Neue IT-Sicherheitsstandards als Reaktion auf geopolitische Spannungen: EU legt nach

Die Ransomware-Angriffe auf Energieversorger, Nachrichtendienste und mittelständische Hightech-Unternehmen haben gezeigt, dass klassische IT-Sicherheitsstandards nicht mehr ausreichen. Geopolitische Krisen sowie die zunehmende Verflechtung von Lieferketten lassen die Bedrohungslage exponentiell steigen. Auch die jüngsten Diskussionen auf dem Europäischen Wirtschaftsforum spiegeln diese Sorge wider: Wer sorgt künftig dafür, dass Unternehmen entlang der gesamten Kette resilient bleiben? Welche Standards gelten ab 2025 und wie reagieren die wichtigsten Wirtschaftsstandorte?

Geopolitische Unsicherheiten als Brandbeschleuniger für IT-Sicherheit

Staatliche Hackerangriffe aus dem Ausland nehmen zu und treffen zunehmend auch Unternehmen, die bislang außerhalb des klassischen KRITIS-Umfelds lagen. Sanktionen, Wirtschaftsspionage und Manipulationen an digitalen Produkten bedrohen Geschäftsmodelle und kritische Infrastrukturen gleichermaßen. Die sich wandelnde Bedrohungslage ist laut Experten direkte Folge der aktuellen geopolitischen Entwicklungen – etwa der Verschärfung der Handelskonflikte und der stärker werdenden Blockkonfrontationen.

• Unternehmen aus sensiblen Branchen – z.B. Energie, Verkehr, Gesundheit – werden gezielt attackiert.
• Digitale Lieferketten sind aufgrund internationaler Arbeitsteilung besonders verwundbar.
• Veraltete Standards erschweren einen EU-weiten, koordinierten Schutz.

NIS-2-Richtlinie: Mehr Unternehmen, höhere Standards, schärfere Meldepflichten

Mit der NIS-2-Richtlinie schafft die EU die rechtliche Basis, um IT-Sicherheitsstandards für eine größere Zahl von Unternehmen zu erzwingen. Die Richtlinie wird im Frühjahr 2025 in deutsches Recht umgesetzt – weit mehr Firmen als bisher fallen dann unter die Regelung, speziell auch die oft vernachlässigten Mittelständler. Die wichtigsten Neuerungen:

• Strengere Verpflichtungen: Unternehmen (ab 50 Mitarbeitenden oder bestimmtem Umsatz) müssen ein umfassendes Sicherheitskonzept und Notfallpläne vorweisen.
• Meldepflicht bei Vorfällen: Sicherheitsvorfälle sind binnen 24 Stunden an die zuständige Behörde zu melden.
• Lieferkettensicherheit: Auch Dienstleister und Auftragnehmer sind einbezogen.
• Vereinheitlichung der Standards: Die Anforderungen gelten branchenübergreifend und harmonisieren das Cybersicherheitsniveau europaweit.

Mit der NIS2-Umsetzung („NIS2UmsuCG“) werden Betriebe künftig verpflichtet, transparent mit Vorfällen umzugehen und über Landesgrenzen hinweg zu kooperieren. Auch die Rolle nationaler Cybersicherheitsbehörden wird gestärkt, um schnellere und einheitliche Maßnahmen im Ernstfall zu ermöglichen. Branchenspezifische Standards werden erhalten, die grundlegenden Anforderungen jedoch für alle Betroffenen verschärft. Details zu den Meldewegen und der Kategorisierung kritischer Vorfälle werden im Zuge der nationalen Gesetzgebung konkretisiert (IHK Halle).

Cyber Resilience Act: Lebenszyklus-Sicherheit für digitale Produkte

Über die NIS-2-Richtlinie hinaus setzt der im Dezember 2024 in Kraft getretene Cyber Resilience Act (CRA) einen neuen Standard für die Sicherheit digitaler Produkte. Hersteller werden verpflichtet, Sicherheitsupdates bereitzustellen und Produkte über ihren gesamten Lebenszyklus zu schützen. Dies soll Manipulationen und Schwachstellen – etwa durch sogenannte Supply-Chain-Attacken – verhindern. Für die Einhaltung dieser Auflagen sind umfangreiche Dokumentations- und Nachweispflichten vorgesehen. Die wichtigsten Verpflichtungen greifen ab Dezember 2027, was Unternehmen eine Vorbereitungszeit gibt.

• Verpflichtende Sicherheitsupdates und Schwachstellenmanagement während des gesamten Produktlebenszyklus
• Strenge Nachweispflichten und Dokumentation
• Sanktionsmechanismen für Verstöße

Auch digitale Produkte, die nicht ausschließlich in der IT-Branche eingesetzt werden (etwa smarte Medizintechnik, vernetzte Fahrzeuge und Industrieroboter), sind von der neuen Regulierung betroffen. Die Harmonisierung dieser Vorgaben soll das Missbrauchsrisiko über Grenzen hinweg reduzieren (Bitkom Akademie).

Kooperation und Vernetzung: Ein Schlüsselfaktor gegen Cyber-Bedrohungen

Eine weitere zentrale Neuerung ist die Verpflichtung zur grenzüberschreitenden Zusammenarbeit. Die europäische Cybersicherheitsarchitektur setzt künftig auf spezialisierte nationale Behörden, die eng bei der Behandlung von Sicherheitsvorfällen kooperieren. Auch Unternehmen werden verpflichtet, sich am Erfahrungsaustausch zu beteiligen und bewährte Verfahren weiterzugeben.

• Transparenz und Echtzeit-Kommunikation bei Vorfällen
• Früherkennung und gezielte Unterstützung durch Behörden
• Schaffung eines europäischen Sicherheitsnetzwerks zur Abwehr großangelegter Attacken

Damit verbessern sich die Voraussetzungen für eine gemeinsame Abwehr auch im Falle gezielter, staatlicher Angriffe oder bei Großschadenslagen, wie zuletzt nach Angriffen auf Versorger und Logistikunternehmen ersichtlich wurde.

Praxisbeispiel: Mittelständische Industrie und Lieferketten

Gerade die deutsche Industrie – Rückgrat der europäischen Wirtschaft – ist aufgrund ihrer engen internationalen Verflechtung besonders betroffen. Der Wirtschaftsverband warnt, dass der Mittelstand ohne Anpassung an die neuen Vorgaben Gefahr läuft, Sicherheitsrisiken nicht mehr beherrschen zu können. Die neue Gesetzeslage fordert von Unternehmen, auch die Sicherheit ihrer gesamten Lieferkette zu bewerten und abzusichern. Schwachstellen bei Zulieferern können im Ernstfall ganze Produktionsprozesse lahmlegen und seien bereits ein Schwachpunkt, vor dem Experten wie der Wirtschaftsverband seit Monaten warnen.

• Gefahr von Kettenreaktionen bei Cyberangriffen entlang der Wertschöpfung
• Zunehmende Einbindung von Dienstleistern und Partnern in Prüf- und Meldepflichten

Die neuen IT-Sicherheitsstandards bringen zahlreiche Vorteile mit sich: Sie erhöhen das Schutzniveau, schaffen klare Verantwortlichkeiten und stärken den europäischen Wirtschaftsraum gegen geopolitisch motivierte Angriffe. Gleichzeitig führen sie zu mehr Regulierung und Administrationsaufwand – besonders für kleine und mittlere Unternehmen kann dies finanziell und organisatorisch herausfordernd sein. Langfristig werden jedoch effizientere Meldewege, harmonisierte Regeln und eine bessere Kooperation innerhalb Europas dazu beitragen, die hohe Innovations- und Sicherheitskompetenz der europäischen Wirtschaft auch gegen neue Bedrohungen zu behaupten. Die Hoffnung liegt auf einer resilienteren Wirtschaft, bei der Sicherheit als Wettbewerbsfaktor verstanden wird. Menschen sowie Firmen profitieren durch weniger Ausfälle, mehr Vertrauen in digitale Dienste und eine stabilere Versorgung – auch in Krisenzeiten. Künftig wird entscheidend sein, wie schnell und konsequent Unternehmen die neuen Standards verankern, und welche digitalen Unterstützungsangebote Staaten und Branchen bereitstellen.