Diese IT-Sicherheitsgesetze müssen Sie 2023 kennen
2022 war für die IT-Security eine echte Herausforderung: Der russische Angriffskrieg, aber auch die vermehrte Umsetzung digitaler Arbeitsmodelle haben zu einer Steigerung von (mobilen) Cyber-Angriffen geführt. Neue IT-Sicherheitsgesetze sollen deshalb EU-weit dabei unterstützen, für mehr Cyber-Schutz zu sorgen und gleichzeitig die Digitalisierung voranzutreiben. Sie betreffen sowohl Unternehmen als auch öffentliche Einrichtungen. Richtlinien sind dabei anders als Verordnungen oder Acts durch die EU-Mitgliedsstaaten in nationales Recht umzusetzen. Verschaffen Sie sich hier einen Überblick über die zentralen IT-Sicherheitsgesetze 2023, um für die wichtigsten gesetzlichen Veränderungen gewappnet zu sein!
1. IT-Richtlinie: NIS2-Richtlinie & Artificial Intelligence Act
Der Artificial Intelligence Act tritt voraussichtlich ab 2023 in Kraft, wird jedoch nicht vor 2025 wirksam sein. Er schreibt einen einheitlich Rechtsrahmen für KI-Systeme vor und legt universelle Regelungen für die Entwicklung, Vermarktung und Nutzung von künstlicher Intelligenz in der EU fest. Die NIS2-Richtlinie erweitert den Anwendungsbereich der NIS1-Richtlinie, die für Unternehmen aus kritischen Sektoren gilt. Sie regelt, dass die betroffenen Unternehmen Risikoanalyse- und Sicherheitskonzepte für ihre IT-Systeme, die Transparenz von Schwachstellen sowie die Gewährleistung der Sicherheit in der Lieferkette umsetzen müssen. Unternehmen aus dem kritischen Sektor müssen sich somit auf strengere Regeln hinsichtlich der Cyber-Sicherheit ab 2024 oder 2025 einstellen. Lesen Sie hier, wie es um die IT-Sicherheit in Deutschland steht – und wie Unternehmen sich ausreichend absichern können!
2. IT-Gesetz: Digital Markets Act (DMA)
Der Digital Markets Act (DMA), zu deutsch: Gesetz über digitale Märkte, ist Ende 2022 in Kraft getreten und ab dem 2. Mai 2023 wirksam. Er gilt für marktbeherrschende Online-Plattformen, die als „Gatekeeper“ fungieren. Diese sind anhand objektiver Kriterien identifizierbar, die sich insbesondere auf die Nutzer:innenzahlen und die wirtschaftliche Position beziehen. Der DMA regelt, dass es auf diesen Plattformen (Suchmaschinen, soziale Netzwerke etc.) fair zugeht. Das heißt zum Beispiel, dass Gatekeeper ihre Plattform für die Vermarktung von Produkten durch Dritte zur Verfügung stellen müssen, ihre eigenen Produkte nicht bevorzugen dürfen und nicht den Verkauf fremder Waren und Dienstleistungen (z.B. Apps) behindern dürfen. Lesen Sie hier, was durch das IT-Sicherheitsgesetz DMA ermöglicht wird!
3. IT-Sicherheitsgesetz: Digital Services Act (DSA)
Der Digital Service Act (DSA) ist im November 2022 in Kraft getreten und ab dem 17. Februar 2024 wirksam. Er wird die E-Commerce-Richtlinie ergänzen und sie teilweise aktualisieren. Der DSA sieht zahlreiche Vorgaben für vermittelnde Online-Dienste vor, zu denen Internetanbieter oder Online-Plattformen (App Stores, soziale Netzwerke etc.) gehören. Der DSA regelt im Allgemeinen den Schutz der Grundrechte von Konsument:innen und schafft universelle Regeln zur Sorgfaltspflicht und Haftungsausschlüssen. Zudem vereinfacht der Digital Service Act den Zugang von Unternehmen zu EU-weiten Märkten und gestaltet Verfahren zur Löschung illegaler Inhalte einheitlich. Dadurch soll ein sicheres und vertrauenswürdiges Online-Umfeld geschaffen werden. Mehr Details zum Digital Service Act (DSA) finden Sie hier!
4. IT-Sicherheitsgesetz: Cyber Resilience Act (CRS)
Der Cyber Resilience Act (CRS) wird 2023 verabschiedet und ist voraussichtlich ab 2025 wirksam. Beim CRS steht – wie der Name bereits vermuten lässt – die Stärkung der Cyber-Sicherheit im Mittelpunkt. Der Cyber Resilience Act soll gemeinsame Cybersicherheitsstandards für vernetzte Geräte und Dienste bestimmen und damit bei der Bekämpfung von Cyberkriminalität mitwirken. Hersteller von IT-Produkten sind durch den CRS dazu verpflichtet, ein ausreichendes Sicherheitsniveau im gesamten Produkt-Lebenszyklus zu gewährleisten („Security by Design“) und die Transparenz der Sicherheitseigenschaften zu verbessern. Außerdem müssen die Hersteller von Soft- und Hardware Angriffsvektoren systemseitig begrenzen und ein Schwachstellen-Management einführen. Lesen Sie hier, welche 10 Maßnahmen Unternehmen umsetzen müssen, um sich vor Cyber-Angriffen zu schützen!
5. IT-Sicherheitsgesetz: US-EU-Datenschutz
2023 könnte die EU-Kommission einen Angemessenheitsbeschluss gemäß Art. 45 der DSGVO beschließen, der dem Datenschutz in den USA ein ausreichendes Schutzniveau bescheinigt. Ende 2022 unterzeichnete US-Präsident Biden bereits ein Dekret, das den datenschutzkonformen Umgang amerikanischer Konzerne mit europäischen Daten sicherstellen soll. In diesem Dekret sind neue Vorgaben für die Standardvertragsklauseln festgehalten. Die EU-Kommission hat bei der Ausarbeitung der US-Maßnahmen mitgewirkt und zeigt sich zuversichtlich, dass nun ein Rahmen für den transatlantischen Datenaustausch geschaffen werden kann, der den Anforderungen des EuGH genügt. Ob das neue Regelwerk dem europäischen Datenschutzniveau standhalten kann, bleibt dieses Jahr abzuwarten. Lesen Sie hier mehr zum US-EU Datenschutzabkommen!
