Die Europäische Kommission hat im September ihren Entwurf für den Cyber Resilience Act („CRA“, Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020) veröffentlicht. Dabei handelt es sich um eine EU-Verordnung, die nach Inkrafttreten unmittelbare Anwendung in allen Mitgliedstaaten findet und hierfür keines weiteren Umsetzungsaktes bedarf. Das Vorhaben zielt darauf ab, die europäische Datenstrategie weiter voranzutreiben und den legislativen Flickenteppich auf dem Gebiet der Cybersicherheit im europäischen Binnenmarkt zu beseitigen.

Ziel der Verordnung

Mit dem CRA bezweckt der europäische Gesetzgeber horizontale Sicherheitsanforderungen für „Produkte mit digitalen Elementen“ einzuführen, um so die Cybersicherheit für die Bandbreite aller materiellen Produkte mit digitalen Elementen und zugehöriger Dienste in der gesamten Lieferkette zu stärken. Der Begriff des Produkts mit digitalen Elementen umfasst jegliche Software, Hardware, ihre einzelnen Komponenten sowie die damit verbundenen Datenverarbeitungsprozesse. Er weist eine große Ähnlichkeit zu dem Begriff der digitalen Produkte in § 327 Abs. 1 S. 1 BGB auf, der als Umsetzungsakt der Digitale-Inhalte-RL bereits Einzug in das deutsche Recht gehalten hat. In sachlicher Hinsicht umfasst der Entwurf des CRA faktisch jeden Gegenstand des täglichen Lebens, der eine digitale Funktion aufweist. Dienstleistungen, wie Software-as-a-Service (SaaS) unterfallen hingegen grundsätzlich nicht dem Anwendungsbereich der Verordnung. Gleiches gilt für Medizinprodukte sowie für solche im Zusammenhang mit der Flugsicherheit und der Typengenehmigung von Kraftfahrzeugen, da der europäische Gesetzgeber hierzu bereits abschließende Regelungen zur Cybersicherheit in spezielleren Verordnungen erlassen hat. Der persönliche Anwendungsbereich umfasst mit Herstellern, Importeuren und Händlern als Adressaten der Verordnung sämtliche Akteure einer Lieferkette. Letztlich sollen dadurch Cybersicherheitsrisiken von Produkten mit digitalen Elementen minimiert und eine sichere Nutzung für Unternehmer und Verbraucher im gesamten europäischen Binnenmarkt sichergestellt werden.

Relevante Vorgaben

Um diese Ziele zu erreichen, werden Herstellern, Händlern und Importeuren von Produkten mit digitalen Elementen eine Vielzahl von neuen Pflichten auferlegt. Diese sind in den Art. 10 ff. des CRA-Entwurfs geregelt und unterscheiden sich je nach Akteur und Kritikalität des Produkts.

So sollen Hersteller verpflichtet werden, die Cybersicherheitsanforderungen bei der Konzeption, Entwicklung und Herstellung von Produkten mit digitalen Elementen zu berücksichtigen und hierzu eine Bewertung der Cybersicherheitsrisiken durchzuführen. Im Annex I des CRA-Entwurfs findet sich eine Liste mit konkretisierenden Vorgaben, welche an die in Art. 5 Abs. 1 DSGVO niedergelegten Datenschutzgrundsätze und an die in Art. 25 DSGVO normierten Bestimmungen zu Privacy by Design und Privacy by Default erinnern. Um nachzuweisen, dass ihre Produkte diese Cybersicherheitsanforderungen erfüllen, ist ein Konformitätsbewertungsverfahren durchzuführen, das sich anhand der Risikoeinstufung des Produkts bestimmt. Der CRA-Entwurf unterscheidet zwischen normalen, kritischen und hochkritischen Produkten und sieht für risikobehaftete Produkte striktere Verfahren vor. Des Weiteren sind Hersteller dazu verpflichtet, ihre Produkte fortlaufend in Bezug auf Schwachstellen und Risiken zu überprüfen und hierfür geeignete Verfahren und Strategien zu entwickeln. Bei einem Vorfall, der sich auf die Sicherheit des Produkts auswirkt, sind darüber hinaus unverzüglich die Behörden und Nutzer zu informieren und geeignete Abhilfemaßnahmen zu treffen. Weiterhin werden Hersteller dazu verpflichtet, vor Markteinführung eines Produkts eine technische Dokumentation im Hinblick auf die Erfüllung der maßgeblichen Cybersicherheitsanforderungen und den hierfür verwendeten Mitteln anzufertigen. Ferner sollen Hersteller über einen Zeitraum von bis zu fünf Jahren nach der Markteinführung Schwachstellen ihrer Produkte behandeln, wozu beispielsweise die Zurverfügungstellung von Sicherheitsupdates zählt. Dabei hat die Kürze dieser Frist im Hinblick auf die Langlebigkeit vieler technischer Produkte in der rechtswissenschaftlichen Literatur bereits vielfach Kritik ausgelöst. Insofern bleibt abzuwarten, ob dieser Zeitraum im weiteren Verlauf des Gesetzgebungsverfahrens noch angepasst wird.

Importeuren und Händlern werden ebenfalls umfassende Prüfpflichten auferlegt: So müssen Importeure vor Einführung eines Produkts auf den europäischen Markt stets eine vollständige Prüfung der Cybersicherheitsanforderungen durchführen und Hersteller bei Schwachstellen sowie gegebenenfalls Marktüberwachungsbehörden bei erheblichen Cybersicherheitsrisiken informieren. Händler hingegen haben lediglich zu überprüfen, ob das Produkt ein CE-Kennzeichen trägt und ob die notwendigen technischen Informationen, die Konformitätserklärung sowie die Kontaktinformationen des Importeurs beigefügt sind. Sonstige Personen, die wesentliche Veränderungen eines Produkts vornehmen, gelten als Hersteller und unterliegen dann den entsprechenden Pflichten.

Überwachung durch die Behörden

Um die Einhaltung dieser Pflichten zu überwachen, sollen die Mitgliedsstaaten dazu verpflichtet werden Marktüberwachungsstellen einzurichten. Diese Behörden überwachen die Einhaltung der Cybersicherheitsanforderungen und arbeiten dabei mit der EU-Kommission und der ENISA zusammen. Zudem stehen sie auch im Austausch mit Datenschutzbehörden. Zu den Befugnissen der Marktüberwachungsbehörden stehen die Einleitung von Untersuchungen sowie die Anordnung von Maßnahmen zur Wiederherstellung der Gesetzeskonformität bis hin zum Produktrückruf. Ferner dürfen sie koordinierte Kontrollhandlungen durchführen (sogenannte „Sweeps“), womit simulierte Cyberangriffe gemeint sein dürften. Die noch nicht hinreichend definierten Anforderungen für solche Eingriffe stoßen ebenfalls auf breite Kritik.

Sanktionen

Der Cyber Resilience Act weist ein Sanktionsregime auf, das dem der DSGVO ähnlich ist. Sanktionen sollen gemäß Art. 53 Abs. 1 S. 2 CRA-Entwurf „wirksam, verhältnismäßig und abschreckend“ sein. Die Bußgelder für die Nichteinhaltung der grundlegenden Sicherheitsanforderungen für Hersteller können bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes des Vorjahres betragen, je nachdem welcher Betrag höher ist. Für alle weiteren Verstöße sämtlicher Adressaten sind Bußgelder von bis zu 10 Millionen Euro oder 2 % des Gesamtjahresumsatzes vorgesehen. Sofern unrichtige, unvollständige oder irreführende Angaben im Rahmen von behördlichen Untersuchungen erfolgen, können Bußgelder in Höhe von 5 Millionen Euro oder 1 % des Gesamtjahresumsatzes verhängt werden.

Aktueller Stand, Ausblick und Handlungsempfehlungen

Der Cyber Resilience Act befindet sich noch am Beginn des Gesetzgebungsverfahrens. Aktuell liegt lediglich ein erster Entwurf vor. Rückmeldungen zum bestehenden Entwurf können nach aktuellem Stand bis zum 9. Januar 2023 eingereicht werden. Darüber hinaus ist mit Änderungsvorschlägen des Europäischen Parlaments und des Europäischen Rats zu rechnen.

Nach Inkrafttreten des endgültigen Gesetzes besteht zunächst eine Übergangsfrist von 24 Monaten. Davon ausgenommen ist die Meldepflicht für Hersteller bei Sicherheitsvorfällen, welche schon nach 12 Monaten gilt. Gleichwohl raten wir dazu, den weiteren Verlauf des Gesetzgebungsverfahrens im Auge zu behalten und frühzeitig auf die umfangreichen Anforderungen des CRA zu reagieren und den wirtschaftlichen und bürokratischen Mehraufwand bei den Entwicklungsprozessen neuer Produkte frühzeitig zu berücksichtigen.