Die EU baut ihre Digitalstrategie mit Gesetzgebungen wie dem Cyber Resilience Act, dem EU Data Act, der NIS-2-Direktive und dem Artificial Intelligence Act kontinuierlich aus. Wir geben ein Update zu den wichtigsten Neuerungen seit dem Spätsommer 2023 und erklären, wie Unternehmen sich nicht nur auf die neuen Anforderungen einstellen, sondern langfristig davon profitieren können.
Die digitale Transformation in Europa wird von zahlreichen gesetzlichen Regelwerken flankiert. Zu den wichtigsten Eckpfeilern der EU-Digitalstrategie zählen der Cyber Resilience Act, der EU Data Act und der Artificial Intelligence Act. Jedes dieser Gesetze verfolgt das Ziel, die digitale Infrastruktur in der EU sicherer und effizienter zu gestalten sowie Innovationen zu fördern. Auch die NIS-2-Richtlinie (Network and Information Security Directive) ist Teil der EU-Digitalstrategie. Sie ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie aus dem Jahr 2016 und soll die Cybersicherheitsanforderungen für kritische Infrastrukturen stärken.
In den vergangenen Monaten haben diese Gesetzgebungen deutliche Fortschritte gemacht. Nach dem EU-Parlament hat am 10. Oktober auch der Rat der Europäischen Union den Cyber Resilience Act (CRA) beschlossen. Die Veröffentlichung im Amtsblatt der EU soll in den nächsten Wochen erfolgen, 20 Tage nach der Veröffentlichung tritt die Verordnung bindend in Kraft. Dieses Gesetz, das Herstellern von Produkten mit digitalen Komponenten neue Sicherheitsanforderungen auferlegt, zielt darauf ab, Schwachstellen zu minimieren und den gesamten Lebenszyklus eines Produktes sicherer zu gestalten. Viele Unternehmen haben daher nun die Aufgabe, ihre Sicherheitsstrategien zu überdenken und stärker in Cybersicherheitsmaßnahmen zu investieren.
Auch der EU Data Act hat seit dem letzten Jahr wesentliche Entwicklungen durchlaufen. Der Rechtsrahmen, der den Zugang und die Nutzung von Daten regelt, wurde weiter verfeinert. Seit Anfang 2024 gilt der EU Data Act in vielen Bereichen, insbesondere bei der Nutzung von IoT-Geräten und Smart Devices. Die Gesetzgebung stellt sicher, dass Daten im Einklang mit Datenschutzstandards gespeichert, verwaltet und verarbeitet werden. Unternehmen müssen ein striktes Management ihrer Datenbasis umsetzen, um die regulatorischen Vorgaben zu erfüllen.
Am 1. August 2024 trat mit dem EU AI Act der erste umfassende Rechtsrahmen weltweit zur Regulierung künstlicher Intelligenz in Kraft. Die Hauptpflichten und Anforderungen des AI Act werden zwar über die nächsten Jahre bis spätestens 2026 abhängig von der Risikokategorie gestaffelt in Kraft treten, aber Achtung: Beim EU AI Act handelt es sich um eine Verordnung, die direkte Rechtswirkung entfaltet, ohne dass eine Überführung in nationales Recht über Umsetzungsgesetze notwendig ist. Unternehmen, die KI-Systeme in der EU einsetzen oder vertreiben, sollten die Regelungen also schnellstmöglich umsetzen, um rechtliche Risiken und wirtschaftliche Nachteile zu vermeiden. Bei Nichteinhaltung drohen hohe Strafen, die bis zu 7 Prozent des weltweiten Jahresumsatzes betragen können.
Der EU AI Act klassifiziert KI-Systeme in die Risikokategorien minimal, begrenzt, hoch und inakzeptabel. Systeme der letzten Kategorie – beispielsweise KI-basierte soziale Scoring-Systeme – sind in der EU verboten, da sie Grund- und Menschenrechte gefährden können. Hochrisiko-Systeme im Gesundheits- oder Personalwesen unterliegen hohen Transparenzanforderungen und menschlicher Aufsicht. Für generative KI, wie sie häufig in Chatbots vorkommt, schreibt der AI Act vor, dass maschinell erzeugte Inhalte deutlich gekennzeichnet sein müssen. Zusätzlich wird ein Code of Practice für allgemein einsetzbare KI (General Purpose AI, GPAI) entwickelt, der 2025 in Kraft tritt. Er wird Regeln zu Transparenz, Risikobewertung, Risikominderung und interner Governance enthalten und Unternehmen dadurch helfen, ihre auf generativer KI basierenden Lösungen rechtssicher zu gestalten.
Die NIS-2-Direktive weitet den Anwendungs- und Geltungsbereich der NIS-Richtlinie von 2016 erheblich aus und stellt strengere Cybersicherheitsanforderungen an Unternehmen, die kritische Infrastrukturen betreiben. NIS-2 ist ab Oktober 2024 rechtsverbindlich und umfasst neben großen Unternehmen in Sektoren mit hoher Kritikalität nun auch mittelgroße Unternehmen mit mindestens 50 Mitarbeitern und Mitarbeiterinnen oder einem Jahresumsatz von 10 Millionen Euro. Allein in Deutschland könnten bis zu 30.000 Unternehmen erstmals in den Geltungsbereich fallen. Das bedeutet: Unternehmen, die bisher wenig Berührungspunkte mit strenger Data Governance hatten, müssen in Kürze umfangreiche Maßnahmen zur Sicherung ihrer IT-Infrastrukturen umsetzen.
Diese beinhalten:
Die Auswirkungen der NIS-2-Direktive auf die Entwicklung smarter und vernetzter Produkte sind erheblich. Unternehmen, die IoT- und Analytics-basierte Lösungen zur Optimierung von Energienetzen oder ähnlichen Infrastrukturen entwickeln, müssen ihre Sicherheitsvorkehrungen bereits in der Entwicklungsphase deutlich verstärken.
Ein Beispiel sind smarte Stromzähler, die kontinuierlich Daten über den Energieverbrauch sammeln und in Echtzeit an zentrale Server übermitteln. Diese Daten werden anschließend analysiert, um das Stromnetz effizienter zu steuern und Energieressourcen besser zu nutzen.
Entsprechend der NIS-2-Direktive muss der Hersteller sicherstellen, dass diese Zähler und die gesamte Datenübertragungsinfrastruktur strengere Sicherheitsvorkehrungen erfüllen. Dazu zählen etwa verschlüsselte Kommunikationsprotokolle, robuste Authentifizierungsverfahren und regelmäßige Sicherheitsupdates sowie Penetrationstests.
Angesichts der zunehmenden regulatorischen Anforderungen rückt das Thema Data Governance immer stärker in den Fokus. Ein Data Lakehouse, das die Vorteile von Data Lakes und Data Warehouses kombiniert, kann dabei eine zentrale Rolle spielen. Diese Technologie ermöglicht es, große Mengen an strukturierten und unstrukturierten Daten zentral zu speichern und zu verwalten, während gleichzeitig hohe Standards in Bezug auf Datenqualität und -sicherheit eingehalten werden.
Ein Data Lakehouse bietet Unternehmen die Flexibilität, schnell auf neue regulatorische Anforderungen zu reagieren und die Einhaltung von Regelwerken wie EU Data Act, Cyber Resilience Act oder NIS-2-Direktive sicherzustellen. Die zentrale Verwaltung und Kontrolle über alle Unternehmensdaten ermöglicht es, Sicherheits- und Datenschutzmechanismen effizient zu implementieren. Durch die Kombination von Datenspeicherung und Analyse in einer Plattform können Unternehmen nicht nur den gesetzlichen Anforderungen gerecht werden, sondern auch Einblicke in geschäftskritische Bereiche gewinnen. Insbesondere in stark regulierten Branchen kann das einen entscheidenden Wettbewerbsvorteil bedeuten.
Die jüngsten Entwicklungen in der EU-Digitalstrategie zeigen, dass die Anforderungen an Unternehmen in den kommenden Jahren kontinuierlich weiter steigen werden. Mit dem Cyber Resilience Act, dem EU Data Act, der NIS-2-Direktive und dem Artificial Intelligence Act setzt die EU Rahmenbedingungen, die die Sicherheit und den verantwortungsvollen, transparenten und ethischen Umgang mit digitalen Technologien fördern sollen. Eine Lakehouse-Architektur kann helfen, bereits heute für zu erwartende Verschärfungen aufgestellt zu sein. Mit Hilfe konsolidierter Datenstrategien können Unternehmen nicht nur Rechtskonformität herstellen, sondern auch ihre Wettbewerbsfähigkeit in einem zunehmend regulierten Umfeld stärken und von effektiven Werkzeugen für Data Governance und Cybersecurity profitieren.
Delivering excellence in IoT. Wir sind ein IoT Solution Provider für Smart Products, Connected Vehicles, Smart City, Smart Energy und Smart Production.