Mit der fortschreitenden Digitalisierung, der ubiquitären Vernetzung und der stetig zunehmenden Bedeutung des IoT steigt das Risiko von Cybersicherheitsvorfällen mit einschneidenden Auswirkungen auf die Wirtschaft und Gesellschaft. Im Zuge ihrer Sicherheitsstrategie hat die EU regulatorische Vorgaben entwickelt, welche die Cybersicherheit von Produkten mit digitalen Inhalten gewährleisten sollen. Das Regelungskonzept knüpft dabei an die produktsicherheitsrechtliche Systematik des New Legislative Frameworks an und regelt weitreichende Pflichten für Hersteller, Einführer und Händler mit Blick auf die digitale Sicherheit. Nach der Zustimmung durch das EU-Parlament hat der Rat der EU am 10. Oktober 2024 den Cyber Resilience Act („CRA“) seine Zustimmung erteilt. Damit steht fest: Der CRA tritt in wenigen Wochen in Kraft.
Hintergrund
Die EU verfolgt konsequent ihre Cybersecurity Strategie. So trat etwa 2023 die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS2-Richtlinie) in Kraft. Sie enthält umfangreiche Cybersicherheitsanforderungen für Unternehmen in bestimmten Sektoren (Beitrag vom 31. Mai 2023). Mit dem ebenfalls 2023 in Kraft getretenen Digital Operational Resilience Act (DORA-Verordnung) wurde ein einheitlicher Rahmen für ein Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten geschaffen. Nach diesen sektoralen Vorschriften erlässt die EU nun umfassende Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen mit dem Cyber Resilience Act (CRA). Die Regelungssystematik des geplanten CRA entspricht dem New Legislative Framework (NLF), das für den heutigen Charakter des Produktsicherheitsrechts prägend ist. In der Folge statuiert der geplante CRA in seinem Anwendungsbereich für das Produktsicherheitsrecht typische Pflichten und schneidet diese auf die besonderen Erfordernisse für die Sicherheit digitaler Produkte zu.
Anwendungsbereich
Der Cyber Resilience Act gilt für alle Produkte mit digitalen Elementen, die auf dem Markt der Europäischen Union bereitgestellt werden und deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte Datenverbindung mit einem Gerät oder Netz einschließt (Art. 2 Abs. 1 CRA). Die Definition ist denkbar weit: Erfasst ist damit als Produkt grundsätzlich jede Soft- und Hardware, sofern hiermit digitale Daten verarbeitet, gespeichert oder übertragen werden können. Vorausgesetzt ist lediglich, dass die Produkte auf dem europäischen Markt im Rahmen einer gewerblichen Tätigkeit zum Vertrieb oder zur Nutzung in Verkehr gebracht werden. Dazu gehören insbesondere kommerziell vermarktete IoT-Produkte.
Ausgenommen sind Dienstleistungen, die nicht mit einem spezifischen Produkt verbunden sind. Die Differenzierung wird in der Praxis schwierige Fragen aufwerfen. Beispielsweise sollen Dienste wie Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS) regelmäßig nicht dem Cyber Resilience Act unterfallen (ErwG 12) – dafür unterfällt der Anbieter aber ggfs. der NIS2 Richtlinie. Sind diese Dienste aber notwendig, damit das Produkt mit digitalen Elementen eine seiner Funktionen erfüllen kann, und werden sie vom Hersteller des Produktes selbst oder unter dessen Verantwortung konzipiert oder entwickelt, unterfallen auch diese Dienste dem Anwendungsbereich des Cyber Resilience Acts (ErwG 12, Art. 3 Ziff. 2 CRA). Als Beispiel für eine Dienstleistung im Anwendungsbereich der Verordnung verweist der Entwurf auf Cloud-Services zur Anwendung im Smart Home (ErwG 12).
Mit Blick auf die kontrovers diskutierte Thematik der freien Software und Open Source Software haben die Trilogverhandlungen einige Veränderungen gebracht: Der CRA ist auf diese nur anwendbar, soweit die Software im Zuge kommerzieller Geschäftstätigkeit in Verkehr gebracht und somit auf dem Markt bereitgestellt wird. Dabei kommt es grundsätzlich darauf an, ob ihr Hersteller sie „zu Geld“ macht, damit eine klare Trennung zwischen Entwicklungs- und Lieferphase sichergestellt ist. Um der hohen Bedeutung von freier und Open Source Software, die im Sinne des CRA veröffentlicht, aber nicht auf dem Markt bereitgestellt ist, Rechnung zu tragen, werden in diesem Fall nicht die Hersteller, sondern die sogenannten „Verwalter quelloffener Software“ verpflichtet. Für diese sieht der CRA weniger strenge, an die Besonderheit der Situation angepasste Pflichten in Art. 24 CRA vor. Unter einem Verwalter quelloffener Software versteht der CRA eine juristische Person, die nicht Hersteller ist, die aber den Zweck oder das Ziel hat, die Entwicklung spezifischer Produkte mit digitalen Elementen, die als freie und quelloffene Software gelten und für kommerzielle Tätigkeiten bestimmt sind, systematisch und nachhaltig zu unterstützen, und die die Vermarktbarkeit dieser Produkte sicherstellt.
Im Übrigen lässt der Cyber Resilience Act nur wenige Ausnahmen von seinem Anwendungsbereich zu. Für die ausgenommenen Produktkategorien gelten bereits Cybersicherheitsanforderungen aufgrund spezialgesetzlicher Bestimmungen. Ausgenommen sind daher etwa Medizinprodukte (VO (EU) 2017/745), In-Vitro-Diagnostika (VO (EU) 2017/746), die Flugsicherheit (VO (EU) 2018/1139), die Typgenehmigung für Kraftfahrzeuge und Kraftfahrzeuganhänger (VO (EU) 2019/2144) und bestimmte Ersatzteile (Art. 2 Abs. 6 CRA). Klein- und Kleinstunternehmen sollen Erleichterungen bei der Erfüllung ihrer Pflichten (z.B. durch vereinfachte Formulare) erhalten.
Grundlegende Anforderungen
Art. 6 CRA bestimmt, dass Produkte mit digitalen Elementen nur dann auf dem Markt bereitgestellt werden (dürfen), wenn sie den grundlegenden Anforderungen (Anhang I Teil I und mit Blick auf die vom Hersteller festgelegten Verfahren zur Behandlung von Schwachstellen Teil II) genügen, ordnungsgemäß installiert, gewartet, bestimmungsgemäß verwendet und gegebenenfalls die erforderlichen Sicherheitsaktualisierungen installiert werden. Um diesen grundlegen Sicherheitsanforderungen zu entsprechen, müssen Produkte mit digitalen Elementen etwa ein angemessenes Cybersicherheitsniveau gewährleisten und bei der Bereitstellung auf dem Markt keine bekannten ausnutzbaren Schwachstellen haben (Anhang I Teil I (1) und (2)). Wie für das Produktsicherheitsrecht charakteristisch werden ausgehend von diesem Grundsatz der Verpflichtung zur Konformität des Produkts detaillierte, aufeinander aufbauende Pflichten für die verschiedenen Wirtschaftsakteure entlang der Lieferkette statuiert.
Pflichten der Hersteller
Die umfangreichsten Pflichten treffen naturgemäß den Hersteller. Wie üblich gilt auch der Quasi-Hersteller als Hersteller, der die Produkte mit digitalen Elementen durch Dritte konzipieren oder entwickeln lässt und sie anschließend als Hersteller unter eigenem Namen oder eigener Marke vermarktet (Art. 3 Nr. 13 CRA). Zudem gelten die umfassenden Herstellerpflichten für jeden, der eine wesentliche, also gerade eine sicherheitsrelevante Veränderung am Produkt vorgenommen hat und das Produkt auf den Markt bringt (Art. 22 CRA). Weiter gelten Einführer und Händler als Hersteller, wenn sie das Produkt unter ihrem eigenen Namen oder ihrer Marke in Verkehr bringen oder eine wesentliche Änderung an einem bereits in Verkehr gebrachten Produkt vornehmen (Art. 21 CRA).
Hersteller haben zu gewährleisten, dass Produkte, die in Verkehr gebracht werden sollen, gemäß den „grundlegenden Anforderungen“ konzipiert, entwickelt und hergestellt worden sind (Art. 13 Abs. 1, Art. 6 Ziff. 1 CRA). Dabei muss ein Hersteller mit gebotener Sorgfalt sicherstellen, dass Komponenten, die von Dritten bezogen werden, die Sicherheit des Produkts mit digitalen Elementen nicht beeinträchtigen; auch nicht bei der Integration von freier und quelloffener Software – unabhängig davon, ob diese im Zuge kommerzieller Geschäftstätigkeit in Verkehr gebracht wurde (Art. 13 Abs. 5 CRA). Um die Konformität des Produkts mit den grundlegenden Anforderungen sicherzustellen, müssen die Hersteller eine umfangreiche Bewertung der Cybersicherheitsrisiken vornehmen und das Produkt gemäß den detaillierten Vorgaben des CRA auf diese Risiken ausrichten (Art. 13 Abs. 2, Anhang Teil I (2)). Die Risikobewertung ist in die – wie üblich zu erstellende – technische Dokumentation aufzunehmen (Art. 13 Abs. 4 und 12 CRA). Bevor das Produkt mit digitalen Elementen in den Verkehr gebracht werden darf, muss der Hersteller darüber hinaus – wie grundsätzlich in allen NLF-Rechtsakten – das Produkt einem Konformitätsbewertungsverfahren unterziehen, eine Konformitätserklärung ausstellen und die CE-Kennzeichnung, eine Kennzeichnung zur Produktidentifikation sowie seine Kontaktdaten auf dem Produkt anbringen (Art. 13 Abs. 12, 15 und 16 CRA).
Je nach Sicherheitsklassifizierung kann der Hersteller das Konformitätsbewertungsverfahren selbst durchführen oder muss es von einer notifizierten Stelle durchführen lassen (Art. 27, 32 CRA). Dabei spielt es keine Rolle, ob die Programme für den professionellen Einsatz vorgesehen sind oder ggf. sogar kostenlos privaten Anwendern zur Verfügung gestellt werden. Die betroffenen Produktkategorien können von der Kommission im Wege delegierter Rechtsakte angepasst werden. Auslegungsschwierigkeiten sind im Hinblick auf die Zuordnung von Dual-Use-Produkten zu erwarten.
Produkte mit digitalen Elementen müssen gemäß den grundlegenden Anforderungen u.a.
- mit einer sicheren Standardkonfiguration ausgeliefert werden und die Möglichkeit bieten, das Produkt in seinen ursprünglichen Zustand, allerdings unter Beibehaltung aller Sicherheitsaktualisierungen, zurückzusetzen – vorbehaltlich einer anderweitigen Absprache im B2B-Geschäftsverkehr,
- durch geeignete Kontrollmechanismen (Authentifizierungs-, Identitäts- oder Zugangsverwaltungssysteme) Schutz vor unbefugtem Zugriff bieten,
- die Vertraulichkeit und Integrität gespeicherter und verarbeiteter Daten schützen,
- nach dem Grundsatz der Datenminimierung arbeiten,
- so konzipiert, entwickelt und hergestellt werden, dass sie möglichst geringe Angriffsflächen bieten,
- automatische Sicherheitsaktualisierungen mit der Möglichkeit zum Opt-Out sicherstellen und
- funktional zwischen Sicherheitsaktualisierungen und (anderen) Funktionsaktualisierungen trennen, soweit dies technisch machbar ist,
- den Nutzern die Möglichkeit bieten, alle Daten und Einstellungen dauerhaft sicher und einfach zu löschen.
Außerdem hat der Hersteller ein Verfahren zur wirksamen Behandlung von Schwachstellen zu gewährleisten (Art. 13 Abs. 8, Art. 6 Ziff. 2 CRA). Für die Behandlung von Schwachstellen sieht der CRA weitere grundlegende Anforderungen in Anhang I Teil II vor. Hersteller müssen nach Inverkehrbringen des Produktes während eines von ihnen selbst festgelegten Unterstützungszeitraumes, der aber vorbehaltlich einer kürzeren typischen Betriebsdauer des Produkts mindestens fünf Jahre beträgt, u.a.
Schwachstellen und Komponenten der Produkte mit digitalen Elementen ermitteln und dokumentieren, u. a. durch Erstellung einer Software-Stückliste (sog. SBOM) – der Hersteller soll jedoch nicht verpflichtet sein, diese zu veröffentlichen (ErwG 78),
- die Sicherheit des Produkts regelmäßig prüfen und ggf. die Risikobewertung für das Produkt aktualisieren,
- unverzüglich Schwachstellen durch Sicherheitsaktualisierungen beheben,
- Informationen über beseitigte Schwachstellen veröffentlichen und kostenlose Sicherheits-Patches oder -Aktualisierungen bereitstellen – vorbehaltlich abweichender Vereinbarungen im B2B-Geschäftsverkehr.
Hat der Hersteller Grund zur Annahme, dass das Produkt mit digitalen Elementen den grundlegenden Anforderungen nicht entspricht, muss er Korrekturmaßnahmen ergreifen und ggf. das Produkt vom Markt nehmen oder zurückrufen (Art. 13 Abs. 21 CRA). Um eine direkte und schnelle Kommunikation mit den Nutzern zu ermöglichen, muss der Hersteller eine zentrale Anlaufstelle einrichten (Art. 13 Abs. 17 CRA).
Der CRA sieht neben den üblichen Kooperations-, Melde-, Auskunft- und Vorlagepflichten (Art. 13 Abs. 22 und 23 CRA) eine besondere Meldepflicht des Herstellers vor. Wenn der Hersteller Kenntnis von einer aktiv ausgenutzten Schwachstelle erlangt, muss er diese dem als Koordinator nach der NIS2-Richtlinie benannten Computer Security Incident Response Team (CSIRT) und der Agentur der Europäischen Union für Cybersicherheit (ENISA) über eine eigens eingerichtete einheitliche Meldeplattform fristgerecht und unter Angabe der vom CRA verlangten Angaben melden (Art. 14 Abs. 1 CRA). Auch die Erstellung eines detaillierten Berichtes zur Schwachstelle ist vorgesehen. Zwecks koordinierter Bewältigung massiver Cybersicherheitsvorfälle und -krisen kann die ENISA die gemeldeten Informationen dem Europäischen Netzwerk der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe) weiterleiten. Die vorgesehenen Regelungen sind mit Blick auf den in der IT-Branche geltenden Grundsatz, dass Schwachstellen möglichst nicht offengelegt werden und mit Blick auf die Konzentration von Informationen über Sicherheitslücken in Produkten nicht ganz unbedenklich.
Einführer
Einführer bringen Produkte mit digitalen Elementen eines Herstellers mit Sitz außerhalb der EU in der Union in den Verkehr (Art. 3 Nr. 16 CRA). Bevor sie ein Produkt mit digitalen Elementen in den Verkehr bringen dürfen, müssen sie grundsätzlich sicherstellen, dass der Hersteller die beschriebenen Herstellerpflichten erfüllt hat (Art. 19 CRA). Die Einführerpflichten des CRA gehen insofern nicht über die NLF-üblichen Pflichten hinaus, weshalb an dieser Stelle auf eine detaillierte Wiedergabe verzichtet werden kann. NLF-typisch muss auch der Entführer u.a. seine Kontaktdaten auf dem Produkt angeben. Birgt das Produkt ein erhebliches Cybersicherheitsrisiko, hat der Einführer zudem den Hersteller und die Marktüberwachungsbehörden der Mitgliedstaaten darüber zu informieren. Daneben müssen Einführer die Feststellung von Schwachstellen den Herstellern und bei einem hohen Risiko auch den zuständigen Behörden melden sowie selbst Abhilfemaßnahmen – bis hin zum Rückruf – ergreifen, wenn ein von ihnen in Verkehr gebrachtes Produkt nicht den Konformitätsanforderungen entspricht.
Händler
Schließlich nimmt die Verordnung auch Händler in die Pflicht, die Cybersicherheit von Produkten mit digitalen Elementen zu überprüfen. Auch in dieser Hinsicht bewegt sich der CRA im für New Legislative Framework Rechtsakte üblichen Rahmen. Händler müssen vor der Vermarktung u.a. prüfen, ob Hersteller und Einführer den jeweiligen Pflichten zur Beifügung der technischen Informationen und Anweisungen sowie der Konformitätserklärung nachgekommen sind (Art. 20 CRA). Hat ein Händler Kenntnis von einem Verstoß gegen die grundlegenden Anforderungen an ein Produkt (oder Grund zu dessen Annahme), steht er selbst in der Pflicht sicherzustellen, dass unverzüglich die erforderlichen Maßnahmen ergriffen werden, um die Konformität wiederherzustellen oder das Produkt vom Markt zu nehmen oder zurückzurufen.
Sanktionen bei Verstößen
Der Verordnungsentwurf sieht ein abgestuftes System mit hohen Bußgeldern bei Pflichtverletzungen vor:
- Bei Nichteinhaltung der grundlegenden Anforderungen an Produkte mit digitalen Elementen (nach Anhang der CRA) sieht der Verordnungsentwurf Geldbußen von bis zu EUR 15 Mio. oder von bis zu 2,5% des gesamten weltweiten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr vor – maßgeblich soll der höhere Betrag sein.
- Die gleichen Sanktionen sollen Hersteller bei Verstoß gegen ihre Pflichten u.a. zur Risikobewertung, technischen Dokumentation oder Meldung von Schwachstellen (Art. 13 und Art. 14 CRA) treffen.
- Bei Verstößen gegen andere Pflichten der Verordnung sieht der Entwurf Geldbußen von bis zu EUR 10 Mio. oder bis zu 2% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vor.
- Geldbußen von bis zu EUR 5 Mio. oder bis zu 1% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres drohen bei falschen, unvollständigen oder irreführenden Angaben gegenüber notifizierten Stellen und Marktüberwachungsbehörden.
Für als Klein- oder Kleinstunternehmen zu qualifizierende Hersteller und für Verwalter quelloffener Software sollen Verstöße gegen die innerhalb 24 Stunden zu erfüllenden Meldepflichten über aktiv ausgenutzte Schwachstellen (Art. 14 Abs. 2a CRA) und über schwerwiegende Vorfälle (Art. 14 Abs. 4a CRA) allerdings ohne Sanktion bleiben.
Zur Prüfung der Einhaltung der Anforderungen der Verordnung sollen die Marktüberwachungsbehörden Informationsansprüche gegen die Wirtschaftsakteure erhalten. Der Austausch soll regelmäßig offen erfolgen. Falls erforderlich, können die Behörden aber auch verdeckte Maßnahmen (z.B. Testkäufe unter falscher Identität) ergreifen (Art. 60 CRA).
Diese Sanktionen treten neben die in der Verordnung vorgesehenen Maßnahmen der Marktüberwachungsbehörden (z.B. Anordnungen zur Beseitigung eines festgestellten Risikos, zur Einschränkung, zum Verbot oder Rückruf eines betroffenen Produkts, Art. 54 CRA). Daneben ist bei Verstößen auch gegebenenfalls mit einer zivilrechtlichen Haftung (Mängelgewährleistung und Produkthaftungsrecht) und mit Unterlassungs- und Schadensersatzansprüche aus dem Lauterkeitsrecht (UWG) zu rechnen.
Ausblick
Nachdem der Rat der EU dem Entwurf des CRA am 10. Oktober 2024 zugestimmt hat, steht nun nur noch die formale Unterzeichnung und Veröffentlichung des CRA aus. Der CRA wird dann in den nächsten Wochen in Kraft treten. Nach Inkrafttreten haben die betroffenen Wirtschaftsakteure drei Jahre Zeit, die Anforderungen umzusetzen. Bereits nach 18 Monaten greifen allerdings die Pflichten zur Durchführung von Konformitätsverfahren, nach 21 Monaten auch die Meldepflichten der Hersteller. Angesichts der üblichen Entwicklungsdauern für neue Produkte müssen Hersteller, Einführer und Händler bereits jetzt die sich anbahnenden Verpflichtungen in den Blick nehmen und die Umsetzung vorbereiten, um keine der drakonischen Sanktionen zu riskieren.
Weiterleiten