Datenschutz und Cybersecurity

Europäische Kommission verabschiedet Entwurf für “Cyber Resilience Act”

Verfasst von

Dr. Jan-Peter Ohrtmann

Am 15. September 2022 hat die Europäische Kommission den Entwurf einer Verordnung mit der Bezeichnung Cyber Resilience Act (“CRA-E“) veröffentlicht, der Anforderungen an die Cyber Sicherheit für Produkte mit digitalen Bestandteilen verbindlich festlegen soll.

Überblick

Das Ziel des CRA ist es, dass (i) Produkte mit digitalen Bestandteilen, die auf den EU Markt gebracht werden, weniger Schwachstellen aufweisen, (ii) Hersteller während des Lebenszyklus des Produktes für die Cybersecurity ihres Produkte verantwortlich sind, (iii) mehr Transparenz über die Sicherheit von Hard- und Softwareprodukten besteht und (iv) Nutzer von einer höheren Sicherheit profitieren. Der sachliche Anwendungsbereich erfasst “Produkte mit digitalen Bestandteilen” und ist weit definiert. Er umfasst jegliche Software- oder Hardwareprodukte und ihre Lösungen mit einem Fernzugriff über ein Produkt oder Netzwerk. Ausgenommen vom sachlichen Anwendungsbereich sind bestimmte Produkte u.a. Software-as-a-Service und Open Source Software Lösungen. Der persönliche Anwendungsbereich des CRA-E betrifft primär Hersteller. Teile des CRA-E gelten aber auch für Importeure und Gesellschaften, die solche Produkte in der EU vertreiben (Distibuteure). Damit werden weitestgehend alle Tätigkeiten erfasst, mit denen Produkte in der EU verkauft oder vermarktet werden. Der CRA-E erlegt den Unternehmen inhaltlich im Wesentlichen die folgenden Pflichten auf:

  • Für jedes Produkt muss ein Cybersecurity Risk Assessments durchgeführt werden (Art. 10 CRA-E). Cybersecurity Risiken müssen schon bei der Planung, dem Design, der Entwicklung, in der Produktion und der Wartung solcher Produkte angemessenen berücksichtigt werden.
  • Grundsätzlich muss der Hersteller für alle Produkte selbst Bewertungen durchführen, in denen er prüft, ob die Sicherheitsanforderungen des CRA eingehalten werden (Art 24 CRA-E). Daneben muss er Konformitätsbescheinigungen ggf nach dem Cybersecurity Act vorhalten. Für Produkte, die die EU Kommission als „kritisch“ einstuft, müssen die Bewertungen von unabhängigen Dritten oder nach einem Standard
    durchgeführt werden. „Kritische” Produkte werden dabei nach im CRA-E definierten Kriterien in zwei Klassen unterteilt: In Klasse 1 fallen Produkte mit einem hohen Risiko wie Passwort-Manager oder Netzwerkschnittstellen. In Klasse 2 fallen Produkte mit einem höheren Risiko wie z.B. CPU’s. Kategorien von Produkten beider Klassen finden sich in Annex III des CRA-E.

Grafik nach dem Vorbild des Factsheets der Europäischen Kommission „Cyber Resilience Act – Factsheet“

  • Importeure dürfen nur solche Produkte auf den EU-Markt bringen, die die Cybersecurity-Anforderungen erfüllen (Art. 13 CRA-E). Auch die Distributoren müssen sich vergewissern, dass die Anforderungen erfüllt sind (Art. 14 CRA-E).
  • Für jedes Produkt müssen die Cybersecurity Aspekte einschließlich etwaiger bekannter Schwachstellen und Bestandteile Dritter dokumentiert werden (Art. 23 CRA-E).
  • Für Nutzer müssen klar verständliche Informationen und Handlungsempfehlungen zu Cybersecurity Aspekten des Produkts bereitgestellt werden (Art 10 Abs. 10 CRA-E und Annex II).
  • Nach dem Verkauf müssen Schwachstellen für die Lebensdauer des Produkts – wie immer diese genau festgelegt wird – oder fünf Jahre, je nachdem welcher Zeitraum kürzer ist, angemessen gehandhabt werden, einschließlich der Bereitstellung von Security-Updates (Art. 10 Abs. 12 CRA-E).
  • Der Hersteller muss der ENISA schließlich innerhalb von 24 Stunden ausgenutzte Schwachstellen und Sicherheitsvorfälle melden (Art. 11 CRA-E). Importeure und Distributoen müssen den Hersteller über Auffälligkeiten unterrichten. Über Sicherheitsvorfälle muss der Hersteller auch die Nutzer informieren (Art. 11 Abs. 4 CRA-E).

Sanktionen

Bei Verstößen können die zuständigen Aufsichtsbehörden Produkte vom Market nehmen lassen und Bußgelder in Höhe von bis zu 15 Mio. Euro oder 2,5% des globalen Umsatzes des verletzenden Unternehmens (je nachdem was höher ist) verhängen.

Bewertung & Ausblick

Der Entwurf ergänzt eine Mehrzahl von bestehenden und geplanten Rechtsvorschriften, wie den Entwurf einer Verordnung über die allgemeine Produkthaftung (General Product Safety Regulation (insbesondere Art 7 CRA-E), den Entwurf der KI-VO (insbesondere Art 8 CRA-E), den Entwurf der Machinery Regulation (Art. 9 CRA-E) sowie der NIS-Richtlinie bzw. geplanten NIS2-Richtlinie und hat sowohl in der Implementierung als auch in den Pflichten Parallelen mit der DSGVO. Angesichts dieser Parallelen und Überschneidungen dürfte es in der Praxis in der Umsetzung und in den unternehmensinternen Prozessen empfehlenswert sein, die regulatorischen Anforderungen ganzheitlich zu behandeln. Der Entwurf liegt nun beim Ministerrat und dem Europäischen Parlament. Aktuell sieht er nach der Verabschiedung eine Übergangsfrist von 24 Monaten bzw. 12 Monaten für die Meldepflichten für Hersteller von ausgenutzten Schwachstellen und Sicherheitsvorfällen vor. Als Verordnung wäre sie unmittelbar anwendbar und bedürfte keiner Umsetzung in nationales Recht.