Resilienz und Cybersicherheit als Fundament digitaler Infrastrukturen: Versicherer und Softwareanbieter in einem Boot
Resilienz und Cybersicherheit im Fokus der EU-Regulierung
Im digitalen Zeitalter leisten komplexe IKT-Systeme einen wesentlichen Beitrag zum Funktionieren volkswirtschaftlicher Schlüsselsektoren einschließlich des Finanzsektors. Die Nutzung und Konnektivität von digitalen Systemen und Produkten mit digitalen Elementen sind heute grundlegende Merkmale von Finanzunternehmen. Mit ihrer weitverbreiteten Nutzung steigen die systemischen Risiken. Cyberbedrohungen, Ausfälle und andere Störungen sind allgegenwärtig.
Die Europäische Union hat in den letzten Jahren bedeutende Schritte unternommen, um Cybersicherheit und Resilienz volkswirtschaftlicher Schlüsselsektoren durch regulatorische Vorgaben zu stärken. NIS-2, DORA und CRA bilden den Rahmen, um Sicherheit und Resilienz der digitalen Technologien zu gewährleisten und damit auch das Vertrauen und die Akzeptanz der Nutzerinnen und Nutzer zu gewinnen. Regulatorik ist das Fundament, um den technologischen Fortschritt nachhaltig abzusichern.
NIS-2 (EU) 2022/2555 – Cybersicherheit für Netz- und Informationssysteme
Mit der europäischenNIS-2-Richtlinie, die in den EU-Mitgliedsstaaten in nationales Recht umzusetzen ist, soll das gemeinsame Cybersicherheitsniveau erhöht werden. Cybersicherheit umfasst den Schutz von Netzwerk- und Informationssystemen (NIS), ihren Nutzern und anderen betroffenen Personen vor Cybervorfällen und Bedrohungen. NIS-2 ersetzt die Vorgängerrichtlinie (NIS-1), definiert einen breiteren Anwendungsbereich, setzt klarere Vorschriften und führt stärkere Aufsichtsinstrumente ein. Mit der Richtlinie wird unter anderem ein Netzwerk von Computer Security Incident Response Teams (CSIRTs) eingerichtet, um Informationen zu Cyberbedrohungen auszutauschen und auf Vorfälle zu reagieren.
DORA (EU) 2022/2554 – Eine für alle(s) im Finanzsektor
Die EU-Verordnung zur Digitalen Operationalen Resilienz ist eine sektorspezifische Regulierung, die den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologe (IKT) stärken sowie ein hohes Maß an digitaler operationaler Resilienz der Finanzunternehmen und ihrer digitalen Partner sicherstellen soll. Wie die BaFin betont: Nahezu alle beaufsichtigen Einrichtungen fallen unter DORA und nahezu alles wird adressiert – Cybersicherheit, IKT-Risiken und Resilienz. Als sektorspezifischer Rechtsakt der Europäischen Union in Bezug auf Finanzunternehmen gelten die hier beschriebenen Bestimmungen anstelle der NIS-2-Bestimmungen, sofern sie spezifischer sind (lex specialis).
CRA (EU) 2024/2857 – Cybersicherheit für Produkte mit digitalen Elementen
Der europäische Cyber Resilience Act (CRA) ist eine Verordnung über Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Mit der Verordnung sollen EU-weite Rahmenbedingungen für die Entwicklung sicherer Produkte geschaffen werden, damit Hardware- und Softwareprodukte mit weniger Schwachstellen auf den Markt gebracht werden und sich die Hersteller über den gesamten Produktlebenszyklus konsequent um Sicherheit kümmern. Grundsätze wie „security by design“ sind ebenso zu berücksichtigen wie die Erstellung von Software Bills of Materials (SBOM) oder der Informationsaustausch zu kritischen Schwachstellen sowie schwerwiegenden Sicherheitsvorfällen. Die CRA-Anforderungen gelten für alle Produkte mit digitalen Elementen: für preisgünstige, einfache Produkte sowie für komplexe B2B-Produkte, für reine Softwareprodukte (z.B. Bestandsführungssoftware, Computerspiele etc.) als auch für Hardwareprodukte mit vernetzten Funktionen (z.B. Smartphones). Der CRA definiert bestimmte Produkte als „kritische“ oder „wichtige“ Produkte, die strengen, zum Teil extern durchzuführenden Konformitätsbewertungen unterliegen. Standardprodukte werden vom Hersteller selbst bewertet.
Mehr als nur das Produkt: DORA erweitert den Leistungsumfang
Im Versicherungssektor steht aktuell die sektorspezifische DORA im Mittelpunkt. Bis April 2025 müssen Versicherer und Anbieter der betrieblichen Altersvorsorge die von ihnen bezogenen IKT-Dienstleistungen im sogenannten Informationsregister erfassen, kategorisieren und bewerten, ob diese wichtige oder kritische Funktionen unterstützen.
Ist dies der Fall, gelten erhöhte oder erweiterte Anforderungen u.a. an Berichts- und Nachweispflichten, Unterauftragsvergaben, spezifische Maßnahmen zur IKT-Sicherheit, Beteiligung an Threat-led Penetration Tests (TLPTs), Form und Veränderung von vertraglichen Vereinbarungen oder Implementation und Tests von Notfallplänen.
Versicherer und ihre digitalen Partner: Neue Wege der Zusammenarbeit im digitalen Zeitalter
Ende 2026 rücken die digitalen Partner der Versicherer – die Produktanbieter – in den Mittelpunkt der Aufmerksamkeit. Mit der ersten Umsetzungsstufe des CRA gilt für Produkthersteller die Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle.
NIS-2, DORA und CRA berühren die Zusammenarbeit von Versicherern und IKT-Drittanbietern unmittelbar. Immer wenn es um Produkte oder Dienste geht, die unter der einen oder anderen Regulatorik mit dem Zusatz „kritisch“ oder „wichtig“ klassifiziert werden, gelten erhöhte Anforderungen an die Vertragsparteien. Cybersicherheit und Resilienz werden bei Herstellung, Betrieb und Wartung zu einer partnerschaftlich zu lösenden Aufgabe.
In weiteren Blogbeiträgen werden wir konkrete Fragestellungen zu Regulatorik, Resilienz und Cybersicherheit beleuchten.
