EU-Digitalgesetzgebung

CRA-Update – Episode 3: Welche Pflichten gelten für den Hersteller nach dem CRA-E?

Im Vergleich zu den übrigen Adressaten des CRA-E unterliegt der Hersteller den umfassendsten Pflichten, was daran liegen dürfte, dass dieser die Entwicklung des Produkts mit digitalen Elementen maßgeblich steuert, dessen Eigenschaften festlegt und somit die immanenten Cybersicherheitsrisiken beeinflussen kann. Die konkreten Pflichten für Hersteller legt die Verordnung in Art. 10 und 11 CRA-E fest.

Als Kernpflicht regelt Art. 10 Abs. 1 CRA-E, dass Produkte mit digitalen Elementen gemäß den Vorgaben des CRA-E konzipiert, entwickelt und hergestellt worden sein müssen, damit sie in Verkehr gebracht werden dürfen. Die genauen Anforderungen gibt Anhang I Abschnitt 1 CRA-E vor. Demnach sind Produkte mit digitalen Elementen unter anderem mit einer sicheren Standardkonfiguration auszuliefern, müssen einen jederzeitigen Reset in den Ursprungszustand ermöglichen sowie Auswirkungen eines Sicherheitsvorfalls durch geeignete Mechanismen und Techniken möglichst verringern und Schwachstellen durch Sicherheitsaktualisierungen beheben können.

Welche der in Anhang I Abschnitt 1 Abs. 3 CRA-E beschriebenen Sicherheitsanforderungen ein Produkt letztlich aufweisen muss, richtet sich nach dem Ergebnis der gemäß Art. 10 Abs. 2 CRA-E vorzunehmenden Bewertung der Cybersicherheitsrisiken. Diese Prüfung ist somit der Ausgangspunkt für die zu erfüllenden Sicherheitsstandards und das Ergebnis ist über den gesamten Lebenszyklus eines Produkts mit digitalen Elementen zu berücksichtigen.

Allerdings hat der Hersteller nicht nur eine bestimmte Beschaffenheit des Produkts mit digitalen Elementen zu gewährleisten, sondern auch festgelegte Verfahren zur Behandlung von Schwachstellen zu implementieren, die in Anhang I Abschnitt 2 CRA-E festgelegt werden. Hierzu zählt insbesondere eine regelmäßige Überprüfung der Produktsicherheit und eine unverzügliche Behebung von Schwachstellen, z.B. durch die Bereitstellung von Sicherheits-Updates.

Sämtliche Daten und Einzelheiten darüber, wie der Hersteller sicherstellt, dass die Produkte und Verfahren den Anforderungen in Anhang I genügen, hat dieser gemäß Art. 10 Abs. 7 und Art. 23 Abs. 1 CRA-E in einer technischen Dokumentation niederzulegen. Diese hat beispielsweise eine allgemeine Produktbeschreibung, die Bewertung der Cybersicherheitsrisiken und eine Beschreibung mit Lösungen zur Sicherstellung der Konformität zu beinhalten und ist für eine Dauer von 10 Jahren aufzubewahren.

Um Herstellern einen Nachweis zu ermöglichen, dass sowohl Produkte mit digitalen Elementen als auch Verfahren den Anforderungen des CRA-E genügen, hat dieser gemäß Art. 10 Abs. 7 und Art. 24 Abs. 1 CRA-E ein sogenanntes Konformitätsbewertungsverfahren durchzuführen. Je nach Kritikalität des Produkts ist eine bestimmte Verfahrensart zu durchlaufen. Wenn dieses abgeschlossen ist und das Produkt als CRA-E-konform gilt, hat der Hersteller eine EU-Konformitätserklärung auszustellen, für eine Dauer von 10 Jahren aufzubewahren und dem Produkt beizufügen. Mit Ausstellung dieser Erklärung übernimmt er die Verantwortung für die dauerhafte Konformität des Produkts mit digitalen Elementen und muss diese auch bei einer wesentlichen Änderung i.S.v. ErwG 23 S. 1 CRA-E an einem solchen Produkt gewährleisten.

Weiterhin ist der Hersteller gemäß Art. 10 Abs. 6 und Abs. 12 CRA-E zur Behandlung von Schwachstellen bzw. zur Erfüllung von Korrekturmaßnahmen verpflichtet, wobei hierfür nach dem derzeitigen Entwurf eine zeitliche Begrenzung von maximal fünf Jahren ab Inverkehrbringen des Produkts gilt.

Zu den Informationspflichten zählt vor allem das Beifügen von Informationen und Anleitungen bei Inverkehrbringen des Produkts nach Art. 10 Abs. 10 und Anhang II CRA-E. Insbesondere hat der Hersteller seine Kontaktdaten anzugeben und Informationen zum Funktionsumfang und den Sicherheitseigenschaften sowie ausführliche Anleitungen zur Produktverwendung beizufügen. Weiterhin muss er den Nutzern sämtliche Umstände mitteilen, die im Zusammenhang mit einer Verwendung des Produkts zu erheblichen Cybersicherheitsvorfällen führen können. Zudem ist gemäß Art. 10 Abs. 7 CRA-E eine CE-Kennzeichnung anzubringen.

Zu den Meldepflichten gehört unter anderem die Übermittlung von Nachweisen der Konformität an die Marktüberwachungsbehörde nach Aufforderung gemäß Art. 10 Abs. 13 CRA-E sowie eine Benachrichtigung über die Einstellung der Betriebstätigkeit nach Art 10 Abs. 14 CRA-E. Weiterhin sind nach Art. 11 Abs. 1 und Abs. 4 CRA-E die ENISA und die Produktnutzer über Sicherheitsvorfälle zu informieren.

Empfehlung für die Praxis:

Aufgrund der umfassenden Anforderungen, die der CRA-E festlegt, müssen Produkte künftig zahlreiche Sicherheitsfunktionen aufweisen. Insofern kommt auf Hersteller ein höherer Aufwand bei der Planung und Konzeption von Produkten zu. Gleichzeitig steigt das Haftungsrisiko, wenn die umfassenden Verpflichtungen des Herstellers nicht ordnungsgemäß umgesetzt werden. Deshalb empfehlen wir Unternehmen, die unter den Herstellerbegriff fallen, sich bereits frühzeitig mit den neuen Regelungen des CRA-E auseinanderzusetzen sowie die Anpassung und Implementierung entsprechender Prozesse in dem Produktionsbetrieb rechtzeitig vorzunehmen.

In unserer CRA-Update-Reihe präsentieren wir Ihnen regelmäßig Informationen zu dem geplanten Cyber Resilience Act der Europäischen Union und halten Sie über Änderungen im laufenden Gesetzgebungsverfahren informiert. In jedem unserer Beiträge geben wir Ihnen einen kurzen Überblick über einen konkreten Themenbereich und stellen Ihnen dabei die wichtigsten Aspekte und praktische Auswirkungen vor.

Rechtsanwalt, Associate
Alexander Weiss
Rechtsanwalt, Associate
Alexander Weiss

Zurück

CRA-Update

CRA-Update – Episode 10: Welche Sanktionen gelten nach dem CRA-E?

Mit dem Entwurf für einen Cyber Resilience Act (CRA-E) hat sich die Europäische Kommission mit horizontalen Rechtsvorgaben zum Ziel gesetzt, die Sicherheit von Produkten mit digitalen Elementen zu stärken, um den Binnenmarkt der EU besser vor den wachsenden Cyberbedrohungen zu schützen. Hierzu enthält die Verordnung eine Vielzahl an Pflichten, die sich an sämtliche Akteure einer Produktlieferkette, nämlich Hersteller, Einführer und Händler, richten.

CRA-Update – Episode 9: Die Überwachungsbehörden

Der Kommissionsentwurf für den Cyber Resilience Act  (CRA-E) erwähnt in seinem Verordnungstext an mehreren Stellen unterschiedliche Behörden mit verschiedenen Aufgaben für die Überwachung und Einhaltung der Normvorgaben.

CRA-Update – Episode 8: Das Konformitätsbewertungsverfahren

Damit eine Konformität von Produkten mit digitalen Elementen mit den Anforderungen des CRA nachgewiesen werden kann, müssen Hersteller gemäß Art. 24 Abs. 1 CRA-E ein sogenanntes Konformitätsbewertungsverfahren durchführen. Hierfür sieht der CRA-E grundsätzlich drei verschiedene Verfahrensarten vor, zu denen sich jeweils Informationen in Anhang VI finden. Die dort genannten Verfahren basieren auf dem Beschluss 768/2008/EG, der einen einheitlichen Rahmen für Rechtsvorschriften zur Harmonisierung der Bedingungen für die Vermarktung von Produkten bezweckt und hierfür Konformitätsbewertungsverfahren vorsieht.

CRA-Update – Episode 7: Was sind die von Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen und wann sind diese nach dem CRA konform?

Nach Art. 1 lit. c) CRA-E soll der geplante Cyber Resilience Act (CRA-E) auch Bestimmungen für die von Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen vorsehen.

Mit diesen Verfahren wird die Sicherstellung der Cybersicherheit von Produkten mit digitalen Elementen über ihren gesamten Lebenszyklus bezweckt.

CRA-Update – Episode 6: Wann ist eine Konformität des Produkts mit digitalen Elementen gegeben?

Der geplante Cyber Resilience Act (CRA-E) bezweckt EU-einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, um der wachsenden Bedrohung von Cyberangriffen entgegenzutreten. Zu diesem Zweck normiert die Verordnung zahlreiche Pflichten, die vor allem die Hersteller solcher Produkte treffen.

CRA-Update – Episode 5: Welche Pflichten gelten für den Händler nach dem CRA-E?

Als letzter Akteur in der Produktlieferungskette fällt der Händler ebenfalls in den Anwendungsbereich des CRA-E.

Nach der in Art. 3 Nr. 21 CRA-E genannten Definition kann eine (juristische) Person nur dann unter den Begriff des Händlers fallen, wenn sie ein Produkt mit digitalen Elementen ohne Änderung seiner Eigenschaft auf dem Unionsmarkt bereitstellt und nicht schon als Hersteller oder Einführer zu qualifizieren ist.

CRA-Update – Episode 4: Welche Pflichten gelten für den Einführer nach dem CRA-E?

Die Person des Einführers wird im CRA-E dann relevant, wenn dieser ein Produkt mit digitalen Elementen aus dem EU-Ausland unter dem Namen oder der Marke einer außerhalb der Union ansässigen (juristischen) Person in den Binnenmarkt einführt und dort erstmalig in Verkehr bringt. Für die Praxis bedeutet dies, dass bei einem im Drittland ansässigen Hersteller stets ein im Unionsmarkt niedergelassener Einführer in die Produktlieferungskette zu involvieren ist, während bei einem innerhalb der EU befindlichen Hersteller die Rechtsfigur des Einführers rechtlich keine aktive Rolle spielt. Der Einführer ist also im Sinne eines Importeurs zu verstehen.

CRA-Update – Episode 3: Welche Pflichten gelten für den Hersteller nach dem CRA-E?

Im Vergleich zu den übrigen Adressaten des CRA-E unterliegt der Hersteller den umfassendsten Pflichten, was daran liegen dürfte, dass dieser die Entwicklung des Produkts mit digitalen Elementen maßgeblich steuert, dessen Eigenschaften festlegt und somit die immanenten Cybersicherheitsrisiken beeinflussen kann. Die konkreten Pflichten für Hersteller legt die Verordnung in Art. 10 und 11 CRA-E fest.

CRA-Update – Episode 2: Wer sind die Adressaten des CRA-E?

In Kapitel II legt der CRA-E eine Vielzahl an Pflichten für „Wirtschaftsakteure“ fest. Hierzu zählen gemäß Art. 3 Nr. 17 CRA-E Hersteller, Bevollmächtigte, Einführer und Händler von Produkten mit digitalen Elementen. Das erklärte Ziel der EU-Kommission lautet, sämtliche Akteure der Lieferkette von Produkten mit digitalen Elementen in die Verantwortung zu nehmen und dadurch ein erhöhtes Maß an Cybersicherheit über die gesamte Produktlebensdauer zu gewährleisten. Das Gros der Pflichten wird dabei dem Hersteller auferlegt, was insbesondere dem Umstand Rechnung trägt, dass dieser die Entwicklung des Produkts mit digitalen Elementen maßgeblich steuert, dessen Eigenschaften festlegt und somit die immanenten Cybersicherheitsrisiken beeinflussen kann.

CRA-Update – Episode 1: Welche Produkte fallen in den Anwendungsbereich des CRA-E?

Der derzeitige Entwurf sieht gemäß ErwG 7 und Art. 2 Abs. 1 CRA-E vor, dass die Verordnung für Produkte mit digitalen Elementen gilt, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.