Das Thema Cybersicherheit rückt immer mehr in den Fokus des europäischen Gesetzgebers. Jetzt hat der Rat der Europäischen Union am 10. Oktober 2024 die Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU) 2019/1020 beschlossen. Dieser sogenannte Cyber Resilience Act (CRA) soll einen einheitlichen Rechtsrahmen für grundlegende Cybersicherheitsanforderungen für das Inverkehrbringen von Produkten mit digitalen Elementen auf dem Unionsmarkt festlegen. Hierzu sollen Schwachstellen, die auf ein geringes Maß an Cybersicherheit zurückzuführen sind, sowie die unzureichende Bereitstellung von Sicherheitsaktualisierungen behoben werden. Zudem soll das mangelnde Verständnis und der eingeschränkte Informationszugang der Nutzer adressiert werden, damit sie in die Lage versetzt werden, Produkte mit angemessenen Cybersicherheitsmerkmalen auszuwählen und sicher zu verwenden. Anders als andere Richtlinien und Verordnungen, die in letzter Zeit zur Stärkung der IT-Sicherheit verabschiedet worden sind – zu denken ist z. B. an die DORA-Verordnung –, ist der Cyber Resilience Act in seinem Anwendungsbereich nicht sektorspezifisch, sondern horizontal ausgestaltet und soll grundsätzlich alle Produkte mit digitalen Elementen umfassen. Die Verordnung wird ab November 2027 gelten. Meldepflichten für Schwachstellen und Sicherheitsvorfälle gelten bereits ab August 2026. Die Pflichten welche Herstellern, Importeuren und Händlern auferlegt werden, sind umfangreich, und die drohenden Sanktionen bei Nichteinhaltung der gesetzlichen Vorgaben sind empfindlich. Nach dem Motto ‚Vertrauen ist gut, Kontrolle ist besser‘ werden die Marktteilnehmer wie schon vor Jahren durch die DSGVO gezwungen sein, alle Maßnahmen in die Wege zu leiten, die zur Einhaltung der Pflichten nach dem CRA notwendig sind. Worauf sollten sich die Regelungsadressaten, wie beispielsweise Hersteller, einstellen?

Wer gilt als Hersteller im Sinne des CRA?

Ein Hersteller im Sinne des CRA ist eine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter eigenem Namen oder eigener Marke vermarktet, sei es entgeltlich oder unentgeltlich. Ein Produkt mit digitalen Elementen ist ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in Verkehr gebracht werden sollen. Umfasst sind solche Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder einem Netz einschließt. Das kann von Software über PCs und Smartphones bis hin zu Staubsaugerrobotern alles sein, was mit anderen Geräten oder Netzwerken kommunizieren kann. Für die Hersteller solcher Produkte ist die Palette neuer Pflichten üppig und kann deswegen hier nur auszugsweise genannt werden. Unter anderem müssen sie, bevor sie ein Produkt mit digitalen Elementen in Verkehr bringen, eine technische Dokumentation im Sinne des CRA erstellen und ein Konformitätsbewertungsverfahren nach den Vorgaben der Verordnung durchführen oder durchführen lassen. Danach ist eine EU-Konformitätserklärung auszustellen und eine CE-Kennzeichnung am Produkt anzubringen. Nach dem Inverkehrbringen und während der erwarteten Produktlebensdauer oder während eines Zeitraums von fünf Jahren ab dem Inverkehrbringen eines Produkts mit digitalen Elementen – je nachdem, welcher Zeitraum kürzer ist – müssen die Hersteller dafür sorgen, dass das Produkt CRA-konform bleibt (Updates). Außerdem muss der Hersteller der European Union Agency for Cybersecurity (ENISA) unverzüglich, jedenfalls aber innerhalb von 24 Stunden, nachdem er davon Kenntnis erlangt hat, jede aktiv ausgenutzte Schwachstelle melden, die in dem Produkt mit digitalen Elementen enthalten ist.

Welche Sanktionen drohen den Herstellern bei Verstößen gegen den CRA?

Für die Verhängung von Sanktionen sieht der CRA vor, dass die Mitgliedstaaten Vorschriften über Sanktionen erlassen und alle für die Durchsetzung der Sanktionen erforderlichen Maßnahmen treffen müssen. Die von dem CRA vorgesehenen Geldbußen reichen hierbei von 15.000.000 EUR oder – im Falle von Unternehmen – bis zu 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist, für die Nichteinhaltung grundlegender Anforderungen oder der oben erwähnten Herstellerpflichten. Bei Verstößen gegen andere Pflichten aus dieser Verordnung können Geldbußen von bis zu 10.000.000 EUR oder – im Falle von Unternehmen – bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher Betrag höher ist. Werden gegenüber notifizierten Stellen und Marktüberwachungsbehörden auf deren Auskunftsverlangen hin falsche, unvollständige oder irreführende Angaben gemacht, so werden Geldbußen von bis zu 5.000.000 EUR oder – im Falle von Unternehmen – bis zu 1 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist. Es ist also dringend anzuraten, die Anforderungen des CRA einzuhalten und diese rechtzeitig und gewissenhaft umzusetzen.

Rechtsanwalt Anton Schröder

I.  https://fin-law.de

E. info@fin-law.de

Zuständiger Anwalt für Fragen zum Cyber Resilience Act, DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London). Er wird unterstützt von Rechtsanwalt Anton Schröder.