Wegweiser durch den digitalen Regulierungsdschungel

Die europäische Regulatorik der digitalen Wirtschaft drehte sich viele Jahre hauptsächliche um den Schutz persönlicher Daten. Seit 2018 stellt die allgemeine Datenschutzgrundverordnung (DSGVO) eine Reihe an Anforderungen an alle Unternehmen, die personenbezogene Daten in der EU verarbeiten. Da die Verordnung im gesamten EU-Wirtschaftsraum Anwendung findet und Verstöße teuer sind, hat die Verordnung sich sogar zu einem globalen Standard entwickelt.

Seit ihrer Ernennung 2019 erweitert die neue europäische Kommission europäische Digitalpolitik um weitere Themen. Im Rahmen der Strategie zur „Gestaltung der digitalen Zukunft Europas“ stellte die Kommission drei politische Ziele vor, die allen Regulierungsinitiativen zugrunde liegen sollen:

1. Technologie, die den Menschen zugutekommt
2. Faire und konkurrenzfähige Digitalwirtschaft
3. Offene, demokratische und nachhaltige Gesellschaft

Mit einer Reihe von Regulierungen will die Komission diese Ziele erreichen– einige davon hat sie schon auf den Weg gebracht. In der Buchstabensuppe an Abkürzungen wie NIS und DORA drohen Unternehmen jedoch den Überblick zu verlieren. Wir schaffen Klarheit und weisen den Weg durch den Regulierungsdschungel: Welche Rechtsakte gibt es? Wie betreffen Sie Ihr Unternehmen? Was können Sie tun? Wir haben die Antworten.

Zusammenfassung

NIS2 ersetzt die ursprüngliche Richtlinie zu Netzwerk- und Informationssystemen von 2016, um den gestiegenen Herausforderungen für Cybersicherheit gerecht zu werden. Strengere Anforderungen an kritische Sektoren sollen die Informationssicherheit in der EU stärken und so Risiken für BürgerInnen, Unternehmen und Gesellschaft minimieren.

Wer ist betroffen?

Betroffen sind viele Unternehmen und Organisationen in kritischen Sektoren, wie Energie, Gesundheit, Transport, Trinkwasser, digitale Infrastruktur und öffentliche Verwaltung, aber auch die wichtigen Sektoren Postdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion und Weltraumtechnik. Die Anzahl der betroffenen Unternehmen hat sich im Vergleich zu NIS1 verfünffacht.

Verpflichtungen

Betroffene Unternehmen sind verpflichtet, ein umfassendes Risikomanagement für Cybersicherheit zu implementieren. Dazu gehören Maßnahmen zur Prävention, Erkennung und Reaktion auf Informationssicherheitsvorfälle.

Meldepflichten: Unternehmen müssen Vorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden. Hinzu kommen regelmäßige Audits sowie Berichte über die Einhaltung der Vorschriften. Auch ihre Lieferketten müssen die Unternehmen analysieren und Maßnahmen ergreifen, um diese vor Cyberbedrohungen zu schützen.

Zusammenfassung

DORA soll einheitliche Standards für die Cybersicherheit im Finanzwesen in der EU schaffen und die Zusammenarbeit der Mitgliedstaaten stärken. Anders als die NIS2-Richtlinie, die durch die Mitgliedstaaten umgesetzt werden muss, gelten die Anforderungen aus DORA unmittelbar.

Wer ist betroffen?

Betroffen sind Finanzinstitute wie Banken, Versicherungen, Zahlungsdienstleister und Handelsplätze sowie IKT-Dienstleister, die Dienste für den Finanzsektor bereitstellen.

Verpflichtungen

Finanzinstitute müssen ein robustes Risikomanagement für Informations- und Kommunikationstechnologie einführen, um Risiken frühzeitig zu erkennen und zu minimieren.

Meldepflichten: Informationssicherheitsvorfälle müssen an die zuständigen Behörden gemeldet werden.

Dienstleistermanagement: Verträge mit externen IT-Dienstleistern müssen spezifische Sicherheitsanforderungen enthalten, und diese Anbieter können von Aufsichtsbehörden überwacht werden.

Zusammenfassung

Die CER bzw. RCE-Richtlinie ergänzt NIS2 und soll die Widerstandsfähigkeit kritischer Infrastrukturen bei physischen Störungen und Angriffen stärken. So sollen Ausfälle verhindert werden, etwa bei Naturkatastrophen oder Sabotage und terroristischen Akten.

Wer ist betroffen?

Die erfassten Sektoren sind weitestgehend identisch zu NIS2. Die betroffenen Betreiber kritischer Infrastrukturen werden jedoch durch die eigenen Behörden auf nationaler Ebene bis zum 17. Juli 2026 identifiziert.

Verpflichtungen

Innerhalb von neun Monaten nach der Identifikation als kritische Einrichtung müssen die Organisationen ihre Ausfallrisiken identifizieren, bewerten und Mindestmaßnahmen zur Reduktion ergreifen. Zu den Maßnahmen zählen physische Sicherheit, Krisenmanagement, Business Continuity Management und Personalsicherheit.

Meldepflichten: Wie bei NIS2 müssen signifikante Störungen und Vorfälle innerhalb 24 Stunden an die zuständigen Behörden gemeldet werden.

Zusammenfassung

CRA soll die Cybersicherheit innerhalb der EU stärken, indem sie ein Mindestmaß an Sicherheitsanforderungen für vernetze Produkte mit digitalen Elementen vorschreibt.

Wer ist betroffen?

Hersteller von physischen oder virtuellen Produkten mit digitalen Elementen und vernetzen Funktionen wie Hardware (Smartphones, Smart-Home Geräte, IoT-Produkte etc.) und Software (mobile Apps, betriebswirtschaftliche Anwendungen, Videospiele etc.).

Verpflichtungen

Je nachdem, wie anfällig ihre Produkte für Cyberangriffe sind, müssen Hersteller müssen unterschiedliche Konformitätsbewertungsverfahren durchführen. Die reichen von interner Kontrolle bis hin zu umfassender Qualitätssicherung durch benannte Stellen.

Meldepflichten: Schwachstellen müssen über eine zentrale Meldeplattform offengelegt und während des gesamten Supportzeitraums behandelt werden.

Zusammenfassung

CSA soll die Cybersicherheit in der EU durch verstärkte Zusammenarbeit und gemeinsame Mechanismen verbessern. Dazu gehört gemeinsame Mechanismen zur Erkennung von Cyberbedrohungen, Angriffen und Notfallaktivitäten.

Wer ist betroffen?

Hauptsächlich die EU-Mitgliedstaaten und ENISA (European Union Agency for Cybersecurity).

Verpflichtungen

Die EU-Mitgliedsstaaten bauen ein Netzwerk aus nationalen und grenzüberschreitenden Security Operation Centres (SOCs) auf. Die Zentren sollen Cyberbedrohungen effektiver erkennen und schnell reagieren. Fest etablierte Notfallmechanismen sollen dabei helfen, auf Vorfälle vorbereitet zu sein und besser reagieren zu können. Die EU-Agentur für Cybersicherheit (ENISA) wird beauftragt, signifikante und groß angelegte Cybervorfälle zu bewerten und Berichte mit Erkenntnissen und Empfehlungen zur Verbesserung der Cyberabwehr zu erstellen.

Künstliche Intelligenz

Zusammenfassung

Der AI Act ist die weltweit erste Verordnung zur Regulierung von künstlicher Intelligenz (KI). Sie soll sicherstellen, dass KI sicher, transparent und vertrauenswürdig eingesetzt wird. Der AI Act verfolgt einen risikobasierten Ansatz: je höher das Risiko des jeweiligen KI-Systems, desto höher sind die Anforderungen, die zu erfüllen sind.

Wer ist betroffen?

Betroffen sind alle Unternehmen, die KI innerhalb der EU in den Verkehr bringen oder nutzen– unabhängig davon, ob ihr Sitz tatsächlich in der EU ist.

Verpflichtungen

Unternehmen sind dazu verpflichtet, KI-Systeme je nach Risikostufe zu regulieren. KI-Systeme mit geringem Risiko unterliegen lediglich Transparenz- und Offenlegungspflichten. Hochrisikosysteme bringen dagegen strengere Auflagen mit sich, wie Risikomanagement, Datenmanagement und menschlicher Überwachung. Unternehmen, die KI-Systeme entwickeln und vertreiben, haben eine größere Anzahl an Pflichten zu erfüllen als Unternehmen, die KI-Systeme lediglich betreiben.

Daten

Diese Rechtsakte zielen darauf ab, einen Rahmen für die sichere Nutzung von Daten in einer datengetriebenen Wirtschaft zu schaffen.

Zusammenfassung

Mit DGA sollen strukturiert vertrauenswürdigen Systemen entwickelt werden, um den transparenten Austausch von Daten zu fördern. Vertrauenswürdige Dienstleister erleichtern dafür das Sammeln, Weiterverwenden und gemeinsame Nutzen von Daten. Damit will die Kommission sicherstellen, dass das Potenzial der Daten europäischen Bürgern und Unternehmen zugutekommt.

Wer ist betroffen?

Betroffen sind vor allem öffentliche Stellen, Datenvermittler und sonstige Organisationen, die Daten bereitstellen.

Verpflichtungen

Öffentliche Stellen müssen die Weiterverwendung von sensiblen Daten unter bestimmten Voraussetzungen und Regeln ermöglichen. Datenvermittler müssen neutral und vertrauenswürdig agieren, um den Austausch zwischen Datennutzern und -anbietern zu erleichtern.

Zusammenfassung

Der Data Act ergänzt das Daten-Governance-Gesetz (DGA) und soll Innovation und Wettbewerb innerhalb der EU fördern, indem es Daten leichter zugänglich und nutzbar macht.

Wer ist betroffen?

Betroffen sind Unternehmen, die datenfähige Produkte und Dienstleistungen anbieten, wie z.B. IoT-Geräte. Auch NutzerInnen dieser Produkte sind betroffen: sie sollen besseren Zugang zu den von ihnen erzeugten Daten erhalten. Unter bestimmten Bedingungen sollen auch Behörden auf privat generierte Daten zugreifen können.

Verpflichtungen

Unternehmen müssen NutzerInnen erlauben, auf alle Daten zuzugreifen, die durch Nutzung ihrer Produkte oder Dienstleistungen erhoben werden. Auch der vertraglichen Datentausch zwischen Unternehmen wird geregelt, um missbräuchliche Vertragsklauseln auszuschließen.

Paket „Digitale Dienste“

Diese Rechtsakte sollen gleichzeitig NutzerInnen schützen und Innovation fördern.

Zusammenfassung

Der DSA zielt auf ein sicheres und verantwortungsvolles Online-Umfeld ab. Die Verordnung legt neue Regeln für digitale Dienste und Online-Plattformen fest, um NutzerInnen besser zu schützen und für mehr Transparenz und Verantwortung im Internet zu sorgen.

Wer ist betroffen?

Alle Anbieter von digitalen Diensten, die in der EU verfügbar sind. Dazu gehören Onlineplattformen wie soziale Netzwerke, Online-Marktplätze oder Bewertungsplattformen, Intermediäre wie Hosting-Dienste oder Internetprovider und Suchmaschinen.

Verpflichtungen

Alle Anbieter digitaler Dienste, die Inhalte vermitteln, speichern oder verbreiten, müssen Meldeverfahren für illegale Inhalte etablieren. Plattformen müssen begründete Entscheidungen über das Entfernen von Inhalten treffen und NutzerInnen darüber informieren. Onlineplattformen müssen sicherstellen, dass keine gefälschten oder illegalen Produkte verkauft werden. Außerdem müssten Werbeanzeigen transparent sein und Minderjährige vor schädlichen Inhalten geschützt werden.

Sehr große Online-Plattformen müssen zusätzlich Risikobewertungen durchführen, entsprechende Maßnahmen umsetzen und sich regelmäßig auditieren lassen.

Zusammenfassung

Ziel des DMA ist es, faire Wettbewerbsbedingungen im digitalen Markt zu schaffen. Dafür soll die Verordnung große Online-Plattformen, die eine zentrale Rolle im Markt spielen und Marktzugang für andere Anbieter kontrollieren, besser regulieren

Wer ist betroffen?

Betroffen sind vor allem sehr große digitale Unternehmen und deren Plattformen wie Google, Amazon, Apple, TikTok, Meta, Microsoft etc. Diese Unternehmen werden als „Gatekeeper“ bezeichnet.

Verpflichtungen

Die Gatekeeper müssen einen fairen Wettbewerb ermöglichen. Sie dürfen eigene Dienste nicht bevorzugen, müssen alternative App-Stores und Zahlungsmethoden zulassen und dürfen keine Daten aus verschiedenen Diensten ohne Zustimmung kombinieren. NutzerInnen müssen vorinstallierte Apps löschen können und verschiedene Messenger-Dienste interoperabel nutzen dürfen. Werbekunden erhalten mehr Transparenz über Anzeigen und Händler dürfen direkt mit KundInnen kommunizieren.

Orientierung schaffen im digitalen Regulierungsdschungel

Die europäische Regulierungslandschaft wird zunehmend komplexer – von Datenschutz über Cybersicherheit bis hin zur Künstlichen Intelligenz. Unternehmen sehen sich mit einer Vielzahl neuer Vorschriften konfrontiert, deren Auswirkungen tiefgreifend sind und deren Einhaltung essenziell für langfristigen Geschäftserfolg ist. Der Überblick über AI Act, NIS2, DORA, CRA, Data Act & Co. zeigt: Wer frühzeitig handelt, verschafft sich nicht nur einen Compliance-Vorsprung, sondern positioniert sich auch strategisch im digitalen Wettbewerb.