Cyber Resilience Act
Im September 2022 hat die EU Kommission einen Entwurf des Cyber Resilience Act („CRA-E“) veröffentlicht. Ziel des Gesetzgebungsvorhabens ist die Verbesserung der Cybersicherheit digitaler Produkte.
Welche Produkte sind gemeint?
Mit dem CRA-E legt die EU Kommission Herstellern, Händlern und Importeuren von „Produkten mit digitalen Elementen“ mehrere Pflichten auf, um die Cybersicherheit dieser Produkte zu gewährleisten. Nach Art. 2 CRA-E sind damit Produkte gemeint, „deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt“. Sehr vereinfacht ausgedrückt also Produkte, die bei Verwendung in Verbindung mit einem anderen Gerät stehen (z.B. sog. IoT-Devices).
Wer hat Pflichten?
Der CRA verpflichtet primär Hersteller, Importeure und Händler von digitalen Produkten. Hersteller ist jede Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen unter ihrem Namen konzipieren, entwickeln oder herstellen lässt (Art. 3 Nr. 18 CRA-E). Importeur ist wer in der EU ein digitales Produkt in den Verkehr bringt und das Produkt von einem Nicht-EU-Hersteller stammt oder unter der Marke eines Inhabers aus einem Nicht-EU-Land vertreibt. Händler ist ferner, wer weder Hersteller oder Importeur ist und ein digitales Produkt unverändert in der EU auf den Markt bringt. Zu den wichtigsten Pflichten gehören: Ein Konformitätsbewertungsverfahren: Hersteller müssen ihre Produkte fortlaufend testen, um sicherzustellen, dass die Anforderungen des CRA erfüllt sind. Dabei werden Produkte als normal, kritisch oder hochkritisch eingestuft, bei welchen gegebenenfalls strengere Anforderungen einzuhalten sind. Nach erfolgreicher Konformitätsbewertung muss außerdem eine CE-Kennzeichnung am Produkt angebracht werden. Eigene Richtlinien und Verfahren: Das Erarbeiten von eigenen Richtlinien und Verfahren soll es ermöglichen, potenziellen Schwachstellen zu bearbeiten und beheben. Ein Bug-Bounty-Programm, also ein System, bei dem das Melden von Schwachstellen belohnt wird, wird hier empfohlen. Eine Update-Pflicht: Hersteller müssen bis zu fünf Jahre sicherstellen, dass ihr Produkt die essenziellen Sicherheitsanforderungen des CRA erfüllt. Verpflichtungen für Importeure: Importeure dürfen nur Produkte auf den Markt bringen, die die Sicherheitsanforderungen des CRA erfüllen. Meldepflichten: Hersteller unterliegen strengen Meldepflichten und müssen IT-Sicherheitsvorfälle innerhalb von 24 Stunden melden und betroffene Nutzer informieren.
Was sind mögliche Sanktionen?
Bei einem Verstoß gegen die Vorgaben des CRA können die Mitgliedsstaaten Sanktionen erheben. Die Bußgelder variieren also je nach Verstoß und nationaler Gesetzgebung. Werden beispielsweise essenzielle Anforderungen an die Cybersicherheit verletzt, können Bußgelder von bis zu 15 Mio. EUR oder bis zu 2.5% des weltweiten Umsatzes erhoben werden. Das Sanktionsregime ist somit vergleichbar mit der DSGVO.