Hannover, 15.03.2022 | Cyberangriffe und Cyberkriminalität nehmen kontinuierlich zu, begünstigt von dem allgemein niedrigen Cybersicherheitsniveau und von dem unzureichenden Verständnis und Informationszugang seitens der Nutzer. Statista schätzt die Höhe der von Cyberkriminalität verursachten Schäden im Jahr 2022 in Deutschland auf 202,7 Milliarden Euro. Als Reaktion darauf hat die EU-Kommission am 15.09.2022 ihren Entwurf des „Cyber Resilience Act“ (CRA-E) vorgestellt. Ziel der neuen Vorschriften ist es, für alle Hersteller, Importeure und Vertreiber von Produkten mit digitalen Elementen, die Cybersicherheit in der EU durch horizontal geltende Cybersicherheitsvoraussetzungen zu erhöhen. Das Vorhaben der EU-Kommission ist grundsätzlich zu begrüßen. Allerdings wird die Umsetzung der Vorgaben des CRA-E durch den hohen bürokratischen Aufwand eine große Herausforderung für Unternehmen und erfordert eine frühzeitige Planung.
Das Cyber Resilience Act der EU
Sara Nesler, Mag. iur. (Torino), LL.M. (Münster), Hanover
Adressaten
Der CRA-E erfasst Marktteilnehmer entlang der gesamten Lieferkette, also sowohl Hersteller als auch Importeure und Händler. Die umfangreichsten Pflichten werden Herstellern auferlegt. Aus diesem Grund spielt die Definition des „Herstellers“ eine zentrale Rolle für die Anwendung der neuen Regelung.
Hersteller im Sinne des CRA-E ist „jede natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder Produkte mit digitalen Elementen entwerfen, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vertreibt, entgeltlich oder unentgeltlich“[1]. Damit wird neben der Herstellung im traditionellen Sinne auch der Vertrieb von sog. White Label-Produkten unter eigenen Namen oder eigener Marke erfasst.
Auch Importeure, Händler und sonstige Personen können als Hersteller gelten und einzelnen Herstellerpflichten unterliegen, wenn sie wesentliche Veränderungen an einem Produkt vornehmen. Wesentliche Veränderungen sind solche, die sich auf die Einhaltung des Produktes mit wesentlichen Cybersicherheitsvoraussetzungen oder auf die Veränderungen der beabsichtigten Nutzung erstrecken. Refurbishing und Reparaturen an sich sollen in der Regel nicht als wesentliche Veränderungen gelten.
Produkte mit digitalen Elementen
Der CRA-E findet auf alle Produkte mit digitalen Inhalten Anwendung, deren beabsichtigte oder vorhersehbare Nutzung eine logische oder physische Datenverbindung zu einem Gerät oder Netz beinhaltet. Darunter fallen sowohl Hardwarekomponenten als auch Softwareprodukte. Bereits heute haben immer mehr Alltagsgegenstände eine digitale Funktion. So sind nicht nur Smartphones oder Internet-Router Produkte mit digitalen Elementen, sondern vermehrt auch PKWs, Staubsauger, Kühlschränke. Diese Tendenz wird mit der Weiterentwicklung des Internet of Things noch deutlich steigen.
Zu beachten ist, dass der CRA-E nicht auf Verbraucherverträge beschränkt ist. Anders als § 327 BGB, der in Deutschland die Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen regelt und ein verbraucherschützenden Charakter hat. Durch die breite Definition will die EU-Kommission so viele Produkte mit digitalen Elementen wie möglich erfassen. Nur damit kann das Ziel einer möglichst lückenfreien horizontalen Regelung für die Cybersicherheit von Produkten erreicht werden. Ausnahmen gelten lediglich für einige Produktkategorien, die im Bereich Cybersicherheit bereits streng geregelt sind, wie Medizinprodukte und Fahrzeugsicherheitssysteme.
Drei Risikostufen
Die EU-Kommission erkennt, ähnlich wie bei künstlicher Intelligenz (siehe dazu HP Compact „Künstliche Intelligenz in Europa“, September 2021), dass nicht alle Produkte mit digitalen Elementen gleich problematisch sind. Neben „normalen“ Produkten mit digitalen Elementen werden kritische Produkte der Klasse I und kritische Produkte der Klasse II (hochkritische Produkte) identifiziert. Zu den kritischen Systemen gehören Browser, Passwort-Manager, Netzwerküberwachungssysteme und Fernzugriffssysteme.
Als hochkritisch werden, zum Beispiel, Betriebssysteme für Server, Desktops und mobile Geräte, Router und Modems für den Internetzugang sowie Kryptoprozessoren eingestuft. Die steigende Kritikalität der Produkte ist mit höheren Anforderungen verbunden.
Pflichten für Hersteller, Artt. 10-12 CRA-E
In der Lieferkette sind Hersteller das Glied mit der größten Kontrolle über das Produkt. Daher unterliegen sie einer ganzen Reihe von intensiven organisatorischen Verpflichtungen.
Einhaltung wesentlicher Cybersicherheitsanforderungen
Zunächst müssen Hersteller nach Art. 10 Abs. 1 CRA-E künftig sicherstellen, dass ihre Produkte mit digitalen Elementen so entworfen, entwickelt und produziert werden, dass sie gemessen an den mit ihnen verbundenen Risiken, ein angemessenes Cybersicherheitsniveau gewährleisten. Dazu sollen nur Produkte mit digitalen Elementen geliefert werden, ohne bekannte ausnutzbare Schwachstellen. Diese allgemeinen Verpflichtungen werden durch eine nicht abschließende Liste mit weiteren Vorgaben präzisiert. So müssen Produkte zum Beispiel mit sicherheitsfreundlichen (secure by default) und datenschutzfreundlichen (privacy by default) Voreinstellungen geliefert werden. Darüber hinaus muss jeder Hersteller überprüfen, ob die Einhaltung der gelisteten Auflagen ausreicht, um im konkreten Fall ein angemessenes Cybersicherheitsniveau zu gewährleisten, ggf. muss er weitere Maßnahmen ergreifen.
Schwachstellenmanagement
Nach Art. 10 Abs. 6 CRA-E müssen Hersteller auch für ein effektives Schwachstellenmanagement sorgen, unter anderem durch die Identifizierung und Dokumentation von Schwachstellen, deren Ausbesserung und die unverzügliche kostenlose Verteilung von Sicherheitsupdates.
Sonstige Pflichten
Hinzu kommen Dokumentationspflichten, fortlaufende Überprüfungen und Anpassungspflichten sowie Melde- und Benachrichtigungspflichten gegenüber zuständigen Behörden und Nutzern im Falle von bekanntgewordenen Ausnutzungen von Schwachstellen und sonstigen Vorfällen.
Für die Überprüfung und Anpassungspflichten sieht die Kommission einen Zeitraum von bis zu fünf Jahren nach Markteinführung vor. In Anbetracht des von der Kommission genannten Ziels einer umfassenden Cybersicherheit, ist diese zeitliche Begrenzung rätselhaft. Zwar stellt sie für die Hersteller eine Entlastung dar, allerdings sind viele Produkte für eine wesentlich längere Betriebsdauer konzipiert. Hierdurch könnten gefährliche Cybersicherheitslücken entstehen.
Konformitätsbeurteilung, Artt. 18 ff. CRA-E
Konformitätsbeurteilungen werden zur Prüfung und zum Nachweis der Konformität von Produkten mit digitalen Elementen mit dem CRA-E durchgeführt. Die Ergebnisse werden in einer Konformitätserklärung dokumentiert.
Um den Aufwand zu reduzieren, gewährt der CRA-E in Art. 18 für bestimmte Produkte gesetzliche Konformitätsvermutungen. So zum Beispiel, wenn das Produkt existierenden europäischen Harmonisierungsstandards genügt. Die EU-Kommission ist auch befugt, allgemeine Spezifikationen für Produkte zu erlassen. Sind diese erfüllt, werden auch die Anforderungen des Anhangs I CRA-E als erfüllt angesehen.
Für die Konformitätsbeurteilung können Hersteller, je nach Risikoklasse der Produkte, zwischen den unterschiedlichen Verfahren des Anhangs VI CRA-E auswählen. Während für „normale“ Produkte interne Kontrollverfahren ausreichen, ist für „kritische“ und „hochkritische“ Produkte eine externe Überprüfung erforderlich, entweder als EU-Musterbegutachtung oder in Form einer vollständigen Qualitätssicherung.
Basierend auf den Ergebnissen der Beurteilung muss eine EU-Konformitätserklärung erstellt werden. Werden mehrere EU-Konformitätserklärungen durch verschiedene Gesetze gefordert, reicht eine einzige Konformitätserklärung aus, solange diese sämtliche Voraussetzungen aller anwendbaren Gesetze erfüllt.
Darüber hinaus müssen auch Produkte mit digitalen Elementen die CE-Kennzeichnung tragen. Hierauf sind die allgemeinen Vorschriften anwendbar. Art. 22 CRA-E enthält jedoch Vorschriften zur korrekten Anbringung der Kennzeichnung.
Pflichten für Importeure, Art. 13 CRA-E
Importeure mit Sitz in der EU, die ein Produkt mit digitalen Elementen im Binnenmarkt einführen, sind verpflichtet, die Einhaltung wesentlicher Cybersicherheitsanforderungen zu überprüfen. Diese Vorschrift ist, ähnlich wie das EU-Lieferkettengesetz, mit einem hohen Mehraufwand verbunden (dazu HP Compact „Das EU-Konzept zu Lieferketten“, Februar 2022).
Werden Schwachstellen bekannt, muss der Importeur den Hersteller informieren, und wenn das Cybersicherheitsrisiko (aus Sicht des Importeurs) signifikant ist, auch die Marktüberwachungsbehörden.
Pflichten für Händler, Art. 14 CRA-E
Im Vergleich zu Herstellern und Importeuren haben Händler wesentlich geringere Verpflichtungen. Sie müssen nicht selbst sicherstellen, ob ein Produkt den Cybersicherheitsanforderungen entspricht, sondern nur überprüfen, dass es die CE-Kennzeichnung trägt und dass die Nutzerinformationen nach Anhang II CRA-E, die Konformitätserklärung und die Kontaktinformationen des Importeurs vorliegen.
Öffentliche Überwachung und Eingriffsbefugnisse
Die EU-Kommission, die Europäische Agentur für Cybersicherheit (ENISA) und die Marktüberwachungsbehörden der Mitgliedstaaten sind für die Überwachung der Einhaltung der CRA-E zuständig. Dabei werden die Marktüberwachungsbehörden der hauptsächliche Kontaktpunkt für Unternehmen sein.
Untersuchungs- und Eingriffsbefugnisse bestehen nicht nur bei der Nichteinhaltung der Vorgaben, sondern auch bei CRA-E-konformen Produkten, die jedoch ein Risiko für bestimmte Güter und Rechte darstellen (darunter die Gesundheit und Sicherheit von Personen oder die Einhaltung von Verpflichtungen aus dem Unionsrecht). In beiden Fällen kann die Marktüberwachungsbehörde alle jeweils erforderlichen Maßnahmen anordnen, darunter auch den Rückruf der Produkte. Die Behörden sind auch befugt, sog. Sweeps, das heißt, koordinierte und grenzüberschreitende Kontrollhandlungen (simulierte Cyberangriffe), durchzuführen, um bestimmte Produkte oder Produktgruppen zu überprüfen. Diese intensive Eingriffsmöglichkeit in die Rechte der Marktteilnehmer und Nutzer wird zum Teil kritisiert, zumal die Voraussetzungen für eine solche „Kontrollhandlung“ nicht spezifisch geregelt sind. Es bleibt abzuwarten, ob die finale Fassung der Regelung diesbezüglich striktere Anforderungen enthalten wird.
Bußgelder
Bei Nichteinhaltung der Vorschriften des CRA-E sieht der Entwurf Bußgelder in Höhe von bis zu 15 Millionen Euro oder 2,5 % des Gesamtjahresumsatzes vor. Die konkrete Höhe der Bußgelder wird sich, wie bei der DSGVO, nach und nach herausbilden. Mangels Erfahrungswerten wird zumindest zu Anfang eine hohe Unsicherheit erwartet. Um das zu verhindern und eine gewisse Einheitlichkeit zwischen den Mitgliedstaaten zu fördern, könnte die EU-Kommission, ähnlich wie bei der DSGVO, nicht verbindliche Leitlinien zur Berechnung von Bußgeldern erlassen. Es ist momentan nicht abzusehen, ob und wann das passieren wird.
Ausblick
Der Gesetzesentwurf muss noch von EU-Parlament und Rat gebilligt werden. Im Falle von Änderungen, wird sich das Gesetzgebungsverfahren noch hinziehen. Wird die Verordnung verabschiedet, werden die Vorschriften 24 Monate nach dem Inkrafttreten gelten. Mit Ausnahme der Meldepflicht von Sicherheitsfällen gem. Art. 11, die bereits 12 Monate nach Inkrafttreten gelten wird. Aufgrund des hohen Aufwands für die Umsetzung der Vorschriften und der hohen Bußgelder, sollten Unternehmen, und insbesondere Hersteller, rechtzeitig anfangen sich mit den neuen Anforderungen vertraut zu machen.
+ + +
[1] Eigene Übersetzung der Autorin aus dem englischen Originaltext.