Entwurf einer EU-Cybersicherheitsverordnung

Entwurf einer EU-Cybersicherheitsverordnung

Am 15.09.2022 veröffentlichte die Kommission ihren Vorschlag einer Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, den „Cyber Resilience Act“ (im Folgenden „CRA-E“). Als erster europäischer Rechtsakt dieser Art wird er verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen während ihres gesamten Lebenszyklus einführen.

Anwendungsbereich

Die vorgeschlagene Verordnung gilt für alle Produkte, die entweder direkt oder indirekt mit einem anderen Gerät oder Netz verbunden sind. Sie erfasst nach Art. 3 Abs. 1 CRA-E Hard- und Software gleichermaßen. Vom Anwendungsbereich ausgenommen sind allerdings Produkte, bei denen die Anforderungen an die Cybersicherheit bereits in bestehenden EU-Rechtsakten festgelegt sind, z.B. für Medizinprodukte, die Luftfahrt oder Fahrzeuge.

Regelungsstruktur

Da der Entwurf der Cybersicherheitsverordnung auf dem New Legislativ Framework (NLF) der EU basiert, folgt er dessen grundlegender Regelungsstruktur.

Formelle Anforderungen

Zu den formalen Anforderungen gehören etwa die Ausstellung einer EU-Konformitäts-erklärung nach Art. 20 CRA-E und die Anbringung der CE-Kennzeichnung im Sinne des Art. 22 CRA-E. Wie üblich, hat letzteres vorrangig auf dem Produkt selbst oder nachrangig auf der Verpackung zu erfolgen. Bei Stand-alone-Software kann die CE-Kennzeichnung auch auf der EU-Konformitätserklärung oder einer produktbegleitenden Website angebracht werden.

Materielle Anforderungen

Des Weiteren muss das Produkt die grundlegenden Cybersicherheitsanforderungen nach Art. 5 CRA-E i.V.m. Anhang I des CRA-E erfüllen. Dabei wird gemäß Art. 18 CRA-E vermutet, dass das Produkt die Anforderungen erfüllt, wenn es harmonisierten Standards entspricht (sog. Konformitätsvermutung bzw. Vermutungswirkung).

Das für die Einhaltung der materiellen Anforderungen maßgebliche Konformitätsbewertungsverfahren führt der Hersteller nach Art. 24 CRA-E in der Regel selbst durch. Anders ist dies bei den sog. kritischen Produkten mit digitalen Elementen im Sinne des Art. 6 CRA-E. Ein Produkt unterfällt dieser Kategorie, wenn seine Kernfunktion einer der in Anhang III des CRA-E abschließend aufgeführten Anwendungen entspricht, wobei zwischen Produkten der Klasse I und solchen der Klasse II unterschieden wird. Bei Klasse I-Produkten kann der Hersteller die Konformität durch die vollständige Anwendung harmonisierter Standards im Sinne des Art. 18 CRA-E nachweisen, andernfalls hat er eins der in Art. 24 Nr. 2 CRA-E aufgeführten Verfahren unter Einbindung einer notifizierten Stelle durchzuführen. Bei Produkten der Klasse II ist hingegen zwingend ein Konformitätsbewertungsverfahren unter Einbindung einer notifizierten Stelle zu durchlaufen.

Pflichten der Wirtschaftsakteure

In den Artt. 10 ff. CRA-E werden Pflichten an die Hersteller, Bevollmächtigte, Importeure und Händler gerichtet.

Hersteller

Der Herstellerbegriff des Art. 3 Abs. 18 CRA-E entspricht dem üblichen Verständnis und erfasst auch sogenannte Quasi-Hersteller. Nach Art. 16 CRA-E wiederum reicht auch die Vornahme einer wesentlichen Veränderung an einem Produkt mit digitalem Element aus, um als Hersteller angesehen zu werden.

Der Hersteller trägt die primäre Verantwortung für die Produktkonformität. Ausdruck der Produktverantwortung sind die klassischen Vormarkt- und Nachmarktpflichten, die sich jedoch teilweise von den bestehenden Harmonisierungsrechtsvorschriften der Union unterscheiden:

  • Informations- und Instruktionspflichten mit dem Mindestinhalt des Anhangs II des CRA-E
  • Produktbeobachtungspflichten, insbesondere hinsichtlich der Anfälligkeit für Sicherheitslücken und der davon ausgehenden Risiken
  • Prüfpflichten in Bezug auf zugekaufte Komponenten
  • proaktive Nachmarktpflichten über die ganze Lebensdauer des Produkts, höchstens aber für 5 Jahre nach der Markteinführung wie etwa Software-Updates bei Sicherheitslücken oder Korrekturmaßnahmen bei fehlender Konformität
  • Mitwirkungs- und Meldepflichten gegenüber den Marktüberwachungsbehörden; speziell eine sehr kurz bemessene Meldefrist von höchstens 24 Stunden gegenüber der Agentur der Europäischen Union für Cybersicherheit (ENISA) bei Entdeckung aktiv ausgenutzter Sicherheitslücken

Importeur und Händler

Importeure und Händler treffen zunächst die nach dem NLF üblichen Prüf- und Sicherstellungpflichten. Sie müssen also u.a. die formale Konformität prüfen bzw. sicherstellen. Darüber hinaus obliegt es ihnen, bei Zweifeln an der materiellen Konformität geeignete Maßnahmen zu deren Einhaltung ergreifen.

Verhältnis zu anderen EU-Produktrechtsvorschriften

Als horizontaler Rechtsakt sieht der Entwurf der EU-Cybersicherheitsverordnung vor, dass diese parallel mit anderen Harmonisierungsrechtsvorschriften anzuwenden ist. Zu drei EU-Produktrechtsvorschriften wird das Verhältnis freilich ausdrücklich geregelt:

  • nach Art. 7 CRA-E haben Harmonisierungsrechtsvorschriften der Union und die sich noch im Entwurf befindliche EU-Produktsicherheitsverordnung hinsichtlich der Anforderungen an die Produktsicherheit Vorrang vor der CRA-E
  • nach Art. 8 CRA-E gelten die Anforderungen an die Cybersicherheit nach Art. 15 KI-Verordnung-E als erfüllt, wenn das Produkt bereits nach der CRA-E konform ist
  • mit der Einhaltung der Anforderungen der CRA-E gelten gemäß Art. 9 CRA-E die Anforderungen der Nr. 1.1.9 und 1.2.1 des Anhangs III des EU-Maschinenverordnung-E als erfüllt

Marktüberwachung

Art. 41 Nr. 1 CRA-E ordnet hinsichtlich der Marktüberwachung die Anwendung der Verordnung (EU) 2019/1020 (sog. EU-Marktüberwachungsverordnung) an. Auf dieser Grundlage können die Marktüberwachungsbehörden bei nicht-konformen Produkten, die Wirtschaftsakteure auffordern, Maßnahmen zur Beendigung der Nichtkonformität und zur Beseitigung von Risiken zu ergreifen, die Bereitstellung eines Produkts auf dem Markt zu verbieten oder einzuschränken, sowie Rückrufe durchzuführen. Zur Durchsetzung dieser Maßnahmen sollen die nationalen Umsetzungsrechtakte gemäß Art. 53 Abs. 1 CRA-E korrespondierende Bußgeldvorschriften enthalten.

Weiterer Verfahrensgang und Geltungsbeginn

Das Gesetzgebungsverfahren befindet sich noch am Anfang. Bis zur Verabschiedung der Verordnung wird sicherlich noch einige Zeit vergehen, auch wenn die EU die Bedeutung dieses Rechtsakts betont hat. Die aktuelle Rückmeldefrist zum Entwurf läuft noch bis mindestens 17.11.2022.

Ab Inkrafttreten der Verordnung verbleibt den Wirtschaftsakteuren gemäß Art. 57 CRA-E eine Übergangsfrist von 24 Monaten. Eine Ausnahme hierzu bildet die Meldepflicht für aktiv ausgenutzte Sicherheitslücken, die bereits nach 12 Monaten zu befolgen sein wird.

Fazit

Insgesamt handelt es sich um einen ambitionierten Entwurf mit zahlreichen Bezugspunkten zu verschiedenen Regelungsbereichen. Aufgrund der voranschreitenden Digitalisierung in nahezu allen Produktbereichen wird die Mehrheit der Wirtschaftsakteure durch die geplante Verordnung betroffen werden. Trotz der großzügig bemessenen Übergangsfrist sollten sich die Wirtschaftsakteure daher bereits jetzt mit den geplanten Regelungen auseinandersetzen.

Haben Sie zu dieser News Fragen oder wollen Sie mit dem Autor über die News diskutieren? Kontaktieren Sie gerne: Dr. Gerhard Wiebe