Cyber Resilience Act (CRA)
Langtitel: (Vorläufig) Proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD))
Kurztitel: Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, Network and Information Security Directive (NIS2-Richtlinie)
Einigung wurde im Europäischen Rat[1] erzielt, auch das Europäische Parlament hat den Cyber Resilience Act (CRA) am 12.03.2024 verabschiedet.[2] Die Verordnung ist aktuell (Oktober 2024) noch nicht im Amtsblatt der Europäischen Union veröffentlicht und nicht in Kraft, da die formelle Annahme des Rates aussteht.
im Folgenden wir die absehbare Rechtslage basierend auf dem Text des europäischen Parlaments[3] dargestellt.
Kurzübersicht
| Ziele | Anwendungsbereich | Inhalt[4] | Synergie | Konsequenzen |
|---|---|---|---|---|
| Schwachstellen bei Produkten eindämmen. | Sachlich: Produkte mit digitalen Elementen (Hard- oder Softwareprodukte) deren
Verwendung Datenverbindung mit einem Gerät oder Netz einschließt |
Angemessenes Sicherheitsniveau von Produkten, Absenz bekannter Schwachstellen | ||
| Sicherheit während des gesamten Lebenszyklus eines Produkts sicherstellen. | Persönlich: Hersteller, Händler und Einführer | Versetzung in den Werkszustand muss (grundsätzlich) möglich sein. | Sicherheit der Verarbeitung (Art. 32 DSGVO) | |
| Bedingungen schaffen die es den Nutzern ermöglichen Cybersicherheit zu berücksichtigen. | Sicherheitsbewertungen je nach Sicherheitsklasse | Anforderungen der KI-VO (Art 6, 15) für nicht Hochrisiko-KI-Systeme | ||
| Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen (Art 29 ff NIS-2-RL) |
Einführung
Der Cyber Resilience Act – Entwurf (CRA-E, Parlamentsversion) folgt dem Ziel der Erhöhung der Cybersicherheit mit einheitlichen Cybersicherheitsanforderungen bei Produkten mit digitalen Elementen, vor Allem bei Hard- und Software. Hersteller, Händler und Importeure werden gegenüber ihren Kunden gezwungen transparent aufzuzeigen, wie sicher ihre Produkte sind, Schwachstellen bekannt zu geben und dafür zu sorgen, dass diese beseitigt werden. Darüber hinaus müssen oben genannte Akteure gewährleisten, dass ihre Produkte über deren gesamten Lebenszyklus sicher vor Cyberangriffen sind.
Anwendungsbereich
Sachlicher Anwendungsbereich
Die Verordnung gilt für Produkte mit digitalen Elementen (Hard- oder Softwareprodukte, und deren Datenfernverarbeitungslösungen, welche getrennt in Verkehr gebracht werden), deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Physische Datenverbindungen sind jene, welche zwischen elektronischen Informationssystemen oder Komponenten hergestellt werden und physisch oder optisch greifbar sind. Logische Verbindungen sind virtuelle Darstellungen einer Datenverbindung, welche über eine Softwareschnittstelle hergestellt werden.
Persönlicher Anwendungsbereich
Betroffene Akteure sind primär Hersteller, Händler und Einführer von Produkten mit digitalen Elementen (Importeure).
Hersteller ist eine Person, Organisation oder Behörde, welche Produkte mit digitalen Elementen entwickelt, herstellt oder diese konzipiert und die Herstellung und Entwicklung beauftragt und jene Produkte unter ihrem Namen oder Markennamen vermarktet unentgeltlich oder monetarisiert (Art 3 Z 13 CRA-E, Parlamentsversion).
Händler ist eine Person, eine Organisation, oder eine Behörde, die Teil der Lieferkette ist und ein Produkt mit digitalen Elementen auf dem Unionsmarkt bereitstellt, ohne die Eigenschaften der Ware zu verändern. Hersteller und Einführer sind ausgenommen (Art 3 Z 17 CRA-E, Parlamentsversion).
Einführer ist eine in der Union ansässige oder niedergelassene Person, Organisation oder Behörde, welche ein Produkt mit digitalen Elementen einer außerhalb der Union befindende Person, Organisation oder Behörde erstmals am Unionsmarkt in Verkehr bringt (Art 3 Z 16 CRA-E, Parlamentsversion).
Territorialer Anwendungsbereich
Fallbeispiele
Synergien
Konsequenzen/Strafen
Weiterführende Literatur
- Ruttloff/Wagner/Stilz, Der Entwurf des Cyber Resilience Act (CRA) und seine Auswirkungen auf das Gewährleistungs- und Produkthaftungsrecht, BB 2024, 1603
- Erdelt, Meldepflichten des Cyber Resilience Acts, ZfPC 2024, 176
- Schöttle, Cyber Resilience Act, Produkthaftungsrichtlinie und andere Baustellen für die Open Source Communities, ZfPC 2023, 215
- Siglmüller, Cyber Resilience Act und Digital Operational Resilience Act - Lässt sich IT-Sicherheit rechtlich erzwingen? ZfPC 2023, 221
- Poncza, Der Entwurf des Cyber Resilience Act, ZfPC 2023, 44
- Voigt/Falk, Der Cyber Resilience Act, MMR 2023, 88
- Wiebe/Daelen, Der Cyber Resilience Act aus produktsicherheitsrechtlicher Perspektive, EuZW 2023, 257
- Zußner, Das Inverkehrbringen von Produkten mit digitalen Elementen nach dem Vorschlag der EU-Kommission für eine Verordnung über horizontale Cybersicherheitsanforderungen, ALJ 2022, Heft 2, 180
Weiterführende Links
- ↑ https://data.consilium.europa.eu/doc/document/ST-11726-2023-INIT/en/pdf
- ↑ https://www.europarl.europa.eu/doceo/document/TA-9-2024-0130_EN.html
- ↑ https://www.europarl.europa.eu/doceo/document/TA-9-2024-0130_EN.html
- ↑ https://www.nis.gv.at/nis-2-richtlinie.html
