Geschrieben am 01.02.2024 von:
Anna Flor
Associate Partner, ppa. | Rechtsanwältin
zum Profil
Kontaktiere mich:
+49 (0) 261 – 9886236 0
E-Mail senden
Den zunehmenden Bedrohungen der Informations- und IT-Sicherheit für Staat, Wirtschaft und Gesellschaft tragen auch die Rechtsentwicklungen im IT-Sicherheitsbereich auf EU-Ebene Rechnung.
Kern der Regulierung bilden dabei die NIS2-Richtlinie und der Cyber Resilience Act.
Die NIS2-Richtlinie baut auf der bestehenden KRITIS-Gesetzesstruktur auf und erweitert den Anwendungsbereich der KRITIS um weitere Sektoren. Bis Oktober 2024 muss der deutsche Gesetzgeber die Richtlinie umsetzen.
Was wird neu geregelt?
Die Anzahl der betroffenen Sektoren steigt. Betroffen sind nunmehr insgesamt 18 Sektoren, die sich wiederum in „kritische“ und „wichtige“ Sektoren untergliedern werden.
Eingeführt wird außerdem die Size-Cap-Regel, wonach Unternehmen mit mehr als 50 Beschäftigten oder einem Umsatz von mehr als 10 Mio. EUR die Richtlinie umsetzen müssen. Im aktuellen Referentenentwurf des NIS2UmsuCG (das Umsetzungsgesetz zur NIS2-Richtlinie) werden sogar weitergehende Anforderungen definiert.
Mit dieser Erweiterung müssen betroffene Organisationen in Zukunft auch weitreichendere Melde- und Informationsverpflichtungen erfüllen, die aufgrund der Stärkung der Kontroll- und Aufsichtsbefugnisse besser kontrolliert werden können.
Der Cyber Resilience Act (kurz: CRA) wird als Verordnung wohl noch in diesem Jahr in Kraft treten. Hiernach haben Unternehmen, die Produkte mit digitalen Elementen herstellen, künftig umfassende Organisations- und Produktcomplianceverpflichtungen einzuhalten, sofern sie diese Produkte auf dem EU-Markt anbieten oder derartige Produkte als White-Label-Produkte auf den EU-Markt importieren.
Was wird neu geregelt?
Hersteller von Produkten mit digitalen Elementen werden künftig verpflichtet, Cybersicherheitsrisiken, die von den Produkten ausgehen, proaktiv zu minimieren und bestehende Sicherheitslücken zu schließen und zu melden.
Das betrifft den gesamten Produktionsprozess einschließlich der Produktentwicklung und der Produktüberwachung. Maßnahmen wie vorgelagerte Risikobewertungen, technische Sicherheitsdokumentationen und Konformitätsbewertungsverfahren werden künftig verpflichtend. Unternehmen müssen bei Produkten, die erkannte Schwachstellen aufweisen, Updates einspielen und bei Bedarf Rücknahme- und Rückrufprozesse etablieren.
Was ist zu tun?
Die neuen rechtlichen Entwicklungen nehmen verstärkt Branchen und Produkte in den Fokus, die aufgrund ihrer Relevanz für Wirtschaft und Gesellschaft mehr IT-Sicherheitsverantwortung tragen sollen. Cyber- und Informationssicherheit sind damit mehr denn je Themen, mit denen sich Entscheider*innen konkret befassen sollten.
Organisationen sollten im ersten Schritt analysieren, inwieweit sie von den neuen Rechtsakten betroffen sind und im Fall der Betroffenheit je nach Gesetz genau prüfen, welche neuen Handlungsverpflichtungen umzusetzen sind. Ganz allgemein ist zu empfehlen, dass sich betroffene Organisationen verstärkt und vor allem rechtzeitig mit dem Aufbau von Informationssicherheits-Management-Systemen (ISMS) befassen sollten. Hier ist übrigens damit zu rechnen, dass aufgrund der breiteren Betroffenheit der Unternehmen IT-und Informationssicherheit in Zukunft auch in der sonstigen Lieferkette relevant werden. Daher ist zu empfehlen, dass auch Unternehmen, die nicht direkt unter die neue Cyberregulierung fallen, ihre IT-Sicherheitskonzepte und Management-Systeme professionalisieren.
Du hast noch nicht genug von Trends und Prognosen, dann empfehlen wir dir unseren Beitrag Prognosen und Trends 2024: IT-Recht | Teil I.
Oder schau doch mal bei unserem Partner MORGESNTERN consecom GmbH vorbei, dort empfehlen wir diese Beiträge:
- Herausforderungen und Chancen 2024: Cybersecurity im KI-Zeitalter
- Prognosen und Trends 2024: Datenschutz