Blog / IT-Sicherheit / Die Zukunft der IT-Sicherheit: Was Sie über die wichtigsten EU-Acts wissen müssen

Die Zukunft der IT-Sicherheit: Was Sie über die wichtigsten EU-Acts wissen müssen

  • Lisa Fröhlich
  • Mai 8, 2024

Inhalt

Die Zukunft der IT-Sicherheit: Was Sie über die wichtigsten EU-Acts wissen müssen

Im Jahr 2021 präsentierte die Europäische Kommission ihre Digitalstrategie. Das Programm für die digitale Dekade 2030 hat dabei konkrete Ziele zur Förderung des digitalen Wandels in Europa gesetzt. Es umfasst die Stärkung digitaler Kompetenzen, den Ausbau digitaler Infrastrukturen, die Förderung von Innovationen in Unternehmen und die Digitalisierung öffentlicher Dienste. Die folgenden vier Ziele stehen bis 2030 dabei im Vordergrund: 

  1. Digitalkompetenz: 20 Millionen Fachkräfte in der Informations- und Kommunikationstechnologie (im Geschlechtergleichgewicht) sollen ausgebildet werden. Zusätzlich sollen mindestens 80 % der gesamten Bevölkerung digitale Grundkenntnisse erwerben. 
  2. Sichere und nachhaltige digitale Infrastrukturen: Allen Haushalten soll Zugang zu Gigabit-Internetverbindungen und allen besiedelten Gebieten Zugang zu 5G-Netzen ermöglicht werden. Zudem soll der europäische Anteil am Halbleitermarkt verdoppelt und 10.000 hochsichere und klimaneutrale Rechenzentren errichtet werden. 
  3. Digitalisierung von Unternehmen: 75% der Unternehmen in Europa sollen mit digitalen Technologien wie Cloud-Computing, Big Data und künstlicher Intelligenz ausgestattet werden. Besonderes Augenmerk liegt auf der Förderung von Innovation und Investitionen, um die Anzahl der Startups mit einer Milliardenbewertung zu verdoppeln. Mehr als 90 % der KMU erreichen ein Basisniveau an digitaler Intensität.  
  4. Digitalisierung öffentlicher Dienste: Flächendeckender Online-Zugang zu wesentlichen öffentlichen Diensten (100 %), einschließlich des Zugangs zu elektronischen Patientenakten. Darüber hinaus soll eine Mehrheit der Bürger eine digitale Identität nutzen können. 


https://ec.europa.eu/newsroom/repository/document/2022-4/DG_Connect_Bubbles_NEW2_Pyramid_isdHMwbjXGHTRyqe93KV1bpxwA_82713.png  

Welche Normen und Gesetze sind Teil der EU-Digitalstrategie?

Um diese Ziele erreichen, sind im Rahmen der europäischen Digitalstrategie entsprechende Normen und Gesetze notwendig. Zu dem komplexen Regelwerk gehören auch die folgenden sechs Gesetze, die jedoch noch nicht alle in Kraft getreten bzw. in der Umsetzungsphase sind:

Welche Gesetze sind bereits in Kraft getreten und was kennzeichnet sie?

Der Digital Markets Act (DMA) ist Teil der EU- Bemühungen den digitalen Markt offener zu gestalten und die Marktmacht großer Plattformen einzudämmen. Der Digital Markets Act beinhaltet Regelungen zur Förderung von Wettbewerb, Datenschutz und Interoperabilität, um den digitalen Binnenmarkt zu stärken und faire Zugangs- und Wettbewerbsbedingungen für Unternehmen zu schaffen. Mit dem Gesetz soll die Situation der gewerblichen Nutzer gegenüber den großen Plattformen, den sogenannten „Gatekeepern“, verbessert werden.  

Er zielt vor allem darauf ab, die Gatekeeper streng zu regulieren und ihnen neue Verpflichtungen aufzuerlegen. Ein Gatekeeper wird anhand bestimmter Kriterien definiert, die im DMA festgelegt sind: 

  1. Ein Jahresumsatz von mindestens 6,5 Milliarden Euro über drei aufeinanderfolgende Geschäftsjahre oder ein Marktwert von mindestens 65 Milliarden Euro. 
  2. Aktivität in mindestens drei EU-Mitgliedstaaten. 
  3. Eine Nutzerbasis von mindestens 45 Millionen aktiven Endnutzern in der EU und mindestens 10.000 gewerblichen Nutzern. 
  4. Diese Nutzerzahlen müssen in den letzten drei Geschäftsjahren erreicht worden sein. 

Aktuell sind sechs große Konzerne solche Gatekeeper: Alphabet (Muttergesellschaft von Google), Amazon, Apple, ByteDance (das Unternehmen hinter TikTok), Meta (ehemals Facebook) und Microsoft.  Die Hauptpflichten für Gatekeeper umfassen unter anderem das Verbot der Zusammenführung von Daten ohne Zustimmung der Nutzer, das Verbot wettbewerbsverhindernder Praktiken und die Gewährleistung von Interoperabilität.  

Der DMA trat am 1. November 2022 in Kraft, und die ersten „Torwächter“ wurden am 6. September 2023 benannt, wobei sie seit dem 7. März 2024 den Anforderungen des DMA entsprechen müssen.  

ByteDance, der chinesische Mutterkonzern von TikTok hat bereits im November 2023 Klage erhoben, um den Beschluss für nichtig erklären zu lassen. Jedoch wurde dieses Ersuchen im Februar 2024 vom Präsidenten des zuständigen Gerichts der Europäischen Union (EuG) Marc van der Woude erst einmal abgewiesen.  

Neben ByteDance hatte auch Meta für seinen Facebook-Messenger und -Marktplace Einspruch gegen diesen Beschluss eingelegt. Laut dem US-Konzern gehören die beiden Dienste nicht zu einem im DMA definierten Online-Vermittlungsdienst. Mit einem finalen Urteil im Hauptverfahren ist in den kommenden Monaten zu rechnen. Die Marktmacht der bisher definierten Gatekeeper ist jedenfalls unbestritten hoch.  

Der Data Governance Act (DGA) ist ein weiterer Bestandteil der europäischen Digitalstrategie. Diese EU-Verordnung zielt darauf ab, die Nutzung und Verfügbarkeit von Daten in der EU zu fördern. Der DGA umfasst Regelungen zur Weiterverwendung von Daten öffentlicher Stellen, zur gemeinsamen Datennutzung durch Vermittlungsdienste und Datengenossenschaften sowie zur Förderung des Datenaltruismus. 

Die wichtigsten Punkte des DGA sind: 

  1. Weiterverwendung von Daten öffentlicher Stellen: Der DGA legt Bedingungen für die Weiterverwendung von Daten öffentlicher Stellen fest, einschließlich Transparenz, Fairness und Zugangsbedingungen. 
  2. Gemeinsame Datennutzung: Der DGA erleichtert den geregelten Austausch und Zugang zu Daten innerhalb der EU durch Vermittlungsdienste und Datengenossenschaften. 
  3. Datenaltruismus: Organisationen können Daten freiwillig für das Allgemeinwohl bereitstellen. Der DGA legt Anforderungen an die Transparenz, Aufzeichnungspflichten und Einwilligungserklärungen fest. 

Adressaten des DGA sind öffentliche Stellen, Datenvermittlungsdienste und Organisationen, die uneigennützig und freiwillig Daten bereitstellen. Im Hinblick auf den Datenschutz enthält der DGA keine Privilegien, sondern ergänzt die Anforderungen der DSGVO. 

Der Data Governance Act ist seit dem 24. September 2023 in Kraft und zielt darauf ab, den Datenaustausch zu fördern und die Verfügbarkeit von Daten öffentlicher Stellen zu verbessern. 

Zu den besonders frischen Regelungen gehört der Digital Services Act (DSA). Dieses europäische Gesetz ist seit dem 17. Februar 2024 in Kraft und definiert grundsätzliche Regeln für die digitale Welt neu. Er betrifft hauptsächlich Vermittlungsdienste wie Hosting-Anbieter, Provider und Caching-Provider sowie Online-Plattformen. 

Zu den Kernpunkten des Gesetzes über digitale Dienste gehören:  

  1. Haftungsregelungen: Für Provider werden neue Haftungsregeln eingeführt, welche die sogenannte Störerhaftung (in Deutschland weit verbreitet) stark einschränkt Demnach sind Provider nicht haftbar, wenn sie keine Kenntnis von Rechtsverletzungen haben und aktiv handeln, sobald sie informiert werden. 
  2. Informationspflichten: Provider müssen neue Informationspflichten erfüllen, einschließlich der Benennung einer Kontaktstelle und der Bereitstellung eines Transparenzberichts über die Moderation von Inhalten. 
  3. Meldestelle für rechtswidrige Inhalte: Es wird eine Meldestelle für rechtswidrige Inhalte eingerichtet, die für Provider und Online-Plattformen gilt. Diese Stelle muss die Rechtmäßigkeit von Inhalten bewerten, Straftaten melden und betroffenen Nutzern transparent erklären, warum ihre Inhalte gesperrt wurden. 
  4. Beschwerdemanagementsystem: Größere Provider und Plattformen müssen ein internes Beschwerdemanagementsystem einrichten, das den Nutzern ermöglicht, Beschwerden nachzuverfolgen und zu bearbeiten. 
  5. Transparenz von Werbung und Empfehlungssystemen: Online-Plattformen müssen transparent angeben, von wem Werbeanzeigen stammen, wer für die Werbung bezahlt und auf welcher Grundlage Empfehlungen abgegeben werden. Das Profiling von Minderjährigen wird verboten. 

Bei Nichtumsetzung der Maßnahmen oder Verstoß drohen Unternehmen Bußgelder von bis zu 6 % des Vorjahresumsatzes. Der Gesetzgebungsprozess ist abgeschlossen, und die Verordnung ist bereits in Kraft getreten.  

Wie weitreichend die Folgen dieses Gesetz sind, macht die erst Mitte März 2024 vom Europäischen Gerichtshof (EuGH) abgewiesene Klage von Amazon deutlich. Der US-Konzern wollte nicht als sehr große Online-Plattform eingestuft werden, um zu vermeiden, detaillierte Informationen zu seinen Anzeigen offenzulegen. Letztlich muss der Onlinehändler sich den Anforderungen des Digital Services Acts beugen, da trotz des möglichen Schadens die Interessen des Gesetzgebers überwiegen.  

Der Data Act zielt darauf ab, den Zugang und die Nutzung von Daten zu erleichtern. Unternehmen sollen Daten einfacher nutzen und austauschen können. Die seit dem 11. Januar 2024 in Kraft getretene EU-Verordnung harmonisiert u.a. Vorschriften, um das wirtschaftliche Potenzial der Daten besser auszuschöpfen und einen entsprechend wettbewerbsfähigen „Datenmarkt“ zu fördern. 

In erster Linie richtet er sich an Hersteller vernetzter Produkte, Anbieter verbundener Dienste, Nutzer, Dateninhaber und öffentliche Stellen. Es gibt Maßnahmen zur Förderung der Wettbewerbsfähigkeit, zum Schutz von KMUs und zur Förderung der Daten- und Cloud-Interoperabilität. Zu den wichtigsten Pflichten gehören, die Zugänglichkeit von Daten, Informationspflichten sowie Zugangs- und Nutzungsrechte.  

Für Unternehmen bedeutet der Data Act: 

  1. Eine erweiterte Kontrolle über ihre Daten, einschließlich des Rechts zur Datenübertragbarkeit. 
  2. Ein Schutz vor missbräuchlichen Vertragsklauseln und Bereitstellung von Musterverträgen. 
  3. Eine verbesserte Daten- und Cloud-Interoperabilität, um den Wechsel zwischen Diensten zu erleichtern. 

Der Data Act ergänzt die DSGVO und die ePrivacy-Richtlinie, ohne den Datenschutz zu schwächen. Unternehmen sollten sich auf die mitunter komplexen Anforderungen vorbereiten. Das heißt, sich frühzeitig mit den Bestimmungen auseinanderzusetzen und die notwendigen Anpassungen vorzunehmen, um die Chancen des Data Acts zu nutzen und die Compliance sicherzustellen. Nach der üblichen Übergangsfrist wird die Verordnung ab dem 12. September 2025 angewendet. 

Welche Gesetze sind aktuell in der Umsetzung und noch nicht als Verordnung gültig?

Neben den bereits kurz umrissenen Gesetzen stehen zwei weitere Verordnungen kurz vor dem Inkrafttreten bzw. der Umsetzung. Dazu gehört der Artificial Intelligence Act (kurz AI-Act) der EU-Kommission, den das Europäische Parlament am 13. März 2024 angenommen hat. Sobald die Verordnung im Amtsblatt veröffentlicht wird, tritt sie in Kraft. Aktuell wird damit gerechnet, dass das Gesetz Ende Mai oder Anfang Juni 2024 in Kraft tritt. Darauf folgt eine 36-monatige Umsetzungsfrist.

Die Verordnung über Künstliche Intelligenz (KI), stellt einen Meilenstein in der Regulierung von KI dar. Er wurde im Rahmen der EU-Digitalstrategie entwickelt und soll klare Richtlinien für den Umgang mit KI in der Forschung und Wirtschaft schaffen. 

Der Anwendungsbereich erstreckt sich auf Anbieter und Nutzer von KI-Systemen, die in der EU eingesetzt werden, unabhängig von ihrem Standort. Im Gesetzesentwurf wird der Begriff der KI recht weit definiert. Die Definition umfasst verschiedene Techniken wie maschinelles Lernen (Machine Learning), tiefes Lernen (Deep Learning), logik- und wissensgestützte Konzepte sowie statistische Ansätze. 

Um die verschiedenen Anwendungen von KI angemessen zu berücksichtigen, unterteilt der AI-Act die KI-Systeme je nach ihrem Risiko in vier Gruppen: 

  1. KI-Systeme mit minimalem Risiko 
  2. KI-Systeme mit geringem Risiko 
  3. Hochrisiko-KI-Systeme 
  4. Verbotene KI-Systeme 

Die Anforderungen und Regulierungen variieren je nach Risikostufe. Besonders streng sind die Regelungen für Hochrisiko-KI-Systeme, die mit hohen technischen und organisatorischen Standards verknüpft sind. Dazu gehören die Einrichtung eines Risikomanagementsystems, transparente Informationspflichten für die Nutzer, menschliche Aufsichtsführung und die Aufzeichnung von Vorgängen und Ereignissen. 

Ein zentraler Aspekt des Gesetzes ist das Verhältnis zur Datenschutz-Grundverordnung (DSGVO). Der AI-Act ergänzt die DSGVO für Hochrisiko-KI-Systeme und Fernidentifizierungssysteme. Dabei werden moderne Sicherheits- und Datenschutzmaßnahmen gefordert, einschließlich Pseudonymisierung und Verschlüsselung. Unternehmen, die Hochrisiko-KI-Systeme einsetzen, müssen den Nutzern Informationen bereitstellen, die zur Durchführung einer Datenschutz-Folgenabschätzung erforderlich sind. 

Innerhalb von sechs Monaten nach Inkrafttreten werden Verbote für hochriskante KI-Anwendungen wirksam, während Transparenz- und Governance-Vorschriften innerhalb eines Jahres Anwendung finden sollen. Insgesamt stellt der AI-Act für Unternehmen, die KI-Systeme entwickeln oder nutzen, umfassende Richtlinien zur Verfügung. Damit soll der sichere und verantwortungsvollen Einsatz gewährleistet werden. 

Der Cyber Resilience Act (CRA) ist eine Initiative, um die Sicherheit von Produkten und Software mit digitalen Elementen zu verbessern. Damit sollen Verbraucher und Unternehmen vor den wachsenden Risiken der Cyberwelt geschützt werden. Angesichts immer mehr vernetzter IoT-Geräten wie Baby-Monitore oder Smartwatches ist es entscheidend, dass diese sicher sind und nicht als potenzielle Einfallstore für Cyberangriffe dienen. 

Das Hauptziel des CRA besteht darin, verbindliche Cybersicherheitsanforderungen für Hersteller und Händler einzuführen. Damit soll sichergestellt werden, dass Produkte mit digitalen Elementen von Anfang an sicher konzipiert, entwickelt und gewartet werden. Eines der großen Stichwörter hierbei ist „Security by Design“. Diese Anforderungen erstrecken sich über den gesamten Lebenszyklus der Produkte und umfassen Aspekte wie Risikobewertung, Konformitätsprüfung und fortlaufende Überwachung der Cybersecurity. 

Es wird ein einheitlicher Rahmen für den Marktzugang der Produkte geschaffen. Entsprechen Produkte den neuen Standards, müssen sie die CE-Kennzeichnung tragen. Dadurch sollen Verbraucher und Unternehmen fundiertere Entscheidungen treffen können, da sie Produkte verwenden, die den erforderlichen Cybersicherheitsstandards entsprechen. 

Hersteller, Importeure und Händler von Produkten mit digitalen Elementen werden mit vielen neuen Pflichten konfrontiert. Dazu gehören die Durchführung von Risikobewertungen, die Einhaltung von Cybersicherheitsstandards und die sofortige Benachrichtigung der Behörden und Nutzer im Falle von Sicherheitsvorfällen. 

Sanktionen für Verstöße gegen die Bestimmungen des CRA können erheblich sein und reichen von Geldstrafen bis hin zu einem Prozentsatz des weltweiten Vorjahresumsatzes der betroffenen Unternehmen.  

Der Gesetzesentwurf wurde am 12. März 2024 vom Europäischen Parlament angenommen. Sobald auch der Rat dem CRA zugestimmt und dies im Amtsblatt der EU veröffentlicht wurde, tritt der Cyber Resilience Act 20 Tage nach der Veröffentlichung in Kraft. Betroffene Hersteller und Unternehmen sollten die erforderlichen Maßnahmen rechtzeitig umsetzen, um den damit verbundenen wirtschaftlichen wie bürokratischen Aufwand bewältigen zu können.  

Bereiten Sie sich auf die Zukunft vor und stellen Sie sicher, dass Ihr Unternehmen für die neuen Regelungen gerüstet ist. Kontaktieren Sie uns, wenn wir Ihnen helfen dürfen, Ihre IT-Sicherheit zu stärken und die Compliance zu gewährleiten.  

Jetzt kontaktieren >>

NIS2 und CER: Ist die Umsetzung der beiden EU-Cybersicherheitsrichtlinien im Zeitplan?
X