EU-Digitalgesetzgebung
CRA-Update – Episode 9: Die Überwachungsbehörden
Der Kommissionsentwurf für den Cyber Resilience Act (CRA-E) erwähnt in seinem Verordnungstext an mehreren Stellen unterschiedliche Behörden mit verschiedenen Aufgaben für die Überwachung und Einhaltung der Normvorgaben.
Nationale Marktüberwachungsbehörden
Kern des behördlichen Systems im CRA-E bilden die nationalen Marktüberwachungsbehörden. Gemäß Art. 41 Abs. 2 CRA-E haben die Mitgliedstaaten eine oder mehrere Marktüberwachungsbehörden zu benennen und können hierfür auch bereits bestehende Behörden auswählen. In Deutschland wäre aufgrund der Kompetenzen beispielsweise an das Bundesamt für Sicherheit (BSI) oder die Bundesnetzagentur (BNetzA) zu denken.
Die Marktüberwachungsbehörden sollen zum einen Leitlinien und Ratschläge zur Durchführung des CRA-E sowie einen jährlichen Tätigkeitsbericht erstellen. Zum anderen sollen die Marktüberwachungsbehörden gemäß Art. 43 Abs. 1 CRA-E bei der Annahme eines erheblichen Cybersicherheitsrisikos eine Überprüfung eines Produkts mit digitalen Elementen vornehmen und können dabei Unterlagen und Informationen von den Herstellern anfordern. Wenn ein solches Risiko tatsächlich vorliegt, kann die Marktüberwachungsbehörde den Hersteller zur Vornahme von Abhilfemaßnahem auffordern oder ein Produkt vom Markt nehmen oder zurückrufen. Darüber hinaus können die Marktüberwachungsbehörden nach Art. 49 Abs. 1 CRA-E gleichzeitig koordinierte Kontrollen zu bestimmten Produkten mit digitalen Elementen durchführen. Grundsätzlich werden diese jedoch durch die EU-Kommission koordiniert und auch die ENISA hat ein Vorschlagsrecht in Bezug auf die zu überprüfenden Produktkategorien. Was konkret unter den sogenannten „Sweeps“, also den koordinierten Kontrollen zu verstehen ist, lässt die Verordnung offen. Darunter könnten beispielsweise simulierte Cyberangriffe fallen, da sich Schwachstellen bei Produkten mit digitalen Elementen hierdurch wohl am effektivsten ermitteln lassen.
Daneben stehen den nationalen Marktüberwachungsbehörden noch die in Art. 41 – 43, 46 und 47 CRA-E genannten Ermittlungsbefugnisse zu. Hierzu zählen unter anderem der Antrag auf Zugang zu den Daten von Produkten mit digitalen Elementen, Aufforderung zur Durchführung von Korrekturmaßnahmen bezüglich eines Produkts bei Nichterfüllung der Anforderungen des CRA oder die Aufforderung des Herstellers zur Beseitigung der formalen Nichtkonformität (z.B. Anbringung der Konformitätskennzeichnung).
Zudem wird in Art. 41 CRA-E noch die Zusammenarbeit der Marktüberwachungsbehörden mit anderen Behörden, wie beispielsweise den Behörden für die Cybersicherheitszertifizierung, der ENISA und den europäischen Datenschutzbehörden vorgesehen. Dies umfasst insbesondere den Austausch von Informationen oder Dokumenten.
EU-Kommission
Aufgabe der EU-Kommission ist vor allem die Förderung der Zusammenarbeit und des Austauschs von Informationen zwischen den nationalen Marktüberwachungsbehörden, wie sich aus Art. 41 Abs. 7 CRA-E ergibt.
Daneben kann die Kommission gemäß Art. 45 Abs. 1 CRA-E auch selbst aktiv werden und die Überprüfung eines Produkts mit digitalen Elementen durch die Marktüberwachungsbehörden anordnen, wenn sie Gründe zur Annahme hat, dass ein Produkt mit digitalen Elementen ein erhebliches Cybersicherheitsrisiko birgt.
Bei außergewöhnlichen Umständen, die ein sofortiges Eingreifen zum reibungslosen Funktionieren des Binnenmarktes rechtfertigen und wenn die Marktüberwachungsbehörden keine wirksamen Maßnahmen ergriffen haben, kann die Kommission die ENISA zur Bewertung der Konformität auffordern und Maßnahmen auf Unionsebene, wie z.B. die Rücknahme oder den Rückruf eines Produkts mit digitalen Elementen anordnen.
ADCO
Art. 41 Abs. 11 CRA-E sieht vor, dass eine besondere Gruppe zur administrativen Zusammenarbeit (ADCO) eingesetzt wird, die sich aus Vertretern der Marktüberwachungsbehörden und der zentralen Verbindungsstellen zusammensetzen. Nach ErwG 56 Satz 1 CRA-E soll die ADCO eine einheitliche Anwendung des CRA sicherstellen.
ENISA
Die ENISA kann auf Anordnung der Europäischen Kommission eine Konformitätsbewertung durchführen und zudem den Marktüberwachungsbehörden Vorschläge für Produktkategorien unterbreiten, für die Sweeps organisiert werden könnten. Zudem sind Hersteller verpflichtet, der ENISA unverzüglich jede aktiv ausgenutzte Schwachstelle eines Produkts mit digitalen Elementen zu melden. Die ENISA leitet die Meldung dann an das gemäß der Art. 12 NIS-2-Richtlinie benannte Computer-Notfallteam CSIRT zur koordinierten Offenlegung von Schwachstellen weiter.
Mögliche Änderungen in der Endfassung des CRA-E
Basierend auf dem Verordnungsvorschlag der Kommission haben auch der Ausschuss zur Industrie, Forschung und Energie des Europäischen Parlaments (ITRE) und der Europäische Rat jeweils Entwürfe veröffentlicht. Das Normgebungsverfahren befindet sich zum jetzigen Zeitpunkt in einer finalen Abstimmung.
Während sich der Entwurf des Rats größtenteils an dem der Kommission orientiert, enthält der Vorschlag des ITREs noch einige interessante Ergänzungen. Beispielsweise wurde in Art. 43 und 45 CRA-E noch eingefügt, dass Marktüberwachungsbehörden und ggf. die Europäische Kommission Wirtschaftsakteure auch zur Vornahme von Abhilfemaßnahmen auffordern können, wenn ein nicht technisches Risiko vorliegt, wie z.B. die unzulässige Einflussnahme von Drittstaaten auf Lieferanten. Darüber hinaus wurden in Art. 49 CRA-E die Vorgaben zu den Sweeps konkretisiert. Demnach fällt darunter z.B. die Inspektion von Produkten mit digitalen Elementen, die unter einer Tarnidentität erworben wurden.
Empfehlung für die Praxis:
Da die EU den Mitgliedstaaten die Entscheidungskompetenz über die Benennung der Marktüberwachungsbehörden einräumt, wird abzuwarten bleiben, welche Behörden der nationale Gesetzgeber hierfür auswählen oder möglicherweise neu schaffen wird. Unternehmen sollten deshalb das weitere Gesetzgebungsverfahren sowie Neuigkeiten in Bezug zum CRA weiterhin beobachten. Die genaue Art und Weise der Durchführung behördlicher Maßnahmen wird sich erst nach Inkrafttreten des CRA zeigen. Über die möglichen Sanktionen bei Verstößen werden wir in Episode 10 berichten.
In unserer CRA-Update-Reihe präsentieren wir Ihnen regelmäßig Informationen zu dem geplanten Cyber Resilience Act der Europäischen Union und halten Sie über Änderungen im laufenden Gesetzgebungsverfahren informiert. In jedem unserer Beiträge geben wir Ihnen einen kurzen Überblick über einen konkreten Themenbereich und stellen Ihnen dabei die wichtigsten Aspekte sowie praktische Auswirkungen vor.
CRA-Update
CRA-Update – Episode 10: Welche Sanktionen gelten nach dem CRA-E?
Mit dem Entwurf für einen Cyber Resilience Act (CRA-E) hat sich die Europäische Kommission mit horizontalen Rechtsvorgaben zum Ziel gesetzt, die Sicherheit von Produkten mit digitalen Elementen zu stärken, um den Binnenmarkt der EU besser vor den wachsenden Cyberbedrohungen zu schützen. Hierzu enthält die Verordnung eine Vielzahl an Pflichten, die sich an sämtliche Akteure einer Produktlieferkette, nämlich Hersteller, Einführer und Händler, richten.
CRA-Update – Episode 9: Die Überwachungsbehörden
Der Kommissionsentwurf für den Cyber Resilience Act (CRA-E) erwähnt in seinem Verordnungstext an mehreren Stellen unterschiedliche Behörden mit verschiedenen Aufgaben für die Überwachung und Einhaltung der Normvorgaben.
CRA-Update – Episode 8: Das Konformitätsbewertungsverfahren
Damit eine Konformität von Produkten mit digitalen Elementen mit den Anforderungen des CRA nachgewiesen werden kann, müssen Hersteller gemäß Art. 24 Abs. 1 CRA-E ein sogenanntes Konformitätsbewertungsverfahren durchführen. Hierfür sieht der CRA-E grundsätzlich drei verschiedene Verfahrensarten vor, zu denen sich jeweils Informationen in Anhang VI finden. Die dort genannten Verfahren basieren auf dem Beschluss 768/2008/EG, der einen einheitlichen Rahmen für Rechtsvorschriften zur Harmonisierung der Bedingungen für die Vermarktung von Produkten bezweckt und hierfür Konformitätsbewertungsverfahren vorsieht.
CRA-Update – Episode 7: Was sind die von Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen und wann sind diese nach dem CRA konform?
Nach Art. 1 lit. c) CRA-E soll der geplante Cyber Resilience Act (CRA-E) auch Bestimmungen für die von Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen vorsehen.
Mit diesen Verfahren wird die Sicherstellung der Cybersicherheit von Produkten mit digitalen Elementen über ihren gesamten Lebenszyklus bezweckt.
CRA-Update – Episode 6: Wann ist eine Konformität des Produkts mit digitalen Elementen gegeben?
Der geplante Cyber Resilience Act (CRA-E) bezweckt EU-einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, um der wachsenden Bedrohung von Cyberangriffen entgegenzutreten. Zu diesem Zweck normiert die Verordnung zahlreiche Pflichten, die vor allem die Hersteller solcher Produkte treffen.
CRA-Update – Episode 5: Welche Pflichten gelten für den Händler nach dem CRA-E?
Als letzter Akteur in der Produktlieferungskette fällt der Händler ebenfalls in den Anwendungsbereich des CRA-E.
Nach der in Art. 3 Nr. 21 CRA-E genannten Definition kann eine (juristische) Person nur dann unter den Begriff des Händlers fallen, wenn sie ein Produkt mit digitalen Elementen ohne Änderung seiner Eigenschaft auf dem Unionsmarkt bereitstellt und nicht schon als Hersteller oder Einführer zu qualifizieren ist.
CRA-Update – Episode 4: Welche Pflichten gelten für den Einführer nach dem CRA-E?
Die Person des Einführers wird im CRA-E dann relevant, wenn dieser ein Produkt mit digitalen Elementen aus dem EU-Ausland unter dem Namen oder der Marke einer außerhalb der Union ansässigen (juristischen) Person in den Binnenmarkt einführt und dort erstmalig in Verkehr bringt. Für die Praxis bedeutet dies, dass bei einem im Drittland ansässigen Hersteller stets ein im Unionsmarkt niedergelassener Einführer in die Produktlieferungskette zu involvieren ist, während bei einem innerhalb der EU befindlichen Hersteller die Rechtsfigur des Einführers rechtlich keine aktive Rolle spielt. Der Einführer ist also im Sinne eines Importeurs zu verstehen.
CRA-Update – Episode 3: Welche Pflichten gelten für den Hersteller nach dem CRA-E?
Im Vergleich zu den übrigen Adressaten des CRA-E unterliegt der Hersteller den umfassendsten Pflichten, was daran liegen dürfte, dass dieser die Entwicklung des Produkts mit digitalen Elementen maßgeblich steuert, dessen Eigenschaften festlegt und somit die immanenten Cybersicherheitsrisiken beeinflussen kann. Die konkreten Pflichten für Hersteller legt die Verordnung in Art. 10 und 11 CRA-E fest.
CRA-Update – Episode 2: Wer sind die Adressaten des CRA-E?
In Kapitel II legt der CRA-E eine Vielzahl an Pflichten für „Wirtschaftsakteure“ fest. Hierzu zählen gemäß Art. 3 Nr. 17 CRA-E Hersteller, Bevollmächtigte, Einführer und Händler von Produkten mit digitalen Elementen. Das erklärte Ziel der EU-Kommission lautet, sämtliche Akteure der Lieferkette von Produkten mit digitalen Elementen in die Verantwortung zu nehmen und dadurch ein erhöhtes Maß an Cybersicherheit über die gesamte Produktlebensdauer zu gewährleisten. Das Gros der Pflichten wird dabei dem Hersteller auferlegt, was insbesondere dem Umstand Rechnung trägt, dass dieser die Entwicklung des Produkts mit digitalen Elementen maßgeblich steuert, dessen Eigenschaften festlegt und somit die immanenten Cybersicherheitsrisiken beeinflussen kann.
CRA-Update – Episode 1: Welche Produkte fallen in den Anwendungsbereich des CRA-E?
Der derzeitige Entwurf sieht gemäß ErwG 7 und Art. 2 Abs. 1 CRA-E vor, dass die Verordnung für Produkte mit digitalen Elementen gilt, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.