Cybersicherheit von Produkten und Unternehmen wird in der EU bald Pflicht
Kurz vor der Verschärfung der EU-Rechtsvorschriften zur Cybersicherheit bleiben die Unternehmen beunruhigend unaufmerksam. Vor allem bei Industrieanlagen und Verbrauchergeräten ist eine Umgestaltung dringend erforderlich. Ein Dutzend Richtlinien oder Verordnungen zur Cybersicherheit werden in den nächsten Jahren in Kraft treten. Werden diese nicht eingehalten, wird der Verkauf bestehender Produkte und digitaler Dienste illegal. Deshalb müssen sich Entscheidungsträger und Produktentwickler sowohl im Geräte- als auch im Softwaresektor jetzt mit den neuen Rechtsvorschriften vertraut machen und mit der Vorbereitung beginnen.
Die erste bedeutende Verschärfung der Vorschriften für Geräte wird ab dem 1. August 2024 über die Funkanlagenrichtlinie durchgesetzt. Sie gilt für Geräte mit drahtloser Funkkommunikation, sogar für drahtlose Headsets. Ab diesem Tag dürfen die meisten der heutigen drahtlosen IoT-Geräte in der EU nicht mehr verkauft werden, da sie nicht mehr mit der Richtlinie übereinstimmen. Wenn ein Unternehmen die heutigen drahtlosen IoT-Geräte weiterhin in der EU verkaufen möchte, muss es die CE-Kennzeichnung erneuern, um die neuen Anforderungen zu erfüllen.
Die NIS2-Richtlinie wird Ende 2024 in Kraft treten. Sie erweitert die Liste der Einrichtungen, die für die Gesellschaft wesentlich und wichtig sind, um Sektoren wie die Herstellung von Elektrogeräten, die chemische Industrie und IKT-Dienstleistungen. Im Prinzip gilt die NIS2 nur für mittlere und große Unternehmen, die verpflichtet sind, Managementsysteme für die Informationssicherheit einzuführen. In der Praxis sind jedoch auch viele kleine Unternehmen von den Anforderungen betroffen, da die größeren Unternehmen auch von ihren Unterauftragnehmern verlangen müssen, dass sie angemessene Verfahren für die Cybersicherheit einführen.
Noch weitreichender ist das Cyber-Resilienz-Gesetz, das im Laufe des Jahres 2025-26 in Kraft treten wird. Es wird für alle Produkte mit einer digitalen Dimension gelten, d. h. für alle Geräte, Software und viele elektronische und Softwarekomponenten. Diese müssen dann die neuen Anforderungen an die CE-Kennzeichnung für Cybersicherheit erfüllen.
Es ist daher wichtig, darauf hinzuweisen, dass diese Änderungen in der EU-Verordnung sowohl von Softwareunternehmen als auch von Herstellern von Industrieanlagen Aufmerksamkeit und Maßnahmen erfordern. Für ein agiles Softwareunternehmen könnte die CE-Kennzeichnung zum Beispiel ein unbekanntes Konzept sein.
Wenn ein Unternehmen dies nicht beachtet, drohen ernsthafte Probleme. Es besteht ein akuter Mangel an Mitarbeitern, die die Rechtsvorschriften verstehen und in der Praxis umsetzen können. Es gibt eine Menge zu lernen.
Jetzt ist es an der Zeit, die richtigen Partner zu finden und gemeinsam daran zu arbeiten, was angesichts der sich ändernden Vorschriften getan werden muss. Es ist wichtig, eine Diskussion über die neuen Anforderungen mit Unterauftragnehmern und anderen Partnern zu eröffnen.
Wenn ein Unternehmen rechtzeitig Maßnahmen zur Umsetzung der neuen Cybersicherheitsvorschriften ergreift, kann es seine Produkte und Dienstleistungen ohne Unterbrechung weiter verkaufen. Darüber hinaus kann sich ein Unternehmen, das die Vorschriften einhält, vor strafrechtlicher Haftung und erheblichen Verwaltungsstrafen schützen, falls es zu einem schädlichen Vorfall im Bereich der Cybersicherheit kommt, der seine Angebote und Tätigkeiten betrifft.