Kolumne : Cybersecurity-Recht im Umbruch

Nicht wenigen Fachleuten aus der europäischen Cybersecurity-Szene dürfte in den vergangenen Monaten und Jahren aufgefallen sein, dass die Regularien und damit auch die an die Cybersecurity Compliance anzulegenden Anforderungen exponentiell angewachsen sind.

Was vor mittlerweile fast acht Jahren mit dem ersten deutschen IT-Sicherheitsgesetz im Jahr 2015 begann, hat sich über die europäische Netz- und Informationssicherheitsrichtlinie bis hin zu dem aktuellen Entwurf des Cyber Resilience Act (CRA) entwickelt. Über diese allgemeine Breitenregulierung der Informationssicherheit hinaus wurden und werden überdies zahlreiche bereichsspezifische Vorschriften geschaffen, so mit dem Digital Operational Resilience Act (DORA) speziell für den Finanzsektor oder mit dem delegierten Rechtsakt der Radio Equipment Directive (RED) für die Cybersicherheit von Funkanlagen.

Regulierung umfasst nahezu alle Lebens- und Arbeitsbereiche

Dabei auffallend: An den eigentlichen technisch-organisatorischen IT-Sicherheitsvorgaben hat sich – zumindest in gesetzlicher Hinsicht – in den vergangenen Jahren gar nicht mal so viel geändert.

Gravierend hingegen sind die Änderungen im Anwendungsbereich der gesetzlichen Regelungen zur Cybersecurity: Wo wir diese aus der regulatorischen Perspektive in der Vergangenheit vor allem als sektor- und bereichsspezifische, ergänzende Compliance-Vorgabe verstanden haben, so stellen wir mittlerweile infolge der erheblichen Ausdehnung des Anwendungsbereichs gerade der neuen Rechtsvorschriften fest, dass mehr und mehr alle Lebens- und Arbeitsbereiche durch Gesetze zur Cybersicherheit tangiert werden – und das nicht nur am Rande.

Europa hat die Nase vorn im globalen Regulierungswettbewerb

Manch einer mag davon sprechen, dass wir uns an der Grenze zur Überregulierung im Cyberbereich befinden. Wiederum andere zweifeln die Nachhaltigkeit der gegenwärtigen gesetzgeberischen Entscheidungen an, indem wir durch immer strengere Gesetze in der Europäischen Union dem Innovationspotenzial eigener, regionaler Unternehmen schaden.

Fakt aber ist: Cybersecurity wird zwangsläufig reguliert werden, denn nicht nur in der EU, sondern weltweit haben die Gesetzgeber die Bedrohungslage erkannt und ergreifen verstärkt regulatorische Gegenmaßnahmen, die auch auf europäische Produkte im globalen Export und Wettbewerb anwendbar sind.

Da ist es doch besser, als Europäische Union ein Vorreiter zu sein und die höheren Vorgaben an die Cybersecurity selbst definieren, als von anderen „aufreguliert“ zu bekommen. Denn zurzeit haben wir als EU im globalen Rechtsetzungswettbewerb in der Cybersicherheit einen entscheidenden Zeitvorteil, der vor allem dazu führt, dass andere Staaten bei ihrer Regulierung europäische Vorgaben als Vorbild nehmen, so zum Beispiel Indien und Kambodscha, aber auch in den USA oder Japan. Das wiederum ist eine Investition in die Zukunft, erleichtert sie uns doch, eigene digitale Produkte in ausländische Märkte zu exportieren.

Cybersecurity ist vor allem eine produktbezogene Eigenschaft

Das ist jedoch nur eine Seite der Medaille, wenn man versucht, ein ganzheitliches Verständnis über die aktuelle europäische Cybersecurity-Regulatorik zu gewinnen. Denn für jedes neue Gesetz müssen wir uns zum einen die Frage stellen, was der Gesetzgeber damit bezweckt, und in welchen rechtspolitischen Gesamtzusammenhang eine Regelung einzuordnen ist. Nur so ist es möglich, den Kern einer Regelungsintention zu durchdringen.

Und hier wird es interessant: Fakt ist, dass Cybersecurity letztlich eine im weitesten Sinne produktbezogene Eigenschaft ist. Das bedeutet, dass die Regulierung von Cybersicherheit natürlich in verschiedenen industriellen Branchen und kritischen Sektoren bis hin zum digitalen Verbraucherschutz eine Rolle spielt und hier auch spezifische Eigenarten besitzt, aber letzten Endes alle angebotenen Dienste stets nur so sicher sein können wie die technischen Produkte, die ihnen zugrunde liegen.

Und genau das erklärt eben auch, weshalb die Europäische Union nicht bei vertikalen und punktuellen produktgruppenspezifischen Rechtsakten zur Cybersicherheit geblieben ist, sondern immer mehr ganze Branchen und verschiedenste Arten von IT-Produkten – gleichgültig ob Hardware, Software oder eingebettete Systeme – gleichermaßen horizontal und produktgruppenübergreifend regulatorisch adressiert.

Daraus wiederum folgt diese Erkenntnis: Noch vor einigen Jahren wurden die Gefahren in der Cybersicherheit vor allem in bestimmten Sektoren, Branchen und Unternehmenszweigen verortet, mittlerweile hingegen geht man von einer ganzheitlichen Gefahr aus, die in der digitalen Lieferkette liegt und deshalb alle gleichermaßen betreffen kann – freilich mit unterschiedlich schweren Auswirkungen einer realisierten Cybergefahr.

Die Sicherheit der Lieferkette ist dabei juristisch gesehen ein „alter Hut“, denn schon seit Jahrzehnten existiert in Deutschland eine gefestigte höchstrichterliche Rechtsprechung zur Gewährleistung der technischen Sicherheit von analogen Produkten im ebenfalls europäisch überformten Produktsicherheits- und Produkthaftungsrecht.

Diese gewachsenen und etablierten Erkenntnisse der allgemeinen Produktsicherheit und Produktverantwortlichkeit im Wirtschaftsverkehr werden nunmehr auf das Recht der Cybersicherheit übertragen – und somit wird Cybersecurity mehr und mehr zu einer allgemeinen regulatorischen Anforderung an die Produktsicherheit, deren konkrete Anwendungsszenarien und individuelle Auswirkungen der Risikoexposition in den jeweiligen Sektoren und Branchen erst sekundär betrachtet werden.

Cybersicherheit als produktsicherheitsbezogene Eigenschaft

Genau diese Erkenntnis wiederum bedeutet, dass sich das gesamte Cybersicherheitsrecht in einem erheblichen Umbruch befindet, der bereits eingeläutet wurde: Denn wenn wir zukünftig von „Cybersicherheitsrecht“ sprechen, so meinen wir damit in erster Linie eine Produktsicherheitsanforderung in der Compliance für die Wirtschaft, die (cyber)sichere Produkte jedweder Art entwickelt, herstellt und in den Verkehr bringt. Deshalb sprechen wir auch von „security by design“. Damit eng zusammen hängen Fragen der Marktüberwachung und Marktzulassung.

Der Schutz von Kritischen Infrastrukturen hingegen, der ja eigentlicher Ausgangspunkt des Cybersecurity-Rechts ist, wird rechtssystematisch immer stärker der Gefahrenabwehr als primär staatlicher Aufgabe zugeordnet – dies belegt auch die aktuelle rechtspolitische Debatte um das „KRITIS-Dachgesetz“.

Last but not least darf ein dritter Aspekt an dieser Stelle natürlich nicht vergessen werden: die Abwehr von Cybercrime, zum Beispiel im Kontext von Industriespionage. Hier ist die Cybersicherheit als ein Bestandteil der Unternehmenssicherheit zu verstehen, die zumindest in der Prävention vorrangig eine privatwirtschaftliche und interne Compliance-Aufgabe ist.

Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.

In unserer Reihe Perspektiven ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Dennis-Kenji Kipker erschienen: Von der „Lex Huawei“ zum Herstellerverbot: Die Weichenstellungen nationaler Technologiepolitik