Suchformular öffnen Menü öffnen
Expertensuche
Suche

Cyber Security

Neue Vorschriften zur IT-Sicherheit für digitale Produkte und IKT-Infrastrukturen

IT-Sicherheit als zentraler Aspekt der EU-Digitalgesetzgebung

Der rasante technologische Fortschritt und die ebenso gestiegene Bedrohungslage durch hybride Konflikte und kriminelle Akteure im Cyberraum hat die EU veranlasst, gesetzgeberische Maßnahmen zur Verbesserung der Cybersicherheit zu treffen. Cybersicherheit ist insofern primär im Sinne der Informationssicherheit (Security) zu verstehen in Abgrenzung zur physischen Unversehrtheit (Safety). Kernpunkte in dem jüngsten Bündel gesetzgeberischer Maßnahmen sind die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2), die flankiert wird durch die Vorgaben der Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie). Im Bereich digitaler Produkte und Services adressiert der Cyber Resilience Act (CRA) die Cybersicherheit in enger Verzahnung mit der KI-Verordnung und der Maschinenverordnung.

Cyber Security im Bereich kritischer Infrastrukturen

NIS 2 soll den Schutz kritischer IKT-Infrastrukturen (KRITIS-Betreiber) in der EU verbessern. Gegenüber der Vorgängerrichtlinie aus dem Jahr 2016 hat NIS 2 den Anwendungsbereich der betroffenen Sektoren, die Anzahl der betroffenen Unternehmen durch gesenkte Schwellwerte sowie das Pflichtenprogramm für die IT-Sicherheitsregulierung erheblich erweitert. NIS 2 sieht nunmehr auch vor, dass Leitungsorgane (Vorstand, Geschäftsführung etc.) für die Überwachung der Umsetzung der Risikomanagementmaßnahmen Sorge tragen müssen und bei Verstoß gegen diese Pflicht persönlich haften. Diese Vorgaben scheint der deutsche Gesetzgeber besonders streng umsetzen zu wollen.

Key Facts
  • Erweiterung des Adressatenkreises durch eine Ausweitung der betroffenen Sektoren und die Herabsetzung der Schwellwerte, ab wann ein Unternehmen von NIS-2 betroffen ist. Signifikante Ausweitung des Anwendungsbereichs auf ca. 40.000 Unternehmen in Deutschland.
  • Erweiterung und Spezifizierung des Katalogs von technischen und organisatorischen Maßnahmen als Mindestsicherheitsanforderungen an Cybersicherheit zur Etablierung eines robusten Risikomanagements. Verschärfte Maßnahmen u.a. im Bereich Backup, Kryptografie, Lieferketten, Multi-Faktor-Authentifizierung oder Notfallkommunikation.
  • Einführung eines neuen dreistufigen Melderegimes bei Sicherheitsvorfällen und Verpflichtung zur Dokumentation der Maßnahmen zur Cybersicherheit. Schnelles Reaktionsvermögen und eingespielte Kommunikationswege erforderlich für Meldung schwerwiegender Sicherheitsvorfälle innerhalb kurzer Fristen.
  • Einführung eines Bußgeldrahmens von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Vorstand und Geschäftsführung können bei Untätigkeit nun weitergehend verantwortlich gemacht werden.
  • Implementierung in nationales Recht erforderlich.

Die CER-Richtlinie reguliert ergänzend die Widerstandsfähigkeit (Resilienz) bei Kritischen Infrastrukturen. Ihr persönlicher Anwendungsbereich ist etwas enger als der von NIS 2. Sie verpflichtet sogenannte kritische Unternehmen (Critical Entities) zu Maßnahmen für eine Ausfallsicherheit außerhalb des Cyberraums. Letzteres enthält Vorgaben zur Stärkung der „physischen“ Sicherheit (Zugangs- und Zutrittskontrollen) oder zur Implementierung von Krisen- und Risikomanagement und Business Continuity Management Maßnahmen.

Neue Anforderungen an Produkte mit digitalen Elementen: Cyber Resilience Act & Co

Der im Gesetzgebungsverfahren befindliche CRA hingegen soll sektorenübergreifend verlässliche Cybersicherheit von Produkten mit digitalen Elementen gewährleisten, die in der EU angeboten und in diese eingeführt werden. Der CRA berücksichtigt dabei die verschiedenen Stufen der Wertschöpfungskette: Cyber-Schwachstellen eines vielfach als Komponente verwendeten Produkts können enorme Auswirkungen auf alle Endprodukte, in denen diese Komponente verbaut wird, und – je nach Anwendungsfall – auch auf Systeme und Infrastrukturen haben. Deshalb gilt: Je höher der Schaden, der durch die Ausnutzung der Schwachstelle eines Produkts entstünde, desto höher sind gemäß CRA die Anforderungen daran, die Einhaltung der Sicherheitsanforderungen nachzuweisen. Hierzu sollen gemeinsame Standards, Leitlinien und bewährte Verfahren festgelegt werden.

Key Facts
  • Anwendungsbereich betrifft Hersteller, Importeure und Händler von Produkten mit digitalen Elementen
  • Cybersecurity by design and by default Prinzipien
  • Abgestufte Regulierung nach Gefährdungsgrad der Produkte, ca. 10 % der Produkte sollen als wichtige oder kritische Produkte besonders streng reguliert werden
  • Konformitätsbewertung Voraussetzung für CE-Kennzeichnung
  • Cybersicherheit während des gesamten Produktlebenszyklus
  • Verpflichtende Risiko-Assessments
  • Technische Implementierungspflichten
  • Reporting sicherheitsrelevanter Vorfälle innerhalb von 24 Stunden
  • Bußgelder bei Verstoß: Bis zu 15 Millionen Euro oder 2,5 Prozent des globalen Jahresumsatzes
  • Kostenfreie Sicherheitsupdates über grundsätzlich fünf Jahre oder eine gewisse Support-Dauer
  • Umsetzung bis 2026/2027 

Bei der Umsetzung der Anforderungen des CRA ist die enge Verzahnung mit der KI-Verordnung und der Maschinenverordnung zu berücksichtigen. So müssen die Compliance-Prozesse bei Produkten, die der Maschinenverordnung unterfallen mit dem Schutzziel der physischen Unversehrtheit (Safety), bei digitalen Elementen um die daneben geltenden Anforderungen des CRA ergänzt werden. Wechselwirkungen bestehen auch zwischen CRA und KI-Vorordnung: Soweit die Security-Anforderungen nach dem CRA umgesetzt sind, gelten beispielsweise auch die Sicherheitsanforderungen nach Art 15 KI-VO als erfüllt, wobei die besonderen KI-Risiken bei der Bewertung unter dem CRA zu berücksichtigen sind. Oder Konformitätsbewertungen, die nach der KI-Verordnung vorgenommen werden, werden auch unter dem CRA akzeptiert. Die Umsetzung der CRA Anforderungen steht wiederum im engen Zusammenhang mit der technischen Implementierung des Datenzugangs nach dem Data Act.

Unsere Services

Wir bieten Ihnen ein vollständiges und integriertes Beratungsangebot zur Cyber-Compliance und zur rechtlichen Beratung in damit verbundenen Fragen an:

Analyse

  • Wir führen für Sie Betroffenheitsanalysen vor. Ziel ist es, die Anwendbarkeit der Regulierung auf Ihre Unternehmen und Produkte zu ermitteln.
  • Basierend auf der Betroffenheitsanalyse stellen wir die konkreten, auf ihr Unternehmen und Ihre Produkte anwendbaren regulatorischen Vorgaben in allen in Frage kommenden Jurisdiktionen zusammen.
  • Im Rahmen einer GAP-Analysis analysieren wir den konkreten Anpassungsbedarf in Ihrem Unternehmen.

Implementierung 

  • Wir beraten bei allen rechtlichen Fragen der Implementierung: Vom Produktdesign-Prozess über die Vertriebsanforderungen, den sicheren Einsatz der IT bis hin zur effizienten Integration des Cyber-Compliance-Managementsystems in andere Managementsysteme. Dies umfasst auch die Erstellung von Dokumentation und Policies.
  • Wir führen Schulungen, insbesondere die gesetzlich geforderten Schulungen des Führungspersonals der betroffenen Unternehmen nach NIS 2, durch.

Laufender Betrieb 

Wir beraten Sie im Umgang mit Ihren Dienstleistern und Zulieferern und im Product Lifecycle Management oder im Umgang mit Sicherheitsvorfällen.

Wir beraten Sie umfassend im laufenden IKT-Betrieb, einschließlich der Bewältigung aktueller Sicherheitsvorfälle mit unserem 24/7 Cyber Incident Response Service.

Ihre Ansprechpartner

Dr. Jan-Peter Ohrtmann

Partner Düsseldorf
IP/IT Commercial Datenschutz und Cybersecurity

Tel.  +49 211 981-2572

Mail  E-Mail

Profil anzeigen

Dr. Nicolas Sonder

Partner Stuttgart
Öffentliches Wirtschaftsrecht

Tel.  +49 151 52516789

Mail  E-Mail

Profil anzeigen

Matthias Bleidiesel

Partner Düsseldorf
IP/IT Commercial Datenschutz und Cybersecurity

Tel.  +49 211 981-1956

Mail  E-Mail

Profil anzeigen

Marc Oliver Brock

Senior Manager Düsseldorf
IP/IT Commercial Datenschutz und Cybersecurity

Tel.  +49 1511 5866177

Mail  E-Mail

Profil anzeigen