Im fünften Teil unserer Blogreihe „sicher & resilient“ geht es um Auditierung, Konformitätsbewertung und die Konformitätsbewertungsstellen (KBS). Mit dem Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG, Regierungsentwurf), des KRITIS-Dachgesetzes (Regierungsentwurf) und des Cyber Resilience Acts (CRA) stehen Unternehmen und Hersteller digitaler Produkte vor der Herausforderung, ihre Sicherheitsmaßnahmen nicht nur zu implementieren, sondern auch regelmäßig auf ihre Wirksamkeit hin zu überprüfen. Dabei spielen Auditierungen, Konformitätsbewertungen und die Arbeit von KBS eine zentrale Rolle (vgl. BSI CRA 2024).
Der Geltungsbereich der Regulierung für kritische Infrastrukturen wird durch die NIS-2-Richtlinie und das KRITIS-Dachgesetz ebenso deutlich erweitert, wie die betroffenen Sektoren. Die Anzahl der betroffenen Einrichtungen wächst erheblich von ca. 2.000 Betroffenen auf ca. 30.000, was immense Herausforderungen für die Umsetzung und Überwachung der Maßnahmen mit sich bringt (vgl. Weissmann 2024).
Audits dienen bekanntermaßen nicht nur dem Nachweis der Compliance mit gesetzlichen Vorgaben, sondern auch der Identifikation von Schwachstellen und der kontinuierlichen Verbesserung von Sicherheitskonzepten. Unternehmen müssen ab dem vollständigen Inkrafttreten nachweisen, dass sie Sicherheitsmaßnahmen in Übereinstimmung mit den neuen Anforderungen gemäß NIS2UmsuCG und KRITIS-Dachgesetz umgesetzt haben. Dies erfordert systematische Risikoanalysen, regelmäßige Tests und dokumentierte Prozesse zur Vorfallbewältigung. Ein Mapping der Normaspekte von ISO/IEC 27001 auf NIS 2 wurde bereits durch die British Standards Institution und OpenKRITIS veröffentlicht und erleichtert die Auditierung (Auszug):
Insbesondere der CRA bringt neue Anforderungen mit sich. Hersteller von digitalen Produkten müssen bereits in der Entwicklungsphase Sicherheitsmaßnahmen nach dem Prinzip „Security by Design“ integrieren und ihre Produkte regelmäßig auf Schwachstellen prüfen. Dies betrifft nicht nur die eigene Produktion, sondern auch die gesamte Lieferkette, in der Komponenten von Drittanbietern eingesetzt werden. Um diese Anforderungen nachzuweisen, müssen Produkte je nach Klassifizierung durch Selbstüberprüfung oder durch KBS zertifiziert werden (vgl. BSI CRA 2024, Weissmann 2024).
Die KBS überprüfen sowohl Produkte als auch Managementsysteme und führen Penetrationstests sowie Simulationen durch, um Schwachstellen frühzeitig zu identifizieren. Ein wesentliches Problem besteht jedoch im Engpass an qualifizierten Auditoren und zertifizierten KBS. Der Bedarf in der Cybersicherheitsberatung und -prüfung ist ebenso wie der Fachkräftemangel (62 % der Unternehmen beklagen Engpässe) in der Informationssicherheit auf konstant hohem Niveau (vgl. dazu BMAS und ICS2 Cybersecurity Study 2024) . Dies führt zu längeren Wartezeiten bei Zertifizierungen und erhöht den Druck auf Unternehmen und KBS, frühzeitig auf die neuen Anforderungen zu reagieren.
Ein weiteres Hindernis ist die technologische Komplexität moderner Systeme. Viele Sicherheitslösungen basieren auf künstlicher Intelligenz (KI) und maschinellem Lernen – dies erschwert traditionelle Prüfmethoden.
Für Unternehmen empfiehlt es sich, die neuen Anforderungen schrittweise umzusetzen. Der frühzeitige Aufbau oder die Nutzung eines bereits bestehenden Informationssicherheits-Managementsystems (ISMS) bieten die Grundlage für ein strukturiertes Risikomanagement und vereinfachen Audits. Die Zusammenarbeit mit KBS sollte ebenfalls frühzeitig erfolgen, um Verzögerungen zu vermeiden. Automatisierte Systeme zur Überwachung und Analyse, wie SIEM-Lösungen (Security Information and Event Management), können dabei helfen, Schwachstellen kontinuierlich zu überwachen und schnell zu beheben.
Für Auditoren und KBS bedeutet die neue Regulierung ebenfalls eine Anpassung. Die Integration von automatisierten Prüfverfahren und KI-gestützten Analysetools wird zunehmend notwendig werden, um der Komplexität moderner Technologien gerecht zu werden. Gleichzeitig müssen Standards harmonisiert werden, um Doppelprüfungen nach Möglichkeit zu vermeiden und die Vergleichbarkeit von Ergebnissen zu gewährleisten.
Die Nichteinhaltung der Anforderungen des Regelwerk-Dreigestirns kann schwerwiegende Konsequenzen haben. Produkte, die nicht den Anforderungen des CRA entsprechen, dürfen nicht vermarktet und müssen im schlimmsten Fall zurückgerufen werden. Zudem drohen Unternehmen Bußgelder unterschiedlicher Höhen und, je nach Regelwerk, weitere Sanktionen.
Zusammenfassend bieten sich trotz dieser Herausforderungen auch Chancen: Unternehmen, die frühzeitig in Sicherheitszertifizierungen investieren, können nicht nur regulatorische Risiken minimieren, sondern auch Vertrauen bei Kunden und Partnern aufbauen. Zertifizierte Produkte signalisieren Verlässlichkeit und Qualität – ein entscheidender Vorteil in einer Zeit hybrider Angriffsvektoren.
Im sechsten und letzten Teil unserer Blogreihe „sicher & resilient“ schauen wir auf die Herausforderungen und Chancen der drei Regelwerke.