News

Cyber Resilience Act – Überblick zu den neuen Cybersicherheitsanforderungen für Produkte mit digitalen Elementen

Die Europäische Kommission hat im September ihren Entwurf für den Cyber Resilience Act („CRA“, Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020) veröffentlicht. Dabei handelt es sich um eine EU-Verordnung, die nach Inkrafttreten unmittelbare Anwendung in allen Mitgliedstaaten findet und hierfür keines weiteren Umsetzungsaktes bedarf. Das Vorhaben zielt darauf ab, die europäische Datenstrategie weiter voranzutreiben und den legislativen Flickenteppich auf dem Gebiet der Cybersicherheit im europäischen Binnenmarkt zu beseitigen.

Ziel der Verordnung

Mit dem CRA bezweckt der europäische Gesetzgeber horizontale Sicherheitsanforderungen für „Produkte mit digitalen Elementen“ einzuführen, um so die Cybersicherheit für die Bandbreite aller materiellen Produkte mit digitalen Elementen und zugehöriger Dienste in der gesamten Lieferkette zu stärken. Der Begriff des Produkts mit digitalen Elementen umfasst jegliche Software, Hardware, ihre einzelnen Komponenten sowie die damit verbundenen Datenverarbeitungsprozesse. Er weist eine große Ähnlichkeit zu dem Begriff der digitalen Produkte in § 327 Abs. 1 S. 1 BGB auf, der als Umsetzungsakt der Digitale-Inhalte-RL bereits Einzug in das deutsche Recht gehalten hat. In sachlicher Hinsicht umfasst der Entwurf des CRA faktisch jeden Gegenstand des täglichen Lebens, der eine digitale Funktion aufweist. Dienstleistungen, wie Software-as-a-Service (SaaS) unterfallen hingegen grundsätzlich nicht dem Anwendungsbereich der Verordnung. Gleiches gilt für Medizinprodukte sowie für solche im Zusammenhang mit der Flugsicherheit und der Typengenehmigung von Kraftfahrzeugen, da der europäische Gesetzgeber hierzu bereits abschließende Regelungen zur Cybersicherheit in spezielleren Verordnungen erlassen hat. Der persönliche Anwendungsbereich umfasst mit Herstellern, Importeuren und Händlern als Adressaten der Verordnung sämtliche Akteure einer Lieferkette. Letztlich sollen dadurch Cybersicherheitsrisiken von Produkten mit digitalen Elementen minimiert und eine sichere Nutzung für Unternehmer und Verbraucher im gesamten europäischen Binnenmarkt sichergestellt werden.

 

Relevante Vorgaben

Um diese Ziele zu erreichen, werden Herstellern, Händlern und Importeuren von Produkten mit digitalen Elementen eine Vielzahl von neuen Pflichten auferlegt. Diese sind in den Art. 10 ff. des CRA-Entwurfs geregelt und unterscheiden sich je nach Akteur und Kritikalität des Produkts.

So sollen Hersteller verpflichtet werden, die Cybersicherheitsanforderungen bei der Konzeption, Entwicklung und Herstellung von Produkten mit digitalen Elementen zu berücksichtigen und hierzu eine Bewertung der Cybersicherheitsrisiken durchzuführen. Im Annex I des CRA-Entwurfs findet sich eine Liste mit konkretisierenden Vorgaben, welche an die in Art. 5 Abs. 1 DSGVO niedergelegten Datenschutzgrundsätze und an die in Art. 25 DSGVO normierten Bestimmungen zu Privacy by Design und Privacy by Default erinnern. Um nachzuweisen, dass ihre Produkte diese Cybersicherheitsanforderungen erfüllen, ist ein Konformitätsbewertungsverfahren durchzuführen, das sich anhand der Risikoeinstufung des Produkts bestimmt. Der CRA-Entwurf unterscheidet zwischen normalen, kritischen und hochkritischen Produkten und sieht für risikobehaftete Produkte striktere Verfahren vor. Des Weiteren sind Hersteller dazu verpflichtet, ihre Produkte fortlaufend in Bezug auf Schwachstellen und Risiken zu überprüfen und hierfür geeignete Verfahren und Strategien zu entwickeln. Bei einem Vorfall, der sich auf die Sicherheit des Produkts auswirkt, sind darüber hinaus unverzüglich die Behörden und Nutzer zu informieren und geeignete Abhilfemaßnahmen zu treffen. Weiterhin werden Hersteller dazu verpflichtet, vor Markteinführung eines Produkts eine technische Dokumentation im Hinblick auf die Erfüllung der maßgeblichen Cybersicherheitsanforderungen und den hierfür verwendeten Mitteln anzufertigen. Ferner sollen Hersteller über einen Zeitraum von bis zu fünf Jahren nach der Markteinführung Schwachstellen ihrer Produkte behandeln, wozu beispielsweise die Zurverfügungstellung von Sicherheitsupdates zählt. Dabei hat die Kürze dieser Frist im Hinblick auf die Langlebigkeit vieler technischer Produkte in der rechtswissenschaftlichen Literatur bereits vielfach Kritik ausgelöst. Insofern bleibt abzuwarten, ob dieser Zeitraum im weiteren Verlauf des Gesetzgebungsverfahrens noch angepasst wird.

Importeuren und Händlern werden ebenfalls umfassende Prüfpflichten auferlegt: So müssen Importeure vor Einführung eines Produkts auf den europäischen Markt stets eine vollständige Prüfung der Cybersicherheitsanforderungen durchführen und Hersteller bei Schwachstellen sowie gegebenenfalls Marktüberwachungsbehörden bei erheblichen Cybersicherheitsrisiken informieren. Händler hingegen haben lediglich zu überprüfen, ob das Produkt ein CE-Kennzeichen trägt und ob die notwendigen technischen Informationen, die Konformitätserklärung sowie die Kontaktinformationen des Importeurs beigefügt sind. Sonstige Personen, die wesentliche Veränderungen eines Produkts vornehmen, gelten als Hersteller und unterliegen dann den entsprechenden Pflichten.

 

Überwachung durch die Behörden

Um die Einhaltung dieser Pflichten zu überwachen, sollen die Mitgliedsstaaten dazu verpflichtet werden Marktüberwachungsstellen einzurichten. Diese Behörden überwachen die Einhaltung der Cybersicherheitsanforderungen und arbeiten dabei mit der EU-Kommission und der ENISA zusammen. Zudem stehen sie auch im Austausch mit Datenschutzbehörden. Zu den Befugnissen der Marktüberwachungsbehörden stehen die Einleitung von Untersuchungen sowie die Anordnung von Maßnahmen zur Wiederherstellung der Gesetzeskonformität bis hin zum Produktrückruf. Ferner dürfen sie koordinierte Kontrollhandlungen durchführen (sogenannte „Sweeps“), womit simulierte Cyberangriffe gemeint sein dürften. Die noch nicht hinreichend definierten Anforderungen für solche Eingriffe stoßen ebenfalls auf breite Kritik.

 

Sanktionen

Der Cyber Resilience Act weist ein Sanktionsregime auf, das dem der DSGVO ähnlich ist. Sanktionen sollen gemäß Art. 53 Abs. 1 S. 2 CRA-Entwurf „wirksam, verhältnismäßig und abschreckend“ sein. Die Bußgelder für die Nichteinhaltung der grundlegenden Sicherheitsanforderungen für Hersteller können bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes des Vorjahres betragen, je nachdem welcher Betrag höher ist. Für alle weiteren Verstöße sämtlicher Adressaten sind Bußgelder von bis zu 10 Millionen Euro oder 2 % des Gesamtjahresumsatzes vorgesehen. Sofern unrichtige, unvollständige oder irreführende Angaben im Rahmen von behördlichen Untersuchungen erfolgen, können Bußgelder in Höhe von 5 Millionen Euro oder 1 % des Gesamtjahresumsatzes verhängt werden.

 

Aktueller Stand, Ausblick und Handlungsempfehlungen

Der Cyber Resilience Act befindet sich noch am Beginn des Gesetzgebungsverfahrens. Aktuell liegt lediglich ein erster Entwurf vor. Rückmeldungen zum bestehenden Entwurf können nach aktuellem Stand bis zum 9. Januar 2023 eingereicht werden. Darüber hinaus ist mit Änderungsvorschlägen des Europäischen Parlaments und des Europäischen Rats zu rechnen.

Nach Inkrafttreten des endgültigen Gesetzes besteht zunächst eine Übergangsfrist von 24 Monaten. Davon ausgenommen ist die Meldepflicht für Hersteller bei Sicherheitsvorfällen, welche schon nach 12 Monaten gilt. Gleichwohl raten wir dazu, den weiteren Verlauf des Gesetzgebungsverfahrens im Auge zu behalten und frühzeitig auf die umfangreichen Anforderungen des CRA zu reagieren und den wirtschaftlichen und bürokratischen Mehraufwand bei den Entwicklungsprozessen neuer Produkte frühzeitig zu berücksichtigen.

Rechtsanwalt, Associate
Alexander Weiss
Rechtsanwalt, Associate
Alexander Weiss

Zurück

News

Gutachten von Piltz Legal zum Cloud-Einsatz im Gesundheitswesen für den bvitg – Fragen zum neuen § 393 SGB V

Seit dem 1. Juli 2024 gilt der neue § 393 SGB V. Darin geht es um den Einsatz von Cloud-Diensten für die Verarbeitung von Gesundheits- und Sozialdaten im Gesundheitsbereich. Piltz Legal hat für den Bundesverband Gesundheits-IT – bvitg e. V. („bvitg“) ein Gutachten zu ausgewählten Fragen der Mitglieder des bvitg erstellt. Dieses Gutachten ist jetzt öffentlich auf der Website des bvitg unter der folgenden URL abrufbar: https://www.bvitg.de/wp-content/uploads/2024-05-27_bvitg-Cloud-Gutachten.pdf.In diesem Newsbeitrag gehen wir auf ausgewählte Themen ein, die auch im Gutachten detaillierter besprochen werden.

Weitere Auszeichnungen für unsere beiden Partner

Wir freuen uns sehr, dass Prof. Dr. Burghard Piltz und Dr. Carlo Piltz weitere Auszeichnungen durch das Handelsblatt erhalten haben und in der 16. Edition der The Best Lawyers in Germany™ inkludiert wurden.

Neuer Referentenentwurf des BMJ: Gesetz zur Änderung des Bürgerlichen Gesetzbuchs – Einsichtnahme in die Patientenakte

Hinsichtlich des Anspruchs auf Erhalt von Informationen und Dokumenten aus einer Patientenakte ist eine Änderung des Bürgerlichen Gesetzbuches geplant. Diese Änderungen schlägt des Bundesjustizministerium in einem aktuellen Referentenentwurf als Reaktion auf das EuGH-Urteil in der C‑307/22 vom 26. Oktober 2023 vor.  

DSK zum datenschutzkonformen KI-Einsatz

Die DSK-Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ adressiert vor allem Verantwortliche, die KI einsetzen, aber auch mittelbar Entwickler, Hersteller und Anbieter von KI-Lösungen. Sie bietet einen Überblick zu aus Sicht der Behörden relevanten Kriterien, soll jedoch nicht als abschließender Anforderungskatalog verstanden werden. Trotzdem enthält das Dokument Verweise auf eine große Vielzahl verschiedener rechtlicher Anforderungen.

Konkretes vom EuGH zum immateriellen Schadenersatz bei Weitergabe intimer Informationen – nur 2.000 EUR Schadenersatz zugesprochen

In der Praxis stellt sich häufig die Frage, in welchen Fällen und in welcher Höhe ein Anspruch auf Ersatz eines immateriellen Schadens bei unzulässigen Datenverarbeitungen besteht. In Deutschland existieren bereits massenhaft Urteile aus verschiedenen Rechtsbereichen hierzu. Jedoch gibt es bislang keine konkreten Aussagen des EuGH zur Höhe eines Schadenersatzanspruchs.

Erneute Auszeichnung durch Legal 500 Deutschland: Dr. Carlo Piltz einer der führenden Namen im Datenschutzrecht

Das dritte Jahr in Folge wurde Dr. Carlo Piltz in der aktuellen Ausgabe des The Legal 500 Germany als einer der führenden Namen im Datenschutz erwähnt.