Neue IT-Sicherheitsgesetzgebung: Wichtige Veränderungen für Unternehmen und Verbraucher

Das IT-Sicherheitsgesetz brachte in den letzten Monaten einige Neuerungen für Unternehmen und Verbraucher mit sich. Welche Schritte müssen Unternehmen jetzt ergreifen? Hier gibt es die wichtigsten Anpassungen und ihre Auswirkungen im Detail.

Erweiterung der KRITIS-Regulierung

Seit Mai 2021 ist das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) in Kraft, welches die seit 2015 bestehende KRITIS-Regulierung wesentlich erweitert. Dieses Gesetz zielt darauf ab, die IT-Sicherheit bei Betreibern kritischer Infrastrukturen zu optimieren. Darunter fallen Bereiche wie der Gesundheitssektor, die Energiewirtschaft, die Wasserversorgung und seit neuestem auch die Abfallentsorgung. Diese Sektoren müssen nun erweiterte Sicherheitsmaßnahmen für ihre IT-Systeme umsetzen, einschließlich Angriffserkennung und spezifischen Meldepflichten bei Störungen. Zudem sind auch Zulieferer dieser kritischen Infrastrukturen von den neuen Sicherheitsanforderungen betroffen.

Neues zum Thema Cookie-Einwilligung

Das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) hat 2022 eine hohe Relevanz erlangt und konkretisiert das Thema Cookie-Einwilligung. Nach diesem Gesetz dürfen Cookies nur dann eingesetzt werden, wenn der Endnutzer auf der Basis klarer und umfassender Informationen eingewilligt hat. Für Unternehmen bedeutet dies, dass sie ihre Websites und Online-Dienste so anpassen müssen, dass Nutzer aktiv zustimmen müssen, bevor Cookies gesetzt werden. 

Dies erfordert in der Regel ein Pop-up-Fenster oder eine ähnliche Benutzeroberfläche, die beim ersten Besuch der Website erscheint und detaillierte Informationen über die verwendeten Cookies sowie die Möglichkeit zur Auswahl bietet. Unternehmen müssen sicherstellen, dass diese Einwilligung-Mechanismen den rechtlichen Anforderungen entsprechen und eine klare, verständliche und leicht zugängliche Option für die Nutzer darstellen.  

Gesetz zur Update-Pflicht für digitale Produkte

Seit Januar 2022 gilt das Gesetz zur Regelung des Verkaufs von Sachen mit digitalen Elementen. Dieses Gesetz soll die Nachhaltigkeit von digitalen Produkten und Softwarelösungen durch eine verlängerte Nutzbarkeit fördern. Für Unternehmen bedeutet dies eine signifikante Veränderung in der Produktstrategie und im Kundenservice. Sie sind nun verpflichtet, ihre digitalen Produkte – wie Smartphones, Tablets, Smartwatches, smarte Geräte, Apps, E-Books und Streaming-Angebote – über einen festgelegten Zeitraum mit Sicherheitsupdates und Funktionsaktualisierungen zu versorgen. 

Dies erfordert eine langfristige Planung der Softwarepflege und -entwicklung, um die gesetzlichen Anforderungen zu erfüllen und gleichzeitig die Kundenzufriedenheit zu sichern​. Die Nichteinhaltung dieser Pflicht kann zu rechtlichen Konsequenzen führen, einschließlich Verbraucherschutzklagen, Bußgeldern oder anderen Sanktionen, je nach Schwere des Verstoßes und der jeweiligen gesetzlichen Bestimmungen.

Neue Regelungen auch auf europäischer Ebene geplant

Der Cyber Resilience Act, ein Entwurf der Europäischen Kommission, der im September 2022 vorgestellt wurde, markiert einen signifikanten Schritt in der Regulierung der Cyberresilienz auf europäischer Ebene. Dieses Gesetz soll die Sicherheit digitaler Produkte in der gesamten EU stärken und bestehende Lücken im regulatorischen Rahmenwerk der Cybersicherheit schließen. Es bezieht sich auf sämtliche Software- und Hardware-Produkte sowie ihre Remote-Datenverarbeitungslösungen und deckt den gesamten Lebenszyklus dieser Produkte ab, von der Designphase bis hin zur Obsoleszenz​.

Für Unternehmen bedeutet der Cyber Resilience Act, dass sie ihre Produkte von Beginn an mit einem Fokus auf Sicherheit gestalten müssen, bekannt als „Security-by-Design“. Zu den wesentlichen Anforderungen gehören sichere Standardkonfigurationen und die Vermeidung bekannter ausnutzbarer Schwachstellen. Hersteller müssen die Cybersicherheit ihrer Produkte während des gesamten Lebenszyklus sicherstellen, was bedeutet, dass sie Schwachstellen dokumentieren und zeitnah beheben müssen.

Für Verbraucher verspricht der Cyber Resilience Act mehr Transparenz bezüglich der Cybersicherheit-Praktiken und -eigenschaften von Produkten. Dies soll durch Zertifizierung, Berichterstattung und Konformitätsbewertungen gewährleistet werden. Die Verbraucher können sich darauf verlassen, dass die Produkte, die sie verwenden, nach strengen Sicherheitsstandards hergestellt wurden. Dies erhöht nicht nur das Vertrauen in digitale Produkte, sondern stärkt auch die allgemeine Sicherheit im digitalen Raum​.