Cologne
+49 221 20 52-254 +49 221 20 52-1 m.poncza@heuking.de
Languages
German,
English,
Dutch
Practice groups/Expertise
Consulting focuses
- Cyber Security
- IT Security
- Data Protection Law
- Information Technology (IT)
- Internet Law
- IT-Outsourcing Tech-driven transactions
- Open Source Projects
Vita
- Certified Specialist Lawyer in Information Technology Law
- Admitted to the bar since 2021
- Education and former activities
- Specialized course in Information Technology Law 2020-2021
- Legal clerkship, Higher Regional Court Koblenz 2018-2020
- Support lawyer at Kremer Rechtsanwälte, Cologne 2019-2020
- Research assistant, Institute for law and policy, University of Trier 2018
- Research assistant, Chair for civil and labour law, University of Trier 2014-2018
- Law studies, University of Trier 2013-2018
- Co-Founder of a renewable energy company 2011
Certifications
- Certified IT-Security Auditor (TÜV)
- Certified IT-Security-Manager (TÜV)
- Course CompTIA Security+
- Course CompTIA Network+
- Certified IT-Security-Beauftragter (TÜV)
- Certified IT-Compliance Manager (TÜV)
Qualifications/current topics
Manuel Poncza is a recognized and leading lawyer in the complex and constantly evolving field of IT security law. With his in-depth legal and technical expertise, he is one of the leading lawyers advising companies in Germany on navigating the increasingly demanding regulatory landscapes of information and cyber security.
His practice focuses on providing preventive and reactive support to clients on all issues relating to digital resilience. Manuel Poncza has extensive expertise in the implementation of and compliance with groundbreaking regulations such as the NIS2 Directive and the Cyber Resilience Act (CRA). He provides comprehensive advice to companies on the development and implementation of compliance strategies, risk assessment, and security incident management, not only to meet legal requirements but also to effectively minimize operational risks. Clients value his ability to combine complex legal matters with a keen understanding of technical issues. This enables him to develop not only legally compliant but also practical and forward-looking solutions that meet the specific requirements of modern IT infrastructures.
Through his regular publications and sought-after lectures on current developments in IT security law, Manuel Poncza makes an important contribution to the professional discussion and is considered a driving force for future-proof cybersecurity solutions.
Affiliations
- International Bar Association (IBA)
- International Association of Privacy Professionals (IAPP)
- Deutsche Gesellschaft für Recht und Informatik e. V. (DGRI)
- Member of the Legal Working Group of the German IT Security Association (TeleTrusT)
Manuel Poncza's Distinctions
Legal 500 Deutschland 2025
Leaders League 2024
Leaders League 2023
Latest news
Publications
2025
Bundestag approves NIS2 implementation law – What companies need to know and do now
Update Update Information Security No. 7, Update Data Protection No. 222, November 14, 2025,
together with
Michael Kuska, LL.M., LL.M.
New cabinet decision on German NIS2 implementation law
Update Information Security No. 6, August 12, 2025,
together with
Michael Kuska, LL.M., LL.M.
New attempt at the German NIS2 Implementation Law
UpdaUpdate Information Security No. 5, July 25, 2025,
together with
Michael Kuska, LL.M., LL.M.
Kommentierung von Art. 27-30
Cyber Resilience Act: CRA (Ed.: Heckmann / Paschke), Beck Verlag, „Gelbe Reihe”,1st edition 2025,
together with
Dr. Lutz Martin Keppeler
Cyberversicherung: Die Krönung der IT-Sicherheitsmaßnahmen
IT-Business – Das Magazin für den IT-Markt, Issue 8/2025, pp. 16,
together with
Dr. Lutz Martin Keppeler
Was Geschäftsleitungen im Bereich Cybersicherheit beachten müssen
CyberSecurityQuarterly, 1st Edition, March 20, 2025,
together with
Michael Kuska, LL.M., LL.M.
Protection against drone deployments as part of information security risk management
Update Information Security No. 3, March 4, 2025,
together with
Michael Kuska, LL.M., LL.M.
Der Cyber Resilience Act: Ein Überblick über Hintergründe und Ziele
LIFTjournal, edition 01.2025,
together with
Michael Kuska, LL.M., LL.M.
Kommentierung von Art 20-22, Schröder/Hartl (Hrsg.)
Cyber Resilience Act: CRA, Nomos-Verlag, 1st Edition 2025
Kommentierung von Art 27-30, Paschke/Hecker (Hrsg.)
Cyber Resilience Act: CRA, Beck-Verlag, “Gelbe Reihe”, 1st Edition 2025
2024
Kommentierung von Art 2, 7-9, 29 und 30, Paschke/Rücker (Hrsg.)
Data Governance Act: DGA, Beck-Verlag, „Gelbe Reihe“, 1st Edition 2024
Cyber Resilience Act passed and NIS2 implementation in Germany on the home straight
Update Data Protection No. 189, October 31, 2024,
together with
Michael Kuska, LL.M., LL.M.
Cyber-Risiken beim Einsatz von IIoT – IT-Sicherheit im Fokus der Gesetzgebung
Factory Innovation, Issue 05/2024, October 2024
Cyberrisken beim Einsatz von IIoT - Neue Pflichten für die Fabrik – jetzt handeln und Vorschriften umsetzen!
Factory Innovation, Issue 05/2024, September 13, 2024,
together with
Michael Kuska, LL.M., LL.M.
NIS2 Directive: Update on the German Implementation Act
Update Data Protection No. 183, July 30, 2024,
together with
Dr. Hans Markus Wulf
, Michael Kuska, LL.M., LL.M.
Gut gewappnet gegen Viren, Würmer und Trojanische Pferde
In-house Counsel, Issue 4/2024, July 8, 2024,
together with
Michael Kuska, LL.M., LL.M.
The implementation of the NIS2 Directive in Germany: The challenge of determining the scope of application for corporate groups
Update Data Protection No. 175, March 27, 2024,
together with
Michael Kuska, LL.M., LL.M.
EU digital law: Formal agreement in the EU Parliament on the AI Regulation, the Cyber Resilience Act and the European Media Freedom Act
Update Data Protection No. 173, March 13, 2024,
together with
Dr. Hans Markus Wulf
Lockert der EuGH durch sein FIN-Urteil den strengen „Personenbezug“? Eine kritische Analyse der EuGH-Rechtsprechung anlässlich EuGH, Urt. v. 9.1.2023 – C-319/22
CR 2024, p. 18-22,
together with Dr. Lutz Martin Keppeler, Manuel Poncza, Annika Wölke
2023
Cyber Resilience Act (CRA), MaRisk und BAIT: Jetzt wird es für Banken richtig ungemütlich
IT Finanzmagazin, December 5, 2023,
together with
Dr. Lutz Martin Keppeler
Neues vom EuGH zum „Personenbezug“
Data Protection Update No. 157, November 20, 2023,
together with
Dr. Lutz Martin Keppeler
Lockert der EuGH durch sein FIN-Urteil den strengen „Personenbezug“? - Eine kritische Analyse der EuGH-Rechtsprechung anlässlich EuGH, Urt. v. 9.11.2023 - C-319/22
CR 2023, 798,
by Dr. Lutz Martin Keppeler, Manuel Poncza, Annika Wölke
OLG Karlsruhe: Hacker manipuliert E-Mail-Rechnung – Muss ein zweites Mal gezahlt werden?
Update Data Protection No. 156, November 2, 2023,
together with
Dr. Lutz Martin Keppeler
Nachhaltige Digitalisierung geht nur sicher. Oder überhaupt nicht!
Northern Business School, Article, August 16, 2023, together with Univ.-Prof. Dr.-Ing. habil. Norbert Gronau (Uni Potsdam); TeleTrusT-Geschäftsführer Dr. Holger Mühlbauer; Nils Schmidt, Fachanwalt für Arbeitsrecht und Vorstand im DFK; Mirko Knappe, Vorstand Norddeutsche Bildungsstiftung (NBS)
Das neue KRITIS-Dachgesetz: Überblick zum neuen Referentenentwurf
Update Data Protection No. 151,
together with
Michael Kuska, LL.M., LL.M.
Cybersicherheit: Die Umsetzung der DSGVO wäre eine gute Grundlage für die NIS-2 Richtlinie gewesen
IT Finanzmagazin, July 18, 2023
IT-Sicherheit nach den „berechtigten Sicherheitserwartungen des Verkehrs“ - Anforderungen an die Absicherung geschäftlichen E-Mail-Verkehrs nach OLG Karlsruhe, Urt. v. 27.7.2023 - 19 U 83/22
CR 2023, 787-792,
together with
Dr. Lutz Martin Keppeler
Die Open-Source-Bereichsausnahme im Entwurf des Cyber-Resilience-Act
Zeitschrift für Product Compliance (ZfPC) 2023, pp. 117-123,
together with
Markus Lennartz
, Dr. Lutz Martin Keppeler
Strengthening Cybersecurity in Critical Sectors - What Changes the NIS 2 Directive Will Bring
Update Data Protection No. 136
Der Entwurf des Cyber Resilience Act
Zeitschrift für Product Compliance (ZfPC) 2023, pp. 44-50
Datenschutzrechtliche Grundlagen der sog. "Penetration Tests"
Zeitschrift für Datenschutz 2023, 8
2022
Transatlantisches Datenabkommen – kommt der Privacy Shield 2.0?
Einsatz von KI-Systemen im Gesundheitswesen
Klinik Einkauf 2022, Issue 05, Volume 04, October 2022, pp. 48-49,
together with
Markus Lennartz
Der Entwurf des EU Cyber Resilience Act
Update Datenschutz No. 118
Germany: The revised draft of the eWpRV and its potential impact on the eWpG
OneTrust DataGuidance, March 2022
2021
Red Warning Level – The Log4Shell Vulnerability
Update Data Protection No. 107,
together with
Dr. Lutz Martin Keppeler
Die Folgen von Cyberangriffen – ein Überblick
Wirtschaftsraum Hanau-Kinzigtal, November 2021, 10 f.
The German Federal Network Agency activates “Lex Huawei”
5G-Mobilfunk: Baker-Mandantin Rakuten baut Netz für 1&1
Juve Online, August 11, 2021
New EU Standard Contractual Clauses in Force - How Companies should now correctly proceed when using US Cloud Services
Lectures
2025
Rechtliche Herausforderungen: NIS 2, DORA und Co.
Deutor Konferenz, Workshop, 2025
Hacker ante portas: Rechtliche Herausforderungen an die Cybersecurity - inkl. Haftungsrisiken
HEUKING Compliance Day, April 2, 2025, Düsseldorf,
together with
Michael Kuska, LL.M., LL.M.
Cyber Resilience Act in der Energiespeicherindustrie
BVES Webinarreihe, 2025
Hacker ante Portas: IT-Sicherheitsanforderungen NIS2 und DORA: Chancen und Herausforderungen
HEUKING Cyber Security Event, 2025
2024
NIS2 – Chancen und Herausforderungen
Cybersecurity Event by Deutsche Bank, November 19, 2024, Düsseldorf,
together with
Michael Kuska, LL.M., LL.M.
Der Stand der Technik – Zwischen Recht und IT
Arbeitskreis EDV und Recht, September 18, 2024, Cologne
Der Cyber Resilience Act
VFA-Infotag Digitalisierung, September 12, 2024, Hamburg
NIS2 und DORA: Chancen und Herausforderungen für Ihr Unternehmen
Heuking & Hays Cyber Security Event, June 26, 2024, Düsseldorf,
together with
Michael Kuska, LL.M., LL.M.
Der richtige Umgang mit Cybervorfällen im Unternehmen
Deutor Cyber Security Konferenz, June 12, 2024, Hamburg
NIS2, CRA, DORA & Co – Überblick zur EU Cybersicherheits-Strategie und deren Umsetzung im Unternehmen
Rechtsabteilungen & Unternehmensjuristen Konferenz 2024, May 28, 2024, Frankfurt,
together with
Michael Kuska, LL.M., LL.M.
Cyber-Versicherung: Der Stand der Technik
DGVH-Webinar, April 18, 2024
Die NIS2-Richtlinie – IT-Sicherheit als Compliance-Anforderung
HEUKING Compliance Day, April 11, 2024, Düsseldorf,
together with
Michael Kuska, LL.M., LL.M.
2023
Rechtliche Hürden beim Umgang mit Cyber-Angriffen
Breidenbach & Frost Symposium Cyber Security in Public Transport, December 1, 2023, Cologne, together with Michael Kuska, LL.M., LL.M.
IT-Sicherheit in der Gesetzgebung – Welche Regelungen Unternehmen im Blick haben sollen
IT Security Day NRW, November 30, 2023, Cologne
Rechtliche Hürden beim Umgang mit Cyber-Angriffen
Breidenbach & Frost Fachtagung Cyber Security im ÖV, June 30, 2023, Cologne, together with Michael Kuska, LL.M., LL.M.
Cyber Resilienz per EU-Verordnung
Kölner Kreis, June 21, 2023, together with Dr. Lutz Martin Keppeler
Cyber Resilience als Product Compliance-Anforderung
14. Europäische Druckgerätetage, June 20, 2023, Fürstenfeldbruck
NIS-2 Richtlinie
Cyber Insurance Conference, June 1, 2023, Borussia Park Mönchengladbach, together with Michael Kuska
Der Entwurf des Cyber Resilience Act und dessen Konsequenzen für KMUs
IHK Cologne, March 14, 2023
2022
Der Umgang mit Kundendaten
As part of a series of lectures on data protection law, June 30, 2022