28. Mai 2025 Allgemein
Cybersicherheit 2025: Was Sie über neue Regulatorien wissen müssen
Ein Überblick über die wichtigsten Cybersicherheitsregulatorien
Mehr Informationen +
Das Jahr 2025 bringt einschneidende Veränderungen für die Cybersicherheit in Europa. Wenn Sie sich für IT-Sicherheit interessieren, sollten Sie auch einen Überblick über die wichtigsten Gesetze und Richtlinien haben, die Unternehmen und Organisationen betreffen bzw. betreffen werden – wir möchten Ihnen mit diesem Beitrag einen Überblick geben. Falls Sie Ihr Wissen vertiefen möchten, können Sie zu einzelnen Rechtsmaterien unsere ausführlichen Artikel aus jüngster Vergangenheit lesen, welche wir untenstehend verlinken.
Die wichtigsten europäischen Cybersicherheitsregulatorien
NIS2-Richtlinie: Der neue Standard für Cybersicherheit
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist das Herzstück der europäischen Cybersicherheitsstrategie. Sie ist bereits seit dem 17. Oktober 2024 in Kraft und ersetzt die alte NIS-Richtlinie von 2016.
Was macht NIS2 so wichtig?
Die Richtlinie erweitert den Schutz auf kritische Bereiche unserer Gesellschaft, darunter:
- Energieversorgung (Strom, Gas, Öl)
- Gesundheitswesen (Krankenhäuser, Apotheken)
- Transport (Flughäfen, Häfen, Bahn)
- Finanzwesen (Banken, Börsen)
- Digitale Infrastruktur (Internet-Anbieter, Cloud-Services)
- Sogar die Raumfahrtindustrie
Konkrete Pflichten für die betroffenen Unternehmen:
- Risikomanagement: Unternehmen müssen systematisch Cyberbedrohungen erkennen und abwehren
- Schnelle Meldung: Cyberangriffe müssen binnen 24 Stunden den Behörden gemeldet werden
- Management-Verantwortung: Geschäftsführer haften persönlich für grobe Fahrlässigkeit
- Strafen: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
Situation in Österreich: Laut der Wirtschaftskammer Österreich wird das Umsetzungsgesetz zur NIS2-Richtlinie “voraussichtlich im Laufe des Jahres 2025 in Kraft treten” (https://www.wko.at/it-sicherheit/nis2-uebersicht). Der österreichische Nationalrat hatte den ersten Entwurf 2024 zunächst abgelehnt, aber die EU-Richtlinie wirkt bereits direkt auf betroffene Unternehmen.
Genaueres finden Sie bei INFINCO unter:
DORA: Spezialschutz für den Finanzsektor
Der Digital Operational Resilience Act (DORA) trat am 17. Januar 2025 in Kraft und konzentriert sich ausschließlich auf Finanzdienstleister wie Banken, Versicherungen und Zahlungsdienstleister.
Warum ist DORA notwendig? Der Finanzsektor ist besonders anfällig für Cyberangriffe, da hier große Geldströme digital abgewickelt werden. Ein Ausfall könnte das gesamte Wirtschaftssystem lahmlegen.
Besondere Anforderungen:
- Schnelle Meldung: Schwere Vorfälle müssen sehr kurzer Frist gemeldet werden
- Jährliche Belastungstests: Banken müssen simulierte Cyberangriffe überstehen
- Lieferanten-Kontrolle: Externe IT-Dienstleister müssen strenge Sicherheitsstandards erfüllen
Genaueres finden Sie bei INFINCO unter:
Cyber Resilience Act (CRA): Sicherheit für digitale Produkte
Der CRA reguliert ab 2025 alle Produkte mit digitalen Komponenten – von Smartphones über Smart-TVs bis hin zu vernetzten Autos.
Kernprinzipien:
- Sicherheit von Anfang an: Hersteller müssen Cybersicherheit bereits bei der Entwicklung mitdenken
- Transparenz: Eine Art “Zutatenliste” für Software muss offengelegt werden
- Langfristige Betreuung: Sicherheitsupdates müssen mindestens 5 Jahre lang bereitgestellt werden
Strafen: Bis zu 15 Millionen Euro oder 2,5% des weltweiten Umsatzes
Genaueres finden Sie bei INFINCO unter:
KI-Verordnung (AI Act): Regeln für Künstliche Intelligenz
Die EU-KI-Verordnung ist bereits in Kraft und regelt den Einsatz von Künstlicher Intelligenz nach einem Risiko-basierten Ansatz.
Verbotene KI-Systeme:
- Social Scoring (Bewertung von Bürgern nach Verhalten)
- Echtzeit-Gesichtserkennung zur Massenüberwachung
Hochrisiko-KI (z.B. in Kraftwerken oder bei Stellenbewerbungen) unterliegt strengen Zertifizierungspflichten.
Genaueres finden Sie bei INFINCO unter:
Kurzer Blick über Europas Grenzen
USA:
- Der Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) kann als das amerikanische Gegenstück zur NIS2-Richtlinie verstanden werden und verpflichtet betroffene Organisationen zur Meldung von Cyberangriffen.
- In New York gelten durch die NYDFS Cybersecurity Regulation verschärfte Regeln für Finanzinstitute hinsichtlich Cyber-Security.
Vereinigtes Königreich:
- DerCyber Security and Resilience Bill soll 2025 beschlossen werden und die bestehenden Regelungen in Bezug auf Cybersicherheit des Landes auf den neuesten Stand bringen. Insbesondere soll eine Angleichung an internationale Standards, insbesondere die NIS2-Regulatorik der EU, erfolgen.
Die Herausforderungen für Unternehmen
Warum wird es kompliziert?
- Mehrfache Regelungen: Internationale Unternehmen müssen eine Vielzahl an Bestimmungen befolgen, welche zwar ähnliche Zielsetzungen haben, sich allerdings im Detail unterscheiden.
- Extraterritoriale Wirkung: Auch Unternehmen außerhalb Europas müssen EU-Regeln befolgen, wenn sie in Europa Geschäfte machen möchten. Vermutlich wird es ähnliche Auswirkungen auch durch die anderen internationalen Gesetzgebungen geben.
- Ressourcen-Aufwand: Besonders kleine und mittlere Unternehmen stehen vor der Herausforderung, begrenzte Budgets auf insgesamt steigende Compliance-Anforderungen zu verteilen.
Was bedeutet das für die Praxis?
Für Unternehmen bedeuten die Regulatorien einen höheren Aufwand:
- Cybersicherheit wird vom IT-Thema zur Chefsache.
- Investitionen in Sicherheitstechnologie und Personal werden unumgänglich.
- Regelmäßige Schulungen und Tests werden zur Routine.
Für Verbraucher soll die Sicherheit bei der Verwendung von Produkten steigen:
- Digitale Produkte werden sicherer, aber durch die höheren Anforderungen auch teurer.
- Mehr Transparenz über Datenverarbeitung und Sicherheitsmaßnahmen.
- Besserer Schutz vor Cyberangriffen auf kritische Infrastrukturen.
Fazit
Die europäische Cybersicherheitslandschaft wird 2025 von einem der strengsten Regulierungsrahmen weltweit geprägt. Während dies zunächst Aufwand für Unternehmen bedeutet, soll langfristig ein sichereres digitales Umfeld für alle entstehen. Die Herausforderung liegt darin, die verschiedenen Vorschriften koordiniert umzusetzen und dabei die Balance zwischen Sicherheit und Innovation zu wahren.
Unternehmen, die jetzt proaktiv handeln und in Cybersicherheit investieren, werden nicht nur Compliance-Anforderungen erfüllen, sondern auch einen Wettbewerbsvorteil durch erhöhtes Vertrauen ihrer Kunden gewinnen. Es ist bereits jetzt sichtbar, dass die hohen Datenschutzanforderungen an Unternehmen in Europa, welche durch die DSGVO begründet wurden, einen Wettbewerbsvorteil darstellen, insbesondere in Branchen, welche mit sensiblen Daten konfrontiert sind.
TEILEN SIE DEN ARTIKEL
Unsere Produkte
D&O
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
CYBER
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
SPEZIAL STRAF-RECHTSSCHUTZ
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
CRIME
Finanzinstitutionen,
Kommerzielle Kunden
VERMÖGENSSCHADEN-HAFTPFLICHT
Finanzinstitute, Private Equity, Werbung & Medien etc.
Lesen Sie hier weiter
News
Financial Lines Dialog 2025 – Jetzt anmelden!
Wir freuen uns, Ihnen mitteilen zu können: Die Anmeldung für den INFINCO Financial Lines Dialog 2025 am 2. Oktober 2025 […]
WEITERLESEN
News
Cyber-Bedrohungen 2025: Aktuelle Vorfälle und was wir daraus lernen müssen
Aktuelle Berichte, wie der IBM X-Force Threat Intelligence Index 2025, zeigen klare Trends auf: Ransomware bleibt eine dominierende Bedrohung.
WEITERLESEN
News
Die ultimative Cyber-Checkliste des Grauens
Hand aufs Herz: Ist Ihnen die ganze Cyber-Sicherheit nicht auch manchmal zu viel?
WEITERLESEN← ZURÜCK ZUR ÜBERSICHT
INFINCO FINANCIAL
LINES BROKERS
