Cybersecurity Act

Bereits am 28. Juni 2019 ist der Rechtsakt zur Cybersicherheit („Cybersecurity Act“) als unmittelbar innerhalb der EU geltende Verordnung (EU) 2019/881 in Kraft getreten. Schon begrifflich ist der Cybersecurity Act ein Fortschritt, weil nun endlich verbindliche Definitionen herrschen, auf die man verweisen kann.

So ist insbesondere die „Cybersicherheit“ nun definiert und bezeichnet begrifflich alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen.

Der Cybersecurity-Act hat sehr viele mittelbare Auswirkungen, die man vielleicht nicht so ganz unmittelbar als Verbraucher bemerkt. Auf mittelfristige Sicht aber, gerade wenn die nächste Version des IT-Sicherheitsgesetzes hinzu kommt, dürfte sich vielleicht ein (kleiner) Schritt in die Richtige Richtung ergeben.

Im Kern läuft es mit dem Cybersecurity-Act auf zwei wesentliche Schritte hinaus:

  • Die ENISA wird mit mehr Geld ausgestattet und als zentrale Behörde der Koordinierung der Cybersecurity in Europa aufgestellt.
  • Es gibt nun die Aufgabe der „Entwicklung von Schemata für Cybersicherheitszertifizierungen“ für die ENISA als neuen Bereich. Diese können bis hin zu einer verbindlichen Vorgabe reichen.
  • In dem Zusammenhang sollte man die Sanktionsmöglichkeiten auf EU-Ebene bei Cyberangriffen sehen
Fachanwalt für IT-Recht Jens Ferner