Vorschlag der EU-Kommission für einen „Cyber Resilience Act“

Am 15.9.2022 hat die EU-Kommission ihren Verordnungsvorschlag für einen Cyber Resilience Act („CRA") mit 55 Artikeln und 71 Erwägungsgründen veröffentlicht (2022/0272 (COD)). Der CRA enthält Anforderungen an die Cybersicherheit für das Inverkehrbringen von Produkten mit digitalen Elementen. Diese Anforderungen betreffen sowohl die Gestaltung, Entwicklung und Produktion von Produkten mit digitalen Elementen als auch Prozesse für den Umgang mit Schwachstellen solcher Produkte während ihres Lebenszyklus. Die Umsetzung dieser Anforderungen soll durch Marktüberwachung und erhebliche Sanktionsdrohungen gewährleistet werden. Die folgende Darstellung kann dafür nur einen groben Überblick bieten:

1. Anwendungsbereich des Cyber Resilience Act

Der Anwendungsbereich des CRA umfasst grundsätzlich jegliche „Produkte mit digitalen Elementen". Dies sind alle Software- und Hardware-Produkte einschließlich deren Komponenten sowie etwaige „remote" Datenverarbeitungslösungen, ohne die eine vorgesehene Funktion des jeweiligen Produkts mit digitalen Elementen nicht ausgeführt würde. Ausgenommen sind nur einige spezifisch regulierte Produkte (Medizinprodukte, in-vitro Diagnostika, Kfz, Luftfahrt) sowie Produkte, für die eine sektorspezifische Regulierung entsprechende Aspekte bereits mit abdeckt. In seinem Anwendungsbereich gilt der CRA dabei als „horizontale" Regulierung für jegliche Produkte mit digitalen Elementen, unabhängig etwa von den Funktionen des Produkts und dem Nutzerkreis (Unternehmer, Verbraucher, öffentliche Hand).

2. Verhältnis zu anderen EU-Rechtsakten

Der CRA ist Bestandteil der Cybersecurity Strategie der EU-Kommission. Weitere Bausteine der Cybersecurity Strategie sind etwa die als NIS2-Richtlinie bezeichnete Überarbeitung der bestehenden Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie). Die NIS2-Richtlinie soll Betreiber und Nutzer von IT-Systemen in bestimmten Sektoren, oft ab einer bestimmten Größe, zu IT-Sicherheitsmaßnahmen verpflichten. Daneben hat die EU-Kommission bereits 2020 den Entwurf einer Richtlinie für die Resilienz kritischer Infrastrukturen vorgelegt. Seit April 2021 liegt zudem ein Vorschlag der EU-Kommission für eine Verordnung über künstliche Intelligenz (AI Act) vor, der strukturell teilweise Ähnlichkeiten zum CRA aufweist. Es handelt sich dabei jeweils um ordnungsrechtliche Vorgaben, die das zivilrechtliche Verhältnis zwischen Anbietern und Kunden für Leistungen nicht direkt betreffen. Darin unterscheidet sich deren Ausrichtung von den Richtlinien für Warenkauf und für digitale Inhalte (2019/771 und 2019/770), die mit den BGB-Novellen im Vertragsrecht seit 1.1.2022 insbesondere auch in den neuen §§ 327 ff BGB umgesetzt sind. Ebenfalls zivilrechtliche Ansprüche soll die geplante Überarbeitung der EU-Produkthaftungsrichtlinie (85/374/EWG) regeln, die bislang im deutschen Produkthaftungsgesetz umsetzt ist.

3. Grundregelungen des Cyber Resilience Act

Der CRA enthält allgemeine Marktzugangsregelungen für Produkte mit digitalen Elementen. Diese dürfen nur in Verkehr gebracht werden, wenn (1) das Produkt selbst grundlegende Anforderungen an die Cybersecurity erfüllt und (2) Anforderungen an Prozesse für den Umgang mit Schwachstellen der Cybersecurity erfüllt werden.

Für die Anforderungen an das Produkt und an die Prozesse für den Umgang mit Schwachstellen unterscheidet der CRA in drei Risikoklassen zwischen (1) „normalen", (2) kritischen und (3) hochkritischen Produkten mit digitalen Elementen. Hersteller müssen stets eine Konformitätsbewertung für das jeweilige Produkt und die Prozesse durchführen. Konforme Produkte müssen eine ordnungsgemäße CE-Kennzeichnung führen und dürfen nur mit einer solchen Kennzeichnung in den Markt gebracht werden.

„Normale" Produkte unterliegen einer Selbstzertifizierung durch den Hersteller nach im Grundsatz bereits bekannten Mechanismen. Die entsprechenden Anforderungen der Cybersicherheit für Produktgestaltung, -entwicklung und -produktion sowie Prozesse zur Behandlung von Schwachstellen sind in einer Anlage zum CRA beschrieben.

„Kritische" Produkte werden in einer Anlage zum CRA in zwei Klassen benannt, die von der EU-Kommission nach bestimmten Kriterien aktualisiert werden kann. Für solche „kritischen" Produkte ist die Konformitätsbewertung des Produkts und der Prozesse des Herstellers unter Einbindung einer dafür Notifizierten Stelle für die Konformitätsbewertung durchzuführen. Ausgenommen davon sind nur Produkte der „unkritischeren" Klasse 1, wenn der Hersteller die Konformitätsbewertung des Produkts und seiner Verfahren vollständig nach von der EU offiziell akzeptierten Standards oder Spezifikationen oder den Kriterien der europäischen Cybersicherheitszertifizierung vorgenommen hat.

„Hochkritische" Produkte sollen von der EU-Kommission gesondert durch delegierte Rechtsakte benannt werden und bedürfen stets eines Europäischen Cybersicherheitszertifikats.

4. Anforderungen an Marktteilnehmer

Neben Konformitätsbewertung und CE-Kennzeichnung treffen Produkthersteller weitere Pflichten. Dazu gehört etwa die Behandlung von Schwachstellen der Cybersecurity einschließlich der kostenlosen Bereitstellung und Verbreitung von Security Updates für die Lebensdauer des Produkts, allerdings längstens für 5 Jahre ab erstem Inverkehrbringen in der EU. Zudem sind Hersteller verpflichtet, ausgenutzte Schwachstellen und Vorfälle mit Auswirkungen auf die Produktsicherheit binnen 24 Stunden nach Kenntniserlangung an die ENISA zu melden und Nutzer über Sicherheitsvorfälle zu informieren.

Importeure müssen vor Inverkehrbringen von Produkten mit digitalen Elementen sicherstellen, dass der Hersteller eine ordnungsgemäße Konformitätsbewertung durchgeführt und die erforderliche technische Dokumentation erstellt hat sowie dass das Produkt über die CE-Kennzeichnung und die erforderlichen Informationen und Nutzungshinweise verfügt. Der Importeur muss seinen Namen und seine Kontaktdaten am Produkt oder zumindest an der Produktverpackung anbringen. Bei Kenntnis von oder Verdacht auf nicht vorhandene Konformität ist der Importeur zur Veranlassung von Abhilfemaßnahmen oder – wenn angemessen – zur Einstellung des Vertriebs oder zum Rückruf des Produkts verpflichtet. Bei erheblichen Cybersicherheitsrisiken muss der Importeur die Marktaufsicht informieren.

Distributoren sind vor Vertrieb eines Produkts mit digitalen Elementen verpflichtet, sich von der ordnungsgemäßen CE-Kennzeichnung und der Erfüllung der Pflichten von Herstellern und Importeuren zu überzeugen. Bei Kenntnis von oder Verdacht auf nicht vorhandene Konformität treffen einen Distributor dieselben Pflichten wie einen Importeur.　

5. Notifizierte Konformitätsbewertungsstellen und Marküberwachung

Konformitätsbewertungsstellen bedürfen der Notifizierung, um im Sinn des CRA tätig zu sein. Diese Notifizierung erfolgt durch dafür autorisierte nationale Stellen und setzt die Erfüllung verschiedener Kriterien voraus, darunter etwa Fachkenntnis, personelle Ausstattung und Unabhängigkeit. Eine notifizierte Konformitätsbewertungsstelle erhält eine Identifikationsnummer der EU-Kommission und unterliegt Informationspflichten gegenüber der für die Notifizierung autorisierten nationalen Stelle.

Produkte mit digitalen Elementen unterliegen der bereits durch die entsprechende EU-Verordnung (2019/1020) eingeführten Marktüberwachung durch nationale Behörden, die von den Mitgliedsstaaten zu bestimmen sind. Diese sind zur Zusammenarbeit mit den Datenschutzaufsichtsbehörden verpflichtet, die dort Dokumentationen nach dem CRA zur Erfüllung ihrer Aufgaben anfordern können. Die Marktaufsichtbehörden haben wiederum Zugang zu den für die Konformitätsbewertung relevanten Informationen. Marktaufsichtsbehörden können nach einer Bewertung vermuteter Nichtkonformität eines Produkts mit digitalen Elementen auch die Einstellung des Vertriebs oder den Produktrückruf anordnen.

In Ausnahmefällen kann die EU-Kommission nach einem abgestuften Verfahren auch selbst die Vertriebseinstellung oder den Rückruf eines Produkts mit digitalen Elementen anordnen.　

6. Sanktionen durch Mitgliedsstaaten

Der CRA sieht für Verstöße erhebliche Ordnungsgelder vor. Diese betragen für Verstöße gegen zentrale Vorschriften für Hersteller bis zu 15 Mio. EUR oder 2,5 % des weltweiten Umsatzes im vorherigen Wirtschaftsjahr, für andere Verstöße bis zu 10 Mio. EUR oder 2 % dieses Jahresumsatzes sowie für unzutreffende, unvollständige oder irreführende Informationen an notifizierte Konformitätsbewertungsstellen oder die Marktaufsicht bis zu 5 Mio. EUR oder 1 % dieses Jahresumsatzes, wobei jeweils die höhere Zahl maßgeblich ist.

Die Regeln für die Verhängung der Geldbußen sind jeweils durch die Mitgliedsstaaten festzulegen, denen auch die Umsetzung im Einzelfall anhand der jeweils maßgeblichen Umstände obliegt.　

7. Einführungsfristen

Die Regelungen des CRA sollen 24 Monate nach seinem Inkrafttreten anwendbar werden, die Informationspflichten der Hersteller über ausgenutzte Schwachstellen und Sicherheitsvorfälle jedoch bereits nach 12 Monaten.