EU-Digitalgesetzgebung

CRA-Update – Episode 8: Das Konformitätsbewertungsverfahren

Damit eine Konformität von Produkten mit digitalen Elementen mit den Anforderungen des CRA nachgewiesen werden kann, müssen Hersteller gemäß Art. 24 Abs. 1 CRA-E ein sogenanntes Konformitätsbewertungsverfahren durchführen.

Hierfür sieht der CRA-E grundsätzlich drei verschiedene Verfahrensarten vor, zu denen sich jeweils Informationen in Anhang VI finden. Die dort genannten Verfahren basieren auf dem Beschluss 768/2008/EG, der einen einheitlichen Rahmen für Rechtsvorschriften zur Harmonisierung der Bedingungen für die Vermarktung von Produkten bezweckt und hierfür Konformitätsbewertungsverfahren vorsieht.

Das interne Kontrollverfahren ist gemäß ErwG 45 CRA-E der Standardfall für die Konformitätsbewertung. Allerdings kann der Hersteller freiwillig auch ein strengeres Verfahren unter Einbeziehung eines Dritten wählen. Wenn ein kritisches Produkt der Klasse I (z.B. Browser oder Passwort-Manager) Gegenstand des Konformitätsbewertungsverfahrens ist, soll der Hersteller eine Cybersicherheitszertifizierung gemäß der Verordnung (EU) 2019/881 verwenden und die Konformitätsbewertung selbstständig durchführen oder alternativ das EU-Baumusterprüfverfahren unter Beteiligung dritter Stellen oder eine Konformitätsbewertung auf Grundlage einer umfassenden Qualitätssicherung absolvieren. Letztere Alternativen sind verpflichtend, wenn es sich um kritische Produkte der Klasse II (z.B. Betriebssysteme oder Firewalls) handelt.

 

1. Internes Kontrollverfahren (Art. 24 Abs. 1 lit. a CRA-E)

Mit dem internen Kontrollverfahren kann der Hersteller selbstständig nachweisen, dass die Produkte mit digitalen Elementen und die von ihm getroffenen Maßnahmen zur Milderung von Schwachstellen den Anforderungen in Anhang I entsprechen. Ebenso bezieht sich dieser Nachweis auch auf die Pflicht, dass bereits in den Phasen der Konzeption, Entwicklung und Herstellung entsprechend der Risiken ein angemessenes Cybersicherheitsniveau zu gewährleisten ist. Hierzu muss der Hersteller im Vorfeld eine generelle Risikoanalyse seines Produkts mit digitalen Elementen vornehmen und muss dies bereits für die Erstellung der technischen Dokumentation entsprechend dokumentieren.

Weiterhin wird mit diesem internen Konformitätsverfahren nachgewiesen, dass der Hersteller die technische Dokumentation gemäß Anhang V erstellt hat. Schließlich stellt der Hersteller für das geprüfte Produkt mit digitalen Elementen eine schriftliche EU-Konformitätserklärung i.S.d. Art. 20 CRA-E aus und bringt die CE-Kennzeichnung an dem Produkt mit digitalen Elementen an. Mit der Ausstellung der EU-Konformitätserklärung übernimmt der Hersteller gemäß Art. 20 Abs. 4 CRA-E die Verantwortung für die Konformität des Produkts.

 

2. EU-Baumusterprüfverfahren (Art. 24 Abs. 1 lit. b CRA-E)

Das EU-Baumusterprüfverfahren teilt sich in zwei unterschiedliche Verfahrensabschnitte auf.

Bei der EU-Baumusterprüfung überprüft eine notifizierte Stelle zunächst die technische Konzeption und Entwicklung des Produkts mit digitalen Elementen und die vom Hersteller festgelegten Verfahren zur Behandlung von Schwachstellen sowie deren Vereinbarkeit mit den Anforderungen des Anhang I. Diese Prüfung wird anhand der technischen Dokumentation und weiterer Nachweise (z.B. Prüfungsergebnisse von Laboren) sowie Mustern von Teilen des Produkts vorgenommen. Dabei wird das Produkt mit digitalen Elementen technisch untersucht, was beispielsweise direkt am Sitz des Herstellers durchgeführt werden kann. Über die Prüfung wird ein Bericht erstellt und eine EU-Baumusterprüfbescheinigung ausgestellt.

In dem zweiten Verfahrensschritt (Konformität mit dem Baumuster auf der Grundlage einer internen Fertigungskontrolle) prüft der Hersteller, dass die betreffenden Produkte dem in der EU-Baumusterprüfbescheinigung beschriebenen Baumuster entsprechen und die Anforderungen aus Anhang I Abschnitt 1 erfüllen. Sofern dies der Fall ist, stellt der Hersteller eine schriftliche Konformitätserklärung aus und bringt die CE-Kennzeichnung an dem Produkt an.

 

3. Konformitätsbewertung auf Grundlage einer umfassenden Qualitätssicherung (Art. 24 Abs. 1 lit. c CRA-E)

Bei diesem Konformitätsbewertungsverfahren implementiert der Hersteller zunächst ein Qualitätssicherungssystem und beantragt bei einer notifizierten Stelle die Bewertung dieses Systems im Hinblick auf die betreffenden Produkte mit digitalen Elementen.

Das Qualitätssicherungssystem soll die Konformität des Produkts mit digitalen Elementen und der Verfahren zur Behandlung von Schwachstellen mit den Anforderungen in Anhang I nachweisen. Dieses Verfahren eignet sich besonders bei Produkten, die in Serie produziert werden, da das Qualitätssicherungssystem die Übereinstimmung der Produktserie mit den Anforderungen des CRA-E gewährleistet.

Das Qualitätssicherungssystem umfasst Qualitätssicherungsprogramme, -pläne, -handbücher und qualitätsbezogene Aufzeichnungen.

Eine Besonderheit dieses Verfahrens ist, dass die notifizierte Stelle das Qualitätssicherungssystem fortlaufend durch regelmäßige Audits überwacht und vom Hersteller über etwaige Änderungen des Systems informiert wird und diese genehmigen muss. Der Hersteller muss der notifizierten Stelle zu Bewertungszwecken ferner Zugang zu den Einrichtungen gewähren.

Dem Hersteller obliegt es, für jedes Produktmodell eine schriftliche Konformitätserklärung auszustellen und eine CE-Kennzeichnung anzubringen.

 

4. Ausschluss von der Pflicht zur Durchführung eines Konformitätsbewertungsverfahrens

Es gibt allerdings auch Produkte mit digitalen Elementen, bei denen ein Konformitätsverfahren nicht durchzuführen ist. Nach Art. 18 Abs. 1 CRA-E wird eine Konformität mit dem CRA-E nämlich vermutet, wenn ein Produkt mit digitalen Elementen und das vom Hersteller festgelegte Verfahren mit harmonisierten Normen übereinstimmen, die im Amtsblatt der Europäischen Union veröffentlicht worden sind und die Anforderungen jener Normen auch erfüllen. Dasselbe gilt gemäß Art. 18 Abs. 2 CRA-E für Produkte und Verfahren, die mit den in Art. 19 CRA-E genannten gemeinsamen Spezifikationen übereinstimmen.

Bei Produkten mit digitalen Elementen, für die eine EU-Konformitätserklärung oder ein Cybersicherheitszertifikat im Rahmen eines nach der Verordnung (EU) 2019/881 angenommenen europäischen System für die Cybersicherheitszertifizierung ausgestellt wurde, wird ebenfalls eine Konformität mit den Anforderungen in Anhang I vermutet. Die Europäische Kommission kann Durchführungsrechtsakte erlassen, um zu bestimmen, welche Cybersicherheitszertifizierung zum Nachweis verwendet werden kann und ob diese dann die Hersteller von der Pflicht nach Art. 24 Abs. 2 und 3 CRA-E zur Durchführung einer Konformitätsbewertung durch Dritte entbindet.

Empfehlung für die Praxis:

Da mit den Konformitätsbewertungsverfahren weitere Erfordernisse für Hersteller zu beachten sind, sollten diese sich mit den Anforderungen in Art. 24 CRA-E und Anhang VI vertraut machen und bereits erste Prozesse zur Durchführung implementieren.

Da auch sicherstellen müssen, dass Hersteller die geeigneten Konformitätsbewertungsverfahren nach Art. 24 CRA-E durchgeführt haben und selbst ein Händler bei entsprechenden Zweifeln an der Konformität ein solches Produkt nicht auf dem Markt bereitstellen darf, regen wir an, dass sich auch diese Wirtschaftsakteure mit jenen Vorgaben der Verordnung frühzeitig auseinandersetzen.

 

In unserer CRA-Update-Reihe präsentieren wir Ihnen regelmäßig Informationen zu dem geplanten Cyber Resilience Act der Europäischen Union und halten Sie über Änderungen im laufenden Gesetzgebungsverfahren informiert. In jedem unserer Beiträge geben wir Ihnen einen kurzen Überblick über einen konkreten Themenbereich und stellen Ihnen dabei die wichtigsten Aspekte sowie praktische Auswirkungen vor.

Rechtsanwalt, Associate
Alexander Weiss
Rechtsanwalt, Associate
Alexander Weiss

Zurück

CRA-Update

CRA-Update – Episode 11: Finaler Entwurf des CRA – Übersicht der wichtigsten Änderungen

Am 10. Oktober 2024 hat der Rat der Minister den finalen Entwurf des Cyber Resilience Act (CRA) angenommen. Demnächst wird die Verordnung im Amtsblatt der Europäischen Union veröffentlicht und dann am darauffolgenden Tag in Kraft treten.

CRA-Update – Episode 10: Welche Sanktionen gelten nach dem CRA-E?

Mit dem Entwurf für einen Cyber Resilience Act (CRA-E) hat sich die Europäische Kommission mit horizontalen Rechtsvorgaben zum Ziel gesetzt, die Sicherheit von Produkten mit digitalen Elementen zu stärken, um den Binnenmarkt der EU besser vor den wachsenden Cyberbedrohungen zu schützen. Hierzu enthält die Verordnung eine Vielzahl an Pflichten, die sich an sämtliche Akteure einer Produktlieferkette, nämlich Hersteller, Einführer und Händler, richten.

CRA-Update – Episode 9: Die Überwachungsbehörden

Der Kommissionsentwurf für den Cyber Resilience Act  (CRA-E) erwähnt in seinem Verordnungstext an mehreren Stellen unterschiedliche Behörden mit verschiedenen Aufgaben für die Überwachung und Einhaltung der Normvorgaben.

CRA-Update – Episode 8: Das Konformitätsbewertungsverfahren

Damit eine Konformität von Produkten mit digitalen Elementen mit den Anforderungen des CRA nachgewiesen werden kann, müssen Hersteller gemäß Art. 24 Abs. 1 CRA-E ein sogenanntes Konformitätsbewertungsverfahren durchführen. Hierfür sieht der CRA-E grundsätzlich drei verschiedene Verfahrensarten vor, zu denen sich jeweils Informationen in Anhang VI finden. Die dort genannten Verfahren basieren auf dem Beschluss 768/2008/EG, der einen einheitlichen Rahmen für Rechtsvorschriften zur Harmonisierung der Bedingungen für die Vermarktung von Produkten bezweckt und hierfür Konformitätsbewertungsverfahren vorsieht.

CRA-Update – Episode 7: Was sind die von Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen und wann sind diese nach dem CRA konform?

Nach Art. 1 lit. c) CRA-E soll der geplante Cyber Resilience Act (CRA-E) auch Bestimmungen für die von Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen vorsehen.

Mit diesen Verfahren wird die Sicherstellung der Cybersicherheit von Produkten mit digitalen Elementen über ihren gesamten Lebenszyklus bezweckt.

CRA-Update – Episode 6: Wann ist eine Konformität des Produkts mit digitalen Elementen gegeben?

Der geplante Cyber Resilience Act (CRA-E) bezweckt EU-einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, um der wachsenden Bedrohung von Cyberangriffen entgegenzutreten. Zu diesem Zweck normiert die Verordnung zahlreiche Pflichten, die vor allem die Hersteller solcher Produkte treffen.

CRA-Update – Episode 5: Welche Pflichten gelten für den Händler nach dem CRA-E?

Als letzter Akteur in der Produktlieferungskette fällt der Händler ebenfalls in den Anwendungsbereich des CRA-E.

Nach der in Art. 3 Nr. 21 CRA-E genannten Definition kann eine (juristische) Person nur dann unter den Begriff des Händlers fallen, wenn sie ein Produkt mit digitalen Elementen ohne Änderung seiner Eigenschaft auf dem Unionsmarkt bereitstellt und nicht schon als Hersteller oder Einführer zu qualifizieren ist.

CRA-Update – Episode 4: Welche Pflichten gelten für den Einführer nach dem CRA-E?

Die Person des Einführers wird im CRA-E dann relevant, wenn dieser ein Produkt mit digitalen Elementen aus dem EU-Ausland unter dem Namen oder der Marke einer außerhalb der Union ansässigen (juristischen) Person in den Binnenmarkt einführt und dort erstmalig in Verkehr bringt. Für die Praxis bedeutet dies, dass bei einem im Drittland ansässigen Hersteller stets ein im Unionsmarkt niedergelassener Einführer in die Produktlieferungskette zu involvieren ist, während bei einem innerhalb der EU befindlichen Hersteller die Rechtsfigur des Einführers rechtlich keine aktive Rolle spielt. Der Einführer ist also im Sinne eines Importeurs zu verstehen.

CRA-Update – Episode 3: Welche Pflichten gelten für den Hersteller nach dem CRA-E?

Im Vergleich zu den übrigen Adressaten des CRA-E unterliegt der Hersteller den umfassendsten Pflichten, was daran liegen dürfte, dass dieser die Entwicklung des Produkts mit digitalen Elementen maßgeblich steuert, dessen Eigenschaften festlegt und somit die immanenten Cybersicherheitsrisiken beeinflussen kann. Die konkreten Pflichten für Hersteller legt die Verordnung in Art. 10 und 11 CRA-E fest.

CRA-Update – Episode 2: Wer sind die Adressaten des CRA-E?

In Kapitel II legt der CRA-E eine Vielzahl an Pflichten für „Wirtschaftsakteure“ fest. Hierzu zählen gemäß Art. 3 Nr. 17 CRA-E Hersteller, Bevollmächtigte, Einführer und Händler von Produkten mit digitalen Elementen. Das erklärte Ziel der EU-Kommission lautet, sämtliche Akteure der Lieferkette von Produkten mit digitalen Elementen in die Verantwortung zu nehmen und dadurch ein erhöhtes Maß an Cybersicherheit über die gesamte Produktlebensdauer zu gewährleisten. Das Gros der Pflichten wird dabei dem Hersteller auferlegt, was insbesondere dem Umstand Rechnung trägt, dass dieser die Entwicklung des Produkts mit digitalen Elementen maßgeblich steuert, dessen Eigenschaften festlegt und somit die immanenten Cybersicherheitsrisiken beeinflussen kann.

CRA-Update – Episode 1: Welche Produkte fallen in den Anwendungsbereich des CRA-E?

Der derzeitige Entwurf sieht gemäß ErwG 7 und Art. 2 Abs. 1 CRA-E vor, dass die Verordnung für Produkte mit digitalen Elementen gilt, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.