Disclaimer: Die Erklärungen zu den Rechtsakten sind vereinfacht und nicht vollständig. Sie ersetzen auch keine Rechtsberatung.
Die EU erarbeitet und veröffentlicht immer wieder eine Reihe von neuen Vorgaben für die Mitgliedsstaaten. In unserem Artikel geht es nicht darum, ob es zu viele Vorschriften (Stichwort: Over-regulation) gibt und ob diese sinnvoll und angemessen sind, sondern um zu verstehen, welche Rechtsakt-Typen es seitens der EU gibt und wie die typischen Fristen für deren Umsetzung sind.
Eine “Regulation” bzw. auf Deutsch „Verordnung“ ist ein verbindlicher Rechtsakt. Sie muss in ihrer Gesamtheit unmittelbar in der gesamten EU angewendet werden, das heißt, sie muss nicht erst in nationales Recht überführt werden, um Geltung zu erlangen. Als beispielsweise die GDPR die europäische Datenschutz-Grundverordnung seit Mai 2018 unmittelbar gilt, könnten Länder nur dort wo die Verordnung Öffnungsklauseln vorgesehen hat, Abweichendes national regeln. Die Definition der personenbezogenen Daten und welche Rechtsgrundlagen es für die Verarbeitung gibt, wurde EU-weit vereinheitlicht.
Eine “Directive” bzw. auf Deutsch „Richtlinie“ ist im Wesentlichen ein Rechtsakt, der ein Ziel vorgibt, das die EU-Länder erreichen müssen. Es ist jedoch Sache der einzelnen Mitgliedsländer, ihre eigenen nationalen Gesetze zu erlassen, um diese Ziele zu erreichen. Ein Beispiel ist die EU-Richtlinie über Einwegkunststoffe, die die Auswirkungen bestimmter Einwegkunststoffe auf die Umwelt verringert, indem sie beispielsweise die Verwendung von Einwegkunststoffen wie Tellern, Strohhalmen und Getränkebechern reduziert oder sogar verbietet.
Beispiele aus dem Bereich Informationssicherheit:
DSGVO (Datenschutz-Grundverordnung)
Die Datenschutz-Grundverordnung bzw. DSGVO ist am 27. April 2016 als VERORDNUNG (EU) 2016/679 um Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr (Datenschutz-Grundverordnung) veröffentlicht worden. Sie ist gemäß Artikel 99 seit Mai 2018 in Kraft. Wir werden auch wieder öfter Blogbeiträge zu Datenschutz-Themen posten – bleiben Sie dran!
DORA (Digital Operational Resilience Act)
Mit der VERORDNUNG (EU) 2022/2554 vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor (auf Englisch Digital Operational Resilience Act — DORA) wurden wesentliche Anforderungen an den Finanzsektor festgelegt. DORA zielt darauf ab die digitale Widerstandsfähigkeit des Finanzsektors zu stärken und sicherzustellen, dass Finanzinstitute besser auf Cyberangriffe und andere Risiken in der digitalen Welt vorbereitet sind. Wesentliche Kernelemente von DORA sind das Management von IKT-Risiken, die Meldung von Cybervorfällen, umfassende Resilienztests und das Supply Chain Management. DORA gilt für eine breite Palette von Finanzinstituten, darunter Banken, Versicherungen, Investmentgesellschaften, Zahlungsdienstleister und sogar IKT-Dienstleister, die dem Finanzsektor Dienste anbieten. DORA trat am 16. Januar 2023 in Kraft und wird ab dem 17. Januar 2025 vollständig anwendbar.
NIS2-Richtlinie
Die RICHTLINIE (EU) 2022/2555 vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) muss hingegen von den Mitgliedsstaaten in nationales Recht überführt werden, wobei die EU den Mitgliedstaaten hierfür gewisse Fristen setzt, im konkreten Fall haben die Mitgliedsländer bis 17. Oktober 2024 Zeit, dieser Verpflichtung nachzukommen. Zum Zeitpunkt der Erstellung des Artikels (Mitte Oktober 2024) war noch nicht absehbar, wann in Österreich das Netz- und Informationssystemsicherheitsgesetz – NISG gilt und wie die exakten Umsetzungsfristen für die betroffenen Unternehmen sind.
EU-Maschinenverordnung
Bereits am 14. Juni 2023 hat die EU die Verordnung (EU) 2023/1230 die Maschinenverordnung in Kraft gesetzt. Die Verordnung erfasst Maschinen sowie zugehörige Produkte und erweitert die Sicherheitsbauteile um Software und schafft mehr Klarheit, wann eine wesentliche Änderung an bestehenden Maschinen und Anlagen vorliegt, die eine neue CE-Konformitätsbewertung erfordert. Auch wird der wachsenden Bedeutung von Digitalisierung und Industrial Security Rechnung getragen. Die EU-Maschinenverordnung ist ab dem 20. Januar 2027 vollständig anwendbar.
Data Act (auf Deutsch “Datenverordnung”)
Mit wenig medialem Interesse ist der Data Act die VERORDNUNG (EU) 2023/2854 vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datenverordnung, oder auf Englisch Data Act) veröffentlicht worden. Mit dieser Verordnung sollen Regeln geschaffen werden, die den Austausch und die gemeinsame Nutzung von (auch) nicht personenbezogenen Daten festlegen. Soweit personenbezogene Daten betroffen sind, erfolgt ein Querverweis auf die DSGVO. Der Data Act soll das Recht auf Datenübertragbarkeit stärken und das Kopieren oder Übertragen von Daten aus verschiedenen Diensten erleichtern. Die Verordnung tritt gemäß Artikel 50 mit 12. September 2025 in Kraft. Interessant ist, dass der Data Act ab dem 12. September 2027 auch für Verträge gilt die vor dem Inkrafttreten geschlossen wurden. Sie greift somit in bestehende Geschäftsverträge ein.
AI Act (auf Deutsch “Verordnung über künstliche Intelligenz”)
Mit der VERORDNUNG (EU) 2024/1689 vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Verordnung über künstliche Intelligenz, oder auf englisch Artificial Intelligence Act, AI Act) gibt es harmonisierte Vorschriften für das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen in der Union. Speziell auch wurden im Artikel 5 verbotene Praktiken im KI Bereich definiert. Die Verordnung gilt gemäß Artikel 113 ab dem 2. August 2026 mit Ausnahme gewisser Kapitel wie die verbotenen Praktiken im KI Bereich, die bereits ab 2. Februar 2025 gelten.
Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA) bzw. auf Deutsch die Cyberresilienz-Verordnung wird veröffentlicht als REGULATION also als Verordung. Die Fristen sind noch nicht exakt definiert, aber das Inkrafttreten der Regulation (Englisch) bzw. Verordnung (Deutsch) wird für Ende 2024 erwartet und diese Verordnung muss ohne nationale Gesetzgebung von den Unternehmen nach Ablauf von 36 Monaten also voraussichtlich Ende 2027 eingehalten werden, da sonst keine gültige CE-Kennzeichnung neu in Verkehr gebrachte Software- und Hardwareprodukte besteht. Der letzte Entwurf vom 25. September 2024 kann unter dem folgenden Link angerufen werden: Cyber Resilience Act externer Link
Nach aktuellem Entwurf sind die Fristen des CRA sportlich (Referenz siehe Erwägungsgrund 126 des aktuellen Entwurfes):
Den Wirtschaftsakteuren sollte ausreichend Zeit für die Anpassung an die in dieser Verordnung festgelegten Anforderungen eingeräumt werden. Diese Verordnung sollte ab dem … [36 Monate nach dem Datum des Inkrafttretens dieser Verordnung] gelten, mit Ausnahme der Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle mit Auswirkungen auf die Sicherheit von Produkten mit digitalen Elementen, die ab dem [21 Monate nach dem Datum des Inkrafttretens dieser Verordnung] gelten sollten, sowie der Bestimmungen über die Notifizierung von Konformitätsbewertungsstellen, die ab dem [18 Monate nach dem Datum des Inkrafttretens dieser Verordnung] gelten sollten.
Basierend auf der Annahmen eines Inkrafttretens der Verordnung im November 2024, gelten für Unternehmen die Produkte mit digitalen Elementen in Verkehr bringen, folgende Fristen:
- Unternehmen müssen bei bei aktiv ausgenutzten Schwachstellen und schwerwiegenden Sicherheitsvorfällen mit Auswirkungen auf die Sicherheit von Produkten mit digitalen Elementen diese ab (voraussichtlich) August 2026 verpflichtend melden.
- Die Vorgaben des CRA sind bis (voraussichtlich) November 2027 einzuhalten, sonst hat das Produkt keine CE-Kennzeichnung und darf nicht mehr in der EU in Verkehr gebracht werden.
Hier noch die kürzliche Pressemeldung zum CRA, übersetzt aus dem Englischen:
Council of the EU | Pressemeldung | 10. Oktober 2024
Cyber Resiliance Act: Der Europäischer Rat nimmt neues Gesetz über Sicherheitsanforderungen für digitale Produkte an
Der Europäische Rat hat heute ein neues Gesetz über Cybersicherheitsanforderungen für Produkte mit digitalen Elementen angenommen, um sicherzustellen, dass Produkte wie vernetzte Heimkameras, Kühlschränke, Fernsehgeräte und Spielzeug sicher sind, bevor sie in Verkehr gebracht werden (Gesetz über die Widerstandsfähigkeit gegenüber Computern). Die neue Verordnung zielt darauf ab, Lücken zu schließen, Zusammenhänge zu klären und den bestehenden Rechtsrahmen für Cybersicherheit kohärenter zu gestalten, um zu gewährleisten, dass Produkte mit digitalen Komponenten, z. B. Produkte für das Internet der Dinge (IoT), in der gesamten Lieferkette und während ihres gesamten Lebenszyklus sicher gemacht werden.
Schlüsselelemente der neuen Verordnung
Mit dem neuen Gesetz werden EU-weite Cybersicherheitsanforderungen für den Entwurf, die Entwicklung, die Produktion und die Bereitstellung auf dem Markt von Hardware- und Softwareprodukten eingeführt, um sich überschneidende Anforderungen zu vermeiden, die sich aus verschiedenen Rechtsvorschriften der EU-Mitgliedstaaten ergeben. So werden beispielsweise Software- und Hardwareprodukte mit der CE-Kennzeichnung versehen, um anzuzeigen, dass sie die Anforderungen der Verordnung erfüllen. Die Buchstaben „CE“ erscheinen auf vielen Produkten, die auf dem erweiterten Binnenmarkt im Europäischen Wirtschaftsraum (EWR) gehandelt werden. Sie zeigen an, dass die im EWR verkauften Produkte hohen Sicherheits‑, Gesundheits- und Umweltschutzanforderungen genügen.
Die Verordnung gilt für alle Produkte, die entweder direkt oder indirekt mit einem anderen Gerät oder mit einem Netz verbunden sind. Es gibt einige Ausnahmen für Produkte, für die die Cybersicherheitsanforderungen bereits in den bestehenden EU-Vorschriften festgelegt sind, z. B. medizinische Geräte, Luftfahrtprodukte und Autos.
Schließlich wird das neue Gesetz es den Verbrauchern ermöglichen, bei der Auswahl und Nutzung von Produkten, die digitale Elemente enthalten, die Cybersicherheit zu berücksichtigen, so dass es für sie einfacher wird, Hardware- und Softwareprodukte mit den entsprechenden Cybersicherheitsmerkmalen zu erkennen.
Die nächsten Schritte
Nach der heutigen Verabschiedung wird der Rechtsakt von den Präsidenten des Rates und des Europäischen Parlaments unterzeichnet und in den kommenden Wochen im Amtsblatt der EU veröffentlicht. Die neue Verordnung wird zwanzig Tage nach dieser Veröffentlichung in Kraft treten und 36 Monate nach ihrem Inkrafttreten gelten, wobei einige Bestimmungen bereits zu einem früheren Zeitpunkt Anwendung finden werden.
