Änderungen 2023/2024 im IT- und Digitalisierungsrecht
News

Bildquelle: IMPROVE.Create.co (Adobe Stock)
31/03/2023
| Recht und Regulierung
Ob digitale Plattformen, Daten, Cybersicherheit oder Kryptowährungen: In diesem und im nächsten Jahr stehen zahlreiche Änderungen der rechtlichen Rahmenbedingungen bevor. Sie alle betreffen den Tätigkeitsbereich von Wirtschaftsprüferinnen und Wirtschaftsprüfern. In welche Richtung steuert der (EU)-Gesetzgeber, welche Regelungen sind bereits beschlossene Sache, welche durchlaufen noch das Gesetzgebungsverfahren? Wir geben einen Überblick.
Vor allem aus Europa sind demnächst zahlreiche Rechtsänderungen im IT- und Digitalisierungsrecht zu erwarten, auf welche Wirtschaftsprüfer*innen und ihre Mandant*innen sich vorbereiten sollten.
Im Blog von SOLON X informieren wir Sie über diese und viele weitere Themen der digitalen Transformation der Wirtschaftsprüferbranche. Mit dem Newsletter bleiben Sie auf dem Laufenden.
Digitale Märkte
Der Digital Services Act (DSA) reguliert die digitalen Märkte und Plattformen, um Verbraucher*innen besser zu schützen. Er betrifft sehr viele Unternehmen, die ihre Dienste digital anbieten. Für sehr große Online-Plattformen schreibt er eine Prüfungsflicht des Risikomanagements vor. Der DSA wird am 17.02.2024 wirksam werden (mehr dazu im Artikel "Digitale Märkte und Dienste").
EU-Binnenmarkt für Daten
Der Data Act (DA) schafft eine Rechtsgrundlage für den Zugriff und die Nutzung von Daten. Die Wertschöpfung aus Daten soll damit gerechter verteilt werden. Der DA betrifft sehr viele Unternehmen, u.a. deren Data Compliance Management. Wirksam wird der DA ab dem 16.02.2024; die Pflichten für sehr große Plattformen und Suchmaschinen gelten bereits früher (mehr zum Thema im Blog: "Ein Binnenmarkt für Daten entsteht").
Cybersicherheit
Der Cyber Resilience Act (CRA) hat sich zum Ziel gesetzt, Cybersicherheitsstandards für vernetzte Geräte und Dienste zu schaffen. CRA wird Hersteller, Importeure und Vertreiber von „Produkten mit digitalen Elementen“ betreffen, z.B. Passwortmanager, Betriebssysteme, Firewalls. Ausgenommen sind „Software as a Service (SaaS)“-Produkte und Cloud-Anbieter, da diese unter die Richtlinie NIS 2 fallen (dazu siehe unten). Der CRA regelt das Inverkehrbringen vernetzter Produkte und stellt Anforderungen auf für deren Design, Entwicklung und Produktion. Er erstreckt sich aber auch auf den gesamten (maximal fünfjährigen) Lebenszyklus des Produkts, indem der Hersteller während dieser Zeit verpflichtet ist, die Cybersicherheit zu gewährleisten und eventuelle Schwachstellen zu behandeln.
Der Entwurf des CRA datiert vom September 2022. Die Verordnung tritt voraussichtlich noch 2023 in Kraft und wird zwei Jahre nach Inkrafttreten wirksam, voraussichtlich im Jahr 2025.
Die EU-Richtlinie über die Sicherheit von Netz- und Informationssystemen von 2016 ist überarbeitet worden: Directive on Security of Network and Information Systems (NIS2-Richtlinie). Der bisherige Anwendungsbereich wird damit deutlich ausgeweitet: Mehr Wirtschaftssektoren sind umfasst, die Schwellenwerte werden herabgesetzt und liegen dann bei Unternehmen mit 50 Arbeitnehmern und 10 Mio. Euro Umsatz, außerdem werden bestimmte Sektoren größenunabhängig reguliert. Die Richtlinie enthält Anforderungen an die Unternehmensleitung und an das Risikomanagement der Cybersicherheit, sie sieht Melde- und Berichtspflichten vor sowie Sicherheitsprüfungen durch Dritte oder Behörden. Für den Berufsstand der Wirtschaftsprüfer*innen dürfte sich eine Nachfrage nach Prüfungs- oder Beratungsleistungen im Bereich Risk & Compliance entwickeln.
NIS 2 ist am 16.01.2023 in Kraft getreten. Die EU-Mitgliedstaaten haben 18 Monate Zeit, um die Richtlinie in nationales Recht umzusetzen, d.h. bis zum 17.10.2024.
Betreiber kritischer Infrastrukturen sind bereits vorherverpflichtet, Systeme zur Angriffserkennung einzusetzen. Diese Regelung in § 8a BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) wurde durch das IT-Sicherheitsgesetz 2.0 eingefügt, sie ist ab dem 01.05.2023 verpflichtend.
Kryptowährungen
Mit dem Inkrafttreten von MiCA ist noch 2023 zu rechnen. Bis zum Wirksamwerden der Verordnung ist eine Übergangsfrist von 18 Monaten vorgesehen. Allerdings sollen die Bestimmungen über wertreferenzierte Token bereits ab dem Inkrafttreten der Verordnung wirksam werden.
Künstliche Intelligenz
Der Entwurf des AI Act der EU-Kommission datiert von April 2021. Das Gesetzesvorhaben wird politisch intensiv diskutiert. Daher ist es auch denkbar, dass es in der laufenden Legislaturperiode des EU-Parlaments nicht zu einer Verabschiedung kommt. Der AI Act soll zwei Jahre nach seinem Inkrafttreten wirksam werden.
Chronologische Übersicht der IT-Regulierung
- BSIG § 8a: 01.05.2023
- DMA - Digital Markets Act: 02.05.2023
- DGA - Data Governance Act: 24.09.2023
- DA - Data Act: 16.02.2024
- DSA - Digital Services Act: 17.02.2024
- NIS2: 17.10.2024 (nationale Umsetzung erforderlich)
- DORA - Digital Operational Resilience Act: 17.01.2025
- CRA – Cyber Resilience Act (CRA): voraussichtlich 2025
- MiCA – Markets in Crypto-Assets: voraussichtlich 2025/2026
- AI Act – Artificial Intelligence: nicht vor 2025 (Verabschiedung unsicher)
Weitere Artikel
Wir setzen auf unserer Webseite Cookies ein, die zur Sicherheit und Funktionalität der Webseite erforderlich sind. Soweit Sie auf die Schaltfläche „Alle Cookies akzeptieren“ klicken, werden alle von uns gesetzten Cookies angenommen.
Ihre Einwilligung umfasst auch den Einsatz von Google Analytics Cookies, die uns Informationen über die Webseitennutzung geben.
Diese Daten werden in die USA, einem Land ohne ausreichendes Schutzniveau übertragen. Es besteht dabei das Risiko, dass diese Daten von US-Behörden zu Kontroll- und Überwachungszwecken verarbeitet werden. Weitere ausführliche Informationen dazu finden Sie in unserer Datenschutzerklärung. Natürlich können Sie eine abgegebene Einwilligung auch jederzeit ohne Angabe von Gründen widerrufen.
Soweit Sie auf die Schaltfläche Konfigurieren klicken, erfolgt kein entsprechender Cookieeinsatz und Sie können uns Ihre jeweilige Zustimmung für den Einsatz nicht erforderlicher Cookies im Einzelfall selbst geben.
Auch beim Aufruf der Videos werden Daten an unsere US-Dienstleister Youtube und/oder Vimeo übertragen, worauf Sie an entsprechender Stelle nochmals hingewiesen werden (auch hierzu finden Sie weitere Informationen in der unserer Datenschutzerklärung).