Die europäische Regulatorik der digitalen Wirtschaft drehte sich viele Jahre hauptsächliche um den Schutz persönlicher Daten. Seit 2018 stellt die allgemeine Datenschutzgrundverordnung (DSGVO) eine Reihe an Anforderungen an alle Unternehmen, die personenbezogene Daten in der EU verarbeiten. Da die Verordnung im gesamten EU-Wirtschaftsraum Anwendung findet und Verstöße teuer sind, hat die Verordnung sich sogar zu einem globalen Standard entwickelt.
Seit ihrer Ernennung 2019 erweitert die neue europäische Kommission europäische Digitalpolitik um weitere Themen. Im Rahmen der Strategie zur „Gestaltung der digitalen Zukunft Europas“ stellte die Kommission drei politische Ziele vor, die allen Regulierungsinitiativen zugrunde liegen sollen:
Mit einer Reihe von Regulierungen will die Komission diese Ziele erreichen– einige davon hat sie schon auf den Weg gebracht. In der Buchstabensuppe an Abkürzungen wie NIS und DORA drohen Unternehmen jedoch den Überblick zu verlieren. Wir schaffen Klarheit und weisen den Weg durch den Regulierungsdschungel: Welche Rechtsakte gibt es? Wie betreffen Sie Ihr Unternehmen? Was können Sie tun? Wir haben die Antworten.
Diese Rechtsakte zielen auf die Stärkung von Informationssicherheit ab, indem Unternehmen und Mitgliedstaaten gemeinsame Mindeststandards etablieren.
Inkrafttreten: Dezember 2022
Anzuwenden ab: Oktober 2024
hohe Auswirkungen auf Unternehmen
NIS2 ersetzt die ursprüngliche Richtlinie zu Netzwerk- und Informationssystemen von 2016, um den gestiegenen Herausforderungen für Cybersicherheit gerecht zu werden. Strengere Anforderungen an kritische Sektoren sollen die Informationssicherheit in der EU stärken und so Risiken für BürgerInnen, Unternehmen und Gesellschaft minimieren.
Betroffen sind viele Unternehmen und Organisationen in kritischen Sektoren, wie Energie, Gesundheit, Transport, Trinkwasser, digitale Infrastruktur und öffentliche Verwaltung, aber auch die wichtigen Sektoren Postdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion und Weltraumtechnik. Die Anzahl der betroffenen Unternehmen hat sich im Vergleich zu NIS1 verfünffacht.
Betroffene Unternehmen sind verpflichtet, ein umfassendes Risikomanagement für Cybersicherheit zu implementieren. Dazu gehören Maßnahmen zur Prävention, Erkennung und Reaktion auf Informationssicherheitsvorfälle.
Meldepflichten: Unternehmen müssen Vorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden. Hinzu kommen regelmäßige Audits sowie Berichte über die Einhaltung der Vorschriften. Auch ihre Lieferketten müssen die Unternehmen analysieren und Maßnahmen ergreifen, um diese vor Cyberbedrohungen zu schützen.
Sie möchten mehr über NIS2 erfahren? Alle Details finden Sie in unserem Whitepaper.
Inkrafttreten: Januar 2023
Anzuwenden ab: Januar 2025
hohe Auswirkungen auf Unternehmen
DORA soll einheitliche Standards für die Cybersicherheit im Finanzwesen in der EU schaffen und die Zusammenarbeit der Mitgliedstaaten stärken. Anders als die NIS2-Richtlinie, die durch die Mitgliedstaaten umgesetzt werden muss, gelten die Anforderungen aus DORA unmittelbar.
Betroffen sind Finanzinstitute wie Banken, Versicherungen, Zahlungsdienstleister und Handelsplätze sowie IKT-Dienstleister, die Dienste für den Finanzsektor bereitstellen.
Finanzinstitute müssen ein robustes Risikomanagement für Informations- und Kommunikationstechnologie einführen, um Risiken frühzeitig zu erkennen und zu minimieren.
Meldepflichten: Informationssicherheitsvorfälle müssen an die zuständigen Behörden gemeldet werden.
Dienstleistermanagement: Verträge mit externen IT-Dienstleistern müssen spezifische Sicherheitsanforderungen enthalten, und diese Anbieter können von Aufsichtsbehörden überwacht werden.
Inkrafttreten: Januar 2023
Anzuwenden ab: Oktober 2024
mittlere Auswirkungen auf Unternehmen
Die CER bzw. RCE-Richtlinie ergänzt NIS2 und soll die Widerstandsfähigkeit kritischer Infrastrukturen bei physischen Störungen und Angriffen stärken. So sollen Ausfälle verhindert werden, etwa bei Naturkatastrophen oder Sabotage und terroristischen Akten.
Die erfassten Sektoren sind weitestgehend identisch zu NIS2. Die betroffenen Betreiber kritischer Infrastrukturen werden jedoch durch die eigenen Behörden auf nationaler Ebene bis zum 17. Juli 2026 identifiziert.
Innerhalb von neun Monaten nach der Identifikation als kritische Einrichtung müssen die Organisationen ihre Ausfallrisiken identifizieren, bewerten und Mindestmaßnahmen zur Reduktion ergreifen. Zu den Maßnahmen zählen physische Sicherheit, Krisenmanagement, Business Continuity Management und Personalsicherheit.
Meldepflichten: Wie bei NIS2 müssen signifikante Störungen und Vorfälle innerhalb 24 Stunden an die zuständigen Behörden gemeldet werden.
Inkrafttreten: Oktober 2024
Anzuwenden ab: schrittweise von September 2026 bis Dezember 2027
hohe Auswirkungen auf Unternehmen
CRA soll die Cybersicherheit innerhalb der EU stärken, indem sie ein Mindestmaß an Sicherheitsanforderungen für vernetze Produkte mit digitalen Elementen vorschreibt.
Hersteller von physischen oder virtuellen Produkten mit digitalen Elementen und vernetzen Funktionen wie Hardware (Smartphones, Smart-Home Geräte, IoT-Produkte etc.) und Software (mobile Apps, betriebswirtschaftliche Anwendungen, Videospiele etc.).
Je nachdem, wie anfällig ihre Produkte für Cyberangriffe sind, müssen Hersteller müssen unterschiedliche Konformitätsbewertungsverfahren durchführen. Die reichen von interner Kontrolle bis hin zu umfassender Qualitätssicherung durch benannte Stellen.
Meldepflichten: Schwachstellen müssen über eine zentrale Meldeplattform offengelegt und während des gesamten Supportzeitraums behandelt werden.
Inkrafttreten: Dezember 2024
Anzuwenden ab: Februar 2025
niedrige Auswirkungen auf Unternehmen
CSA soll die Cybersicherheit in der EU durch verstärkte Zusammenarbeit und gemeinsame Mechanismen verbessern. Dazu gehört gemeinsame Mechanismen zur Erkennung von Cyberbedrohungen, Angriffen und Notfallaktivitäten.
Hauptsächlich die EU-Mitgliedstaaten und ENISA (European Union Agency for Cybersecurity).
Die EU-Mitgliedsstaaten bauen ein Netzwerk aus nationalen und grenzüberschreitenden Security Operation Centres (SOCs) auf. Die Zentren sollen Cyberbedrohungen effektiver erkennen und schnell reagieren. Fest etablierte Notfallmechanismen sollen dabei helfen, auf Vorfälle vorbereitet zu sein und besser reagieren zu können. Die EU-Agentur für Cybersicherheit (ENISA) wird beauftragt, signifikante und groß angelegte Cybervorfälle zu bewerten und Berichte mit Erkenntnissen und Empfehlungen zur Verbesserung der Cyberabwehr zu erstellen.
Inkrafttreten: August 2024
Anzuwenden ab: schrittweise von Februar 2025 bis August 2027
hohe Auswirkungen auf Unternehmen
Der AI Act ist die weltweit erste Verordnung zur Regulierung von künstlicher Intelligenz (KI). Sie soll sicherstellen, dass KI sicher, transparent und vertrauenswürdig eingesetzt wird. Der AI Act verfolgt einen risikobasierten Ansatz: je höher das Risiko des jeweiligen KI-Systems, desto höher sind die Anforderungen, die zu erfüllen sind.
Betroffen sind alle Unternehmen, die KI innerhalb der EU in den Verkehr bringen oder nutzen– unabhängig davon, ob ihr Sitz tatsächlich in der EU ist.
Unternehmen sind dazu verpflichtet, KI-Systeme je nach Risikostufe zu regulieren. KI-Systeme mit geringem Risiko unterliegen lediglich Transparenz- und Offenlegungspflichten. Hochrisikosysteme bringen dagegen strengere Auflagen mit sich, wie Risikomanagement, Datenmanagement und menschlicher Überwachung. Unternehmen, die KI-Systeme entwickeln und vertreiben, haben eine größere Anzahl an Pflichten zu erfüllen als Unternehmen, die KI-Systeme lediglich betreiben.
Diese Rechtsakte zielen darauf ab, einen Rahmen für die sichere Nutzung von Daten in einer datengetriebenen Wirtschaft zu schaffen.
Inkrafttreten: Juni 2022
Anzuwenden ab: September 2023
niedrige Auswirkungen auf Unternehmen
Mit DGA sollen strukturiert vertrauenswürdigen Systemen entwickelt werden, um den transparenten Austausch von Daten zu fördern. Vertrauenswürdige Dienstleister erleichtern dafür das Sammeln, Weiterverwenden und gemeinsame Nutzen von Daten. Damit will die Kommission sicherstellen, dass das Potenzial der Daten europäischen Bürgern und Unternehmen zugutekommt.
Betroffen sind vor allem öffentliche Stellen, Datenvermittler und sonstige Organisationen, die Daten bereitstellen.
Öffentliche Stellen müssen die Weiterverwendung von sensiblen Daten unter bestimmten Voraussetzungen und Regeln ermöglichen. Datenvermittler müssen neutral und vertrauenswürdig agieren, um den Austausch zwischen Datennutzern und -anbietern zu erleichtern.
Inkrafttreten: Januar 2024
Anzuwenden ab: September 2025
mittlere Auswirkungen auf Unternehmen
Der Data Act ergänzt das Daten-Governance-Gesetz (DGA) und soll Innovation und Wettbewerb innerhalb der EU fördern, indem es Daten leichter zugänglich und nutzbar macht.
Betroffen sind Unternehmen, die datenfähige Produkte und Dienstleistungen anbieten, wie z.B. IoT-Geräte. Auch NutzerInnen dieser Produkte sind betroffen: sie sollen besseren Zugang zu den von ihnen erzeugten Daten erhalten. Unter bestimmten Bedingungen sollen auch Behörden auf privat generierte Daten zugreifen können.
Unternehmen müssen NutzerInnen erlauben, auf alle Daten zuzugreifen, die durch Nutzung ihrer Produkte oder Dienstleistungen erhoben werden. Auch der vertraglichen Datentausch zwischen Unternehmen wird geregelt, um missbräuchliche Vertragsklauseln auszuschließen.
Diese Rechtsakte sollen gleichzeitig NutzerInnen schützen und Innovation fördern.
Inkrafttreten: November 2022
Anzuwenden ab: Februar 2024
mittlere Auswirkungen auf Unternehmen
Der DSA zielt auf ein sicheres und verantwortungsvolles Online-Umfeld ab. Die Verordnung legt neue Regeln für digitale Dienste und Online-Plattformen fest, um NutzerInnen besser zu schützen und für mehr Transparenz und Verantwortung im Internet zu sorgen.
Alle Anbieter von digitalen Diensten, die in der EU verfügbar sind. Dazu gehören Onlineplattformen wie soziale Netzwerke, Online-Marktplätze oder Bewertungsplattformen, Intermediäre wie Hosting-Dienste oder Internetprovider und Suchmaschinen.
Alle Anbieter digitaler Dienste, die Inhalte vermitteln, speichern oder verbreiten, müssen Meldeverfahren für illegale Inhalte etablieren. Plattformen müssen begründete Entscheidungen über das Entfernen von Inhalten treffen und NutzerInnen darüber informieren. Onlineplattformen müssen sicherstellen, dass keine gefälschten oder illegalen Produkte verkauft werden. Außerdem müssten Werbeanzeigen transparent sein und Minderjährige vor schädlichen Inhalten geschützt werden.
Sehr große Online-Plattformen müssen zusätzlich Risikobewertungen durchführen, entsprechende Maßnahmen umsetzen und sich regelmäßig auditieren lassen.
Inkrafttreten: November 2022
Anzuwenden ab: schrittweise von Mai 2023 bis März 2024
niedrige Auswirkungen auf Unternehmen
Ziel des DMA ist es, faire Wettbewerbsbedingungen im digitalen Markt zu schaffen. Dafür soll die Verordnung große Online-Plattformen, die eine zentrale Rolle im Markt spielen und Marktzugang für andere Anbieter kontrollieren, besser regulieren
Betroffen sind vor allem sehr große digitale Unternehmen und deren Plattformen wie Google, Amazon, Apple, TikTok, Meta, Microsoft etc. Diese Unternehmen werden als „Gatekeeper“ bezeichnet.
Die Gatekeeper müssen einen fairen Wettbewerb ermöglichen. Sie dürfen eigene Dienste nicht bevorzugen, müssen alternative App-Stores und Zahlungsmethoden zulassen und dürfen keine Daten aus verschiedenen Diensten ohne Zustimmung kombinieren. NutzerInnen müssen vorinstallierte Apps löschen können und verschiedene Messenger-Dienste interoperabel nutzen dürfen. Werbekunden erhalten mehr Transparenz über Anzeigen und Händler dürfen direkt mit KundInnen kommunizieren.
Die europäische Regulierungslandschaft wird zunehmend komplexer – von Datenschutz über Cybersicherheit bis hin zur Künstlichen Intelligenz. Unternehmen sehen sich mit einer Vielzahl neuer Vorschriften konfrontiert, deren Auswirkungen tiefgreifend sind und deren Einhaltung essenziell für langfristigen Geschäftserfolg ist. Der Überblick über AI Act, NIS2, DORA, CRA, Data Act & Co. zeigt: Wer frühzeitig handelt, verschafft sich nicht nur einen Compliance-Vorsprung, sondern positioniert sich auch strategisch im digitalen Wettbewerb.
Sie wissen nicht, welche Regulierungen für Ihr Unternehmen konkret relevant sind? Oder wie Sie die Anforderungen effizient umsetzen können?
👉 Unsere ExpertInnen analysieren Ihre individuelle Ausgangslage und entwickeln gemeinsam mit Ihnen eine passgenaue Strategie für Ihre digitale Resilienz und Compliance.
Vereinbaren Sie jetzt ein unverbindliches Erstgespräch – wir lotsen Sie sicher durch den digitalen Regulierungsdschungel.
📞 Kontaktieren Sie uns direkt oder nutzen Sie unser Kontaktformular – wir freuen uns auf den Austausch!