IT Compliance

Der Einsatz von IT im Unternehmen muss nicht nur sicher sein, sondern auch regelkonform. Gesetze, interne und externe Regelwerke sind einzuhalten. Dabei spielt es keine Rolle, ob die IT-Leistungen im Unternehmen oder durch Externe erbracht werden. Zwei neue Normen haben noch nicht alle Unternehmen präsent: den CRA (Cyber Resilience Act) und den Data Act (EU-Datenverordnung). Außerdem gibt es Neuigkeiten zur Umsetzung von NIS2.

CRA (Cyber Resilience Act)
Mit dem CRA möchte die EU Produkte, die digitale Elemente enthalten, sicherer gegen Cyberangriffe machen und die Standardsicherheit in der EU vereinheitlichen. Digitale Produkte sind grundsätzlich Soft- oder Hardware-Produkte mit Lösungen zur Datenverarbeitung sowie Komponenten, die separat dazu auf den Markt kommen sollen. Spezielle Produkte, wie klinische und medizinische Geräte, Kfz, Luftfahrt- und Produkte zur nationalen Sicherheit haben ihre eigenen Regularien, diese fallen nicht unter den CRA. Alle übrigen Produkte mit digitalen Elementen (z.B. Softwareprodukte, vernetzte Haushaltsgeräte, Babymonitore oder speicherprogrammierbare Steuerungen und Sensoren im industriellen Einsatz) dürfen voraussichtlich ab Dezember 2027 nur noch verkauft werden, wenn sie nach den Anforderungen des CRA entwickelt und hergestellt wurden. Mit dem CE-Kennzeichen sollen CRA-konforme Produkte gekennzeichnet werden, damit Importeure, Händler und Verbraucher ein verlässliches Grundniveau an Cybersicherheit erkennen können. 

Der CRA ist noch nicht final konkretisiert, aber die Umsetzung benötigt Zeit, zumal die Produktentwicklung deutlich vor diesem Zeitpunkt stattfindet. Da konkrete Vorgaben fehlen, empfiehlt es sich, die Produkte einer Risikoprüfung zu unterziehen und bereits existierende Standards einzubeziehen. Das BSI hat als Hilfestellung die technische Richtlinie TR-03183 veröffentlicht, die Cyber-Resilienz-Anforderungen beschreibt.

Data Act
Bereits zum 12.09.2025 kommt der Data Act in Teilen zur Anwendung, er ergänzt den Data Governance Act, der insbesondere Prozesse und Strukturen bei Vermittlung von Daten regelt. Verstöße gegen den Data Act können mit Geldbußen sanktioniert werden. Der Data Act ist komplex, da er eine Vielzahl von rechtlichen Vorschriften im B2B, B2C und B2G-Bereich enthält. Obwohl es sich beim Data Act im Grunde um eine Verordnung handelt, ist der deutsche Gesetzgeber noch verpflichtet, ein Durchführungsgesetz zu erlassen, das u. a. regelt, welche (Aufsichts)behörden künftig zuständig sein werden. Dennoch gelten ab 12.09.2025 die umfassenden Vorgaben des Data Act für Unternehmen. 

Die EU-Verordnung soll den Zugriff und die Nutzung von Daten durch die Nutzer erleichtern, auch der Daten, die durch die Nutzung generiert werden. Der Data Act bestimmt beispielsweise, dass Nutzer vernetzter Geräte und damit verbundenen Diensten entscheiden können, wie mit den Daten umgegangen werden soll, d. h. der Nutzer soll seine Daten generieren können und entscheiden dürfen, ob und wem diese Daten zugänglich gemacht werden sollen (IoT Data Sharing). Im B2B-Bereich sind dies z. B. Maschinendaten, die sich im Moment aufgrund der Marktmacht einer Vertragspartei in einseitigen Vertragsbedingungen niederschlägt. Anbieter von Datenverarbeitungsdiensten (z. B. Cloud-Dienste) müssen einen einfachen Wechsel zu anderen Anbietern ermöglichen. Hinsichtlich des internationalen Datentransfers müssen technisch-organisatorische Maßnahmen (TOM) ergriffen werden um unberechtigten Datenabfluss in Drittstaaten zu vermeiden.

Spannend wird aus rechtlicher Sicht das Zusammenspiel von Data Act und DSGVO. 

NIS2
Ein neuer Referentenentwurf des NIS2-Umsetzungsgesetzes vom Juni 2025 hält einige redaktionelle Änderungen parat. Zum Beispiel soll nun vermieden werden, dass eine nur geringfügige Tätigkeit zu einer unverhältnismäßigen Identifizierung als „wichtige Einrichtung“ oder „Besonders wichtige Einrichtung“ führt, was eine erhebliche Erleichterung darstellt. Die in § 30 genannten Risikomanagementmaßnahmen sollen nicht durch Einrichtungen der Bundesverwaltung (außer Bundeskanzleramt und Bundesministerien) eingehalten werden. Des Weiteren wurden Begriffe konkretisiert, z. B. in § 56 der erhebliche Sicherheitsvorfall. Änderungen des SGB werden jetzt vermieden. Ob das Umsetzungsgesetz noch 2025 in Kraft treten wird, ist unsicher.