Seit 1997 veröffentliche ich regelmäßig im PC Magazin, dem iT-Rechtsberater, im ADMIN-Magazin und in zahlreichen anderen Medien.
Meine aktuellen Beiträge im Überblick:
IT-Rechtsberater 2026
Cyber Resilience Act – Warten auf die EU Kommission
Deutschland und die EU sollen sicherer und souveräner werden. Doch Deutschland trödelt bei der Umsetzung der NIS2 Richtlinie, die EU bei den zusätzlichen Hilfestellungen für die Unternehmen zur Umsetzung des Cyber Resilience Actes (CRA). Der CRA regelt die Cybersicherheit von Produkten mit digitalen Elementen, wie IoT, vernetzten Maschinen aber auch Software. Bis zum 11. Dezember 2025 wollte die Kommission einen Durchführungsrechtsakt erlassen, in dem sie die technische Beschreibung der nach Anhang III und IV gehörenden Kategorien von wichtigen und kritischen Produkten mit digitalen Elementen festlegt, Art. 7 Absatz 4 CRA. Dazu gibt es bisher immerhin einen Entwurf. Gleichzeitig rückt die Umsetzungsfrist für die Wirtschaft aber immer näher. Ab dem 11. September 2026 gelten bereits die Meldepflichten für Unternehmen für Schwachstellen in ihren Produkten. Ein Jahr später müssen Produkte mit digitalen Inhalten bereits ein CE Label für die Cybersicherheit aufweisen. Obwohl der CRA selbst als auch die Anhänge der Verordnung bereits einige technische Anhaltspunkte liefern, wie die Produkte künftig herzustellen sind, insbesondere in Anhang 1, fehlen den Herstellern noch wichtige technische Informationen, wie die Cybersicherheitsverordnung konkret anzuwenden ist, so genannte harmonisierte Normen. Diese erleichtern den Unternehmen die Konformitätsprüfung wesentlich, z.B. in Art. 32 Abs. 1 Satz 2 lit d). iVm Art. 27 Abs. 9 CRA. Einige Unternehmen wissen derzeit nicht klar, ob und wie Ihre Produkte betroffen sind, andere warten auf die harmonisierten Normen, um die CE Kennzeichnung von Software und IoT Produkten zu erleichtern.
Der CRA regelt, dass die Cybersicherheit bereits bei Herstellung und Programmierung zu berücksichtigen sind, sogenanntes Cybersecurity by Design. Die EU Kommisson verspätet sich mit weiteren Details. Es gilt das Marktortprinzip, also alle in der EU vertriebenen Produkte sind vom CRA erfasst, sofern sie ein Produkt iSd CRA sind. Dies dürfte wie auch DMA und DataAct erhebliche Auswirkungen auf die Hersteller in den USA haben. Hoffen wir, dass die EU das Ziel der Digital Strategie bei der Umsetzung des CRA nicht aus den Augen verliert und zügig die fehlenden Rechtsakte erlässt. Geplant sind Veröffentlichungen am 30. August 2026, 30. Oktober 2026 und 30. Oktober 2027. Den Zeitplan sowie die Entwürfe und einen Überblick über die Arbeitsgruppen der Normung finden Sie hier:
https://www.dke.de/de/arbeitsfelder/cybersecurity/cyber-resilience-act
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14449-Technical-description-of-important-and-critical-products-with-digital-elements_en
Rechtsanwältin Vilma Niclas, Berlin
ADMIN
Arbeit im Auftrag - Wie man externe Dienstleister richtig beauftragt
Datenschutzpraxis
Trojaner: Big Brother 2.0
_
Linux Techincal Review
Rechtssichere E-Mails - Wann ist eine E-Mail rechtssicher?
PC-Magazin
Das gestohlene Selbst - Wie gefährlich ist der Identitätsdiebstahl?
Weitere interessante Veröffentlichungen finden Sie unter: Aktuelles