Cyber Resilience Act (CRA): Unterschied zwischen den Versionen

Langtitel: (Vorläufig) Proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD))

Kurztitel: Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, Network and Information Security Directive (NIS2-Richtlinie)

Einigung wurde im Europäischen Rat^[1] erzielt, auch das Europäische Parlament hat den Cyber Resilience Act (CRA) am 12.03.2024 verabschiedet.^[2] Die Verordnung ist aktuell (Oktober 2024) noch nicht im Amtsblatt der Europäischen Union veröffentlicht und nicht in Kraft, da die formelle Annahme des Rates aussteht.

im Folgenden wir die absehbare Rechtslage basierend auf dem Text des europäischen Parlaments^[3] dargestellt.

Kurzübersicht

Einführung

Der Cyber Resilience Act – Entwurf (CRA-E, Parlamentsversion) folgt dem Ziel der Erhöhung der Cybersicherheit mit einheitlichen Cybersicherheitsanforderungen bei Produkten mit digitalen Elementen, vor Allem bei Hard- und Software. Hersteller, Händler und Importeure werden gegenüber ihren Kunden gezwungen transparent aufzuzeigen, wie sicher ihre Produkte sind, Schwachstellen bekannt zu geben und dafür zu sorgen, dass diese beseitigt werden. Darüber hinaus müssen oben genannte Akteure gewährleisten, dass ihre Produkte über deren gesamten Lebenszyklus sicher vor Cyberangriffen sind.

Anwendungsbereich

Sachlicher Anwendungsbereich

Die Verordnung gilt für Produkte mit digitalen Elementen (Hard- oder Softwareprodukte, und deren Datenfernverarbeitungslösungen, welche getrennt in Verkehr gebracht werden), deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Physische Datenverbindungen sind jene, welche zwischen elektronischen Informationssystemen oder Komponenten hergestellt werden und physisch oder optisch greifbar sind. Logische Verbindungen sind virtuelle Darstellungen einer Datenverbindung, welche über eine Softwareschnittstelle hergestellt werden.

Ausnahmen: (Art 1 CRA-E)

1. Produkte die sektorspezifischen Regelungen unterliegen: Medizinprodukte | In-vitro-Diagnostika | Kraftfahrzeuge | Zivilluftfahrt | Schiffsausrüstungen
2. Grundsätzlich überall dort wo sektorale Regeln einen gleichwertigen oder höheren Standard fordern.
3. Identische Ersatzteile
4. Produkte für Zwecke der nationalen Sicherheit oder Verteidigung oder für Produkte, die speziell für die Verarbeitung von Verschlusssachen bestimmt sind.

Beispiele: Vernetzten Kühlschränken oder Thermostaten, Laptops, Smartphones, Tablets, Smart Watches

Spezialfall Open Source Software

Freie und quelloffene Softwareprodukte („Open-Source“) sind, die außerhalb einer Geschäftstätigkeit entwickelt oder bereitgestellt werden.^[5] Ein explizite Ausnahme wurde nicht aufgenommen, die Ausnahme erhibt sich implizit aus der Definition der "Geschäftstätigkeit" und wird EG 18 CRA-E weiter präzisiert.

Produkte, die Open-Source-Produkte enthalten und in den Anwendungsbereich des CRA-E fallen, fallen als Ganzes - einschließlich der enthaltenen Open-Source-Produkte - in den Anwendungsbereich des CRA-E.

Nach Art 25 kann die Kommission durch delegierte Rechtsakte Sicherheitsbescheinigungen für Open Source Software erlassen, diesbezüglich sind Stand Oktober 2024 keine Details bekannt. Art 9 CRA-E sieht vor, dass die „Open Source Community“ als Stakeholder bei der Durchführung der Verordnung von der Kommission zu konsultieren ist. Gerage im Zuge der Erstellung delegierter Rechtsakte erscheint eine Konsultierung wünschenswert.

Persönlicher Anwendungsbereich

Betroffene Akteure sind primär Hersteller, Händler und Einführer von Produkten mit digitalen Elementen (Importeure).

Hersteller ist eine Person, Organisation oder Behörde, welche Produkte mit digitalen Elementen entwickelt, herstellt oder diese konzipiert und die Herstellung und Entwicklung beauftragt und jene Produkte unter ihrem Namen oder Markennamen vermarktet unentgeltlich oder monetarisiert (Art 3 Z 13 CRA-E, Parlamentsversion).

Händler ist eine Person, eine Organisation, oder eine Behörde, die Teil der Lieferkette ist und ein Produkt mit digitalen Elementen auf dem Unionsmarkt bereitstellt, ohne die Eigenschaften der Ware zu verändern. Hersteller und Einführer sind ausgenommen (Art 3 Z 17 CRA-E, Parlamentsversion).

Einführer ist eine in der Union ansässige oder niedergelassene Person, Organisation oder Behörde, welche ein Produkt mit digitalen Elementen einer außerhalb der Union befindende Person, Organisation oder Behörde erstmals am Unionsmarkt in Verkehr bringt (Art 3 Z 16 CRA-E, Parlamentsversion).

Territorialer Anwendungsbereich

Kategorisierung von Produkten und Pflichten

Der CRA-E unterscheidet neben der „Standardkategorie“ zudem gestaffelt in „kritische“ nach Art. 2 Nr. 3, 6 Abs. 2 und „sehr kritische“ Produkte mit digitalen Elementen nach Art. 2 Nr. 4, 6 Abs. 5 CRA-E, die entsprechend höhere Cybersecurity Risiken mit sich bringen. Beispielhaft nennt die Kommission hier etwa folgende Produktkategorien:

Standardkategorie

Klasse 1 („kritische“ Produkte mit digitalem Element):

• Passwortmanager
• Identitäts- und Zugangsmanagementsysteme
• Produkte mit digitalen Elementen, die eine VPN-Funktion haben
• Browser
• Antiviren-Programme
• SIEM-Tools (Security Information and Event Management)

Klasse 2 (“sehr kritische” Produkte mit digitalem Element):

• Betriebssysteme für Server, Desktop- sowie Mobilgeräte
• Public-Key-Infrastruktur und Aussteller digitaler Zertifikate
• Mikroprozessoren (CPUs)
• Hardware Security Module (HSMs)
• Smart Meter

Synergien

Konsequenzen/Strafen

Gemäß Art. 52 Abs. 1 CRA-E haben die Mitgliedstaaten Vorschriften über Sanktionen zu erlassen, die bei Verstößen der Wirtschaftsakteure gegen diese Verordnung zu verhängen sind und treffen die zur Durchsetzung erforderlichen Maßnahmen.

Die Höhe der Geldbußen ist in Art. 64 Abs. 2 – 5 CRA-E geregelt. Bei Nichteinhaltung der Anforderungen in Anhang I oder bei Verstößen gegen die Pflichten des Herstellers in Art. 13 und 14 CRA-E Geldbußen von bis zu 15.000.000 € oder von bis zu 2,5 % des gesamten weltweit erzielten

Vorjahresumsatzes zu verhängen.

Bei Verstößen gegen die übrigen Pflichten des CRA-E können Geldbußen von bis zu 10.000.000 € oder 2 % des weltweit erzielten Vorjahresumsatzes verhängt werden.

Die Erteilung unrichtiger, unvollständiger oder irreführender Auskünfte an notifizierte Stellen und Marktüberwachungsbehörden in Beantwortung einer Aufforderung wird mit Geldbußen bis zu 5.000.000 EUR oder bis zu 1 % des gesamten weltweit erzielten Vorjahresumsatzes.

Aufsicht über Open-Source-Stewards obliegt gemäß Art. 52 Z. 3 CRA-E den Marktüberwachungsbehörden, diese können nach Art. 64 Z. 10 litt. b CRA-E keine Geldbußen verhängen.

Weiterführende Literatur

• Ruttloff/Wagner/Stilz, Der Entwurf des Cyber Resilience Act (CRA) und seine Auswirkungen auf das Gewährleistungs- und Produkthaftungsrecht, BB 2024, 1603
• Erdelt, Meldepflichten des Cyber Resilience Acts, ZfPC 2024, 176
• Schöttle, Cyber Resilience Act, Produkthaftungsrichtlinie und andere Baustellen für die Open Source Communities, ZfPC 2023, 215
• Siglmüller, Cyber Resilience Act und Digital Operational Resilience Act - Lässt sich IT-Sicherheit rechtlich erzwingen? ZfPC 2023, 221
• Poncza, Der Entwurf des Cyber Resilience Act, ZfPC 2023, 44
• Voigt/Falk, Der Cyber Resilience Act, MMR 2023, 88
• Wiebe/Daelen, Der Cyber Resilience Act aus produktsicherheitsrechtlicher Perspektive, EuZW 2023, 257
• Zußner, Das Inverkehrbringen von Produkten mit digitalen Elementen nach dem Vorschlag der EU-Kommission für eine Verordnung über horizontale Cybersicherheitsanforderungen, ALJ 2022, Heft 2, 180
• Piltz/Weiß/Zwerschke, Der Vorschlag für einen Cyber Resilience Act aus Sicht der DSGVO, CR 5/2023, 289

Weiterführende Links