Dis­clai­mer: Die Erklä­run­gen zu den Rechts­ak­ten sind ver­ein­facht und nicht voll­stän­dig. Sie erset­zen auch kei­ne Rechtsberatung.

Die EU erar­bei­tet und ver­öf­fent­licht immer wie­der eine Rei­he von neu­en Vor­ga­ben für die Mit­glieds­staa­ten. In unse­rem Arti­kel geht es nicht dar­um, ob es zu vie­le Vor­schrif­ten (Stich­wort: Over-regu­la­ti­on) gibt und ob die­se sinn­voll und ange­mes­sen sind, son­dern um zu ver­ste­hen, wel­che Rechts­akt-Typen es sei­tens der EU gibt und wie die typi­schen Fris­ten für deren Umset­zung sind.

Eine “Regu­la­ti­on” bzw. auf Deutsch „Ver­ord­nung“ ist ein ver­bind­li­cher Rechts­akt. Sie muss in ihrer Gesamt­heit unmit­tel­bar in der gesam­ten EU ange­wen­det wer­den, das heißt, sie muss nicht erst in natio­na­les Recht über­führt wer­den, um Gel­tung zu erlan­gen. Als bei­spiels­wei­se die GDPR die euro­päi­sche Daten­schutz-Grund­ver­ord­nung seit Mai 2018 unmit­tel­bar gilt, könn­ten Län­der nur dort wo die Ver­ord­nung Öff­nungs­klau­seln vor­ge­se­hen hat, Abwei­chen­des natio­nal regeln. Die Defi­ni­ti­on der per­so­nen­be­zo­ge­nen Daten und wel­che Rechts­grund­la­gen es für die Ver­ar­bei­tung gibt, wur­de EU-weit vereinheitlicht.

Eine “Direc­ti­ve” bzw. auf Deutsch „Richt­li­nie“ ist im Wesent­li­chen ein Rechts­akt, der ein Ziel vor­gibt, das die EU-Län­der errei­chen müs­sen. Es ist jedoch Sache der ein­zel­nen Mit­glieds­län­der, ihre eige­nen natio­na­len Geset­ze zu erlas­sen, um die­se Zie­le zu errei­chen. Ein Bei­spiel ist die EU-Richt­li­nie über Ein­weg­kunst­stof­fe, die die Aus­wir­kun­gen bestimm­ter Ein­weg­kunst­stof­fe auf die Umwelt ver­rin­gert, indem sie bei­spiels­wei­se die Ver­wen­dung von Ein­weg­kunst­stof­fen wie Tel­lern, Stroh­hal­men und Geträn­ke­be­chern redu­ziert oder sogar verbietet.

Bei­spie­le aus dem Bereich Informationssicherheit:

DSGVO (Daten­schutz-Grund­ver­ord­nung)

Die Daten­schutz-Grund­ver­ord­nung bzw. DSGVO ist am 27. April 2016 als VERORDNUNG (EU) 2016/679 um Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, zum frei­en Daten­ver­kehr (Daten­schutz-Grund­ver­ord­nung) ver­öf­fent­licht wor­den. Sie ist gemäß Arti­kel 99 seit Mai 2018 in Kraft. Wir wer­den auch wie­der öfter Blog­bei­trä­ge zu Daten­schutz-The­men pos­ten – blei­ben Sie dran!

DORA (Digi­tal Ope­ra­tio­nal Resi­li­ence Act)

Mit der VERORDNUNG (EU) 2022/2554 vom 14. Dezem­ber 2022 über die digi­ta­le ope­ra­tio­na­le Resi­li­enz im Finanz­sek­tor  (auf Eng­lisch Digi­tal Ope­ra­tio­nal Resi­li­ence Act — DORA) wur­den wesent­li­che Anfor­de­run­gen an den Finanz­sek­tor fest­ge­legt. DORA zielt dar­auf ab die digi­ta­le Wider­stands­fä­hig­keit des Finanz­sek­tors zu stär­ken und sicher­zu­stel­len, dass Finanz­in­sti­tu­te bes­ser auf Cyber­an­grif­fe und ande­re Risi­ken in der digi­ta­len Welt vor­be­rei­tet sind. Wesent­li­che Kern­ele­men­te von DORA sind das Manage­ment von IKT-Risi­ken, die Mel­dung von Cyber­vor­fäl­len, umfas­sen­de Resi­li­en­z­tests und das Sup­p­ly Chain Manage­ment. DORA gilt für eine brei­te Palet­te von Finanz­in­sti­tu­ten, dar­un­ter Ban­ken, Ver­si­che­run­gen, Invest­ment­ge­sell­schaf­ten, Zah­lungs­dienst­leis­ter und sogar IKT-Dienst­leis­ter, die dem Finanz­sek­tor Diens­te anbie­ten. DORA trat am 16. Janu­ar 2023 in Kraft und wird ab dem 17. Janu­ar 2025 voll­stän­dig anwendbar.

NIS2-Richt­li­nie

Die RICHTLINIE (EU) 2022/2555 vom 14. Dezem­ber 2022 über Maß­nah­men für ein hohes gemein­sa­mes Cyber­si­cher­heits­ni­veau in der Uni­on (NIS-2-Richt­li­nie) muss  hin­ge­gen von den Mit­glieds­staa­ten in natio­na­les Recht über­führt wer­den, wobei die EU den Mit­glied­staa­ten hier­für gewis­se Fris­ten setzt, im kon­kre­ten Fall haben die Mit­glieds­län­der bis 17. Okto­ber 2024 Zeit, die­ser Ver­pflich­tung nach­zu­kom­men. Zum Zeit­punkt der Erstel­lung des Arti­kels (Mit­te Okto­ber 2024) war noch nicht abseh­bar, wann in Öster­reich das Netz- und Infor­ma­ti­ons­sys­tem­si­cher­heits­ge­setz – NISG gilt und wie die exak­ten Umset­zungs­fris­ten für die betrof­fe­nen Unter­neh­men sind.

EU-Maschi­nen­ver­ord­nung

Bereits am 14. Juni 2023 hat die EU die Ver­ord­nung (EU) 2023/1230 die Maschi­nen­ver­ord­nung in Kraft gesetzt. Die Ver­ord­nung erfasst Maschi­nen sowie zuge­hö­ri­ge Pro­duk­te und erwei­tert die Sicher­heits­bau­tei­le um Soft­ware und schafft mehr Klar­heit, wann eine wesent­li­che Ände­rung an bestehen­den Maschi­nen und Anla­gen vor­liegt, die eine neue CE-Kon­for­mi­täts­be­wer­tung erfor­dert. Auch wird der wach­sen­den Bedeu­tung von Digi­ta­li­sie­rung und Indus­tri­al Secu­ri­ty Rech­nung getra­gen. Die EU-Maschi­nen­ver­ord­nung ist ab dem 20. Janu­ar 2027 voll­stän­dig anwendbar.

Data Act (auf Deutsch “Daten­ver­ord­nung”)

Mit wenig media­lem Inter­es­se ist der Data Act die VERORDNUNG (EU) 2023/2854 vom 13. Dezem­ber 2023 über har­mo­ni­sier­te Vor­schrif­ten für einen fai­ren Daten­zu­gang und eine fai­re Daten­nut­zung (Daten­ver­ord­nung, oder auf Eng­lisch Data Act) ver­öf­fent­licht wor­den. Mit die­ser Ver­ord­nung sol­len Regeln geschaf­fen wer­den, die den Aus­tausch und die gemein­sa­me Nut­zung von (auch) nicht per­so­nen­be­zo­ge­nen Daten fest­le­gen. Soweit per­so­nen­be­zo­ge­ne Daten betrof­fen sind, erfolgt ein Quer­ver­weis auf die DSGVO. Der Data Act soll das Recht auf Daten­über­trag­bar­keit stär­ken und das Kopie­ren oder Über­tra­gen von Daten aus ver­schie­de­nen Diens­ten erleich­tern. Die Ver­ord­nung tritt gemäß Arti­kel 50 mit 12. Sep­tem­ber 2025 in Kraft. Inter­es­sant ist, dass der Data Act ab dem 12. Sep­tem­ber 2027 auch für Ver­trä­ge gilt die vor dem Inkraft­tre­ten geschlos­sen wur­den. Sie greift somit in bestehen­de Geschäfts­ver­trä­ge ein.

AI Act (auf Deutsch “Ver­ord­nung über künst­li­che Intelligenz”)

Mit der VERORDNUNG (EU) 2024/1689 vom 13. Juni 2024 zur Fest­le­gung har­mo­ni­sier­ter Vor­schrif­ten für künst­li­che Intel­li­genz (Ver­ord­nung über künst­li­che Intel­li­genz, oder auf eng­lisch Arti­fi­ci­al Intel­li­gence Act, AI Act) gibt es har­mo­ni­sier­te Vor­schrif­ten für das Inver­kehr­brin­gen, die Inbe­trieb­nah­me und die Ver­wen­dung von KI-Sys­te­men in der Uni­on. Spe­zi­ell auch wur­den im Arti­kel 5 ver­bo­te­ne Prak­ti­ken im KI Bereich defi­niert. Die Ver­ord­nung gilt gemäß Arti­kel 113 ab dem 2. August 2026 mit Aus­nah­me gewis­ser Kapi­tel wie die ver­bo­te­nen Prak­ti­ken im KI Bereich, die bereits ab 2. Febru­ar 2025 gelten.

Cyber Resi­li­ence Act (CRA)

Der Cyber Resi­li­ence Act (CRA) bzw. auf Deutsch die Cyber­re­si­li­enz-Ver­ord­nung wird ver­öf­fent­licht als REGULATION also als Ver­or­dung. Die Fris­ten sind noch nicht exakt defi­niert, aber das Inkraft­tre­ten der Regu­la­ti­on (Eng­lisch) bzw. Ver­ord­nung (Deutsch) wird für Ende 2024 erwar­tet und die­se Ver­ord­nung muss ohne natio­na­le Gesetz­ge­bung von den Unter­neh­men nach Ablauf von 36 Mona­ten also vor­aus­sicht­lich Ende 2027 ein­ge­hal­ten wer­den, da sonst kei­ne gül­ti­ge CE-Kenn­zeich­nung neu in Ver­kehr gebrach­te Soft­ware- und Hard­ware­pro­duk­te besteht. Der letz­te Ent­wurf vom 25. Sep­tem­ber 2024 kann unter dem fol­gen­den Link ange­ru­fen wer­den: Cyber Resi­li­ence Act exter­ner Link

Nach aktu­el­lem Ent­wurf sind die Fris­ten des CRA sport­lich (Refe­renz sie­he Erwä­gungs­grund 126 des aktu­el­len Entwurfes):

Den Wirt­schafts­ak­teu­ren soll­te aus­rei­chend Zeit für die Anpas­sung an die in die­ser Ver­ord­nung fest­ge­leg­ten Anfor­de­run­gen ein­ge­räumt wer­den. Die­se Ver­ord­nung soll­te ab dem … [36 Mona­te nach dem Datum des Inkraft­tre­tens die­ser Ver­ord­nung] gel­ten, mit Aus­nah­me der Mel­de­pflich­ten für aktiv aus­ge­nutz­te Schwach­stel­len und schwer­wie­gen­de Sicher­heits­vor­fäl­le mit Aus­wir­kun­gen auf die Sicher­heit von Pro­duk­ten mit digi­ta­len Ele­men­ten, die ab dem [21 Mona­te nach dem Datum des Inkraft­tre­tens die­ser Ver­ord­nung] gel­ten soll­ten, sowie der Bestim­mun­gen über die Noti­fi­zie­rung von Kon­for­mi­täts­be­wer­tungs­stel­len, die ab dem [18 Mona­te nach dem Datum des Inkraft­tre­tens die­ser Ver­ord­nung] gel­ten sollten.

Basie­rend auf der Annah­men eines Inkraft­tre­tens der Ver­ord­nung im Novem­ber 2024, gel­ten für Unter­neh­men die Pro­duk­te mit digi­ta­len Ele­men­ten in Ver­kehr brin­gen, fol­gen­de Fristen:

  • Unter­neh­men müs­sen bei bei aktiv aus­ge­nutz­ten Schwach­stel­len und schwer­wie­gen­den Sicher­heits­vor­fäl­len mit Aus­wir­kun­gen auf die Sicher­heit von Pro­duk­ten mit digi­ta­len Ele­men­ten die­se ab (vor­aus­sicht­lich) August 2026 ver­pflich­tend melden.
  • Die Vor­ga­ben des CRA sind bis (vor­aus­sicht­lich) Novem­ber 2027 ein­zu­hal­ten, sonst hat das Pro­dukt kei­ne CE-Kenn­zeich­nung und darf nicht mehr in der EU in Ver­kehr gebracht werden.

Hier noch die kürz­li­che Pres­se­mel­dung zum CRA, über­setzt aus dem Englischen:

Coun­cil of the EU | Pres­se­mel­dung | 10. Okto­ber 2024

Cyber Resi­li­ance Act: Der Euro­päi­scher Rat nimmt neu­es Gesetz über Sicher­heits­an­for­de­run­gen für digi­ta­le Pro­duk­te an

Der Euro­päi­sche Rat hat heu­te ein neu­es Gesetz über Cyber­si­cher­heits­an­for­de­run­gen für Pro­duk­te mit digi­ta­len Ele­men­ten ange­nom­men, um sicher­zu­stel­len, dass Pro­duk­te wie ver­netz­te Heim­ka­me­ras, Kühl­schrän­ke, Fern­seh­ge­rä­te und Spiel­zeug sicher sind, bevor sie in Ver­kehr gebracht wer­den (Gesetz über die Wider­stands­fä­hig­keit gegen­über Com­pu­tern). Die neue Ver­ord­nung zielt dar­auf ab, Lücken zu schlie­ßen, Zusam­men­hän­ge zu klä­ren und den bestehen­den Rechts­rah­men für Cyber­si­cher­heit kohä­ren­ter zu gestal­ten, um zu gewähr­leis­ten, dass Pro­duk­te mit digi­ta­len Kom­po­nen­ten, z. B. Pro­duk­te für das Inter­net der Din­ge (IoT), in der gesam­ten Lie­fer­ket­te und wäh­rend ihres gesam­ten Lebens­zy­klus sicher gemacht werden.

Schlüs­sel­ele­men­te der neu­en Verordnung

Mit dem neu­en Gesetz wer­den EU-wei­te Cyber­si­cher­heits­an­for­de­run­gen für den Ent­wurf, die Ent­wick­lung, die Pro­duk­ti­on und die Bereit­stel­lung auf dem Markt von Hard­ware- und Soft­ware­pro­duk­ten ein­ge­führt, um sich über­schnei­den­de Anfor­de­run­gen zu ver­mei­den, die sich aus ver­schie­de­nen Rechts­vor­schrif­ten der EU-Mit­glied­staa­ten erge­ben. So wer­den bei­spiels­wei­se Soft­ware- und Hard­ware­pro­duk­te mit der CE-Kenn­zeich­nung ver­se­hen, um anzu­zei­gen, dass sie die Anfor­de­run­gen der Ver­ord­nung erfül­len. Die Buch­sta­ben „CE“ erschei­nen auf vie­len Pro­duk­ten, die auf dem erwei­ter­ten Bin­nen­markt im Euro­päi­schen Wirt­schafts­raum (EWR) gehan­delt wer­den. Sie zei­gen an, dass die im EWR ver­kauf­ten Pro­duk­te hohen Sicherheits‑, Gesund­heits- und Umwelt­schutz­an­for­de­run­gen genügen.

Die Ver­ord­nung gilt für alle Pro­duk­te, die ent­we­der direkt oder indi­rekt mit einem ande­ren Gerät oder mit einem Netz ver­bun­den sind. Es gibt eini­ge Aus­nah­men für Pro­duk­te, für die die Cyber­si­cher­heits­an­for­de­run­gen bereits in den bestehen­den EU-Vor­schrif­ten fest­ge­legt sind, z. B. medi­zi­ni­sche Gerä­te, Luft­fahrt­pro­duk­te und Autos.

Schließ­lich wird das neue Gesetz es den Ver­brau­chern ermög­li­chen, bei der Aus­wahl und Nut­zung von Pro­duk­ten, die digi­ta­le Ele­men­te ent­hal­ten, die Cyber­si­cher­heit zu berück­sich­ti­gen, so dass es für sie ein­fa­cher wird, Hard­ware- und Soft­ware­pro­duk­te mit den ent­spre­chen­den Cyber­si­cher­heits­merk­ma­len zu erkennen.

Die nächs­ten Schritte

Nach der heu­ti­gen Ver­ab­schie­dung wird der Rechts­akt von den Prä­si­den­ten des Rates und des Euro­päi­schen Par­la­ments unter­zeich­net und in den kom­men­den Wochen im Amts­blatt der EU ver­öf­fent­licht. Die neue Ver­ord­nung wird zwan­zig Tage nach die­ser Ver­öf­fent­li­chung in Kraft tre­ten und 36 Mona­te nach ihrem Inkraft­tre­ten gel­ten, wobei eini­ge Bestim­mun­gen bereits zu einem frü­he­ren Zeit­punkt Anwen­dung fin­den werden.