EU-Regelungen im Digitalbereich

Auf europäischer Ebene gibt es diverse Richtlinien oder Verordnung in Sachen Digitalisierung. Einige sind bereits in Kraft getreten, andere sind in Planung oder schon im Gesetzgebungsverfahren. Hier eine Übersicht, wer von diesen Regelungen betroffen ist oder sein wird:

Digital Markets Act

Die Vorschriften des DMA betreffen ausschließlich sog. „Gatekeeper“. Als „Gatekeeper-Plattform“ im Sinne der Verordnung gelten solche digitalen Plattformen mit mehr als 7,5 Milliarden Euro Jahresumsatz beziehungsweise 75 Milliarden Euro Marktwert, mehr als 45 Millionen Endnutzern monatlich in der Europäischen Union und mehr als 10.000 gewerblichen Anbietern auf der Plattform. Zusätzlich müssen die Plattformen in mindestens drei EU-Mitgliedstaaten bereitgestellt werden.

Digital Services Act

Unabhängig von der Niederlassung sind alle Unternehmen vom DSA betroffen, die ihre Online-Vermittlungsdienste innerhalb des Gebiets der Europäischen Union anbieten.

NIS2-Richtlinie

Sowohl private Unternehmen als auch öffentliche Einrichtungen, die mindestens mittelgroß sind (mehr als 50 Mitarbeitende oder einen Jahresumsatz sowie eine Jahresbilanzsumme von mindestens 10 Millionen Euro) und unter einen der in der Anlage I oder II der Richtlinie aufgeführten Sektoren fallen, unterliegen jedenfalls den Anforderungen der NIS2-Richtlinie.
Ausnahmsweise können aber auch gewisse Unternehmen unabhängig von ihrer Größe von den Vorschriften der Richtlinie betroffen sein. Beispielsweise zählen dazu Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder öffentlich zugänglichen Kommunikationsdiensten, Vertrauensdienstanbieter, einzige Anbieter eines Dienstes, welcher für die Gesellschaft und Wirtschaft unerlässlich ist, sowie Einrichtungen, deren Ausfall sich wesentlich auf die öffentliche Ordnung, Sicherheit und Gesundheit auswirken könnte.
Die Richtlinie gilt jedenfalls nicht für öffentliche Einrichtungen, die ihre Tätigkeiten in den Bereichen nationale sowie öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, ausüben.
Mittelbar wirken sich die Vorgaben aber auch auf die entsprechenden Dienstleister und Lieferanten der betroffenen Unternehmen und Einrichtungen aus.

Anlage I (Sektoren mit hoher Kritikalität)

Sektor
Teilsektoren
Einrichtungen
Energie
  • Elektrizität
  • Erdgas
  • Erdöl
  • Fernwärme- und kälte
  • Wasserstoff
  • Betreiber in den einzelnen Teilsektoren
  • Erdgasunternehmen
  • Zentrale Bevorratungsstellen für Erdöl
  • Versorgungsunternehmen (Erdgas)
  • Erzeuger von Elektrizität
Verkehr
  • Luftverkehr
  • Schienenverkehr
  • Schifffahrt
  • Straßenverkehr
  • Betreiber intelligenter Verkehrssysteme
  • Betreiber von Schiffsverkehrsdiensten
  • Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen, die Flugverkehrskontrolldienste bereitstellen
  • Eisenbahnunternehmen
  • Flughäfen
  • Flughafenleitungsorgane
  • Infrastrukturbetreiber im Schienenverkehr
  • Lufttransportunternehmen
  • Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt
  • Schiffsverkehrsdienste
  • Straßenverkehrsbehörden
Bankwesen
  • Kreditinstitute
Finanzmarktinfrastrukturen
  • Betreiber von Handelsplätzen
  • Zentrale Gegenparteien
Gesundheitswesen
  • Einrichtungen, die bestimmte pharmazeutische Erzeugnisse herstellen, Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben oder Medizinprodukte herstellen, die während einer Notlage im öffentlichen Bereich als kritisch eingestuft werden
  • EU-Referenzlaboratorien
  • Gesundheitsdienstleister
Trinkwasser
  • Lieferanten von und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“
Abwasser
  • Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln
Digitale Infrastruktur
  • Anbieter von Cloud-Computing-Diensten
  • Anbieter öffentlicher Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste
  • Anbieter von Rechenzentrumsdiensten
  • Betreiber von Internet-Knoten
  • DNS-Dienstanbieter
  • TLD-Namenregister
  • Vertrauensdienstanbieter
Verwaltung von IKT-Diensten (B2B)
  • Anbieter verwalteter Dienste
  • Anbieter verwalteter Sicherheitsdienste
Öffentliche Verwaltung
  • Einrichtungen der öffentlichen Verwaltung von Zentralregierungen sowie auf regionaler Ebene
Weltraum
  • Betreiber von Bodeninfrastrukturen (ausgenommen: Anbieter öffentlicher elektronischer Kommunikationsnetze)

Anlage II (weitere kritische Sektoren)

Sektor
Teilsektoren
Einrichtungen
Post- und Kurierdienste
  • Anbieter von Post- und Kurierdiensten
Abfallbewirtschaftung
  • Unternehmen der Abfallbewirtschaftung (davon ausgenommen: Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist)
Produktion, Herstellung und Handel mit chemischen Stoffen
  • Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln
  • Unternehmen, die Erzeugnisse aus diesen Stoffen oder Gemischen produzieren
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind
Verarbeitendes Gewerbe/Herstellung von Waren
  • Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
  • Herstellung von elektrischen Ausrüstungen
  • Herstellung von Kraftwagenteilen
  • Herstellung von Medizinprodukten und In-vitro-Diagnostika
  • Maschinenbau
  • sonstiger Fahrzeugbau
  • Einrichtungen, die Medizinprodukte herstellen
  • Unternehmen, die im jeweils genannten Teilsektor gemäß NACE Rev. 2 tätig sind
Anbieter digitaler Dienste
  • Anbieter von Online-Marktplätzen
  • Anbieter von Online-Suchmaschinen
  • Anbieter von Plattformen für Dienste sozialer Netzwerke
Forschung
  • Forschungseinrichtungen

Data Act

Betroffen sind insbesondere Hersteller, Dateninhaber und Nutzer von vernetzten Geräten (z.B. Haushaltsgeräten, Maschinen, Autos). Darüber hinaus werden auch auf Anbieter von Datenverarbeitungsdiensten, etwa Cloud-Anbieter, neue Pflichten zukommen. Daneben werden die Rechte Dritter gestärkt. Die B2G-Zugangsrechte betreffen potenziell alle Unternehmen. Nur für kleine Betriebe sind Ausnahmen vorgesehen.

AI Act

Neben den Entwicklern und Anbietern können sogar die bloßen Nutzer von KI-Systemen von dem AI Act betroffen sein. Allerdings werden für die Nutzer derartige Vorgaben nur dann bedeutsam, sofern sie auf die entsprechenden Systeme im Rahmen ihrer beruflichen Tätigkeit zurückgreifen. Da künstliche Intelligenz in sämtlichen Wirtschaftszweigen und Geschäftsfeldern verwendet werden kann, kann der Anwendungsbereich nicht pauschal auf bestimmte Branchen beschränkt werden.

Cyber Resilience Act

Neben den Herstellern von Produkten mit digitalen Elementen sind sowohl die Händler als auch Einführer solcher Produkte vom CRA umfasst.

Gigabit Infrastructure Act

In erster Linie sind Unternehmen vom GIA betroffen, die mit dem Ausbau von Breitbandnetzen (darunter insbesondere Glasfasernetzen) beschäftigt sind. Unter Umständen können sich die entsprechenden Vorschriften ebenso auf Besitzer weiterer Infrastrukturen (Gas- und Wasserleitungen, öffentliche Gebäude) auswirken.