News

Cyber Resilience Act setzt Industrie und Behörden unter Druck

20.11.2024

Der Cyber Resilience Act („CRA“) wurde am 20.11.2024 im Amtsblatt veröffentlicht und tritt am 09.12.2024 in Kraft. Es handelt sich um eine europäische Verordnung. Diese ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Der CRA zielt darauf ab, Rahmenbedingungen für die Entwicklung sicherer Produkte mit digitalen Elementen zu schaffen, damit Hardware- und Softwareprodukte mit weniger Schwachstellen in Verkehr gebracht werden.

Gegenstand – Produkte mit digitalen Elementen

Gegenstand des Cyber Resilience Act sind Produkte mit digitalen Elementen, deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Ein „Produkt mit digitalen Elementen“ im Sinne des Cyber Resilience Act ist ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten.

Erfasst sind unter anderem also Hardwareprodukte mit vernetzten Funktionen (z.B. Smartphones, Laptops, Smart-Home-Produkte, vernetztes Spielzeug und sonstige „smarte“ Produkte) als auch reine Softwareprodukte (z. B. Computerspiele, mobile Apps).

Gestuftes System der Konformitätsbeurteilung

Die Verordnung etabliert ein gestaffeltes System für die Beurteilung der Konformität der Produkte:

Auf erster Stufe stehen Produkte mit digitalen Elementen. Für diese werden im Cyber Resilience Act Cybersicherheitsanforderungen und Vorgaben zur Behandlung von Schwachstellen definiert, welche im Rahmen der Konformitätsbeurteilung der Hersteller geprüft werden müssen. Dabei kann der Hersteller sich auf eine Konformitätsvermutung berufen, wenn er harmonisierte europäische Normen oder gemeinsame Spezifikationen angewandt hat.

Auf zweiter Stufe stehen wichtige Produkte mit digitalen Elementen (u. a. Passwort-Manager oder VPN), bei denen besondere Konformitätsbewertungsverfahren hinzukommen. Hier werden insbesondere die (zu schaffenden) gegenüber der Kommission notifizierten mitgliedstaatlichen Stellen relevant, welche die Konformitätsbewertungen übernehmen.

Die dritte Stufe umfasst kritische Produkte mit digitalen Elementen (u. a. Chipkarten). Diese müssen nach Festlegung durch die Kommission ein europäisches Cybersicherheitszertifikat mindestens der Vertrauenswürdigkeitsstufe „mittel“ im Rahmen eines gemäß des seit 2019 geltenden Cybersecurity Act (Verordnung (EU) 2019/881) erlassenen europäischen Schemas für die Cybersicherheitszertifizierung erhalten, um die Konformität mit den grundlegenden Cybersicherheitsanforderungen nachzuweisen (weitere Informationen dazu finden Sie in unserem Beitrag „Cybersecurity Act tritt in Kraft“).

Daneben definiert der Cyber Resilience Act Konformitätsanforderungen im Hinblick auf die Cybersicherheit für Hochrisiko-KI-Systeme im Sinne der neuen KI-Verordnung (weitere Informationen dazu finden Sie in unserem Beitrag „Finale Textfassung der europäischen KI-Verordnung“).

Pflichten der Wirtschaftsakteure – insbesondere der Unterstützungszeitraum

Von besonderer Bedeutung ist die Festlegung eines Unterstützungszeitraums durch den Hersteller: Im Unterstützungszeitraum werden Schwachstellen des Produkts, einschließlich seiner Komponenten, wirksam und im Einklang mit den grundlegenden Anforderungen des CRA durch den Hersteller behandelt. Dieser Zeitraum soll die Dauer der voraussichtlichen Nutzung des Produkts widerspiegeln und muss beim Kauf angegeben werden. Er beträgt grundsätzlich mindestens fünf Jahre. Ausnahmen können jedoch greifen.

Den Hersteller trifft nach dem Cyber Resilience Act eine Meldepflicht bei jeder aktiv ausgenutzten Schwachstelle, die in dem Produkt mit digitalen Elementen enthalten ist und von der er Kenntnis erlangt. Bei dieser aktiv ausgenutzten Schwachstelle geht es laut Legaldefinition darum, dass ein böswilliger Akteur diese in einem System ohne Zustimmung des Systemeigners ausgenutzt hat. Anlaufstellen für die Meldung sind der Koordinator des mitgliedstaatlich benannten Computer-Notfallteams (Computer Security Incident Response Team im Sinne der Richtlinie (EU) 2022/1972, „CSIRT“) und die Agentur der Europäischen Union für Cybersicherheit (ENISA), wobei eine von der ENISA einzurichtende einheitliche Meldeplattform zu verwenden ist.

Ansonsten bestehen im CRA die aus anderen europäischen Produktsicherheitsrechtsakten bekannten Dokumentationspflichten sowie die Pflicht zum Ergreifen von Korrekturmaßnahmen bei Nichtkonformität. Andere Wirtschaftsakteure wie Einführer und Händler sind abgestuft verpflichtet. Sonderregeln finden sich zudem für Verwalter quelloffener Software.

Überwachung

Die Durchsetzung erfolgt durch die Marktüberwachungsbehörden. Subsidiär kann jedoch sogar die Kommission eingreifen. Der CRA modifiziert in vielerlei Hinsicht die Vorgaben der Marktüberwachungsverordnung (Verordnung (EU) 2019/1020), die er dennoch grundsätzlich für anwendbar erklärt. Besonderes Augenmerk sollte im Rahmen der Überwachung auf die Befugnis zu sogenannten „Sweeps“ gelegt werden. Dies sind gleichzeitige, koordinierte Kontrollen zu bestimmten Produkten mit digitalen Elementen.

Digitale Produktsicherheit jetzt abprüfen

Der CRA stellt hohe Anforderungen an die Industrie im Bereich der Cybersicherheit. Die Verzahnung des CRA mit vielen weiteren Rechtsakten birgt Potential für Abgrenzungsfragen. So enthält der CRA neben den genannten Verweisen auf den Cybersecurity Act und die KI-Verordnung eine Öffnungsklausel für die neue Produktsicherheitsverordnung (VO (EU) 2023/988), weitere Informationen dazu finden Sie in unserem Beitrag Heute: Die EU-Produktsicherheits-Verordnung für die Industrie).

Es bleibt zudem die Frage, ob sich die gesetzliche Verantwortung für vorsätzlich agierende fremde Schädiger („Hacker“), die der Cyber Resilience Act etabliert, weiter fortsetzt. Diese Problematik ist auch in der neuen Produkthaftungsrichtlinie angelegt (Product Liability Directive, „PLD“, weitere Informationen dazu finden Sie in unserem Beitrag „Neue Produkthaftungsrichtlinie – massive Pflichten für Industrie“).

Aufgrund des Bündels an empfindlichen Sanktionen, die mitgliedstaatlich noch festgelegt werden müssen, empfiehlt sich ein schnelles und bedachtes Handeln der Industrie bei der Prüfung und Umsetzung der Vorgaben des Cyber Resilience Act – insbesondere hinsichtlich des Unterstützungszeitraums.

Kontakt

Arun Kapoor
Arun Kapoor+49 89 28628372
Thomas Klindt
Thomas Klindt+49 89 28628545

Einkauf Logistik & Vertrieb
Compliance & Interne Untersuchungen
Digital Business
Haftung & Versicherung
Life Sciences
Produkthaftung & Product Compliance

Share

Alle anzeigen

Insights

seashell on golden sand sea with pulse
News

Leiharbeit: Das BAG schränkt das Kon­zern­pri­vileg im AÜG erheb­lich ein

19.11.2024
Smart watch against display with pulse
News

Cyber Resilience Act setzt Industrie und Behörden unter Druck

20.11.2024
Sunrise over mountains with pulse left
News

Neue Produkt­haftungs­richtlinie – massive Pflichten für Industrie

19.11.2024
Green botanical leaf with pulse
News

BGH-Urteil zum im­materiell­en Schadens­ersatz der DSGVO wegen „Scraping“

18.11.2024
closeup semiconductor with pulse
News

Outbound Investment Security Program: USA beschränken Investitionen in Zukunfts­technologien

18.11.2024
business people with pulse
News

BGH bejaht Abtret­bar­keit von Aus­kunfts­an­sprüchen zu Bank­entgelten an In­kasso­unter­nehmen

19.11.2024
co working women with pulse
News

EU-Richtlinie zur Verbesserung der Arbeits­bedingungen in der Plattform­arbeit: Umsetzungs­frist beginnt

15.11.2024
zwei Geschäftsleute spazieren
News

Regierungs­entwurf für Reallabore-Gesetz veröffentlicht

14.11.2024
View of New York with pulse
News

Internationaler Handel unter Trump 2.0

12.11.2024