2025: Wichtige Richtlinien und Zertifizierungen für die IT

Gesetzliche Vorschriften: Was Unternehmen 2025 beachten müssen

Den neuen gesetzliche Regelungen, die Unternehmen beachten müssen, liegt meist das Ziel einer gestärkten Cyberresilienz zugrunde.

KRITIS-Dachgesetz: Neue Mindestanforderungen für kritische Infrastrukturen

Das KRITIS-Dachgesetz überführt die Critical Entities Resilience / CER-Richtlinie (2022/2557) der EU in nationales Recht und soll 2025 in Kraft treten. Der Schwerpunkt des KRITIS-Dachgesetzes liegt auf Mindestanforderungen für den physischen Schutz kritischer Infrastrukturen und berücksichtigt ein breiteres Spektrum von Bedrohungen, darunter Naturkatastrophen, Sabotage und menschliches Versagen. Zudem legt es Mindestanforderungen für Betreiber kritischer Infrastrukturen fest, die sich auf verschiedene Aspekte der Resilienz beziehen:

• Meldepflichten bei sicherheitsrelevanten Vorfällen
• Risikomanagement zur Abwehr potenzieller Bedrohungen
• Krisenmanagement und Business Continuity, um System-Ausfälle zu vermeiden und im Krisenfalle adäquat zu reagieren.

Als kritische Infrastrukturen definiert der aktuelle Gesetzesvorschlag die Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, städtische Abfallentsorgung, Informationstechnologie und Telekommunikation, Ernährung, Weltraum und öffentliche Verwaltung. Unternehmen und Organisationen, die schon heute in diesen Branchen tätig sind, sollten ihre IT-Sicherheit überprüfen und an die neuen Anforderungen anpassen.

NIS2: Aufgeschoben ist nicht aufgehoben

Die NIS2-Richtlinie war das dominierende Cybersecurity-Thema im Jahr 2024. Dabei handelt es sich um eine Überarbeitung der bestehenden Netzwerk- und Informationssicherheitsrichtlinie (NIS) der Europäischen Union.

Die Kernpunkte von NIS-2 sind:

• Erweiterter Geltungsbereich auf mehr Branchen und Unternehmensgrößen
• Verschärfte Sicherheitsanforderungen, unter anderem Pflicht zur Nutzung einer Multifaktor-Authentifizierung (MFA)
• Hohe Bußgelder bei Nichteinhaltung

Da NIS2 in Deutschland und vielen anderen EU-Mitgliedstaaten noch nicht in nationales Recht umgesetzt wurde, wird es auch 2025 weiterhin für Schlagzeilen sorgen. Die Umsetzung der Richtlinie ist im Entwurf des Koalitionsvertrag für 2025 vorgesehen. Unternehmen, die als Betreiber kritischer Infrastrukturen gelten, sollten sich dennoch dringend auf die Implementierung vorbereiten. Wenn Unternehmen auch durch die verpasste nationale Umsetzung Zeit gewonnen haben, handelt es sich um eine „Gnadenfrist“, nicht um einen endlosen Aufschub. Die Angreifer im Cybersecurity-Bereich zeigen sich ebenfalls unbeeindruckt und stellen ihre Angriffe nicht ein – im Gegenteil.

DORA: Striktere Cyberresilienz im Finanzsektor

Der Digital Operational Resilience Act (DORA) richtet sich hauptsächlich an den europäischen Finanzsektor: Mit dieser EU-Verordnung soll ein hohes Maß an Cyberresilienz im Finanzwesen geschaffen werden und damit neue Maßstäbe in den folgenden Bereichen gesetzt werden:

• Risikomanagement und Sicherheitsprüfungen
• Meldepflichten für IT-Sicherheitsvorfälle
• Resilienztests und Schutz vor Drittanbieterrisiken

Unternehmen können durch DORA allerdings auch indirekt betroffen sein, beispielsweise wenn sie bestimmte Dienstleistungen für Banken oder andere von der Richtlinie erfasste Organisationen anbieten. DORA hat bereits seit Januar 2023 Gültigkeit, wurde aber erst zum 17. Januar 2025 vollständig umgesetzt. Hier besteht also auch keine „Gnadenfrist“ mehr. Finanzunternehmen und ihre Partner müssen die notwendigen Maßnahmen bereits getroffen haben. Bei Nichteinhaltung drohen Finanzunternehmen Geldstrafen von bis zu zwei Prozent des gesamten jährlichen weltweiten Unternehmens-Umsatzes. Für IT-Dienstleister sind Zwangsgelder von bis zu einem Prozent des durchschnittlichen weltweiten Tagesumsatzes des vorangegangenen Geschäftsjahres vorgesehen.

„Der zentrale Faktor zur Stärkung der Cybersicherheit ist das Identitätsmanagement. Ohne sichere digitale Identitäten und ihre effiziente Verwaltung lässt sich keine der genannten Vorschriften einhaltenund auch keine der entsprechenden Zertifizierungen erhalten.“

Elmar Eperiesi-Beck, Bare.ID

Wichtige Zertifizierungen: Sicherheitsstandards als Wettbewerbsvorteil

Standards können Unternehmen dabei unterstützen, ihre Sicherheitslage systematisch zu verbessern. Organisationen, die entsprechende Vorgaben erfüllen, bieten damit auch ihren Kunden eine Orientierungshilfe.

ISO/IEC 27001: Übergangszeitraum endet 2025

Die freiwillige Zertifizierung nach der internationalen Norm ISO/IEC 27001 ist ein anerkannter Standard, der die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) definiert. Bis Herbst 2025 müssen alle Zertifikate auf die aktualisierte Version von 2022 umgestellt sein. Wichtige Änderungen umfassen hier folgendes:

• Stärkere Berücksichtigung von Cybersecurity, Datenschutz und Cloud-Sicherheit
• Erweiterte Audit-Kriterien, unter anderem über Datenabflusskontrolle und Verhaltensmuster
• Stärkere Einbindung der Unternehmensführung in die IT-Sicherheit

Die Zertifizierung nach ISO/IEC ist, wie erwähnt, freiwillig. Sie bietet zertifizierten Unternehmen allerdings deutliche Vorteile durch die Vermeidung von Sicherheitsvorfällen ebenso wie durch effizientere Prozesse. Zudem kann die Zertifizierung neue Geschäftsmöglichkeiten eröffnen, indem sie das Vertrauen von Kunden und Geschäftspartnern stärkt. Unternehmen, die das bereits eingesehen haben und gemäß ISO/IEC 27001 zertifiziert sind, sollten das Upgrade auf die aktualisierte Version vollziehen. Alle anderen sollten sich gut informieren, was die Zertifizierung ihnen zu bieten hat und sich bestenfalls gleich gemäß der neuen Version zertifizieren lassen.

ISO/IEC 42001: Zertifizierung von KI-Managementsystemen

Die ISO/IEC 42001 ist eine internationale Norm, die speziell für das Management von Systemen für künstliche Intelligenz konzipiert wurde: Die Norm definiert die Anforderungen für die Einrichtung, Implementierung, Wartung und kontinuierliche Verbesserung eines KI-Managementsystems, kurz KIMS. Sie bietet einen Rahmen, der gewährleisten soll, dass KI-Systeme ethisch korrekt, transparent und zuverlässig sind. ISO/IEC 42001 ist für alle Organisationen relevant, die Produkte oder Dienstleistungen nutzen, entwickeln oder bereitstellen, die auf künstlicher Intelligenz basieren und sorgt für:

• Einhaltung von Transparenz- und Ethikrichtlinien
• Erfassung und Bewertung von Risiken, insbesondere Cybersicherheitsrisiken
• Sicherstellung von Datenqualität und Integrität

Identitätsmanagement als Basis für Cybersicherheit

Der zentrale Faktor zur Stärkung der Cybersicherheit ist das Identitätsmanagement. Ohne sichere digitale Identitäten und ihre effiziente Verwaltung lässt sich keine der genannten Vorschriften einhalten und auch keine der entsprechenden Zertifizierungen erhalten. Der Schutz digitaler Identitäten ist zentral für:

• Multifaktor-Authentifizierung (MFA): Pflicht in NIS2, empfohlen für ISO/IEC 2701
• Single Sign-On (SSO): Reduziert Angriffsflächen und verbessert Benutzerfreundlichkeit
• Zero-Trust-Modelle: Minimierte Sicherheitsrisiken durch konsequente Identitätsprüfung

Unternehmen sollten 2025 in moderne, leistungsfähige und benutzerfreundliche SSO- und MFA-Lösungen investieren, um sowohl die gesetzlichen Anforderungen als auch freiwillige Zertifizierungen effizient umzusetzen.

Fazit: Proaktive Vorbereitung lohnt sich

2025 bringt erhebliche Neuerungen im Bereich Cybersicherheit. Unternehmen müssen nicht nur gesetzliche Anforderungen wie das KRITIS-Dachgesetz, NIS2 und DORA erfüllen, sondern können sich durch Zertifizierungen wie ISO/IEC 27001 und 42001 Wettbewerbsvorteile sichern. Wer sich rechtzeitig vorbereitet, minimiert Sicherheitsrisiken und erhält sich langfristig die Wettbewerbsfähigkeit.

Über den Autor:
Elmar Eperiesi-Beck, Management bei Bare.ID.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.