News

Cyber Resilience Act – Überblick zu den neuen Cybersicherheitsanforderungen für Produkte mit digitalen Elementen

Die Europäische Kommission hat im September ihren Entwurf für den Cyber Resilience Act („CRA“, Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020) veröffentlicht. Dabei handelt es sich um eine EU-Verordnung, die nach Inkrafttreten unmittelbare Anwendung in allen Mitgliedstaaten findet und hierfür keines weiteren Umsetzungsaktes bedarf. Das Vorhaben zielt darauf ab, die europäische Datenstrategie weiter voranzutreiben und den legislativen Flickenteppich auf dem Gebiet der Cybersicherheit im europäischen Binnenmarkt zu beseitigen.

Ziel der Verordnung

Mit dem CRA bezweckt der europäische Gesetzgeber horizontale Sicherheitsanforderungen für „Produkte mit digitalen Elementen“ einzuführen, um so die Cybersicherheit für die Bandbreite aller materiellen Produkte mit digitalen Elementen und zugehöriger Dienste in der gesamten Lieferkette zu stärken. Der Begriff des Produkts mit digitalen Elementen umfasst jegliche Software, Hardware, ihre einzelnen Komponenten sowie die damit verbundenen Datenverarbeitungsprozesse. Er weist eine große Ähnlichkeit zu dem Begriff der digitalen Produkte in § 327 Abs. 1 S. 1 BGB auf, der als Umsetzungsakt der Digitale-Inhalte-RL bereits Einzug in das deutsche Recht gehalten hat. In sachlicher Hinsicht umfasst der Entwurf des CRA faktisch jeden Gegenstand des täglichen Lebens, der eine digitale Funktion aufweist. Dienstleistungen, wie Software-as-a-Service (SaaS) unterfallen hingegen grundsätzlich nicht dem Anwendungsbereich der Verordnung. Gleiches gilt für Medizinprodukte sowie für solche im Zusammenhang mit der Flugsicherheit und der Typengenehmigung von Kraftfahrzeugen, da der europäische Gesetzgeber hierzu bereits abschließende Regelungen zur Cybersicherheit in spezielleren Verordnungen erlassen hat. Der persönliche Anwendungsbereich umfasst mit Herstellern, Importeuren und Händlern als Adressaten der Verordnung sämtliche Akteure einer Lieferkette. Letztlich sollen dadurch Cybersicherheitsrisiken von Produkten mit digitalen Elementen minimiert und eine sichere Nutzung für Unternehmer und Verbraucher im gesamten europäischen Binnenmarkt sichergestellt werden.

 

Relevante Vorgaben

Um diese Ziele zu erreichen, werden Herstellern, Händlern und Importeuren von Produkten mit digitalen Elementen eine Vielzahl von neuen Pflichten auferlegt. Diese sind in den Art. 10 ff. des CRA-Entwurfs geregelt und unterscheiden sich je nach Akteur und Kritikalität des Produkts.

So sollen Hersteller verpflichtet werden, die Cybersicherheitsanforderungen bei der Konzeption, Entwicklung und Herstellung von Produkten mit digitalen Elementen zu berücksichtigen und hierzu eine Bewertung der Cybersicherheitsrisiken durchzuführen. Im Annex I des CRA-Entwurfs findet sich eine Liste mit konkretisierenden Vorgaben, welche an die in Art. 5 Abs. 1 DSGVO niedergelegten Datenschutzgrundsätze und an die in Art. 25 DSGVO normierten Bestimmungen zu Privacy by Design und Privacy by Default erinnern. Um nachzuweisen, dass ihre Produkte diese Cybersicherheitsanforderungen erfüllen, ist ein Konformitätsbewertungsverfahren durchzuführen, das sich anhand der Risikoeinstufung des Produkts bestimmt. Der CRA-Entwurf unterscheidet zwischen normalen, kritischen und hochkritischen Produkten und sieht für risikobehaftete Produkte striktere Verfahren vor. Des Weiteren sind Hersteller dazu verpflichtet, ihre Produkte fortlaufend in Bezug auf Schwachstellen und Risiken zu überprüfen und hierfür geeignete Verfahren und Strategien zu entwickeln. Bei einem Vorfall, der sich auf die Sicherheit des Produkts auswirkt, sind darüber hinaus unverzüglich die Behörden und Nutzer zu informieren und geeignete Abhilfemaßnahmen zu treffen. Weiterhin werden Hersteller dazu verpflichtet, vor Markteinführung eines Produkts eine technische Dokumentation im Hinblick auf die Erfüllung der maßgeblichen Cybersicherheitsanforderungen und den hierfür verwendeten Mitteln anzufertigen. Ferner sollen Hersteller über einen Zeitraum von bis zu fünf Jahren nach der Markteinführung Schwachstellen ihrer Produkte behandeln, wozu beispielsweise die Zurverfügungstellung von Sicherheitsupdates zählt. Dabei hat die Kürze dieser Frist im Hinblick auf die Langlebigkeit vieler technischer Produkte in der rechtswissenschaftlichen Literatur bereits vielfach Kritik ausgelöst. Insofern bleibt abzuwarten, ob dieser Zeitraum im weiteren Verlauf des Gesetzgebungsverfahrens noch angepasst wird.

Importeuren und Händlern werden ebenfalls umfassende Prüfpflichten auferlegt: So müssen Importeure vor Einführung eines Produkts auf den europäischen Markt stets eine vollständige Prüfung der Cybersicherheitsanforderungen durchführen und Hersteller bei Schwachstellen sowie gegebenenfalls Marktüberwachungsbehörden bei erheblichen Cybersicherheitsrisiken informieren. Händler hingegen haben lediglich zu überprüfen, ob das Produkt ein CE-Kennzeichen trägt und ob die notwendigen technischen Informationen, die Konformitätserklärung sowie die Kontaktinformationen des Importeurs beigefügt sind. Sonstige Personen, die wesentliche Veränderungen eines Produkts vornehmen, gelten als Hersteller und unterliegen dann den entsprechenden Pflichten.

 

Überwachung durch die Behörden

Um die Einhaltung dieser Pflichten zu überwachen, sollen die Mitgliedsstaaten dazu verpflichtet werden Marktüberwachungsstellen einzurichten. Diese Behörden überwachen die Einhaltung der Cybersicherheitsanforderungen und arbeiten dabei mit der EU-Kommission und der ENISA zusammen. Zudem stehen sie auch im Austausch mit Datenschutzbehörden. Zu den Befugnissen der Marktüberwachungsbehörden stehen die Einleitung von Untersuchungen sowie die Anordnung von Maßnahmen zur Wiederherstellung der Gesetzeskonformität bis hin zum Produktrückruf. Ferner dürfen sie koordinierte Kontrollhandlungen durchführen (sogenannte „Sweeps“), womit simulierte Cyberangriffe gemeint sein dürften. Die noch nicht hinreichend definierten Anforderungen für solche Eingriffe stoßen ebenfalls auf breite Kritik.

 

Sanktionen

Der Cyber Resilience Act weist ein Sanktionsregime auf, das dem der DSGVO ähnlich ist. Sanktionen sollen gemäß Art. 53 Abs. 1 S. 2 CRA-Entwurf „wirksam, verhältnismäßig und abschreckend“ sein. Die Bußgelder für die Nichteinhaltung der grundlegenden Sicherheitsanforderungen für Hersteller können bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes des Vorjahres betragen, je nachdem welcher Betrag höher ist. Für alle weiteren Verstöße sämtlicher Adressaten sind Bußgelder von bis zu 10 Millionen Euro oder 2 % des Gesamtjahresumsatzes vorgesehen. Sofern unrichtige, unvollständige oder irreführende Angaben im Rahmen von behördlichen Untersuchungen erfolgen, können Bußgelder in Höhe von 5 Millionen Euro oder 1 % des Gesamtjahresumsatzes verhängt werden.

 

Aktueller Stand, Ausblick und Handlungsempfehlungen

Der Cyber Resilience Act befindet sich noch am Beginn des Gesetzgebungsverfahrens. Aktuell liegt lediglich ein erster Entwurf vor. Rückmeldungen zum bestehenden Entwurf können nach aktuellem Stand bis zum 9. Januar 2023 eingereicht werden. Darüber hinaus ist mit Änderungsvorschlägen des Europäischen Parlaments und des Europäischen Rats zu rechnen.

Nach Inkrafttreten des endgültigen Gesetzes besteht zunächst eine Übergangsfrist von 24 Monaten. Davon ausgenommen ist die Meldepflicht für Hersteller bei Sicherheitsvorfällen, welche schon nach 12 Monaten gilt. Gleichwohl raten wir dazu, den weiteren Verlauf des Gesetzgebungsverfahrens im Auge zu behalten und frühzeitig auf die umfangreichen Anforderungen des CRA zu reagieren und den wirtschaftlichen und bürokratischen Mehraufwand bei den Entwicklungsprozessen neuer Produkte frühzeitig zu berücksichtigen.

Rechtsanwalt, Associate
Alexander Weiss
Rechtsanwalt, Associate
Alexander Weiss

Zurück

News

Erneut Auszeichnung von der WirtschaftsWoche

Wir freuen uns, dass wir erneut durch die WirtschaftsWoche ausgezeichnet wurden.

Längere Speicherdauer für Daten bei Wahrnehmung der Aufgabe der internen Meldestelle durch Syndikusrechtsanwälte

Viele deutsche Unternehmen sind entweder schon jetzt oder spätestens ab Mitte Dezember 2023 dazu verpflichtet, eine interne Meldestelle für Hinweisgeber einzurichten. In einigen Fällen werden die Aufgaben der internen Meldestelle von Mitarbeitern aus der Rechtsabteilung wahrgenommen, die als Syndikusrechtsanwälte zugelassen sind. Geht bei einem solchen Unternehmen eine Hinweismeldung ein, so ist diese von den Syndikusrechtsanwälten der internen Meldestelle zu dokumentieren.

Generalanwalt am EuGH: Zur Geeignetheit von technisch organisatorischen Schutzmaßnahmen und dem Ersatz immateriellen Schadens bei einem Hackerangriff

Der Generalanwalt am EuGH hat am 27.4.2023 seine Schlussanträge im Verfahren C-340/21 über die Voraussetzungen des Ersatzes eines immateriellen Schadens und der Beweislast für die Geeignetheit von technisch organisatorischen Maßnahmen nach Art. 32 DSGVO (TOMs) im Zusammenhang mit einem Hackerangriff veröffentlicht. Das Verfahren weist einen für die Praxis wichtigen Bezug zu den Themen Datenschutz und IT Security auf, sodass die künftige Entscheidung des EuGH für die Umsetzung der TOMs durch den Verantwortlichen relevant sein wird.

Das EU-US Data Privacy Framework – neue Grundlage für den Datentransfer in die USA

Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework („DPF“) erlassen. Damit stellt die Kommission nach Art. 45 Abs. 1 DSGVO fest, dass die USA (genauer: jene Unternehmen, die sich dem Selbstzertifizierungsmechanismus des DPF unterwerfen und in der noch zu veröffentlichenden Liste genannt werden) ein angemessenes Schutzniveau bieten.

Cybersecurity-Beratung von Piltz Legal - Nun auch mit zertifiziertem IT-Sicherheitsbeauftragten

Aufgrund unserer digitalisierungsaffinen Beratungsstrategie haben wir bei Piltz Legal immer wieder viele Berührungspunkte mit technischen Fragestellungen und arbeiten mit Personen aus IT- und IT-Security-Abteilungen zusammen. Gerade im Kontext des IT- und IT-Sicherheitsrechts setzt die Beratung deshalb voraus, dass man im Zweifel „die Sprache“ auch der IT-Mitarbeiter nicht nur versteht, sondern auch spricht. Die ist unser Anspruch und Teil unserer Beratung.

 

Prof. Dr. Burghard Piltz & Dr. Carlo Piltz erneut ausgezeichnet

Wir freuen uns, dass Prof. Dr. Burghard Piltz & Dr. Carlo Piltz erneut vom Handelsblatt ausgezeichnet wurden.