EU DIGITALSTRATEGIE UND IMPLIKATIONEN FÜR UNTERNEHMEN
EU Digitalstrategie - Große Herausforderungen und neue Chancen für Unternehmen!
Herausforderungen und Chancen
Die EU hat sich zum Ziel gesetzt, europäische Werte in gesetzlichen Regelungen für die digitale Welt zu implementieren. Zahlreiche neue gesetzliche Anforderungen werden Unternehmen vor große Herausforderungen stellen, aber auch neue Chancen bieten.
Dem Inhalt der neuen EU-Regulierungen Data Act, AI Act, der NIS2- und CER-Richtlinie sowie dem Cyber Resilience Act widmete sich das Online Seminar "EU Digitalstrategie und Implikationen für Unternehmen" am 24.04.2024. Sarah-Lena Kreutzmann, ausgewiesene Expertin für rechtliche Fragen der Informationstechnologie und der EU Digitalstrategie der Anwaltskanzlei Hogan Lovells International LLP, führte kompetent und anschaulich durch die neuen Rechtsakte.
Fokus auf vier neue Rechtsvorschriften
Gegenstand der Veranstaltung waren die folgenden Rechtsvorschriften, die erst kürzlich in Kraft getreten sind oder voraussichtlich in diesem Jahr in Kraft treten werden:
Die Datenverordnung (Data Act) ist am 11. Januar 2024 in Kraft getreten und wird in großen Teilen ab dem 12. September 2025 gelten. Vor allem soll hierdurch der Zugang zu mit digitalen Produkten oder verbundenen Diensten generierten Daten unter fairen Verbindungen sektorübergreifend verbessert werden. Insbesondere Anbieter von IoT-Produkten und damit verbundenen Diensten werden neuen Anforderungen u.a. an Design, Informationspflichten und Bereitstellung von Daten unterliegen. Auch gibt es einige Privilegierungen für KMUs bezüglich der Pflichten zur Weitergabe von sowie der Vergütung für Daten.
Mit der KI-Verordnung (AI Act) hat sich die EU Ende 2023 auf die wesentlichen Punkte eines umfassenden Regulierungsrahmens für Künstliche Intelligenz geeinigt. Die sogenannten Hochrisiko-KI-Systeme werden bezogen auf bestimmte Produkte oder Bereiche ermittelt und unterliegen dann besonderen Pflichten. Daher werden Unternehmen, die bestimmte KI Systeme alleine oder als Bestandteil bestimmter regulierter Produkte (wie Maschinen, Spielzeug, Aufzüge, Funkanlagen, Druckgeräte und Medizinprodukte) herstellen, vertreiben oder einsetzen, zahlreiche Maßnahmen ergreifen müssen. Auch der Einsatz von KI-Systemen in bestimmten Bereichen (z.B. biometrische Systeme, Bildung und Berufsausbildung oder Anstellung und Management von Arbeitnehmern) wird zahlreichen neuen Anforderungen unterliegen. Insbesondere im Bereich der Hochrisiko-KI-Systeme Hier wird die Erarbeitung eines KI Governance Programms notwendig sein, aber auch im Übrigen sollte der Einsatz von KI-Systemen im Unternehmen nicht ohne Kontrolle erfolgen.
Die Umsetzung der NIS2-Richtlinie und der CER-Richtlinie in Deutschland muss bis zum Herbst diesen Jahres erfolgen. Während durch die CER-Richtlinie die Widerstandsfähigkeit kritischer Infrastrukturen gestärkt werden soll, werden durch die NIS2-Richtlinie die Anzahl an Unternehmen, die gesetzlichen Anforderungen an die Cybersicherheit unterliegen, über den Bereich der kritischen Infrastrukturen hinaus erheblich ausgeweitet. Zugleich werden die Anforderungen verschärft. So können nun z.B. auch Hersteller von elektronischen und optischen Erzeugnissen oder im Bereich Maschinen- und Fahrzeugbau erfasst sein. Allein in Deutschland werden schätzungsweise ca. 30.000 – 40.000 neue Unternehmen den Anforderungen der NIS2-Richtlinie bzw. ihrer Umsetzung unterfallen. Wesentliche Herausforderungen bei der NIS2-Richtlinie belaufen sich auf das Risikomanagement, die Melde- und Informationspflicht bei Vorfällen und die Registrierung von Unternehmen, welche unter die NIS2-Richtlinie fallen.
Zudem wird voraussichtlich in diesem Jahr der Cyber Resilience Act in Kraft treten. Dieser führt branchenübergreifende verbindliche Cybersicherheits- und Zertifizierungsanforderungen für vernetzte Hardwareprodukte mit digitalen Elementen (bspw. IoT-Produkte) und Softwareprodukte einschließlich integrierter Ferndatenverarbeitungsprozesse während ihres gesamten Lebenszyklus ein. Dementsprechend bedeutet das für Hersteller, dass in der Entwicklungsphase, vor Markteintritt und nach Markteintritt neue Herausforderungen entstehen. Doch nicht nur Hersteller sind hiervon betroffen: Vom Importeur bis zum Händler solcher Produkte unterliegen alle Beteiligten der Lieferkette dem Cyber Resilience Act.
Die Zeit, zu handeln, ist jetzt!
Bei Verstößen können in allen Fällen erhebliche Bußgelder verhängt werden. Für die Sicherstellung der Einhaltung zahlreicher Verpflichtungen (insbesondere Anforderungen an Design, Informationspflichten sowie Zertifizierungsprozesse) werden betroffene Unternehmen Zeit benötigen, so dass bereits jetzt mit der Vorbereitung begonnen werden sollte.
Sarah-Lena Kreutzmann zeigte anhand von branchenspezifischen Beispielen und den Antworten zu Fragen der Teilnehmenden anschaulich, auf welche Aspekte bei den neuen Rechtsvorschriften geachtet werden muss und wer nun prüfen sollte, ob akuter Handlungsbedarf im eigenen Unternehmen besteht.
Wir danken Frau Kreutzmann für ihren sehr informativen und gut strukturierten Beitrag. Die Präsentationsfolien haben wir hier zum Download bereitgestellt, inklusive der Kontaktdaten der Referentin.
Wir halten Sie auf dem Laufenden!
Mehr über die EU-Digitalstrategie und die daraus resultierenden Regularien finden Sie in den Q&A-Ausarbeitungen, die wir allen Teilnehmenden im Nachgang zur Veranstaltung zur Verfügung stellen sowie in den geplanten anwendungsorientierten Online-Workshops, über die wir Sie per Einladung und im Newsletter informieren.
