Um die Sicherheit der Software-Versorgungsketten zu erhöhen, wird eine Regulierungswelle auf die Deutsche Wirtschaft zurollen. Über die rechtlichen Implikationen für Mittelständler spricht Rechtsanwalt Stefan Hessel, Head of Digital Business der Reusch Rechtsanwaltsgesellschaft mbH, im Interview.
Herr Hessel, warum wird Supply Chain Security aus rechtlicher Sicht immer relevanter?
Aus rechtlicher Sicht stehen wir derzeit vor einem epochalen Umbruch in der Gesetzgebung zur Cybersicherheit. Das neue Cybersicherheitsrecht der EU und damit verbundene Rechtsakte wie die NIS-2-Richtlinie und der Cyber Resilience Act machen das Recht zum Treiber der Cybersicherheit. Die bisherige statische Rechtslage, die sich eher auf stark regulierte Bereiche konzentrierte, wird aufgebrochen und durch umfassende Cybersicherheitsverpflichtungen für weite Teile der Wirtschaft ersetzt. Ein zentrales Ziel der neuen Regelungen ist es auch, die Sicherheit der Lieferketten zu erhöhen. Hier wird sich vieles ändern.
Was kommt da mit dem neuen Cybersicherheitsrecht der EU auf die deutsche Wirtschaft zu?
Derzeit rollt eine große Regulierungswelle auf die deutsche Wirtschaft zu, die viele Herausforderungen mit sich bringt. In der Praxis ist es für viele Unternehmen bereits eine Herausforderung zu klären, ob sie von den neuen gesetzlichen Vorgaben betroffen sind und welche Anforderungen konkret zu erfüllen sind. Auch wenn das hohe Regulierungstempo angesichts der aktuellen Bedrohungslage nachvollziehbar ist, gibt es aus meiner Sicht Reibungsverluste. Einige Vorhaben auf europäischer Ebene sollten besser koordiniert werden. Einige geplante Cybersicherheitsvorschriften laufen Gefahr, noch vor ihrer Umsetzung von neuen Plänen der EU-Kommission überholt zu werden. Das kann nicht das Ziel sein. Gleichzeitig stehen Unternehmen vor der Herausforderung, geeignetes Personal für die Umsetzung der neuen Anforderungen zu finden bzw. die Mitarbeiter:innen intern entsprechend aus- und weiterzubilden. Das geht nicht über Nacht. Schließlich wird das neue Cybersicherheitsrecht auch die Hürden für den Abschluss einer Cyberversicherung beeinflussen. Wer die gesetzlichen Anforderungen nicht erfüllt, wird sich voraussichtlich nicht ausreichend absichern können.
Was raten Sie Unternehmen heute bereits mit Blick auf die NIS-2-Richtlinie und den CRA?
In Gesprächen stelle ich immer wieder fest, dass viele Unternehmen die Dimension der rechtlichen Änderungen durch die NIS 2-Richtlinie und die Cyber Resilience noch nicht erfasst haben. Dabei ist völlig klar, dass Cybersicherheit im Unternehmen, im Produkt und in der Lieferkette bald zu einer harten rechtlichen Anforderung wird. Anstatt sich in einzelnen Regelungen zu verlieren, sollten Unternehmen Cybersicherheit als grundlegende Anforderung begreifen und versuchen, Synergien zwischen einzelnen Regelungen zu nutzen. Wichtig ist auch, dass die Bereiche Datenschutz, Cybersicherheit, Compliance und Recht sowie die strategische Kommunikation in den Unternehmen viel stärker zusammenwachsen. Sinnvoll ist es auch, schon heute mit den zuständigen Aufsichtsbehörden in einen offenen Austausch zu treten und gemeinsam die Auslegung der gesetzlichen Vorgaben zu erarbeiten. Schließlich kann es nicht schaden, den Schiedsrichter und seine Vorstellung von den Spielregeln zu kennen, bevor das Spiel beginnt.
Herr Hessel, vielen Dank für das Interview!