# CYBER-RESILIENZ & CYBERSICHERHEIT

Cyber-Resilienz und Cybersicherheit sind essenziell für Unternehmen aller Branchen. In der Europäischen Union stellen insbesondere der Cyber Resilience Act (CRA), die NIS2-Richtlinie, die KI-Verordnung, die neue Produkthaftungsrichtlinie und die DORA-Verordnung hohe Anforderungen an die IT-Sicherheit und das Risikomanagement. Verstöße können gravierende Konsequenzen haben, darunter hohe Bußgelder und Haftungsrisiken für Unternehmen und ihre Führungskräfte. Von folgenden Regelungen könnte auch Ihr Unternehmen betroffen sein:

Cyber Resilience Act

Leupold Legal unterstützt die Hersteller von Produkten mit digitalen Elementen wie intelligenten Hausgeräten, Smartphones, Smartwatches, Smart Toys und Computerspielen bei

der Einhaltung der gesetzlichen Anforderungen an die Cybersicherheit ihrer Produkte, die bereits in deren Designphase sicherzustellen ist, damit sie ab 2027 in den Verkehr gebracht werden dürfen,
der Compliance mit ihren Dokumentations-, Informations- und Meldepflichten,
der Erfüllung ihrer Pflichten zur Bereitstellung regelmäßiger Updates und Offenlegung von Schwachstellen ihrer Produkte.

NIS2 Richtlinie

Leupold Legal berät die Leitungsorgane von wichtigen und besonders wichtigen Einrichtungen, bei der Erfüllung ihrer gesetzlichen Risikomanagement- und Berichtspflichten nach der NIS2 Richtlinie. Zum Kreis der dazu Verpflichteten gehören statt bisher 1.900 nunmehr rund 30.0000 Einrichtungen etwa in den Sektoren

Energie
Verkehr
Bankwesen
Gesundheitswesen
digitale Infrastruktur (z.B. Anbieter von Cloud-Diensten).

Ob Sie von der NIS2 Richtlinie betroffen sind, können Unternehmen mit der dafür vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bereit gestellten Online Prüfung ermitteln, die allerdings nur eine erste Orientierungshilfe darstellt. Betroffenen Unternehmen empfiehlt das BIS gegebenenfalls eine externe Beratung zur Identifizierung von Handlungsbedarfen.

KI-Verordnung

Auch die EU KI-Verordnung stellt Anforderungen an die Cybersicherheit. Leupold Legal sagt Ihnen, was dafür getan werden muss.

Produkthaftungsrichtlinie

Produkte, die den für sie einschlägigen relevanten Cybersicherheits-Anforderungen nicht entsprechen, können eine verschuldensunabhängige Haftung des Herstellers, Importeurs und weiterer Wirtschaftsakteure für daraus resultierende Schäden auslösen. Dies ist von besonderer Bedeutung für Software-as-a-service (SaaS) Produkte, deren Cybersicherheit während der gesamten Dauer ihrer Nutzung hergestellt werden muss.

Leupold Legal sagt Ihnen, was Sie dafür tun müssen und wie Sie mit den richtigen Maßnahmen eine Produkthaftung auch in anderen Fällen vermeiden können.

DORA

Finanzunternehmen berät Leupold Legal bei der Einhaltung ihrer besonderen IT-Sicherheitspflichten aus dem europäischen Digital Operational Resilience Act (DORA), der seit 17.01.2025 gilt. Dazu gehört insbesondere die Beratung zu den DORA Anforderungen an

die Etablierung eines umfassendes IKT-Risikomanagement,
die Behandlung, Klassifizierung und Meldung (schwerwiegender) IKT-bezogener Vorfälle,
das Testen der digitalen operationalen Resilienz
die Überwachung von Drittdienstleistern
die Notfallstrategie zur Aufrechterhaltung der IKT Business Continuity.

Leupold Legal unterstützt Sie bei der Compliance mit Ihren Cyber-Resilienz und Cybersicherheitspflichten

Beratung zur Umsetzung regulatorischer Anforderungen und zu den Compliance-Pflichten der Geschäftsleitung und ihrer persönlichen Haftung
Entwicklung von Cybersecurity- und Resilienz-Strategien
rechtlichen Begleitung bei Zertifizierungs- und Konformitätsverfahren
Vertragsgestaltung mit (Dritt-)Dienstleistern & Cloud-Anbietern insbesondere zur Einhaltung angemessener Informationssicherheitsstandards und zur Vermeidung von „Lock-in“ Effekten
Vorbereitung auf behördliche Prüfungen und Audits
Beratung zur richtigen Reaktion auf meldepflichtige Cybervorfälle & zur Vermeidung hoher Geldbußen und Reputationsschäden.