Cyber Resilience Act (CRA): Unterschied zwischen den Versionen
Anwendungsbereich |
|||
| Zeile 21: | Zeile 21: | ||
|Angemessenes Sicherheitsniveau von Produkten, Absenz bekannter Schwachstellen | |Angemessenes Sicherheitsniveau von Produkten, Absenz bekannter Schwachstellen | ||
| | | | ||
| | |Verstoß gegen Art. 13 und 14 CRA-E; bis zu 15.000.000 € oder von bis zu 2,5 % | ||
|- | |- | ||
|Sicherheit während des gesamten Lebenszyklus eines Produkts sicherstellen. | |Sicherheit während des gesamten Lebenszyklus eines Produkts sicherstellen. | ||
|Persönlich: Hersteller, Händler und Einführer | |Persönlich: Hersteller, Händler und Einführer | ||
|Versetzung in den Werkszustand muss (grundsätzlich) möglich sein. | |Versetzung in den Werkszustand muss (grundsätzlich) möglich sein. | ||
|Sicherheit der Verarbeitung (Art. 32 DSGVO) | |Sicherheit der Verarbeitung (Art. 32 DSGVO), Technikgestaltung und Voreinstellung (Art. 25 DSGVO) | ||
| | |Verstoß gegen übrige Pflichten; bis zu 10.000.000 € oder 2 % des weltweit erzielten Vorjahresumsatzes | ||
|- | |- | ||
|Bedingungen schaffen die es den Nutzern ermöglichen Cybersicherheit zu berücksichtigen. | |Bedingungen schaffen die es den Nutzern ermöglichen Cybersicherheit zu berücksichtigen. | ||
| Zeile 33: | Zeile 33: | ||
|Sicherheitsbewertungen je nach Sicherheitsklasse | |Sicherheitsbewertungen je nach Sicherheitsklasse | ||
|Anforderungen der KI-VO (Art 6, 15) für nicht Hochrisiko-KI-Systeme | |Anforderungen der KI-VO (Art 6, 15) für nicht Hochrisiko-KI-Systeme | ||
|Mangelhafte Auskünfte; bis zu 5.000.000 EUR oder 1 % des Vorjahresumsatzes | |||
|- | |||
| | | | ||
| | | | ||
| | | | ||
| | | | ||
| | | | ||
| Zeile 49: | Zeile 49: | ||
==== Sachlicher Anwendungsbereich ==== | ==== Sachlicher Anwendungsbereich ==== | ||
Die Verordnung gilt für Produkte mit digitalen Elementen (Hard- oder Softwareprodukte, und deren Datenfernverarbeitungslösungen, welche getrennt in Verkehr gebracht werden), deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Physische Datenverbindungen sind jene, welche zwischen elektronischen Informationssystemen oder Komponenten hergestellt werden und physisch oder optisch greifbar sind. Logische Verbindungen sind virtuelle Darstellungen einer Datenverbindung, welche über eine Softwareschnittstelle hergestellt werden. | Die Verordnung gilt für Produkte mit digitalen Elementen (Hard- oder Softwareprodukte, und deren Datenfernverarbeitungslösungen, welche getrennt in Verkehr gebracht werden), deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Physische Datenverbindungen sind jene, welche zwischen elektronischen Informationssystemen oder Komponenten hergestellt werden und physisch oder optisch greifbar sind. Logische Verbindungen sind virtuelle Darstellungen einer Datenverbindung, welche über eine Softwareschnittstelle hergestellt werden. | ||
====== Ausnahmen: ====== | |||
Produkte die sektorspezifischen Regelungen unterliegen: Medizinprodukte | In-vitro-Diagnostika | Kraftfahrzeuge | Zivilluftfahrt | Schiffsausrüstungen | |||
Grundsätzlich überall dort wo sektorale Regeln einen gleichwertigen oder höheren Standard fordern. | |||
Identische Ersatzteile | |||
Produkte für Zwecke der nationalen Sicherheit oder Verteidigung oder für Produkte, die speziell für die Verarbeitung von Verschlusssachen bestimmt sind. | |||
Freie und quelloffene Softwareprodukte („Open-Source“) sind, die außerhalb einer Geschäftstätigkeit entwickelt oder bereitgestellt werden. | |||
'''Beispiele:''' Vernetzten Kühlschränken oder Thermostaten, Laptops, Smartphones, Tablets, Smart Watches | |||
==== Persönlicher Anwendungsbereich ==== | ==== Persönlicher Anwendungsbereich ==== | ||
Betroffene Akteure sind primär Hersteller, Händler und Einführer von Produkten mit digitalen Elementen (Importeure). | Betroffene Akteure sind primär Hersteller, Händler und Einführer von Produkten mit digitalen Elementen (Importeure). | ||
| Zeile 61: | Zeile 75: | ||
==== Territorialer Anwendungsbereich ==== | ==== Territorialer Anwendungsbereich ==== | ||
== Synergien == | == Synergien == | ||
== Konsequenzen/Strafen == | == Konsequenzen/Strafen == | ||
Gemäß Art. 52 Abs. 1 CRA-E haben die Mitgliedstaaten Vorschriften über Sanktionen zu erlassen, die bei Verstößen der Wirtschaftsakteure gegen diese Verordnung zu verhängen sind und treffen die zur Durchsetzung erforderlichen Maßnahmen. | |||
Die Höhe der Geldbußen ist in Art. 64 Abs. 2 – 5 CRA-E geregelt. Bei Nichteinhaltung der Anforderungen in Anhang I oder bei Verstößen gegen die Pflichten des Herstellers in Art. 13 und 14 CRA-E Geldbußen von bis zu 15.000.000 € oder von bis zu 2,5 % des gesamten weltweit erzielten | |||
Vorjahresumsatzes zu verhängen. | |||
Bei Verstößen gegen die übrigen Pflichten des CRA-E können Geldbußen von bis zu 10.000.000 € oder 2 % des weltweit erzielten Vorjahresumsatzes verhängt werden. | |||
Die Erteilung unrichtiger, unvollständiger oder irreführender Auskünfte an notifizierte Stellen und Marktüberwachungsbehörden in Beantwortung einer Aufforderung wird mit Geldbußen bis zu 5.000.000 EUR oder bis zu 1 % des gesamten weltweit erzielten Vorjahresumsatzes. | |||
== Weiterführende Literatur == | == Weiterführende Literatur == | ||
| Zeile 78: | Zeile 99: | ||
* ''Wiebe/Daelen'', Der Cyber Resilience Act aus produktsicherheitsrechtlicher Perspektive, EuZW 2023, 257 | * ''Wiebe/Daelen'', Der Cyber Resilience Act aus produktsicherheitsrechtlicher Perspektive, EuZW 2023, 257 | ||
* ''Zußner'', Das Inverkehrbringen von Produkten mit digitalen Elementen nach dem Vorschlag der EU-Kommission für eine Verordnung über horizontale Cybersicherheitsanforderungen, ALJ 2022, Heft 2, 180 | * ''Zußner'', Das Inverkehrbringen von Produkten mit digitalen Elementen nach dem Vorschlag der EU-Kommission für eine Verordnung über horizontale Cybersicherheitsanforderungen, ALJ 2022, Heft 2, 180 | ||
* ''Piltz/Weiß/Zwerschke'', Der Vorschlag für einen Cyber Resilience Act aus Sicht der DSGVO, CR 5/2023, 289 | |||
== Weiterführende Links == | == Weiterführende Links == | ||
Version vom 3. Oktober 2024, 15:56 Uhr
Langtitel: (Vorläufig) Proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD))
Kurztitel: Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, Network and Information Security Directive (NIS2-Richtlinie)
Einigung wurde im Europäischen Rat[1] erzielt, auch das Europäische Parlament hat den Cyber Resilience Act (CRA) am 12.03.2024 verabschiedet.[2] Die Verordnung ist aktuell (Oktober 2024) noch nicht im Amtsblatt der Europäischen Union veröffentlicht und nicht in Kraft, da die formelle Annahme des Rates aussteht.
im Folgenden wir die absehbare Rechtslage basierend auf dem Text des europäischen Parlaments[3] dargestellt.
Kurzübersicht
| Ziele | Anwendungsbereich | Inhalt[4] | Synergie | Konsequenzen |
|---|---|---|---|---|
| Schwachstellen bei Produkten eindämmen. | Sachlich: Produkte mit digitalen Elementen (Hard- oder Softwareprodukte) deren
Verwendung Datenverbindung mit einem Gerät oder Netz einschließt |
Angemessenes Sicherheitsniveau von Produkten, Absenz bekannter Schwachstellen | Verstoß gegen Art. 13 und 14 CRA-E; bis zu 15.000.000 € oder von bis zu 2,5 % | |
| Sicherheit während des gesamten Lebenszyklus eines Produkts sicherstellen. | Persönlich: Hersteller, Händler und Einführer | Versetzung in den Werkszustand muss (grundsätzlich) möglich sein. | Sicherheit der Verarbeitung (Art. 32 DSGVO), Technikgestaltung und Voreinstellung (Art. 25 DSGVO) | Verstoß gegen übrige Pflichten; bis zu 10.000.000 € oder 2 % des weltweit erzielten Vorjahresumsatzes |
| Bedingungen schaffen die es den Nutzern ermöglichen Cybersicherheit zu berücksichtigen. | Sicherheitsbewertungen je nach Sicherheitsklasse | Anforderungen der KI-VO (Art 6, 15) für nicht Hochrisiko-KI-Systeme | Mangelhafte Auskünfte; bis zu 5.000.000 EUR oder 1 % des Vorjahresumsatzes | |
Einführung
Der Cyber Resilience Act – Entwurf (CRA-E, Parlamentsversion) folgt dem Ziel der Erhöhung der Cybersicherheit mit einheitlichen Cybersicherheitsanforderungen bei Produkten mit digitalen Elementen, vor Allem bei Hard- und Software. Hersteller, Händler und Importeure werden gegenüber ihren Kunden gezwungen transparent aufzuzeigen, wie sicher ihre Produkte sind, Schwachstellen bekannt zu geben und dafür zu sorgen, dass diese beseitigt werden. Darüber hinaus müssen oben genannte Akteure gewährleisten, dass ihre Produkte über deren gesamten Lebenszyklus sicher vor Cyberangriffen sind.
Anwendungsbereich
Sachlicher Anwendungsbereich
Die Verordnung gilt für Produkte mit digitalen Elementen (Hard- oder Softwareprodukte, und deren Datenfernverarbeitungslösungen, welche getrennt in Verkehr gebracht werden), deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Physische Datenverbindungen sind jene, welche zwischen elektronischen Informationssystemen oder Komponenten hergestellt werden und physisch oder optisch greifbar sind. Logische Verbindungen sind virtuelle Darstellungen einer Datenverbindung, welche über eine Softwareschnittstelle hergestellt werden.
Ausnahmen:
Produkte die sektorspezifischen Regelungen unterliegen: Medizinprodukte | In-vitro-Diagnostika | Kraftfahrzeuge | Zivilluftfahrt | Schiffsausrüstungen
Grundsätzlich überall dort wo sektorale Regeln einen gleichwertigen oder höheren Standard fordern.
Identische Ersatzteile
Produkte für Zwecke der nationalen Sicherheit oder Verteidigung oder für Produkte, die speziell für die Verarbeitung von Verschlusssachen bestimmt sind.
Freie und quelloffene Softwareprodukte („Open-Source“) sind, die außerhalb einer Geschäftstätigkeit entwickelt oder bereitgestellt werden.
Beispiele: Vernetzten Kühlschränken oder Thermostaten, Laptops, Smartphones, Tablets, Smart Watches
Persönlicher Anwendungsbereich
Betroffene Akteure sind primär Hersteller, Händler und Einführer von Produkten mit digitalen Elementen (Importeure).
Hersteller ist eine Person, Organisation oder Behörde, welche Produkte mit digitalen Elementen entwickelt, herstellt oder diese konzipiert und die Herstellung und Entwicklung beauftragt und jene Produkte unter ihrem Namen oder Markennamen vermarktet unentgeltlich oder monetarisiert (Art 3 Z 13 CRA-E, Parlamentsversion).
Händler ist eine Person, eine Organisation, oder eine Behörde, die Teil der Lieferkette ist und ein Produkt mit digitalen Elementen auf dem Unionsmarkt bereitstellt, ohne die Eigenschaften der Ware zu verändern. Hersteller und Einführer sind ausgenommen (Art 3 Z 17 CRA-E, Parlamentsversion).
Einführer ist eine in der Union ansässige oder niedergelassene Person, Organisation oder Behörde, welche ein Produkt mit digitalen Elementen einer außerhalb der Union befindende Person, Organisation oder Behörde erstmals am Unionsmarkt in Verkehr bringt (Art 3 Z 16 CRA-E, Parlamentsversion).
Territorialer Anwendungsbereich
Synergien
Konsequenzen/Strafen
Gemäß Art. 52 Abs. 1 CRA-E haben die Mitgliedstaaten Vorschriften über Sanktionen zu erlassen, die bei Verstößen der Wirtschaftsakteure gegen diese Verordnung zu verhängen sind und treffen die zur Durchsetzung erforderlichen Maßnahmen.
Die Höhe der Geldbußen ist in Art. 64 Abs. 2 – 5 CRA-E geregelt. Bei Nichteinhaltung der Anforderungen in Anhang I oder bei Verstößen gegen die Pflichten des Herstellers in Art. 13 und 14 CRA-E Geldbußen von bis zu 15.000.000 € oder von bis zu 2,5 % des gesamten weltweit erzielten
Vorjahresumsatzes zu verhängen.
Bei Verstößen gegen die übrigen Pflichten des CRA-E können Geldbußen von bis zu 10.000.000 € oder 2 % des weltweit erzielten Vorjahresumsatzes verhängt werden.
Die Erteilung unrichtiger, unvollständiger oder irreführender Auskünfte an notifizierte Stellen und Marktüberwachungsbehörden in Beantwortung einer Aufforderung wird mit Geldbußen bis zu 5.000.000 EUR oder bis zu 1 % des gesamten weltweit erzielten Vorjahresumsatzes.
Weiterführende Literatur
- Ruttloff/Wagner/Stilz, Der Entwurf des Cyber Resilience Act (CRA) und seine Auswirkungen auf das Gewährleistungs- und Produkthaftungsrecht, BB 2024, 1603
- Erdelt, Meldepflichten des Cyber Resilience Acts, ZfPC 2024, 176
- Schöttle, Cyber Resilience Act, Produkthaftungsrichtlinie und andere Baustellen für die Open Source Communities, ZfPC 2023, 215
- Siglmüller, Cyber Resilience Act und Digital Operational Resilience Act - Lässt sich IT-Sicherheit rechtlich erzwingen? ZfPC 2023, 221
- Poncza, Der Entwurf des Cyber Resilience Act, ZfPC 2023, 44
- Voigt/Falk, Der Cyber Resilience Act, MMR 2023, 88
- Wiebe/Daelen, Der Cyber Resilience Act aus produktsicherheitsrechtlicher Perspektive, EuZW 2023, 257
- Zußner, Das Inverkehrbringen von Produkten mit digitalen Elementen nach dem Vorschlag der EU-Kommission für eine Verordnung über horizontale Cybersicherheitsanforderungen, ALJ 2022, Heft 2, 180
- Piltz/Weiß/Zwerschke, Der Vorschlag für einen Cyber Resilience Act aus Sicht der DSGVO, CR 5/2023, 289
Weiterführende Links
- ↑ https://data.consilium.europa.eu/doc/document/ST-11726-2023-INIT/en/pdf
- ↑ https://www.europarl.europa.eu/doceo/document/TA-9-2024-0130_EN.html
- ↑ https://www.europarl.europa.eu/doceo/document/TA-9-2024-0130_EN.html
- ↑ https://www.nis.gv.at/nis-2-richtlinie.html
