Strategy & Compliance

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Durch die erstmals 2016 erlassene BSI-Kritisverordnung hat die deutsche Bundesregierung Anforderungen an die IT-Sicherheit von KRITIS-Einrichtungen definiert, um diese gegen digitale Gefahren abzusichern. Die KRITIS-Rechtsverordnung konkretisiert die Vorgaben aus dem BSI-Gesetz und definiert Schwellenwerte und Anlagen bei Betreibern.

ISO 27001 ist eine internationale Norm für Informationssicherheitsmanagementsysteme (ISMS). Sie legt die Anforderungen fest, die eine Organisation erfüllen muss, um ein effektives ISMS zu implementieren, zu betreiben, zu überwachen, zu überprüfen, zu pflegen und kontinuierlich zu verbessern. Ziel der Norm ist es, durch geeignete Sicherheitsmaßnahmen die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen.

Der Cyber Resilience Act ist eine neue EU-Verordnung, die darauf abzielt, die Cybersicherheit von Produkten mit digitalen Elementen zu verbessern. Sie legt verbindliche Sicherheitsstandards für Hardware- und Softwareprodukte fest, die in der EU hergestellt, importiert oder vertrieben werden. Alle Produkte, die in der EU verkauft werden und „digitale Elemente“ enthalten, müssen den Anforderungen des CRA entsprechen. Die Umsetzung erfolgt in verschiedenen Etappen, bis Ende 2027. Neu in Verkehr gebrachte Produkte müssen zu diesem Zeitpunkt alle Anforderungen erfüllen.

NIS2 (Network and Information Security) ist eine europäische Richtlinie, die Mindestanforderungen an die Cyber Sicherheit für eine Vielzahl an Unternehmen in Europa festlegt. Die betroffenen Unternehmen gehen über die bisherige kritische Infrastruktur (KRITIS) hinaus. Die EU-Kommission will damit das Cyber Sicherheits-Niveau in der Europäischen Union verbessern und die internationale Zusammenarbeit bei der Bekämpfung von Cyber Angriffen stärken. NIS2 ist seit dem 16. Januar 2023 in Kraft und muss bis zum 17. Oktober 2024 von den Mitgliedsstaaten in nationales Recht umgesetzt werden. Weitere Infos erhältst Du auf unserer NIS2-Webseite.

Die Datenschutz-Grundverordnung, kurz DSGVO, ist 2018 in Kraft getreten. Sie ist eine europäische Verordnung, die den Datenschutz in der Europäischen Union (EU) vereinheitlicht und die Regeln zur Verarbeitung personenbezogener Daten durch Unternehmen und öffentliche Stellen regelt. Für alle Unternehmen besteht die Pflicht zur Benennung eines internen oder externen Datenschutzbeauftragten, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind.

TISAX® ist ein unternehmensübergreifendes Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie. Hierbei geht es um den Schutz der Daten, ihrer Integrität und Verfügbarkeit im Herstellungsprozess sowie im Betrieb von Fahrzeugen. Dies erfolgt über ein Informationssicherheits-Managementsystem (ISMS) analog zur Norm ISO 27001. Auf Basis dieser Norm hat der Verband der Automobilindustrie (VDA) einen speziellen Anforderungs- und Prüfkatalog für den Automobilsektor entwickelt.

Der EU-Rat hat am 21. Mai 2024 den AI Act und damit einen einheitlichen Rahmen für den Einsatz von Künstlicher Intelligenz in der Europäischen Union verabschiedet und damit eine richtungsweisende Basisregulierung für den betrieblichen Einsatz von KI auf den Weg gebracht. Seit dem 2. Februar 2025 müssen Unternehmen und Verantwortliche dafür Sorge tragen, den neuen regulatorischen Anforderungen des AI Acts, also der KI-Verordnung, gerecht zu werden. Konkret bedeutet das unter anderem die Sicherstellung von KI-Kompetenz im Unternehmen.