Übersicht Gesetze und Regeln EU / Deutschland für die IT

Du hast die Übersicht bei IT-Regularien verloren?

Hier ist die Übersicht für die wichtigsten Gesetzestexte, wenn Du im Bereich IT arbeitest.

Starten wir!

Überregulation vs. Selbstverpflichtung

Die IT war die ersten 20 Jahren kaum reguliert, weil viele Unternehmen nur sporadisch „das Neuland Internet“ als Markt gesehen haben. Jetzt sind viele Unternehmen dabei, aber lassen IT-Sicherheit, Moral und Privatsphäre für mehr Profit links liegen.

Viele Unternehmen haben sich selbst vor den neuen Regularien mit ISO-Normen und eigenen Standards für eine professionelle Arbeitsweise entschieden. Trotzdem gehen jeden Tag Daten in Data Breaches verloren. Viele Unternehmen gehen durch die Ransomware in die Insolvenz.

Der Gesetzgeber möchte dagegen steuern und die Unternehmen verpflichten IT-Sicherheit zu etablieren. Profitgierige Unternehmen würden sonst ohne Schutz der Daten hoch risikohaft auf den Untergang hin pokern, statt sich eine vernünftige IT-Sicherheit aufzubauen.

Richtlinie vs. Verordnung

Eine Richtlinie gibt die Richtung vor und kann nicht in jedem EU-Mitgliedstaat unverändert angewendet werden. Sie muss erst in das nationale Recht eines jeden Landes umgesetzt werden (NIS2).

Eine Verordnung hingegen gilt unverändert in allen Mitgliedstaaten, sobald sie in Kraft tritt. Sie ist ein verbindlicher Rechtsakt und muss in ihrer Gesamtheit durchgesetzt werden (DORA).

Wo starten?

Nicht alle Gesetze treffen auf alle IT-Unternehmen zu. Rechtlicher Rat ist hier angebracht, um unnötige Ausgaben zu vermeiden. Für jedes Gesetz gibt es Ausnahmen oder Anpassungen.

Wer mit einer ISO 27001 startet, die gut implementiert ist (also nicht nur auf Papier), der hat schon viel erfüllt. Der Gesetzgeber hat viele Anforderungen der ISO 27001 abgeschrieben, weil die Maßnahmen von IT-Sicherheitsforschern als effektiv angesehen werden.

Beachte aber das viele Unternehmen mit ISO 27001 nur diese „ausreichend implementiert haben“. Das bedeutet, dass sie z.B. ein einziges Risiko im Risikomanagement dokumentiert haben. Der ISO-Auditor muss es akzeptieren, während der Richter diesen Minimalismus als grob fahrlässig bezeichnet.

NIS2 Directive – Network and Information Security

Beschlossen: 14.12.2022
Umsetzung in Deutschland: NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz – noch ausstehend
Bußgelder: Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für „wesentliche Unternehmen“, bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes für „wichtige“ Unternehmen

Was muss gemacht werden?

• Reaktion auf und Berichterstattung über Vorfälle
  • Erkennung, Analyse und Klassifizierung von Vorfällen
  • Koordinierte Reaktions- und Wiederherstellungsmaßnahmen
  • Benachrichtigung der zuständigen Behörden innerhalb bestimmter Fristen
• Risikobewertung und -management
  • Verfahren für den Umgang mit Schwachstellen und deren Offenlegung
  • Richtlinien und Verfahren für die Risikoanalyse und die Sicherheit von Informationssystemen
  • Effektiver Einsatz von Kryptografie und Verschlüsselung
• Geschäftskontinuität (BCM)
  • Backup-Management und Wiederherstellungsverfahren
  • Krisenmanagement und Kommunikationsprotokolle
• Sicherheit der Lieferkette

• Governance und Compliance
  • Genehmigung von Sicherheitsrichtlinien und Risikomanagementstrategien
  • Gewährleistung der Wirksamkeit von Cybersicherheitsmaßnahmen
  • Bereitstellung von Schulungen und Sensibilisierung der Mitarbeiter für Cybersicherheit
• Datenschutz und Verschlüsselung: Organisationen müssen die Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch den Einsatz von Verschlüsselungs- und anderen Datenschutztechniken sicherstellen.
• Zugangskontrolle und Authentifizierung: Multifaktor-Authentifizierung muss implementiert werden, um den unbefugten Zugang zu Systemen und Daten zu verhindern.
• Datensicherung und Geschäftskontinuität: Es müssen robuste Backup-Management und Desaster-Recovery-Kapazitäten eingerichtet werden, um die Kontinuität der wesentlichen Dienste im Falle einer Störung zu gewährleisten.
• Schwachstellenmanagement: Die Einrichtungen müssen über Verfahren zur Behandlung und Offenlegung von Schwachstellen verfügen, einschließlich regelmäßiger Schwachstellenbewertungen und der rechtzeitigen Behebung bekannter Schwachstellen.
• Sicherheitsüberwachung und -protokollierung: Umfassende Mechanismen zur Sicherheitsüberwachung und -protokollierung müssen vorhanden sein, um Sicherheitsvorfälle zu erkennen, zu analysieren und darauf zu reagieren.
• Bewusstsein für Cybersicherheit und Schulung

Quellen:

• https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333
• https://betroffenheitspruefung-nis-2.bsi.de/

DORA – Digital Operational Resilience Act

Vollstreckung: 17.01.2025
Umsetzung Deutschland: Gesetz über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz – FinmadiG) seit 27.12.2024
Bußgelder: Finanzielle Strafen im Zusammenhang mit der Nichteinhaltung der Datenschutz-Grundverordnung (DSGVO) können in den schwersten Fällen bis zu 20.000.000 € oder 4 % des weltweiten Gesamtumsatzes betragen

Gilt für:

• Zahlungsinstitute
• Kreditinstitute
• E-Geld-Institute
• Anbieter von Krypto-Asset-Dienstleistungen
• Wertpapierfirmen
• Alternative Investmentfonds
• Versicherungsmanager
• IKT-Drittdienstleister

Kontrollen:

• Risikomanagement durch Dritte
  • Sicherheitstests
  • Unabhängige Stellen müssen jährlich Ausfallsicherheits- und Schwachstellentests durchführen. Regelmäßige bedrohungsgesteuerte Penetrationstests sind ebenfalls erforderlich.
• Umsetzung angemessener und umfassender Richtlinien für Schwachstellen wie Patches und Updates
• risikobasierter Ansatz für das Netzwerk- und Infrastrukturmanagement
• robuste Authentifizierungsmechanismen
• Begrenzung des physischen und virtuellen Zugriffs auf IKT-Systemressourcen und Daten.
• Es sind Verfahren erforderlich, die „IKT-bezogene Vorfälle erkennen, verwalten und melden und Frühwarnindikatoren in Form von Warnmeldungen einrichten.“
• Die DORA-Anforderungen an das Management und die Compliance im Bereich der Sicherheit umfassen das wesentliche Cybersicherheitsmanagement und die Reaktion auf den Informationsaustausch
• Die Meldung von Vorfällen im Bereich der Cybersicherheit wird durch Verfahren zur Überwachung, Beschreibung und Meldung bedeutender IKT-bezogener Vorfälle an die DORA-Behörden erleichtert

Quellen:

• https://www.esma.europa.eu/esmas-activities/digital-finance-and-innovation/digital-operational-resilience-act-dora
• https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html
• https://www.recht.bund.de/bgbl/1/2024/438/VO.html

CRA – Cyber Resilience Act

Vollstreckung: 11.12.2027
Bußgelder: Mögliche Bußgelder in Höhe von 5 bis 15 Millionen Euro oder 1 bis 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

• kritische Produkte mit digitalen Elementen der Klasse I (z. B. Browser, Passwort-Manager) und der Klasse II (z. B. Firewalls für den industriellen Einsatz, Router, Smartcards und Smartcard-Lesegeräte)
• Die Umsetzung wird von den nationalen Marktaufsichtsbehörden überwacht
• die Hersteller müssen Sicherheitslücken über den gesamten Produktlebenszyklus hinweg schließen, jedoch höchstens fünf Jahre lang
• Cybersicherheitsvorfälle und jede aktiv ausgenutzte Schwachstelle innerhalb von 24 Stunden an die Europäische Agentur für Cybersicherheit (ENISA) melden
• Bereitstellung einer ersten Warnung innerhalb von 24 Stunden und weiterer Einzelheiten über die Art der Schwachstelle, mögliche Gegenmaßnahmen und mehr innerhalb von 72 Stunden
• die Bedrohungs- und Risikoanalyse für alle Produkte fest in den Entwicklungsprozess zu integrieren

Quellen:

• https://www.iem.fraunhofer.de/de/newsroom/presse-und-news/cyber-resilience-act.html
• https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html

AI Act – Artificial Intelligence

Vollstreckung: 01.08.2024
Geldbußen: werden mit Geldbußen in Höhe von bis zu 35 000 000 EUR oder, wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, in Höhe von bis zu 7 % seines gesamten weltweiten Jahresumsatzes im vorausgegangenen Geschäftsjahr belegt, je nachdem, welcher Betrag höher ist.

Unakzeptierbares Risiko KI-Systeme sind Systeme, die als Bedrohung für Menschen angesehen werden und verboten werden. Dazu gehören:

• Soziales Scoring: Klassifizierung von Menschen aufgrund von Verhalten, sozioökonomischem Status oder persönlichen Merkmalen
• Kognitive Verhaltensmanipulation von Menschen oder bestimmten gefährdeten Gruppen: z. B. sprachgesteuertes Spielzeug, das gefährliches Verhalten bei Kinder fördert
• Biometrische Identifizierung und Kategorisierung von Personen
• Biometrische Identifikationssysteme in Echtzeit und aus der Ferne, z. B. Gesichtserkennung

Hohes Risiko

KI-Systeme, die sich negativ auf die Sicherheit oder die Grundrechte auswirken, gelten als hohes Risiko und werden in zwei Kategorien unterteilt:

1. KI-Systeme, die in bestimmte Bereiche fallen, die in einer EU-Datenbank registriert werden müssen:
2. KI-Systeme, die in Produkten eingesetzt werden, die unter die Produktsicherheitsvorschriften der EU fallen. Dazu gehören Spielzeug, Luftfahrt, Autos, medizinische Geräte und Aufzüge.

• Management und Betrieb von kritischen Infrastrukturen
• Bildung und Berufsausbildung
• Beschäftigung, Arbeitnehmermanagement und Zugang zur Selbständigkeit
• Zugang zu und Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten und Leistungen
• Strafverfolgung
• Verwaltung von Migration, Asyl und Grenzkontrollen
• Unterstützung bei der Rechtsauslegung

Transparenzanforderungen

Generative KI, wie ChatGPT, wird nicht als hochriskant eingestuft, muss aber die Transparenzanforderungen und das EU-Urheberrecht erfüllen:

• Offenlegung, dass der Inhalt durch KI erzeugt wurde
• Gestaltung des Modells, um zu verhindern, dass es illegale Inhalte erzeugt
• Veröffentlichung von Zusammenfassungen der urheberrechtlich geschützten Daten, die für das Training verwendet wurden

Quellen:

• https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence

eIDAS-2.0 – elektronische Identifizierung, Authentifizierung und Vertrauensdienste

Durchsetzung: 20.05.2024
Implementation des EU Wallets: 21.11.2024
Geldbußen: auf staatlicher Seite

• bei der Abwicklung Ihrer Online-Angelegenheiten mit einem öffentlichen Dienstleister in einem anderen EWR-Land können Sie eine nationale Form der elektronischen Identifizierung (eID) verwenden, die auf europäischer Ebene anerkannt ist
• dazu beitragen, die digitalen Grenzen zwischen den EWR-Ländern zu beseitigen und gleichzeitig die Sicherheit digitaler Systeme zu gewährleisten und die Privatsphäre der Bürger zu schützen
• die gegenseitige Anerkennung der von den EU-Ländern ausgestellten eIDs einführen
• erfordert die Entwicklung eines technologieneutralen Rahmens, der keine bestimmte technische Lösung für die eID-Implementierung bevorzugt
• Elektronische registrierte Zustelldienste (ERDS): Diese gewährleisten eine sichere und zuverlässige Zustellung von elektronischen Nachrichten, Daten oder Dokumenten und liefern Nachweise über den Zeitpunkt des Versands, den Empfang und die Integrität des Inhalts
• Insbesondere wird die gegenseitige Anerkennung für eIDs, die bestimmte Sicherheitsniveaus erfüllen, obligatorisch, wodurch grenzüberschreitende Interaktionen vereinfacht und das Vertrauen in Online-Dienste gestärkt werden
• Natürliche Personen können Zertifikate auch für elektronische Signaturen und Einverständniserklärungen verwenden. Ähnlich wie elektronische Siegel dienen diese Zertifikate dazu, die Integrität und die Herkunft von Daten zu überprüfen, was sie für automatisierte Transaktionen nutzbar macht.  

Quellen:

• https://digital-strategy.ec.europa.eu/en/policies/eidas-regulation
• https://www.government.nl/topics/online-access-to-public-services-european-economic-area-eidas/everything-you-need-to-know-about-eidas
• https://www.european-digital-identity-regulation.com

Cybersecurity Act

Vollstreckung: 27.06.2019
Geldbußen: –

• EU-weiter Cybersicherheits-Zertifizierungsrahmen für IKT-Produkte, -Dienstleistungen und -Prozesse
• Mit dem Cybersicherheitsgesetz wird die EU-Agentur für Cybersicherheit (ENISA) gestärkt und ein Cybersicherheits-Zertifizierungsrahmen für Produkte und Dienstleistungen geschaffen.
• Schlüsselrolle bei der Einrichtung und Aufrechterhaltung des europäischen Cybersicherheits-Zertifizierungsrahmens durch die Vorbereitung der technischen Grundlagen für spezifische Zertifizierungssysteme
• Unterstützung der EU-Mitgliedstaaten, die dies wünschen, bei der Bewältigung ihrer Cybersicherheitsvorfälle und Unterstützung der EU-Koordinierung im Falle groß angelegter grenzüberschreitender Cyberangriffe und -krisen.
• Die Unternehmen sollten die potenziellen Vorteile einer Zertifizierung ihrer Produkte bewerten.

Quellen:

• https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-act
• https://eur-lex.europa.eu/eli/reg/2019/881/oj/eng

Data Act

Vollstreckung: 11.01.2024
Bußgelder: Verhängung von Bußgeldern in Höhe von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes eines Unternehmens im Vorjahr, je nachdem, welcher Betrag höher ist, bei Verstößen gegen die Regeln für den Datenzugang und die gemeinsame Nutzung von Daten mit Nutzern gemäß dem Datengesetz.

• umfassende Initiative zur Bewältigung der Herausforderungen und Nutzung der Möglichkeiten, die Daten in der Europäischen Union bieten, mit Schwerpunkt auf fairem Zugang und Nutzerrechten bei gleichzeitiger Gewährleistung des Schutzes personenbezogener Daten
• Der Data Act stellt klar, wer unter welchen Bedingungen aus Daten einen Wert schaffen kann
• ermöglicht eine faire Verteilung des Wertes von Daten durch die Festlegung klarer und fairer Regeln für den Zugang zu und die Nutzung von Daten
• die Unternehmen vor ungerechten Vertragsbedingungen schützen, die von einer Partei mit einer wesentlich stärkeren Marktposition auferlegt werden.
• Ermöglichung des Zugriffs öffentlicher Stellen auf Daten, die sich im Besitz des privaten Sektors befinden, und deren Nutzung für bestimmte Zwecke von öffentlichem Interesse – schnelle und sichere Reaktion auf einen öffentlichen Notfall bei minimaler Belastung der Unternehmen.
• Erhöhung der Rechtssicherheit (IoT) – Die neuen Vorschriften sollen den nahtlosen Transfer wertvoller Daten zwischen Dateninhabern und Datennutzern unter Wahrung ihrer Vertraulichkeit erleichtern
• einen Rahmen, der es Kunden ermöglicht, effektiv zwischen verschiedenen Anbietern von Datenverarbeitungsdiensten zu wechseln, um den EU-Cloud-Markt zu erschließen   Quellen:
• https://digital-strategy.ec.europa.eu/en/policies/data-act

Product Liability Directive

Vollstreckung: Endgültiger Text am 14. Dezember 2023, gilt ab Mitte 2026 in Deutschland Bußgelder: basierend auf Fall

• zielt darauf ab, die bestehenden Haftungsregelung für fehlerhafte Produkte, einschließlich digitaler Produkte, zu modernisieren
• wonach der Hersteller haftet, wenn ein Produkt fehlerhaft ist und dem Verbraucher einen Schaden zufügt.
• Einbeziehung von fehlenden Software-Updates und Cybersicherheitsproblemen als Produktfehler
• Betrachtung von Software als Produkt.
• Ausweitung der Haftung auf überholte Produkte und solche, die außerhalb der EU hergestellt wurden
• Erleichterung der Beweislast für Verbraucher
• Deckung von psychischen Gesundheitsschäden und Datenverlusten.
• Verbraucher, die durch fehlerhafte Produkte geschädigt werden, können im Schadensfall Schadenersatz fordern.

Quellen:

• https://europeanjusticeforum.org/topics/product-liability/

GDPR / DSGVO

Vollstreckung: 2018
Bußgelder: besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist

• Zweckbindung: : Daten nur für festgelegte, eindeutige und legitime Zwecke erheben.
• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Daten dürfen nur auf rechtlicher Grundlage und für klare, nachvollziehbare Zwecke verarbeitet werden.
• Datenminimierung: : Nur so viele Daten wie notwendig erheben.
• Richtigkeit: : Daten müssen sachlich richtig und aktuell sein.
• Speicherbegrenzung: : Daten dürfen nicht länger als nötig gespeichert werden.
• Integrität und Vertraulichkeit: : Schutz vor unbefugtem Zugriff und Datenverlust muss gewährleistet sein.
• Compliance: Verantwortliche müssen Einhaltung der DSGVO nachweisen können.

Rechte der betroffenen Personen:

• Auskunftsrecht: : Personen dürfen erfahren, welche Daten über sie gespeichert sind.
• Recht auf Berichtigung: : Falsche Daten müssen korrigiert werden.
• Recht auf Löschung („Recht auf Vergessenwerden“)
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit
• Widerspruchsrecht gegen die Verarbeitung

Pflichten für Unternehmen / Verantwortliche:

• Einwilligung einholen (freiwillig, spezifisch, informiert, eindeutig)
• Verzeichnis von Verarbeitungstätigkeiten führen
• Meldung von Datenschutzverletzungen: Innerhalb von 72 Stunden an Aufsichtsbehörde.
• Datenschutz-Folgenabschätzung: Bei risikobehafteten Verarbeitungen.
• Abschluss von Auftragsverarbeitungsverträgen (AVV) : Wenn Datenverarbeitung durch Dritte erfolgt.
• Ernennung eines Datenschutzbeauftragten: Wenn gesetzlich vorgeschrieben.