Was ist neu in 2025? EU-Regelungen zu Produktsicherheit und IT-Sicherheit im Überblick
EU-Verordnung zur Produktsicherheit: Das müssen Sie wissen
Die neue Verordnung über die allgemeine Produktsicherheit (General Product Safety Regulation, GPSR) wurde im Juni 2023 auf europäischer Ebene eingeführt. Ab dem 13. Dezember 2024 wird sie EU-weit verbindlich und ersetzt das bisherige deutsche Produktsicherheitsgesetz. Sie gilt für alle Produkte, die ab diesem Datum in Verkehr gebracht oder auf dem Markt angeboten werden – sofern keine spezifischen EU-Regelungen, wie die CE-Richtlinien oder -Verordnungen, zutreffen.
Wichtige Änderungen
- Stärkere Verantwortung für Onlinehändler: Die EU berücksichtigt neue Vertriebswege und verpflichtet Händler zu mehr Transparenz und Sicherheitsmaßnahmen.
- Erhöhter Aufwand für Unternehmen: Für jedes betroffene Produkt müssen Unternehmen eine Risikoanalyse durchführen und eine technische Dokumentation erstellen. Diese Dokumentation umfasst eine allgemeine Beschreibung sowie alle sicherheitsrelevanten Eigenschaften und muss auf Anfrage den Marktüberwachungsbehörden zur Verfügung stehen.
Ausnahmen
Bestimmte Produktkategorien wie Arznei-, Lebens-, Futter- und Pflanzenschutzmittel fallen nicht unter die GPSR, da es für diese bereits spezifische Regelwerke gibt.
Die GPSR stärkt die Produktsicherheit in der EU und bringt gleichzeitig neue Pflichten für Unternehmen mit sich. Jetzt ist der richtige Zeitpunkt, um sich auf die bevorstehenden Anforderungen vorzubereiten.
Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA) soll die Cybersicherheit von vernetzten Produkten wie Smartphones, Laptops, Smarthome-Geräten und Software stärken. Ab dem 09.12.2024 in Kraft, muss er bis 11.12.2027 vollständig umgesetzt werden.
Wichtige Vorgaben für Unternehmen:
- Sicherheitsupdates: Regelmäßige Updates über die gesamte Lebensdauer des Produkts.
- Schwachstellenmanagement: Pflicht zur Meldung entdeckter Schwachstellen.
- Konformitätserklärung: Nachweis der Sicherheitsanforderungen durch Selbstbewertung oder unabhängige Prüfung.
Nicht-kommerzielle Open-Source-Software ist ausgenommen. Unternehmen sollten frühzeitig Maßnahmen ergreifen, um die neuen EU-Vorgaben umzusetzen.
EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) und deutsches Umsetzungsgesetz
Die NIS2-Richtlinie, veröffentlicht am 27. Dezember 2022, zielt darauf ab, die Anforderungen an Cybersicherheit in der EU zu stärken. Sie erweitert den Geltungsbereich im Vergleich zur vorherigen Richtlinie und betrifft nun deutlich mehr Unternehmen und Branchen. Die Umsetzung in nationales Recht war bis zum 17. Oktober 2024 erforderlich.
Ein Entwurf des Bundesministeriums des Innern und für Heimat (BMI) liegt bereits vor, doch eine Verabschiedung durch den Bundestag scheint vor der nächsten Regierungsbildung unwahrscheinlich.
Wesentliche Inhalte der NIS2-Richtlinie
- Anforderungen an Betreiber wesentlicher Dienste und digitale Diensteanbieter: Diese müssen erhöhte Sicherheitsstandards einhalten.
- Einrichtung nationaler Behörden für Cybersicherheit: Ziel ist eine klare Zuständigkeit für die Überwachung und Unterstützung der Unternehmen.
- Meldepflicht für Sicherheitsvorfälle: Unternehmen müssen Cybervorfälle melden, um Risiken besser zu managen.
- Mindestsicherheitsanforderungen für Netz- und Informationssysteme: Diese sorgen für einheitliche Standards in der gesamten EU.
- Förderung der Zusammenarbeit: Mitgliedstaaten sollen enger kooperieren, um die Cybersicherheit weiter zu verbessern.
Die NIS2-Richtlinie ist ein bedeutender Schritt zur Stärkung der Cybersicherheit in der EU und erfordert von betroffenen Unternehmen Anpassungen an die neuen Vorgaben.
Buchen Sie Ihre kostenfreie Online-Beratung!
Nutzen Sie unser praktisches Buchungstool - und vereinbaren Sie mit wenigen Klicks ein erstes Gespräch. Gemeinsam finden wir Lösungen für Ihre Herausforderung.
Quellen
- Titelbildquelle: Keitma_AdobeStock_928177922