Neue gesetzliche Anforderungen ab 2025: Was ändert sich für Websites, Apps & Online-Shops?

Neue gesetzliche Anforderungen ab 2025: Was Betreiber von Websites, Apps und Online-Shops beachten müssen

Ab 2025 treten in Deutschland und der EU zahlreiche neue Gesetze in Kraft, die insbesondere Betreiber von digitalen Angeboten wie Websites, Apps und Online-Shops betreffen. Diese Regelungen haben weitreichende Auswirkungen auf die Bereiche Barrierefreiheit, Cybersicherheit, Datenschutz und Nachhaltigkeitsberichterstattung. Unternehmen sollten sich frühzeitig mit den neuen Anforderungen auseinandersetzen, um rechtliche Risiken zu vermeiden und ihre digitalen Angebote zukunftssicher zu gestalten.

1. Barrierefreiheit für Websites (BFSG)

Ab dem 28. Juni 2025 verpflichtet das Barrierefreiheitsstärkungsgesetz (BFSG) Unternehmen mit mehr als 10 Beschäftigten oder einem Jahresumsatz über 2 Millionen Euro, ihre digitalen Angebote barrierefrei zu gestalten. Alle digitalen Dienste wie Websites, Apps und Online-Shops müssen den Web Content Accessibility Guidelines (WCAG) 2.1, Level AA entsprechen, um eine gleichberechtigte Nutzung zu gewährleisten.

Handlungsempfehlung:

• Unternehmen sollten ihre digitalen Angebote wie Websites, Apps und Onlineshops auf Barrierefreiheit prüfen und gegebenenfalls Überarbeitungen einplanen.
• Entwickler und Designer müssen geschult werden, um barrierefreie Anwendungen zu erstellen.
• Tools zur automatisierten Prüfung der Barrierefreiheit sollten genutzt werden, um WCAG-Anforderungen zu erfüllen.

2. NIS-2-Richtlinie: Stärkere Cybersicherheitsanforderungen

Die NIS-2-Richtlinie verlangt von Unternehmen, insbesondere solchen mit kritischen Infrastrukturen, erhöhte Cybersicherheitsstandards. Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden. Die Umsetzung muss bis zum 1. Oktober 2025 erfolgen.

Handlungsempfehlung:

• Implementierung eines Notfallplans für Cyberangriffe und Sicherheitsvorfälle.
• Regelmäßige Durchführung von Schwachstellenanalysen und Penetrationstests.
• Schulung von Mitarbeitenden zur Erkennung und Abwehr von Cyberbedrohungen.

‍

3. Cyber Resilience Act (CRA)

Der Cyber Resilience Act definiert neue Sicherheitsanforderungen für digitale Produkte. Unternehmen müssen sicherstellen, dass ihre Produkte über den gesamten Lebenszyklus hinweg sicher bleiben, regelmäßig Sicherheitsupdates erhalten und die Sicherheit nachgewiesen werden kann. Diese Vorschriften treten am 1. Juli 2025 in Kraft.

Handlungsempfehlung:

• Einführung von Sicherheitsrichtlinien für Softwareentwicklung und Produktdesign.
• Bereitstellung von Sicherheitsupdates und langfristige Unterstützung für Produkte.
• Dokumentation und Nachweis der Sicherheitsstandards gegenüber den Aufsichtsbehörden.

4. EU AI Act: Regulierung von Künstlicher Intelligenz

Der EU AI Act setzt Standards für den Einsatz von Künstlicher Intelligenz. Hochrisiko-KI-Systeme, etwa in der medizinischen Diagnostik oder Personalrekrutierung, müssen strenge Transparenz- und Risikomanagementauflagen erfüllen. Die verpflichtende Einhaltung beginnt am 15. März 2025.

Handlungsempfehlung:

• Identifikation und Klassifizierung eingesetzter KI-Systeme nach dem EU AI Act.
• Durchführung von Risikobewertungen und Implementierung von Sicherheitsmechanismen.
• Sicherstellung der Nachvollziehbarkeit und Dokumentation von KI-Entscheidungen.

5. Digital Operational Resilience Act (DORA)

DORA verpflichtet Finanzinstitute und deren IT-Dienstleister, ihre digitalen Systeme gegen Cyberbedrohungen abzusichern. Dazu zählen Penetrationstests, Sicherheitsüberwachungen und detaillierte Risikodokumentationen. Die Frist zur Umsetzung endet am 17. Januar 2025.

Handlungsempfehlung:

• IT-Sicherheitsrichtlinien aktualisieren und implementieren.
• Implementierung kontinuierlicher Sicherheitsüberwachungen und Stresstests.
• Erarbeitung einer detaillierten Strategie zur Reaktion auf Sicherheitsvorfälle.

6. Corporate Sustainability Reporting Directive (CSRD)

Das Corporate Sustainability Reporting Directive betrifft Unternehmen mit mehr als 250 Mitarbeitenden oder einer Bilanzsumme über 20 Millionen Euro. Diese müssen ab dem 1. Januar 2025 erweiterte Nachhaltigkeitsberichte gemäß ESG-Kriterien erstellen. Diese Berichte werden extern geprüft.

Handlungsempfehlung:

• Erhebung und Dokumentation relevanter ESG-Daten.
• Entwicklung eines Nachhaltigkeitsberichtes nach den neuen Anforderungen.
• Zusammenarbeit mit externen Prüfstellen zur Verifizierung der Angaben.

Weitere wichtige Regelungen und Handlungsempfehlungen

• Allgemeine Produktsicherheitsverordnung (GPSR): Unternehmen müssen klare Sicherheitskennzeichnungen umsetzen und etablierte Prozesse für Rückrufe bereitstellen.
• Digital Services Act (DSA): Online-Plattformen sind verpflichtet, Transparenzpflichten einzuhalten und wirksame Maßnahmen zur Bekämpfung illegaler Inhalte zu implementieren.
• EU-Daten-Gesetz (Data Act): Anpassung der Datennutzungs- und Datenteilungspraktiken zur besseren Interoperabilität und Kontrolle für Nutzer.
• Digital Markets Act (DMA): Unternehmen müssen Compliance-Strategien entwickeln, um die Einhaltung der Wettbewerbsrichtlinien sicherzustellen.
• EU-Produkthaftungsrichtlinie: Software- und Hardwareanbieter müssen sicherstellen, dass sie Nachweispflichten erfüllen und ihre Produkte rechtskonform dokumentieren.

Fazit: Handlungsbedarf für Unternehmen

Für Betreiber digitaler Angebote ist es essenziell, sich auf diese neuen Regelungen vorzubereiten. Besonders in den Bereichen Barrierefreiheit, Cybersicherheit, KI, Datenrecht und Nachhaltigkeit sind umfassende Anpassungen erforderlich, um rechtskonform zu bleiben. Unternehmen sollten eine frühzeitige Analyse durchführen und erforderliche Maßnahmen implementieren, um Compliance-Risiken zu minimieren.

Mit itPortal24 bleiben Sie stets auf dem neuesten Stand der digitalen Gesetzgebung! Unser Expertenteam hilft Ihnen, sich optimal auf die neuen Anforderungen vorzubereiten und maßgeschneiderte Lösungen für Ihr Unternehmen zu finden. Lassen Sie sich von uns beraten und sichern Sie Ihre digitale Zukunft mit itPortal24!

‍