Das Wichtigste in Kürze
- Neue EU-Cybersecurity-Anforderungen treten ab August 2025 in Kraft und betreffen weite Teile der Tech-Branche, von Hardware bis zu mobilen Apps.
- Die Kernpunkte der Regulierung umfassen Netzwerkschutz, Datenschutz und Betrugsschutz, die proaktive technische und organisatorische Maßnahmen erfordern.
- SaaS-Anbieter und App-Entwickler müssen ihre API-Sicherheit, den Datenschutz bei Datenübertragungen, die Integrität ihrer Anwendungen, Authentifizierungsmechanismen und Cloud-Infrastrukturen anpassen.
- Rechtliche Implikationen beinhalten erweiterte Haftung, umfassende Dokumentationspflichten, die Notwendigkeit von Vertragsanpassungen und mögliche Zertifizierungsanforderungen.
- Eine proaktive Strategie mit Sicherheitsaudits, Schulungen, einem Incident Response Plan und Compliance-Monitoring ist entscheidend, um Risiken zu minimieren und Wettbewerbsvorteile zu sichern.
Als IT-Rechtsanwalt mit langjähriger Erfahrung in der Beratung von Technologie-Startups und SaaS-Unternehmen möchte ich auf eine wichtige regulatorische Änderung aufmerksam machen, die ab August 2025 in Kraft tritt. Die EU führt neue Cybersecurity-Anforderungen ein, die erhebliche Auswirkungen auf viele meiner Mandanten haben werden. Diese Verschärfung betrifft nicht nur Hardwarehersteller, sondern hat auch weitreichende Folgen für Softwareentwickler, Cloud-Dienste und mobile Anwendungen.
Kernpunkte der neuen Anforderungen
- Netzwerkschutz: Hersteller müssen Funktionen implementieren, die Schäden an Kommunikationsnetzen verhindern und die Funktionalität von Websites oder Diensten nicht beeinträchtigen. Dies bedeutet, dass Geräte und Software so konzipiert sein müssen, dass sie keine unbeabsichtigten Störungen oder Überlastungen in Netzwerken verursachen. Für SaaS-Anbieter könnte dies bedeuten, dass sie ihre Anwendungen auf mögliche negative Auswirkungen auf Netzwerkinfrastrukturen überprüfen und optimieren müssen.
- Datenschutz: Es müssen Maßnahmen gegen unbefugten Zugriff auf oder Übertragung von Nutzerdaten eingeführt werden. Dies geht über die bestehenden DSGVO-Anforderungen hinaus und erfordert proaktive technische Lösungen zum Schutz personenbezogener Daten. Für App-Entwickler bedeutet dies möglicherweise die Implementierung fortschrittlicher Verschlüsselungstechniken und sicherer Datenübertragungsprotokolle.
- Betrugsschutz: Die Integration verbesserter Authentifizierungsmechanismen ist zur Minimierung von Betrugsrisiken bei elektronischen Zahlungen und Geldtransfers erforderlich. Dies könnte die Einführung von Multi-Faktor-Authentifizierung, biometrischen Verfahren oder anderen fortschrittlichen Identitätsüberprüfungsmethoden erfordern.
Auswirkungen auf SaaS-Entwickler und App-Anbieter

Die neuen Regulierungen haben weitreichende Implikationen für die gesamte Tech-Branche. Verschiedene Bereiche sind besonders betroffen und erfordern spezifische Anpassungen:
-
API-Sicherheit
SaaS-Anwendungen und Apps, die über APIs mit anderen Diensten kommunizieren, müssen besonders auf die Sicherheit dieser Schnittstellen achten. Dies beinhaltet:
- Implementierung sicherer Authentifizierungsmechanismen, wie OAuth 2.0 oder JWT.
- Verschlüsselung der Datenübertragung mit aktuellen Standards (z.B. TLS 1.3).
- Regelmäßige Sicherheitsaudits der API-Endpunkte.
- Implementierung von Rate Limiting und Anomalie-Erkennung.
- Einsatz von API-Gateways zur zentralen Verwaltung und Überwachung.
-
Datenschutz bei der Übertragung
Apps müssen sicherstellen, dass bei der Kommunikation mit Geräten oder Diensten keine unbefugte Übertragung personenbezogener Daten stattfindet. Hierfür sind folgende Maßnahmen erforderlich:
- Ende-zu-Ende-Verschlüsselung für sensible Daten.
- Implementierung von Datenmaskierung und Tokenisierung.
- Strikte Kontrolle der Datenzugriffsrechte innerhalb der Anwendung.
- Regelmäßige Überprüfung und Bereinigung von Datenbeständen.
-
Integritätsschutz
Entwickler müssen Maßnahmen implementieren, um die Integrität ihrer Anwendungen zu schützen und zu verhindern, dass diese zur Störung von Netzwerken oder Diensten missbraucht werden können. Dazu gehören:
- Implementierung von Code-Signing und Integritätsprüfungen.
- Regelmäßige Sicherheits-Updates und Patch-Management.
- Einsatz von Web Application Firewalls (WAF) und Intrusion Detection Systems (IDS).
- Durchführung von Penetrationstests und Schwachstellenanalysen.
-
Erweiterte Authentifizierung
Insbesondere bei Anwendungen, die Zahlungen oder Geldtransfers ermöglichen, müssen robuste Authentifizierungsmechanismen integriert werden. Dies umfasst:
- Implementierung von Multi-Faktor-Authentifizierung (MFA).
- Einsatz biometrischer Verfahren (z.B. Fingerabdruck, Gesichtserkennung).
- Verhaltensbasierte Authentifizierung und Anomalie-Erkennung.
- Einhaltung der PSD2-Richtlinie für starke Kundenauthentifizierung.
-
Cloud-Sicherheit
SaaS-Anbieter müssen ihre Cloud-Infrastrukturen überprüfen und absichern. Hier sind folgende Schritte entscheidend:
- Implementierung von Zero-Trust-Architekturen.
- Verschlüsselung von Daten im Ruhezustand und während der Übertragung.
- Regelmäßige Sicherheitsaudits und Compliance-Checks.
- Einsatz von Cloud Access Security Brokers (CASB).
-
IoT-Sicherheit
Für Entwickler von IoT-Anwendungen ergeben sich zusätzliche Herausforderungen. Es gilt:
- Sichere Firmware-Updates und Patch-Management.
- Implementierung von Geräte-Authentifizierung und -Autorisierung.
- Netzwerksegmentierung und Isolation von IoT-Geräten.
- Überwachung und Anomalie-Erkennung in IoT-Netzwerken.
Rechtliche Implikationen für Unternehmen
- Erweiterte Haftung: SaaS-Anbieter und App-Entwickler könnten für Sicherheitsvorfälle haftbar gemacht werden, die auf mangelnde Implementierung der neuen Sicherheitsstandards zurückzuführen sind.
- Dokumentationspflichten: Die Einhaltung der Sicherheitsanforderungen muss umfassend dokumentiert werden, insbesondere in Bezug auf API-Sicherheit und Datenschutzmaßnahmen.
- Vertragsanpassungen: Allgemeine Geschäftsbedingungen (AGB), Nutzungsbedingungen, SLAs und Datenschutzvereinbarungen müssen überarbeitet werden.
- Zertifizierungsanforderungen: Es ist wahrscheinlich, dass neue Zertifizierungsstandards eingeführt werden, die aufwändige Zertifizierungsprozesse erfordern.
- Grenzüberschreitende Datenübertragungen: Die Zulässigkeit von Datenübertragungen in Drittländer muss überprüft und bestehende Datentransfervereinbarungen angepasst werden.
-
Erweiterte Haftung
SaaS-Anbieter und App-Entwickler könnten für Sicherheitsvorfälle haftbar gemacht werden, die auf mangelnde Implementierung der neuen Sicherheitsstandards zurückzuführen sind. Dies könnte zu erhöhten Schadensersatzforderungen und Reputationsschäden führen.
-
Dokumentationspflichten
Es wird notwendig sein, die Einhaltung der Sicherheitsanforderungen umfassend zu dokumentieren. Dies gilt insbesondere in Bezug auf API-Sicherheit und Datenschutzmaßnahmen. Hierfür ist die Einführung detaillierter Protokollierungs- und Berichterstattungssysteme erforderlich.
-
Vertragsanpassungen
Allgemeine Geschäftsbedingungen (AGB) und Nutzungsbedingungen müssen überarbeitet werden, um die neuen Sicherheitsfeatures und -verpflichtungen abzudecken. Dies beinhaltet möglicherweise auch die Anpassung von Service Level Agreements (SLAs) und Datenschutzvereinbarungen.
-
Zertifizierungsanforderungen
Es ist wahrscheinlich, dass neue Zertifizierungsstandards eingeführt werden, um die Einhaltung der Cybersecurity-Anforderungen nachzuweisen. Unternehmen müssen sich auf aufwändige Zertifizierungsprozesse vorbereiten und entsprechende Ressourcen einplanen.
-
Grenzüberschreitende Datenübertragungen
Die neuen Anforderungen könnten Auswirkungen auf die Zulässigkeit von Datenübertragungen in Drittländer haben. Dies erfordert eine Überprüfung und mögliche Anpassung bestehender Datentransfervereinbarungen.
Strategien zur Einhaltung der neuen Cybersecurity-Anforderungen
Die Umsetzung der neuen EU-Cybersecurity-Anforderungen erfordert eine proaktive und strategische Herangehensweise. Hier sind unsere Empfehlungen aus rechtlicher Sicht:
-
Sicherheitsaudit
Führen Sie eine umfassende Analyse Ihrer Anwendungen und APIs durch, um potenzielle Schwachstellen zu identifizieren. Beauftragen Sie externe Sicherheitsexperten für unabhängige Bewertungen, um eine objektive Einschätzung zu erhalten.
-
API-Sicherheitsstrategie
Entwickeln Sie eine robuste Strategie zur Absicherung Ihrer APIs, einschließlich regelmäßiger Penetrationstests und Sicherheitsupdates. Implementieren Sie ein API-Management-System zur zentralen Kontrolle und Überwachung Ihrer Schnittstellen.
-
Datenschutz-Folgenabschätzung
Überprüfen und aktualisieren Sie Ihre Datenschutz-Folgenabschätzungen (DSFA) unter Berücksichtigung der neuen Sicherheitsanforderungen. Dies gilt insbesondere im Hinblick auf die Datenübertragung zwischen Apps und Geräten. Berücksichtigen Sie dabei auch Szenarien für Datenpannen und deren rechtliche Konsequenzen.
-
Schulungen
Sensibilisieren und schulen Sie Ihre Entwickler-Teams umfassend bezüglich der neuen rechtlichen Anforderungen und technischen Implementierungen. Etablieren Sie ein kontinuierliches Fortbildungsprogramm zu Cybersecurity-Themen, um Ihr Team stets auf dem neuesten Stand zu halten.
-
Vertragliche Absicherung
Überprüfen Sie Verträge mit Drittanbietern und Dienstleistern, um sicherzustellen, dass diese ebenfalls die neuen Sicherheitsstandards einhalten. Implementieren Sie Klauseln zur Haftungsverteilung und Schadloshaltung. Für die Anpassung von Service Level Agreements (SLAs) und allgemeinen Geschäftsbedingungen (AGB) ist eine sorgfältige Prüfung unerlässlich.
-
Incident Response Plan
Entwickeln Sie einen detaillierten Plan für den Umgang mit Sicherheitsvorfällen. Dieser sollte rechtliche, technische und kommunikative Aspekte umfassend berücksichtigen, um im Ernstfall schnell und effektiv reagieren zu können.
-
Compliance-Monitoring
Etablieren Sie ein System zur kontinuierlichen Überwachung der Einhaltung der neuen Sicherheitsanforderungen. Dies sollte regelmäßige interne Audits umfassen, um die Compliance langfristig zu gewährleisten.
-
Versicherungsschutz
Prüfen Sie Ihre bestehenden Cyber-Versicherungspolicen und passen Sie diese gegebenenfalls an, um die neuen Risiken adäquat abzudecken und Ihr Unternehmen umfassend zu schützen.
Fazit
Die bevorstehenden regulatorischen Änderungen stellen eine signifikante Herausforderung dar, bieten jedoch auch Chancen zur Verbesserung der Produktsicherheit und des Kundenvertrauens. Eine proaktive Herangehensweise ermöglicht es, potenzielle rechtliche Risiken zu minimieren und sich einen Wettbewerbsvorteil zu verschaffen. Gerne unterstütze ich Sie bei der rechtssicheren Umsetzung der neuen Cybersecurity-Anforderungen, um Ihr Unternehmen für die Zukunft zu rüsten.
Schritt-für-Schritt-Anleitung
- Sicherheitsaudit durchführen
Führen Sie eine umfassende Analyse Ihrer Anwendungen und APIs durch, um potenzielle Schwachstellen zu identifizieren und beauftragen Sie externe Sicherheitsexperten für unabhängige Bewertungen.
- API-Sicherheitsstrategie entwickeln
Entwickeln Sie eine robuste Strategie zur Absicherung Ihrer APIs, einschließlich regelmäßiger Penetrationstests, Sicherheitsupdates und dem Einsatz eines API-Management-Systems.
- Datenschutz-Folgenabschätzung überprüfen und aktualisieren
Überprüfen und aktualisieren Sie Ihre Datenschutz-Folgenabschätzungen (DSFA) unter Berücksichtigung der neuen Sicherheitsanforderungen, insbesondere für Datenübertragungen und Datenpannen.
- Entwickler-Teams schulen
Sensibilisieren und schulen Sie Ihre Entwickler-Teams umfassend bezüglich der neuen rechtlichen Anforderungen und technischen Implementierungen und etablieren Sie ein kontinuierliches Fortbildungsprogramm.
- Vertragliche Absicherung prüfen
Überprüfen Sie Verträge mit Drittanbietern und Dienstleistern auf Einhaltung der neuen Sicherheitsstandards und passen Sie AGB, SLAs sowie Klauseln zur Haftungsverteilung an.
- Incident Response Plan entwickeln
Entwickeln Sie einen detaillierten Plan für den Umgang mit Sicherheitsvorfällen, der rechtliche, technische und kommunikative Aspekte umfassend berücksichtigt.
- Compliance-Monitoring etablieren
Etablieren Sie ein System zur kontinuierlichen Überwachung der Einhaltung der neuen Sicherheitsanforderungen, das regelmäßige interne Audits umfasst.
- Versicherungsschutz prüfen
Prüfen Sie Ihre bestehenden Cyber-Versicherungspolicen und passen Sie diese gegebenenfalls an, um die neuen Risiken adäquat abzudecken.