Cyber Resilience Act: Kommission strebt einheitlichen Rechtsrahmen für die Cybersicherheit digitaler Produkte an

Bestimmung eines weiten Geltungsbereichs

Der CRA legt die Vorschriften für das Design, die Entwicklung und die Produktion fest, die für alle Produkte mit digitalen Elementen gelten sollen, unabhängig von der Zugehörigkeit zu bestimmten Sektoren oder Märkten. Laut dem Verordnungsentwurf umfassen „Produkte mit digitalen Elementen“ alle Hardware- und Softwareprodukte sowie Datenfernverarbeitungslösungen. Lediglich für militärische oder Verteidigungszwecke konzipierte Produkte sind aus dem Geltungsbereich des CRA ausgenommen.

Strengere Anforderungen sind für „kritische Produkte mit digitalen Elementen“ vorgesehen, bei denen eine Ausnutzung von Cybersicherheitsschwachstellen erhebliche negative Auswirkungen hätte. Die Kommission weist darauf hin, dass insbesondere Sicherheitslücken in Produkten, die cybersicherheitsrelevante Funktionen haben, die Sicherheit der gesamten Lieferkette gefährden können. Kritische Produkte sollen ferner in zwei Klassen unterteilt werden. Produkte der Klasse II sollen dabei einem strikteren Konformitätsbewertungsverfahren mit Beteiligung unabhängiger Prüfer unterzogen werden. Zur Klasse II gehören insbesondere Router und Firewalls für den industriellen Einsatz, Desktop- und Mobilgeräte, Betriebssysteme, Mikroprozessoren und Kartenlesegeräte.

Essenzielle Anforderungen an alle beteiligten Marktakteure

Die Verordnung sieht umfangreiche Verpflichtungen für die Hersteller und für weitere Wirtschaftsakteure, unter anderem Händler und Importeure von Produkten mit digitalen Elementen vor, sowie ein detailliertes Verfahren zum Umgang mit den Cybersicherheitslücken und zur Reaktion auf eine etwaige Nichtkonformität mit den Anforderungen des CRA. Die Konformitätseinschätzungen müssen regelmäßig durchgeführt und jede erkannte Schwachstelle muss unverzüglich der Agentur der Europäischen Union für Cybersicherheit (ENISA, s. cepAnalyse) gemeldet werden, die aufgrund erhaltener Erkenntnisse alle zwei Jahre einen technischen Bericht verfassen soll, in dem sie auf Tendenzen in Bezug auf Cybersicherheitsrisiken eingehen soll. Treten Sicherheitslücken auf, muss das Produkt gegebenenfalls aus dem Verkehr gezogen oder zurückgerufen werden. In der Zwischenzeit müssen die betroffenen Wirtschaftsakteure Maßnahmen ergreifen, um die Cybersicherheitsschwachstellen schnellstmöglich zu beseitigen. Werden keine geeigneten Maßnahmen innerhalb einer angemessenen Frist vorgenommen, soll die Marktüberwachungsbehörde des entsprechenden EU-Mitgliedstaates berechtigt werden, den Handel mit diesem Produkt auf dem jeweiligen nationalen Markt zu untersagen oder einzuschränken.

Andere Pflichten für die betroffenen Wirtschaftsakteure umfassen die regelmäßige Bewertung von Cybersicherheitsrisiken, eine Darlegung der Risikobewertung in einer technischen Dokumentation und die Erfüllung von Sorgfaltspflichten. Importeure und Händler müssen zusätzlich überprüfen, ob die Hersteller der digitalen Produkte alle Anforderungen des CRA bezüglich der Produkte auch erfüllen. Für die Nichteinhaltung der Vorschriften sieht die Verordnung Bußgelder in Höhe von bis zu 15 Millionen Euro oder 2,5 Prozent des Jahresumsatzes vor.

Ausblick

Der CRA ist ein zentraler Baustein des europäischen Rechtsrahmens zur Stärkung des Cybersicherheitsniveaus in der EU. Zu diesem gehören etwa auch die jüngst beschlossene Überarbeitung der Richtlinie zur Netz- und Informationssicherheit (NIS 2-Richtlinie, s. cepAnalyse und cepAdhoc) sowie die Verordnung zur digitalen Betriebsstabilität von Finanzunternehmen (DORA, s. cepAnalyse) bei.

Anastasia Kotovskaia, LL.M.

Referentin für Finanzmärkte und Informationstechnologien