Regulatorische Trickle-Down-Effekte

13. Juni 2024 • IT-RegulierungIT-Verträge

IT-Regulierung funktioniert häufig so, dass nur Unternehmen ab einer bestimmten Größe von der Regulierung erfasst werden; ignorieren Sie solche Größenbeschränken am besten.

Das liegt an den regulatorischen Trickle-Down-Effekten: Unternehmen, die eigentlich zu klein sind, um sich um Netz zahlreicher regulatorischer Vorgaben zu verfangen, werden indirekt doch reguliert. Nämlich weil sie Zulieferer größerer Unternehmen sind, die ihre Compliance-Pflichten, z.B. aus der NIS-2-RL, einfach überwälzen. So ein Kaskadeneffekt ist regulatorisch erwünscht und in den Gesetzen angelegt (siehe etwa Art. 21 Abs. 2 Buchst. d) und e) NIS-2-RL). Vertraglichsrechtlich funktioniert die Überwälzung über Compliance-Klauseln, die den Zulieferer zur Einhaltung bestimmter Standards verpflichten. Eine solche Verpflichtung allein geht zwar zivilrechtlich, reicht aus regulatorischer Sicht aber eher nicht, um eigene Verantwortlichkeiten zu delegieren.

Da würde ich zusätzlich an eine vorvertragliche Due Diligence, an detaillierte Sicherheitsvorgaben, Informationspflichten, Audit-Rechte und regelmäßige Kontrollen denken.