Gerade Anbieter moderner Technologien und Produkte müssen bezüglich aktueller Rechtsprechung und der gesetzgeberischen Entwicklung in Europa immer auf dem neusten Stand sein und auf Entwicklungen reagieren. Bei Blockchain/Web3 Anbietern mag das MiCAR sein, bei anderen IT-Anbietern könnte es in Zukunt das Cyber Resilience Act (CRA) sein, welches im September von der EU-Kommission in einem ersten Entwurf vorgestellt wurde. Das Gesetz soll gemeinsame Cybersicherheitsstandards für vernetzte Geräte und Dienste (“Produkte mit digitalen Anteilen”) festlegen und damit zur Bekämpfung von Cyberkriminalität beitragen. Mit seiner Verabschiedung ist 2023 zu rechnen (auch wenn natürlich fraglich ist, wie eine eine finale Fassung am Ende aussieht) und Produktentwickler sollten sich daher frühzeitig mit den Inhalten beschäftigen. Aktuell soll es nämlich bereits 2 Jahre später in Kraft treten. Nicht viel Zeit für normale Produktentwicklungszyklen. Treten innerhalb der 24 Monate Sicherheitslücken auf, gibt es sogar vorher schon aktive Kommunikationspflichten. 

Die Regelungen reichen von der Verpflichtung zu bestimmten Standards bis hin zu Möglichkeit, den Verkauf kompromittierter Produkte untersagen zu können. Besonders für Hersteller von Desktop- und Mobilgeräten, virtualisierten Betriebssystemen, Ausstellern digitaler Zertifikate, Allzweck-Mikroprozessoren, Kartenlesegeräten, Robotersensoren, intelligenten Zählern und IOT-Geräten sind die Anforderungen aktuell sehr hoch und die Compliance dahinter zwingend einzuhalten, um nicht mit empfindlichen Bußgeldern belegt werden zu können.

Für Finanzanbieter (insofern eventuell auch Web3/Blockchain Unternehmen) wurden übrigens am 10. November 2022 der Digital Operational Resilience Act (DORA) durch das EU-Parlament verabschiedet, der ebenfalls die Cybersicherheit dieser Unternehmen/Anbieter betrifft.