Zum Einstieg Lesezeichen hinzufügen

19. September 2022Lesedauer 6 Minuten

Der Entwurf der Europäischen Kommission für den Cyber Resilience Act

Der vorgeschlagene Cyber Resilience Act soll Grundvoraussetzungen für sämtliche Produkte mit digitalen Elementen regeln und damit für mehr Cybersicherheit sorgen.

Am 15. September 2022 hat die Europäische Kommission den Entwurf des Cyber Resilience Act (Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020, CRA-E) vorgestellt.

Im Folgenden haben wir die die wesentlichen Inhalte des CRA-E zusammengefasst.

Hintergrund

Im September 2021 kündigte die Europäische Kommission das Gesetzgebungsvorhaben an. Begründet wurde dieses damit, dass die immer häufiger zu verzeichnenden Cyberangriffe zum einen immense wirtschaftliche Schäden nach sich ziehen und zum anderen die Sicherheit der in der Union ansässigen Unternehmen und Bürgerinnen und Bürger beeinträchtigen.

Der CRA-E soll nun Bedingungen dafür schaffen, dass Produkte mit digitalen Elementen bestimmte Cybersicherheitsanforderungen während des gesamten Produktlebenszyklus erfüllen. Zudem sollen gesteigerte Transparenzvorgaben gewährleisten, dass Nutzergruppen Cybersicherheitsmerkmale bei der Auswahl und Nutzung der Produkte berücksichtigen können und so besser vor Cyberangriffen geschützt sind.

Anwendungsbereich des CRA-E

Der sachliche Anwendungsbereich des CRA-E ist denkbar weit und umfasst sämtliche Produkte mit digitalen Elementen, deren beabsichtigte oder absehbare Nutzung darin liegt, eine direkte und/oder indirekte Verknüpfung gleich welcher Art zu einem Gerät und/oder Netzwerk herzustellen. Gemäß der vorgeschlagenen Definition sollen sämtliche Software- und Hardwareprodukte und die damit verbundenen Datenverarbeitungsvorgänge erfasst werden.

Die erfassten Produkte werden zudem in zwei Kategorien unterteilt, wobei die Unterteilung anhand prognostizierter Risikostufen für die Cybersicherheit dieser Produkte erfolgt. Für Produkte mit erhöhter Kritikalität gelten speziellere, strengere Anforderungen.

Einen territorialen Anwendungsbereich legt der CRA-E nicht ausdrücklich fest, auch die Erwägungsgründe enthalten hierzu keine Aussagen. Dadurch entsteht eine gewisse Unsicherheit, ob und welche Regelungen von nicht in der Europäischen Union ansässigen Unternehmen eingehalten werden müssen. Gleichwohl ist aufgrund des Sinn und Zwecks des Gesetzes eine Tendenz zu einer extraterritorialen Anwendbarkeit zu erkennen, die jedoch nicht zuletzt aus Gründen der Rechtssicherheit noch ausdrücklich geregelt werden müsste.

Ebenso sind ausdrücklich solche Produkte vom Anwendungsbereich ausgenommen, die bereits Gegenstand anderer europäischer Gesetzgebung sind, wie z. B. Medizinprodukte. Hinsichtlich dieser Produktkategorien geht die Europäische Kommission davon aus, dass die Vorgaben des CRA-E bereits hinreichend in den spezifischen, für diese Produktkategorien geltenden Gesetzen enthalten sind.

Pflichten bestimmter Marktteilnehmer

Abhängig von der Klassifizierung als entweder Hersteller (manufacturer), Importeur (importer), oder Vertriebsunternehmen (distributor) gibt der CRA-E einen jeweils unterschiedlich abgestuften Pflichtenkanon vor.

Die grundsätzliche Zielsetzung bleibt jedoch, dass die relevanten Produkte die „wesentlichen Cybersicherheitsanforderungen und -pflichten“ erfüllen, die hauptsächlich in Annex 1 des CRA-E festgelegt sind. Zu diesen zählen insbesondere die Entwicklung, Produktion und Markteinführung der betroffenen Produkte gemäß bestimmter rechtlicher und technischer Parameter, sowie ein wirksames Schwachstellenmanagement. Die Pflichten sind überwiegend nicht nur punktuell einzuhalten, sondern regelmäßig über einen Zeitraum von bis zu fünf Jahren, beginnend mit der Markteinführung eines Produkts.

Für die Umsetzung dieser Vorgaben sieht der CRA-E einen Übergangszeitraum von 24 Monaten (und in manchen Teilen von sogar nur 12 Monaten) vor, beginnend mit Inkrafttreten der Verordnung. Dies dürfte zahlreiche Unternehmen vor große Herausforderungen stellen. Regelmäßig sind Produktentwicklungs- und Herstellungszyklen über einen wesentlich längeren Zeitraum angelegt, die Umstellung dieser Planungen geht daher mit wesentlichen operativen Umständen einher und dürfte aufgrund dessen eine erhebliche wirtschaftliche Mehrbelastung verursachen.

Rechtskonformität der Produkte mit digitalen Elementen

Die vom CRA-E betroffenen Produkte sollen bestimmte Cybersicherheitsmerkmale erfüllen. Im Einklang mit den Harmonisierungsbemühungen der europäischen Gesetzgebung soll jedoch die Möglichkeit bestehen, hierfür bereits bestehende europäische Standards nutzen zu können. Erfüllen die Produkte die dort vorgegebenen Merkmale, wird vermutet, dass sie auch den Merkmalen des CRA-E entsprechen, wobei Vermutungen dieser Art auch jederzeit widerlegt werden können. Fehlen solche Standards, kann die Europäische Kommission diese Standards selbst setzen.

Zum Nachweis der Einhaltung ihrer Pflichten sind Hersteller dazu verpflichtet, eine sogenannte Konformitätsbeurteilung durchzuführen. Je nach Risikoklassifizierung des jeweiligen Produkts gibt es hierfür unterschiedliche Verfahren und Methoden, wobei als besonders risikobehaftet geltende Produkte strengeren Anforderungen unterliegen. Die Verfahren reichen von internen Kontrollmaßnahmen bis hin zu einer vollständigen Qualitätssicherung. Für jedes dieser Verfahren enthält CRA-E Checklisten mit Vorgaben, die alle erfüllt werden müssen, um das Verfahren erfolgreich zu durchlaufen.

Zuständige Stellen und behördliche Befugnisse

Der CRA-E sieht auch umfangreiche Beteiligungsmöglichkeiten staatlicher Stellen vor. So werden die Europäische Kommission, die ENISA (European Union Agency for Cybersecurity) und nationale Behörden mit umfassenden Marktüberwachungs-, Untersuchungs- und Anordnungsbefugnissen ausgestattet. Für grenzüberschreitende Sachverhalte regelt der CRA-E auch die unterschiedlichen Verfahren und Grundsätze der Zusammenarbeit dieser Stellen miteinander, sollte es zu Meinungsverschiedenheiten in der Auslegung und Anwendung des Gesetzes kommen.

Besonders auffällig und drastisch erscheint die Möglichkeit der Behörden, sogenannte „Sweeps“ durchzuführen. Darunter sind unangekündigte, koordinierte, flächendeckende Überwachungs- und Kontrollmaßnahmen zu verstehen, die Aufschluss darüber geben sollen, ob die Anforderungen des CRA-E eingehalten werden. Von besonderer Bedeutung ist dabei, dass Sweeps offenbar von mehreren Behörden in enger Abstimmung gleichzeitig ausgeführt werden können und so die Untersuchung grenzüberschreitender Sachverhalte ermöglicht werden. Unklar ist, wie dabei die Rechte und Freiheiten der Bürgerinnen und Bürger geschützt werden sollen, die über ein betroffenes Produkt verfügen und dieses aktiv nutzen.

Insbesondere: Bußgeldrisiken

Für die Nichteinhaltung bestimmter gesetzlicher Anforderungen sieht der CRA-E ein abgestuftes Bußgeldkonzept vor, das sinngemäß dem Beispiel jüngster europäischer Gesetzgebung folgt und vor allem als Abschreckung dienen soll. Bußgelder wegen Verstößen gegen den CRA-E können maximal eine Höhe von entweder EUR 15 Millionen, oder 2,5 % des Gesamtjahresumsatzes des vergangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist – erreichen.

In diesem Zusammenhang dürften erhebliche Rechtsunsicherheiten vor allem deswegen entstehen, dass die Modalitäten zur Verhängung von Bußgeldern den Mitgliedsstaaten überlassen werden. Zwar gibt der CRA-E bestimmte Parameter vor, insbesondere Kriterien zur Bemessung des Bußgelds, gleichwohl verursacht der Regelungsvorschlag erhebliche Bedenken hinsichtlich der unionsweiten einheitlichen Auslegung und Anwendung der Bußgeldvorschriften.

Zusammenfassung

Der CRA-E ist Bestandteil einer Reihe von bereits ergangener europäischer Gesetzgebung und künftiger Gesetzgebungsvorhaben, die aus der Digitalisierungsstrategie der Europäischen Kommission folgen.

Aufgrund der schon immer gegebenen und stets wachsenden Bedeutung von Cybersicherheit und der stetig wachsenden öffentlichen Aufmerksamkeit für dieses Thema ist der Regelungsansatz sicherlich zu begrüßen. Gleichwohl stellt der CRA-E in seiner derzeitigen Fassung zahlreiche Marktteilnehmer vor große Herausforderungen und droht in manchen Regelungsbereichen Unsicherheiten auszulösen, sollte der Entwurf in der vorliegenden Form verabschiedet werden sollte. Zahlreiche Regelungskomplexe sind noch zu unbestimmt oder greifen zu intensiv in die Rechte der Marktteilnehmer ein.

Es ist daher mit Spannung zu erwarten, welche Entwicklungen sich im weiteren Verlauf des Gesetzgebungsverfahrens ergeben. Unternehmen sind jedoch gehalten, dieses genauestens zu beobachten und sich bereits jetzt auf Umsetzung möglicher Maßnahmen vorzubereiten.

Print