EU-Digitalgesetzgebung
CRA-Update – Episode 7: Was sind die von Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen und wann sind diese nach dem CRA konform?
Nach Art. 1 lit. c) CRA-E soll der geplante Cyber Resilience Act (CRA-E) auch Bestimmungen für die von Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen vorsehen.
Mit diesen Verfahren wird die Sicherstellung der Cybersicherheit von Produkten mit digitalen Elementen über ihren gesamten Lebenszyklus bezweckt.
Eine genaue Definition für die Verfahren zur Behandlung von Schwachstellen legt der CRA-E zwar nicht fest. In Art. 5 Nr. 2 CRA-E wird vielmehr eine Verpflichtung des Herstellers zur Vornahme entsprechender Verfahren vor Bereitstellung eines Produkts auf dem Markt normiert und hinsichtlich der Anforderungen auf Anhang I Abschnitt 2 verwiesen.
Diese Pflicht wird in Art. 10 Abs. 6 CRA-E noch einmal aufgegriffen. Demnach sind Schwachstellen wirksam und in Einklang mit den Anforderungen in Annex 1 Abschnitt 2 CRA-E für eine Dauer von maximal 5 Jahren zu behandeln. Die in Abschnitt 2 genannten Maßnahmen lassen darauf schließen, dass unter dem Begriff „Behandlung von Schwachstellen“ die Ermittlung, Dokumentation, das Beheben bzw. Eindämmen sowie die Information von Behörden und Produktnutzern darunter zu verstehen ist.
In Anhang I Abschnitt 2 CRA-E werden die Vorgaben an die Behandlung von Schwachstellen genannt. Die dort genannten Bestimmungen sind als eine Art Mindestanforderung zu verstehen. Denn der Wortlaut ist insofern eindeutig, als er die Hersteller mit dem Wort "müssen" direkt zur Umsetzung verpflichtet.
Zu den genannten Anforderungen gehört zunächst die Ermittlung und Dokumentation von Schwachstellen und Komponenten des Produkts. Die Verordnung schlägt hierfür die Erstellung einer Software-Stückliste in einem maschinenlesbaren Format vor. Kürzlich hat auch das BSI diese Empfehlung aufgegriffen und unter Verweis auf den CRA eine technische Richtlinie für die Anfertigung entworfen.
Weiterhin schreibt der CRA-E in Anhang I Abschnitt 2 vor, bekannte Schwachstellen unverzüglich, z.B. durch die Bereitstellung von Sicherheitsaktualisierungen, zu beheben. Diese Aktualisierung muss Nutzern unverzüglich und kostenlos zur Verfügung gestellt werden. In diesem Zusammenhang sind Informationen über beseitigte Schwachstellen nebst Informationen zu deren Auswirkungen und Schwere zu veröffentlichen. Darüber hinaus haben Hersteller Mechanismen für die sichere Verbreitung von Aktualisierungen bereitzustellen, damit ausnutzbare Schwachstellen zügig behoben werden können.
Zudem wird der Hersteller zur Durchführung von Testmaßnahmen und Überprüfung des Produkts mit digitalen Elementen verpflichtet. Hierzu könnten beispielsweise Penetrationstests oder Fuzz-Testing-Verfahren zur Entdeckung von Programmierfehlern und Sicherheitslücken durchgeführt werden.
Weiterhin fordert der CRA vom Hersteller eine Strategie für die koordinierte Offenlegung von Schwachstellen. Damit dürfte z.B. die Implementierung eines dokumentierten Unternehmensprozesses gemeint sein, mit dem der Hersteller sicherstellen kann, dass die Produktnutzer informiert werden.
Als weitere Vorgabe sieht Anhang I Abschnitt 1 Maßnahmen zum Informationsaustausch vor (insbesondere mit Dritten, deren Komponenten in das betreffende Produkt eingebaut wurde), beispielsweise durch die Angabe einer Kontaktadresse für die Meldung von entdeckten Schwachstellen.
Die genannten Anforderungen dürften unabhängig von der Art des Produkts mit digitalen Elementen und damit generell für die Verfahren von Herstellern zur Behandlung von Schwachstellen gelten.
Nach Art. 10 Abs. 7 CRA-E ist die Konformität der Verfahren zur Behandlung von Schwachstellen ebenfalls mit einem Konformitätsbewertungsverfahren sicherzustellen.
Sollten die Verfahren des Herstellers ab dem Zeitpunkt des Inverkehrbringens des Produkts mit digitalen Elementen aufgrund eines Umstands nicht mehr den Anforderungen des Anhangs I CRA-E entsprechen, so sind Korrekturmaßnahmen zu ergreifen. Diese Verpflichtung gilt für einen Zeitraum von maximal 5 Jahren ab dem Inverkehrbringen des Produkts.
Empfehlung für die Praxis:
Auch wenn sich der CRA-E noch mitten im Gesetzgebungsverfahren befindet und umfassende Änderungen der Verordnung deshalb nicht ausgeschlossen sind, sollten sich Hersteller von Produkten mit digitalen Elementen bereits jetzt mit den genannten Anforderungen an die Verfahren zur Behandlung von Schwachstellen befassen und wenn möglich erste Prozesse implementieren. Ferner regen wir an, die Umsetzung zum Nachweis lückenlos zu dokumentieren. Denn die Umsetzung stellt eine der Kernpflichten des CRA-E dar und ist für eine erfolgreiche Durchführung des Konformitätsverfahrens unabdingbar.
Da auch der Einführer sicherstellen muss, dass die Anforderungen in Anhang I Abschnitt 2 erfüllt sind und selbst ein Händler bei entsprechenden Zweifeln an der Konformität ein solches Produkt nicht auf dem Markt bereitstellen darf, empfehlen wir diesen Wirtschaftsakteuren ebenfalls, sich mit den Vorgaben in Anhang I des CRA-E vertraut zu machen, um eine entsprechende Überprüfung jener Produkte vornehmen zu können.
In unserer CRA-Update-Reihe präsentieren wir Ihnen regelmäßig Informationen zu dem geplanten Cyber Resilience Act der Europäischen Union und halten Sie über Änderungen im laufenden Gesetzgebungsverfahren informiert. In jedem unserer Beiträge geben wir Ihnen einen kurzen Überblick über einen konkreten Themenbereich und stellen Ihnen dabei die wichtigsten Aspekte sowie praktische Auswirkungen vor.
CRA-Update
CRA-Update – Episode 11: Finaler Entwurf des CRA – Übersicht der wichtigsten Änderungen
Am 10. Oktober 2024 hat der Rat der Minister den finalen Entwurf des Cyber Resilience Act (CRA) angenommen. Demnächst wird die Verordnung im Amtsblatt der Europäischen Union veröffentlicht und dann am darauffolgenden Tag in Kraft treten.
CRA-Update – Episode 10: Welche Sanktionen gelten nach dem CRA-E?
Mit dem Entwurf für einen Cyber Resilience Act (CRA-E) hat sich die Europäische Kommission mit horizontalen Rechtsvorgaben zum Ziel gesetzt, die Sicherheit von Produkten mit digitalen Elementen zu stärken, um den Binnenmarkt der EU besser vor den wachsenden Cyberbedrohungen zu schützen. Hierzu enthält die Verordnung eine Vielzahl an Pflichten, die sich an sämtliche Akteure einer Produktlieferkette, nämlich Hersteller, Einführer und Händler, richten.
CRA-Update – Episode 9: Die Überwachungsbehörden
Der Kommissionsentwurf für den Cyber Resilience Act (CRA-E) erwähnt in seinem Verordnungstext an mehreren Stellen unterschiedliche Behörden mit verschiedenen Aufgaben für die Überwachung und Einhaltung der Normvorgaben.
CRA-Update – Episode 8: Das Konformitätsbewertungsverfahren
Damit eine Konformität von Produkten mit digitalen Elementen mit den Anforderungen des CRA nachgewiesen werden kann, müssen Hersteller gemäß Art. 24 Abs. 1 CRA-E ein sogenanntes Konformitätsbewertungsverfahren durchführen. Hierfür sieht der CRA-E grundsätzlich drei verschiedene Verfahrensarten vor, zu denen sich jeweils Informationen in Anhang VI finden. Die dort genannten Verfahren basieren auf dem Beschluss 768/2008/EG, der einen einheitlichen Rahmen für Rechtsvorschriften zur Harmonisierung der Bedingungen für die Vermarktung von Produkten bezweckt und hierfür Konformitätsbewertungsverfahren vorsieht.
CRA-Update – Episode 7: Was sind die von Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen und wann sind diese nach dem CRA konform?
Nach Art. 1 lit. c) CRA-E soll der geplante Cyber Resilience Act (CRA-E) auch Bestimmungen für die von Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen vorsehen.
Mit diesen Verfahren wird die Sicherstellung der Cybersicherheit von Produkten mit digitalen Elementen über ihren gesamten Lebenszyklus bezweckt.
CRA-Update – Episode 6: Wann ist eine Konformität des Produkts mit digitalen Elementen gegeben?
Der geplante Cyber Resilience Act (CRA-E) bezweckt EU-einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, um der wachsenden Bedrohung von Cyberangriffen entgegenzutreten. Zu diesem Zweck normiert die Verordnung zahlreiche Pflichten, die vor allem die Hersteller solcher Produkte treffen.
CRA-Update – Episode 5: Welche Pflichten gelten für den Händler nach dem CRA-E?
Als letzter Akteur in der Produktlieferungskette fällt der Händler ebenfalls in den Anwendungsbereich des CRA-E.
Nach der in Art. 3 Nr. 21 CRA-E genannten Definition kann eine (juristische) Person nur dann unter den Begriff des Händlers fallen, wenn sie ein Produkt mit digitalen Elementen ohne Änderung seiner Eigenschaft auf dem Unionsmarkt bereitstellt und nicht schon als Hersteller oder Einführer zu qualifizieren ist.
CRA-Update – Episode 4: Welche Pflichten gelten für den Einführer nach dem CRA-E?
Die Person des Einführers wird im CRA-E dann relevant, wenn dieser ein Produkt mit digitalen Elementen aus dem EU-Ausland unter dem Namen oder der Marke einer außerhalb der Union ansässigen (juristischen) Person in den Binnenmarkt einführt und dort erstmalig in Verkehr bringt. Für die Praxis bedeutet dies, dass bei einem im Drittland ansässigen Hersteller stets ein im Unionsmarkt niedergelassener Einführer in die Produktlieferungskette zu involvieren ist, während bei einem innerhalb der EU befindlichen Hersteller die Rechtsfigur des Einführers rechtlich keine aktive Rolle spielt. Der Einführer ist also im Sinne eines Importeurs zu verstehen.
CRA-Update – Episode 3: Welche Pflichten gelten für den Hersteller nach dem CRA-E?
Im Vergleich zu den übrigen Adressaten des CRA-E unterliegt der Hersteller den umfassendsten Pflichten, was daran liegen dürfte, dass dieser die Entwicklung des Produkts mit digitalen Elementen maßgeblich steuert, dessen Eigenschaften festlegt und somit die immanenten Cybersicherheitsrisiken beeinflussen kann. Die konkreten Pflichten für Hersteller legt die Verordnung in Art. 10 und 11 CRA-E fest.
CRA-Update – Episode 2: Wer sind die Adressaten des CRA-E?
In Kapitel II legt der CRA-E eine Vielzahl an Pflichten für „Wirtschaftsakteure“ fest. Hierzu zählen gemäß Art. 3 Nr. 17 CRA-E Hersteller, Bevollmächtigte, Einführer und Händler von Produkten mit digitalen Elementen. Das erklärte Ziel der EU-Kommission lautet, sämtliche Akteure der Lieferkette von Produkten mit digitalen Elementen in die Verantwortung zu nehmen und dadurch ein erhöhtes Maß an Cybersicherheit über die gesamte Produktlebensdauer zu gewährleisten. Das Gros der Pflichten wird dabei dem Hersteller auferlegt, was insbesondere dem Umstand Rechnung trägt, dass dieser die Entwicklung des Produkts mit digitalen Elementen maßgeblich steuert, dessen Eigenschaften festlegt und somit die immanenten Cybersicherheitsrisiken beeinflussen kann.
CRA-Update – Episode 1: Welche Produkte fallen in den Anwendungsbereich des CRA-E?
Der derzeitige Entwurf sieht gemäß ErwG 7 und Art. 2 Abs. 1 CRA-E vor, dass die Verordnung für Produkte mit digitalen Elementen gilt, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.