Änderungen 2023/2024 im IT- und Digitalisierungsrecht

News

Bildquelle: IMPROVE.Create.co (Adobe Stock)

31/03/2023 | Recht und Regulierung

Wichtige Entwicklungen, die Wirtschaftsprüfer*innen auf ihrer Agenda haben sollten

Ob digitale Plattformen, Daten, Cybersicherheit oder Kryptowährungen: In diesem und im nächsten Jahr stehen zahlreiche Änderungen der rechtlichen Rahmenbedingungen bevor. Sie alle betreffen den Tätigkeitsbereich von Wirtschaftsprüferinnen und Wirtschaftsprüfern. In welche Richtung steuert der (EU)-Gesetzgeber, welche Regelungen sind bereits beschlossene Sache, welche durchlaufen noch das Gesetzgebungsverfahren? Wir geben einen Überblick.

Vor allem aus Europa sind demnächst zahlreiche Rechtsänderungen im IT- und Digitalisierungsrecht zu erwarten, auf welche Wirtschaftsprüfer*innen und ihre Mandant*innen sich vorbereiten sollten.

Im Blog von SOLON X informieren wir Sie über diese und viele weitere Themen der digitalen Transformation der Wirtschaftsprüferbranche. Mit dem Newsletter bleiben Sie auf dem Laufenden.

Digitale Märkte

Der Digital Markets Act (DMA) begrenzt die Marktmacht sehr großer Online-Plattformen (Gatekeeper) wie Amazon, Facebook, Youtube und Google. Diesen ist es beispielsweise untersagt, ihre eigenen Produkte auf ihrer Plattform zu bevorzugen, wovon vor allem kleinere Plattformen und KMU profitieren. Der DMA wird wirksam zum 02.05.2023.

Der Digital Services Act (DSA) reguliert die digitalen Märkte und Plattformen, um Verbraucher*innen besser zu schützen. Er betrifft sehr viele Unternehmen, die ihre Dienste digital anbieten. Für sehr große Online-Plattformen schreibt er eine Prüfungsflicht des Risikomanagements vor. Der DSA wird am 17.02.2024 wirksam werden (mehr dazu im Artikel "Digitale Märkte und Dienste").

EU-Binnenmarkt für Daten

Der Data Governance Act (DGA) setzt die Grundlagen für einen EU-weiten Datenaustausch n Unternehmen, Privatpersonen und der öffentlichen Hand. So sind mehr Daten zur wirtschaftlichen Nutzung verfügbar – dies besitzt große Relevanz vor allem für Anwendungen der Künstlichen Intelligenz. Der DGA wird wirksam ab dem 24.09.2023.

Der Data Act (DA) schafft eine Rechtsgrundlage für den Zugriff und die Nutzung von Daten. Die Wertschöpfung aus Daten soll damit gerechter verteilt werden. Der DA betrifft sehr viele Unternehmen, u.a. deren Data Compliance Management. Wirksam wird der DA ab dem 16.02.2024; die Pflichten für sehr große Plattformen und Suchmaschinen gelten bereits früher (mehr zum Thema im Blog: "Ein Binnenmarkt für Daten entsteht").

Cybersicherheit

Der Digital Operational Resilience Act (DORA) regelt Anforderungen an das Risikomanagement der Informations- und Kommunikationstechnik (IKT) von Finanzunternehmen. Wirtschaftsprüfungsgesellschaften sind nicht mehr von seinem Anwendungsbereich umfasst. Diese Entscheidung ist allerdings nicht endgültig, sondern soll nach drei Jahren überprüft werden. DORA wird zum 17.01.2025 wirksam werden (weitere Informationen: "Digitale operative Resilienz im Finanzsektor".

Der Cyber Resilience Act (CRA) hat sich zum Ziel gesetzt, Cybersicherheitsstandards für vernetzte Geräte und Dienste zu schaffen. CRA wird Hersteller, Importeure und Vertreiber von „Produkten mit digitalen Elementen“ betreffen, z.B. Passwortmanager, Betriebssysteme, Firewalls. Ausgenommen sind „Software as a Service (SaaS)“-Produkte und Cloud-Anbieter, da diese unter die Richtlinie NIS 2 fallen (dazu siehe unten). Der CRA regelt das Inverkehrbringen vernetzter Produkte und stellt Anforderungen auf für deren Design, Entwicklung und Produktion. Er erstreckt sich aber auch auf den gesamten (maximal fünfjährigen) Lebenszyklus des Produkts, indem der Hersteller während dieser Zeit verpflichtet ist, die Cybersicherheit zu gewährleisten und eventuelle Schwachstellen zu behandeln. Der Entwurf des CRA datiert vom September 2022. Die Verordnung tritt voraussichtlich noch 2023 in Kraft und wird zwei Jahre nach Inkrafttreten wirksam, voraussichtlich im Jahr 2025.

Die EU-Richtlinie über die Sicherheit von Netz- und Informationssystemen von 2016 ist überarbeitet worden: Directive on Security of Network and Information Systems (NIS2-Richtlinie). Der bisherige Anwendungsbereich wird damit deutlich ausgeweitet: Mehr Wirtschaftssektoren sind umfasst, die Schwellenwerte werden herabgesetzt und liegen dann bei Unternehmen mit 50 Arbeitnehmern und 10 Mio. Euro Umsatz, außerdem werden bestimmte Sektoren größenunabhängig reguliert. Die Richtlinie enthält Anforderungen an die Unternehmensleitung und an das Risikomanagement der Cybersicherheit, sie sieht Melde- und Berichtspflichten vor sowie Sicherheitsprüfungen durch Dritte oder Behörden. Für den Berufsstand der Wirtschaftsprüfer*innen dürfte sich eine Nachfrage nach Prüfungs- oder Beratungsleistungen im Bereich Risk & Compliance entwickeln. NIS 2 ist am 16.01.2023 in Kraft getreten. Die EU-Mitgliedstaaten haben 18 Monate Zeit, um die Richtlinie in nationales Recht umzusetzen, d.h. bis zum 17.10.2024.

Betreiber kritischer Infrastrukturen sind bereits vorherverpflichtet, Systeme zur Angriffserkennung einzusetzen. Diese Regelung in § 8a BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) wurde durch das IT-Sicherheitsgesetz 2.0 eingefügt, sie ist ab dem 01.05.2023 verpflichtend.

Kryptowährungen

Die geplante EU-Verordnung „Markets in Crypto-Assets (MiCA)“ gilt für Krypto-Dienstleister und Emittenten von Kryptowerten. Sie soll Rechtssicherheit schaffen, die Finanzstabilität gewährleisten, Anleger*innen schützen, aber auch Innovationen fördern. Hierzu sieht sie verschiedene Transparenz-, Offenlegungs- und Erlaubnispflichten für die Krypto-Branche vor. Für Wirtschaftsprüfer*innen dürften sich Prüfungs- oder Beratungsleistungen im Bereich Risk & Compliance eröffnen. Außerdem sieht MiCA eine regelmäßige Prüfung der Unternehmensführung vor für Emittenten wertreferenzierter Token.

Mit dem Inkrafttreten von MiCA ist noch 2023 zu rechnen. Bis zum Wirksamwerden der Verordnung ist eine Übergangsfrist von 18 Monaten vorgesehen. Allerdings sollen die Bestimmungen über wertreferenzierte Token bereits ab dem Inkrafttreten der Verordnung wirksam werden.

Künstliche Intelligenz

Mit dem Artificial Intelligence Act (AI Act) will die EU einen einheitliche Rechtsrahmen für vertrauenswürdige KI-Systeme schaffen. Die Verordnung soll einheitliche Regeln für die Entwicklung, Vermarktung und Verwendung von KI aufstellen – im Einklang mit EU-Werten und Grundrechten. Der AI Act verfolgt dabei einen risikobasierten Ansatz und stuft KI-Systeme in unterschiedliche Risiko-Kategorien ein, für welche jeweils unterschiedliche Anforderungen gelten sollen. Für KI-Systeme mit hohem Risiko sind beispielsweise hohe Anforderungen an das Risikomanagement, die Datenqualität und die technische Dokumentation vorgesehen.

Der Entwurf des AI Act der EU-Kommission datiert von April 2021. Das Gesetzesvorhaben wird politisch intensiv diskutiert. Daher ist es auch denkbar, dass es in der laufenden Legislaturperiode des EU-Parlaments nicht zu einer Verabschiedung kommt. Der AI Act soll zwei Jahre nach seinem Inkrafttreten wirksam werden.

Chronologische Übersicht der IT-Regulierung

Die Regulierungen werden zu diesen Terminen (in ihren wesentlichen Teilen) wirksam:

BSIG § 8a: 01.05.2023
DMA - Digital Markets Act: 02.05.2023
DGA - Data Governance Act: 24.09.2023
DA - Data Act: 16.02.2024
DSA - Digital Services Act: 17.02.2024
NIS2: 17.10.2024 (nationale Umsetzung erforderlich)
DORA - Digital Operational Resilience Act: 17.01.2025
CRA – Cyber Resilience Act (CRA): voraussichtlich 2025
MiCA – Markets in Crypto-Assets: voraussichtlich 2025/2026
AI Act – Artificial Intelligence: nicht vor 2025 (Verabschiedung unsicher)