Der Cyber Resilience Act (CRA) zielt darauf ab, dass auf dem europäischen Markt bereitgestellte Produkte mit digitalen Elementen ein einheitliches Cybersicherheitsniveau aufweisen. Zu diesem Zweck legt der CRA Pflichten für sämtliche Wirtschaftsakteure der Produktlieferkette fest, insbesondere für den Hersteller, aber auch für die Händler von Produkten mit digitalen Elementen.

Der EuGH hat in der Rechtssache C-654/23 (Inteligo Media) klargestellt, dass bei Bestandskundenwerbung nach Art. 13 Abs. 2 ePrivacy-RL die Rechtmäßigkeitsvoraussetzungen des Art. 6 Abs. 1 DSGVO nicht zur Anwendung kommen. Damit weicht das Urteil von der bislang vielfach vertretenen Behördenpraxis ab. Zugleich erweitert der EuGH durch seine Auslegung des Begriffs „Verkauf“ den Anwendungsbereich der Bestandskundenausnahme.

Das durch die europäische NIS-2-Richtlinie geänderte Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) bringt eine ganze Reihe an Neuerungen im Bereich der IT-Sicherheit. Im Gegensatz zu sonstigen Rechtsakten der europäischen Digitalgesetzgebung enthalten die Änderungen des BSIG durch die NIS-2-Richtlinie eine neue Vorgabe, die explizit Geschäftsleitungen von BSIG-relevanten Unternehmen und sonstigen Stellen besonders interessieren dürfte.

Hinsichtlich öffentlicher Stellen der Länder verhält sich das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) sehr zurückhaltend. Nicht zuletzt aufgrund der Verteilung der Gesetzgebungskompetenzen zwischen Bund und Ländern finden sich zwar insbesondere in § 29 und Teil 3 Kapitel 3 BSIG Regelungen betreffend die Bundesverwaltung. Entsprechende Regelungen in Bezug auf Verwaltungen der Länder fehlen indes, sodass man auf die Idee kommen könnte, dass insbesondere Einrichtungen außerhalb der Bundes- und Landesverwaltung nicht vom BSIG adressiert werden.

Viele Konzerne oder Unternehmensgruppen betreiben eine eigene IT-(Service) Gesellschaft, die bspw. ERP, MS 365 & Co. ausschließlich für andere Konzerngesellschaften bereitstellt. Mit Geltung der neuen Vorgaben der NIS-2-Richtlinie stellt sich die Frage, ob diese eigene interne IT nach dem deutschen NIS-2-Umsetzungsgesetz (= § 2 Nr. 26 BSIG) als „Managed Service Provider“ (MSP) einzuordnen ist – und sich daher spezifische Pflichten ergeben.

Von dem großflächigen Stromausfall im Berliner Südwesten sind etwa 2.200 Unternehmen betroffen. Viele davon müssen wohl leider damit rechnen, noch bis Donnerstag nicht wieder an das Stromnetz angeschlossen zu werden. Der Blackout hat für Unternehmen auch eine (datenschutz- und IT-Sicherheits-)rechtliche Dimension. Die Datenschutz-Grundverordnung sowie das BSI-Gesetz sehen für relevante Sicherheitsvorfälle Meldepflichten vor.