Europäische Cybersecurity Regulierung

Die Europäische Union nutzt komplexe Gesetzgebungsverfahren, um Vorschriften zu erlassen, die das Funktionieren des Binnenmarktes verbessern und die Lebensqualität ihrer Bürger sichern. Der folgende Überblick gibt einen Einblick in den Ablauf der EU-Gesetzgebung, die beteiligten Parteien, die Arten von Rechtsvorschriften und die Rolle von Normen.

Ablauf und Beteiligte

Die Rechtsetzung in der EU erfolgt durch drei Hauptorgane: die Europäische Kommission, das Europäische Parlament und den Rat der Europäischen Union. Die Kommission hat das alleinige Initiativrecht für Gesetzesvorschläge, die sie dem Parlament und dem Rat zur Beratung und Verabschiedung vorlegt. Das Gesetzgebungsverfahren umfasst mehrere Lesungen und gegebenenfalls ein Vermittlungsverfahren, um zu einem endgültigen Gesetzestext zu gelangen.

Arten von Rechtsvorschriften

Die EU verwendet im Wesentlichen zwei Arten von Rechtsakten:

  • Verordnungen (Regulations): Sie gelten unmittelbar in allen Mitgliedstaaten und müssen nicht in nationales Recht umgesetzt werden. Sie schaffen einheitliche Bedingungen über die Grenzen hinweg.
  • Richtlinien (Directives): Richtlinien geben Ziele vor, die von allen EU-Ländern erreicht werden müssen, überlassen aber den nationalen Behörden die Wahl der Mittel und Methoden. Eine Umsetzung in nationales Recht ist erforderlich, wobei die Mitgliedstaaten lokale Besonderheiten berücksichtigen können.

Zusätzlich zu diesen Hauptrechtsakten gibt es zwei weitere wichtige Arten von Rechtsakten, die zur Ergänzung oder Umsetzung der Hauptrechtsakte dienen:

  • Delegierte Rechtsakte (Delegated acts): Diese ermöglichen die Ergänzung oder Änderung nicht wesentlicher Teile des Hauptrechtsakts durch die Europäische Kommission. Der Prozess beinhaltet die Anhörung von Expertengruppen, in denen alle Mitgliedstaaten vertreten sind, sowie eine Überprüfung durch Rat und Parlament.
  • Durchführungsrechtsakte (Implementing acts): Diese dienen der harmonisierten Umsetzung in den Mitgliedstaaten durch die Europäische Kommission. Sie beinhalten die Anhörung der Mitgliedstaaten im Ausschussverfahren.

Beide Arten von Rechtsakten ermöglichen eine flexiblere und effizientere Gesetzgebung, indem sie technische Details oder Umsetzungsaspekte regeln, ohne den gesamten legislativen Prozess durchlaufen zu müssen.

Unterscheidung zwischen Delegiertem Rechtsakt und Durchführungsrechtsakt

Um die Anwendung von delegierten Rechtsakten und Durchführungsrechtsakten besser zu verstehen, betrachten wir konkrete Beispiele aus der EU-Gesetzgebung:

  • Delegierter Rechtsakt: Ein wichtiges Beispiel ist der delegierte Rechtsakt zur Radio Equipment Directive (RED). Dieser Akt ergänzt die RED um spezifische Anforderungen an die Cybersicherheit von Funkanlagen. Er legt fest, welche Produktkategorien bestimmte Sicherheitsstandards erfüllen müssen, ohne den Kerntext der Richtlinie zu ändern.
  • Delegierte und Durchführungsrechtsakte: Der Cyber Resilience Act (CRA) sieht sowohl delegierte als auch Durchführungsrechtsakte vor. Delegierte Rechtsakte könnten beispielsweise genutzt werden, um die Liste der hochkritischen Produkte mit digitalen Elementen zu aktualisieren. Durchführungsrechtsakte könnten dagegen eingesetzt werden, um einheitliche Bedingungen für die Durchführung von Marktüberwachungsmaßnahmen in allen EU-Mitgliedstaaten festzulegen.

Die Beispiele zeigen, wie das EU-Rechtssystem auf technologische Entwicklungen und Sicherheitsanforderungen reagieren kann, ohne jedes Mal den vollständigen Gesetzgebungsprozess durchlaufen zu müssen.

Zusammenhang zwischen Normen und Rechtsvorschriften

Normen sind technische Spezifikationen, die Anforderungen an Produkte, Dienstleistungen oder Verfahren festlegen. Ihre Anwendung ist in der Regel freiwillig, es sei denn, spezifische Gesetze oder Verträge schreiben ihre Anwendung vor. Normen sind wichtig, um den „anerkannten Stand der Technik“ aufzuzeigen und „bewährte Verfahren“ in der Industrie zu fördern.

Einen Überblick über relevante Normen und Standards für die Cybersecurity gibt es in unserem Beitrag zu Normen & Standards.

Das Gesetzgebungssverfahren im Detail

Um die Komplexität des Gesetzgebungsprozesses in der Europäischen Union zu verstehen, ist es wichtig, die einzelnen Schritte im Detail zu betrachten. Im Folgenden werden die einzelnen Schritte kurz beschrieben:

  • Initiative: Die Kommission legt dem Parlament und dem Rat einen Vorschlag vor. Der Vorschlag kann auch von den Mitgliedstaaten, dem Europäischen Gerichtshof, der Europäischen Zentralbank oder der Europäischen Investitionsbank ausgehen.
  • Erste Lesung: Parlament und Rat prüfen den Vorschlag. Wenn beide zustimmen, ist der Rechtsakt angenommen.
  • Zweite Lesung: Kommt es zu keiner Einigung, findet eine zweite Lesung statt, in der das Parlament den Standpunkt des Rates annehmen oder ablehnen kann. Kommt keine Einigung zustande, wird ein Vermittlungsausschuss einberufen.
  • Vermittlung: Der Ausschuss versucht, einen Kompromiss zu finden. Einigt man sich auf einen gemeinsamen Text, kommt es zur dritten Lesung.
  • Dritte Lesung: Der gemeinsame Text muss von Parlament und Rat bestätigt werden. Scheitert die Bestätigung, ist der Vorschlag abgelehnt.

Bedeutende Regulierung mit Bezug zur Security

Im Bereich der Cybersecurity und des Datenschutzes hat die Europäische Union mehrere wichtige Regulierungen implementiert, die dazu dienen, sowohl Verbraucher als auch Unternehmen zu schützen. Hier sind einige der relevantesten EU-Regulierungen:

Anforderungen an Betreiber

Im Bereich der Cybersecurity und des Datenschutzes hat die Europäische Union mehrere wichtige Regulierungen implementiert, die Betreiber wesentlicher Dienste und digitaler Dienste dazu verpflichten, strenge Sicherheitsmaßnahmen zu ergreifen und Risiken zu minimieren.

  • Datenschutz-Grundverordnung (DSGVO, GDPR) – (EU) 2016/679: Diese Verordnung ist das Kernstück der Datenschutzgesetzgebung in der EU und zielt darauf ab, die personenbezogenen Daten aller Einzelpersonen innerhalb der EU zu schützen. Sie gibt Einzelpersonen mehr Kontrolle über ihre persönlichen Daten und stellt sicher, dass Unternehmen, die diese Daten verarbeiten, strenge Anforderungen erfüllen.
  • NIS (Network and Information Systems) Richtlinie – (EU) 2016/1148: Diese Richtlinie wurde entwickelt, um ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der EU zu gewährleisten. Sie richtet sich an Betreiber wesentlicher Dienste und Anbieter digitaler Dienste und fordert diese auf, angemessene Sicherheitsmaßnahmen zu treffen und Vorfälle zu melden.
  • NIS 2 Richtlinie – (EU) 2022/2555: Diese Richtlinie aktualisiert und erweitert die ursprüngliche NIS-Richtlinie, um den neuen Herausforderungen der Cybersicherheit gerecht zu werden. Sie erweitert den Anwendungsbereich und verschärft die Sicherheitsanforderungen für betroffene Unternehmen.
  • eIDAS-Verordnung (Electronic Identification and Trust Services) – (EU) 910/2014: Diese Verordnung schafft einen europäischen Rahmen für elektronische Identifikationen und Vertrauensdienste für elektronische Transaktionen im europäischen Binnenmarkt. Sie stellt sicher, dass elektronische Signaturen, Siegel, Zeitstempel und andere Vertrauensdienste grenzüberschreitend anerkannt werden.

Anforderungen an Hersteller/Inverkehrbringer von Produkten

Um die Sicherheit von Produkten im europäischen Markt zu gewährleisten, hat die Europäische Union eine Reihe von Regulierungen eingeführt, die Hersteller und Inverkehrbringer dazu verpflichten, umfassende Cybersicherheitsmaßnahmen während des gesamten Produktlebenszyklus zu implementieren.

  • Cybersecurity Act – (EU) 2019/881: Dieser Rechtsakt etabliert einen Rahmen für die Zertifizierung von Cybersecurity in der Europäischen Union und stärkt das Mandat der Europäischen Agentur für Netz- und Informationssicherheit (ENISA). Ziel ist es, das Vertrauen in den digitalen Binnenmarkt zu stärken und die Cybersicherheit von Produkten und Dienstleistungen zu erhöhen.
  • Cyber Resilience Act: Dieses Gesetz zielt darauf ab, die Cybersicherheitsanforderungen für Produkte mit digitalen Elementen zu verbessern. Es legt Mindeststandards für die Cybersicherheit fest und fordert von Herstellern, Sicherheitsupdates und Schwachstellenmanagement während des gesamten Lebenszyklus ihrer Produkte bereitzustellen.
  • Radio Equipment Directive – (EU) 2014/53 und (EU) 2022/30: Diese Richtlinie stellt sicher, dass Funkanlagen sicher und störungsfrei arbeiten. Die delegierte Verordnung zur Radio Equipment Directive stärkt die Anforderungen an die Cybersicherheit für solche Geräte.

Darüber hinaus hat die EU weitere, branchenspezifische Regulierungen verabschiedet:

  • Maschinenverordnung – (EU) 2023/1230: Diese Verordnung regelt die Sicherheitsanforderungen für Maschinen, einschließlich der Cybersecurity-Anforderungen für Maschinen, die in Industrie 4.0 und anderen vernetzten Umgebungen eingesetzt werden.
  • Medical Device Regulation – (EU) 2017/745: Diese Verordnung regelt die Sicherheit und Leistungsanforderungen für medizinische Geräte, einschließlich der Anforderungen an die Cybersicherheit für vernetzte medizinische Geräte.
  • In Vitro Diagnostic Regulation – (EU) 2017/746: Diese Verordnung legt die Anforderungen an die Sicherheit und Leistungsfähigkeit von In-vitro-Diagnostika fest, einschließlich der Cybersecurity-Anforderungen für diese Geräte.
  • Marine Equipment Directive (MED) – 2014/90/EU: Diese Verordnung legt Anforderungen an die Ausrüstung von Schiffen fest. Diese verweisen auf die Unified Requirements (UR) der International Association of Classification Societies (IACS), die wiederum u.a. auch die Cyber-Resilienz von Bordsystemen und -ausrüstungen definieren.

Diese Regulierungen spielen eine entscheidende Rolle bei der Formung der Sicherheitslandschaft in der EU, indem sie einheitliche Standards setzen und das Vertrauen in digitale und netzwerkbezogene Aktivitäten stärken.

Unterstützung bei der Umsetzung

Die Umsetzung der beschriebenen Cybersecurity-Regulierungen erfordert fundiertes Fachwissen und praxisorientierte Lösungen. Als erfahrene Experten im Bereich Cybersecurity bieten wir Ihnen maßgeschneiderte Unterstützung bei der Implementierung dieser komplexen Anforderungen. Unser Team von Spezialisten hilft Ihnen dabei, die für Ihr Unternehmen relevanten Regulierungen zu identifizieren und effektive Strategien zu ihrer Erfüllung zu entwickeln.

Wir unterstützen Sie unter anderem bei:

  • Der Analyse Ihrer aktuellen Cybersecurity-Maßnahmen
  • Der Entwicklung eines individuellen Fahrplans zur Regulierungskonformität
  • Der Implementierung notwendiger technischer und organisatorischer Maßnahmen
  • Der Schulung Ihrer Mitarbeiter zu den neuen Anforderungen
  • Der kontinuierlichen Überwachung und Anpassung Ihrer Sicherheitsmaßnahmen

Durch unsere Beratungsdienstleistungen stellen wir sicher, dass Ihr Unternehmen nicht nur die gesetzlichen Anforderungen erfüllt, sondern auch von einer verbesserten Cybersecurity-Positionierung profitiert.

Kontaktieren Sie uns noch heute für ein kostenloses Erstgespräch, um zu erfahren, wie wir Sie bei der Umsetzung des Cybersecurity-Regulierungen in Ihrem Unternehmen unterstützen können.