Welche europäischen Gesetzesnormen sind vor kurzem in Kraft getreten?

In der Europäischen Union sind in der nahen Vergangenheit viele Richtlinien und Verordnungen bezüglich IT-Sicherheit in Kraft getreten. Direkte Maßnahmen, Vorgaben und auch Verbote sollen zukünftig in der EU durchgesetzt werden. Nicht zuletzt beschäftigt uns dies auch national, aufgrund der zukünftigen Umsetzung (bspw. NIS2UmsuCG) oder der entsprechenden Anwendbarkeit (gestaffelte Deadlines). Zu den bereits in Kraft getretenen Gesetzesnormen gehören dabei die folgenden:

Am längsten zurück liegt wohl NIS 2, welche bereits am 16. Januar 2023 in Kraft trat. Sie musste bereits zum 17. Oktober 2024 in nationales Recht umgesetzt werden, was jedoch aufgrund der aktuellen verstrickten politischen Situation noch nicht geschehen ist. Durch das NIS2UmsuCG soll die Implementation bis vrsl. Herbst 2025 erfolgen. Gelten würden diese Vorgaben einen Tag nach Veröffentlichung im Bundesgesetzblatt. NIS2 soll einheitliche Maßnahmen für ein hohes Cybersicherheitsniveau für Netz- und Informationssysteme schaffen und dafür sorgen, dass kritische Infrastrukturen besser geschützt sind.

Gemeinsame mit NIS 2 trat die CER-Richtlinie in Kraft. Diese soll Mitgliedsstaaten dazu bewegen, kritische Einrichtungen gegen Bedrohungen abzusichern. Dazu gehört auch das Steigern der Cybersicherheit durch entsprechende präventive Risikoanalysen, sowie die darauffolgende Implementierung von Maßnahmen und die generelle Steigerung der Resilienz. Der Fokus auf Resilienz physische Infrastrukturen unterscheidet diese Richtlinie bspw. von der NIS 2.

Einen Tag nach NIS 2 trat DORA in Kraft. Diese Verordnung für Finanzunternehmen soll das gemeinsame Niveau der operativen Resilienz steigern. Sie setzt auf die hohe Sicherheit von Netzwerk- und Informationssystemen. Dies soll u.a. durch Tests und Dokumentationen, sowie insbesondere durch präventive (bspw. Risikoanalyse) und nachgelagerte Pflichten (bspw. Meldung von Vorfällen) gewährleistet werden. Sie gilt ab 17. Januar 2025.

Der Data Act, in Kraft getreten am 11. Januar 2024, soll die Nutzung und den Austausch von, sowie den Zugang zu Daten fördern. Er legt Regeln für den B2C-, B2B- und B2G-Bereich fest, stärkt die Rechte der Endverbraucher und soll so die Wertschöpfungskette in Bezug auf Daten verbessern. Sensible Strafen sollen für eine lückenlose Umsetzung sorgen. Der Data Act gilt erst ab dem 12. September 2025 und bedarf keiner weiteren Umsetzung in das nationale Recht.

Der AI-Act schlug hohe Wellen, als er am 01. August 2024 in Kraft trat. Als „erstes KI-Gesetz der Welt“, legt er Anforderungen an die Entwicklung, das Inverkehrbringen, die Inbetriebnahme sowie die Verwendung von Systemen künstlicher Intelligenz fest. Auch wenn er die volle Geltung erst 24 Monate nach Inkrafttreten entfaltet, so gelten bestimmte Teile bereits zuvor. Mit bis zu 6 % des weltweiten Jahresumsatzes können die Strafen vergleichsweise hoch ausfallen. Er gilt unmittelbar in jedem Mitgliedsstaat und bedarf keiner Umsetzung in nationales Recht.

Der CRA beinhaltet Cybersicherheitsanforderungen für den gesamten Lebenszyklus von Produkten mit digitalen Elementen. Dieser „Security by Design“ Ansatz, soll sich bspw. auf Soft- und Hardwareprodukte auswirken, welche sich mit einem Gerät oder Netzwerk verbinden lassen. Dazu gehören bspw. Smart-Geräte, Babyphone oder Apps. Der CRA trat am 20. November 2024 in Kraft und entfaltet seine volle Wirkung am 11. Dezember 2027. Zuvor sind bereits Teile der Verordnung anzuwenden und die entsprechenden Anforderungen zu erfüllen.

Als die Novellierung der ProdHaftRL am 8. Dezember 2024 in Kraft trat und bspw. Software im Sinne des Gesetzes als Produkt offiziell anerkannte, waren viele überrascht. Die Novellierung erweiterte den Anwendungsbereich und passte sie der immer digitaleren Welt an. SaS, Sprachassistenten und Softwarekomponenten sowie der Fehlerbegriff und die Beweislastverteilung wurden unter anderem neu geregelt. Als Richtlinie haben die Länder 24 Monate Zeit die ProdHaftRL ins nationale Recht umzusetzen.