Sicherheit für Produkte: Cyber Resilience Act der EU
Am 15. September 2022 hat die EU-Kommission ihren Entwurf für die Verordnung über Cybersicherheitsanforderungen für Produkte mit digitalen Elementen vorgelegt, den sogenannten Cyber Resilience Act (CRA). Das Gesetz soll Verbraucher und Unternehmen schützen, die Produkte oder Software mit einer digitalen Komponente kaufen oder verwenden.
Der Entwurf enthält Vorgaben für eine breite Palette an Geräten und adressiert eine Vielzahl von Akteuren. Er reiht sich damit in eine Reihe von Gesetzen zur Stärkung der Cybersicherheit ein, ist jedoch klar von diesen abzugrenzen.
Das Gesetzgebungsverfahren zum CRA befindet sich derzeit in den finalen Zügen, zuletzt fand am 8. November 2023 eine wichtige Trilogverhandlung zwischen EU-Kommission, Parlament und Ministerrat statt. Obwohl dabei noch einige Punkte Gegenstand von Diskussionen sind (wie etwa der Umgang mit Open-Source-Software), werden die wesentlichen Regelungspunkte des Kommissionsvorschlages voraussichtlich überwiegend unverändert bleiben. Vor diesem Hintergrund soll der vorliegende Beitrag einen Überblick darüber geben, welche Regelungen der CRA voraussichtlich enthalten wird und in welchem Verhältnis er zu anderen Gesetzen mit Bezug zur Cybersicherheit stehen wird.
Anwendungsbereich des CRA
Der Anwendungsbereich des CRA wird in Artikel 2 des Verordnungsentwurfes definiert. Dort heißt es, dass die Verordnung für Produkte mit digitalen Elementen gelten soll, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Ein Produkt mit digitalen Elementen ist dabei definiert als ein Software- oder Hardwareprodukt sowie dessen zugehörige Datenverarbeitungslösung in der Cloud. Umfasst werden zudem Software- und Hardwarekomponenten, die getrennt in Verkehr gebracht werden sollen.
Mit einer logischen Verbindung ist die virtuelle Darstellung einer Datenverbindung gemeint, die über eine Softwareschnittstelle hergestellt wird. Unter einer physischen Verbindung ist jedwede Verbindung zwischen elektronischen Informationssystemen oder deren Komponenten mit physikalischen Mitteln zu verstehen, auch drahtlose. Dadurch, dass indirekte Verbindungen umfasst sind, erstreckt sich der Anwendungsbereich auch auf Geräte, die nicht direkt miteinander verbunden sind, sondern Teil eines größeren Systems sind, das seinerseits direkt mit anderen Geräten oder Netzen verbunden werden kann. Das Feld der umfassten Systeme ist damit recht weit. Insbesondere wird der CRA für Internet-of-Things-(IoT)-Geräte relevant sein. Jedoch sieht der vorgeschlagene CRA auch Ausnahmen vor.
Ausnahmen vom Anwendungsbereich
Ausgeschlossen werden vom Anwendungsbereich beispielsweise Dienstleistungen wie Software as a Service (SaaS) in Erwägungsgrund 9 zum CRA-Entwurf. Ausnahme davon sind lediglich Datenfernverarbeitungslösungen, die für ein bestimmtes digitales Produkt unerlässlich sind und vom Hersteller selbst oder unter seiner Aufsicht entwickelt wurden. Darüber hinaus werden auch bestimmte Produkte mit digitalen Elementen selbst vom Anwendungsbereich des CRA ausgenommen.
Das ist der Fall für Produkte, auf die die europäische Medizinprodukte-Verordnung, die In-vitro Diagnostika- Verordnung oder die Kfz-Typgenehmigung-Verordnung Anwendung finden. Auch auf Produkte, die ausschließlich für Zwecke der nationalen Sicherheit oder für militärische Zwecke entwickelt wurden und für Produkte, die speziell für die Verarbeitung von Verschlusssachen konzipiert sind, soll die Verordnung nicht angewendet werden. Zudem gilt der CRA nicht für Produkte, die nach der EU-Flugsicherheitsagentur-Verordnung zertifiziert worden sind. Außerdem soll die Anwendung des CRA auf gewisse Produkte mit digitalen Elementen eingeschränkt oder ausgeschlossen werden können, speziell, wenn durch sektorspezifische Vorschriften das gleiche Schutzniveau erreicht werden kann wie durch die vorgeschlagene Verordnung.
Einordnung in Risikokategorien
Die Produkte mit digitalen Elementen, die vom Anwendungsbereich des CRA umfasst sind, sollen in unterschiedliche Risikokategorien eingeteilt werden. Abhängig davon, welcher Kategorie ein Produkt zugeordnet wird, gestaltet sich die konkrete Umsetzung der in dem Verordnungsentwurf enthaltenen Pflichten. Neben der Standard-Kategorie nennt der CRA-Entwurf etwa die Kategorie der kritischen und die der hochkritischen Produkte mit digitalen Elementen.
Unter erstere fallen beispielsweise Passwortmanager, Identitäts- und Zugangsmanagementsysteme, Produkte mit digitalen Elementen, die eine VPN-Funktion haben, Browser, Antiviren-Programme sowie Security-Information-and-Event-Management-(SIEM)-Tools. Letztere umfasst etwa Betriebssysteme für Server, Desktop- sowie Mobilgeräte, Public-Key-Infrastruktur und Aussteller digitaler Zertifikate, Mikroprozessoren (CPUs), Hardware Security Module (HSMs) und Smart Meter. Die Einteilung in Risikogruppen erfolgt auf Basis von überprüfbaren Selbsterklärungen der Hersteller. Schätzungsweise werden etwa 10 Prozent der Produkte unter die Kategorien „kritisch“ und „hochkritisch“ fallen. Die anderen 90 Prozent werden der Standard-Kategorie zuzuordnen sein.
Der Anwendungsbereich des CRA wird in Artikel 2 des Verordnungsentwurfes definiert. Dort heißt es, dass die Verordnung für Produkte mit digitalen Elementen gelten soll, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.
Adressaten des CRA
Der geplante CRA richtet sich an eine Reihe von unterschiedlichen Akteuren im Zusammenhang mit Produkten mit digitalen Elementen. Im Fokus stehen besonders deren Hersteller. Beispielsweise sollen Hersteller von Hardware wie mobilen Geräten oder IoT-Geräten verpflichtet werden. Ebenso richtet sich der vorgeschlagene CRA zudem an Unternehmen, die Software entwickeln.
Darüber hinaus enthält der Entwurf (weniger umfangreiche) Verpflichtungen für Importeure und Händler. Also diejenigen, die ein Produkt mit digitalen Elementen eines anderen, auch außereuropäischen, Herstellers in der Union auf den Markt bringen. Zudem können diese beiden Akteure Adressaten der Herstellerpflichten werden.
Das ist der Fall, wenn sie ein fremdes Produkt unter eigenem Namen auf den Markt bringen oder wesentliche Änderungen daran vornehmen. Die Regelung greift also beispielsweise dann, wenn Importeure oder Händler „White-Label-Waren“ mit ihren eigenen Kennzeichen versehen und auf dem Markt vertreiben.
Verpflichtungen aus dem CRA
Für Hersteller aller Produkte mit digitalen Elementen gilt nach dem Verordnungsentwurf zum CRA die Pflicht, ein Assessment der Cybersicherheitsrisiken durchzuführen, die ein solches Produkt birgt. Das Resultat muss während der gesamten Entwicklungs- und Lebensdauer des Produktes berücksichtigt werden. Das Risiko-Assessment muss außerdem in die ebenfalls erforderliche technische Dokumentation zu dem Produkt aufgenommen werden.
Auf seiner Grundlage bestimmen sich zudem die einzelnen Anforderungen, die Hersteller bei der Entwicklung eines jeweiligen Produktes berücksichtigen müssen und die in Anhang I zum Verordnungsentwurf aufgeführt sind. Um nachzuweisen, dass diese konkreten Anforderungen eingehalten wurden, müssen Produkte mit digitalen Elementen ein Konformitätsbewertungsverfahren durchlaufen. Im Regelfall ist dieses vom Hersteller eines Produktes selbst durchzuführen. Handelt es sich jedoch um kritische oder hochkritische Produkte, ist das Verfahren durch unabhängige Dritte oder nach bestimmten Standards vorzunehmen.
Weitere Verpflichtungen, die der CRA-Entwurf für Hersteller enthält, sind eine Meldepflicht für aktiv ausgenutzte Schwachstellen der geregelten Produkte und eine Überwachungs- und Beseitigungspflicht von Schwachstellen für grundsätzlich mindestens fünf Jahre. Zudem müssen klare und verständliche Gebrauchsanleitungen mit digitalen Elementen bereitgestellt werden. Ferner besteht die Pflicht, Sicherheitsupdates zur Verfügung zu stellen.
Für Importeure besteht die Pflicht sicherzustellen, dass der Hersteller das erforderliche Konformitätsbewertungsverfahren durchgeführt und die technische Dokumentation erstellt hat. Zudem müssen sie gewährleisten, dass das Produkt vom Hersteller mit einer entsprechenden CE-Kennzeichnung versehen wurde, dasselbe gilt für Händler. Importeure dürfen ein Produkt nur dann in der Union auf den Markt bringen, wenn es bestimmten Anforderungen an die Cybersicherheit gerecht wird. Auch Händler müssen sich vor der Vermarktung vergewissern, dass dies der Fall ist.
Sanktionen bei Nichteinhaltung
Der CRA soll die Mitgliedsstaaten dazu ermächtigen, Vorschriften über Sanktionen zu erlassen, die bei Verstößen der verschiedenen Akteure gegen die Verordnung zu verhängen sind. Auch darüber hinaus sollen die Mitgliedsstaaten alle für die Durchsetzung der Sanktionen erforderlichen Maßnahmen treffen.
Dabei soll die Nichteinhaltung der Vorschriften aus der Verordnung mit Geldbußen in Höhe von bis zu 15 Millionen Euro oder von bis zu 2,5 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden können, je nachdem, welcher Betrag der höhere ist. Zudem können die zuständigen Behörden gestaffelte Maßnahmen ergreifen.
Sie können etwa eine Beseitigungsanordnung eines festgestellten Risikos, also die (Wieder-)Herstellung der Konformität des Produktes verlangen (Stufe 1), sie können die Bereitstellung eines Produkts mit digitalen Elementen auf dem Markt einschränken oder untersagen (Stufe 2) oder zum Produktrückruf verpflichten (Stufe 3). Welche Behörde für die Überwachung der Einhaltung der Vorschriften zuständig sein soll, ist noch nicht final entschieden. Aufgrund der inhaltlichen Nähe würde sich in Deutschland die Zuschreibung der entsprechenden Zuständigkeit an das Bundesamt für Sicherheit der Informationstechnik (BSI) anbieten. Diese Ansicht wurde auch bereits vom Bundesinnenministerium (BMI) geäußert.
Abgrenzung zu anderen Gesetzen
Nach seinem Inkrafttreten wird der CRA Teil einer Reihe von Gesetzen sein, die sich mit ähnlichen Regelungsgegenständen befassen, besonders mit der Cybersicherheit. Dazu zählt unter anderem die NIS-2-Richtlinie. Sie ist bereits im Januar 2023 in Kraft getreten und bezweckt ebenso wie der CRA, die Cyberresilienz von Unternehmen in der EU zu steigern. Bis Oktober 2024 haben die EU-Mitgliedsstaaten Zeit, sie in nationales Recht umzusetzen. Der deutsche Gesetzgeber hat im Sommer 2023 bereits einen Entwurf für ein Umsetzungsgesetz der NIS-2-Richtlinie vorgelegt.
Die Richtlinie aktualisiert die vorangegangene erste NIS-Richtlinie von 2016. Anders als der CRA ist sie nicht auf gewisse Produkte beschränkt, sondern soll allgemein die Cybersicherheit von Unternehmen in der EU erhöhen. Sie stellt dafür umfangreiche Anforderungen für Unternehmen aus einer Vielzahl von Branchen auf. Im Gegensatz dazu dient der CRA in erster Linie dem Schutz von Endverbrauchern und Unternehmen.
Gleichzeitig mit der NIS-2-Richtlinie wurde die Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) verabschiedet. Auch sie hat das Ziel, die Cybersicherheit in der EU zu stärken, besonders mit Blick auf die physische Widerstandsfähigkeit kritischer Einrichtungen.
Die Wirtschaftszweige, die dabei normiert werden sollen, überschneiden sich teilweise mit denen der NIS-2-Richtlinie. Vor allem soll die CER-Richtlinie das Ausfallrisiko von Prozessen mindern. Sie gibt dafür Pflichten zur Risikobewertung, Maßnahmenkataloge, Überprüfungsmaßnahmen und Meldepflichten vor. Bei Nichteinhaltung können die Aufsichtsbehörden Sanktionen verhängen.
Abzugrenzen ist der kommende CRA zudem von Rechtsakten, die ebenfalls Verbraucher schützen sollen. Zu nennen sind dahingehend etwa die Digitale-Inhalte-Richtlinie, die in Deutschland durch das „Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen“ umgesetzt ist, und die Warenkauf-Richtlinie. Anders als bei den Regelungen aus dem CRA bedarf es für die Anwendbarkeit der Vorgaben aus den beiden Richtlinien jedoch eines Verbrauchervertrages über digitale Produkte. Es muss also ein Vertrag vorliegen, der den entgeltlichen Erwerb digitaler Inhalte und Dienstleistungen durch Verbraucher:innen zum Inhalt hat. Die Verpflichtungen, die die Regelwerke enthalten, lauten jedoch teilweise gleich. Beispielsweise sehen die beiden Richtlinien wie auch der CRA eine Aktualisierungspflicht für betroffene Waren oder Produkte vor.
Fazit und Praktisches
Der CRA wird umfassende Cybersicherheitsanforderungen für Produkte mit digitalen Elementen enthalten. Die Anforderungen werden sich dabei an einen breiten Adressatenkreis richten und ihre Einhaltung kann je nach Produkt sehr anspruchsvoll sein. In vielen Fällen weisen die Vorschriften jedoch auch Parallelen oder Überschneidungen zu bereits bestehenden Vorgaben aus anderen gesetzlichen Regelungen im Bereich Cybersicherheit und Verbraucherschutz auf. Es empfiehlt sich daher eine ganzheitliche Behandlung der regulatorischen Anforderungen. Unternehmen können ihre Compliance-Prozesse erheblich vereinfachen, wenn sie Synergieeffekte identifizieren und nutzen. Das Gesetzgebungsverfahren zum CRA befindet sich aktuell auf der Zielgeraden und eine politische Einigung könnte noch in diesem Jahr erfolgen. Unternehmen sollten den CRA
daher in jedem Fall im Blick behalten.
Yakin Surjadi LL.M. (Hong Kong) ist Rechtsanwalt bei der Kanzlei Schürmann Rosenthal Dreyer und spezialisiert auf die rechtlichen Herausforderungen der Digitalisierung, insbesondere der Künstlichen Intelligenz. Er berät Unternehmen bei der Vertragsgestaltung von IT-Projekten, zu den Themen Künstliche Intelligenz, Cloud Computing, Software as a Service oder Datenhandel und Schnittstellennutzung.
Valentin Tanczik LL.M. (Groningen) verfügt über umfangreiche Erfahrungen im Bereich moderner und digitaler Technologien. Neben seiner Expertise in der Sicherheit und Regulierung von KI-Systemen sowie den rechtlichen Herausforderungen für Unternehmen im digitalen Zeitalter, liegt sein besonderer Schwerpunkt im internationalen öffentlichen Recht und im Schutz der Menschenrechte.