4. April 2023Handel und Vertrieb, Informationstechnologie

Cyber Resilience Act – Was bedeutet die geplante Stärkung der Cybersicherheit für „Produkte mit digitalen Elementen“?

Das Internet of Things (kurz: IoT, deutsch: Internet der Dinge) und die damit verbundenen Akteure bilden zusammen eine der am stärksten und nachhaltigsten wachsenden Branchen der letzten Jahre. Eine immer stärkere Vernetzung von physischen und virtuellen Objekten ruft hierbei den europäischen Gesetzgeber auf den Plan, um die stetigen Entwicklungen in einen gesamteuropäischen Regulierungsrahmen einzubetten. Eine unter keinen Umständen zu vernachlässigende Besonderheit ist hier die Beteiligung verschiedenster Akteure sowie die zunehmende Anfälligkeit für Risiken der Informationssicherheit bei stärkerem Grad der Vernetzung.

Von besonderer Relevanz ist hier aus regulatorischer Sicht ein neuer Verordnungsentwurf der Europäischen Kommission, der sogenannte „Cyber Resilience Act“. Der am 15.09.2022 veröffentlichte Entwurf wurde bereits im Dezember 2022 im Rat diskutiert, die erste Lesung durch das Parlament steht mit Stand März 2023 allerdings noch aus.

Betroffen sind durch den Rechtsakt vor allem Software- oder Hardwareprodukte mit Lösungen für die Datenfernverarbeitung, konkreter sogenannte „Produkte mit digitalen Elementen“. Die Verordnung soll dabei neben Anbieter:innen auch andere mit dem Produkt in Verbindung stehende Akteur:innen treffen: so sieht sie Verpflichtungen auch für Hersteller:innen (inklusive Software-Developer:innen), Importeur:innen und Händler:innen vor.

Dieser Beitrag soll einen Überblick über die durch den Cyber Resilience Act geplanten neuen Verpflichtungen im Bereich der Cybersicherheit schaffen und diese zudem von dem Anwendungsbereich des bereits in Kraft getretenen Umsetzungsgesetzes der dID- und Warenkauf-Richtlinie abgrenzen, welches Verträge über „digitale Produkte“ und „Waren mit digitalen Elementen“ betrifft.

Cyber Resilience Act (CRA-E)

In einem Bestreben nach einem harmonisierten Rechtsrahmen über Cybersicherheitsanforderungen an Produkte mit digitalen Elementen hat die Europäische Kommission im September 2022 einen Entwurf für eine neue Verordnung zur Cyberresilienz veröffentlicht. Insbesondere berücksichtige der derzeitige EU-Rechtsrahmen nur unzureichend die Cybersicherheit von nicht eingebetteter Software, obwohl Cybersicherheitsangriffe zunehmend auf Schwachstellen in entsprechenden Produkten abzielen und erhebliche gesellschaftliche und wirtschaftliche Kosten verursachen. Dabei soll die geplante Verordnung zwei Kernprobleme adressieren: zum einen das zu geringe allgemeine Niveau der Cybersicherheit, das sich insbesondere in weit verbreiteten Schwachstellen und der unzureichenden und uneinheitliche Bereitstellung von Sicherheitsaktualisierungen zu deren Behebung niederschlägt; zum anderen den unzureichenden Informationszugang und das nicht ausreichende Verständnis von Nutzer:innen um Produkte mit angemessenen Cybersicherheitseigenschaften auszuwählen oder auf sichere Weise nutzen zu können.

Anwendungsbereich

Der sachliche Anwendungsbereich des CRA-E bezieht sich auf sogenannte „Produkte mit digitalen Elementen“, deren beabsichtigte und vernünftigerweise vorhersehbare Nutzung eine direkte oder indirekte Datenverbindung zu einem anderen Gerät oder Netzwerk umfasst. Dabei ist ein Produkt mit digitalen Elementen definiert als Software- oder Hardwareprodukt sowie dessen zugehörige Datenverarbeitungslösungen in der Cloud; dies umfasst auch Software- oder Hardwarekomponenten, die getrennt auf den Markt gebracht werden (engl.: „product with digital elements’ means any software or hardware product and it‘s remote data processing solutions, including software or hardware components to be placed on the market separately“). Erfasst sind also nur Geräte, die (auch) drahtlos kommunizieren können. Software-as-a-Service-(SaaS)-Produkte fallen nach Erwägungsgrund 9 CRA-E explizit nicht in den Anwendungsbereich der Verordnung, sie unterliegen danach vielmehr dem Anwendungsbereich der sich ebenfalls aktuell im Entwurfsstadium befindlichen NIS2-Richtlinie. Die Verordnung sieht nur wenige Ausnahmen von ihrem sachlichen Anwendungsbereich vor, etwa Medizinprodukte, die der Verordnung über Medizinprodukte unterliegen, oder Produkte, die ausschließlich für die nationale Sicherheit oder für militärische Zwecke entwickelt wurden. Open-Source Software wird explizit in Erwägungsgrund 10 adressiert, wo bestimmt ist, dass freie und quelloffene Software, die außerhalb einer kommerziellen Tätigkeit entwickelt oder bereitgestellt wird, nicht unter den CRA-E fallen soll. Entsprechende Software ist allerdings nicht, wie etwa im Rahmen der Umsetzung der Digitale-Inhalte-Richtlinie in § 327 Abs. 6 Nr. 6 BGB, explizit im Gesetzestext vom Anwendungsbereich ausgenommen. Diese eher abgeschwächte Ausnahme stößt zum Teil auf Kritik, da die Entwicklung von Open Source Software auf globalen Austausch angewiesen ist und die EU sich so durch die strengen Voraussetzungen des CRA-E von Möglichkeiten der Open Source Software-Entwicklung abschneiden könnte.

Der CRA-E unterscheidet neben der „Standardkategorie“ zudem gestaffelt in „kritische“ nach Art. 2 Nr. 3, 6 Abs. 2 und „sehr kritische“ Produkte mit digitalen Elementen nach Art. 2 Nr. 4, 6 Abs. 5 CRA-E, die entsprechend höhere Cybersecurity Risiken mit sich bringen. Beispielhaft nennt die Kommission hier etwa folgende Produktkategorien:

• Klasse 1 („kritische“ Produkte mit digitalem Element):
o Passwortmanager
o Identitäts- und Zugangsmanagementsysteme
o Produkte mit digitalen Elementen, die eine VPN-Funktion haben
o Browser
o Antiviren-Programme
o SIEM-Tools (Security Information and Event Management)

• Klasse 2 (“sehr kritische” Produkte mit digitalem Element):
o Betriebssysteme für Server, Desktop- sowie Mobilgeräte
o Public-Key-Infrastruktur und Aussteller digitaler Zertifikate
o Mikroprozessoren (CPUs)
o Hardware Security Module (HSMs)
o Smart Meter

Verpflichtungen

Die Verordnung spricht verschiedene Akteur:innen an: Hersteller:innen, Importeur:innen und Händler:innen; wobei Hersteller:innen (samt Software-Developer:innen) die signifikantesten Pflichten treffen. Sie müssen über Verfahren für den Umgang mit Cybersecurity Schwachstellen an ihren Produkten verfügen, einschließlich der Behebung und Meldung dieser sowie der Meldung von Sicherheitsvorfällen sowohl an die ENISA (Agentur der Europäischen Union für Cybersicherheit) als auch an betroffene Nutzer:innen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Die Einteilung der Produkte in Risikogruppen erfolgt auf der Basis von überprüfbaren Selbsterklärungen der Hersteller:innen. Die Konformität der Produkte mit digitalen Elementen mit den Anforderungen der Verordnung sollen die Hersteller:innen mit der Anbringung einer CE-Kennzeichnung an das Produkt bestätigen. Zum Nachweis der Einhaltung bzw. Erfüllung der statuierten Sicherheitsanforderungen soll schließlich ein Konformitätsbewertungsverfahren stattfinden, welches je nach Einordnung in die dargestellten Sicherheitskategorien entweder durch die Hersteller:innen selbst oder durch Dritte durchgeführt werden muss.

Der Gesetzesentwurf soll inhaltlich zudem regeln:

  • dass Cybersicherheit in praktisch allen Phasen des Lebenszyklus des Produkts mit digitalen Elementen, inklusive der Liefer- und Wartungsphase, berücksichtigt werden muss und eine dahingehende Dokumentationspflicht greift
  • eine Meldepflicht für aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle,
  • eine Überwachungs- und Beseitigungspflicht von Schwachstellen während der erwarteten Produktlebensdauer und Etablierung entsprechender Verfahren (über einen Zeitraum von maximal 5 Jahren)
  • die Pflicht zur Bereitstellung klarer und verständlicher Gebrauchsanweisungen für Produkte mit digitalen Inhalten,
  • die Verpflichtung zur Zurverfügungstellung von Sicherheitsupdates für mindestens 5 Jahr, sprich eine Art „Updatepflicht“
  • Regeln für die Marktüberwachung und die Durchsetzung der oben genannten Regeln und Anforderungen.

Auch wenn die extensiven Verpflichtungen ein wichtiger Schritt in Richtung einer gestärkten Cybersicherheitsstruktur und damit auch eines verbesserten Verbraucherschutzes ist, können sie zugleich den Zutritt zum europäischen Markt sowie dessen internationale Wettbewerbsfähigkeit beeinträchtigen. Zudem scheint fraglich, ob die Verpflichtung aller Beteiligten an der Produktkette wirklich zur bestmöglichen Gewährleistung eines hohen Cybersicherheitsstandards führt, können doch die Hersteller:innen gerade hinsichtlich Updates und Konzeption oftmals die effizientesten Schritte ergreifen.

Die Verordnung gilt unabhängig davon, ob das Produkt mit digitalen Elementen gegenüber Verbraucher:innen oder auch im B2B-Bereich vertrieben wird. Während etwa die Digitale-Inhalte- sowie die Warenkauf-Richtlinie nur Verbraucher:innen neue Rechte im Vertragsrecht eingeräumt hat, soll der CRA-E allgemeingültige neue Rahmenbedingungen unabhängig von einem konkreten Vertragsschluss schaffen.

Sanktionen

Die Nichteinhaltung der Anforderungen des CRA-E soll durch eine von den Mitgliedstaaten festzulegenden Stelle mit Geldbußen in Höhe von bis zu 15.000.000 EUR oder von bis zu 2,5 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden können. Hierbei ist der jeweils höher anzusetzende Betrag für die Bebußung maßgeblich. In Deutschland würde sich die Zuschreibung der entsprechenden Zuständigkeit an das Bundesamt für Sicherheit in der Informationstechnik (BSI) anbieten.

Darüber hinaus können die zuständigen Behörden gestaffelte Maßnahmen ergreifen: sie können eine Beseitigungsanordnung eines festgestellten Risikos und damit die (Wieder-)Herstellung der Konformität verlangen (Stufe 1), sie können die Bereitstellung eines Produkts mit digitalen Elementen auf dem Markt einschränken oder untersagen (Stufe 2) oder schließlich auch zum Produktrückruf verpflichten (Stufe 3).

Der Kommissionsvorschlag sieht eine Geltung der Vorschriften bereits grundsätzlich 24 Monate nach Inkrafttreten vor, wobei jedoch etwa die Meldepflicht bei Sicherheitsvorfällen bereits 12 Monate nach Inkrafttreten gelten soll.

Das könnte Sie auch interessieren:

dID- und Warenkauf-Richtlinie

Die Digitale-Inhalte-Richtlinie, welche seit dem 01.01.2022 in Deutschland durch das „Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen“ umgesetzt ist, schaffte erstmals einen einheitlichen Rechtsrahmen für Verträge über sogenannte digitale Produkte. Die ebenfalls zum 01.01.2022 umgesetzte Warenkauf-Richtlinie schaffte einen einheitlichen Rechtsrahmen über sogenannte Waren mit digitalen Elementen. Beide Richtlinien setzen neue Rahmenbedingungen für das „digitale“ Vertragsrecht zwischen Unternehmen und Verbrauchern fest. Damit bedarf es zur Anwendbarkeit der entsprechenden Normen anders als bei den weitgehend allgemeingültigen Vorschriften des CRA eines Verbrauchervertrages.

Der Verbrauchervertrag über digitale Produkte regelt den entgeltlichen Erwerb digitaler Inhalte und Dienstleistungen durch Verbraucher:innen. Dieser durch die dID-Richtlinie eingeführte Regelungsgegenstand kommt vor allem bei der Nutzung von Datenbanken, Social-Media-, Cloud- und SaaS-Diensten, Mediendownloads oder Streaming-Angeboten zur Anwendung. Abzugrenzen sind Verträge über digitale Produkte von Verträgen über Waren mit digitalen Elementen. In diesem Fall enthalten Waren „eigenständige“ digitale Produkte oder sind mit diesen verbunden. Beispielhaft zu nennen sind hierbei Smart-Geräte wie Smartphones und Smartwatches. Mit Ausnahme von Software, die als Dienstleistung zur Verfügung gestellt wird kann ein „Produkt mit digitalen Elementen“ nach der obig dargestellten Definition faktisch auch jedes digitale Produkt im Sinne der Umsetzung der dID-Richtlinie oder jede Ware mit digitalem Element im Sinne der Warenkauf-Richtlinie sein, sofern sie denn eine Datenfernverarbeitung vorsehen, die vom Hersteller konzipiert wurde oder in seiner Verantwortung liegt.

Insbesondere sieht der CRA-E ebenso wie die dID- und Warenkauf-Richtlinie eine Aktualisierungspflicht für betroffene Produkte oder Waren vor. Während die Aktualisierungspflicht nach dem CRA-E Hersteller:innen trifft, adressiert die Pflicht nach der dID- und Warenkauf-Richtlinie Verkäufer:innen. Unklar ist bislang, wie genau diese beiden Pflichten zueinanderstehen. Zumindest aber lässt sich andenken, dass sowohl die fehlende Einhaltung der Aktualisierungspflicht aus dem CRA-E sowie auch der sonstigen dort festgeschriebenen produktbezogenen Pflichten einen Mangel im Sinne des § 327e BGB darstellen könnte. Hier wäre eine klarstellende Regelung im weiteren Gesetzgebungsprozess des CRA wünschenswert.

Fazit

Wie stets bei Kommissionsentwürfen zu neuen Gesetzgebungsvorhaben muss zunächst abgewartet werden, wie weiter mit dem Entwurf verfahren wird. Es ist wohl ab Mitte des Jahres mit Beginn der Trilog-Verhandlungen zu rechnen, eine Verabschiedung durch Parlament und Rat vor Ende des Jahres erscheint somit eher unwahrscheinlich. Anschließend wird die Verordnung nicht direkt, sondern erst 24 Monate nach Inkrafttreten anwendbar sein. Ausnahme hiervon ist Artikel 11 (Meldepflicht für aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle), welcher schon 12 Monate nach Inkrafttreten anwendbar sein soll. Vorhaben wie der Cybersecurity Act machen klar: die Europäische Union misst Informationssicherheit und der Gefahr von entsprechenden Angriffen endlich die Bedeutung zu, die diese schon seit Jahren in der Praxis einnehmen. Auch für Unternehmen kann diese Entwicklung langfristig vor allem finanzielle Vorteile mit sich bringen. So rechnet die Kommission durch den CRA mit einer Reduzierung der Kosten durch Sicherheitsvorfälle von 470 Milliarden um 180 Milliarden auf 290 Milliarden Euro im Jahr für betroffene Unternehmen. Für den gesamten Markt wird gleichzeitig bei einem geschätzten Jahresumsatz von 1485 Milliarden Euro mit Umsetzungskosten in Höhe von 29 Milliarden Euro insbesondere durch die neuen Compliance Anforderungen gerechnet.

Auch wenn bis zur tatsächlichen Anwendbarkeit eines möglichen Cyber Resilience Acts noch Monate und unter Umständen Jahre vergehen können, lohnt sich insbesondere wegen der dort sowie in der dID- und Warenkauf-Richtlinie statuierten kontinuierlichen Pflichten wie der Aktualisierungspflicht eine vorausschauende Evaluierung und Anpassung eigener Produkte und Prozesse. Hierbei unterstützen wir gerne mit rechtlichem Know-how und jahrelanger Beratungserfahrung in der IT- und eCommerce-Branche.

Sie haben tiefergehende Fragen zum Cyber Resilience Act? Dann kontaktieren Sie uns!

Jetzt anfragen
nach oben
Mehr zum Thema

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.