I Cyber-Ressilliance Act, Produkthaftungsgesetz
Der Cyber-Resilliance Act (CRA) muss noch formal gebilligt werden, auch dort steht der Wortlaut weitgehend fest.
Die neue Produkthaftungsrichtlinie der EU wird voraussichtlich in diesem Jahr verabschiedet. Sie muss vermutlich bis Ende 2026 in das nationale Recht umgesetzt werden.
Erste Frage: Warum sich schon jetzt mit diesen Richtlinien befassen?
Antwort: Die Richtlinien sind Teil von mehreren Richtlinien der europäischen Union, die sich auf die Herstellung und die Dokumentationen von digitalen Produktenauswirken werden.
In der alten Zeit gab es z.B. keine generellen Vorschriften für Software, die sich mit der Einhaltung allgemeiner Sicherheitsstandards befassten. Solche gab es für z.B. Medizinprodukte, Maschinen, etc. aber es gab eben keine generellen Vorgaben für ERP- oder CRM-Software.
Hersteller von digitalen Produkten (Hardware, Software) oder Produkten mit digitalen Inhalten (also Eisschränke, Mähroboter, etc.) werden für die Entwicklung und den Lebenszyklus der Software oder des Produktes -bei der Erstellung und Pflege- Maßnahmen zu etablieren haben, die die Sicherheit des Produktes betreffen und den Nachweis erbringen, dass die Sicherheit des Produktes dem Stand der Technik entspricht. Und das wird dokumentiert werden müssen.
Warum dann nur eine halbe Zeitenwende?
Die meisten IT- Unternehmen, mit denen ich zusammenarbeite, arbeiten auf einem technischen Stand, bei dem es eher um punktuelle Verbesserungen und Veränderungen der IT- Sicherheit gehen wird. Die Kundenzufriedenheit und die Stellung auf dem Markt hängt ganz wesentlich davon ab, dass man vernünftig arbeitet und die Risiken aus dem Betrieb des Produkts angemessen absichert.
Wirklich neu ist das Thema IT-Sicherheit nicht.
Und die andere Hälfte?
Was neu sein wird, sind die Themen 1.) Standardisierung in Prozessen zur Prüfung von Anforderungen zur IT Sicherheit und 2.) deren Dokumentationen.
II Standardisierung von Prozessen zur Prüfung von Anforderungen
Für den Juristen ist der Ansatzpunkt das Gesetz. Das besagt aber nur „dass angemessene technische und organisatorische Maßnahmen im Verhältnis zum Risiko“ zu ergreifen sind und dass diese Maßnahmen „dem Stand der Technik entsprechen“ sollen. Da also die Referenz darüber, was konkret zu tun ist im Gesetz fehlt, behilft sich die Praxis mit Krücken. Wenn z.B. die DSGVO darauf abstellt, dass das Vorhandensein angemessener technischer und organisatorischer Maßnahmen auch durch ein Zertifikat nachgewiesen werden kann, dann suche man einmal in der DSGVO wer darüber bestimmt, wer eine solche Stelle ist, die darüber bestimmen könnte, was ein angemessenes Zertifikat ist und wer darüber bestimmt, welche Behörde darüber bestimmen darf, was ein angemessenes Zertifikat ist. Man findet nichts. Die DSGVO regelt den Endpunkt, wie man diesen erreicht, wird nicht verraten.
Und nun kommt die Praxis in der Bundesrepublik Deutschland: Diese scheint zu sein, dass das BSI in vielen Fällen als die maßgebliche öffentlich-rechtliche Instanz darüber bestimmt, welche Anforderungen angemessen sind.
Ähnlich im Bereich der Prozesse und Anforderungen für die Prüfung nimmt die Praxis die Kataloge des IT Grundschutzes oft als Grundlage dafür, was nach dem Stand der Technik zu beachten und berücksichtigen ist. Und von diesem Standard kann man nur schwer abweichen (man kann, aber der Aufwand dürfte erheblich sein).
III Dokumentationen:
Die Dokumentation muss vorhanden sein, damit man eine Chance hat, nicht zu haften.
Die Nichteinhaltung der Vorschriften begründet den prima facie Anschein der Haftung. Versicherungen werden die Kompensation von Schadensfällen ablehnen, wenn nicht nachgewiesen werden kann, dass bestimmte Standards eingehalten werden, die besagen dass die Anforderungen für die IT-Sicherheit methodisch richtig nach einem bestimmten Verfahren ausgewählt wurden und dann nachvollziehbare Ergebnisse erzielt wurden. Und diese Arbeitsweise ist zu dokumentieren.
Die Kunden können – kraft Gesetz – nur Lieferanten aussuchen, die die Gesetze einhalten.
In der Folge werden die Kunden den Einsatz von Produkten ablehnen (oder nur schwerlich zulassen), wenn die Einhaltung der Vorschriften nicht nachgewiesen werden kann. Blöd gesagt wird es in naher Zukunft auch darum gehen nachzuweisen, dass man eine Dokumentation für die Erfüllung der Anforderung an die IT Sicherheit hat, die im Zweifelfall durch den Kunden auditiert werden kann. Analog den Audits der DSGVO.
Im nächsten Blog gebe ich ein paar Tipps darüber, wie man im Moment agieren kann und welche Punkte beim Abschluss von Verträgen zu beachten sind.