1 Was ist der EU Cyber Resilience Act und warum ist er wichtig?
In der dynamischen und hochvernetzten digitalen Welt ist Cybersicherheit für Regierungen, Unternehmen und Privatpersonen zu einer der zentralen Prioritäten geworden. Angesichts des schnellen technologischen Fortschritts hat die EU die Notwendigkeit erkannt, die Cybersicherheit zu stärken und die Abwehr gegen neue Cyberbedrohungen zu erhöhen. Im September 2022 hat die Europäische Kommission ihren „Vorschlag für den Cyber Resilience Act (CRA)” veröffentlicht. Nach intensiven Diskussionen hat das Europäische Parlament den CRA am 12. März 2024 angenommen. Die finale Verabschiedung hat bereits stattgefunden und die Veröffentlichung des Gesetzestextes im Europäischen Amtsblatt wird zeitnah erfolgen.
Die inhaltlichen Vorgaben des CRA werden voraussichtlich (gestuft) ab Mitte 2026 gelten.
EU-weit verbindliche Anforderungen
Der CRA führt EU-weit verbindliche Cybersicherheitsanforderungen für „Produkte mit digitalen Elementen” ein. Die Verordnung ist Teil der Cybersicherheitsstrategie der EU, die darauf abzielt, die Widerstandsfähigkeit gegenüber Cyberangriffen in der EU zu erhöhen und sicherzustellen, dass alle Bürger und Unternehmen von vertrauenswürdigen und zuverlässigen digitalen Diensten profitieren.
Der CRA führt EU-weit verbindliche Cybersicherheitsanforderungen für „Produkte mit digitalen Elementen” ein. Die Verordnung ist Teil der Cybersicherheitsstrategie der EU, die darauf abzielt, die Widerstandsfähigkeit gegenüber Cyberangriffen in der EU zu erhöhen und sicherzustellen, dass alle Bürger und Unternehmen von vertrauenswürdigen und zuverlässigen digitalen Diensten profitieren.
Dieser Kurzhinweis gibt Ihnen einen Überblick über die Klassifizierung der betroffenen Produkte und die Pflichten, die Sie als Wirtschaftsakteur bei der Bewertung der Konformität des Produkts einhalten müssen. Wir gehen auf mögliche Konsequenzen bei Nichteinhaltung dieser Pflichten ein und zeigen Ihnen, wie wir Ihnen dabei helfen können, gemäß den Vorgaben des CRA vorzugehen.
2 Welche Produkte sind durch den CRA betroffen?
Der materielle Anwendungsbereich der CRA umfasst mit wenigen Ausnahmen fast alle „Produkte mit digitalen Elementen”. Darunter fällt jedes Produkt, das für eine direkte oder indirekte, logische oder physische Datenverbindung mit einem Gerät oder Netzwerk konzipiert ist oder vorhersehbar verwendet wird. Die technische Umsetzung der Datenverbindung oder die Einordnung in eine bestimmte Produktkategorie ist hierbei (anders als in benachbarten Vorgaben wie u. a. NIS2-Richtlinie) unerheblich. Sowohl Software- als auch Hardwareprodukte, einschließlich zugehöriger Cloud-Datenverarbeitungslösungen, fallen darunter.
Alle Produkte mit digitalen Elementen, die ab dem Beginn der Anwendung der CRA (voraussichtlich im Juni 2027) auf den Markt gebracht werden, fallen unter die Bestimmungen der CRA. Produkte, die zu diesem Zeitpunkt bereits auf dem Markt sind, können ebenfalls unter die CRA fallen, wenn sie nach dem Inkrafttreten der CRA „wesentlich verändert” werden. Zu den wesentlichen Änderungen zählen Änderungen des Verwendungszwecks oder Funktionserweiterungen, wie z. B. Software-Updates.
Hardware
Der Begriff „Hardware” umfasst physische elektronische Informationssysteme, die digitale Daten verarbeiten, speichern oder übertragen, sowie Teile solcher Systeme. Dazu gehören zum Beispiel Mobiltelefone, Tablets, Smartwatches, Drohnen und Router.Einige Produkte, die als Hardware eingestuft werden, fallen auch unter die RED (Funkgeräterichtlinie). Da jedoch keine sektorspezifischen Ausnahmen gelten, werden beide Rechtsakte parallel angewendet.
Der Begriff „Hardware” umfasst physische elektronische Informationssysteme, die digitale Daten verarbeiten, speichern oder übertragen, sowie Teile solcher Systeme. Dazu gehören zum Beispiel Mobiltelefone, Tablets, Smartwatches, Drohnen und Router.Einige Produkte, die als Hardware eingestuft werden, fallen auch unter die RED (Funkgeräterichtlinie). Da jedoch keine sektorspezifischen Ausnahmen gelten, werden beide Rechtsakte parallel angewendet.
Software
Der CRA gilt sowohl für in Hardware integrierte Software (sogenannte „embedded software”) als auch für eigenständige Software. Während des Gesetzgebungsverfahrens gab es eine kontroverse Debatte über die Einbeziehung von Open-Source-Software – in der CRA als „freie und Open-Source-Software” bezeichnet – in den Anwendungsbereich der Verordnung. In der endgültigen Fassung des CRA wird ein differenzierter Ansatz mit den folgenden Unterscheidungen gewählt:
Der CRA gilt sowohl für in Hardware integrierte Software (sogenannte „embedded software”) als auch für eigenständige Software. Während des Gesetzgebungsverfahrens gab es eine kontroverse Debatte über die Einbeziehung von Open-Source-Software – in der CRA als „freie und Open-Source-Software” bezeichnet – in den Anwendungsbereich der Verordnung. In der endgültigen Fassung des CRA wird ein differenzierter Ansatz mit den folgenden Unterscheidungen gewählt:
| • | Kommerzielle OSS: im Anwendungsbereich |
| • | Nicht kommerzielle OSS: nicht im Anwendungsbereich |
| • | Unterstützende Organisationen, unter deren Dach Open-Source-Software gemeinsam entwickelt wird: sollen einem deutlich reduzierten Verpflichtungsumfang gegenüber den Herstellern und einem abgemilderten Sanktionsregime unterliegen (deshalb wurde der Wirtschaftsakteur Open-Source-Software-Administrator eingeführt) |
Cloud-Lösungen
Cloud-Lösungen unterliegen nur dann dem GWB, wenn sie als sog. „Datenfernverarbeitungslösung” im Sinne von Art. 3 Nr. 2 CRA eingestuft werden, z. B. Cloud-Funktionen, die von Herstellern intelligenter, fernsteuerbarer Haushaltsgeräte angeboten werden. Für die Bereitstellung anderer Cloud-Dienste (SaaS, PaaS oder IaaS) richten sich die Anforderungen an die Cybersicherheit in erster Linie nach der NIS2-Richtlinie. Diese Richtlinie gilt für Cloud-Anbieter, wenn sie als wesentliche oder wichtige Einrichtungen eingestuft werden.
Cloud-Lösungen unterliegen nur dann dem GWB, wenn sie als sog. „Datenfernverarbeitungslösung” im Sinne von Art. 3 Nr. 2 CRA eingestuft werden, z. B. Cloud-Funktionen, die von Herstellern intelligenter, fernsteuerbarer Haushaltsgeräte angeboten werden. Für die Bereitstellung anderer Cloud-Dienste (SaaS, PaaS oder IaaS) richten sich die Anforderungen an die Cybersicherheit in erster Linie nach der NIS2-Richtlinie. Diese Richtlinie gilt für Cloud-Anbieter, wenn sie als wesentliche oder wichtige Einrichtungen eingestuft werden.
3 Wer ist vom CRA betroffen?
Hersteller
Bezieht sich auf jede Person oder Firma, die Produkte mit digitalen Elementen entwickelt, herstellt oder vertreibt, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht.
Bezieht sich auf jede Person oder Firma, die Produkte mit digitalen Elementen entwickelt, herstellt oder vertreibt, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht.
Bevollmächtigter
Bezeichnet jede Person oder Firma innerhalb der EU, die vom Hersteller schriftlich beauftragt wurde, bestimmte Aufgaben in seinem Namen auszuführen.
Bezeichnet jede Person oder Firma innerhalb der EU, die vom Hersteller schriftlich beauftragt wurde, bestimmte Aufgaben in seinem Namen auszuführen.
Importeur
Jede Person oder Firma innerhalb der EU, die ein Produkt mit digitalen Elementen auf den Markt bringt, das den Namen oder die Marke einer Person oder Firma außerhalb der EU trägt.
Jede Person oder Firma innerhalb der EU, die ein Produkt mit digitalen Elementen auf den Markt bringt, das den Namen oder die Marke einer Person oder Firma außerhalb der EU trägt.
Händler
Jede natürliche oder juristische Person innerhalb der Lieferkette, mit Ausnahme des Herstellers oder des Importeurs, die ein Produkt mit digitalen Elementen auf dem Unionsmarkt bereitstellt, ohne seine Eigenschaften zu verändern.
Jede natürliche oder juristische Person innerhalb der Lieferkette, mit Ausnahme des Herstellers oder des Importeurs, die ein Produkt mit digitalen Elementen auf dem Unionsmarkt bereitstellt, ohne seine Eigenschaften zu verändern.
Verwalter von Open-Source-Software
Jede juristische Person, die kein Hersteller ist, die systematisch und nachhaltig die Entwicklung bestimmter Produkte mit digitalen Elementen unterstützt, die als freie und quelloffene Software für kommerzielle Tätigkeiten qualifiziert sind, und so die Lebensfähigkeit dieser Produkte gewährleistet.
Jede juristische Person, die kein Hersteller ist, die systematisch und nachhaltig die Entwicklung bestimmter Produkte mit digitalen Elementen unterstützt, die als freie und quelloffene Software für kommerzielle Tätigkeiten qualifiziert sind, und so die Lebensfähigkeit dieser Produkte gewährleistet.
Die Verantwortlichkeiten der Wirtschaftsakteure unterscheiden sich wie in der folgenden Grafik dargestellt:
3.1 Welche Pflichten treffen die Wirtschaftsakteure?
Hersteller sind verpflichtet sicherzustellen, dass ihre Produkte mit digitalen Elementen gemäß den in Anhang I Teil 1 des CRA definierten Cybersicherheitsanforderungen entworfen, entwickelt und produziert werden. Zu diesen „grundlegenden Sicherheitsanforderungen ” zählen insbesondere:
(Cybersicherheits-) Risikobewertung
Um diese wesentlichen Anforderungen zu erfüllen, muss jeder Hersteller zunächst eine umfassende und dokumentierte Risikobewertung für das jeweilige Produkt durchführen. Diese Bewertung muss den gesamten Lebenszyklus des Produkts abdecken, einschließlich Planung, Entwicklung, Fertigung, Lieferung und Wartung, und in die technische Dokumentation des Produkts aufgenommen werden. Wenn Komponenten oder Software von Drittanbietern integriert werden, muss der Hersteller zudem eine Due Diligence durchführen, um sicherzustellen, dass diese integrierten Teile die Cybersicherheit des Endprodukts nicht gefährden. Hierzu muss eine Analysemethode ggf. entwickelt und angewendet werden, welche umfassende, kontinuierliche und reproduzierbare Ergebnisse bzgl. der Cybersicherheit gewährleistet.
Um diese wesentlichen Anforderungen zu erfüllen, muss jeder Hersteller zunächst eine umfassende und dokumentierte Risikobewertung für das jeweilige Produkt durchführen. Diese Bewertung muss den gesamten Lebenszyklus des Produkts abdecken, einschließlich Planung, Entwicklung, Fertigung, Lieferung und Wartung, und in die technische Dokumentation des Produkts aufgenommen werden. Wenn Komponenten oder Software von Drittanbietern integriert werden, muss der Hersteller zudem eine Due Diligence durchführen, um sicherzustellen, dass diese integrierten Teile die Cybersicherheit des Endprodukts nicht gefährden. Hierzu muss eine Analysemethode ggf. entwickelt und angewendet werden, welche umfassende, kontinuierliche und reproduzierbare Ergebnisse bzgl. der Cybersicherheit gewährleistet.
Fortlaufende Identifikation und Dokumentation von Cybersicherheitsaspekten
Hersteller müssen über die Erfüllung der Produktanforderungen hinaus auch während des sogenannten „Unterstützungszeitraums” systematisch relevante Cybersicherheitsrisiken und mögliche Sicherheitslücken identifizieren und ihre Risikobewertung regelmäßig aktualisieren.
Hersteller müssen über die Erfüllung der Produktanforderungen hinaus auch während des sogenannten „Unterstützungszeitraums” systematisch relevante Cybersicherheitsrisiken und mögliche Sicherheitslücken identifizieren und ihre Risikobewertung regelmäßig aktualisieren.
Der Unterstützungszeitraum muss mindestens fünf Jahre ab dem Inverkehrbringen des Produkts betragen. Kürzere Zeiträume sind nur zulässig, wenn das Produkt voraussichtlich weniger als fünf Jahre genutzt wird. Der Hersteller legt den Unterstützungszeitraum fest und dokumentiert ihn in den technischen Unterlagen des Produkts. Das Enddatum des Unterstützungszeitraums muss auf der Verpackung des Produkts oder direkt am Produkt selbst angegeben werden.