Bestmögliche Vorbereitung auf das CRA und die NIS2-Richtlinie

Warum die Wahl eines Herstellers, der Cybersicherheit ernst nimmt, geschäftskritisch ist

Cybersicherheit ist und bleibt ein wichtiges Thema für Wirtschaftsführer. Es überrascht daher nicht, dass die Europäische Union momentan daran arbeitet, das Risiko von Cyberangriffen auf Unternehmen zu verringern. Ihre jüngsten Bemühungen konzentrieren sich auf zwei Richtlinien, das Gesetz über Cyberresilienz (CRA) und die NIS2-Richtlinie (die überarbeitete Version der bestehenden Richtlinie über Netz- und Informationssicherheit). Wirtschaftsführer, die jetzt ihre Compliance überprüfen, wären gut damit beraten, mit Herstellern wie Hanwha Vision zusammenzuarbeiten, die sich der Cybersicherheit verschrieben haben und bei der Einhaltung der NIS2 und des CRA eine Führungsposition eingenommen haben.

Zum Kontext: Das Europäische Parlament und der Europäische Rat sind seit langem wachsam, wenn es um die Verwendung und den Schutz von Daten, insbesondere von personenbezogenen Daten, geht. Angesichts der zunehmenden Cyberkriminalität und der Tatsache, dass böswillige Akteure aufgrund der exponentiellen Zunahme der Technologieplattformen immer mehr Möglichkeiten haben, Netzwerke und vernetzte Geräte auszunutzen, verstärken Gesetzgeber nun die Cyberabwehr der EU-Mitgliedstaaten und der in ihnen tätigen Organisationen.

Laut der Agentur der Europäischen Union für Cybersicherheit, ENISA, entstehen neue Bedrohungen für die Cybersicherheit aus folgenden Gründen: die Fülle an Daten, die Geräte jetzt sammeln können, Fortschritte in der KI, die Cyberangriffe komplexer und skalierbarer machen, das Anvisieren von Zielen in der Lieferkette (im Jahr 2021 wurden 17 % der Vorfälle durch Dritte verursacht, verglichen mit weniger als 1 % im Jahr 2020) und IoT-Geräte, die als Einfallstor für größere Angriffe genutzt werden. Inmitten dieser Landschaft kommt das neue CRA und eine überarbeitete Version der ersten NIS-Richtlinie, die sich direkt mit den neuen Bedrohungen befasst.

Über die NIS2

Die NIS2-Richtlinie wurde vom Europäischen Parlament und dem Rat im Dezember 2020 verabschiedet. Sie gibt Mitgliedstaaten bis Oktober 2024 Zeit, die Anforderungen der NIS2 in ihre nationalen Gesetze umzusetzen. Letztendlich zielt die Richtlinie darauf ab, die Cybersicherheit von Netz- und Informationssystemen EU-weit zu verbessern.

Die Richtlinie gilt sowohl für Betreiber grundlegender Dienste (OES) als auch für Anbieter digitaler Dienste (DSP). Um die Verpflichtungen eines Unternehmens zu verstehen, muss man wissen, wo die Richtlinie einzuordnen ist. OES erbringen wichtige Dienste für die Wirtschaft oder die Gesellschaft und umfassen Energieunternehmen, Verkehr, Banken und das Gesundheitswesen. DSPs bieten Online-Dienste für eine große Anzahl von Nutzern an und umfassen Suchmaschinen, Social-Media-Plattformen und Online-Marktplätze. Als Hersteller von Videotechnologie ist Hanwha Vision als DSP definiert.

Die erste NIS-Richtlinie konzentrierte sich ausschließlich auf OES. Angesichts der zunehmenden Verbreitung digitaler Dienste, die eine von böswilligen Akteuren ausnutzbare Schwachstelle darstellen können, erweitert die NIS2-Richtlinie die Anforderungen auf DSPs. Die Richtlinie verlangt von DSPs, dass diese geeignete Maßnahmen ergreifen, um das Risiko für ihre Netz- und Informationssysteme zu verwalten.

Die Auflagen für DSPs sind wie folgt:

  • Sie müssen vollständig konform mit dem Gesetz über Cyberresilienz (CRA) sein.
  • Sie müssen regelmäßige Risikobewertungen durchführen, um die Risiken für ihre Netz- und Informationssysteme zu identifizieren und zu bewerten.
  • Sie müssen geeignete Sicherheitsmaßnahmen implementieren, um die in ihren Risikobewertungen identifizierten Risiken zu mindern.
  • Sie müssen Vorfälle im Bereich der Cybersicherheit den zuständigen nationalen Behörden melden.
  • Sie müssen bei Vorfällen im Bereich der Cybersicherheit mit den zuständigen nationalen Behörden kooperieren.

Die NIS2-Richtlinie ist ein positiver Schritt für die Videobranche; sie stellt sicher, dass jeder Hersteller, der in EU-Mitgliedstaaten Geschäfte machen möchte, die Vorschriften einhält. Die Sicherung eines Netzwerks mit seinen verschiedenen Geräten und unterschiedlichen Diensten erfordert die aktive Beteiligung der gesamten Lieferkette. Mit der NIS2-Richtlinie lässt sich das viel leichter organisieren. Auch Kameras können ein Risiko darstellen, wenn sie nicht von seriösen Herstellern stammen, nicht nur wegen der Daten, die sie sammeln (die sensibel und personenbezogen sein können), sondern auch als Einfallstor für einen größeren Cyberangriff. Da Netzwerke immer größer und komplexer werden, insbesondere wenn mehr Smart Cities gebaut werden, wird eine robuste Cybersicherheit in den Lieferketten immer wichtiger.

Vorbereitung auf die NIS2-Richtlinie

Der beste Weg, Ihr Unternehmen jetzt zukunftssicher zu machen, ist die ausschließliche Zusammenarbeit mit Herstellern, die ihre Bereitschaft zur Einhaltung der NIS2-Richtlinie nachweisen können und über eine solide Erfolgsbilanz bei bewährten Verfahren zur Cybersicherheit verfügen. Auch wenn die genauen Anforderungen noch von der EU im Gesetz verankert werden müssen, sollten Sie vorerst auf CRA-Konformität achten, da die Wahrscheinlichkeit groß ist, dass ein Hersteller, der das CRA erfüllt, auch NIS2-konform ist.

Konformität mit dem CRA

Angesichts der zunehmenden Zahl smarter Geräte in Unternehmen und Privathaushalten möchte die Europäische Kommission ein angemessenes Maß an Cybersicherheit für jedes in den Mitgliedstaaten verwendete Produkt mit regelmäßigen Sicherheitsupdates während des gesamten Produktlebenszyklus gewährleisten. Um Wirtschaftsführern und Verbrauchern bei der Erkennung konformer Produkte zu helfen, erscheint die CE-Kennzeichnung auf jedem Produkt oder jeder Software, das bzw. die die Anforderungen erfüllt. Das CRA gilt für Produkte, die mit dem Internet verbunden sind, z. B. Smart-TVs, WLAN-Router, smarte Kühlschränke und Videokameras.

Auch wenn das Gesetz derzeit vom Europäischen Parlament und vom Rat diskutiert wird und wahrscheinlich frühestens 2024 in Kraft treten wird, erfüllt Hanwha Vision dank der umfassenden Cybersicherheitsprozesse, die das Unternehmen bereits implementiert hat, jetzt schon die Vorgaben des CRA.

Anbieter müssen auch nachweisen, dass sie regelmäßige Risikobewertungen durchführen, um Risiken für ihr Netzwerk zu identifizieren, zu bewerten und zu mindern. Das Security-Computer Emergency Response Team (S-CERT) von Hanwha Vision führt diese Bewertungen jetzt schon regelmäßig durch, einschließlich Penetrations- und Sicherheitstests.

Alle Produkte von Hanwha Vision werden mit Blick auf Sicherheit konzipiert und entwickelt und verfügen über die UL CAP-Zertifizierung im Wisenet 7 Advanced System On Chip (SoC). Um die Sicherheit für alle seine Nutzer weiter zu verbessern, veröffentlicht Hanwha Vision regelmäßig potenzielle Bedrohungen und Schwachstellen im Rahmen einer offenen Offenlegungspolitik und stellt Nutzern Informationen über die Sicherheitsfunktionen seiner Produkte und deren Verwendung zur Verfügung.

Die Spitze des Cybersicherheits-Eisbergs

Die jüngsten gesetzgeberischen Schritte der EU sind Teil der breiteren Bemühungen, die Cyberresilienz durch politische Maßnahmen, Innovationsprogramme und mehr zu fördern. Sie zeigen, dass die Europäische Kommission einen klaren Schwerpunkt auf die Sicherung von Produkten und Diensten gegen Cyberangriffe legt. Partnerschaften mit Herstellern, die die Cybersicherheit in den Mittelpunkt ihres Produktdesigns stellen, helfen Unternehmen, ihren Betrieb in Europa zukunftssicher zu machen.

Es ist daher von entscheidender Bedeutung, dass Anwender einen Videohersteller wählen, der bei der Sicherung seiner Produkte und Software über sich hinauswächst – Cybersicherheit ist kein Bereich, in dem „gut genug“ ausreichend ist. Die Risiken und Kosten einer Datenverletzung sind einfach zu groß, um die Wahl von Kameras mit minderwertiger Cybersicherheit zu rechtfertigen. Die Zusammenarbeit mit einem Hersteller, der die Landschaft ständig nach Bedrohungen und Schwachstellen absucht, stellt sicher, dass Ihr Videosystem bei der Einhaltung von Vorschriften immer einen Schritt voraus ist.

Die Bedeutung von Vertrauensmarken und Richtlinien

Damit Sie die Gewissheit haben, dass Ihr Videonetzwerk so cybersicher wie möglich ist, sollten Sie bei der Auswahl des Herstellers auf ein paar „Vertrauensmerkmale“ achten. Sie müssen klare Nachweise für das Engagement des Unternehmens im Bereich der Cybersicherheit sehen, und zwar nicht nur beim Produktdesign, sondern in allen Bereichen, in der Unternehmenskultur und sogar beim Thought-Leadership. Sicherheitsrichtlinien, einschließlich der Reaktion auf Schwachstellen und dem Händeln/Melden von Vorfällen, sind grundlegende Anforderungen.

Zertifizierungen wie UL CAP (UL Cybersecurity Assurance-Programm) und die Einhaltung des NDAA (National Defense Authorization Act) oder Akkreditierungen wie das britische Cyber Essentials-Programm können weiteres Vertrauen schaffen. Da die Einhaltung des NDAA von Fertigungsunternehmen verlangt, dass sie keine Chipsätze und andere Komponenten aus Ländern herstellen und verwenden, die auf der schwarzen Liste stehen, kann dies ein wichtiger Indikator für die Cyberresilienz der Lieferkette eines Herstellers sein.

Schließlich können der Austausch von Wissen und Ressourcen sowie ein Beitrag zur CVE-Schwachstellenbibliothek (Hanwha Vision ist ein CVE-Partner) ein langfristiges Engagement für die Verbesserung der Cybersicherheit zeigen. Hanwha Vision ist stolz darauf, seit vielen Jahren seine Sicherheitsmaßnahmen zu verschärfen und zu den Best Practices der Cybersicherheit in ganz Europa beizutragen.

Eine zukünftige Vertrauensmarke?

Ähnlich wie bei der Einhaltung des NDAA werden das CRA und die NIS2-Richtlinie zu einem weiteren Kriterium, das Entscheidungsträger nutzen können, um das Engagement eines Herstellers im Bereich der Cybersicherheit zu ermitteln. Wenn Sie sich für Anbieter entscheiden, die proaktiv vorgehen und eine vielschichtige Strategie zur Sicherung ihrer Produkte verfolgen, wird Ihnen das langfristig helfen, denn Cyberangriffe werden immer alltäglicher, komplexer und kostspieliger. So haben Sie die Freiheit und Flexibilität, in die besten CCTV-Lösungen für Ihr Unternehmen zu investieren, ohne eine Schwachstelle in Ihr Netzwerk einzubauen.