Oliver Reitz
Direktor des Eigenbetriebs Wirtschaft und Stadtmarketing Pforzheim (WSP)
25.10.2024
von Claudia Keller
Dominika Dahn vom Fachbereich IT + Medien der WSP und Herbert Wackenhut, Fachbereichsleiter Präzisionstechnik der WSP, begrüßten die Zuhörer im EMMA-Kreativzentrum. Die Anwälte Marius Misztl und Tim Kröger von Ladenburger Rechtsanwälte widmeten sich zunächst den Rechtsrahmen der demnächst in Kraft tretenden Regulierungen. „Aufgekommen ist das Thema im September 2022. Da hat die Europäische Kommission diesen Rechtsakt vorgeschlagen“, sagte Misztl über den Cyber Resilience Act (CRA). „Die IT-Branche war bisher verschont geblieben von der ganzen Regulatur.“ Abgesehen von gewissen Normen konnte man im IT-Bereich bisher ohne große Vorgaben tätig sein. Doch die Cyberkriminalität werde immer größer und verursache auch immer größere wirtschaftliche Schäden. Deshalb greife die Europäische Union ein und schaffe einen einheitlichen Rechtsrahmen für die Produktion und den Vertrieb von Software-Produkten und Hardware-Produkten mit Netzzugang. Hauptziel sei letztlich, größere Transparenz für Verbraucher zu schaffen.
Betroffen von den Neuerungen sind sowohl Hersteller und Händler in der EU als auch Einführer von Produkten aus Staaten außerhalb der EU sowie Bevollmächtigte für Unternehmen außerhalb der EU. Dabei geht es nicht nur um reine Software-Produkte sondern auch um Produkte, die Software enthalten, beispielsweise für Smart-Home-Systeme. Misztl machte darauf aufmerksam, dass diejenigen ein Produkt verantworten, unter deren Namen es vertrieben wird. „Es muss geeignete Kontrollmechanismen geben, die Schutz vor Zugriff bieten“, sagte der Rechtsanwalt und stellte eine ganze Reihe weiterer Grundanforderungen vor. Im Kern gehe es darum, gängige Sicherheitsprobleme zu eliminieren.
Empfindliche Strafen
Konkrete Vorgaben, in welchem Zeitraum der Hersteller unterstützend tätig werden muss, gebe es nicht. Allerdings wurde ein Unterstützungszeitraum definiert, der entweder die erwartete Produktlebensdauer umfasst oder einen Zeitraum von fünf Jahren. Zudem müssen erkannte Schwachstellen eines Produkts gemeldet und bekannt gemacht sowie entsprechende kostenlose Sicherheitsupdates zur Verfügung gestellt werden. Neu ist auch, dass die Produkte ein Konformitätsbewertungsverfahren durchlaufen müssen, das letztlich zu einer CE-Kennzeichnung führt. Misztl machte deutlich, dass Unternehmen bei Verstößen Geldbußen bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes drohen.
Rechtsanwalt Kröger nahm die Netzwerk- und Informationssicherheit-Richtlinie, abgekürzt NIS-2-Richtlinie, in den Blick. „Hier geht es nicht um Produkte, sondern um das Unternehmen als solches, das erfasst werden soll“, betonte er. Voraussichtlich ab März 2025 soll die Richtlinie in Kraft treten, die etwa 30.000 Unternehmen betrifft. Die vorangegangene Regulierung aus dem Jahr 2016 traf nur etwa 3.000 Unternehmen der kritischen Infrastruktur. Unter die neue Richtlinie fallen auch Unternehmen mit mehr als 250 Mitarbeitern oder einem Jahresumsatz von 50 Millionen Euro, die in bestimmten Sektoren tätig sind, beispielsweise Energie, Verkehr, Bankwesen, Gesundheitswesen oder digitale Infrastruktur. Kritische Sektoren können aber auch Kurierdienste, Abfallbewirtschaftung, Produktion von chemischen Stoffen oder Verarbeitendes Gewerbe sein, wie Maschinen- oder Fahrzeugbau. Ziel der Richtlinie ist mehr Cyber-Sicherheit. „Wenn man als wichtiges oder wesentliches Unternehmen gilt, muss man sich registrieren“, erklärte Kröger. „Danach muss man ein Risikomanagement-System aufbauen.“ Dabei werde auch auf eine sichere Lieferkette geachtet. Sollte es tatsächlich zu einem Sicherheitsvorfall kommen, muss sich das Unternehmen bei der zuständigen Behörde melden. Bei Verstößen sind auch hier Bußgelder in sechsstelliger Höhe fällig. Zu beachten ist auch, dass die Geschäftsleitung in der Haftung ist.
Nach einer kurzen Pause ergänzte Dr. Torsten Sievers von PCQ consulting die vorangegangenen Vorträge mit praktischen Überlegungen zum Cyber Resilience Act. Er nahm hierzu vor allem Dokumentation, Verfahren und Risikobeurteilung in den Blick. Sievers empfahl unter anderem, frühzeitig die Risikobeurteilung zu erstellen, also schon in der Planungs-, Konzeptions- und Entwicklungsphase eines Produkts. „Die EU hat sich das nicht neu ausgedacht“, stellte Sievers fest. „Risikomanagement ist Bestandteil des guten Projektmanagements.“ Als Entwickler habe man bisher vielleicht nur darüber nachgedacht, nun sei man auch gezwungen alles niederzuschreiben, Fehler zu finden und zu eliminieren. Im Vorfeld sei eine saubere Produktbeschreibung und am besten auch die Festlegung auf Vertriebsländer wichtig. Sievers hob hervor, dass die EU mit den Regeln eigentlich einen klaren Schachzug für die Unternehmen gemacht habe und verwies in diesem Zusammenhang auf den Geltungsbereich für alle 27 EU-Länder. „Ich hoffe, sie haben ein paar Stolpersteine bei ihnen erkannt“, sagte er. „Nun gibt es einiges zu tun.“
25.10.2024
von Claudia Keller
Dominika Dahn vom Fachbereich IT + Medien der WSP und Herbert Wackenhut, Fachbereichsleiter Präzisionstechnik der WSP, begrüßten die Zuhörer im EMMA-Kreativzentrum. Die Anwälte Marius Misztl und Tim Kröger von Ladenburger Rechtsanwälte widmeten sich zunächst den Rechtsrahmen der demnächst in Kraft tretenden Regulierungen. „Aufgekommen ist das Thema im September 2022. Da hat die Europäische Kommission diesen Rechtsakt vorgeschlagen“, sagte Misztl über den Cyber Resilience Act (CRA). „Die IT-Branche war bisher verschont geblieben von der ganzen Regulatur.“ Abgesehen von gewissen Normen konnte man im IT-Bereich bisher ohne große Vorgaben tätig sein. Doch die Cyberkriminalität werde immer größer und verursache auch immer größere wirtschaftliche Schäden. Deshalb greife die Europäische Union ein und schaffe einen einheitlichen Rechtsrahmen für die Produktion und den Vertrieb von Software-Produkten und Hardware-Produkten mit Netzzugang. Hauptziel sei letztlich, größere Transparenz für Verbraucher zu schaffen.
Betroffen von den Neuerungen sind sowohl Hersteller und Händler in der EU als auch Einführer von Produkten aus Staaten außerhalb der EU sowie Bevollmächtigte für Unternehmen außerhalb der EU. Dabei geht es nicht nur um reine Software-Produkte sondern auch um Produkte, die Software enthalten, beispielsweise für Smart-Home-Systeme. Misztl machte darauf aufmerksam, dass diejenigen ein Produkt verantworten, unter deren Namen es vertrieben wird. „Es muss geeignete Kontrollmechanismen geben, die Schutz vor Zugriff bieten“, sagte der Rechtsanwalt und stellte eine ganze Reihe weiterer Grundanforderungen vor. Im Kern gehe es darum, gängige Sicherheitsprobleme zu eliminieren.
Empfindliche Strafen
Konkrete Vorgaben, in welchem Zeitraum der Hersteller unterstützend tätig werden muss, gebe es nicht. Allerdings wurde ein Unterstützungszeitraum definiert, der entweder die erwartete Produktlebensdauer umfasst oder einen Zeitraum von fünf Jahren. Zudem müssen erkannte Schwachstellen eines Produkts gemeldet und bekannt gemacht sowie entsprechende kostenlose Sicherheitsupdates zur Verfügung gestellt werden. Neu ist auch, dass die Produkte ein Konformitätsbewertungsverfahren durchlaufen müssen, das letztlich zu einer CE-Kennzeichnung führt. Misztl machte deutlich, dass Unternehmen bei Verstößen Geldbußen bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes drohen.
Rechtsanwalt Kröger nahm die Netzwerk- und Informationssicherheit-Richtlinie, abgekürzt NIS-2-Richtlinie, in den Blick. „Hier geht es nicht um Produkte, sondern um das Unternehmen als solches, das erfasst werden soll“, betonte er. Voraussichtlich ab März 2025 soll die Richtlinie in Kraft treten, die etwa 30.000 Unternehmen betrifft. Die vorangegangene Regulierung aus dem Jahr 2016 traf nur etwa 3.000 Unternehmen der kritischen Infrastruktur. Unter die neue Richtlinie fallen auch Unternehmen mit mehr als 250 Mitarbeitern oder einem Jahresumsatz von 50 Millionen Euro, die in bestimmten Sektoren tätig sind, beispielsweise Energie, Verkehr, Bankwesen, Gesundheitswesen oder digitale Infrastruktur. Kritische Sektoren können aber auch Kurierdienste, Abfallbewirtschaftung, Produktion von chemischen Stoffen oder Verarbeitendes Gewerbe sein, wie Maschinen- oder Fahrzeugbau. Ziel der Richtlinie ist mehr Cyber-Sicherheit. „Wenn man als wichtiges oder wesentliches Unternehmen gilt, muss man sich registrieren“, erklärte Kröger. „Danach muss man ein Risikomanagement-System aufbauen.“ Dabei werde auch auf eine sichere Lieferkette geachtet. Sollte es tatsächlich zu einem Sicherheitsvorfall kommen, muss sich das Unternehmen bei der zuständigen Behörde melden. Bei Verstößen sind auch hier Bußgelder in sechsstelliger Höhe fällig. Zu beachten ist auch, dass die Geschäftsleitung in der Haftung ist.
Nach einer kurzen Pause ergänzte Dr. Torsten Sievers von PCQ consulting die vorangegangenen Vorträge mit praktischen Überlegungen zum Cyber Resilience Act. Er nahm hierzu vor allem Dokumentation, Verfahren und Risikobeurteilung in den Blick. Sievers empfahl unter anderem, frühzeitig die Risikobeurteilung zu erstellen, also schon in der Planungs-, Konzeptions- und Entwicklungsphase eines Produkts. „Die EU hat sich das nicht neu ausgedacht“, stellte Sievers fest. „Risikomanagement ist Bestandteil des guten Projektmanagements.“ Als Entwickler habe man bisher vielleicht nur darüber nachgedacht, nun sei man auch gezwungen alles niederzuschreiben, Fehler zu finden und zu eliminieren. Im Vorfeld sei eine saubere Produktbeschreibung und am besten auch die Festlegung auf Vertriebsländer wichtig. Sievers hob hervor, dass die EU mit den Regeln eigentlich einen klaren Schachzug für die Unternehmen gemacht habe und verwies in diesem Zusammenhang auf den Geltungsbereich für alle 27 EU-Länder. „Ich hoffe, sie haben ein paar Stolpersteine bei ihnen erkannt“, sagte er. „Nun gibt es einiges zu tun.“
Jetzt Newsletter abonnieren und von vielen Vorteilen profitieren!