitsstandards für die Lieferkette und die Umsetzung eines umfassenden Notfallplans. Vor allem aber fordert er die Unternehmen auf, diese Anforderungen im Laufe ihrer Entwicklung zu überwachen, um die Einhaltung der neuesten Regeln sicherzustellen.
Während Unternehmen Software-Updates implementieren, Cybersicherheitsverfahren durchführen und auf Vorfälle reagieren, Spencer Starkey – Executive VP of EMEA bei der amerikanischen Cybersicherheitsfirma SonicWall— sagt, es sei von entscheidender Bedeutung, alle diese Schritte zu dokumentieren, um die CSA-Vorgaben einzuhalten. Er sagt: „Diese Dokumentation ist bei behördlichen Prüfungen von entscheidender Bedeutung und zeigt das Engagement des Unternehmens für bewährte Verfahren im Bereich Cybersicherheit.“
Da menschliches Versagen eine der Hauptursachen für Cybersicherheitsvorfälle ist, sollten Unternehmen jeder Größe ihre Mitarbeiter laut Starkey über die neuesten Online-Bedrohungen und deren Bekämpfung informieren. Er sieht dies als Voraussetzung für eine „wirksame Einhaltung der CSA-Änderungen“.
Die Bedeutung strukturierter Rahmenbedingungen
Die Einhaltung neuer Vorschriften wie der CSA-Änderungen kann für viele Unternehmen eine überwältigende Herausforderung darstellen. Es gibt jedoch verschiedene Möglichkeiten, diesen Prozess zu optimieren, beispielsweise professionelle Frameworks und Software.
Die Einführung eines Industriestandards wie ISO 27001 ist eine hervorragende Option für Unternehmen von den CSA-Änderungen betroffen sein, weil sie ihnen eine einheitliche Möglichkeit bieten, mit Problemen der Informationssicherheit umzugehen, argumentiert Nick Palmer, Solutions Engineering bei Attack Surface Management und Threat Hunting Solutions Experts bei Censys.
Er fährt fort: „Die Zertifizierung belegt die Einhaltung weltweit bewährter Verfahren, vereinfacht Audits und verringert Doppelarbeit bei der Einhaltung sich überschneidender Standards. Dadurch wird die Einhaltung gesetzlicher Vorschriften effizienter und effektiver.“
Die neueste Cybersicherheitssoftware kann auch die Komplexität der Compliance reduzieren, indem sie vorkonfigurierte Einstellungen, Automatisierung und hohe Skalierbarkeit bietet, die alle den gesetzlichen Anforderungen entsprechen, sagt Palmer. „Sie können dazu beitragen, die Erkennung, Überwachung und Reaktion auf Bedrohungen zu zentralisieren, sodass Unternehmen diese Funktionen nicht mehr intern aufbauen und warten müssen.“
Palmer sagt, dass Cybersicherheitsplattformen auch die Bereitschaft für die neuesten Vorschriften sicherstellen können, indem sie Software-Updates in Echtzeit, Integrationen mit Standards und Kundensupport bereitstellen, um Unternehmen dabei zu helfen, sich in der sich schnell ändernden Bedrohungs- und Regulierungslandschaft zurechtzufinden. Er fährt fort: „Darüber hinaus werden, wie bereits erwähnt, diejenigen Anbieter, die Lösungen mit bereits integrierter CSA-Konformität anbieten, einen erheblichen Vorteil haben.“
Allgemeine Implikationen
Die CSA-Änderungen werden in den kommenden Jahren zweifellos große Auswirkungen auf die Cybersicherheitslandschaft und die Unternehmenswelt haben. Positiv ist anzumerken, dass Arrate prognostiziert, dass ihr strenger und einheitlicher Charakter „das grundlegende Sicherheitsniveau branchenübergreifend erhöhen wird“. Er erklärt: „Unternehmen sind jetzt gezwungen, Cybersicherheit als zentrale Überlegung zu integrieren, was wiederum das digitale Ökosystem als Ganzes stärkt.“
Ilona Cohen, Chefjuristin und Politikberaterin bei der Bug-Bounty- und Vulnerability-Offenlegungsplattform HackerOnestimmt zu, dass die Zertifizierungen das Potenzial haben, die Ergebnisse blockweiter Cybersicherheitsprozesse zu verbessern.
Dies hängt jedoch davon ab, wie gut sie konzipiert sind, was laut Cohen nicht einfach ist, da sich die Best Practices der Branche ständig ändern. Sie sagt: „ENISA [die Agentur der Europäischen Union für Cybersicherheit] muss auch die Übereinstimmung mit den vielen, vielen Cybersicherheitsrichtlinien sicherstellen, die die EU in den letzten Jahren verabschiedet hat, wie CRA, DORA und NIS2.“
Wie können die europäischen Regulierungsbehörden diese Herausforderungen bewältigen und sicherstellen, dass ihre Zertifizierungssysteme ihren Zweck erfüllen? Cohen fordert sie auf, Managed Service Provider zu verpflichten, dieselben Best Practices zu übernehmen, die auch andere Schlüsselsektoren befolgen sollten. Sie sagt: „Dazu gehört die Einrichtung robuster Vulnerability Disclosure Programs (VDP), die Umsetzung von Best Practices für die Authentifizierung und die Gewährleistung des Datenschutzes.“
Insgesamt scheinen die bevorstehenden Änderungen am CSA ein kluger Schachzug für die Europäische Union zu sein, da ihre Ambitionen für einen digitalen Binnenmarkt wachsen. Technologieanbieter können sich durch das Angebot zertifizierter Sicherheitsprodukte von ihren Mitbewerbern abheben.
Gleichzeitig können sich die Endbenutzer darauf verlassen, dass sich ihre IT-Investitionen auszahlen. Natürlich werden manche diese Änderungen als zusätzliche bürokratische Hürde empfinden. Aber genau hier können etablierte Industriestandards und SaaS-Produkte helfen, indem sie die Compliance-Prozesse optimieren.
