Cybersicherheit | Digitalisierung | Compliance

Das geplante NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) überführt die EU-Richtlinie NIS2 in deutsches Recht und tritt voraussichtlich im März 2025 in Kraft. Es erweitert die Cybersicherheitsanforderungen auf mehr Unternehmen und Sektoren, einschließlich Betreiber kritischer Infrastrukturen nach der BSI-Kritisverordnung sowie großer Unternehmen. Zu den Pflichten gehören umfassende Sicherheitsmaßnahmen, Einführung eines Risikomanagements und Meldepflichten bei Vorfällen. Ausführliche FAQs sind auf der Homepage des BSI hinterlegt.

Mit dem Cyber Resilience Act, der im November 2024 in Kraft getreten ist, wird erstmals ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind. Die Umsetzung in allen EU-Mitgliedstaaten erfolgt schrittweise bis Ende 2027.

Die EU-Verordnung über entwaldungsfreie Produkte (EUDR) zielt darauf ab, die Entwaldung und Waldschädigung weltweit zu reduzieren. Ab dem 30. Dezember 2025 müssen Unternehmen sicherstellen, dass bestimmte Rohstoffe und Produkte, die sie in der EU in Verkehr bringen oder ausführen, aus entwaldungsfreien Gebieten stammen und den gesetzlichen Vorschriften des Erzeugerlandes entsprechen. Betroffen sind Erzeugnisse, die unter anderem Rohstoffe, wie Rinder, Kakao, Kaffee, Ölpalme, Kautschuk, Soja und Holz enthalten.

Unternehmen müssen in 2025 alle Registrierkassen und Kassensysteme, die in ihrem Betrieb angeschafft wurden, über “Mein Elster” melden. Vorhandene Registrierkassen müssen bis zum 31. Juli 2025 gemeldet werden. Neue Systeme, die ab dem 1. Juli 2025 angeschafft werden, müssen danach innerhalb eines Monats nach Anschaffung gemeldet werden.

Mit der EU-Verordnung über die allgemeine Produktsicherheit (GPSR) wurden Änderungen des Produktsicherheitsrechts beschlossen, die Hersteller, Händler und Importeure in die Pflicht nimmt. Betroffen sind neue Produkte, die ab dem 13. Dezember 2024 auf dem Markt bereitgestellt werden. Insbesondere regelt die Verordnung neue Aspekte für die Bewertung der Sicherheit von Produkten im Rahmen einer Risikoanalyse. Ebenfalls gelten strengere Pflichten für Importeure und Händler im Hinblick auf Informationen zum Produkt und Maßnahmen beim Produktrückruf.

Mit der EU-Richtlinie über die Nachhaltigkeitsberichterstattung von Unternehmen (CSRD) wird der Kreis der Unternehmen, die über Ihre Nachhaltigkeit Bericht erstatten müssen, ausgeweitet und die Maßstäbe des Berichts vereinheitlicht. Als Teil des Lageberichts müssen bilanzrechtlich große Unternehmen ab dem 1. Januar 2025, kapitalmarktorientierte KMU generell ab dem Jahr 2026 einen Bericht erstellen. Kleinstunternehmen sind von der Berichtspflicht ausgenommen.

Unternehmen, die beispielsweise Getränkebecher, Tüten und Folienverpackungen und andere Produkte vertreiben, sind nach dem Einwegkunststofffondsgesetz (EWKFondsG) verpflichtet, sich an den Kosten der Abfallentsorgung zu beteiligen. In diesem Rahmen müssen sich bestehende Unternehmen bis spätestens 31. Dezember 2024 auf der Plattform „DIVID“ registrieren und hiernach jeweils bis 15. Mai die bereitgestellten Mengen der betroffenen Produkte melden. Betroffen sind Produzenten, Befüller, Verkäufer oder Importeure entsprechender Produkte.

Stand: 4. Juli 2025