Alle News & Events anzeigen
06.10.2022

Vorschlag der EU-Kommission für einen „Cyber Resilience Act“

Am 15.9.2022 hat die EU-Kommission ihren Verordnungsvorschlag für einen Cyber Resilience Act („CRA“) veröffentlicht (2022/0272 (COD)). Der CRA enthält Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen. Die Umsetzung dieser Anforderungen soll durch Marktüberwachung und erhebliche Sanktionsdrohungen gewährleistet werden.

Der CRA ist Bestandteil der Cybersecurity Strategie der EU-Kommission. Ein weiterer Baustein der Cybersecurity Strategie ist etwa die als NIS2-Richtlinie bezeichnete Überarbeitung der bestehenden Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie). Weitere Informationen zur NIS2-Richtlinie finden Sie in Kürze auf unserer Webseite.

Die Vorgaben des CRA gelten für „Produkte mit digitalen Elementen“. Der Begriff umfasst dabei alle Software- und Hardware-Produkte sowie „remote“ Datenverarbeitungslösungen, ohne die eine vorgesehene Funktion des jeweiligen Produkts mit digitalen Elementen nicht ausgeführt werden könnte. Lediglich manche spezifisch regulierte Produkte sind vom Anwendungsbereich des CRA ausgenommen. Dieser Anwendungsbereich ist also denkbar breit angelegt. Einige wesentliche Vorgaben des CRA sind im Folgenden zusammengefasst.

1. Anforderungen an Produkte mit digitalen Elementen

Der CRA enthält allgemeine Marktzugangsregelungen für Produkte mit digitalen Elementen. Diese dürfen nur in Verkehr gebracht werden, wenn (1) das Produkt selbst grundlegende Anforderungen an die Cybersecurity erfüllt und (2) Anforderungen an Prozesse für den Umgang mit Schwachstellen der Cybersecurity erfüllt werden.

Für die Anforderungen an das Produkt und an die Prozesse für den Umgang mit Schwachstellen unterscheidet der CRA in drei Risikoklassen zwischen (1) „normalen“, (2) „kritischen“ und (3) „hochkritischen Produkten“ mit digitalen Elementen. Je nach Klassifizierung eines Produkts gelten unterschiedlich Anforderungen. Hersteller müssen allerdings stets eine Konformitätsbewertung für das jeweilige Produkt und die Prozesse durchführen. Konforme Produkte müssen eine ordnungsgemäße CE-Kennzeichnung führen und dürfen nur mit einer solchen Kennzeichnung auf den Markt gebracht werden.

2. Anforderungen an Marktteilnehmer

Neben Konformitätsbewertung und CE-Kennzeichnung treffen Produkthersteller weitere Pflichten. Dazu gehört etwa der Umgang mit Schwachstellen, einschließlich der kostenlosen Bereitstellung von Security Updates. Diese Pflicht gilt für die gesamte Lebensdauer des Produkts, längstens jedoch für 5 Jahre ab erstem Inverkehrbringen in der EU. Zudem sind Hersteller verpflichtet, bestimmte Schwachstellen und Vorfälle mit Auswirkungen auf die Produktsicherheit an die ENISA zu melden und Nutzer über Sicherheitsvorfälle zu informieren.

Importeure müssen vor Inverkehrbringen von Produkten mit digitalen Elementen sicherstellen, dass der Hersteller eine ordnungsgemäße Konformitätsbewertung durchgeführt und die erforderliche technische Dokumentation erstellt hat sowie dass das Produkt über die CE-Kennzeichnung und die erforderlichen Informationen und Nutzungshinweise verfügt. Bei Kenntnis von oder Verdacht auf nicht vorhandene Konformität ist der Importeur zur Veranlassung von Abhilfemaßnahmen oder – wenn angemessen – zur Einstellung des Vertriebs oder zum Rückruf des Produkts verpflichtet. Erhebliche Cybersicherheitsrisiken muss der Importeur zudem an die Marktaufsicht melden.

Distributoren sind vor Vertrieb eines Produkts mit digitalen Elementen verpflichtet, sich von der ordnungsgemäßen CE-Kennzeichnung und der Erfüllung der Pflichten von Herstellern und Importeuren zu überzeugen. Bei Kenntnis von oder Verdacht auf nicht vorhandene Konformität treffen einen Distributor dieselben Pflichten wie einen Importeur.

3. Sanktionierung

Der CRA sieht für Verstöße erhebliche Ordnungsgelder vor. Diese betragen nach dem Verordnungsvorschlag für Hersteller bis zu 15 Mio. EUR oder 2,5 % des weltweiten Umsatzes im vorherigen Wirtschaftsjahr, für andere Verstöße bis zu 10 Mio. EUR oder 2 % dieses Jahresumsatzes. Machen Hersteller, Importeur oder Distributor gegenüber einer Konformitätsbewertungsstelle oder der Marktaufsicht unzutreffende, unvollständige oder irreführende Angaben, betragen die möglichen Bußgelder bis zu 5 Mio. EUR oder 1 % des Jahresumsatzes, wobei jeweils die höhere Zahl maßgeblich ist.

4. Einführungsfristen

Die Regelungen des CRA sollen 24 Monate nach seinem Inkrafttreten anwendbar werden, die Informationspflichten der Hersteller über ausgenutzte Schwachstellen und Sicherheitsvorfälle jedoch bereits nach 12 Monaten. Mit dem Vorschlag der EU-Kommission hat zunächst das Verfahren der EU für den Erlass des Cyber Resilience Act begonnen.

    Teilen

  • LinkedIn
  • XING