Mit dem neuen Entwurf des Cyber Resilience Acts (CRA) der Europäischen Kommission vom 15. September 2022 steht Unternehmen ein weiteres Digitalgesetz bevor. Mit der Verordnung will die EU die Cybersicherheit stärken. Derzeitige Gefahren der IT-Sicherheit würden vor allem von zu geringen Anforderungen an digitale Produkte und Services verursacht bzw. zumindest toleriert. Wie das CRA dies ändern soll und was auf Unternehmen zukommt, erfahren Sie in diesem Beitrag.
Update, Dezember 2023
Ein weiterer Schritt in Richtung der Einführung des CRA erfolgte mit der Einigung der Trilog-Verhandlungen in der Nacht auf den 1. Dezember 2023. Dabei trafen sich die EU-Kommission, das Europaparlament und der Rat der Europäischen Union hinter verschlossenen Türen, um einige offene Punkte zu besprechen.
Inhalt der Verhandlung war unter anderem, dass für vernetzbare Produkte Mindestkriterien eingeführt werden sollen, die wiederum rechtfertigen, das CE-Zeichen tragen zu dürfen. Einige dieser Kriterien beinhalten, dass diese Produkte beim Verkauf grundsätzlich sicher sein müssen und mindestens fünf Jahre Sicherheitsupdates zur Verfügung stellen müssen. Lediglich bei einer geringeren Nutzungsdauer, darf die Versorgung mit Updates kürzer ausfallen.
Ebenso geht aus dem Trilog hervor, dass die EU-Kommission die Unternehmen bei der Umsetzung durch Bereitstellung von Leitfäden unterstützen soll. Doch auch nach den Trilog-Verhandlungen bleibt weiterhin offen, inwieweit Open Source Software in den Anwendungsbereich der Verordnung fällt.
Nun muss der Cyber Resilience Act nur noch formell verabschiedet werden, um dann in naher Zukunft in Kraft treten zu können.
Anwendungsbereich des Cyber Resilience Acts
Das CRA richtet sich an Wirtschaftsakteure (economic operators), also an Hersteller, Importeure und Händler, die Produkte mit digitalen Elementen auf den Markt bringen. In dem Verordnungsentwurf werden diese Begriffe genauer definiert:
- Ein Hersteller ist eine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder sie entwickeln und herstellen lässt und sie unter eigenen Namen bzw. eigener Marke vermarktet.
- Ein Importeur (Einführer) ist eine natürliche oder juristische Person mit Sitz in der EU, die ein Produkt mit digitalen Elementen unter dem Namen oder der Marke eines außerhalb der EU ansässigen Subjekts auf den EU-Markt bringt.
- Ein Händler ist eine natürliche oder juristische Person innerhalb der Lieferkette, die weder Importeur noch Hersteller ist, aber solche Produkte auf dem Unionsmarkt bereitstellt, ohne deren Eigenschaften zu beeinträchtigen.
Der Begriff „Produkt mit digitalen Elementen“ wird ebenfalls in der Verordnung definiert. Darunter fallen alle Produkte wie Software oder Hardware mit Datenfernverarbeitungslösungen, einschließlich Software- oder Hardware-Komponenten, die getrennt in Verkehr gebracht werden sollen. Beispiele hierfür sind Router, Firewalls, Chipkarten, Festplatten und PC-Spiele.
Das Cyber Resilience Act findet keine Anwendung auf Produkte mit digitalen Elementen, die unter die Verordnungen für Medizinprodukte, Typgenehmigungen von Kraftfahrzeugen, Produkte aus der Zivilluftfahrt und Flugsicherheit fallen. Unfertige Software, die nur zu Testzwecken bereitgestellt wird, fällt ebenso nicht in den Anwendungsbereich des CRA.
Verpflichtungen der einzelnen Akteure unter dem CRA
Je nachdem, welche Wirtschaftsakteur der Marktteilnehmer ist, hat er verschiedene Verpflichtungen gemäß des Cyber Resilience Acts zu erfüllen, wenn er Produkte mit digitalen Elementen in Verkehr bringt.
Verpflichtungen des Herstellers
Hersteller sind verpflichtet, für jedes Produkt mit digitalen Elementen eine Konformitätsbewertung durchzuführen. Ziel dieser Bewertung ist die Sicherstellung der Erfüllung der Cybersicherheitsanforderungen gemäß des Cyber Resilience Acts. Die Produkte werden je nach Kritikalität klassifiziert. Für kritische und hochkritische Produkte gelten strengere Anforderungen zur Gewährleistung der Cybersicherheit. Unkritische Produkte wie Festplatten und PC-Spiele unterliegen nach dem Entwurf keinen weiteren Maßnahmen.
Kritische Produkte werden nach dem CRA in zwei Klassen unterteilt. Die Einstufung erfolgt anhand der Funktionalität und der Verwendungsabsicht des Produktes.
- Bei Klasse-1-Produkten kann der Hersteller die Konformitätsbewertung selbst durchführen. Dabei kann er harmonisierte Normen, gemeinsame Spezifikationen oder europäische Systeme für die Cybersicherheitszertifizierung gem. der Verordnung (EU) 2019/881 anwenden, sofern diese vorhanden sind. Produkte die unter die Klasse 1 fallen, sind bspw. Browser und Passwortmanager.
- Für Klasse-2-Produkte ist eine Bewertung durch eine unabhängige dritte Partei erforderlich. Solche Produkte umfassen beispielsweise Firewalls für den industriellen Einsatz, Router, Betriebssysteme, Chipkarten und Chipkartenleser.
Nach Abschluss der Konformitätsbewertung des Produkts muss der Hersteller eine EU-Konformitätserklärung ausstellen, aus welcher hervorgeht, welche Anforderungen erfüllt wurden. Zudem benötigt das Produkt eine CE-Kennzeichnung, die lesbar und unauslöschlich am Produkt oder auf der Verpackung sowie in der EU-Konformitätserklärung angebracht sein muss.
Eine weitere Verpflichtung des Herstellers besteht darin, dem Produkt eine klare, verständliche, nachvollziehbare und lesbare Gebrauchsanweisung beizufügen, die eine sichere Installation und Bedienung gewährleistet. Außerdem muss eine regelmäßig zu aktualisierende technische Dokumentation erstellt werden, die Informationen darüber enthält, wie der Hersteller sicherstellt, dass das Produkt mit digitalen Elementen den grundlegenden Anforderungen des Cyber Resilience Acts genügt.
Die Durchführung einer Risikobewertung in Bezug auf die Cybersicherheit gehört ebenfalls zu den Hauptpflichten des Herstellers. Diese Bewertung soll insbesondere bei der Planung, dem Entwurf, der Entwicklung, der Herstellung und der Lieferung des Produkts berücksichtigt werden, um so die Cybersicherheitsrisiken zu minimieren und etwaige Sicherheitsvorfälle zu verhindern. Das CRA schreibt zudem vor, dass Komponenten, die in die Produkte integriert werden können, einer solchen Risikobewertung unterzogen werden müssen, um sicherzustellen, dass ihr Einsatz die Cybersicherheit des Produkts nicht gefährdet.
Darüber hinaus ist der Hersteller verpflichtet, regelmäßig Updates für das digitale Produkt bereitzustellen, um während des gesamten Lebenszyklus, maximal jedoch während eines Zeitraums von fünf Jahren nach dem Inverkehrbringen, den Cybersicherheitsanforderungen der Verordnung (EU) 2019/881 zu entsprechen. Sollten die Cybersicherheitsanforderungen trotz der Updates nicht gewährleistet werden, ist der Hersteller verpflichtet, das Produkt vom Markt zu nehmen oder zurückzurufen.
Verpflichtungen der Importeure
Bevor Importeure Produkte mit digitalen Elementen auf den Markt bringen, sind sie verpflichtet sicherzustellen, dass die Hersteller ihren Verpflichtungen aus dem Cyber Resilience Act nachgekommen sind. Das bedeutet unter anderem, dass sie sicherstellen müssen, dass eine Konformitätsbewertung durchgeführt wurde, die erforderlichen technischen Unterlagen vorhanden sind, die CE-Kennzeichnung angebracht wurde und eine Bedienungsanleitung bereitgestellt wird.
Darüber hinaus müssen Importeure ihren Namen/Firmennamen sowie Kontaktmöglichkeiten auf dem Produkt oder der Verpackung angeben.
Verpflichtungen der Händler
Die Verpflichtungen der Händler ähneln weitgehend denen der Importeure. Zusätzlich dazu müssen sie sicherstellen, dass der Importeur seine Kontaktdaten angegeben hat.
Mögliche Sanktionen unter dem CRA
Gemäß dem Entwurf des Cyber Resilience Acts können bei Verstößen gegen die Vorschriften Bußgelder in Höhe von bis zu 15 Millionen Euro oder bis zu 2,5 % des weltweiten Umsatzes des vorangegangenen Geschäftsjahres gegen den Hersteller verhängt werden.
Bei der Angabe falscher oder unvollständiger Informationen gegenüber notifizierten Stellen und Marktüberwachungsbehörden durch Wirtschaftsakteure ist mit Bußgeldern in Höhe von bis zu 5 Millionen Euro oder bis zu 1 % des weltweiten Umsatzes des vorangegangenen Geschäftsjahres zu rechnen.
Jede andere Pflichtverletzung kann zu Bußgeldern von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Umsatzes des vorangegangenen Geschäftsjahres führen. Die Sanktionen können jedoch von Mitgliedstaat zu Mitgliedstaat unterschiedlich ausfallen.
Gemäß dem CRA-Entwurf kann die Marktaufsichtsbehörde bei hinreichenden Gründen zur Annahme, dass ein Produkt ein erhebliches Cybersicherheitsrisiko birgt, den betroffenen Wirtschaftsakteur auffordern, geeignete Korrekturmaßnahmen zu ergreifen, um die Einhaltung der Vorschriften zu gewährleisten. Solche Maßnahmen können beispielsweise die Durchführung von Updates oder die Aufforderung zur Marktrücknahme oder zum Rückruf des Produkts umfassen.
Ausblick
Der Entwurf des Cyber Resilience Acts befindet sich derzeit im Gesetzgebungsverfahren und liegt beim Rat der Europäischen Union und dem Europäischen Parlament. Das Cyber Resiliance Act soll 24 Monate nach Veröffentlichung im Amtsblatt der Europäischen Union anwendbar sein. Für Hersteller beträgt die Übergangsfrist 12 Monate und ist somit deutlich kürzer!
Es bleibt abzuwarten, wie sich die Kategorisierung der Produkte entwickeln wird, insbesondere ob eine Liste hochkritischer Produkte erstellt wird. Es wird auch interessant sein zu sehen, wie hoch die Bußgelder in den einzelnen Mitgliedstaaten festgesetzt werden.
Unternehmen werden sich in Zukunft nicht den auferlegten Pflichten in Bezug auf die Cybersicherheit entziehen können und sollten bereits jetzt Maßnahmen ergreifen, um den zukünftigen Anforderungen des CRA gerecht zu werden.
