Softwarerecht: Das Verhältnis zwischen der NIS-2-RL und dem Cyber-Resilience-Act

Cybersicherheit in der EU: Doppelregulierung durch NIS-2-RL und CRA

Die EU hat im Jahr 2020 mit ihrer Cybersecurity-Strategie ein klares Ziel gesetzt: die Cyber-Resilienz innerhalb des Binnenmarkts zu harmonisieren und zu stärken. Cybersicherheit wurde dabei als eine der größten Herausforderungen der Union identifiziert. Zwei zentrale Rechtsakte, die dabei eine tragende Rolle spielen, sind die NIS-2-Richtlinie (NIS-2-RL) und der Cyber Resilience Act (CRA). Beide verpflichten Anbieter von Software dazu, spezifische Cybersicherheitsmaßnahmen zu implementieren. Doch diese Regelwerke werfen auch Fragen auf – insbesondere in Bezug auf mögliche Mehrfachregulierungen, vor allem bei Software, die als Software-as-a-Service (SaaS) betrieben wird.

Unterschiedliche Zielrichtungen von NIS-2-RL und CRA

Ein wesentlicher Unterschied zwischen der NIS-2-RL und dem CRA liegt in ihren Zielsetzungen:

• Der CRA ist produktbezogen:Nach Artikel 1 CRA steht die Cybersicherheit von Produkten mit digitalen Elementen im Vordergrund. Erwägungsgrund 11 stellt klar, dass der CRA keine Regelungen für die Sicherheit der gesamten Netz- und Informationssysteme eines Herstellers umfasst. Der Fokus liegt vielmehr auf der Sicherheit einzelner Produkte und ihrer digitalen Komponenten.
• Die NIS-2-RL ist nicht-produktbezogen:Hier liegt der Schwerpunkt auf der Sicherheit von Netz- und Informationssystemen. Sie verfolgt einen umfassenderen Ansatz, indem sie sicherstellt, dass Unternehmen und Organisationen ihre Systeme gegen Cyberbedrohungen absichern. In Kombination mit der Richtlinie 2022/2557 zur Resilienz kritischer Einrichtungen soll ein holistischer Cybersicherheitsschutz in Europa erreicht werden.

Herausforderung durch Doppelregulierung

Eine besondere Herausforderung entsteht durch Erwägungsgrund 12 CRA, der festhält, dass die NIS-2-RL für Cloud-Computing-Dienste, einschließlich SaaS, gilt. Das Verhältnis zwischen der NIS-2-RL und dem CRA bleibt jedoch unklar. In der Praxis bedeutet dies, dass SaaS-Anbieter, die die relevanten Schwellenwerte der NIS-2-RL überschreiten, sowohl die Anforderungen der NIS-2-RL (bzw. deren nationale Umsetzungsgesetze) als auch die des CRA erfüllen müssen.

Die Regulierung teilt sich demnach wie folgt auf:

1. Auf Unternehmensebene:SaaS-Provider müssen ein Risikomanagementsystem gemäß den Vorgaben der NIS-2-RL etablieren, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten.
2. Auf Produktebene:Gleichzeitig müssen sie sicherstellen, dass ihre Produkte – in diesem Fall die SaaS-Lösungen – die Anforderungen des CRA erfüllen. Dies umfasst beispielsweise Sicherheitsvorkehrungen für digitale Komponenten und den Schutz vor bekannten Schwachstellen.

Fazit: Mehr Regulierung, aber auch mehr Sicherheit

Die Doppelregulierung durch NIS-2-RL und CRA kann für SaaS-Anbieter zwar auf den ersten Blick komplex und ressourcenintensiv erscheinen, sie verfolgt jedoch ein gemeinsames Ziel: die Verbesserung der Cybersicherheit auf allen Ebenen. Während die NIS-2-RL speziellere Anforderungen an das Unternehmen stellt, sorgt der CRA dafür, dass die Produkte selbst robust und sicher gestaltet sind.

SaaS-Anbieter sollten sich jedoch frühzeitig mit beiden Regelwerken auseinandersetzen, um Risiken durch regulatorische Verstöße zu minimieren. Langfristig zahlt sich ein solider Cybersicherheitsansatz sowohl für die Compliance als auch für das Vertrauen der Kunden aus.

Mehr erfahren?

Wenn Sie mehr darüber erfahren möchten, wie Sie Ihr Unternehmen auf die Anforderungen der NIS-2-RL und des CRA vorbereiten können, besuchen Sie meine Online-Akademie unter www.digital-recht.at. Dort finden Sie praxisnahe Schulungen und wertvolle Informationen zur Umsetzung der neuen Cybersicherheitsvorgaben.

‍