Das neue Datensicherheitsrecht E-Book

ISBN 978–3–8005–1989–7

© 2025 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Mainzer

Landstr. 251, 60326 Frankfurt am Main, [email protected]

www.ruw.de

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: Beltz Grafische Betriebe GmbH, 99947 Bad Langensalza

Printed in Germany

Vorwort

Die digitale Transformation verändert unsere Gesellschaft, Wirtschaft und Verwaltung grundlegend. Mit dem rasanten Fortschritt von Technologien, wie Künstlicher Intelligenz, Cloud Computing, Internet der Dinge oder auch Quantencomputing, entstehen nicht nur neue Chancen, sondern auch erhebliche Herausforderungen für Datenschutz, IT-Sicherheit und die Regulierung digitaler Märkte. Der europäische und auch nationale Gesetzgeber reagieren darauf mit einer Vielzahl neuer und überarbeiteter Gesetze, Richtlinien und Verordnungen, die Unternehmen, Behörden und Bürger gleichermaßen betreffen.

Dieses Werk bietet einen kompakten Überblick über die wichtigsten Regelwerke, die das digitale Zeitalter in Deutschland und der Europäischen Union prägen. Ziel ist es, Orientierung zu geben und die zentralen Inhalte, Zielsetzungen und Anwendungsbereiche der relevanten Normen verständlich darzustellen. Dabei werden nicht nur allgemein geltende Gesetze betrachtet, sondern auch verschiedene branchenspezifische Regelungen, etwa für den Gesundheitssektor oder für den Finanzmarkt. Dabei werden die einzelnen Regelwerke jeweils überblicksartig dargestellt. Besonderes Augenmerk gilt einzelnen Rechtsakten, wie der KI-Verordnung, der NIS2-Richtlinie oder auch der Datenschutzgrundverordnung, da sie für eine Vielzahl von Unternehmen und Behörden von großer Bedeutung sind.

Das vorliegende Werk richtet sich an Praktiker in Unternehmen, Behörden und Kanzleien, aber auch an Studenten, Wissenschaftler und alle, die sich einen fundierten Überblick über die rechtlichen Rahmenbedingungen des „Datensicherheitsrechts“ (im weitesten Sinne) verschaffen möchten. Es soll helfen, die Komplexität der europäischen und deutschen Digitalgesetzgebung zu durchdringen und die praktische Relevanz der einzelnen Regelungen einzuordnen.

Rechtsanwalt Michael Rohrlich (www.ra-rohrlich.de)

im Juli 2025

Inhaltsverzeichnis

Vorwort

I. Einführung

1. „Leitfaden“

2. EU-Digitalstrategie/EU-Datenstrategie

3. EU-Datenräume

4. Überblick über die behandelten Gesetze

II. Sicherheit in der EU

1. Cybersecurity Act (CA)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

2. Cyber Solidarity Act (CSA)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

III. (Erweiterter) KRITIS-Bereich

1. NIS2-Richtlinie (NIS2)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

EU-Mitgliedstaaten

Einrichtungen

Leitungspersonen

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

1. NIS2-Umsetzungsverordnung (NIS2UmsVO)

2. ENISA-Leitlinien

3. NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

4. ISO/IEC 27001

5. BSI IT-Grundschutz

2. NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

1. Risikomanagementmaßnahmen (§ 30 BSIG)

2. Meldepflichten (§ 32 BSIG)

3. Registrierungspflicht (§ 33 BSIG)

4. Unterrichtungspflichten (§ 35 BSIG)

5. Besondere Pflichten für Geschäftsleitungen

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

3. CER-Richtlinie (CER)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

4. KRITIS-Dachgesetz

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

5. IT-Sicherheitsgesetz 2.0 (IT-SiG2)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

6. BSI-Gesetz (BSIG)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

IV. Datenschutz

1. Datenschutzgrundverordnung (DSGVO)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich Sachlicher Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

2. Bundesdatenschutzgesetz (BDSG)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

V. Verbraucherschutz

1. Digitale-Inhalte-Richtlinie (DIRL)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

Bereitstellungspflicht und Konformitätsanforderungen

Updatepflicht

Rückgabe digitaler Inhalte

Einschränkungen bei Kontosperrung und Inhaltslöschung

Keine „As-is“-Klauseln mehr

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

2. Warenkauf-Richtlinie (WKRL)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

Pflichten der Verkäufer

Pflichten der Hersteller

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

3. Digital Fairness Act (DFA)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

4. Ökodesign-Verordnung (ÖkodesignVO)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

Hersteller als Hauptverantwortliche

Regeln für Importeure

Pflichten von Vertreibern und Händlern

Regeln für Online-Marktplätze

Digitaler Produktpass als zentrales Element

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

VI. Produktsicherheit

1. Produktsicherheitsverordnung (GPSR)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

2. Produkthaftungsrichtlinie (ProdHaftRL)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

3. Cyber Resilience Act (CRA)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

4. Maschinenverordnung (MaschinenVO)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

Hersteller

Importeure

Händler

Bevollmächtigte

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

5. Funkanlagen-Richtlinie (RED)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

VII. Künstliche Intelligenz

1. KI-Verordnung (KI-VO)

a) Zielrichtung

Aufbau/Struktur des Gesetzes

Gesetzlich verankerte Prinzipien

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

Bereichsausnahmen

Räumlicher Anwendungsbereich

Sachlicher Anwendungsbereich

Persönlicher Anwendungsbereich

d) Pflichten von Akteuren

Einteilung in Risikoklassen

Anforderungen an Hochrisiko-KI-System; Anbieter- & Betreiber-Pflichten

Anforderungen an KI-Modelle mit allgemeinem Verwendungszweck

Transparenzpflichten

KI-Kompetenz

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

ISO/IEC 42001 (KI-Managementsystem)

ISO 31000 (Risikomanagement)

ISO/IEC 27001 (Informationssicherheitsmanagement)

IT-Einsatz-Gesetz (ITEG)

BSI AIC4

BRAK-Leitfaden zum KI-Einsatz

Leitlinien für KI-Einsatz in der Bundesverwaltung

Initiativen

GPAI Code of Practice

h) Checkliste KI-VO

2. KI-Haftungsrichtlinie (KI-HaftRL)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten

VIII. Daten(wirtschafts)recht

1. Data Act (DA)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

2. Data Governance Act (DGA)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

3. Geschäftsgeheimnisgesetz (GeschGehG)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

IX. Finanzsektor

1. Digital Operational Resilience Act (DORA)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

Finanzunternehmen:

IKT-Dienstleister

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

Ergänzende EU-Regelungen

Deutsche Regelungen

MaRisk

2. Framework for Financial Data Access (FiDA)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

3. Markets in Crypto-Assets Regulation (MiCAR)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

Erfasste Kryptowerte

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

Europäische Standards

Deutsche Regelungen

4. Finanzmarktdigitalisierungsgesetz (FinmadiG)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

X. Gesundheitssektor

1. European Health Data Space (EHDS)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

Primärnutzung

Sekundärnutzung

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

2. Medizinprodukteverordnung (MDR)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

3. Patientendatenschutzgesetz (PDSG)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

4. Gesundheitsdatennutzungsgesetz (GDNG)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

5. Digitale-Versorgung-Gesetz (DVG)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

XI. Plattformregulierung

1. Platform-to-Business-Verordnung (P2B-VO)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

2. Digital Services Act (DSA)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

3. Digital Markets Act (DMA)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

4. Digital Networks Act (DNA)

a) Zielrichtung

b) Inkrafttreten/Anwendbarkeit

c) Anwendungsbereich

d) Pflichten von Akteuren

e) Sanktionen/Geldbußen

f) Zuständige Aufsichtsbehörden

  1https://www.bitkom.org/Bitkom/Publikationen/Digitalgesetzgebung-EU-Konfliktzonen-Wege-zur-Kohaerenz.

  2Vgl. „IT-Sicherheit“, 50.1., S. 73ff. in Computerrechts-Handbuch (Taeger/Pohle), 39. EL, April 2024.

  3https://papers.ssrn.com/sol3/papers.cfm?abstract_id=5251254.

  4https://commission.europa.eu/document/download/84c05739-547a-4b86-9564-76e834dc7a49_de?filename=communication-shaping-europes-digital-future-feb2020_de.pdf.

  5https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14675-Quantum-Strategy-of-the-EU_en.

  6Vgl. „Datenrecht“ (Hoeren/Pinelli), S. 8ff.

II. Sicherheit in der EU

1. Cybersecurity Act (CA)

a) Zielrichtung

Die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit)7, auch Cybersecurity Act (CA) genannt, stellt einen wichtigen Meilenstein in der europäischen Cybersicherheitspolitik dar und schafft einen einheitlichen Rahmen für die Cybersicherheit in der gesamten Europäischen Union.

Der CA verfolgt zwei Hauptziele: Zum einen die Stärkung der Europäischen Agentur für Cybersicherheit (ENISA) und zum anderen die Schaffung eines EU-weiten Rahmens für die Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen.

Die Verordnung zielt darauf ab, ein hohes Niveau in der Cybersicherheit, bei der Fähigkeit zur Abwehr gegen Cyberangriffe und beim Vertrauen in die Cybersicherheit in der Europäischen Union zu erreichen. Dies geschieht vor dem Hintergrund einer zunehmend digitalisierten Wirtschaft und Gesellschaft, in der Cyberbedrohungen immer komplexer werden und grenzüberschreitend stattfinden.

Im Kontext der EU-Strategie für einen digitalen Binnenmarkt soll der CA das Vertrauen in digitale Lösungen stärken, indem er Transparenz bezüglich der Sicherheitseigenschaften von sogenannten IKT-Produkten, also Produkten der Informations- und Kommunikationstechnologie, schafft. Dies ist besonders wichtig, da die bisher begrenzte Nutzung von Zertifizierungen dazu führte, dass individuelle, organisatorische und geschäftliche Nutzer unzureichende Informationen über die Cybersicherheitsmerkmale von IKT-Produkten und -Diensten hatten.

b) Inkrafttreten/Anwendbarkeit

Der CA ist am 27. Juni 2019 in Kraft getreten. Die Umsetzung erfolgte jedoch stufenweise:

Die Kernbestimmungen der Verordnung sind seit dem Inkrafttreten anwendbar.

Die Vorschriften über die Benennung der nationalen Behörden für die Cybersicherheitszertifizierung, die Akkreditierung und Notifikation der Konformitätsbewertungsstellen, das Beschwerderecht und das Recht auf gerichtlichen Rechtsbehelf sowie über Sanktionen gelten seit dem 28. Juni 2021.

c) Anwendungsbereich

Der Anwendungsbereich des CA umfasst zwei Hauptsäulen:

Die ENISA und ihre Aufgaben: Die Verordnung definiert das Mandat und die Aufgaben der EU-Agentur für Cybersicherheit, die als zentrales Kompetenzzentrum für Cybersicherheit in der EU fungiert.

Der europäische Rahmen für die Cybersicherheitszertifizierung: Dieser Rahmen gilt für IKT-Produkte, -Dienste und -Prozesse, die in der EU auf den Markt gebracht werden, und schafft ein harmonisiertes System zur Bewertung ihrer Cybersicherheitseigenschaften.

Die Zertifizierung nach dem CA erfolgt derzeit auf freiwilliger Basis, sofern dies nicht durch andere EU-Rechtsakte anders festgelegt wird. Der Anwendungsbereich wird durch ergänzende Rechtsakte, wie etwa den Cyber Resilience Act (CRA), erweitert.

Unter den CA fallen verschiedene Kategorien von IKT-Produkten, darunter:

Hardware-Komponenten

Software

Netzwerkkomponenten

Digitale Dienste und Prozesse.

d) Pflichten von Akteuren

Der CA definiert Pflichten für verschiedene Akteure:

ENISA:

Unterstützung der Mitgliedstaaten und EU-Institutionen beim Aufbau von Cybersicherheitskapazitäten

Förderung der Zusammenarbeit zwischen Mitgliedstaaten und mit dem privaten Sektor

Bereitstellung von Fachwissen und Beratung zu Cybersicherheitsthemen

Entwicklung und Pflege von Zertifizierungsschemata

Sensibilisierung für Cybersicherheitsrisiken und -maßnahmen

Unterstützung bei der Bewältigung von grenzüberschreitenden Cybersicherheitsvorfällen.

Hersteller und Anbieter von zertifizierten IKT-Produkten, -Diensten oder -Prozessen:

Zugänglichmachung relevanter Informationen zur Cybersicherheit ihrer Produkte für die Öffentlichkeit

Bereitstellung von Updates und Sicherheitspatches

Information der Nutzer über Sicherheitsrisiken und Maßnahmen

Einhaltung der in den Zertifizierungsschemata festgelegten Anforderungen.

Mitgliedstaaten:

Benennung einer oder mehrerer nationaler Behörden für die Cybersicherheitszertifizierung mit ausreichenden Ressourcen und Befugnissen

Überwachung und Durchsetzung der Regeln im Rahmen der europäischen Zertifizierungsschemata

Zusammenarbeit mit anderen Mitgliedstaaten und der ENISA.

Europäische Kommission:

Erstellung und regelmäßige Aktualisierung eines mehrjährigen Arbeitsprogramms für europäische Cybersicherheitszertifizierungsschemata

Annahme von Durchführungsrechtsakten für die europäischen Zertifizierungsschemata

Förderung der internationalen Anerkennung der EU-Zertifizierungsschemata.

e) Sanktionen/Geldbußen

Der CA selbst enthält keine detaillierten Bestimmungen zu Sanktionen, sondern überlässt es den Mitgliedstaaten, die Strafen für Verstöße gegen die Verordnung und die darauf basierenden Zertifizierungsschemata festzulegen. Besonders relevant sind Sanktionen für:

Ausgabe einer Konformitätserklärung, die nicht den gesetzlichen Anforderungen entspricht

Verletzung der gesetzlichen Informationspflichten.

Mit der fortschreitenden Umsetzung des CA und der Entwicklung weiterer Zertifizierungsschemata ist zu erwarten, dass die Mitgliedstaaten ihre Sanktionsregelungen weiter ausbauen und konkretisieren werden.

f) Zuständige Aufsichtsbehörden

Die Aufsicht und Durchsetzung des CA erfolgt auf zwei Ebenen, nämlich auf EU-Ebene sowie auch nationaler Ebene.

EU-Ebene

nationale Ebene

ENISA als zentrale Agentur für Cybersicherheit in der EU

nationale Behörden für die Cybersicherheitszertifizierung, die von jedem Mitgliedstaat benannt werden muss

Europäische Kommission, die die übergeordnete Aufsicht über den europäischen Zertifizierungsrahmen hat

in Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zuständige Behörde

Europäische Cybersicherheitszertifizierungsgruppe (ECCG), die aus Vertretern der nationalen Behörden für die Cybersicherheitszertifizierung besteht

diese Behörden sind für die Überwachung, Aufsicht und Durchsetzung der europäischen Zertifizierungsschemata im jeweiligen Mitgliedstaat verantwortlich

Die nationalen Behörden arbeiten eng mit der ENISA und untereinander zusammen, um einen konsistenten Ansatz für die Cybersicherheitszertifizierung in der gesamten EU zu gewährleisten.

g) Ergänzende Rechtsakte, Leitlinien, Normen & Co.

Der CA wird durch verschiedene ergänzende Rechtsakte, Leitlinien, Normen etc. unterstützt und erweitert. Ein entscheidender Punkt bei der Umsetzung des CA ist die Annahme des ersten europäischen Zertifizierungsschemas (EUCC) durch die Europäische Kommission im Januar 2024. Es ist das erste System, das im Rahmen des Zertifizierungsrahmens des CA verabschiedet wurde. Es wird EU-weit auf freiwilliger Basis angewandt und konzentriert sich auf die Zertifizierung der Cybersicherheit von IKT-Produkten in ihrem Lebenszyklus, wie z.B.:

Biometrische Systeme

Firewalls (Hardware und Software)

Erkennungs- und Reaktionsplattformen

Router

Spezialisierte Software (wie SIEM- und IDS/IDP-Systeme)

Betriebssysteme

verschlüsselte Speicher

Datenbanken

Smartcards und sichere Elemente.

Das EU-Cybersicherheitszertifizierungssystem auf der Grundlage gemeinsamer Kriterien (engl.: EU Cybersecurity Certification Scheme on Common Criteria, EUCC) ist in einer Durchführungsverordnung8 festgelegt worden,die am 27. Februar 2024 in Kraft getreten und seit dem 27. Februar 2025 vollständig anwendbar ist.

Auf der EUCC-Website finden sich neben dem Text der Durchführungsverordnung noch weiterführende Informationen

Description

Abbild der ENISA-Internetseite mit Informationen und einer Kurzübersicht über das neue EU Cybersecurity-Zertifizierungsschema auf Basis der „Common Criteria“ (EUCC)

Das neue EUCC-System ist freiwillig und ermöglicht es IKT-Anbietern, die einen Nachweis ihrer Sicherheit erbringen möchten, ein EU-weit einheitliches Bewertungsverfahren zu durchlaufen, um IKT-Produkte wie technologische Komponenten (Chips, Smartcards), Hardware und Software zu zertifizieren. Das System sieht zwei Sicherheitsstufen vor, die sich nach dem mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Prozesses verbundenen Risiko in Bezug auf die Wahrscheinlichkeit und die Auswirkungen eines Vorfalls richten. Das EUCC-Schema konzentriert sich auf Hardware- und Softwareprodukte für drei Vertrauenswürdigkeitsstufen:

„niedrig“

„mittel“

„hoch“.

Die Sicherheitsstufen enthalten eine Risikoabwägung im Hinblick auf die Wahrscheinlichkeit von Sicherheitsvorfällen. In der Stufe „niedrig“ können Herstellerunternehmen die Konformität ihrer Produkte und Dienstleistungen selbst bewerten. Die Stufe „hoch“ bestätigt hingegen umfangreiche Fähigkeiten, Cyberangriffe auf dem aktuellen Stand der Technik abzuwehren. Dadurch sollen letztlich private Endkunden informierte Entscheidungen treffen können. Insbesondere soll die Sicherheit von vernetzten Alltagsprodukten erhöht werden, wie etwa dem per App steuerbaren Thermostat oder dem smarten Kühlschrank.

Abgesehen davon ergänzt der Cyber Resilience Act (CRA) den CA, und zwar durch spezifische Anforderungen für alle vernetzten Produkte, die auf dem EU-Markt erhältlich sind, indem er verbindliche Mindeststandards für die Cybersicherheit festlegt. Die NIS2-Richtlinie ergänzt den CA ebenfalls, und zwar durch spezielle Anforderungen an kritische Infrastrukturen und wichtige Dienste in Bezug auf Cybersicherheitsmaßnahmen und Meldepflichten. Außerdem ist beim Umgang mit personenbezogenen Daten auch die Datenschutzgrundverordnung (DSGVO) zu nennen. Sie enthält Bestimmungen zur Sicherheit der Verarbeitung personenbezogener Daten, die mit den Cybersicherheitsanforderungen in Einklang stehen müssen.

Darüber hinaus gilt noch folgendes:

ENISA-Leitlinien: Die ENISA10 veröffentlicht regelmäßig Leitlinien und Best Practices zur Cybersicherheit, die bei der Umsetzung des CA helfen können.

Common Criteria (ISO/IEC 15408): Internationale Norm für die Bewertung der Sicherheit von IT-Produkten, die die Grundlage für das EUCC-Schema bildet.

SOG-IS-Abkommen: Ein Abkommen11 zwischen 17 EU-Mitgliedstaaten zur gegenseitigen Anerkennung von Cybersicherheitszertifizierungen, das durch den CA und das EUCC-Schema schrittweise ersetzt wird.

In Entwicklung befinden sich weitere Zertifizierungsschemata, die spezifische Bereiche abdecken werden, wie z.B. für Cloud-Dienste oder das Internet der Dinge (engl.: Internet of Things, IoT).

2. Cyber Solidarity Act (CSA)

a) Zielrichtung

Die Verordnung (EU) 2025/38 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über Maßnahmen zur Stärkung der Solidarität und der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen und zur Änderung der Verordnung (EU) 2021/694 (Cybersolidaritätsverordnung)12 wird auch als Cyber Solidarity Act