Autor: Gökce Boz

Das EU-Parlament hat einen wegweisenden Schritt getan, indem es den „AI-Act“ genehmigt hat, der klare Richtlinien für den Einsatz von Künstlicher Intelligenz in der Europäischen Union festlegt. Diese Entscheidung markiert einen Meilenstein in der weltweiten Regulierung von KI-Technologien und soll das Vertrauen in die europäische KI-Branche stärken sowie ihre Wettbewerbsfähigkeit auf globaler Ebene erhöhen.

Ein herausragendes Merkmal des „AI-Act“ ist die Einführung des „Made in EU“-Siegel, das darauf abzielt, das Vertrauen in die europäische KI-Branche zu stärken und ihre Wettbewerbsfähigkeit auf globaler Ebene zu erhöhen. Durch die Betonung auf Gründlichkeit und Qualität bei der Umsetzung von KI-Systemen soll die europäische KI-Branche als eine Quelle für zuverlässige und ethisch verantwortungsvolle Innovationen positioniert werden.

Das Gesetz klassifiziert KI-Systeme in verschiedene Risikogruppen, wobei je nach potenziellen Gefahren unterschiedliche Regulierungsanforderungen gelten. Von geringem oder minimalem Risiko bis hin zu Hochrisiko-KI-Systemen werden entsprechende Maßnahmen zur Risikominderung und -kontrolle festgelegt, um eine sichere Anwendung zu gewährleisten.

Ein weiterer wichtiger Schritt ist das Verbot bestimmter KI-Anwendungen wie soziales Scoring und Gesichtserkennung im öffentlichen Raum, die im Widerspruch zu den grundlegenden Werten der EU stehen. Diese Maßnahme zielt darauf ab, die Privatsphäre und die individuellen Rechte der Bürgerinnen und Bürger zu schützen und eine Überwachung ähnlich wie in China zu verhindern.

Dennoch gibt es Ausnahmen für Sicherheitsbehörden, die Gesichtserkennung zur Verfolgung bestimmter schwerwiegender Straftaten wie Menschenhandel oder Terrorismus nutzen dürfen. Diese Ausnahmen sind jedoch eng definiert und unterliegen strengen Regeln.

Das „AI-Act“ ist ein wichtiger Schritt für die EU, um den verantwortungsvollen und ethischen Einsatz von Künstlicher Intelligenz zu fördern und gleichzeitig potenzielle Risiken zu adressieren. Wir bleiben gespannt auf die weitere Entwicklung und Auswirkungen dieses wegweisenden Gesetzes.

 

Die NIS2-Richtlinie der Europäischen Union stellt eine erweiterte Initiative dar, um die Sicherheit von Netz- und Informationssystemen innerhalb des Binnenmarktes zu stärken. Während die Richtlinie direkt bestimmte Organisationen betrifft, entfaltet sie ihre Wirkung zunehmend auch auf Unternehmen, die nicht unmittelbar unter ihre Bestimmungen fallen. Ein entscheidender Mechanismus dieser indirekten Wirkung liegt im Business-to-Business (B2B)-Sektor, wo Kunden die Einhaltung der NIS2-Standards von ihren Lieferanten und Dienstleistern verlangen können.

Kundenforderungen als Treiber für Sicherheitsmaßnahmen

Im B2B-Kontext haben Sicherheit und Zuverlässigkeit oberste Priorität. Unternehmen, die direkt unter die NIS2-Richtlinie fallen, müssen sicherstellen, dass ihre Netz- und Informationssysteme den höchsten Sicherheitsstandards entsprechen. Diese Anforderung überträgt sich auf ihre Zulieferer und Dienstleister, da jede Schwachstelle in der Lieferkette potenziell die Sicherheit und Verfügbarkeit der Dienste gefährdet. Infolgedessen können diese Unternehmen von ihren B2B-Kunden verlangen, dass auch sie die NIS2-Standards erfüllen, um das Risiko von Sicherheitsvorfällen zu minimieren und die Kontinuität der Geschäftsprozesse zu gewährleisten.

Die Umsetzung als Notwendigkeit

Die Forderung nach Einhaltung der NIS2-Richtlinie durch B2B-Kunden macht die Umsetzung der entsprechenden Sicherheitsmaßnahmen für Zulieferer und Dienstleister praktisch zu einer Notwendigkeit. Dies gilt insbesondere für Unternehmen, die in kritischen Sektoren tätig sind oder essentielle Dienste anbieten, wo die Auswirkungen von Sicherheitsvorfällen besonders gravierend sein können. Die Einhaltung der NIS2-Standards wird somit zu einem entscheidenden Faktor für die Aufrechterhaltung bestehender Geschäftsbeziehungen und die Sicherung neuer Aufträge.

Die Anforderungen der NIS2-Richtlinie setzen neue Standards für die Sicherheit von Netz- und Informationssystemen in der EU. Für Unternehmen, die nicht direkt unter diese Richtlinie fallen, kann die Einhaltung dennoch zur Notwendigkeit werden – insbesondere wenn B2B-Kunden dies verlangen. Die Umsetzung der NIS2-Standards bietet nicht nur Schutz vor Sicherheitsrisiken, sondern dient auch der Stärkung der Marktposition und der Sicherung der Geschäftskontinuität.

Die NIS 2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union) ist die Nachfolgeregelung der NIS-Richtlinie von 2016. Sie trat am 16. Januar 2023 in Kraft und muss von den EU-Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.

Die NIS 2-Richtlinie hat zum Ziel, die Cybersicherheit in der Europäischen Union zu erhöhen. Dazu stellt sie umfassende Anforderungen an Betreiber kritischer Infrastrukturen (KRITIS) und Betreiber bedeutender Netz- und Informationssysteme (BNIS).

Ausweitung des Anwendungsbereichs

Ein zentraler Aspekt der NIS 2-Richtlinie ist die Ausweitung des Anwendungsbereichs. So werden nun auch Betreiber von KRITIS in den Sektoren Gesundheit, Energie, Verkehr und Wasserversorgung erfasst. Außerdem werden auch Betreiber von BNIS, die nicht in den Sektoren KRITIS tätig sind, aber einen erheblichen Einfluss auf die öffentliche Sicherheit oder die Wirtschaft haben können, unter die Richtlinie fallen.

Verschärfung der Anforderungen

Die NIS 2-Richtlinie verschärft auch die Anforderungen an die Cybersicherheit von KRITIS- und BNIS-Betreibern. Dazu gehören unter anderem:

• Die Einrichtung eines Cybersicherheitsmanagementsystems (CSMS)
• Die regelmäßige Durchführung von Risikobewertungen
• Die Umsetzung von Maßnahmen zur Risikominderung
• Die Meldung von Sicherheitsvorfällen an die zuständigen Behörden

Umsetzung in Deutschland

Die Bundesregierung hat im September 2023 einen Entwurf eines NIS2-Umsetzungsgesetzes vorgelegt. Das Gesetz soll die NIS 2-Richtlinie in deutsches Recht umsetzen und die Anforderungen an die Cybersicherheit von KRITIS- und BNIS-Betreibern in Deutschland konkretisieren.

Das NIS2-Umsetzungsgesetz wird voraussichtlich im Frühjahr 2024 in Kraft treten.

Ausblick

Die NIS 2-Richtlinie ist ein wichtiger Schritt zur Verbesserung der Cybersicherheit in der Europäischen Union. Die Ausweitung des Anwendungsbereichs und die Verschärfung der Anforderungen stellen hohe Anforderungen an die betroffenen Unternehmen. Die Umsetzung der NIS 2-Richtlinie wird daher eine große Herausforderung für die nächsten Jahre sein.

Unternehmen, die als KRITIS- oder BNIS-Betreiber von der NIS 2-Richtlinie betroffen sind, sollten sich frühzeitig mit den Anforderungen der Richtlinie auseinandersetzen und entsprechende Maßnahmen zur Umsetzung ergreifen.

Ab jetzt müssen Unternehmen ab 50 Mitarbeitenden interne Meldekanäle einrichten. Frist verpasst? Es drohen Bußgelder bis zu 20.000 €. Schützen Sie Whistleblower und beachten Sie die Datenschutzvorgaben. Handeln Sie jetzt!​

Unternehmen setzen verstärkt auf innovative Lösungen wie Online-Whistleblower-Portale, um den gesetzlichen Anforderungen gerecht zu werden und Whistleblower zu schützen. Erfahrungen zeigen, dass eine frühzeitige und strategische Implementierung der internen Meldekanäle nicht nur Bußgelder vermeidet, sondern auch das Vertrauen der Mitarbeiter stärkt. Setzen Sie ein Zeichen für Integrität und Compliance in Ihrem Unternehmen!

Die Wichtigkeit der Cybersecurity nimmt mit zunehmender globaler Vernetzung immer mehr an Bedeutung zu und stellt eine Herausforderung für Unternehmen, Regierungen und auch Bürger dar. Statistiken zeigen, dass rund 46 % der befragten Unternehmen in Deutschland mindestens einmal Opfer einer Cyber-Attacke geworden sind.

Die am 16. Januar 2023 in Kraft getretene NIS2 EU-Richtlinie – eine Modifizierung der in 2016 eingeführten EU-Vorschriften zur Cybersicherheit – erweitert den bestehenden Rechtsrahmen, um zum einen mehr Sektoren abzudecken und zum anderen den Schutz der kritischen Infrastruktur aufrechtzuerhalten. Mit diesem breitgefächerten Geltungsbereich soll nun das Cybersicherheitsniveau in Europa langfristig erhöht werden.

Wer ist betroffen?

Betroffen sind Unternehmen und Organisationen, die als Operatoren von Kritischen Infrastrukturen (KRITIS) eingestuft werden. In der Richtlinie werden zwei Kategorien genannt – und zwar die Betreiber wesentlicher Dienste (Operators of Essential Services OES) und die Anbieter digitaler Dienste (Digital Service Providers DSP).

Die Betreiber wesentlicher Dienste umfassen Unternehmen, die als wesentlich für das Funktionieren von Wirtschaft und Gesellschaft angesehen werden, wie Unternehmen der Energieversorgung, Gesundheitswesen, Trinkwasser- und Abwasserversorgung. Die Größe des Unternehmens ist in diesem Fall unbeachtlich.

Die Anbieter digitaler Dienste sind Unternehmen, die Online-Dienste anbieten, z.B. Cloud Computing-Anbieter und Suchmaschinen. Hierbei allerdings haben die Unternehmen die Vorgaben der Richtlinie nur dann zu erfüllen, wenn sie eine bestimmte Größe überschreiten. Während mittlere Unternehmen mit mehr als 50 MitarbeiterInnen und einem Jahresumsatz von mindestens 10 Mio. EUR den Vorgaben gerecht werden müssen, sind große Unternehmen mit mehr als 250 MitarbeiterInnen und einem Jahresumsatz von mindestens 50 Mio. EUR davon betroffen.

Was ist zu tun?

Zunächst müssen die betroffenen Unternehmen prüfen, ob sie als Netz- und Informationssystemdienst eingestuft werden und dann ihre Security-Maßnahmen überprüfen, ggf. anpassen. Ein großer Fokus liegt nun bei einer Risikobewertung zur Ermittlung und Bewertung von potenziellen Angriffen und möglichen IT-Sicherheitsrisiken. Außerdem bedarf es der Implementierung eines Sicherheitsmanagementsystems, um die Sicherheitsmaßnahmen effektiv und regelmäßig zu überprüfen. Für eine adäquate Umsetzung der Sicherheitsmaßnahmen, müssen die Unternehmen ihr Personal über die Richtlinie informieren. Des Weiteren müssen Sicherheitsvorfälle bei der zuständigen Behörde gemeldet werden. Ein weiterer Fokus ist auf die Sicherheit von Lieferketten (Supply Chain Security) gerichtet – die Unternehmen sollen ihre Lieferketten prüfen und dafür sorgen, dass sich auch ihre Zulieferer ausreichend vor Cyberbedrohungen schützen.

Wie hilft nun die NIS2 EU-Richtlinie die Risiken vor Cyberangriffen zu minimieren?

Die Umsetzung der Richtlinie trägt dazu bei, dass das Risiko vor Cyberangriffen und Datenlecks enorm verringert wird. Somit werden zum einen durch die Vorfälle verursachten Kosten minimiert und zum anderen mögliche Bußgelder vermieden.

Einen weiteren Vorteil bringt die Richtlinie im Rahmen der Aufrechterhaltung des Betriebs – die Unternehmen sind nun verpflichtet, ihre Backup- und Wiederherstellungspläne zu überprüfen und diese auf einem aktuellen Stand zu halten. Das heißt auch, dass die angemessenen technischen und organisatorischen Maßnahmen zu treffen sind, um die Risiken eines Netzwerks- und Informationssystems zu bewältigen.

Die NIS2 EU-Richtlinie ist ein wichtiger Schritt für die Cybersicherheit in Europa. Indem sie klare Verpflichtungen und Mindestsicherheitsanforderungen vorschreibt, trägt sie dazu bei, die Widerstandsfähigkeit der digitalen Infrastruktur zu stärken und die Auswirkungen von Cyberangriffen zu minimieren. Zur Umsetzung wurde eine Frist von 21 Monaten vorgesehen – bis Oktober 2024 müssen die EU-Mitgliedstaaten die Richtlinie in nationales Recht überführen.