Werbung
Werbung

Cybersecurity: Diese gesetzlichen Regulierungen bringt 2025 in der Logistik

Die Regulierung der Cybersecurity schreitet voran. Was Logistikunternehmen jetzt über NIS2, DORA und das KRITIS-Dachgesetz wissen müssen, welche Übergangsfristen gelten und welche Zertifizierungen und Weiterbildungen sinnvoll sein können, fassen die Experten Richard Skalt und Thomas Janz vom TÜV Süd zusammen.

Was es 2025 an neuen Regulierungen für die Logistik im Bereich Cybersecurity gibt, zeigt diese Übersicht. (Bild: Ruan J/peopleimages.com, AdobeStock)
Was es 2025 an neuen Regulierungen für die Logistik im Bereich Cybersecurity gibt, zeigt diese Übersicht. (Bild: Ruan J/peopleimages.com, AdobeStock)
Werbung
Werbung

Die Anzahl an Regularien, die Cybersecurity für bestimmte Geschäftsbereiche regeln, ist stark gewachsen. Vieles, was in den Jahren 2023 und 2024 verabschiedet wurde, tritt nun nach und nach in Kraft. Doch den Überblick zu behalten, ob man als Unternehmen davon betroffen ist oder nicht, ist schwierig. Und auch bei den freiwilligen Zertifizierungen gibt es 2025 Änderungen.

Tritt NIS 2 in Deutschland 2025 in Kraft?

NIS 2 war das Cybersecurity-Thema des Jahres 2024. NIS 2 ist eine Aktualisierung der bereits bestehenden Richtlinie der Europäischen Union zur Netzwerk- und Informationssicherheit (NIS). Diese Richtlinie fokussiert sich auf die Verbesserung der Cybersicherheit von Netzwerken und Informationssystemen, die für die Bereitstellung wesentlicher Dienste und kritischer Infrastrukturen notwendig sind. Da NIS 2 in Deutschland und in vielen anderen Mitgliedstaaten der EU noch nicht in nationales Recht überführt wurde, wird uns das Thema auch 2025 beschäftigen. Logistikunternehmen, die zur Kritischen Infrastruktur zählen, sollten sich spätestens jetzt auf die Umsetzung vorbereiten und die weitere Entwicklung im Gesetzgebungsprozess im Auge behalten.

DORA: Strenge Regeln im Finanzsektor

Der Digital Operational Resilience Act (DORA) betrifft primär den europäischen Finanzsektor: Mit dieser EU-Verordnung soll ein hohes Cyber-Resilienz-Niveau im Finanzsektor durch einheitliche Anforderungen zu Risk Management, Meldung von Vorfällen, Belastbarkeitstests, Informationsaustausch und Supply-Chain-Risiken, gewährleistet werden. Logistik-Unternehmen können somit mittelbar betroffen sein, zum Beispiel wenn sie für Geldtransporte verantwortlich sind. DORA ist seit Januar 2023 in Kraft und wird ab dem 17. Januar 2025 voll angewendet werden.

KRITIS-Dachgesetz: Physischer Schutz kritischer Infrastrukturen

Das KRITIS-Dachgesetz, das die CER-Richtlinie der EU in deutsches Recht umsetzen soll, wird aktuell beraten und wird 2025 sehr voraussichtlich in Kraft treten. Mit diesem Gesetz sollen Mindeststandards für den physischen Schutz kritischer Infrastrukturen festgelegt werden. Der aktuelle Gesetzesentwurf fasst die Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung, Weltraum und Öffentliche Verwaltung als Kritische Infrastrukturen zusammen. Das KRITIS-Dachgesetz hat zum Ziel, die geltenden Bestimmungen im Bereich der IT-Sicherheit für kritische Infrastrukturen zu ergänzen.

Übergangsfristen im Blick behalten: EU AI Act, Maschinenrichtlinie und Cyber Resilience Act

Auch bereits geltende Gesetze werfen ihre Schatten voraus. Sie betreffen alle konkrete Produkte, die aber auch eine Relevanz im Logistik-Sektor haben. Der Cyber Resilience Act, der darauf abzielt, Produkte mit digitalen Elementen sicherer zu machen, ist seit November 2024 in Kraft. Diese EU-Gesetzgebung stellt neue verbindliche und umfangreiche Anforderungen an die Cybersecurity von vernetzten Hardware- und Softwareprodukten. Hersteller werden damit während des gesamten Produktlebenszyklus für die Cybersicherheit der Produkte verantwortlich sein. Die neue Verordnung gilt für Produkte wie Smart TVs, Firmware, Sensoren zur Überwachung von Maschinen oder sogar für ganze Industrieanlagen. Meldefristen für den Cyber Resilience Act gelten ab Mitte 2026, vollständige Anwendung findet das Gesetz ab Dezember 2027.

Auch die neue EU-Maschinenverordnung 2023/1230 (MVO) gilt ab 2027: Sie zielt darauf ab, die Sicherheit von Maschinen, zugehörigen Produkten und unvollständigen Maschinen zu erhöhen und den europäischen Binnenmarkt zu stärken. Das betrifft auch die Cybersicherheit. Die Maschinenhersteller sind für die sogenannte Korrumpierungssicherheit verantwortlich. Das heißt, sie haben eine Reihe von Vorkehrungen, zum Beispiel gegen Hackerangriffe, zu treffen.

Ein großer Meilenstein in Sachen künstlicher Intelligenz ist der EU AI Act, der am 1. August 2024 mit gestaffelten Übergangsfristen in Kraft getreten ist. Bereits ab Anfang 2025 werden demnach KI-Systeme verboten werden, die unter anderem manipulative oder täuschende Techniken einsetzen. Ab August 2025 gelten für bestimmte Allzweck-KI-Modelle Vorschriften. Weitere Stufen folgen 2026.

Logistik-Unternehmen können indirekt betroffen sein

Auch für Logistikunternehmen, die nicht unmittelbar von den neuen Regulierungen betroffen sind, können sich Auswirkungen ergeben, beispielsweise über ihre Geschäftsbeziehungen. Da sogenannte Supply-Chain-Angriffe oft über vertrauenswürdige Partner oder Lieferanten erfolgen, können sie lange unentdeckt bleiben und erheblichen Schaden anrichten. Deshalb verlangen beispielsweise NIS-2 und DORA von den direkt betroffenen Unternehmen, Maßnahmen zur Überwachung der Lieferketten zu ergreifen. Das kann bedeuten, dass indirekt betroffene Unternehmen gewisse Zertifizierungen oder andere Belege für ihre eigenen Cybersecurity-Maßnahmen nachweisen müssen. Das kann eine ISO 27001-Zertifizierung sein, mit der Unternehmen zeigen, dass sie ein effektives Information Security Management System (ISMS) etabliert haben  und pflegen. Je nach Anwendungsfall gibt es noch weitere Standards und Best Practices, die berücksichtigt werden müssen, um Cyber-Resilienz zu belegen, zum Beispiel das NIST Cybersecurity Framework oder IEC 62443.

ISO/IEC 27001 neu strukturiert – Übergangsfrist endet 2025

Die freiwillige Zertifizierung nach der internationalen Norm ISO/IEC 27001 gilt als etablierter Standard, der die Anforderungen an ein Managementsystem für die Informationssicherheit (ISMS) festlegt. Ab Herbst 2025 müssen alle Zertifikate auf die neue Version von 2022 umgestellt sein. Cybersecurity, der Datenschutz und vor allem die Sicherheit der Cloud bekommen in dieser Version einen noch höheren Stellenwert. Zudem wurde die Struktur der Norm leicht angepasst, so dass sie nun den Vorgaben für Managementsystem-Normen vollständig entspricht. Wesentliche inhaltliche Änderungen betreffen die Nachvollziehbarkeit und Wechselwirkung von Maßnahmen und planvollen Änderungen, zum Beispiel basierend auf Gap-Analysen. Insgesamt bekommen Kennzahlen, Kriterien und die Messbarkeit mehr Bedeutung, wodurch sich die Wirksamkeit besser beurteilen lässt. Zudem wird die Mitwirkung der Führungsebene stärker adressiert. Auditoren blicken darüber hinaus auf elf neue Punkte. Diese reichen vom Abfließen oder Maskieren von Daten bis zur Überwachung von Aktivitäts- und Verhaltensmustern.

ISO/IEC 42001 auch KI-Managementsysteme können jetzt zertifiziert werden

Die ISO/IEC 42001 ist eine internationale Norm, die speziell für das Management von Systemen der künstlichen Intelligenz entwickelt wurde: Die Norm legt die Anforderungen für die Einrichtung, Umsetzung, Pflege und kontinuierliche Verbesserung eines KI-Managementsystems, kurz KIMS, fest. Dabei schafft sie einen Rahmen, der sicherstellt, dass KI-Systeme ethisch einwandfrei, transparent und zuverlässig sind. ISO/IEC 42001 ist für alle Organisationen relevant, die Produkte oder Dienstleistungen verwenden, entwickeln oder anbieten, die künstliche Intelligenz nutzen. Im Jahr 2025 werden sich erste Unternehmen nach dieser noch neuen Norm zertifizieren lassen können.

Auch 2025 ist es für Unternehmen unerlässlich, sich mit den sich stetig wandelnden Regularien vertraut zu machen. Letztlich geht es darum, Unternehmen resilienter gegenüber Cyberangriffe aufzustellen.

Autoren: Richard Skalt, Advocacy Manager Cybersecurity, und Thomas Janz, Product Compliance Manager IT-Standards, beide TÜV SÜD.

 

Werbung
Werbung