News

Cyber Resilience Act – Überblick zu den neuen Cybersicherheitsanforderungen für Produkte mit digitalen Elementen

Die Europäische Kommission hat im September ihren Entwurf für den Cyber Resilience Act („CRA“, Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020) veröffentlicht. Dabei handelt es sich um eine EU-Verordnung, die nach Inkrafttreten unmittelbare Anwendung in allen Mitgliedstaaten findet und hierfür keines weiteren Umsetzungsaktes bedarf. Das Vorhaben zielt darauf ab, die europäische Datenstrategie weiter voranzutreiben und den legislativen Flickenteppich auf dem Gebiet der Cybersicherheit im europäischen Binnenmarkt zu beseitigen.

Ziel der Verordnung

Mit dem CRA bezweckt der europäische Gesetzgeber horizontale Sicherheitsanforderungen für „Produkte mit digitalen Elementen“ einzuführen, um so die Cybersicherheit für die Bandbreite aller materiellen Produkte mit digitalen Elementen und zugehöriger Dienste in der gesamten Lieferkette zu stärken. Der Begriff des Produkts mit digitalen Elementen umfasst jegliche Software, Hardware, ihre einzelnen Komponenten sowie die damit verbundenen Datenverarbeitungsprozesse. Er weist eine große Ähnlichkeit zu dem Begriff der digitalen Produkte in § 327 Abs. 1 S. 1 BGB auf, der als Umsetzungsakt der Digitale-Inhalte-RL bereits Einzug in das deutsche Recht gehalten hat. In sachlicher Hinsicht umfasst der Entwurf des CRA faktisch jeden Gegenstand des täglichen Lebens, der eine digitale Funktion aufweist. Dienstleistungen, wie Software-as-a-Service (SaaS) unterfallen hingegen grundsätzlich nicht dem Anwendungsbereich der Verordnung. Gleiches gilt für Medizinprodukte sowie für solche im Zusammenhang mit der Flugsicherheit und der Typengenehmigung von Kraftfahrzeugen, da der europäische Gesetzgeber hierzu bereits abschließende Regelungen zur Cybersicherheit in spezielleren Verordnungen erlassen hat. Der persönliche Anwendungsbereich umfasst mit Herstellern, Importeuren und Händlern als Adressaten der Verordnung sämtliche Akteure einer Lieferkette. Letztlich sollen dadurch Cybersicherheitsrisiken von Produkten mit digitalen Elementen minimiert und eine sichere Nutzung für Unternehmer und Verbraucher im gesamten europäischen Binnenmarkt sichergestellt werden.

 

Relevante Vorgaben

Um diese Ziele zu erreichen, werden Herstellern, Händlern und Importeuren von Produkten mit digitalen Elementen eine Vielzahl von neuen Pflichten auferlegt. Diese sind in den Art. 10 ff. des CRA-Entwurfs geregelt und unterscheiden sich je nach Akteur und Kritikalität des Produkts.

So sollen Hersteller verpflichtet werden, die Cybersicherheitsanforderungen bei der Konzeption, Entwicklung und Herstellung von Produkten mit digitalen Elementen zu berücksichtigen und hierzu eine Bewertung der Cybersicherheitsrisiken durchzuführen. Im Annex I des CRA-Entwurfs findet sich eine Liste mit konkretisierenden Vorgaben, welche an die in Art. 5 Abs. 1 DSGVO niedergelegten Datenschutzgrundsätze und an die in Art. 25 DSGVO normierten Bestimmungen zu Privacy by Design und Privacy by Default erinnern. Um nachzuweisen, dass ihre Produkte diese Cybersicherheitsanforderungen erfüllen, ist ein Konformitätsbewertungsverfahren durchzuführen, das sich anhand der Risikoeinstufung des Produkts bestimmt. Der CRA-Entwurf unterscheidet zwischen normalen, kritischen und hochkritischen Produkten und sieht für risikobehaftete Produkte striktere Verfahren vor. Des Weiteren sind Hersteller dazu verpflichtet, ihre Produkte fortlaufend in Bezug auf Schwachstellen und Risiken zu überprüfen und hierfür geeignete Verfahren und Strategien zu entwickeln. Bei einem Vorfall, der sich auf die Sicherheit des Produkts auswirkt, sind darüber hinaus unverzüglich die Behörden und Nutzer zu informieren und geeignete Abhilfemaßnahmen zu treffen. Weiterhin werden Hersteller dazu verpflichtet, vor Markteinführung eines Produkts eine technische Dokumentation im Hinblick auf die Erfüllung der maßgeblichen Cybersicherheitsanforderungen und den hierfür verwendeten Mitteln anzufertigen. Ferner sollen Hersteller über einen Zeitraum von bis zu fünf Jahren nach der Markteinführung Schwachstellen ihrer Produkte behandeln, wozu beispielsweise die Zurverfügungstellung von Sicherheitsupdates zählt. Dabei hat die Kürze dieser Frist im Hinblick auf die Langlebigkeit vieler technischer Produkte in der rechtswissenschaftlichen Literatur bereits vielfach Kritik ausgelöst. Insofern bleibt abzuwarten, ob dieser Zeitraum im weiteren Verlauf des Gesetzgebungsverfahrens noch angepasst wird.

Importeuren und Händlern werden ebenfalls umfassende Prüfpflichten auferlegt: So müssen Importeure vor Einführung eines Produkts auf den europäischen Markt stets eine vollständige Prüfung der Cybersicherheitsanforderungen durchführen und Hersteller bei Schwachstellen sowie gegebenenfalls Marktüberwachungsbehörden bei erheblichen Cybersicherheitsrisiken informieren. Händler hingegen haben lediglich zu überprüfen, ob das Produkt ein CE-Kennzeichen trägt und ob die notwendigen technischen Informationen, die Konformitätserklärung sowie die Kontaktinformationen des Importeurs beigefügt sind. Sonstige Personen, die wesentliche Veränderungen eines Produkts vornehmen, gelten als Hersteller und unterliegen dann den entsprechenden Pflichten.

 

Überwachung durch die Behörden

Um die Einhaltung dieser Pflichten zu überwachen, sollen die Mitgliedsstaaten dazu verpflichtet werden Marktüberwachungsstellen einzurichten. Diese Behörden überwachen die Einhaltung der Cybersicherheitsanforderungen und arbeiten dabei mit der EU-Kommission und der ENISA zusammen. Zudem stehen sie auch im Austausch mit Datenschutzbehörden. Zu den Befugnissen der Marktüberwachungsbehörden stehen die Einleitung von Untersuchungen sowie die Anordnung von Maßnahmen zur Wiederherstellung der Gesetzeskonformität bis hin zum Produktrückruf. Ferner dürfen sie koordinierte Kontrollhandlungen durchführen (sogenannte „Sweeps“), womit simulierte Cyberangriffe gemeint sein dürften. Die noch nicht hinreichend definierten Anforderungen für solche Eingriffe stoßen ebenfalls auf breite Kritik.

 

Sanktionen

Der Cyber Resilience Act weist ein Sanktionsregime auf, das dem der DSGVO ähnlich ist. Sanktionen sollen gemäß Art. 53 Abs. 1 S. 2 CRA-Entwurf „wirksam, verhältnismäßig und abschreckend“ sein. Die Bußgelder für die Nichteinhaltung der grundlegenden Sicherheitsanforderungen für Hersteller können bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes des Vorjahres betragen, je nachdem welcher Betrag höher ist. Für alle weiteren Verstöße sämtlicher Adressaten sind Bußgelder von bis zu 10 Millionen Euro oder 2 % des Gesamtjahresumsatzes vorgesehen. Sofern unrichtige, unvollständige oder irreführende Angaben im Rahmen von behördlichen Untersuchungen erfolgen, können Bußgelder in Höhe von 5 Millionen Euro oder 1 % des Gesamtjahresumsatzes verhängt werden.

 

Aktueller Stand, Ausblick und Handlungsempfehlungen

Der Cyber Resilience Act befindet sich noch am Beginn des Gesetzgebungsverfahrens. Aktuell liegt lediglich ein erster Entwurf vor. Rückmeldungen zum bestehenden Entwurf können nach aktuellem Stand bis zum 9. Januar 2023 eingereicht werden. Darüber hinaus ist mit Änderungsvorschlägen des Europäischen Parlaments und des Europäischen Rats zu rechnen.

Nach Inkrafttreten des endgültigen Gesetzes besteht zunächst eine Übergangsfrist von 24 Monaten. Davon ausgenommen ist die Meldepflicht für Hersteller bei Sicherheitsvorfällen, welche schon nach 12 Monaten gilt. Gleichwohl raten wir dazu, den weiteren Verlauf des Gesetzgebungsverfahrens im Auge zu behalten und frühzeitig auf die umfangreichen Anforderungen des CRA zu reagieren und den wirtschaftlichen und bürokratischen Mehraufwand bei den Entwicklungsprozessen neuer Produkte frühzeitig zu berücksichtigen.

Rechtsanwalt, Associate
Alexander Weiss
Rechtsanwalt, Associate
Alexander Weiss

Zurück

News

Aktuelles zu Datentransfers in die USA – Was ändert die Executive Order?

US-Präsident Joe Biden hat am 7. Oktober 2022 eine Executive Order „zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten“ (EO) unterzeichnet. Welchen Einfluss diese auf Datentransfers in die USA hat und ob die EO die durch den EuGH festgestellten Defizite heilt, ist bislang noch fraglich. In diesem Beitrag geben wir Ihnen einen kurzen Überblick, über die EO und den aktuellen Stand der Diskussion.

Piltz Legal Update am 25.11.2022 - "AVV-Prüfung und -Verhandlung in der Praxis" - online

Am 25.11.2022 findet unsere zweite Veranstaltung der "Piltz Legal Update" Seminarreihe online statt.

Dieses Mal sprechen Dr. Carlo Piltz und Philipp Quiel über das Thema: "AVV-Prüfung und -Verhandlung in der Praxis". Sie geben Einblicke, klären über typische Probleme auf und geben ausgewählte Lösungsvorschläge.

 

Der FOCUS zeichnet Piltz Legal als eine der TOP - Wirtschaftschaftskanzleien aus

Im aktuellen Heft des FOCUS wurde Piltz Legal als eine der TOP-Wirtschaftkanzleien 2022 im Bereich Datenschutz ausgezeichnet.

Wirtschaftswoche vergibt Auszeichnung an Piltz Legal in der Kategorie "Top Kanzlei Datenschutzrecht"

Wir freuen uns sehr, dass Dr. Carlo Piltz und sein Team von der Wirtschaftswoche in der Kategorie "Top Kanzlei für Datenschutzrecht" ausgezeichnet wurden.

Wir bedanken uns für das entgegengebrachte Vertrauen und freuen uns sehr über diese Anerkennung. Dieses Feedback ist für uns weiterer Ansporn, mit fachspezifischer Expertise unsere Mandanten zu unterstützen.

Digital Operation Resilience Act – Überblick zu den neuen Regelungen der digitalen Betriebsstabilität von EU-Finanzunternehmen

Am 24. September 2020 wurde der Entwurf einer EU-Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operation Resilience Act, „DORA“) veröffentlicht. Der Vorschlag ist Teil des Pakets zur Digitalisierung des Finanzsektors und in den kommenden Jahren sind noch weitere (vor allem die Finanzdienstleister betreffende) neue Verordnungen und Richtlinien zu erwarten.

Zwingende Umstellung auf die neuen EU-Standardvertragsklauseln – „SCC-Umstellung – Piltz Legal Support Paket“

Ende Dezember 2022 ist es so weit. Noch bestehende „alte“ EU-Standardvertragsklauseln („SCC“) müssen durch neue Verträge ersetzt werden. Für Unternehmen beinhaltet diese verpflichtende Umstellung auf die neuen SCC auch neue Pflichten. So wird ein Transfer Impact Assessment gemäß Klausel 14 der SCC („TIA“) verpflichtend und es müssen in manchen Fällen technische und organisatorische Maßnahmen zur Sicherung des angemessenen Schutzniveaus getroffen werden. Wenn EU-Unternehmen nicht selbst die SCC abschließen, dann müssen sie sich vergewissern, dass ihr in der EU ansässige Dienstleister mit in Drittländern ansässigen Subunternehmern die SCC in Modul 3 abgeschlossen haben. Egal ob man selbst die SCC abschließt oder sich vergewissert, dass der Dienstleister SCC im Modul 3 abgeschlossen hat, die Umstellung auf die neuen SCC erfordert einen Austausch mit den Dienstleistern. Bei Bedarf können wir Sie mit dem Piltz Legal Support Paket dabei unterstützen.