Neue Herstellerpflichten durch den geplanten „Cyber Resilience Act“

Artikel als PDF (Download)

 

Am 15.09.2022 hat die EU-Kommission den Entwurf für einen „Cyber Resilience Act“ (CRA) veröffentlicht. Das neue „Europäische Gesetz zur Cyberwiderstandsfähigkeit“, so die deutsche Bezeichnung der geplanten Verordnung, reiht sich in eine Vielzahl von bereits veröffentlichten bzw. geplanten europäischen Rechtsakten mit Bezug zur Cybersicherheit, wie zum Beispiel den „Cybersecurity Act“ oder die NIS-2-Richtlinie ein. Mit seiner horizontalen Geltung soll der CRA durch umfassende Cybersicherheitsanforderungen für alle digitalen Produkte auf dem Binnenmarkt die Resilienz gegen Cyberangriffe und Sicherheitsvorfälle erhöhen.

Produkte mit digitalen Elementen

Das Herzstück des CRA ist das „Produkt mit digitalen Elementen“. Darunter ist gemäß Art. 3 Abs. 1 CRA „jedes Software- oder Hardwareprodukt und seine Ferndatenverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die separat in Verkehr gebracht werden sollen“, zu verstehen. Darüber hinaus erfasst der CRA auch sogenannte „kritische Produkte mit digitalen Elementen“, welche je nach Risiko in zwei Klassen unterteilt werden. Während sich in Klasse I digitale Produkte wie Netzwerkschnittstellen, Passwortmanager oder Netzwerkmanagementsysteme wiederfinden, enthält Klasse II Produkte mit einem potentiell höheren Risiko wie Betriebssysteme für Desktop- oder Mobilgeräte oder etwa Mikroprozessoren.

Verhältnis zu anderen europäischen Rechtsakten

Eingeschränkt wird der sehr weite Anwendungsbereich des CRA durch Ausnahmen für bestimmte, zumeist sektorspezifische Produkte wie beispielsweise Medizinprodukte nach der europäischen Medizinprodukteverordnung („Medical Devices Regulation“) oder digitale Produkte, die speziell für die nationale Sicherheit oder militärische Zwecke konzipiert worden sind. Das Verhältnis zu anderen Rechtsakten wie der Produktsicherheitsverordnung oder der künftigen KI-Verordnung wird in den Art. 7 ff. CRA geregelt. Zusammengefasst sieht der Entwurf überwiegend eine ergänzende Geltung beziehungsweise wechselseitige Anerkennung der jeweiligen Bestimmungen vor.

Umfassende Vorgaben für Hersteller

Der Begriff des Herstellers nach dem CRA

Adressaten des CRA sind in erster Linie die Hersteller von digitalen Produkten. Ein Hersteller ist nach der Legaldefinition von Art. 3 Abs. 18 CRA jede natürliche oder juristische Person, die digitale Produkte entwickelt oder herstellt. Zum Kreis der Hersteller zählen darüber hinaus auch natürliche oder juristische Personen, die digitale Produkte entwerfen, entwickeln oder herstellen lassen und diese unter ihrem Namen oder ihrer Marke vertreiben.


Compliance mit den Vorgaben des CRA

Die wesentlichen Vorgaben für Hersteller sind in Art. 10 CRA zu finden. Danach hat der Hersteller sicherzustellen, dass das jeweilige Produkt in Übereinstimmung mit den grundlegenden – in Annex I des CRA aufgelisteten – Anforderungen an digitale Produkte entworfen, entwickelt und hergestellt wird. Der Hersteller hat darauf zu achten, dass die Produkte ein angemessenes Maß an Cybersicherheit gewährleisten und ohne bekannte ausnutzbare Schwachstellen ausgeliefert werden. Zudem sollen digitale Produkte unter anderem geeignete Kontrollmechanismen zum Schutz vor unbefugtem Zugriff vorsehen.


Risikobewertung und Dokumentationspflichten

Eine wichtige Rolle nimmt die Bewertung von Cybersicherheitsrisiken ein: Nach Art. 10 Abs. 2 CRA soll der Hersteller nicht nur zur Durchführung einer entsprechenden Bewertung verpflichtet sein, sondern das jeweilige Ergebnis bei der Planungs-, Entwurfs-, Entwicklungs-, Produktions-, Liefer- und Wartungsphase berücksichtigen. Hervorzuheben sind auch die Pflicht des Herstellers zur kontinuierlichen und systematischen Dokumentation von Cybersicherheitsrisiken nach Art. 10 Abs. 5 CRA sowie die in Art. 10 Abs. 6 CRA vorgesehene Pflicht, erkannte Schwachstellen für die erwartete Lebensdauer des jeweiligen Produkts, maximal aber für fünf Jahre, „auch durch die Bereitstellung von Sicherheitsupdates“ zu beheben. Der „Updatability“ von Produkten kommt somit eine entscheidende Bedeutung zu.


Responsible Disclosure und Meldepflichten

Mit Blick auf die teilweise in zahlreichen digitalen Produkten eingesetzten standardisierten Softwarekomponenten verpflichtet der CRA die Hersteller außer zur Bereitstellung einer Übersicht zu den im Produkt verwendeten Softwarekomponenten auch zur Einführung einer Richtlinie zur Offenlegung von Sicherheitslücken. Diese soll insbesondere über finanzielle Entschädigungen („Bug-Bounty-Programme“) Anreize für die Meldung von Sicherheitslücken schaffen. Werden dem Hersteller aktiv ausgenutzte Schwachstellen oder sonstige Sicherheitsvorfälle bekannt, ist er nach Art. 11 CRA unter anderem dazu verpflichtet, unverzüglich, jedenfalls aber innerhalb von 24 Stunden nach Kenntniserlangung, Meldung an die europäische Cybersicherheitsagentur ENISA zu erstatten.

Vorgaben für Importeure und Händler

Der CRA hat jedoch nicht ausschließlich Hersteller im Blick: Auch Importeure und Händler von digitalen Produkten werden von den Vorgaben erfasst und mit Pflichten belegt. Unter „Importeur“ ist nach Art. 3 Abs. 20 CRA jede in der EU ansässige natürliche oder juristische Person zu verstehen, die ein digitales Produkt in Verkehr bringt, welches den Namen oder die Marke einer außerhalb der EU ansässigen natürlichen oder juristischen Person trägt. „Händler“ ist gemäß Art. 3 Abs. 21 CRA jede natürliche oder juristische Person in der Lieferkette, die nicht der Hersteller oder der Importeur ist und die ein digitales Produkt auf dem Binnenmarkt bereitstellt, ohne dessen Eigenschaften zu verändern.

Bei den Pflichten für Importeure und Händler handelt es sich im Wesentlichen um Kontrollpflichten in Bezug auf die Einhaltung der Vorgaben durch den Hersteller: So ist der Importeur beispielsweise nach Art. 13 Abs. 1 CRA dazu verpflichtet, grundsätzlich nur digitale Produkte in Verkehr zu bringen, die den vom CRA definierten Anforderungen an Cybersicherheit entsprechen, und hat zu überprüfen, dass der Hersteller die einschlägigen Vorgaben eingehalten hat.

Marktüberwachung und Durchsetzung

Durchgesetzt werden sollen die umfassenden Pflichten durch eine eigene, von jedem Mitgliedsstaat einzurichtende Marktaufsichtsbehörde. In Deutschland werden die entsprechenden Aufgaben wohl von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der Bundesnetzagentur (BNetzA) übernommen. Zur Durchsetzung stehen den Marktaufsichtsbehörden unter anderem Untersuchungsbefugnisse und Marktmaßnahmen bis hin zum Rückruf des Produkts oder der gänzlichen Entfernung vom Markt zur Verfügung. Nach Art. 53 CRA können darüber hinaus Bußgelder in Höhe von bis zu 15 Millionen Euro oder 2,5% des weltweiten Jahresumsatzes des vergangenen Jahres verhängt werden, je nachdem, welcher Betrag höher ist.

Fazit

Mit den geplanten Vorgaben des CRA werden die Anforderungen an die Cybersicherheit von digitalen Produkten insbesondere für Hersteller, aber auch für Importeure und Händler digitaler Produkte erneut verschärft. Unternehmen sollten sich daher trotz der im CRA vorgesehenen Übergangsfristen von zwölf beziehungsweise 24 Monaten frühzeitig mit den sie treffenden Pflichten befassen und zur Einbindung in ihre Prozesse ein produktbezogenes Cybersecuritycompliancemanagement aufbauen. Letzteres ist Herstellern auch vor dem Hintergrund von möglichen Produktwarnungen wegen Sicherheitslücken durch das BSI und damit einhergehender negativer Publicity zu raten.

 

stefan.hessel@reuschlaw.de

christoph.callewaert@reuschlaw.de

Aktuelle Beiträge