Weiterer Anstieg an Cyberattacken in der Vorweihnachtszeit
Cyber-Attacken haben gerade in der Vorweihnachtszeit Hochkonjunktur. Dabei unterscheiden die Angreifer nicht zwischen KMUs und großen Konzernen, sondern fokussieren sich aus Erfahrung vor allem auf Industrie und Handel. Dort ist der Schaden durch Produktionsausfall und Verkaufsstopp in dieser Zeit am höchsten. So droht im worst case – etwa bei Denial of Service Attacken oder Ransomware – der Ausfall des Hauptjahresgeschäfts und wird damit der Druck auf die Entscheidungsträger, ein Lösegeld zu bezahlen, erhöht. Auch die Personalsituation spielt den Angreifern über die Feiertage oft in die Hände, wenn die Verantwortlichen nur eingeschränkt verfügbar sind.
Angesichts der stetig steigenden Bedrohung durch Cyber-Attacken ist auch der europäische Gesetzgeber in den letzten Wochen und Monaten nicht untätig geblieben – Ihre DORDA Datenschutzexperten und Mitglieder der Digital Industries Group haben das für Sie gerne punktgenau zusammengefasst:
NIS2, DORA, Cyberresilienz – strengere Regulierung ante portas
So hat das Europäische Parlament am 10.11.2022 die novellierte Richtlinie über die Netz- und Informationssicherheit ("NIS2") abgesegnet. Darin sind bewusst strengere Vorgaben für das Risikomanagement im Zusammenhang mit Cybersicherheit sowie neue Meldepflichten für kritische Sektoren wie Energie, Verkehr, Banken und Gesundheit vorgesehen. Auch für die Registrierung von europäischen TLDs sollen zukünftig strenge Anforderungen gelten. Im Verhältnis zu ihrem Vorgänger wird aber auch der Anwendungsbereich der NIS2-RL hinsichtlich der relevanten Einrichtungen und Sektoren deutlich erweitert:
Nunmehr sollen unter anderem auch Anbieter von IKT-Dienstleistungen und digitalen Infrastrukturdiensten, die öffentliche Verwaltung, Lebensmittelindustrie, Pharmaunternehmen und Forschungseinrichtungen erfasst sein. Die Richtlinie definiert darüber hinaus auch neue Vorgaben für die Behandlung von Sicherheitsvorfällen, Maßnahmen zur präventiven Sicherung der Geschäftskontinuität und Lieferkette, Verschlüsselung, Zugangskontrolle, die Verwendung von Mehrfaktor-Authentifizierung sowie die Behandlung und Offenlegung von Schwachstellen. Die NIS2-Richtlinie ist nach Absegnung im Rat von den Mitgliedstaaten ins nationale Recht umzusetzen und soll planmäßig 2024 in Kraft treten.
Spezifische Regelungen für die Sicherheit von Netz- und Informationssystemen von Finanzdienstleistern sollen künftig aber auch im kürzlich ebenfalls vom Parlament verabschiedeten Digital Operational Resilience Act ("DORA") geregelt werden. Zudem sollen auch vernetzte Produkte mit digitalen Elementen europaweit einheitlichen Sicherheitsanforderungen unterliegen. Die Europäische Kommission hat hierfür einen Verordnungsvorschlag (Arbeitstitel "Gesetz über Cyberresilienz – neue Cybersicherheitsvorschriften für digitale Produkte und Nebendienstleistungen") veröffentlicht, der sich bis Mitte Jänner 2023 in der öffentlichen Konsultationsphase befindet. Ziel ist es dabei, einheitliche Rahmenbedingungen für die Entwicklung sicherer Produkte mit digitalen Elementen zu schaffen. So sollen Hardware- und Softwareprodukte mit weniger Schwachstellen in Verkehr gebracht werden und Hersteller während des gesamten Lebenszyklus eines Produkts Sicherheitsupdates bereitstellen müssen. Zudem soll es Käufern durch die Schaffung von geeigneten Vergleichsparametern ermöglicht werden, Aspekte der Cybersicherheit bei der Auswahl und Verwendung von Produkten mit digitalen Elementen stärker zu berücksichtigen.