Kontakt | de | en | fr
 
 

Digitalisierung der Lieferkette – Cyber-Law, Cyber-Security und Nachhaltigkeit

Forum Digitalisierungsrecht (Präsenzveranstaltung, 17.10.2023, 15:30-18:30 Uhr)

Verpflichtungen entlang der Lieferkette stehen zunehmend im Fokus der Regulierung und dies aus ganz unterschiedlichen Aspekten. Zum einen muss die IT-Sicherheit gewährleistet werden. So sollen durch Dritte ausnutzbare Sicherheitslücken in weit verbreiteten Produkten vermieden werden, „nur“ weil in der Software oder im Produkt eines einzelnen Zulieferers eine Sicherheitslücke übersehen wurde.

Zum anderen sollen als Transparenz- und Anreizmaßnahme Berichtspflichten zu Umwelt-, Sozial- und Governance-Faktoren eingeführt bzw. intensiviert werden. Diese Berichtspflichten betreffen zwar – zunächst – nur einige größere Unternehmen. Die Zulieferer solcher Unternehmen sind jedoch indirekt betroffen, wenn sie an ihre Kunden Informationen für die sie betreffenden Faktoren berichten müssen.

In der Veranstaltung werden die vorstehenden Themen praxisnah aus rechtlicher, technischer und organisatorischer Sicht dargestellt, sodass Unternehmen gut auf die anstehenden Änderungen vorbereitet sind.

Cyber-Law in der Lieferkette

Der aktuelle EU-Entwurf zum Cyber Resilience Act (CRA) betrifft alle Unternehmen, die Produkte mit digitalen Elementen herstellen. Darüber hinaus bestehen Verpflichtungen für Händler und Importeure. Ausnahmen für mittlere und kleinere Unternehmen sind nicht vorgesehen.

Nach dem CRA werden Produkte in drei Kritikalitätsklassen eingeteilt, nach der sich dann die genauen Anforderungen an die betroffenen Unternehmen richten. Die Umsetzung wird von Marktüberwachungsbehörden der EU-Mitgliedsstaaten überwacht. Eine der Verpflichtungen ist es beispielsweise, dass Hersteller Sicherheitslücken über den gesamten Produktlebenszyklus schließen müssen, maximal jedoch über fünf Jahre. Insoweit ergeben sich vielfache Fragestellungen mit Blick auf den bisherigen Vertrieb von Produkten. Etwa bei Kaufverträgen war (von einigen jüngeren Ausnahmen abgesehen) bislang lediglich der Zeitpunkt der Übergabe des Produkts hinsichtlich von Sicherheitsmängel und der Haftung relevant (wobei eine Sondersituation in Regressketten zu beachten ist).

Auch eine neue Meldepflicht zu aufgefundenen Sicherheitsschwachstellen von Produkten innerhalb von nur 24 Stunden wird eingeführt. Die Meldung hat dann an die europäische Agentur für Cybersicherheit (ENISA) zu erfolgen. Insgesamt soll über den CRA ein Anreiz geschaffen werden, hinsichtlich von Produkten einen „Security by Design“-Ansatz zu verfolgen.

Der anstehende Cyber Resilience Act (CRA) ist aber nicht die einzige rechtliche Änderung. Vielmehr erfolgt derzeit eine ganze Reihe an gesetzlichen Maßnahmen mit Auswirkungen auf die Cybersicherheit von Produkten entlang der Lieferkette und somit auch auf die Pflichten und die Haftung von Herstellern, Importeuren und Händlern.

Mit dem Cyber Security Act (CSA) (auch „Cybersicherheitsgesetz“) etwa wird die europäische Agentur für Cybersicherheit (ENISA) gestärkt und zugleich ein Rahmen für eine neue Cybersicherheits-Zertifizierung für Produkte und Dienstleistungen geschaffen. Der Erhalt einer solchen Cybersicherheits-Zertifizierung kann für Unternehmen von besonderem Interesse sein, da Abnehmer zunehmend auf solche Cybersicherheits-Zertifizierungen achten werden, um die Einhaltung der eigenen Verpflichtungen entlang der Lieferkette einfach nachweisen zu können.

Solche und viele weitere, aktuelle Änderungen mehr werden in der Veranstaltung vorgestellt.

Nachhaltigkeitsberichterstattung – Regulatorik, Herausforderungen, Lösungsmöglichkeiten

Große Unternehmen sollten spätestens 2024 die organisatorischen, rechtlichen und IT-technischen Voraussetzungen für eine nicht-finanzielle Berichterstattung als Teil des Lageberichts 2025 schaffen.

Maßgeblich ist die Corporate Sustainability Reporting Directive (CSRD). Die Berichtsinhalte der CSRD wurden im Juli 2023 durch die sog. European Sustainability Reporting Standards (ESRS) konkretisiert. Wesentliche Änderungen ergeben sich bei den Berichtspflichten zu Umwelt-, Sozial- und Governance-Faktoren (ESG), der Doppelten Wesentlichkeit sowie der Berücksichtigung der gesamten Wertschöpfungskette. Dabei sind menschenrechtliche und umweltbezogene Aspekte auch von vor- und nachgelagerten Geschäftspartnern entlang der Wertschöpfungskette zu berücksichtigen.

Aber auch KMU können bereits indirekt betroffen sein, wenn die Stakeholder – insbesondere Kunden – Auskunft und Nachweise verlangen um ihre eigenen Berichtspflichten erfüllen zu können.

Veranschaulichung von Cybersicherheitslücken aus technischer Sicht

Mit der fortschreitenden Digitalisierung investieren Unternehmen nun verstärkt in IT-Sicherheit. Häufig stehen dabei jedoch die „sichtbaren“ Gefahren im Fokus.

Doch was ist mit den versteckten Risiken, die tief in der „Softwareversorgungskette“ verwurzelt sind? Die Erfahrung zeigt, dass viele Firmen beispielsweise Open-Source-Komponenten nutzen, jedoch keine ausreichende Kontrolle über die damit direkt und indirekt verbundenen externen Softwarekomponenten schaffen. Damit entstehen unnötig ausnutzbare Angriffsflächen und damit auch unnötige und an sich beherrschbare und folglich auch vermeidbare Haftungsrisiken.

Anhand von anschaulichen Beispielen werden in der Veranstaltung derartige Risiken in der Softwaresupplychain beleuchtet und dargestellt, warum es essentiell ist, diese in Unternehmen oftmals noch verborgenen Risiken zu erkennen und mit passenden Mitteln zu adressieren.

Referenten

Dr. Gerrit Hötzel
Dr. Gerrit Hötzel
Fachanwalt für Urheber- und Medienrecht
Fachanwalt für Informationstechnologierecht
Rechtsanwalt und Partner der überregionalen Kanzlei VOELKER & Partner mbB im Bereich IP/IT, Datenschutz in Stuttgart. Er berät und begleitet Unternehmen umfassend im Bereich der Digitalisierung.
Daniel Scheffbuch
Dipl. oec
Wirtschaftsprüfer und Steuerberater sowie Head of Tax von PKF WULF & Partner mit über 30 Jahren Erfahrung. Seine Schwerpunkte sind die Prüfung und steuerliche Beratung von mittelständischen Unternehmen. Daneben betreut er den Bereich der Nachhaltigkeitsberichterstattung.
Götz Martinek
M.Sc. Dipl.-Ing. Informatik
Geschäftsführer der sodge IT GmbH, einem Softwareentwicklungsdienstleister der sich auf die Unterstützung bei der Umsetzung von Projekten „vom Chip bis ins Internet“ spezialisiert hat und dabei das Thema „Security“ schon von der ersten Projektidee an mit beachtet.

Die Themen

I. Cyber-Law in der Lieferkette

  • Cyber Security Act
  • NIS2-Richtlinie
  • Directive on Resilience of Critical Entitites
  • Cyber Resilience Act
  • Digital Operations Resilience Act (DORA)
  • Corporate Sustainability Due Diligence Directive
  • Lieferkettensorgfaltspflichtengesetz
  • Cybersicherheitszertifizierungen / IT-Sicherheitskennzeichen

II. Nachhaltigkeit

  • Nachhaltigkeitsberichterstattung
  • Corporate Sustainability Reporting Directive (CSRD)
  • European Sustainability Reporting Standards (ESRS)
  • ESG – Faktoren: Environmental, Social, Governance
  • Betrachtung der gesamten Wertschöpfungskette

III. Veranschaulichung von Cybersicherheitslücken aus technischer Sicht

  • Was ist eine Softwaresupplychain?
  • Warum wird das für mich zum Problem?
  • Wie groß wird denn sowas?
  • Warum kann es da Fehler geben?
  • Welche Fehler kann man beim Einsatz von externer Software / Diensten machen?
  • Was kann man dagegen tun? / Best Practices

IV. Ausklang

Bei Speis und Trank besteht im Anschluss Gelegenheit für Fragen und Austausch.

Termin & Kosten

Die Veranstaltung findet vor Ort am Dienstag, den 17.10.2023, 15:30 - 18:30 Uhr statt.

Die Teilnahme an der Veranstaltung ist kostenfrei. Wir bitten um zeitnahe Anmeldung.

Präsenz-Veranstaltung

Die Veranstaltung findet vor Ort in unserer Kanzlei statt:

Löffelstraße 44
70597 Stuttgart

Bitte nutzen Sie die direkt von der B27 erreichbare Tiefgarage.

Anmeldung per Web-Form

Wir freuen uns über Ihre Anmeldung:

Datenschutzinformation: Mit der Versendung der Anfrage werden die obigen Angaben über unseren Webserver verschlüsselt an uns per E-Mail gesendet. Ein Widerruf Ihrer Einwilligung ist jederzeit z. B. per Antwort-E-Mail oder ein gesondertes E-Mail an uns möglich; durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Weitere Datenschutzinformationen finden Sie hier.

Anmeldung per E-Mail

Wir freuen uns alternativ über Ihre Anmeldung per E-Mail an: veranstaltungen@voelker-gruppe.com.

Weitere Informationen

Weitere Informationen zu unserer Reihe „Forum Digitalisierungsrecht“ finden Sie hier.

Die besonderen Datenschutzinformationen finden Sie hier. Titelbild basierend auf Tung Nguyen.

Stand: 06.09.2023

VOELKER & Partner
Rechtsanwälte Wirtschaftsprüfer Steuerberater mbB

info@voelker-gruppe.com
www.voelker-gruppe.com

 voelker-partner-mbb

Standort Reutlingen
Am Echazufer 24, Dominohaus
D-72764 Reutlingen
T +49 7121 9202-0
F +49 7121 9202-19
reutlingen@voelker-gruppe.com
Standort Stuttgart
Löffelstraße 46
D-70597 Stuttgart
T +49 711 2207098-0
F +49 711 2207098-35
stuttgart@voelker-gruppe.com
Standort Balingen
Hauptwasen 3
D-72336 Balingen
T +49 7433 26026-0
F +49 7433 26026-20
balingen@voelker-gruppe.com