EU-Digitalgesetzgebung

CRA-Update – Episode 6: Wann ist eine Konformität des Produkts mit digitalen Elementen gegeben?

Der geplante Cyber Resilience Act (CRA-E) bezweckt EU-einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, um der wachsenden Bedrohung von Cyberangriffen entgegenzutreten. Zu diesem Zweck normiert die Verordnung zahlreiche Pflichten, die vor allem die Hersteller solcher Produkte treffen.

Maßgebliches Kriterium ist in diesem Zusammenhang die Konformität eines Produkts mit digitalen Elementen mit den Vorgaben des CRA-E. Art. 5 Nr. 1 CRA-E schreibt vor, dass ein Produkt mit digitalen Elementen nur dann auf dem Markt bereitgestellt werden darf, wenn es den Anforderungen in Anhang I Abschnitt 1 genügt und unter der Bedingung, dass es ordnungsgemäß installiert, gewartet und bestimmungsgemäß verwendet wird.

In Anhang I Abschnitt 1 legt der CRA-E konkrete Sicherheitsanforderungen in Bezug auf die Eigenschaften eines Produkts mit digitalen Elementen fest. Solche Produkte sind demnach so herzustellen, dass sie stets ein angemessenes Cybersicherheitsniveau gewährleisten. Ferner darf eine Auslieferung nur dann erfolgen, wenn keine ausnutzbare Schwachstelle bekannt ist. Aus dem angelegten Maßstab der „Angemessenheit“ des Sicherheitsniveaus folgt bereits, dass kein vollständiger Risikoausschluss notwendig ist und damit auch kein hundertprozentiger Cybersicherheitsschutz gefordert wird. Gleichwohl dürfen keine bekannten Sicherheitsmängel vorhanden sein, da dies eine ausnutzbare Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen und damit eine Schwachstelle i.S.v. Art. 3 Nr. 36 CRA-E darstellen würde.

Anhang I Abschnitt 1 Abs. 3 CRA-E fordert zudem weitere Beschaffenheitsmerkmale eines Produkts mit digitalen Elementen. Aufgrund des eindeutigen Wortlauts („soweit zutreffend“) sind die dort genannten Vorgaben als eine Art Mindestanforderung zu verstehen, sodass ausgehend von einer zuvor von dem Hersteller vorgenommenen Risikobewertung nur diejenigen der dort genannten Maßnahmen umzusetzen sind, die im konkreten Einzelfall eine Relevanz haben. Beispielsweise wird ein Smart Home Heizthermostat im Gegensatz zu einer Software zur Verwaltung eines Bankkontos keine besonderen Kontrollmechanismen zum Schutz vor einem unbefugten Zugriff in Form einer besonderen Authentifizierung (Anhang I Abschnitt 1 Abs. 3 lit. b CRA-E) benötigen.

Damit der Hersteller im Einzelfall nachweisen kann, dass sein Produkt mit digitalen Elementen den Anforderungen in Anhang I Abschnitt 1 genügt und damit jene in Art. 5 Nr. 1 und Art. 10 Abs. 1 CRA-E normierte Pflicht erfüllt, muss er ein Konformitätsbewertungsverfahren durchführen. Hierfür bietet die Verordnung verschiedene Varianten an, die konkret in Episode 8 unserer CRA-Update-Reihe beschrieben werden. Grundsätzlich muss der Hersteller für die Konformität geeignete Nachweise vorlegen. Hierzu gehört unter anderem die in Art. 23 CRA-E genannte technische Dokumentation, die unter anderem eine konkrete Produktbeschreibung sowie Berichte über die durchgeführten Tests und Prüfungen enthalten muss.

Eine einmal erreichte Konformität gilt zunächst zeitlich unbegrenzt. Sofern bei einem Produkt mit digitalen Elementen allerdings eine wesentliche Änderung i.S.v. Art. 3 Nr. 31 CRA-E eintritt, ist gemäß ErwG 23 S. 1 CRA-E die Konformität zu überprüfen und gegebenenfalls eine erneute Konformitätsbewertung durchzuführen. Gleiches gilt, wenn aufgrund nachträglich bekannt gewordener Sicherheitsmängel Zweifel an der Konformität auftreten, weil das Produkt mit digitalen Elementen dann nicht mehr die Anforderungen in Anhang I Abschnitt 1 erfüllt.

Neben dem Produkt mit digitalen Elementen müssen gemäß Art. 5 Nr. 2 CRA-E jedoch auch die vom Hersteller festgelegten Verfahren zur Behandlung von Schwachstellen den Anforderungen in Anhang I Abschnitt 2 entsprechen und damit ebenfalls eine Konformität aufweisen. Denn eine Konformitätsbewertung erfolgt nur zusammenhängend, sodass sowohl das Produkt selbst als auch die Herstellerverfahren jeweils CRA-konform sein müssen, um insgesamt eine Konformität vorweisen zu können. Dafür spricht bereits der Wortlaut in Art. 10 Abs. 7 und Art. 24 Abs. 1 CRA-E, der eine zusammenhängende Konformitätsbewertung fordert. Wann ein Herstellerverfahren als CRA-konform gilt, wird in Episode 7 unserer CRA-Update-Reihe näher erläutert.

Der CRA-E legt unter den in Art. 18 und Art. 19 genannten Voraussetzungen eine Konformitätsvermutung fest. Wenn Produkte mit digitalen Elementen beispielsweise mit harmonisierten Normen anderer im Amtsblatt der EU veröffentlichten Normgebungsakten übereinstimmen, dann wird eine Konformität mit den Anforderungen in Anhang I vermutet, soweit die dort genannten Anforderungen durch die harmonisierten Normen abgedeckt werden.

Die EU-Kommission kann ferner unter bestimmten Umständen im Wege von Durchführungsakten festlegen, dass z.B. eine Cybersicherheitszertifizierung gemäß der Verordnung (EU) 2019/881 eine Konformitätsvermutung für den CRA-E begründen kann.

Empfehlung für die Praxis:

Das Erfordernis der Konformität eines Produkts mit digitalen Elementen trifft in erster Linie die Hersteller. Insofern empfehlen wir, die konkreten Sicherheitsanforderungen in Anhang I Abschnitt 1 genauestens zu überprüfen und bereits bei der Konzeption eines Produkts mit digitalen Elementen, das in den Anwendungsbereich des CRA-E fällt, zu berücksichtigen. Ferner regen wir an, sämtliche Entwicklungsschritte und Testverfahren lückenlos zu dokumentieren, um die entsprechenden Nachweise im Rahmen des Konformitätsbewertungsverfahrens vorlegen zu können.

Da auch der Einführer sicherstellen muss, dass die Anforderungen in Anhang I Abschnitt 1 erfüllt sind und selbst ein Händler bei entsprechenden Zweifeln an der Konformität ein solches Produkt nicht auf dem Markt bereitstellen darf, empfehlen wir jenen Wirtschaftsakteuren ebenfalls, sich mit den Anforderungen in Anhang I des CRA-E vertraut zu machen, um eine entsprechende Überprüfung jener Produkte vornehmen zu können.

In unserer CRA-Update-Reihe präsentieren wir Ihnen regelmäßig Informationen zu dem geplanten Cyber Resilience Act der Europäischen Union und halten Sie über Änderungen im laufenden Gesetzgebungsverfahren informiert. In jedem unserer Beiträge geben wir Ihnen einen kurzen Überblick über einen konkreten Themenbereich und stellen Ihnen dabei die wichtigsten Aspekte sowie praktische Auswirkungen vor.

Rechtsanwalt, Associate
Alexander Weiss
Rechtsanwalt, Associate
Alexander Weiss

Zurück

CRA-Update

CRA-Update – Episode 10: Welche Sanktionen gelten nach dem CRA-E?

Mit dem Entwurf für einen Cyber Resilience Act (CRA-E) hat sich die Europäische Kommission mit horizontalen Rechtsvorgaben zum Ziel gesetzt, die Sicherheit von Produkten mit digitalen Elementen zu stärken, um den Binnenmarkt der EU besser vor den wachsenden Cyberbedrohungen zu schützen. Hierzu enthält die Verordnung eine Vielzahl an Pflichten, die sich an sämtliche Akteure einer Produktlieferkette, nämlich Hersteller, Einführer und Händler, richten.

CRA-Update – Episode 9: Die Überwachungsbehörden

Der Kommissionsentwurf für den Cyber Resilience Act  (CRA-E) erwähnt in seinem Verordnungstext an mehreren Stellen unterschiedliche Behörden mit verschiedenen Aufgaben für die Überwachung und Einhaltung der Normvorgaben.

CRA-Update – Episode 8: Das Konformitätsbewertungsverfahren

Damit eine Konformität von Produkten mit digitalen Elementen mit den Anforderungen des CRA nachgewiesen werden kann, müssen Hersteller gemäß Art. 24 Abs. 1 CRA-E ein sogenanntes Konformitätsbewertungsverfahren durchführen. Hierfür sieht der CRA-E grundsätzlich drei verschiedene Verfahrensarten vor, zu denen sich jeweils Informationen in Anhang VI finden. Die dort genannten Verfahren basieren auf dem Beschluss 768/2008/EG, der einen einheitlichen Rahmen für Rechtsvorschriften zur Harmonisierung der Bedingungen für die Vermarktung von Produkten bezweckt und hierfür Konformitätsbewertungsverfahren vorsieht.

CRA-Update – Episode 7: Was sind die von Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen und wann sind diese nach dem CRA konform?

Nach Art. 1 lit. c) CRA-E soll der geplante Cyber Resilience Act (CRA-E) auch Bestimmungen für die von Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen vorsehen.

Mit diesen Verfahren wird die Sicherstellung der Cybersicherheit von Produkten mit digitalen Elementen über ihren gesamten Lebenszyklus bezweckt.

CRA-Update – Episode 6: Wann ist eine Konformität des Produkts mit digitalen Elementen gegeben?

Der geplante Cyber Resilience Act (CRA-E) bezweckt EU-einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, um der wachsenden Bedrohung von Cyberangriffen entgegenzutreten. Zu diesem Zweck normiert die Verordnung zahlreiche Pflichten, die vor allem die Hersteller solcher Produkte treffen.

CRA-Update – Episode 5: Welche Pflichten gelten für den Händler nach dem CRA-E?

Als letzter Akteur in der Produktlieferungskette fällt der Händler ebenfalls in den Anwendungsbereich des CRA-E.

Nach der in Art. 3 Nr. 21 CRA-E genannten Definition kann eine (juristische) Person nur dann unter den Begriff des Händlers fallen, wenn sie ein Produkt mit digitalen Elementen ohne Änderung seiner Eigenschaft auf dem Unionsmarkt bereitstellt und nicht schon als Hersteller oder Einführer zu qualifizieren ist.

CRA-Update – Episode 4: Welche Pflichten gelten für den Einführer nach dem CRA-E?

Die Person des Einführers wird im CRA-E dann relevant, wenn dieser ein Produkt mit digitalen Elementen aus dem EU-Ausland unter dem Namen oder der Marke einer außerhalb der Union ansässigen (juristischen) Person in den Binnenmarkt einführt und dort erstmalig in Verkehr bringt. Für die Praxis bedeutet dies, dass bei einem im Drittland ansässigen Hersteller stets ein im Unionsmarkt niedergelassener Einführer in die Produktlieferungskette zu involvieren ist, während bei einem innerhalb der EU befindlichen Hersteller die Rechtsfigur des Einführers rechtlich keine aktive Rolle spielt. Der Einführer ist also im Sinne eines Importeurs zu verstehen.

CRA-Update – Episode 3: Welche Pflichten gelten für den Hersteller nach dem CRA-E?

Im Vergleich zu den übrigen Adressaten des CRA-E unterliegt der Hersteller den umfassendsten Pflichten, was daran liegen dürfte, dass dieser die Entwicklung des Produkts mit digitalen Elementen maßgeblich steuert, dessen Eigenschaften festlegt und somit die immanenten Cybersicherheitsrisiken beeinflussen kann. Die konkreten Pflichten für Hersteller legt die Verordnung in Art. 10 und 11 CRA-E fest.

CRA-Update – Episode 2: Wer sind die Adressaten des CRA-E?

In Kapitel II legt der CRA-E eine Vielzahl an Pflichten für „Wirtschaftsakteure“ fest. Hierzu zählen gemäß Art. 3 Nr. 17 CRA-E Hersteller, Bevollmächtigte, Einführer und Händler von Produkten mit digitalen Elementen. Das erklärte Ziel der EU-Kommission lautet, sämtliche Akteure der Lieferkette von Produkten mit digitalen Elementen in die Verantwortung zu nehmen und dadurch ein erhöhtes Maß an Cybersicherheit über die gesamte Produktlebensdauer zu gewährleisten. Das Gros der Pflichten wird dabei dem Hersteller auferlegt, was insbesondere dem Umstand Rechnung trägt, dass dieser die Entwicklung des Produkts mit digitalen Elementen maßgeblich steuert, dessen Eigenschaften festlegt und somit die immanenten Cybersicherheitsrisiken beeinflussen kann.

CRA-Update – Episode 1: Welche Produkte fallen in den Anwendungsbereich des CRA-E?

Der derzeitige Entwurf sieht gemäß ErwG 7 und Art. 2 Abs. 1 CRA-E vor, dass die Verordnung für Produkte mit digitalen Elementen gilt, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.