Suche

Verordnung (EU) 2019/881: Cybersecurity Act

Die Verordnung (EU) 2019/881, bekannt als Cybersecurity Act, ist eine unmittelbar in Österreich geltende EU-Verordnung zur Cybersicherheit. Sie stärkt die Rolle der EU-Agentur ENISA und schafft einen unionsweiten Rahmen für die Cybersicherheitszertifizierung von IKT-Produkten, IKT-Diensten und IKT-Prozessen.

Was regelt Verordnung (EU) 2019/881?

Der Cybersecurity Act ist eine Verordnung der Europäischen Union und gilt daher grundsätzlich unmittelbar in allen Mitgliedstaaten, also auch in Österreich. Anders als eine Richtlinie braucht eine Verordnung im Regelfall keine inhaltliche Umsetzung durch den nationalen Gesetzgeber, auch wenn ergänzende organisatorische oder behördliche Regelungen auf nationaler Ebene erforderlich sein können.

Inhaltlich verfolgt die Verordnung zwei große Ziele. Erstens wird die Agentur der Europäischen Union für Cybersicherheit, ENISA, dauerhaft gestärkt. ENISA unterstützt die Mitgliedstaaten, die EU-Organe und in bestimmten Bereichen auch Unternehmen bei Fragen der Netz- und Informationssicherheit, bei der Entwicklung von Strategien, bei der Zusammenarbeit im Krisenfall und bei der Förderung eines hohen gemeinsamen Cybersicherheitsniveaus.

Zweitens führt die Verordnung einen europäischen Rahmen für Cybersicherheitszertifizierungen ein. Dieser Rahmen soll dazu beitragen, dass Produkte und Dienstleistungen mit digitalen Komponenten nach einheitlichen europäischen Maßstäben auf ihre Sicherheit geprüft und zertifiziert werden können. Gemeint sind etwa Software, Hardware, Cloud-Dienste, vernetzte Geräte oder bestimmte digitale Prozesse. Die Verordnung selbst zertifiziert nicht einzelne Produkte, sondern schafft die rechtliche Grundlage für europäische Zertifizierungssysteme, die durch gesonderte Durchführungsrechtsakte konkret eingeführt werden können.

Ein wesentliches Merkmal des Zertifizierungsrahmens ist die Einteilung in unterschiedliche Vertrauensniveaus, insbesondere „niedrig“, „mittel“ und „hoch“. Diese Stufen sollen ausdrücken, wie belastbar die Sicherheitsanforderungen und Prüfungen sind. Damit erhalten Marktteilnehmer, Behörden und Nutzerinnen und Nutzer eine bessere Orientierung über das Sicherheitsniveau eines Produkts oder Dienstes.

Warum ist der Rechtsakt wichtig?

Cybersicherheit ist längst keine rein technische Frage mehr, sondern ein Kernthema des Wirtschafts- und Verwaltungsrechts. Digitale Produkte und Dienste sind grenzüberschreitend im Einsatz. Unterschiedliche nationale Sicherheitsanforderungen erschweren aber den Binnenmarkt und können zu Unsicherheit führen. Der Cybersecurity Act soll deshalb gemeinsame europäische Standards fördern und das Vertrauen in digitale Lösungen stärken.

Besonders wichtig ist die Verordnung für den Binnenmarkt: Wenn Zertifizierungssysteme unionsweit einheitlich ausgestaltet sind, müssen Unternehmen nicht für jeden Mitgliedstaat völlig unterschiedliche Sicherheitsnachweise erbringen. Das kann Marktzugang erleichtern, Kosten senken und Innovation fördern. Gleichzeitig profitieren öffentliche Stellen und private Auftraggeber, weil sie sich stärker auf vergleichbare Zertifizierungsmaßstäbe stützen können.

Die Verordnung hat auch eine politische und strategische Bedeutung. Sie ist Teil des Ausbaus einer europäischen Cybersicherheitsarchitektur. Durch die Stärkung von ENISA und durch ein gemeinsames Zertifizierungsmodell soll die EU widerstandsfähiger gegen Sicherheitsvorfälle, Lieferkettenrisiken und technische Schwachstellen werden. Gerade in Bereichen wie Cloud-Computing, Industrie 4.0, kritische Infrastrukturen und vernetzte Alltagsgeräte ist ein einheitlicher Rechtsrahmen besonders relevant.

Bedeutung für Österreich

Für Österreich ist der Cybersecurity Act vor allem deshalb bedeutsam, weil er unmittelbar anwendbares Unionsrecht darstellt und in ein bereits bestehendes nationales System der Netz- und Informationssicherheit hineinwirkt. Österreich hat eigene Regelungen zur Cybersicherheit, insbesondere im Bereich der Sicherheit von Netz- und Informationssystemen. Diese nationalen Vorschriften werden durch den Cybersecurity Act nicht einfach ersetzt, sondern durch einen unionsweiten Zertifizierungs- und Kooperationsrahmen ergänzt.

Praktisch bedeutet das: Österreichische Unternehmen, Behörden und Beschaffungsstellen müssen die unionsrechtlichen Zertifizierungsentwicklungen beobachten, wenn sie IKT-Produkte oder IKT-Dienste entwickeln, einkaufen, betreiben oder einsetzen. Sobald auf EU-Ebene konkrete europäische Zertifizierungssysteme erlassen werden, kann dies unmittelbare Auswirkungen auf Marktchancen, Vergabeverfahren, Vertragsgestaltung und Compliance haben.

Für österreichische Behörden ist außerdem relevant, dass die Verordnung nationale Strukturen der Zusammenarbeit mit ENISA und mit anderen Mitgliedstaaten voraussetzt. Die nähere organisatorische Zuständigkeit kann national festgelegt oder durch bestehende Behördenstrukturen wahrgenommen werden. Je nach Materie und Zertifizierungssystem kommen in Österreich unterschiedliche fachlich zuständige Stellen in Betracht. Hier ist eine genaue Prüfung des jeweils betroffenen Bereichs notwendig.

Auch für den österreichischen Wirtschaftsstandort ist die Verordnung wichtig. Unternehmen, die sichere digitale Produkte anbieten, können von unionsweit anerkannten Zertifizierungen profitieren. Das kann im B2B-Bereich, bei öffentlichen Aufträgen und im internationalen Wettbewerb ein Vorteil sein. Zugleich steigen die Erwartungen an Sicherheitsdokumentation, Entwicklungsprozesse und Nachweise.

Wer ist davon betroffen?

  • Hersteller von IKT-Produkten, etwa Hard- und Softwareunternehmen sowie Anbieter vernetzter Geräte
  • Anbieter von IKT-Diensten, insbesondere Cloud-, Plattform- und Managed-Service-Anbieter
  • Österreichische Behörden und öffentliche Auftraggeber, die digitale Systeme beschaffen oder betreiben
  • Unternehmen mit erhöhten Sicherheitsanforderungen, etwa in regulierten oder kritischen Bereichen
  • Konformitätsbewertungsstellen und sonstige Einrichtungen, die an Zertifizierungsverfahren beteiligt sein können
  • Nutzerinnen und Nutzer, die von mehr Transparenz über das Sicherheitsniveau digitaler Produkte profitieren sollen

Praktische Bedeutung

Die unmittelbare praktische Wirkung des Cybersecurity Act zeigt sich vor allem dort, wo europäische Zertifizierungssysteme tatsächlich eingeführt und im Markt verwendet werden. Für Unternehmen in Österreich kann es dann entscheidend sein, ob ein Produkt oder Dienst eine bestimmte Zertifizierung trägt, welches Vertrauensniveau erreicht wird und ob Auftraggeber oder Geschäftspartner einen solchen Nachweis verlangen.

In der Vertrags- und Beschaffungspraxis kann die Verordnung dazu führen, dass Cybersicherheitszertifizierungen zum Auswahl- oder Qualitätskriterium werden. Öffentliche Auftraggeber in Österreich müssen bei Ausschreibungen unionsrechtliche und nationale vergaberechtliche Vorgaben beachten. Wenn in einem bestimmten Bereich ein europäisches Zertifizierungssystem existiert, kann das bei der Leistungsbeschreibung oder bei Eignungs- und Zuschlagsüberlegungen eine Rolle spielen, sofern die vergaberechtlichen Grundsätze gewahrt bleiben.

Für Hersteller und Dienstanbieter bedeutet dies häufig einen höheren Dokumentations- und Prüfungsaufwand. Sicherheit muss stärker „by design“ und über den gesamten Lebenszyklus mitgedacht werden. Dazu gehören etwa sichere Entwicklungsprozesse, Risikobewertungen, Schwachstellenmanagement und nachvollziehbare technische Unterlagen. Ob und in welchem Umfang solche Anforderungen konkret bestehen, hängt jedoch vom jeweiligen europäischen Zertifizierungssystem ab.

Auch haftungsrechtlich und compliancebezogen kann die Verordnung mittelbar an Bedeutung gewinnen. Zwar begründet der Cybersecurity Act nicht automatisch für jeden Fall eigene Schadenersatzansprüche nach nationalem Recht. Zertifizierungen und Sicherheitsstandards können aber in der Praxis ein wichtiger Anhaltspunkt dafür sein, welche Sicherheitsmaßnahmen erwartet werden durften. Das kann bei Vertragsauslegung, Sorgfaltsmaßstäben und Risikomanagement relevant sein.

Für Verbraucherinnen und Verbraucher ist die Wirkung eher indirekt, aber dennoch bedeutsam. Einheitliche Zertifizierungen können helfen, Sicherheitsversprechen besser einzuordnen. Allerdings ist zu beachten, dass eine Zertifizierung nicht jede Gefahr ausschließt und keine absolute Sicherheit garantiert. Sie ist vielmehr ein standardisierter Nachweis, dass bestimmte Anforderungen unter festgelegten Bedingungen erfüllt wurden.

Abgrenzung zu anderen Regelungen

Der Cybersecurity Act ist nicht mit der Datenschutz-Grundverordnung zu verwechseln. Die DSGVO regelt den Schutz personenbezogener Daten. Der Cybersecurity Act betrifft demgegenüber vor allem die Sicherheit von IKT-Produkten, IKT-Diensten und IKT-Prozessen sowie den institutionellen Rahmen auf EU-Ebene. Beide Materien überschneiden sich zwar praktisch, sind rechtlich aber unterschiedlich ausgerichtet.

Ebenso ist der Cybersecurity Act von unionsrechtlichen Vorschriften zur Sicherheit von Netz- und Informationssystemen abzugrenzen. Diese betreffen insbesondere Pflichten von Einrichtungen und Behörden zur Risikovorsorge, Meldung und organisatorischen Sicherheit. Der Cybersecurity Act ergänzt diesen Bereich, indem er ENISA stärkt und ein Zertifizierungssystem schafft, ersetzt solche sektoralen oder horizontalen Sicherheitspflichten aber nicht.

Von produktsicherheitsrechtlichen Vorschriften ist die Verordnung ebenfalls zu unterscheiden. Klassische Produktsicherheitsregeln betreffen häufig Gesundheit, physische Sicherheit und Marktaufsicht. Der Cybersecurity Act konzentriert sich auf Cybersicherheit und digitale Vertrauenswürdigkeit. Je nach Produkt können daher mehrere Rechtsakte parallel relevant sein.

Wichtig ist auch die Abgrenzung zum nationalen Recht in Österreich. Nationale Gesetze können Zuständigkeiten, Verfahren oder behördliche Mitwirkung näher ausgestalten, soweit dies unionsrechtlich zulässig und erforderlich ist. Sie dürfen aber den unmittelbar geltenden Rahmen der Verordnung nicht unterlaufen. Weil die praktische Bedeutung stark von den konkret erlassenen europäischen Zertifizierungssystemen abhängt, ist stets eine Einzelfallprüfung erforderlich.

Quellen

Bewertung dieses Artikels

Teilen   

Kanzlei-Empfehlung

CHG Czernich Rechtsanwälte

RA

Mag.

Stefan GUTBRUNNER

  • Gesellschaftsgründungen, Gesellschaftsrecht, M & A Abwicklungen, Private Equity, Start-Up und Venture Capital Beratung, Wirtschaftsrecht
Zum Profil

Podcast

Einfach in 3 Schritten einen Anwalt finden, der auf Ihr Rechtsproblem spezialisiert ist

Ein zugelassener Anwalt / eine zugelassen Anwältin ist dafür da, über Rechtsfragen zu beraten und Klienten vor Gericht zu vertreten. Es ist seine Aufgabe, Dienstleistungen im Bereich der Rechtsberatung zu erbringen und Klienten vor Gericht zu vertreten. Mit diesem Wissen kennt er alle relevanten Herausforderungen dieses Systems und ist mit allen einschlägigen Rechtsnormen vertraut.

Fachexperten auf Ihrem Gebiet

Anwalts-Empfehlungen gefiltert durch das RechtEasy-Team -Best Choice der Anwälte in Österreich

Chatbox aufmachen

Klicken Sie auf den blauen Button im rechten unteren Eck und wählen aus, dass Sie eine Anwaltsempfehlung benötigen.

Problem schildern

Erklären Sie, welches Anliegen Sie haben. Gehen Sie hier auch gerne ins Detail.

Zurücklehnen

Unser Team beurteilt Ihre Rechtsfrage und vermittelt den richtigen Anwalt/die richtige Anwältin für Sie in Ihrer Region.

Die Vermittlung ist kostenlos. Der jeweilige Anwalt wird Ihnen vorab die genauen Kosten mitteilen, sodass Sie immer die volle Kontrolle haben.

Rechts unten den Chat öffnen, Rechtsfrage stellen und gleich vermitteln lassen.

Jetzt zum Newsletter anmelden!

Auf RechtEasy befinden sich über 7500 Begriffserklärungen und juristische Ratgeber, die von Rechtsanwälten und Juristen verfasst wurden

  • News von und über RechtEasy
  • Fachartikel von ausgewählten Anwälten
ANWALT FINDEN