Am 10. Oktober 2024 hat der Rat der Minister den finalen Entwurf des Cyber Resilience Act (CRA) angenommen. Demnächst wird die Verordnung im Amtsblatt der Europäischen Union veröffentlicht und dann am darauffolgenden Tag in Kraft treten.

Wir haben uns den aktuellen Verordnungstext angeschaut und mit dem ursprünglichen Entwurf der Europäischen Kommission abgeglichen. Nachfolgend haben wir die wichtigsten Änderungen für Sie aufgeführt:

1. Anwendungsbereich:

In Art. 2 CRA wurden zwei weitere Ausnahmen für den Anwendungsbereich hinzugefügt. Demnach sind Geräte, die in den Anwendungsbereich der Schiffausrüstungsrichtlinie (Richtlinie 2014/90/EU) fallen, vom CRA ausgenommen.

Zudem gilt die Verordnung gemäß Art. 2 Abs. 6 CRA nicht für auf dem Markt bereitgestellte Ersatzteile, die zur Ersetzung von identischen Komponenten in Produkten mit digitalen Elementen hergestellt wurden. Damit wird dem Umstand Rechnung getragen, dass die zu ersetzende Komponente bereits das erforderliche Cybersicherheitsniveau aufweist und eine erneute Prüfung des identischen Ersatzteils insoweit obsolet wird.

2. Open-Source Software:

Der Kommissionsentwurf sah die kommerzielle Verwendung von Open-Source-Software als vom Anwendungsbereich des CRA umfasst an. Dies löste erhebliche Kritik in der Open-Source-Community aus, die beim Verordnungsgeber offenbar Gehör gefunden hat. Der finale Verordnungstext setzt sich dezidierter mit dem Thema Open-Source-Software auseinander und beschränkt den Anwendungsbereich auf freie und quelloffene Software, die auf dem Markt bereitgestellt und somit zum Vertrieb oder zur Nutzung im Rahmen einer Geschäftstätigkeit verfügbar gemacht wird (ErwG 18 Satz 3 CRA). Die Bereitstellung solcher Software, die nicht zu Geld gemacht wird, gilt hingegen nicht als Geschäftstätigkeit, ebenso wenig die Entwicklung von Open-Source-Software durch gemeinnützige Organisationen.

Eine weitere wesentliche Neuerung findet sich in Art. 3 Nr. 14 CRA mit der Einführung des Open Source Stewards (zu deutsch: „Verwalter quelloffener Software“) als neue Rechtsfigur. Dabei handelt es sich um eine juristische Person, die nicht Produkthersteller ist, sondern die nachhaltige Unterstützung der Entwicklung von Open-Source Software zu kommerziellen Tätigkeiten sowie deren Vermarktbarkeit zum Ziel hat. In Art. 24 CRA werden dem Verwalter quelloffener Software Pflichten auferlegt. Dazu gehören die Dokumentation einer Cybersicherheitsstrategie, die neben der Entwicklung eines sicheren Produkts auch einen wirksamen Umgang mit Schwachstellen durch die Entwickler sowie einen Austausch innerhalb der Open-Source-Gemeinschaft gewährleisten soll.

Hintergrund der Schaffung dieser neuen Rechtsfigur ist das Ziel, gewisse regulatorische Anforderungen zur Cybersicherheit auch bei der Entwicklung von kommerzieller Open-Source-Software sicherzustellen.

3. Neue Risikokategorien für Produkte

Bereits der Kommissionsentwurf sah verschiedene Risikokategorien für Produkte mit digitalen Elementen vor, zu denen kritische Produkte mit digitalen Elementen gehörten, welche in die Klassen I (z.B. Passwörter und Antivirenprogramme) und II (z.B. Chipkarten) unterteilt wurden. Für kritische Produkte mit digitalen Elementen galt nach Art. 24 Abs. 2 und 3 CRA-E ein verschärftes Konformitätsbewertungsverfahren. Daneben sah der Kommissionsentwurf auch die Kategorie hochkritischer Produkte mit digitalen Elementen vor, die allerdings durch delegierten Rechtsakt konkretisiert werden sollte. Daneben gab es nach Art. 8 CRA-E noch die Kategorie der Hochrisiko-KI-Systeme, deren Konformität sich sowohl nach dem CRA-E als auch der KI-VO regelte.

Die finale Version des CRA weist demgegenüber die Risikokategorien „wichtige Produkte“, „kritische Produkte“ und „Hochrisiko-KI-Systeme“ auf.

Wichtige Produkte mit digitalen Elementen weisen eine Kernfunktion einer in Anhang III aufgeführten Produktkategorie auf und unterliegen einem strengeren Konformitätsbewertungsverfahren gemäß Art. 32 Abs. 2 und 3 CRA. Dazu gehören z.B. Passwort-Manager, Antivirenprogramme, Betriebssysteme oder Firewalls. Auch diese Produkte werden jeweils in die Klassen I und II unterteilt und entsprechen im Kern den im Kommissionsentwurf genannten „kritischen Produkten“.

Der Begriff kritische Produkte umfasst im finalen CRA Produkte des Anhangs IV (z.B. Hardwaregeräte mit Sicherheitsboxen, Geräte für fortgeschrittene Sicherheitszwecke, oder Chipkarten und ähnliche Geräte). Diesbezüglich wird der Kommission die Befugnis übertragen, den Anhang IV mit weiteren Produktkategorien zu ergänzen.

Die Regelungen zu Hochrisiko-KI-Systemen sind im Kern gleich geblieben.

4. Unterstützungszeitraum:

Der finale Verordnungstext definiert in Art. 3 Nr. 20 CRA einen sogenannten Unterstützungszeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam behandelt werden. Diese Regelung ist sicherlich eine Antwort auf die Kritik infolge der unklaren Vorschrift aus dem Kommissionsentwurf zum Zeitraum der Behandlung von Schwachstellen, der pauschal auf 5 Jahre oder für die erwartete Produktlebensdauer festgelegt wurde, je nach dem welcher Zeitraum kürzer war. In Art. 13 Abs. 8 CRA wird für den Hersteller nun festgelegt, dass der Unterstützungszeitraum mindestens fünf Jahre beträgt, sofern die voraussichtliche Nutzungsdauer nicht darunter liegt. Ungeachtet dessen hat der Hersteller den Unterstützungszeitraum anhand bestimmter Kriterien (z.B. Dauer der voraussichtlichen Nutzung, Erwartungen der Nutzer, Art des Produkts, Zeiträume für ähnliche Produkte, Leitlinien der Gruppe zur administrativen Zusammenarbeit und der Kommission) selbst festzulegen. Gleichwohl gilt auch nach wie vor, dass während der gesamten Produktlebensdauer die Schwachstellenbehandlung sicherzustellen ist.

5. Weitere Pflichten für Hersteller:

Der Pflichtenkatalog für den Hersteller ist in der finalen Fassung des CRA noch etwas gewachsen. Beispielsweise werden die Kriterien zur Bewertung des Cybersicherheitsrisikos für Hersteller in Art. 13 Abs. 3 CRA nun konkretisiert (u.a. Analyse der Cybersicherheitsrisiken auf der Grundlage der Zweckbestimmung und der vernünftigerweise vorhersehbaren Produktverwendung). Zudem besteht gem. Art. 13 Abs. 15 CRA die Pflicht, eine Typen-, Chargen- oder Seriennummer an das Produkt mit digitalen Elementen anzubringen bzw. dies in den beigefügten Unterlagen anzugeben.

6. Einheitliche Meldeplattform:

Eine weitere Neuerung findet sich in Art. 16 CRA. Zur Vereinfachung der Meldepflichten richtet die ENISA eine einheitliche Meldeplattform ein, über die der Hersteller aktiv ausgenutzte Schwachstellen zu melden hat.

7. Privilegierungen für KMUs

Wie andere europäische Verordnungen enthält nunmehr auch der CRA-EP Privilegierungen für Kleinst-, Klein- und mittlere Unternehmen (KMUs). Mitgliedstaaten können beispielsweise spezielle Sensibilisierungs- und Schulungsmaßnahmen zur Anwendung der Verordnung (Art. 33 Abs. 1 lit. a CRA) organisieren oder Reallabore für Cyberresilienz einrichten, um KMUs bei der Einhaltung der Pflichten des CRA zu unterstützen. Des Weiteren reicht für KMUs die Vorlage der technischen Dokumentation in einem vereinfachten Format aus (Art. 33 Abs. 5 CRA), was noch durch die Kommission im Wege eines Durchführungsrechtsakts zu bestimmen ist.

8. Möglichkeit der Verbandsklagen

Gemäß Art. 65 CRA-EP findet die Verbandsklage-Richtlinie (EU 2020/1828) Anwendung, sofern Wirtschaftsakteure gegen die Bestimmungen des CRA verstoßen. Dadurch können Verbraucherverbände Verbandsklagen wegen Verstößen gegen den CRA erheben, sofern die Kollektivinteressen der Verbraucher dadurch beeinträchtigt werden. Daher gilt für Wirtschaftsakteure umso mehr, die Einhaltung der Vorgaben des CRA nachhaltig sicherzustellen.

9. Geltung der Verordnung

Im Kommissionsentwurf war ursprünglich angedacht, dass der CRA 24 Monate nach dem Inkrafttreten zur Geltung gelangt. In der finalen Fassung wurde diese Frist auf 36 Monate erhöht (Art. 71 Abs 2 CRA).

Bereits nach 18 Monaten gelten die Regelungen des Kapitel IV zur Notifizierung von Konformitätsbewertungsstellen. Dazu gehört die Benennung der notifizierenden Behörden und die Einrichtung der Konformitätsbewertungsstellen.

Nach 21 Monaten ab dem Inkrafttreten gelten die in Art. 14 CRA genannten Meldepflichten des Herstellers.

Empfehlungen für die Praxis:

Da der finale Verordnungstext nun veröffentlicht wurde und in Kürze auch im Amtsblatt erscheinen wird, stehen der endgültige Anwendungsbereich und die Pflichten für die Adressaten nun fest. Auch wenn der Großteil der Vorschriften erst in 3 Jahren gelten wird, raten wir Unternehmen, die von der Anwendbarkeit des CRA betroffen sind, bereits jetzt, sich mit den Vorschriften der Verordnung vertraut zu machen und ihre bestehenden Prozesse anzupassen.

In unserer CRA-Update-Reihe präsentieren wir Ihnen regelmäßig Informationen zu dem geplanten Cyber Resilience Act der Europäischen Union und halten Sie über Änderungen im laufenden Gesetzgebungsverfahren informiert. In jedem unserer Beiträge geben wir Ihnen einen kurzen Überblick über einen konkreten Themenbereich und stellen Ihnen dabei die wichtigsten Aspekte sowie praktische Auswirkungen vor.

Am 21.11.2024 findet unser Webinar „Cyber Resilience Act im Überblick: Was gilt für wen und wo?“ statt. In diesem ersten Webinar erfahren Sie alles Wissenswerte zum Anwendungsbereich des CRA. Wir beleuchten, was der CRA genau ist und wie er sich von anderen Regularien unterscheidet.