1. Einleitung
Am 16.12.2020 stellte die EU ihre neue Cybersicherheitsstrategie für das digitale Jahrzehnt vor.
Denn Hardware- und Softwareprodukte sind zunehmend Ziele von Cyberangriffen, was laut EU-Kommission zu geschätzten globalen jährlichen Kosten der Cyberkriminalität i.H.v. 5,5 Billionen Euro bis 2021 führte. Hintergrund der Cyberangriffe sind unter anderem Schwachstellen, inkonsistente oder unzureichende Bereitstellung von Sicherheitsupdates sowie unzureichende Informationen für Benutzer.
Produkte mit digitalen Elementen sollen nach dem Cyber Resilience Act (CRA) einer besonderen Regulierung unterliegen.
Am 15.09.2022 hat die EU-Kommission den CRA veröffentlicht, um die vorgenannten Risiken einzudämmen und die Cybersicherheit von Produkten (sowohl Hard- als auch Software) mit digitalen Elementen zu stärken. 24 Monate nach Verabschiedung, die noch für dieses Jahr 2023 geplant ist, sollen die Vorschriften anwendbar sein, bereits nach 12 Monaten sollen die Vorschriften über die Meldepflichten verbindlich werden.
2. Der EU-Flickenteppich
Die EU hat in den letzten Jahren eine Vielzahl von Sicherheitsregelungen erlassen oder vorgeschlagen, unter anderem den Digital Services Act, den Digital Markets Act, den Data Act, den AI Act, den Data Governance Act, die ePrivacy-Verordnung und vieles mehr. Im Bereich der Cybersicherheit ist insbesondere die NIS-2-Richtlinie, die Resilienz-Richtlinie und der geplante Digital Operational Resilience Act (DORA) hervorzuheben.
Diese vorgenannten Regelungen sind häufig sektorspezifisch und führen zu einer komplexen rechtlichen Landschaft.
3. Cyber Resilience Act
Der CRA verfolgt einen horizontalen Ansatz, um eine einheitliche Cybersicherheitsregelung zu schaffen. Er richtet sich an Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Ein „Produkt mit digitalen Elementen“ ist jedes Software- oder Hardwareprodukt, das Datenfernverarbeitungslösungen enthält und eine Verbindung zu Geräten oder Netzwerken herstellt und separat auf den Markt gebracht wird. Der CRA hat das Ziel, die Sicherheit dieser Produkte zu gewährleisten und die Transparenz ihrer Sicherheitseigenschaften zu verbessern.
4. Anwendungsbereich
Der CRA gilt für eine breite Palette von Produkten mit digitalen Elementen, die auf dem europäischen Markt eingeführt und vertrieben werden, unabhängig davon, ob dies gegen Entgelt oder kostenlos erfolgt (z.B: Iot, ICS und OT-Geräte). Es gibt jedoch auch ausdrücklich vom Entwurf genannte Ausnahmen, zum Beispiel für Produkte, die bereits durch andere Regelungen geschützt sind, wie zum Beispiel die Medizinprodukte. Darüber hinaus sind Produkte für die nationale Sicherheit, militärische Zwecke oder zu Testzwecken vom CRA ausdrücklich ausgenommen.
5. Pflichten der „Economic-Operators“
Der CRA legt umfangreiche Pflichten für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen fest. Diese Pflichten umfassen insbesondere:
- Durchführung von risikobasierten Konformitätsbewertungsverfahren (Anhang IV), inkl. Anbringung der CE-Kennzeichnung
- Sicheres Lieferkettenmanagement
- Erstellung und Beifügen von Gebrauchsanweisungen für sichere Installation, Bedienung und Nutzung
- Erteilung einer technischen Dokumentation
- Maßnahmen zum Umgang mit Sicherheitslücken, wie z.B. Meldemöglichkeiten von Schwachstellen durch Nutzer
- Sicherheit der Produkte bei Auslieferung sowie Bereitstellung von regelmäßigen Updates (Zeitraum: Lebenszyklus bzw. 5 Jahre)
- Meldepflichten bei Sicherheitslücken (innerhalb von 24 Stunden an ENISA, unverzüglich an Nutzer für Korrekturmaßnahmen)
- Importeure müssen ihre Kontaktdaten auf dem Produkt oder der Verpackung angeben
- Importeure und Händler müssen die Umsetzung der Anforderungen des CRA vor Inverkehrbringen prüfen
- Auskunftspflichten gegenüber Marktaufsichtsbehörde
6. Sanktionen
Der CRA sieht Bußgelder und Strafen für Verstöße gegen seine Bestimmungen vor. Die Höhe der Bußgelder kann erheblich sein und hängt von der Art des Verstoßes ab, mithin bis zu maximal 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes. Verstöße können auch zu weiteren drastischen Sanktionen führen, einschließlich des Verkaufsverbotes von Produkten auf dem EU-Markt.
7. tl;dr
Der CRA zielt darauf ab, die Cybersicherheit von Produkten mit digitalen Elementen in der EU zu stärken. Das Gesetz ist bislang noch in der Entwurfsphase. Der CRA soll für eine breite Palette von Produkten mit einzelnen Ausnahmen für bestimmte Kategorien gelten. Hersteller, Importeure und Händler haben umfangreiche Pflichten zur Einhaltung und zum Nachweis der Sicherheitsanforderungen, Kontroll-, Melde- und Informationspflichten. Verstöße sollen mit hohen Bußgeldern und Sanktionen geahndet werden.
