EU-Kommission will Cybersicherheit verbessern

11.10.2022

EU-Kommission will Cybersicherheit verbessern

Beitrag von Dr. Gerhard Wiebe

Die Europäische Kommission hat vor Kurzem ihren Vorschlag für eine Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (sog. Cyber Resilience Act, CRA) veröffentlicht. Der erste europäische Rechtsakt dieser Art soll verbindliche Cybersicherheitsanforderungen einführen, die während des gesamten Lebenszyklus eines Produkts einzuhalten sind.

Welche Vorgaben sind im Einzelnen geplant?

Der CRA-Vorschlag sieht sowohl formale als auch materielle Anforderungen an Produkte mit digitalen Elementen vor. Ein Produkt mit digitalen Elementen im Sinne des Kommissionsvorschlags ist „jedes Software- oder Hardware-Produkt und seine Ferndatenverarbeitungslösungen, einschließlich Software- oder Hardware-Komponenten, die separat in den Verkehr gebracht werden sollen“.

Zu den formalen Anforderungen zählen etwa die Ausstellung einer EU-Konformitätserklärung und das Anbringen der CE-Kennzeichnung. Die an die Produkte gestellten materiellen Anforderungen sind in Art. 5 iVm Anhang I des CRA-Vorschlags verankert und verlangen beispielsweise „security by design“. Diese grundlegenden Cybersicherheitsanforderungen erfahren eine Konkretisierung durch harmonisierte Normen, die im Amtsblatt der EU veröffentlicht werden. Die Einhaltung dieser Normen löst eine Konformitätsvermutung aus.

Einen Schwerpunkt der geplanten Verordnung bilden die umfangreichen Pflichten der Wirtschaftsakteure im Allgemeinen und die Pflichten der Hersteller im Besonderen. Neben den klassischen Vormarktpflichten treffen den Hersteller Nachmarktpflichten. Beispielsweise soll er während der gesamten Lebensdauer des Produkts, höchstens aber für fünf Jahre nach dessen Inverkehrbringen, auftretende Sicherheitslücken im Blick haben und diese beispielsweise durch Software-Updates beseitigen müssen. Vorgesehen ist außerdem, dass der Hersteller der Agentur der Europäischen Union für Cybersicherheit (ENISA) aktiv ausgenutzte Sicherheitslücken innerhalb von höchstens 24 Stunden zu melden hat.

Wen werden die Regelungen betreffen?

Der CRA-Vorschlag adressiert die Wirtschaftsakteure. Insofern richtet er sich an Hersteller, Bevollmächtigte, Importeure und Händler von Produkten mit digitalen Elementen.

In welchem Verhältnis wird der geplante CRA zu bestehenden EU-Produktrechtsvorschriften stehen?

Die EU-Cybersicherheitsverordnung wird als horizontaler Rechtsakt parallel mit anderen Harmonisierungsrechtsvorschriften anzuwenden sein. Der CRA-Vorschlag enthält ausdrückliche Vorgaben im Hinblick auf das Verhältnis des CRA zu der geplanten EU-Produktsicherheitsverordnung, der unionalen KI-Verordnung und der EU-Maschinenverordnung.

Wie soll der CRA durchgesetzt werden?

Der CRA-Vorschlag sieht die Anwendung der EU-Marktüberwachungsverordnung vor. Auf dieser Grundlage können die Marktüberwachungsbehörden bei nicht-konformen Produkten die Wirtschaftsakteure auffordern, Maßnahmen zur Beendigung der Nichtkonformität und zur Beseitigung von Risiken zu ergreifen, die Bereitstellung des betroffenen Produkts auf dem Markt verbieten sowie Rückrufe durchführen. Zur Stärkung der Wirksamkeit dieser Maßnahmen sollen die nationalen Umsetzungsrechtsakte korrespondierende Bußgeldvorschriften enthalten, die hohe Geldbußen vorsehen (maximal 15 Mio. EUR oder 2,5 % des Jahresumsatzes).

Wie geht es weiter?

Bis zur Verabschiedung der Verordnung durch das Europäische Parlament und den Rat wird voraussichtlich noch einige Zeit vergehen, auch wenn die EU die Bedeutung des CRA betont hat. Anschließend sollen Wirtschaftsakteure grundsätzlich zwei Jahre Zeit haben, um sich auf die neuen Anforderungen einzustellen.

Was ist jetzt zu tun?

Der ambitionierte Entwurf ist an der Schnittstelle zwischen IT-Recht und Produktrecht angesiedelt und wird aufgrund der voranschreitenden Digitalisierung eine Vielzahl von Produkten und Wirtschaftsakteuren betreffen. Da der Entwurf die primäre Produktverantwortung klassischerweise den Herstellern auferlegt, sind vor allem diese gut beraten, sich frühzeitig mit den geplanten Regelungen auseinanderzusetzen.


Der Autor ist Rechtsanwalt in der Produktkanzlei in Berlin. Er berät dort zur Product Compliance, insbesondere zu IT-sicherheitsrechtlichen Produktanforderungen. Gemeinsam mit seinen Kollegen bloggt er unter https://www.produktkanzlei.com/blog/. Dr. Gerhard Wiebe wird einen Einführungsband zum Cyber Resilience Act und – zusammen mit Dr. Carsten Schucht – einen Großkommentar zur EU-Produktsicherheitsverordnung herausgeben, die beide im Nomos Verlag erscheinen werden.