Digitalisierung der Lieferkette – Cyber-Law, Cyber-Security und Nachhaltigkeit
Forum Digitalisierungsrecht (Präsenzveranstaltung, 17.10.2023, 15:30-18:30 Uhr)

Cyber-Law in der Lieferkette
Der aktuelle EU-Entwurf zum Cyber Resilience Act (CRA) betrifft alle Unternehmen, die Produkte mit digitalen Elementen herstellen. Darüber hinaus bestehen Verpflichtungen für Händler und Importeure. Ausnahmen für mittlere und kleinere Unternehmen sind nicht vorgesehen.Nach dem CRA werden Produkte in drei Kritikalitätsklassen eingeteilt, nach der sich dann die genauen Anforderungen an die betroffenen Unternehmen richten. Die Umsetzung wird von Marktüberwachungsbehörden der EU-Mitgliedsstaaten überwacht. Eine der Verpflichtungen ist es beispielsweise, dass Hersteller Sicherheitslücken über den gesamten Produktlebenszyklus schließen müssen, maximal jedoch über fünf Jahre. Insoweit ergeben sich vielfache Fragestellungen mit Blick auf den bisherigen Vertrieb von Produkten. Etwa bei Kaufverträgen war (von einigen jüngeren Ausnahmen abgesehen) bislang lediglich der Zeitpunkt der Übergabe des Produkts hinsichtlich von Sicherheitsmängel und der Haftung relevant (wobei eine Sondersituation in Regressketten zu beachten ist).
Auch eine neue Meldepflicht zu aufgefundenen Sicherheitsschwachstellen von Produkten innerhalb von nur 24 Stunden wird eingeführt. Die Meldung hat dann an die europäische Agentur für Cybersicherheit (ENISA) zu erfolgen. Insgesamt soll über den CRA ein Anreiz geschaffen werden, hinsichtlich von Produkten einen „Security by Design“-Ansatz zu verfolgen.
Der anstehende Cyber Resilience Act (CRA) ist aber nicht die einzige rechtliche Änderung. Vielmehr erfolgt derzeit eine ganze Reihe an gesetzlichen Maßnahmen mit Auswirkungen auf die Cybersicherheit von Produkten entlang der Lieferkette und somit auch auf die Pflichten und die Haftung von Herstellern, Importeuren und Händlern.
Mit dem Cyber Security Act (CSA) (auch „Cybersicherheitsgesetz“) etwa wird die europäische Agentur für Cybersicherheit (ENISA) gestärkt und zugleich ein Rahmen für eine neue Cybersicherheits-Zertifizierung für Produkte und Dienstleistungen geschaffen. Der Erhalt einer solchen Cybersicherheits-Zertifizierung kann für Unternehmen von besonderem Interesse sein, da Abnehmer zunehmend auf solche Cybersicherheits-Zertifizierungen achten werden, um die Einhaltung der eigenen Verpflichtungen entlang der Lieferkette einfach nachweisen zu können.
Solche und viele weitere, aktuelle Änderungen mehr werden in der Veranstaltung vorgestellt.
Nachhaltigkeitsberichterstattung – Regulatorik, Herausforderungen, Lösungsmöglichkeiten
Große Unternehmen sollten spätestens 2024 die organisatorischen, rechtlichen und IT-technischen Voraussetzungen für eine nicht-finanzielle Berichterstattung als Teil des Lageberichts 2025 schaffen.Maßgeblich ist die Corporate Sustainability Reporting Directive (CSRD). Die Berichtsinhalte der CSRD wurden im Juli 2023 durch die sog. European Sustainability Reporting Standards (ESRS) konkretisiert. Wesentliche Änderungen ergeben sich bei den Berichtspflichten zu Umwelt-, Sozial- und Governance-Faktoren (ESG), der Doppelten Wesentlichkeit sowie der Berücksichtigung der gesamten Wertschöpfungskette. Dabei sind menschenrechtliche und umweltbezogene Aspekte auch von vor- und nachgelagerten Geschäftspartnern entlang der Wertschöpfungskette zu berücksichtigen.
Aber auch KMU können bereits indirekt betroffen sein, wenn die Stakeholder – insbesondere Kunden – Auskunft und Nachweise verlangen um ihre eigenen Berichtspflichten erfüllen zu können.
Veranschaulichung von Cybersicherheitslücken aus technischer Sicht
Mit der fortschreitenden Digitalisierung investieren Unternehmen nun verstärkt in IT-Sicherheit. Häufig stehen dabei jedoch die „sichtbaren“ Gefahren im Fokus.Doch was ist mit den versteckten Risiken, die tief in der „Softwareversorgungskette“ verwurzelt sind? Die Erfahrung zeigt, dass viele Firmen beispielsweise Open-Source-Komponenten nutzen, jedoch keine ausreichende Kontrolle über die damit direkt und indirekt verbundenen externen Softwarekomponenten schaffen. Damit entstehen unnötig ausnutzbare Angriffsflächen und damit auch unnötige und an sich beherrschbare und folglich auch vermeidbare Haftungsrisiken.
Anhand von anschaulichen Beispielen werden in der Veranstaltung derartige Risiken in der Softwaresupplychain beleuchtet und dargestellt, warum es essentiell ist, diese in Unternehmen oftmals noch verborgenen Risiken zu erkennen und mit passenden Mitteln zu adressieren.
Referenten
Die Themen
I. Cyber-Law in der Lieferkette
- Cyber Security Act
- NIS2-Richtlinie
- Directive on Resilience of Critical Entitites
- Cyber Resilience Act
- Digital Operations Resilience Act
- Corporate Sustainability Due Diligence Directive
- Lieferkettensorgfaltspflichtengesetz
- Cybersicherheitszertifizierungen / IT-Sicherheitskennzeichen
II. Nachhaltigkeit
- Nachhaltigkeitsberichterstattung
- Corporate Sustainability Reporting Directive (CSRD)
- European Sustainability Reporting Standards (ESRS)
- ESG – Faktoren: Environmental, Social, Governance
- Betrachtung der gesamten Wertschöpfungskette
III. Veranschaulichung von Cybersicherheitslücken aus technischer Sicht
- Was ist eine Softwaresupplychain?
- Warum wird das für mich zum Problem?
- Wie groß wird denn sowas?
- Warum kann es da Fehler geben?
- Welche Fehler kann man beim Einsatz von externer Software / Diensten machen?
- Was kann man dagegen tun? / Best Practices
IV. Ausklang
Bei Speis und Trank besteht im Anschluss Gelegenheit für Fragen und Austausch.
Termin & Kosten
Die Veranstaltung findet vor Ort am Dienstag, den 17.10.2023, 15:30 - 18:30 Uhr statt.Die Teilnahme an der Veranstaltung ist kostenfrei. Wir bitten um zeitnahe Anmeldung.
Präsenz-Veranstaltung
Die Veranstaltung findet vor Ort in unserer Kanzlei statt:
Löffelstraße 44
70597 Stuttgart
Bitte nutzen Sie die direkt von der B27 erreichbare Tiefgarage.
Anmeldung per Web-Form
Wir freuen uns über Ihre Anmeldung:
Anmeldung per E-Mail
Wir freuen uns alternativ über Ihre Anmeldung per E-Mail an: veranstaltungen@voelker-gruppe.com.
Weitere Informationen
Weitere Informationen zu unserer Reihe „Forum Digitalisierungsrecht“ finden Sie hier.Die besonderen Datenschutzinformationen finden Sie hier. Titelbild basierend auf Tung Nguyen.
Stand: 06.09.2023