Update Datenschutz Nr. 189
Cyber Resilience Act verabschiedet und NIS2-Umsetzung in Deutschland auf der Zielgeraden
Der Cyber Resilience Act und die NIS2-Richtlinie sind zwei zentrale Gesetzgebungsvorhaben zur Stärkung der IT-Sicherheit in Deutschland bzw. der EU.
Zwar lässt die Umsetzung der NIS2-Richtlinie in Deutschland noch auf sich warten. Allerdings ist mit einer zeitnahen Verabschiedung durch den deutschen Gesetzgeber in den nächsten Monaten zu rechnen. Weiterhin wurde letzte Woche die NIS2-Durchführungsverordnung seitens der EU-Kommission verabschiedet. Ebenfalls verabschiedet wurde letzte Wochen der Cyber Resilience Act.
Ab wann die jeweiligen Rechtsakte gelten, wen sie betreffen und was sie regeln – darüber informieren wir im Rahmen dieses Updates.
Der europäische Rat verabschiedet den Cyber Resilience Act
Der Cyber Resilience Act („CRA“) ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind. Ziel ist es, die Cybersicherheit innerhalb der Europäischen Union zu erhöhen. Die neuen Vorschriften gelten in allen EU-Mitgliedstaaten und sind von den Adressaten schrittweise umzusetzen.
Welche Produkte fallen unter den CRA?
Alle Produkte, die in der EU verkauft werden und „digitale Elemente“ enthalten, müssen den Anforderungen des CRA entsprechen. Das umfasst neben preisgünstigen Verbraucherprodukten auch B2B-Software sowie komplexe High-End-Industriesysteme. „Produkte mit digitalen Elementen“ werden im CRA als Produkte definiert, die mit einem Gerät oder einem Netzwerk verbunden werden können, und umfassen sowohl Hardwareprodukte mit vernetzten Funktionen (z. B. Smartphones, Laptops, Smarthomeprodukte, Smartwatches, vernetztes Spielzeug, aber auch Mikroprozessoren, Firewalls und intelligente Zähler) als auch reine Softwareprodukte (z. B. Buchhaltungssoftware, Computerspiele, mobile Apps). Nicht-kommerzielle Open-Source-Softwareprodukte sind vom CRA ausgenommen und müssen daher die Anforderungen des CRA nicht erfüllen.
Was regelt der CRA?
Mit dem Inkrafttreten des CRA stehen Hersteller von Produkten mit digitalen Komponenten vor einer neuen Herausforderung: Jedes dieser Produkte muss nun bestimmte Mindestanforderungen an die Cybersicherheit erfüllen. Obwohl dies zunächst komplex erscheinen mag, können betroffene Unternehmen auf bereits Bekanntem aufbauen. Der CRA orientiert sich nämlich an den Prinzipien der weithin etablierten CE-Kennzeichnung. Dies bedeutet einen erheblichen Vorteil für jene Hersteller, die mit den entsprechenden Nachweisverfahren bereits vertraut sind und diese in ihrer täglichen Praxis anwenden. Sie können ihre Erfahrungen nutzen, um die neuen Anforderungen effizient in ihre bestehenden Prozesse zu integrieren und so die Umsetzung des CRA zu erleichtern.
Die wesentlichen Anforderungen des CRA gegenüber Herstellern umfassen:
- Cybersicherheit in der Produktentwicklung: Ein zentraler Aspekt des CRA ist die Integration von Cybersicherheit in den gesamten Produktentwicklungsprozess. Hersteller sind nun verpflichtet, eine umfassende Risikobewertung durchzuführen und potenzielle Cybersicherheitsrisiken aktiv anzugehen. Das Konzept "Secure by Design" rückt in den Vordergrund: Vernetzte Produkte müssen von Grund auf sicher konzipiert werden. Dies bedeutet beispielsweise, dass gespeicherte oder übertragene Daten verschlüsselt und die Angriffsflächen minimiert werden müssen. Ebenso wichtig ist der Ansatz "Secure by Default". Hierbei geht es darum, dass die Standardeinstellungen der Produkte bereits ein hohes Maß an Sicherheit gewährleisten. Schwache Standardpasswörter sind untersagt, und automatische Sicherheitsupdates sollten zur Grundausstattung gehören.
- SBOM: Ein neues, wichtiges Element ist die Erstellung einer Software Bill of Materials (SBOM). Diese detaillierte Auflistung aller verwendeten Softwarekomponenten ist zwar verpflichtend zu erstellen, muss aber nicht veröffentlicht werden.
- Konformitätsbewertung: Um die Einhaltung der CRA-Anforderungen nachzuweisen, ist eine Konformitätserklärung erforderlich. Das genaue Bewertungsverfahren hängt von der jeweiligen Produktkategorie ab, wobei für die meisten Produkte eine Selbstbewertung des Herstellers ausreicht. Es ist wichtig zu beachten, dass die meisten vom CRA betroffenen Produkte als Standardprodukte gelten. Nur besonders sensible Produkte wie Passwortmanager oder Firewalls werden als "wichtige" oder "kritische" Produkte eingestuft und unterliegen strengeren Anforderungen.
- Schwachstellenmanagement und Meldepflichten: Ein weiterer Kernpunkt des CRA ist das proaktive Schwachstellenmanagement. Hierfür wird eine zentrale Meldeplattform eingerichtet, über die Informationen zu aktiven Schwachstellen und schwerwiegenden Sicherheitsvorfällen ausgetauscht werden können. Dies soll eine schnelle und effiziente Reaktion auf potenzielle Bedrohungen ermöglichen.
- Produktbeobachtungspflicht: Die Verantwortung der Hersteller endet nicht mit dem Verkauf des Produkts. Während des gesamten Supportzeitraums, der in der Regel fünf Jahre beträgt, müssen Sicherheitsupdates bereitgestellt und das Schwachstellenmanagement betrieben werden.
- Unterstützungsmaßnahmen für KMU: Erfreulicherweise sieht der CRA spezielle Unterstützungsmaßnahmen für kleine und mittlere Unternehmen, Kleinstunternehmen und Start-ups vor. Diese umfassen Leitlinien zur Umsetzung, Helpdesks für Meldepflichten, vereinfachte technische Dokumentation und die Einrichtung von Regulatory Sandboxes zur Überprüfung von Produkten mit digitalen Elementen.
Zusätzlich fallen weitere Wirtschaftsakteure in den Adressatenkreis des CRA, u. a. Händler und Einführer. Gemäß der geltenden Regelungssystematik im Produkthaftungsrecht unterliegen diese inhaltlich allerdings abweichenden (geringeren) Pflichten, u. a. Nachprüfungspflichten.
Was sind die nächsten Schritte und ab wann gilt der CRA?
Nach der Verabschiedung des CRA folgt nun noch die formelle Ausfertigung sowie die Veröffentlichung im Amtsblatt der EU in den nächsten Wochen. 20 Tage nach der Veröffentlichung im Amtsblatt tritt der CRA dann offiziell in Kraft. Inhaltlich sieht der CRA eine schrittweise Geltung der einzelnen Anforderungen vor. Während der CRA vollständige Geltung nach 36 Monaten erlangt, d. h. voraussichtlich Ende 2027, sind einzelne Vorgaben bereits vorher anwendbar.
Insgesamt ist festzuhalten, dass der CRA zwar eine Vielzahl neuer Anforderungen an Unternehmen stellt, gleichzeitig aber auch die Chance bietet, das Vertrauen der Verbraucher in digitale Produkte zu stärken und die allgemeine Cybersicherheit zu verbessern. Mit der richtigen Vorbereitung und Umsetzung können Unternehmen diese Herausforderung meistern und gleichzeitig ihre Wettbewerbsfähigkeit in einer zunehmend digitalisierten Welt stärken.
Der aktuelle Stand zur Umsetzung der NIS2-Richtlinie
Obwohl die offizielle Frist zur Umsetzung der NIS2-Richtlinie bereits am 17. Oktober 2024 abgelaufen ist, hat es der deutsche Gesetzgeber bisher nicht geschafft, das entsprechende Umsetzungsgesetz, das sog. NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz („NIS2-Umsetzungsgesetz“) zu verabschieden. Nach mehreren Referenten- und Regierungsentwürfen steht dieses nunmehr aber auch kurz vor der Finalisierung und Verabschiedung.
Auf EU-Ebene wurde wiederum diese Woche offiziell die NIS2-Durchführungsverordnung verabschiedet. Diese konkretisiert die Vorgaben an das Risikomanagement sowie die Fälle, in denen ein erheblicher Sicherheitsvorfall vorliegt, für bestimmte Diensteanbieter (u. a. DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Managed Service Provider sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke).
Was regelt das NIS2-Umsetzungsgesetz?
Das NIS2-Umsetzungsgesetz überträgt die EU-weiten Vorgaben der NIS2-Richtlinie in deutsches Recht. Es zielt darauf ab, die IT-Sicherheit in Deutschland deutlich zu erhöhen, indem es:
- den Kreis der betroffenen Unternehmen und Organisationen festlegt, indem: Dabei wird: Nicht nur kritische Infrastrukturen, sondern auch viele weitere Unternehmen müssen künftig strengere Sicherheitsstandards erfüllen.
- hohe Anforderungen an die IT-Sicherheit stellt: Unternehmen müssen ihre IT-Systeme durch verschiedene technische und organisatorische Maßnahmen besser schützen und regelmäßig überprüfen.
- verschärfte Meldepflichtenetabliert: Erhebliche Sicherheitsvorfälle müssen schneller und detaillierter bei den zuständigen Behörden gemeldet werden. Daneben bestehen in bestimmten Fällen weitere Benachrichtigungs- und Informationspflichten.
- die Verantwortlichkeit der Geschäftsführung stärkt: Die Geschäftsführung trägt eine größere Verantwortung für die Umsetzung der neuen Vorschriften und muss sich regelmäßig im Bereich der IT-Sicherheit schulen lassen.
Kurz gesagt: Das NIS2-Umsetzungsgesetz macht die IT-Sicherheit für eine Vielzahl von Unternehmen und Organisationen zur Pflicht und sorgt dafür, dass Deutschland im internationalen Vergleich besser gegen Cyberangriffe gewappnet ist.
Welche Vorgaben enthält die NIS2-Durchführungsverordnung?
Wie bereits in unserem vorherigen Update dargestellt (siehe hier), enthält die NIS2-Durchführungsverordnung zum einen Spezifikationen, wann für die einzelnen Diensteanbieter ein erheblicher – und damit meldepflichtiger – Sicherheitsvorfall vorliegt, und zum anderen Konkretisierungen zu den umzusetzenden Risikomanagementmaßnahmen zur Sicherstellung der IT-Sicherheit.
Die dort geregelten Anforderungen können für betroffene Diensteanbieter mitunter einen hohen Aufwand bedeuten. So müssen diese unbedingt sicherstellen, dass die festgelegten Schwellen bei der Bewertung eines erheblichen Sicherheitsvorfalls eingehalten werden. Dies setzt voraus, dass die betroffenen Diensteanbieter ihre IT-Systeme und Service Level streng monitoren. Andernfalls droht eine Verletzung der Meldepflichten.
Auch die Einhaltung der vorgegebenen Risikomanagementmaßnahmen kann die betroffenen Diensteanbieter vor Herausforderungen stellen: Die NIS2-Durchführungsverordnung enthält einen umfassenden Katalog an technischen und organisatorischen Maßnahmen, der sich zwar an Maßnahmen gängiger internationaler Standards (z. B. der ISO 27001) orientiert, allerdings mitunter andere bzw. zusätzliche Vorgaben enthält. Dies gilt insbesondere im Bereich Krisenmanagement und Business Continuity).
Wo stehen wir aktuell und was ist zu tun?
Das NIS2-Umsetzungsgesetz wurde bereits in den Bundestag eingebracht. Auch die erste Lesung zum Gesetzentwurf hat zwischenzeitlich stattgefunden. Die Beratungen laufen auf Hochtouren. Weitere wichtige Meilensteine im Rahmen des Gesetzgebungsverfahrens sind mit der Anhörung des Innenausschusses für Anfang November und den weiteren Lesungen Anfang Dezember 2024 geplant. Nach jetzigem Stand soll das NIS2-Umsetzungsgesetz dann im März 2025 in Kraft treten.
Was bedeutet das für Ihr Unternehmen?
Für betroffene Unternehmen und Unternehmen bedeutet dies, dass diese sich jetzt intensiv mit den neuen Anforderungen des NIS2-Umsetzungsgesetzes auseinandersetzen und eine entsprechende Umsetzung einleiten sollten. Unternehmen und Organisationen, die zudem in den Adressatenkreis der NIS2-Durchführungsverordnung fallen, müssen zudem die dort geltenden speziellen Anforderungen einhalten.
Hierbei gilt es, zunächst zu klären, ob das jeweilige Unternehmen bzw. die eigene Organisation überhaupt unter das NIS2-Umsetzungsgesetz fällt. In einem zweiten Schritt ist zu ermitteln, welche Pflichten umzusetzen sind und welche Compliance-Lücken gegebenenfalls bestehen. Etwaige Compliance-Lücken sollten zeitnah angegangen und geschlossen werden. Bis zum voraussichtlichen Inkrafttreten des NIS2-Umsetzungsgesetzes im März 2025 müssen die entsprechenden Vorgaben umgesetzt sein.
Gerne unterstützen wir Sie hierbei!