Der Cyber Resilience Act

17.01.2024

Der Cyber Resilience Act: Fortschreibung des digitalen Produktsicherheitsrechts

Von Dr. Marc Ruttloff

Ende November 2023 wurden die Trilog-Verhandlungen über den Vorschlag eines Cyber Resilience Act (COM(2022) 454 final) abgeschlossen. Mit diesem möchte die EU der voranschreitenden Digitalisierung in nahezu allen Produktbereichen Rechnung tragen und der Problematik der zunehmenden Cyberangriffe begegnen. Die Dimension der Problematik belegt der Umstand, dass aufgrund der zunehmenden Cyberattacken jährlich Kosten bis zu 5,5 Billionen Euro verursacht werden. Bislang fehlt es an einem horizontalen Rechtsrahmen der Union, der umfassende Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen festlegt. Dieser „legislativer Flickenteppich“ soll nun durch den Cyber Resilience Act (CRA-E) geschlossen werden.

Neue Cybersicherheitspflichten für “Produkte mit digitalen Elementen“

Eine wesentliche Säule des CRA-E bilden die Pflichten der verschiedenen Wirtschaftsakteure. Allgemein bestimmt Art. 5 CRA-E, dass Produkte mit digitalen Elementen nur dann auf dem Markt bereitgestellt werden (dürfen), wenn die digitalen Elemente den grundlegenden Anforderungen genügen, ordnungsgemäß installiert, gewartet, bestimmungsgemäß verwendet und gegebenenfalls aktualisiert werden. Die weitreichendsten Pflichten treffen die Hersteller, diesen obliegt etwa die Durchführung eines Konformitätsbewertungsverfahrens sowie die Erfüllung der konkreten Nachmarktpflichten.

 

Gemäß Art. 2 Abs. 1 CRA-E gilt der geplante CRA für Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Der Anwendungsbereich ist weit und die erfassten Produkte vielfältig. Ein typisches Beispiel sind Smart-Home-Produkte, wie etwa ein mit dem Internet verbundenes Heizthermostat.

Die neuen Produktanforderungen des CRA-E

Besondere Relevanz haben die Anforderungen, die der CRA-E an Produkte mit digitalen Elementen stellt. Differenziert wird zwischen formellen Produktvorgaben und materiellen Produktanforderungen. So ist für Produkte mit digitalen Elementen, bevor diese in Verkehr gebracht werden, ein Konformitätsbewertungsverfahren durchzuführen, und durch die Abgabe der Konformitätserklärung und die Anbringung der CE-Kennzeichnung zu dokumentieren, dass die grundlegenden Anforderungen erfüllt sind.

 

Der Entwurf der Kommission sieht ferner vor, dass Produkte mit digitalen Elementen so konzipiert, entwickelt und hergestellt werden, dass sie angesichts der produktspezifischen Risiken ein angemessenes Cybersicherheitsniveau gewährleisten. Des Weiteren sollen Produkte nur ohne bekannte ausnutzbare Schwachstellen ausgeliefert werden dürfen. Der Hersteller der Produkte mit digitalen Elementen muss diese Schwachstellen des Produkts ermitteln und dokumentieren. Außerdem muss der Hersteller Schwachstellen unverzüglich durch Sicherheitsaktualisierungen beheben, was die „Updatefähigkeit“ des Produkts voraussetzt.

 

Erforderliche Korrekturmaßnahmen müssen Hersteller „unverzüglich“ ergreifen, ansonsten müssen die Marküberwachungsbehörden den betroffenen Wirtschaftsakteur zur Vornahme von Korrekturmaßnahmen innerhalb einer „der Gefahr angemessenen Frist“ auffordern.

Auswirkungen auf das Produkthaftungsrecht

Die Regelungen des CRA-E setzen beim Thema der Cybersicherheit und den Maßnahmen zur Risikominimierung schon früh an, bereits während der Planungs-, Entwicklungs- und Konstruktionsphase. Die hierdurch begründeten Sorgfaltsanforderungen nach dem CRA-E werden auch die weiteren Entwicklungen des Produkthaftungsrechts im Bereich Cybersicherheit entsprechend prägen.

 

Die materiellen Anforderungen des CRA-E konkretisieren das Mindestmaß der Sicherheitserwartungen und sind damit sowohl für die Beurteilung der Fehlerhaftigkeit eines Produkts nach § 3 ProdHaftG als auch für die Ermittlung des Sorgfaltspflichtmaßstabes im Rahmen des § 823 Abs. 1 BGB (Produzentenhaftung) relevant.

Verhältnis zu EU-Produktrechtsvorschriften

Nach Art. 7 CRA-E sind vorrangig die spezielleren Cybersicherheitsanforderungen aus den anderen Harmonisierungsrechtsvorschriften der Union anzuwenden, nachrangig bzw. ergänzend gelten die Bestimmungen des CRA-E und für die im Übrigen nicht erfassten Sicherheitsrisiken Regelungen der EU-Produktsicherheitsverordnung. Das Konkurrenzverhältnis zur EU-Maschinenverordnung und der künftigen KI-Verordnung wird schließlich speziell in Art. 8 und Art. 9 CRA-E geregelt.

Ausblick

Positiv hervorzuheben ist, dass sich der CRA-E in die altbekannten und erfolgreichen Strukturen des New Legislativ Frameworks einfügt und damit den Grundsätzen der unionsrechtlichen Produktregulierung entspricht. Ab Inkrafttreten des CRA-E bleibt den Wirtschaftsakteuren eine Umsetzungsfrist von 24 Monaten gemäß Art. 57 CRA-E. Dennoch ist es empfehlenswert, sich frühzeitig mit dem komplexen Pflichtenkatalog auseinander zu setzen, insbesondere in Abgrenzung zu den sonstigen Rechtsakten, die ebenfalls Cybersicherheitsanforderungen an Produkte stellen. Um die Unternehmen dabei zu unterstützen, will die EU ihnen Implementierungsleitfäden an die Hand geben. Zudem profitieren die Unternehmen selbst von den erhöhten Transparenz- und Sicherheitsanforderungen, wenn sie Produkte mit digitalen Elementen nutzen. Es bleibt spannend, ob der CRA-E die Cyberwiderstandsfähigkeit von Produkten tatsächlich zu steigern vermag.

 

 

 

Dr. Marc Ruttloff ist Rechtsanwalt und Partner bei Gleiss Lutz in Stuttgart. Er ist Co-Head des Product Compliance Hubs, der ESG- sowie der Automotive&Mobility-Praxisgruppen der Sozietät.