Zitat Autor
Wirtschaftskraft ist in der Tat ein „Plus“ – ein Mehr an Themen, an Hintergründen und an Aktualität. Mit dieser Plattform wird die wirtschaftliche Kompetenz des Standortes Pforzheim medial begleitet und weit in die Region getragen.

Oliver Reitz

Direktor des Eigenbetriebs Wirtschaft und Stadtmarketing Pforzheim (WSP)

Newsletter Anmeldung

+ monatliche Erscheinung
+ aktuelle Themen und wichtige Termine
+ neue Unternehmensportraits und Unternehmensprofile
Datenverarbeitungshinweis*

Gegen die Gefahr aus dem Netz - Neue EU-Regulierungen treffen viele Betriebe

Der städtische Eigenbetrieb Wirtschaft und Stadtmarketing Pforzheim (WSP) hat mit seiner Initiative „Netzwerk IT + Medien“ über neue Vorgaben der Europäischen Union (EU) informiert. Beim dritten „digital dialog“ sind die NIS-2-Richtlinie und der Cyber Resilience Act im Mittelpunkt gestanden.
Beim digital dialog der Initiative „Netzwerk IT + Medien“ zum Thema IT- und Produktsicherheit für Unternehmen im EMMA-Kreativzentrum referieren (v.l.) Dr. Torsten Sievers (PCQ consulting), Rechtsanwalt Marius Misztl, (Ladenburger Rechtsanwälte) und Rechtsanwalt Tim Kröger (Ladenburger Rechtsanwälte). Foto: Tilo Keller

25.10.2024

von Claudia Keller

Dominika Dahn vom Fachbereich IT + Medien der WSP und Herbert Wackenhut, Fachbereichsleiter Präzisionstechnik der WSP, begrüßten die Zuhörer im EMMA-Kreativzentrum. Die Anwälte Marius Misztl und Tim Kröger von Ladenburger Rechtsanwälte widmeten sich zunächst den Rechtsrahmen der demnächst in Kraft tretenden Regulierungen. „Aufgekommen ist das Thema im September 2022. Da hat die Europäische Kommission diesen Rechtsakt vorgeschlagen“, sagte Misztl über den Cyber Resilience Act (CRA). „Die IT-Branche war bisher verschont geblieben von der ganzen Regulatur.“ Abgesehen von gewissen Normen konnte man im IT-Bereich bisher ohne große Vorgaben tätig sein. Doch die Cyberkriminalität werde immer größer und verursache auch immer größere wirtschaftliche Schäden. Deshalb greife die Europäische Union ein und schaffe einen einheitlichen Rechtsrahmen für die Produktion und den Vertrieb von Software-Produkten und Hardware-Produkten mit Netzzugang. Hauptziel sei letztlich, größere Transparenz für Verbraucher zu schaffen.

Marius Misztl (Ladenburger Rechtsanwälte) legt die wichtigsten Eckpunkte des Cyber Resilience Acts (CRA) dar. Foto: Tilo Keller

Neu Regeln beachten

Betroffen von den Neuerungen sind sowohl Hersteller und Händler in der EU als auch Einführer von Produkten aus Staaten außerhalb der EU sowie Bevollmächtigte für Unternehmen außerhalb der EU. Dabei geht es nicht nur um reine Software-Produkte sondern auch um Produkte, die Software enthalten, beispielsweise für Smart-Home-Systeme. Misztl machte darauf aufmerksam, dass diejenigen ein Produkt verantworten, unter deren Namen es vertrieben wird. „Es muss geeignete Kontrollmechanismen geben, die Schutz vor Zugriff bieten“, sagte der Rechtsanwalt und stellte eine ganze Reihe weiterer Grundanforderungen vor. Im Kern gehe es darum, gängige Sicherheitsprobleme zu eliminieren.
Empfindliche Strafen
Konkrete Vorgaben, in welchem Zeitraum der Hersteller unterstützend tätig werden muss, gebe es nicht. Allerdings wurde ein Unterstützungszeitraum definiert, der entweder die erwartete Produktlebensdauer umfasst oder einen Zeitraum von fünf Jahren. Zudem müssen erkannte Schwachstellen eines Produkts gemeldet und bekannt gemacht sowie entsprechende kostenlose Sicherheitsupdates zur Verfügung gestellt werden. Neu ist auch, dass die Produkte ein Konformitätsbewertungsverfahren durchlaufen müssen, das letztlich zu einer CE-Kennzeichnung führt. Misztl machte deutlich, dass Unternehmen bei Verstößen Geldbußen bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes drohen.

Tim Kröger (Ladenburger Rechtsanwälte) informiert über NIS-2, die Netzwerk- und Informationssicherheit-Richtlinie. Foto: Tilo Keller

Sensible Bereiche

Rechtsanwalt Kröger nahm die Netzwerk- und Informationssicherheit-Richtlinie, abgekürzt NIS-2-Richtlinie, in den Blick. „Hier geht es nicht um Produkte, sondern um das Unternehmen als solches, das erfasst werden soll“, betonte er. Voraussichtlich ab März 2025 soll die Richtlinie in Kraft treten, die etwa 30.000 Unternehmen betrifft. Die vorangegangene Regulierung aus dem Jahr 2016 traf nur etwa 3.000 Unternehmen der kritischen Infrastruktur. Unter die neue Richtlinie fallen auch Unternehmen mit mehr als 250 Mitarbeitern oder einem Jahresumsatz von 50 Millionen Euro, die in bestimmten Sektoren tätig sind, beispielsweise Energie, Verkehr, Bankwesen, Gesundheitswesen oder digitale Infrastruktur. Kritische Sektoren können aber auch Kurierdienste, Abfallbewirtschaftung, Produktion von chemischen Stoffen oder Verarbeitendes Gewerbe sein, wie Maschinen- oder Fahrzeugbau. Ziel der Richtlinie ist mehr Cyber-Sicherheit. „Wenn man als wichtiges oder wesentliches Unternehmen gilt, muss man sich registrieren“, erklärte Kröger. „Danach muss man ein Risikomanagement-System aufbauen.“ Dabei werde auch auf eine sichere Lieferkette geachtet. Sollte es tatsächlich zu einem Sicherheitsvorfall kommen, muss sich das Unternehmen bei der zuständigen Behörde melden. Bei Verstößen sind auch hier Bußgelder in sechsstelliger Höhe fällig. Zu beachten ist auch, dass die Geschäftsleitung in der Haftung ist.

Torsten Sievers (PCQ consulting) gibt Tipps zur Umsetzung des Cyber Resilience Acts (CRA). Foto: Tilo Keller

Frühzeitig beginnen

Nach einer kurzen Pause ergänzte Dr. Torsten Sievers von PCQ consulting die vorangegangenen Vorträge mit praktischen Überlegungen zum Cyber Resilience Act. Er nahm hierzu vor allem Dokumentation, Verfahren und Risikobeurteilung in den Blick. Sievers empfahl unter anderem, frühzeitig die Risikobeurteilung zu erstellen, also schon in der Planungs-, Konzeptions- und Entwicklungsphase eines Produkts. „Die EU hat sich das nicht neu ausgedacht“, stellte Sievers fest. „Risikomanagement ist Bestandteil des guten Projektmanagements.“ Als Entwickler habe man bisher vielleicht nur darüber nachgedacht, nun sei man auch gezwungen alles niederzuschreiben, Fehler zu finden und zu eliminieren. Im Vorfeld sei eine saubere Produktbeschreibung und am besten auch die Festlegung auf Vertriebsländer wichtig. Sievers hob hervor, dass die EU mit den Regeln eigentlich einen klaren Schachzug für die Unternehmen gemacht habe und verwies in diesem Zusammenhang auf den Geltungsbereich für alle 27 EU-Länder. „Ich hoffe, sie haben ein paar Stolpersteine bei ihnen erkannt“, sagte er. „Nun gibt es einiges zu tun.“

Beim digital dialog der Initiative „Netzwerk IT + Medien“ zum Thema IT- und Produktsicherheit für Unternehmen im EMMA-Kreativzentrum.
v.l. Herbert Wackenhut (Fachbereichsleitung Präzisionstechnik, Cluster HOCHFORM am ZPT),
Rechtsanwalt Tim Kröger von Ladenburger Rechtsanwälte, Torsten Sievers (PCQ consulting, Rechtsanwalt), Marius Misztl, Ladenburger Rechtsanwälte und Dominika Dahn, WSP. Foto: Tilo Keller

Jetzt Newsletter abonnieren und von vielen Vorteilen profitieren!