Termin

Die 4 Schlüsselinitiativen der EU

20. Dezember 2024 - Die voranschreitende Digitalisierung macht die Sicherheit unserer IT wichtiger als je zuvor. Die EU will diese mit 4 Initiativen regeln.

Die vier Initiativen im Überblick:

Technische und digitale Lösungen sind ein fixer Bestandteil von unserem Alltag – bei Individuen, kleinen Unternehmen, großen Konzernen und auch politischen Einrichtungen. Durch die wachsende Rolle dieser in essentiellen Belangen vieler Staaten gewinnt auch die Regelung des digitalen Raums an Bedeutung, damit die Sicherheit und Funktionsfähigkeit unserer IT sichergestellt werden kann. 

Dabei entstehen viele Fragen:
Wie gehen wir mit künstlicher Intelligenz um? Welche Maßnahmen stellen sicher, dass unsere Daten in sicheren Händen sind? Wie sichern wir uns gegen Angriffe und Schwachstellen in unserer IT ab? Wie bleiben wir sicher und effizient in unserem technologischen Dasein? 

Die EU versucht diese Fragen mit ihren 4 Schlüsselinitiativen bestmöglich zu beantworten und bietet ein Fundament für ihre Mitgliedsstaaten. 

AI Act
Die Verordnung soll Vorschriften zur künstlichen Intelligenz harmonisieren.

Schon 2021 wurde das “Gesetz über KI” vorgestellt und 2023 wurde im EU-Parlament positiv darüber abgestimmt. Als Verordnung soll der AI Act schon 2024 in der EU gelten, ohne nationale Umsetzung zu brauchen. Die Verordnung behandelt unter anderem die geregelte Schaffung von KI. 

  • Risikobasierter Ansatz:
    KI-Systeme werden abhängig vom gesellschaftlichen Risiko von Entwickler, Vertreiber & Bereitsteller eingestuft – von niedrig bis inakzeptabel, wobei letztere verboten sind. Die Klassifikationen sollen in einer Datenbank abrufbar sein.
  • Transparenzpflichten:
    Der AI Act legt großen Wert auf die Transparenz von KI-Systemen, v.A. bei der Interaktion mit Menschen. In besonders sensiblen Bereichen gelten besonders strenge Transparenzvorschriften.
  • Forschung & Innovation:
    Die EU will mit Fördermitteln und Programmen die AI Act konforme Entwicklung von KI unterstützen und die EU als globales Zentrum für ethische KI positionieren.
Cyber Resilience Act
Die Verordnung soll Cybersicherheitsanforderungen für digitale Produkte festlegen.

Die geplante Verordnung soll angesichts der wachsenden Bedrohung durch Cyberangriffe einheitlich hohe “horizontale Cybersicherheits-anforderungen für Produkte mit digitalen Elementen” einführen, um die Dienste und deren Widerstandsfähigkeit zu stärken. Der Entwurf wurde 2022 vorgestellt und 2023 beschlossen.

  • Lebenszyklusansatz:
    Produkte und Dienstleistungen sollen bis zum Ende ihres Lebenszyklus Sicherheitsstandards einhalten müssen, um Verbraucher:innen sowie Unternehmen zu schützen.

 

  • Meldepflichten:
    Unternehmen sollen verpflichtet sein, Sicherheitsvorfälle innerhalb vorgegebener Fristen zu melden, um die Schadensminimierung durch eine schnelle Reaktion sicherzustellen.

 

  • Verbraucher:innenschutz:
    Durch verpflichtende Information über die Cybersicherheit von Produkten und eine Zertifizierung für das Cybersicherheitsniveau sollen Verbraucher:innen geschützt werden.
DSGVO
Die Datenschutzgrundverordnung ist das Rückgrates des Datenschutzes in der EU.

Seit 2018 gilt die DSGVO. Seit dem bildet sie das europäische Fundament für Datenschutz, das von ergänzenden nationalen Bestimmungen erweitert wurde. Die Rechtsprechung zur DSGVO ist europaweit gut harmonisiert und sorgt für eine stetige Weiterentwicklung der Verordnung.

  • Geldbußen für Unternehmen (EuGH):

    Die DSGVO sieht signifikante Strafen vor, meist gegen natürliche Personen. Seit Dezember 2023 können Geldbußen auch gegen juristische Personen verhängt werden.

  • AMS-Algorithmus (VwGH):
    Die Klassifikation von Personen im Profiling ist DSGVO konform. Eine automatisierte Entscheidungsfindung ohne maßgebliche Beeinflussung von einer involvierten Person ist verboten. 

  • Schadenersatz bei Verletzung (EuGH):
    Der EuGH klärte erst im Jänner, ob einer Person für eine Datenschutzverletzung Schadenersatz zustünde: Der Verlust von Daten für 30 Minuten begründet keinen Anspruch auf Schadensersatz.
NIS 2
Die neue Netz- und Informationssystem-sicherheitsrichtlinie soll das Sicherheitsniveau dieser Systeme in der EU heben.

Die Richtlinie gilt als verschärfte Nachfolgerin der NIS-Richtlinie aus 2016 mit einem größeren Anwendungsbereich. Die Richtlinie gibt vor, nach welchem Maß in jedem EU-Mitgliedstaaat bis 2024 eigene Gesetze umgesetzt werden müssen, um ein hohes gemeinsames Sicherheitsniveau in der EU gewährleisten zu können.

  • Erweiterter Geltungsbereich:
    Die neue NIS2-Richtlinie beschränkt sich nicht nur auf kritische Infrastruktur sondern umgreift einen breiteren Anwendungsbereich. Zahlreiche andere Sektoren fallen nun auch unter die Richtlinie, was die Resilienz bei Cyberangriffen verstärken soll.

 

  • Stärkere Anforderungen:
    Unternehmen sind verpflichtet, geeignete und verhältnismäßige technische, operative & organisatorische Maßnahmen zu treffen, um sich gegen Cyberbedrohungen zu schützen. Die Auflagen sind nun strenger und die Sicherheitsstandards höher.

 

  • EU & nationale Koordinierung:
    Die Richtlinie soll die Zusammenarbeit sowie den Austausch zwischen Mitgliedsstaaten stärken und stellt einen wichtigen Schritt hin zu einer europäischen Strategie bei Cyberbedrohungen dar.

Mit diesen vier Initiativen versucht die Europäische Union die digitale Transformation sicher zu gestalten & Unklarheiten für Mitgliedsstaaten sowie darin fungierende Akteure zu klären. Für Unternehmen sind diese regulatorischen Änderungen essentiell, um konform zu agieren, sicher zu bleiben & Chancen bestmöglich ausnützen zu können.

 

Widder IT bleibt Ihr Partner für alle Fragen rund um Ihre digitale Sicherheit und Ihre IT-Infrastruktur. Bleiben Sie informiert und kontaktieren Sie uns gerne!