EU-Digitalgesetzgebung

Der geplante Cyber Resilience Act (CRA-E) bezweckt EU-einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, um der wachsenden Bedrohung von Cyberangriffen entgegenzutreten. Zu diesem Zweck normiert die Verordnung zahlreiche Pflichten, die vor allem die Hersteller solcher Produkte treffen.

Als letzter Akteur in der Produktlieferungskette fällt der Händler ebenfalls in den Anwendungsbereich des CRA-E.

Nach der in Art. 3 Nr. 21 CRA-E genannten Definition kann eine (juristische) Person nur dann unter den Begriff des Händlers fallen, wenn sie ein Produkt mit digitalen Elementen ohne Änderung seiner Eigenschaft auf dem Unionsmarkt bereitstellt und nicht schon als Hersteller oder Einführer zu qualifizieren ist.

Die Person des Einführers wird im CRA-E dann relevant, wenn dieser ein Produkt mit digitalen Elementen aus dem EU-Ausland unter dem Namen oder der Marke einer außerhalb der Union ansässigen (juristischen) Person in den Binnenmarkt einführt und dort erstmalig in Verkehr bringt. Für die Praxis bedeutet dies, dass bei einem im Drittland ansässigen Hersteller stets ein im Unionsmarkt niedergelassener Einführer in die Produktlieferungskette zu involvieren ist, während bei einem innerhalb der EU befindlichen Hersteller die Rechtsfigur des Einführers rechtlich keine aktive Rolle spielt. Der Einführer ist also im Sinne eines Importeurs zu verstehen.

Im Vergleich zu den übrigen Adressaten des CRA-E unterliegt der Hersteller den umfassendsten Pflichten, was daran liegen dürfte, dass dieser die Entwicklung des Produkts mit digitalen Elementen maßgeblich steuert, dessen Eigenschaften festlegt und somit die immanenten Cybersicherheitsrisiken beeinflussen kann. Die konkreten Pflichten für Hersteller legt die Verordnung in Art. 10 und 11 CRA-E fest.

In Kapitel II legt der CRA-E eine Vielzahl an Pflichten für „Wirtschaftsakteure“ fest. Hierzu zählen gemäß Art. 3 Nr. 17 CRA-E Hersteller, Bevollmächtigte, Einführer und Händler von Produkten mit digitalen Elementen. Das erklärte Ziel der EU-Kommission lautet, sämtliche Akteure der Lieferkette von Produkten mit digitalen Elementen in die Verantwortung zu nehmen und dadurch ein erhöhtes Maß an Cybersicherheit über die gesamte Produktlebensdauer zu gewährleisten. Das Gros der Pflichten wird dabei dem Hersteller auferlegt, was insbesondere dem Umstand Rechnung trägt, dass dieser die Entwicklung des Produkts mit digitalen Elementen maßgeblich steuert, dessen Eigenschaften festlegt und somit die immanenten Cybersicherheitsrisiken beeinflussen kann.

Der derzeitige Entwurf sieht gemäß ErwG 7 und Art. 2 Abs. 1 CRA-E vor, dass die Verordnung für Produkte mit digitalen Elementen gilt, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.