Cyber Resilience Act: Produktsicherheit im Internet of Things

Von Smartphones bis hin zu smarten Kühlschränken – oftmals bergen vernetzte Produkte ein hohes Cyber- und Sicherheitsrisiko, dessen sich viele Verbraucher und Unternehmen nicht immer bewusst sind. Hieran knüpft der Entwurf des Cyber Resilience Act der EU mit dem Ziel an, die Cybersicherheit zu steigern und Verbraucher wie auch Unternehmen zu schützen. Hersteller, Importeure und Händler von Produkten mit digitalen Elementen müssen verbindliche Sicherheitsanforderungen wie Transparenz-, Dokumentations- und Update-Pflichten erfüllen.

Ausgangslage und Zielstellung des Cyber Resilience Act

Mit der EU-Cybersicherheitsstrategie von 2020 wurde eine Reihe von Gesetzgebungen und Gesetzgebungsvorhaben auf den Weg gebracht. Neben der NIS-2-Richtlinie, der Critical Entities Regulation (CER) und dem Digital Operational Resilience Act (DORA) fügt sich auch der Entwurf des Cyber Resilience Act (Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation [EU] 2019/1020 vom 20.12.2023, nachfolgend „CRA-E“) ein. Dieser legt Rahmenbedingungen für die Entwicklung und das Inverkehrbringen von Produkten mit digitalen Elementen (im Folgenden auch „Digitalprodukte“) fest.

Digitalprodukte sollen während der voraussichtlichen Nutzungsdauer, mindestens jedoch für fünf Jahre Cybersicherheitsanforderungen erfüllen (vgl. Art. 10 Abs. 6 sowie Erwägungsgrund [ErwG] 33b CRA-E). Der CRA-E greift zwei aktuelle Produktschwachstellen auf: Digitalprodukte haben oftmals ein zu geringes Cybersicherheitsniveau, etwa durch mangelhafte Bereitstellung von Sicherheitsupdates. Darüber hinaus können Verbraucher und Unternehmen nur schwer feststellen, welche Digitalprodukte ein adäquates Maß an Cybersicherheit gewährleisten (vgl. ErwG 1 CRA-E).

Anwendungsbereich des CRA-E

Der CRA-E gilt für jedes Digitalprodukt, das im Rahmen einer gewerblichen Tätigkeit auf dem europäischen Markt zum Vertrieb oder zur Nutzung in Verkehr gebracht wird, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht. Zentrale Fragestellung für die Bestimmung des sachlichen und persönlichen Anwendungsbereichs des CRA-E ist: Stellt das Unternehmen Digitalprodukte her, führt das Unternehmen solche Produkte ein oder vertreibt es solche Produkte auf dem Binnenmarkt? Nach Art. 2 Abs. 1 CRA-E sind nur Digitalprodukte erfasst, die auf dem Markt bereitgestellt werden und eine Datenverbindung mit einem Gerät oder Netz aufweisen. Dies sind beispielsweise Smart-Home-Geräte, die dauerhaft mit einem Heimnetzwerk verbunden sind. Gemäß Art. 3 Nr. 1 CRA-E werden Digitalprodukte als „Software- oder Hardwareprodukt und dessen Datenverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in Verkehr gebracht werden sollen“ definiert.

Der horizontale Ansatz wird dadurch eingeschränkt, dass der CRA-E auf bestimmte Dienste, die bereits unter bestehende sektorale Regulierungen fallen – u. a. Medizinprodukte, Luftfahrt und Autos – nicht anwendbar ist (vgl. Art. 2 Abs. 2 CRA-E). Zudem ist Software, die als Dienst bereitgestellt wird, nicht vom CRA-E erfasst (vgl. ErwG 9a CRA-E). Sie kann jedoch in den Anwendungsbereich anderer Rechtsakte, beispielsweise der NIS-2-Richtlinie fallen, durch die die Sicherheit der Netzinfrastruktur sichergestellt wird. Auch gilt der CRA-E nicht für Ersatzteile (vgl. Art. 2 Nr. 4a CRA-E) und auch nicht für die Bereitstellung von Digitalprodukten zu Demonstrations- oder Testzwecken, sofern bestimmte Voraussetzungen erfüllt sind (vgl. Art. 4 Abs. 2, 3 CRA-E). Open-Source-Software (OSS) ist nur dann vom Anwendungsbereich des CRA-E erfasst, wenn sie im Rahmen einer kommerziellen Tätigkeit auf dem Mark bereitgestellt wird (vgl. ErwG 10c CRA-E).

Der CRA-E ordnet Digitalprodukte in

• „normale“ Produkte mit digitalen Elementen,
• „wichtige“ Produkte mit digitalen Elementen und
• „kritische“ Produkte mit digitalen Elementen

ein, an die er unterschiedliche Sicherheitsanforderungen stellt.

Hierbei werden ca. 90 Prozent als „normale“ Digitalprodukte und ca. 10 Prozent als „wichtige“ oder „kritische“ Digitalprodukte zu klassifizieren sein.

Beispiele für „normale“ Digitalprodukte sind Fotobearbeitungsprogramme, Computer, Grafikkarten oder Smartwatches.

Digitalprodukte, deren Kernfunktion unter eine der Kategorien in Anhang III CRA-E fällt, sind als „wichtige“ Digitalprodukte einzuordnen. Sie werden dort in zwei Klassen (I und II) unterteilt, was mit unterschiedlichen Cybersicherheitsanforderungen einhergeht (hierzu sogleich). Klasse I umfasst u. a. eigenständige und eingebettete Browser, Passwortmanager, Anti-Viren-Software und Smart-Home-Geräte. In Klasse II fallen etwa Firewalls und manipulationssichere Mikroprozessoren.

Die Einstufung in Klasse I oder II erfolgt, wenn mindestens eines der folgenden Kriterien aus Art. 6 Abs. 1a CRA-E vorliegt:

• Das Digitalprodukt führt in erster Linie eine cybersicherheitsrelevante Funktion für anderer Produkte, Netze oder Dienste aus oder
• die Produktfunktion birgt ein erhebliches Risiko nachteiliger Auswirkungen für eine große Zahl anderer Produkte oder die Gesundheit, Sicherheit oder Unversehrtheit ihrer Nutzer durch direkte Manipulation.

Digitalprodukte mit einer Kernfunktion, die unter eine der Kategorien in Anhang IIIa CRA-E fällt, gelten als „kritische“ Digitalprodukte. Anhang IIIa CRA-E umfasst u. a. Hardware-Geräte mit Sicherheitsboxen, Smart-Meter-Gateways in intelligenten Messsystemen und Smartcards. Die Einordnung als „kritisches“ Digitalprodukt erfolgt ebenfalls anhand der Kriterien aus Art. 6 Abs. 1a CRA-E (s. o.) und mittels zwei weiterer alternativer Kriterien:

• kritische Abhängigkeit von wesentlichen Einrichtungen i. S. d. Art. 3 der NIS-2-Richtlinie
• potenzielles Ausmaß schwerwiegender Unterbrechungen kritischer Lieferketten bei Vorfällen und ausgenutzten Schwachstellen

Verpflichtungen nach dem CRA-E

Der CRA-E legt zur Erfüllung seiner Zielsetzung sämtlichen Akteuren der IT-Lieferkette Cybersicherheitsanforderungen und weitreichende Pflichten auf.

Folgende Pflichten müssen Hersteller u. a. gewährleisten (Art. 10, 11, 20, 22–24 CRA-E):

• Durchführung eines Cybersecurity-Risk-Assessments
• Sorgfalt bei der Integration von Komponenten von Drittanbietern
• Durchführung eines Konformitätsbewertungsverfahrens zum Nachweis der Erfüllung der grundlegenden Cybersicherheitsanforderungen aus Anlage I (je nach Kritikalität eines Digitalprodukts gelten unterschiedliche Anforderungen an das Konformitätsbewertungsverfahren: interne Kontrolle, EU-Baumusterprüfverfahren, externe Konformitätsbewertung, europäisches Zertifizierungssystem für Cybersicherheit)
• geeignete Strategien zur koordinierten Offenlegung von Schwachstellen
• Typen-, Chargen- oder Seriennummer sowie Kontaktinformationen des Herstellers
• Angabe des Unterstützungszeitraums
• Beifügen einer EU-Konformitätserklärung
• Anbringung einer CE-Kennzeichnung
• Erstellen einer technischen Dokumentation
• Meldepflicht eines Sicherheitsvorfalls – spätestens innerhalb von 24 Stunden an die Computer-Notfallteams (CSIRT) und die Agentur der Europäischen Union für Cybersicherheit (ENISA)
  
• notwendige Sicherheits-Updates (mindestens für einen Zeitraum von fünf Jahren) und Bereitstellen aktueller Informationen und Anleitungen im Hinblick auf Cybersicherheitsaspekte

Pflichten für Importeure (Art. 13 CRA-E) und Händler (Art. 14 CRA-E)

Die Importeure überprüfen vor dem Import des Digitalprodukts, ob der Hersteller ein geeignetes Konformitätsbewertungsverfahren durchgeführt, die technische Dokumentation erstellt sowie das CE-Kennzeichen, die Typen-, Chargen- oder Seriennummer, Kontaktinformationen und den Unterstützungszeitraum angebracht hat. Zudem sind der eigene Firmenname oder die eigene Marke sowie die Kontaktmöglichkeiten auf dem Digitalprodukt zu ergänzen und die EU-Konformitätserklärung für zehn Jahre aufzubewahren. Darüber hinaus treffen Importeure Meldepflichten, wenn ein Grund zur Annahme besteht, dass erhebliche Cybersicherheitsrisiken vorliegen.

Auch den Händler treffen die oben genannten Überprüfungspflichten. Zusätzlich hat er zu überprüfen, ob der Importeur auf dem Digitalprodukt seinen Firmennamen oder die Marke vermerkt hat und ob ihm alle erforderlichen Unterlagen übermittelt wurden. Wenn das Digitalprodukt ein erhebliches Cybersicherheitsrisiko birgt, treffen auch ihn entsprechende Meldepflichten.

Umsetzung in der Praxis

Für die Umsetzung der CRA-E-Pflichten sind Compliance-Strukturen zu etablieren. Das heißt, es bedarf Governance-Strukturen, die die Rollen und Verantwortlichkeiten im jeweiligen Unternehmen festlegen. Zudem müssen in den jeweiligen Unternehmen Prozesse, Maßnahmen und Verfahren beispielsweise für die Identifizierung der Digitalprodukte im Anwendungsbereich oder das Produktmonitoring über den Produktlebenszyklus zur Sicherstellung der Update-Pflicht implementiert werden.

Umsetzungszeitraum und Sanktionen

Der CRA-E soll Anfang 2024 in Kraft treten und enthält eine 36-monatige Umsetzungsfrist. Es bestehen zwei Ausnahmen: Die Meldepflichten der Hersteller in Bezug auf aktiv ausgenutzte Schwachstellen und Vorfälle (Art. 11) gelten bereits 21 Monate nach Inkrafttreten der Verordnung. Für die Notifizierung von Konformitätsbewertungsstellen (Kapitel IV) ist eine 18-monatige Umsetzungsfrist vorgeschrieben.

Werden die im CRA-E genannten wesentlichen Anforderungen an die Cybersicherheit verletzt, können gem. Art. 53 Abs. 3 CRA-E Bußgelder in Höhe von bis zu 15 Mio. Euro oder bis zu 2,5 Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres verhängt werden. Die Sanktionen für einen Verstoß gegen die Vorgaben des CRA-E können jedoch von Mitgliedstaat zu Mitgliedstaat divergieren.

Zusammenfassung und Ausblick

Die EU-Cybersicherheitsstrategie fordert die Unternehmen „an allen Enden“, sich mit dem Thema Cybersicherheit auseinanderzusetzen. Längst hätten sich sämtliche Stakeholder innerhalb der Lieferkette mit dem Thema beschäftigen sollen, doch hatten insbesondere Hersteller von Produkten mit digitalen Elementen bisher kaum Anreize, ihre Produkte sicher zu entwickeln und diese Sicherheit während des Produktlebenszyklus zu erhalten. Lediglich spezielle Sektorregulierungen (u. a. für Medizinprodukte) oder die Erwartungshaltung der Kunden (etwa bei Smartphones) verpflichteten die Hersteller. Nun sind sämtliche Stakeholder gezwungen, sich mit den weitreichenden Pflichten und mit den Sanktionen bei deren Nichteinhaltung auseinanderzusetzen. Auch wenn es sich bisher nur um einen Entwurf handelt, sollten sich die Stakeholder frühzeitig über die für sie geltenden Regelungen informieren und tätig werden. Die weitreichenden Dimensionen sind nicht zu unterschätzen. Unternehmen können nur durch rechtzeitiges Handeln den Aufwand und die Kosten für kurzfristige Anpassungen der Prozesse minimieren.

Kontaktpersonen: Sina Biermann, Katrin Wecker