Cybersicherheitsgesetze in EU und Deutschland: Regelwerke und Anwendbarkeit

Cybersicherheit und DSGVO

Die DSGVO dient dem Schutz der personenbezogenen Daten natürlicher Personen. Im Unterschied zu den nachfolgenden Gesetzen liegt der Schutzzweck der DSGVO in erster Linie nicht darin, die Unternehmen vor Cyberangriffen oder ähnlichen Bedrohungen zu schützen – vielmehr steht der allgemeine Schutz der personenbezogenen Daten der natürlichen Personen im Vordergrund.

Auch dieser Schutz kann jedoch nur dann erreicht werden, wenn IT-Systeme und die darin abgebildeten Datenverarbeitungen sicher ausgestaltet sind. Daher verpflichten Art. 5, Art. 25 und insb. Art. 32 DSGVO die Verantwortlichen und Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten.

Zu diesen Maßnahmen gehören unter anderem die Pseudonymisierung und Verschlüsselung von Daten, die Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Dienste bzw. Systeme sowie Maßnahmen zur Datenwiederherstellung und regelmäßige Evaluationen.

Im Falle einer Verletzung des Schutzes der personenbezogenen Daten sieht Art. 33 DSGVO eine Pflicht zur Meldung des Vorfalls vor, wenn der Vorfall voraussichtlich zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt. In diesem Fall hat der Verantwortliche dies unverzüglich und möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden.

Die Meldung muss dabei unter anderem über die Hintergründe des Vorfalls, die von dem Vorfall betroffenen Daten und Personen, über die wahrscheinlichen Folgen sowie über die ergriffenen Abhilfemaßnahmen informieren.  

Daneben besteht nach Art. 34 DSGVO auch eine Meldepflicht gegenüber den Betroffenen, wenn der Sicherheitsvorfall voraussichtlich ein hohes Risiko für die Betroffenen zur Folge hat. Ein hohes Risiko kann etwa dann vorliegen, wenn sensible Daten von dem Vorfall betroffen sind.

NIS-2-Richtlinie

Die NIS-2-Richtlinie stellt eine Weiterentwicklung der ersten NIS-Richtlinie aus dem Jahr 2016 dar. Ziel der NIS-2-Richtlinie ist es, die Anforderungen an Cybersicherheitsvorkehrungen auf europäischer Ebene zu vereinheitlichen und hierdurch ein hohes Sicherheitsniveau für gesellschaftlich relevante Organisationen zu gewährleisten.

NIS-2 gilt für sogenannte „wesentliche“ und „wichtige“ Einrichtungen. Welche Einrichtungen wesentlich bzw. wichtig sind, ergibt sich aus den entsprechenden Anhängen I („hohe Kritikalität“) und II („sonstige kritische Sektoren“) und richtet sich insofern nach der Zugehörigkeit zu bestimmten Sektoren, Teilsektoren und Arten von Einrichtungen. Erfasst werden alle Unternehmen in den kritischen Sektoren mit mindestens 50 Beschäftigten oder einem Jahresumsatz bzw. einer Jahresbilanz von mehr als 10 Mio. EUR (mittlere und große Unternehmen). Kleinst- und Kleinunternehmen sind dagegen grundsätzlich ausgenommen.

Um ein hohes Sicherheitsniveau dieser Einrichtungen zu gewährleisten, sieht Art. 21 NIS-2 umfangreiche Sicherheitsanforderungen vor. Die Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten.

Diese Maßnahmen umfassen nach Art. 21 Abs. 2 NIS-2 unter anderem Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme, Maßnahmen zur Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs (z. B. Backup-Management und Wiederherstellung nach einem Notfall), Kryptografie, Verschlüsselungstechnologien und Multi-Faktor-Authentifizierung.

Eine wesentliche Pflicht ist zudem die Gewährleistung der Sicherheit in der Lieferkette. Das bedeutet, dass die Unternehmen nicht nur verpflichtet sind, ein entsprechendes Schutzniveau für die eigenen IT-Systeme bzw. IT-Dienste zu gewährleisten. Vielmehr müssen auch die jeweiligen Dienstleister und Lieferanten des Unternehmens vertraglich zur Einhaltung eines entsprechenden Sicherheitsniveaus verpflichtet und dies auch überprüft werden.

Sollte es trotz der ergriffenen Maßnahmen zur einem Sicherheitsvorfall kommen, sieht Art. 23 NIS-2 eine Berichts- bzw. Meldepflicht der betroffenen Unternehmen vor. Dabei ist nicht jeder Sicherheitsvorfall meldepflichtig, sondern nur solche, die erhebliche Auswirkungen haben bzw. haben könnten. Erheblich ist ein Sicherheitsvorfall, wenn er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat bzw. verursachen kann oder er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

Die Meldepflicht sieht vor, dass innerhalb von 24 Stunden nach Kenntnisnahme  eine Frühwarnung erfolgen muss. Innerhalb von 72 Stunden muss eine weitere Meldung erfolgen, die eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen beinhaltet. Auf Verlangen der Behörde sind zudem Zwischenberichte einzureichen. Spätestens nach einem Monat muss ein Abschlussbericht vorgelegt werden. Dort muss der Sicherheitsvorfall ausführlich beschrieben und Angaben zur Art der Bedrohung bzw. Ursache und den getroffenen und laufenden Abhilfemaßnahmen gemacht werden

Zu beachten ist, dass von NIS-2 als EU-Richtlinie selbst keine unmittelbare Wirkung ausgeht. Damit die Inhalte der Richtlinie Wirkung entfalten, bedarf es noch der Umsetzung in nationales Recht durch den deutschen Gesetzgeber. Deutschland hat die NIS-2-Richtlinie nicht fristgemäß bis zum 17.10.2024 umgesetzt. Aufgrund der vorgezogenen Neuwahlen konnte über den bisherigen Entwurf zur Umsetzung der NIS-2-Richtlinie, das NIS2UmsuCG, nicht mehr abgestimmt werden. Zu welchem Zeitpunkt NIS-2 in nationales Recht umgewandelt wird, ist gegenwärtig nicht absehbar.

Critical Entities Resilience-Richtlinie (CER) & KRITIS-Dachgesetz

Mit der Critical Entities Resilience-Richtlinie (kurz CER-Richtlinie) hat die EU neben NIS-2 ein weiteres Gesetz geschaffen, welches Anforderungen an die Sicherheit von kritischen Einrichtungen aufstellt. Im Unterschied zu den weiteren hier aufgeführten Gesetzen – und insbesondere zu NIS-2 –  enthält die CER-Richtlinie aber keine Anforderungen an die Cybersicherheit, sondern adressiert die physische Sicherheit des Unternehmens vor „konventionellen“ Bedrohungen (Sabotage, Naturkatastrophen, etc.).

In Deutschland soll die CER-Richtlinie durch das KRITIS-Dachgesetz umgesetzt werden. Das KRITIS-DachG ist jedoch noch nicht verkündet worden und hat somit auch noch keine Geltung. Eigentlich hätte die Richtlinie bereits zum 17. Oktober 2024 umgesetzt werden müssen. Wie auch im Rahmen der Umsetzung von NIS-2 konnte aufgrund der vorgezogenen Neuwahlen nicht mehr über den Gesetzesentwurf abgestimmt werden. Zu welchem Zeitpunkt die Richtlinie von der neuen Regierung umgesetzt wird, ist ungewiss.

Durch die CER-Richtlinie bzw. das KRITIS-DachG sollen die Anlagenbetreiber darin gestärkt werden, Beeinträchtigungen und Krisen zu überstehen und die Funktionsfähigkeit aufrechtzuerhalten bzw. zügig wiederherzustellen.

Neben der Pflicht sich als Anlagenbetreiber zu registrieren, müssen die Betreiber eine umfassende Risikoanalyse durchführen und diese mindestens alle vier Jahre, insbesondere mit Blick auf gegenwärtige Bedrohungslagen, aktualisieren. Zudem müssen sogenannte Resilienzpläne entwickelt und umgesetzt werden. Zweck dieser Pläne ist es, Vorfälle und Bedrohungen präventiv entgegenzuwirken, die physischen Anlagen zu schützen und für den Krisenfall geeignete Gegenmaßnahmen bereitzustellen.

Bei einer erheblichen Störung oder Beeinträchtigung der Einrichtung, muss der Vorfall unverzüglich und spätestens innerhalb von 24 Stunden gemeldet werden. Die Meldestelle wird vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam betrieben.

Bei einem andauernden Vorfall ist die Erstmeldung zu aktualisieren. Spätestens einen Monat nach Kenntnis des Vorfalls ist ein ausführlicher Bericht zu übermitteln. Die Meldungen müssen dabei genaue Informationen zur Art und Ursache des Vorfalls bereitstellen.

DORA-Verordnung

Anders als mit NIS-2 hat die EU mit der DORA-Verordnung ein unmittelbar geltendes Gesetz geschaffen. NIS-2 und DORA ähneln sich stark in ihren Anforderungen und Maßnahmen an die Cybersicherheit. Der entscheidende Unterschied besteht darin, dass DORA nur für Unternehmen der Finanzbranche gilt – erfasst sind z. B. Kredit-, Zahlungs- und E-Geld-Institute und Versicherungsunternehmen. Daneben werden auch die Informations- und Kommunikationstechnologiedienstleister erfasst (IKT-Dienstleister).

DORA stellt detaillierte Anforderungen an das IKT-Risikomanagement und die Verträge mit IKT-Dienstleistern. Fünf zentrale Bereiche sind besonders relevant:

• IKT-Risikomanagement (Art. 5-16 DORA) – in diesem Rahmen müssen die Unternehmen eine Strategie zur digitalen Resilienz entwickeln und regelmäßig überprüfen.
• IKT-Drittparteienmanagement (Art. 28-44 DORA) – im Mittelpunkt des IKT-Drittparteienrisikomanagements stehen detaillierte Anforderungen an Outsourcing-Verträge zwischen Finanzunternehmen und externen IKT-Dienstleistern. Verträge mit externen IKT-Dienstleistern müssen Mindestanforderungen erfüllen, um sicherzustellen, dass diese den hohen Sicherheitsanforderungen von DORA genügen.
• Management von IKT-Vorfällen (Art. 17-23 DORA) - Die Finanzunternehmen sind verpflichtet, einen Prozess für den Umgang mit IKT-Vorfällen zu bestimmen. Dadurch soll sowohl die Erkennung als auch die Behandlung des Vorfalls ermöglicht und gewährleistet werden
• Digital Operational Resilience Testing (Art. 24-27 DORA) - Als integraler Bestandteil des IKT-Risikomanagementrahmens müssen Finanzunternehmen ein Programm zur Testung der eigenen operativen Resilienz implementieren. Demnach sollen die Tests folgendes umfassen: Analyse von Schwachstellen, Open-Source Analysen, Lückenanalysen, Netzwerksicherheitsbewertungen, Überprüfungen der physischen Sicherheit
• Informationsaustausch (Art. 45 DORA) – zudem soll der Informationsaustausch über Cybervorfälle zwischen den Finanzunternehmen gefördert werden, um die Resilienz branchenweit zu stärken.

DORA enthält auch Regeln zur Meldung von Sicherheitsvorfällen. Zum einen können die Finanzunternehmen freiwillig erhebliche Cyberbedrohungen melden, wenn sie der Auffassung sind, dass die Bedrohung für das Finanzsystem, die Dienstnutzer oder die Kunden relevant ist. Dadurch soll vor allem der Informationsaustausch gefördert werden.

Zum anderen besteht eine Pflicht zur Meldung, wenn es sich um einen „schwerwiegenden“ IKT-Vorfall handelt. Um dies festzustellen, müssen die Unternehmen den Vorfall anhand mehrerer Kriterien klassifizieren – die Kriterien umfassen unter anderem Anzahl und / oder Relevanz der betroffenen Kunden, die (voraussichtliche) Dauer, die geographische Ausbreitung sowie die wirtschaftlichen Auswirkungen.

Damit einerseits die Unternehmen aber überhaupt einstufen können, ob der Vorfall schwerwiegend ist und andererseits in der EU ein einheitliches Verständnis über die Klassifizierung herrscht, wurde eine zusätzlich Verordnung (Delegierten Verordnung (EU) 2024/1772) geschaffen, die für die einzelnen Kriterien Schwellwerte enthält. Grundsätzlich gilt dabei, wenn zwei Werte erfüllt werden, handelt es sich um einen schwerwiegenden Vorfall.

Sofern die Wesentlichkeitsschwelle überschritten wird, muss spätestens 24 Stunden nach Bekanntwerden des Vorfalls eine Erstmeldung abgegeben werden. Inhaltlich muss die Erstmeldung vor allem über den Vorfall beschreiben sowie über auf die möglichen Auswirkungen und Bedrohungen informieren. Nach 72 Stunden muss eine Zwischenmeldung erfolgen, aus der sich der aktuelle Stand ergibt und auch bereits getroffene Abhilfemaßnahmen enthalten muss. Der Abschlussbericht muss einen Monat nach der (letzten) Zwischenmeldung eingereicht werden. Im Abschlussbericht müssen die Ursachen, Folgen und Kosten des Vorfalls sowie die Gegenmaßnahmen enthalten sein.

KI-Verordnung (AI Act) und Cybersicherheit

Mit der KI-VO hat die EU ein umfassendes Regelwerk zur Regulierung von Künstlicher Intelligenz verabschiedet. Ziel der KI-Verordnung ist insbesondere die Förderung einer menschenzentrierten und vertrauenswürdigen Nutzung von KI in der EU. Zu diesem Zweck werden nach einem risikobasierten Ansatz Compliance-Anforderungen an Anbieter und Betreiber von KI-Systemen gestellt, die umso strenger sind, je höher das Risiko des jeweiligen KI-Systems ist.

Die entscheidende Weichenstellung für Anbieter und Betreiber von KI-Systemen ist die Zuordnung eines KI-Systems zu einer der vorgesehenen Risikoklassen. Hierbei wird unterschieden zwischen den Risikoklassen der verbotenen Praktiken (Art. 5 KI-VO), der Hochrisiko-KI-Systeme (Art. 6 KI-VO), der KI-Systeme mit beschränktem Risiko (Art. 50  KI-VO) und der KI-Systeme mit geringem Risiko (Art. 95 KI-VO). Daneben stehen gesondert die KI-Systeme mit allgemeinem Verwendungszweck (Art. 51 ff. KI-VO).

Insbesondere die Hochrisiko-KI-Systeme müssen strenge Anforderungen erfüllen. Die Pflichten des Betreibers eines KI-Systems lassen sich dabei im Wesentlichen in drei Kategorien einteilen: Maßnahmen zum typengerechten Gebrauch, Schulungspflichten sowie Dokumentations- und Informationspflichten. Vorsicht ist jedoch geboten, wenn Unternehmen KI-Systeme wesentlich an ihre besonderen Bedürfnisse anpassen.

Die Anbieter von Hochrisiko-KI-Systemen sind verpflichtet, schwerwiegende Vorfälle zu melden. Die Meldung muss innerhalb von 48 Stunden erfolgen. Im Anschluss an die Meldung eines schwerwiegenden Vorfalls müssen unverzüglich die erforderlichen Untersuchungen im Zusammenhang mit dem schwerwiegenden Vorfall und dem betroffenen KI‑System durchgeführt werden. Dies umfasst auch eine Risikobewertung des Vorfalls sowie Korrekturmaßnahmen.

CRA – Cyber Resilience Act

Der Cyber Resilience Act (CRA) gilt erst ab November 2027. Der CRA gilt für Hard- und Software mit digitalen Komponenten und verlangt von Herstellern, Cybersicherheitsrisiken während des gesamten Produktlebenszyklus aktiv zu minimieren. Alle Hersteller und Importeure, die Produkte mit digitalen, kommunikationsfähigen Elementen für den EU-Markt entwickeln oder vertreiben, sind vom CRA betroffen. Dies betrifft sowohl Softwareprodukte als auch vernetzte Geräte (IoT-Produkte bzw. -Dienste).

Der CRA fordert eine „Security by Design“-Strategie, bei der Sicherheitsmaßnahmen von Beginn an in die Produktentwicklung eingebettet sind – Herzstück dürfte dabei bei den meisten Unternehmen die Einführung eines sog. Secure Software Development Lifecycles sein, das bedeutet, dass die Sicherheitsanforderungen über die gesamte Lebensdauer, einschließlich der Planung, des Designs, der Entwicklung und der Instandhaltung berücksichtigt werden müssen. Zusammenfassend fordert der CRA von den Herstellern bzw. Importeuren:

• Risikobewertung und kontinuierliche Analyse: Sicherheitsrisiken müssen regelmäßig überprüft und die Produkte entsprechend angepasst werden.
• Sicherheitsupdates: Während der gesamten Produktlebensdauer sind kostenlose Sicherheitsupdates bereitzustellen.

Bei den konkreten Anforderungen an die vom CRA erfassten Produkte differenziert das Gesetz. Die erfassten Produkte werden eingeteilt in Produkte mit digitalen Elementen der Klasse I (z. B: Passwort-Manager) oder Klasse II (z. B. Firewalls) sowie „Kritische Produkte“ (z. B. Chipkarten). Ausgehend von der Klassifizierung gelten für die Produkte verschärfte Sicherheitsanforderungen.

Darüber hinaus sind die Hersteller verpflichtet, jede aktiv ausgenutzte Schwachstelle, die in dem Produkt mit digitalen Elementen enthalten ist und von der Kenntnis erlangt wird, zu melden. Der Hersteller hat innerhalb von 24 Stunden eine Frühwarnung herausgeben. Innerhalb von 72 Stunden muss eine Meldung mit allgemeinen Informationen über den Vorfall erfolgen, einschließlich einer ersten Bewertung sowie Informationen zu den ergriffen Abhilfemaßnahmen.

Nach einem Monat muss ein Abschlussbericht eingereicht werden, der eine ausführliche Beschreibung des Vorfalls, einschließlich des Schweregrads und der Auswirkungen, die Ursachen des Vorfalls und die getroffenen Abhilfemaßnahmen enthalten muss.

CSA – Cyber Security Act

Der Cyber Security Act (CSA) gilt seit dem 28. Juni 2021 in allen Mitgliedstaaten der Union. Das Gesetz besteht im Wesentlichen aus zwei Teilen. Im ersten Teil werden die Befugnisse und Kompetenzen der Agentur der Europäischen Union für Cybersicherheit (ENISA) ausgeweitet und gestärkt. Der zweite Teil enthält Regelungen für den Zertifizierungsrahmen für die Cybersicherheit.

Ziel des Gesetzes ist es, die Cybersicherheit innerhalb der EU durch Festlegung von einheitlichen Standards und der Zertifizierung von Produkten, Diensten und Prozessen zu verbessern. Der Zertifizierungsrahmen sieht festgelegte Sicherheitslevel in Form der Stufen "niedrig", "mittel" und "hoch" vor. Die Einordnung muss in einem angemessenen Verhältnis zu dem mit der beabsichtigten Verwendung des IKT-Produkts, -Dienstes oder -Prozesses verbundenen Risiko im Hinblick auf die Wahrscheinlichkeit und die Auswirkungen eines Sicherheitsvorfalls stehen.

• Vertrauenswürdigkeitsstufe „niedrig“: bietet Gewissheit, dass die IKT-Produkte, -Dienste oder -Prozesse die entsprechenden Sicherheitsanforderungen einschließlich der Sicherheitsfunktionen erfüllen und einer Bewertung unterzogen wurden, die darauf ausgerichtet ist, die bekannten Grundrisiken für Sicherheitsvorfälle und Cyberangriffe möglichst gering zu halten.
• Vertrauenswürdigkeitsstufe „mittel“: bietet die Gewissheit, dass die IKT-Produkte, -Dienste oder -Prozesse die entsprechenden Sicherheitsanforderungen einschließlich der Sicherheitsfunktionen erfüllen und einer Bewertung unterzogen wurden, die darauf ausgerichtet ist, bekannte Cybersicherheitsrisiken und das Risiko von Cybersicherheitsvorfällen und Cyberangriffen mit begrenzten Fähigkeiten und Ressourcen möglichst gering zu halten.
• Vertrauenswürdigkeitsstufe „hoch“: bietet die Gewissheit, dass die IKT-Produkte, -Dienste oder -Prozesse die entsprechenden Sicherheitsanforderungen einschließlich der Sicherheitsfunktionen erfüllen und einer Bewertung unterzogen wurden, die darauf ausgerichtet ist, das Risiko von dem neuesten Stand der Technik entsprechenden Cyberangriffen mit umfangreichen Fähigkeiten und Ressourcen möglichst gering zu halten.

Der CSA will insofern bereits präventiv verhindern, dass die IKT-Produkte, -Dienste, und -Prozesse überhaupt einem Cyberangriff zum Opfer fallen (können). Daher greift der CSA schon im Vorfeld ein, um mögliche Risiken einzudämmen und zu verhindern.

Wie ist das Verhältnis der Gesetze zueinander?

Die europäische und deutsche Cybersicherheitsregulierung ist in den letzten Jahren deutlich komplexer geworden. Mit der Einführung der verschiedenen Regelwerke sind zahlreiche neue Anforderungen und Zuständigkeiten entstanden, die sich teilweise überschneiden, ergänzen oder sogar konkurrieren.

Es ist essenziell, das Zusammenspiel dieser Gesetze zu verstehen. Denn viele Organisationen sind von mehreren Regelwerken gleichzeitig betroffen, etwa wenn sie kritische Infrastrukturen betreiben, digitale Produkte herstellen oder KI-Systeme einsetzen. Die Pflichten aus den einzelnen Gesetzen greifen häufig ineinander.

Den Anfang macht die DSGVO. Da bei der DSGVO – anders als bei den weiteren hier vorgestellten Gesetzen – weniger die generelle Einhaltung von Cybersicherheitsstandards und mehr die Einhaltung eines hohen Schutzniveaus für die personenbezogenen Daten im Vordergrund steht, nimmt die DSGVO eine Sonderrolle ein und steht neben den anderen Gesetzen.

Das bedeutet, dass die DSGVO durch die Cybersicherheitsgesetze im Kern nicht berührt wird und somit die Anforderungen der DSGVO stets zu beachten sind – vorausgesetzt es werden personenbezogene Daten verarbeitet. So stellt bspw. Art. 2 Abs. 7 KI-VO klar, dass die Regelungen der KI-VO die DSGVO nicht berühren, die Anforderungen und Verpflichtungen der DSGVO also weiterhin in vollem Umfang gelten.

Die übrigen Cybersicherheitsgesetze, also NIS-2, DORA, der Cyber-Security-Act, der Cyber-Resiience-Act, die Critical-Entities-Resilience-Richtlinie bzw. KRITIS-DachG und die KI-VO, lassen sich in produktbezogene bzw. dienstbezogene und einrichtungsbezogene Sicherheitsgesetze einordnen.

Produkt- bzw. dienstbezogene Cybersicherheitsgesetze

Zu den produktbezogenen Cybersicherheitsgesetzen gehören der CSA, der CRA und die KI-VO. Diese Gesetze stellen Anforderungen für die Art und Weise, wie bspw. Hard- und Software, digitale Produkte oder Dienste oder IKT-Dienste konzipiert, entwickelt oder hergestellt werden müssen, um ein möglichst hohes Schutzniveau zu gewährleisten.

Den Gesetzen liegt dabei die Überlegung zugrunde, dass ein hohes Sicherheitsniveau am besten dadurch erreicht werden kann, wenn bereits bei der Entwicklung oder Herstellung hohe Standards eingehalten werden müssen. Dabei können die drei Gesetz eng zusammenhängen und im Einzelfall sogar gleichzeitig anwendbar sein – zwingend ist dies jedoch nicht.

Ob dies der Fall ist, hängt davon ab, welche Dienste bzw. Produkte das Unternehmen herstellt, entwickelt oder vermarktet. So ist z. B. die Annahme nicht fernliegend, dass ein KI-Anbieter bei der Entwicklung des KI-Systems bei der Entwicklung auch die Anforderungen des CRA beachten muss.

Einrichtungsbezogene Cybersicherheitsgesetze

Die einrichtungsbezogenen Cybersicherheitsgesetze umfassen die NIS-2-Richtlinie, DORA sowie die CER-Richtlinie bzw. das KRITIS-DachG. Diese haben gemeinsam, dass die Anforderungen Standards für den Aufbau und die Organisation der physischen und digitalen Sicherheit der Einrichtung bzw. des Unternehmens aufstellen.

In diesem Rahmen ist das Verhältnis von NIS-2 zu DORA zu klären. Dieses ist dank Art. 1 Abs. 2 DORA verständlich. Demnach gilt in Bezug auf Finanzunternehmen, die gemäß den nationalen Vorschriften zur Umsetzung der NIS-2-Richtlinie als wesentliche oder wichtige Unternehmen ermittelt wurden, DORA als sektorspezifischer Rechtsakt der Union. Anders gesagt: DORA gilt für Finanzunternehmen vorrangig vor NIS-2.

Unabhängig davon, ob ein Unternehmen die Anforderungen aus NIS-2 oder aus DORA einhalten muss, kann es verpflichtet sein, die Pflichten aus der CER-Richtlinie bzw. dem KRITIS-DachG zu erfüllen. Denn während NIS-2 und DORA jeweils Pflichten für die Cybersicherheit aufstellen, betreffen die Anforderungen aus der CER-Richtlinie an die physische Sicherheit der Einrichtung.

Branchenbesonderheiten – welches Gesetz gilt für mein Unternehmen

Im Rahmen der Frage, welches Gesetz und welche Gesetze nun konkret für ein Unternehmen gelten, ist zwischen branchenunabhängigen und branchenspezifischen Gesetzen zu differenzieren.

Branchenunabhängige Gesetze

Die branchenunabhängigen Gesetze umfassen die DSGVO, die KI-VO, den CRA und den CSA. Die Anwendbarkeit dieser Gesetze ist nicht auf bestimmte Branchen und Sektoren beschränkt, sondern kann im Prinzip jedes Unternehmen betreffen.

So ist bspw. die DSGVO ein Gesetz, welches in allen Branchen und Sektoren Anwendung findet, sofern personenbezogene Daten verarbeitet werden. Die KI-VO hingegen wird in jedem Unternehmen relevant, welches KI-Systeme entwickelt oder nutzen möchte. So müssen bspw. ein E-Commerce-Unternehmen und ein Stromanbieter, die jeweils einen KI-basierten Chatbot als Kundensupport auf ihren Webseiten einrichten möchten, in selben Umfang die KI-VO erfüllen.

Ähnlich sieht es mit dem CRA und dem CSA aus. Wenngleich diese vor allem Unternehmen betreffen, die Hard- oder Software, IoT- oder IKT-Dienste und -Produkte entwickeln oder herstellen, ist die Anwendung nicht auf bestimmte Branchen beschränkt. Denn mittlerweile stellen Unternehmen jeglicher Branche, sei es Energieanbieter oder Elektronikhersteller, vermehrt IoT-Dienste oder -Produkte. Diese haben dann gleichsam die Anforderungen des CRA einzuhalten.

Branchenspezifische Gesetze

Zu den Gesetzen, die sich an spezifische Branchen bzw. Sektoren richten, gehören die NIS-2-Richtlinie, DORA sowie die CER-Richtlinie bzw. das KRITIS-DachG.
Wie bereits erwähnt, ist DORA ein äußerst branchenspezifisches Gesetz und ist nur auf Unternehmen der Finanzbranche, also z. B. Kredit-, Zahlungs- und E-Geld-Institute und Versicherungen, anwendbar.

Aufgrund des engen Zusammenspiels der NIS-2-Richtlinie und der CER-Richtlinie sind die erfassten Branchen und Sektoren weitgehend identisch. Denn eine Einrichtung, die nach NIS-2 als „wichtige“ oder „wesentliche“ Einrichtung erfasst wird, wird nach der CER-Richtlinie regelmäßig ebenfalls als kritische Einrichtung erfasst. Welche konkreten Einrichtungen von NIS-2 und CER erfasst werden, ergibt sich aus den jeweiligen Anhängen zu den Richtlinien.

So zählen zu den wesentlichen Einrichtungen nach NIS-2 bzw. zu den kritischen Einrichtungen nach der CER-Richtlinie die folgenden Sektoren:

• Energie, mit den Teilsektoren Strom, Fernwärme und -kälte, Erdöl, Erdgas sowie Wasserstoff
• Verkehr, mit den Teilsektoren Luftfahrt, Schienenverkehr, Schifffahrt und Straßenverkehr
• Bankwesen und Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• Öffentliche Verwaltung
• Weltraum

Die CER-Richtlinie nimmt überdies auch noch die Produktion, Verarbeitung und Vertrieb von Lebensmitteln mit auf, welche nach NIS-2 „nur“ als wichtige Einrichtung klassifiziert wird. Von NIS-2 werden ferner als „wichtige“ Einrichtungen auch die folgenden Sektoren erfasst:

• Post- und Kurierdienste
• Abfallbewirtschaftung
• Produktion, Herstellung und Handel mit chemischen Stoffen
• Verarbeitendes Gewerbe bzw. Herstellung von Waren mit den Teilsektoren der Herstellung von Medizinprodukten und In-vitro-Diagnostika, die Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, die Herstellung von elektrischen Ausrüstungen, der Maschinenbau, die Herstellung von Kfz und Kfz-Teilen sowie der sonstige Fahrzeugbau
• Anbieter digitaler Dienste
• Forschung

Fazit zur Regulatorik in der Cybersicherheit

Das europäische und deutsche Geflecht an Cybersicherheitsgesetzen mag auf den ersten Blick komplex und schwer durchschaubar erscheinen. Doch bei genauerer Betrachtung zeigt sich, dass die einzelnen Regelwerke sinnvoll aufeinander abgestimmt sind. Sie verfolgen ein gemeinsames Ziel: Ein hohes, einheitliches Schutzniveau für Unternehmen, kritische Infrastrukturen und letztlich auch für alle Bürgerinnen und Bürger zu gewährleisten.

Zur guten Orientierung durch das Regelungssystem ist es essenziell zu verstehen, ob es sich um branchenunabhängige oder branchenspezifische Gesetze sowie um produkt- bzw. dienstbezogene oder einrichtungsbezogene Gesetze handelt. Bereits diese Unterscheidungen erleichtern es, herauszufinden, welches Gesetz oder welche Gesetze konkret Anwendung finden.