Die Funkanlagenrichtlinie überarbeitet, die NIS-2-Richtlinie neu geschaffen. Der Cyber Security Act und die Maschinenverordnung sind geplant. Wir stellen diese vier wichtigsten Schritte hin zu einem EU-weit einheitlichen Cybersicherheitsniveau für Hersteller vor.
Smartmeter und Industrial IoT: alles Funkanlagen
Die Funkanlagenrichtlinie (2014/53/EU), mit dem Funkanlagengesetz 2017 in deutsches Recht umgesetzt, enthält grundlegende Anforderungen für die Bereitstellung von Funkanlagen auf dem europäischen Binnenmarkt. Mit einer delegierten Verordnung v. 29.10.2021 erweitert die Europäische Kommission Anwendungsbereich und Gesetzeszweck. Funkanlagen, die direkt oder indirekt (über andere Geräte) mit dem Internet kommunizieren, müssen Cybersicherheit und Datenschutz sicherstellen. Eine ausführliche Übersicht zum Anwendungsbereich finden Sie hier.
NIS-2-Richtlinie
Die Anfang 2023 in Kraft getretene NIS-2-Richtlinie enthält eine Vielzahl von neuen Verpflichtungen zur Erhöhung des Cybersicherheitsniveaus in Unternehmen, die nach Anhang I eine „hohe Kritikalität“ aufweisen oder nach Anhang II sonstigen kritischen Sektoren zugehörig sind. Unternehmen sind betroffen, soweit mehr als 50 Mitarbeiter beschäftigt oder ein Umsatz von 10 Mio. EUR überschritten werden und sie ihre Dienste in der EU erbringen. Wer verpflichtet ist, muss ein detailliertes Risikomanagementsystem zur Cybersicherheit einrichten. Nach Willen des Richtliniengebers werden dabei bevorzugt zertifizierte Systeme und genormte Prozesse zur Anwendung kommen. Eine Umsetzung in deutsches Recht steht bevor. Nach dem Grundsatz der Mindestharmonisierung darf der Gesetzgeber strengere Anforderungen festlegen. Ausführliche Informationen finden Sie hier.
Cyber Resilience Act: neue Verpflichtungen für digitale Produkte
Mit Vorschlag vom 15.09.2022 stellte die EU-Kommission ihren Entwurf für einen Cyber Resilience Act vor. Darin finden sich Anforderungen für die Entwicklung, das Design, die Produktion und die Bereitstellung von digitalen Produkten. Cybersicherheit muss während des gesamten Produktlebenszyklus gewährleistet werden. Das Regelwerk ist komplex und rekurriert neben seiner eigenen Definition von kritischen Produkten unter anderem auf Hochrisikosysteme im Sinne der geplanten KI-Verordnung. Adressaten sind die Hersteller, Händler, Importeure und ihre autorisierten Vertreter. Eine Vorstellung von den zukünftigen Anforderungen bieten Anhang I und II; kritische Produktgruppen (bislang 38) sind in Anhang III gelistet. Detaillierte Informationen finden sich in unserem frei zugänglichen Beitrag zum CRA in der Zeitschrift Kommunikation & Recht.
Maschinenverordnung
Der Vorschlag über eine Maschinenverordnung, die die bisherige Richtlinie ersetzen soll, wurde Ende 2022 veröffentlicht. Erstmals wird es für zulässig erklärt, Betriebsanleitungen allein digital zur Verfügung zu stellen. Der neue Anwendungsbereich erstreckt sich auch auf mit Software betriebene Maschinen und verlangt Risikobeurteilungsverfahren. Internetfähige Maschinen müssen besonders gegen Verfälschungen gesichert werden. Ausführlich behandelt werden die Neuerungen in unserem Whitepaper aus dem September letzten Jahres.
Fazit
Die NIS-2-Richtlinie muss zunächst in nationales Recht transferiert werden. Die Veränderungen der Funkanlagenrichtlinie gelten als delegierte Verordnung unmittelbar ab dem 01.08.2024. Wann der Cyber Security Act oder die Maschinenverordnung verabschiedet werden, ist noch unklar. Erkennbar ist jedoch die eindeutige Tendenz des europäischen Gesetzgebers, die Digitalisierung voranzutreiben, ohne dabei die Netzstabilität, den Verbraucher- oder Datenschutz zu beeinträchtigen. Hersteller sollten schon heute die notwendigen Maßnahmen ergreifen, um nicht ins Hintertreffen zu geraten. Weitere Informationen dazu finden Sie auch in unseren Onepagern zu Incident Response (.pdf) sowie zu Cybersecurity und Data Protection by Design (.pdf)
zurück