Zurück zur Übersicht
30.10.2024

Cyber Resilience Act (CRA)

Der Cyber Resilience Act (CRA) soll die Cybersicherheit von Produkten mit digitalen Elementen in der EU stärken, indem er sicherstellt, dass diese Produkte während ihres gesamten Lebenszyklus sicher entwickelt, hergestellt und genutzt werden. Der CRA stellt damit eine wichtige Grundlage im Bereich des digitalen Produktsicherheitsrechts dar. Auslöser für den CRA ist die kritische Bedrohungslage aufgrund von immer weiter zunehmenden Schwachstellen und Sicherheitslücken in vernetzten Hardware- und Softwareprodukten.

Key Facts:

  • Ziel und Gegenstand: Der CRA hat zum Ziel, die Cybersicherheit von Produkten mit digitalen Elementen in der EU zu gewährleisten. Dies soll durch verschiedene grundlegende Anforderungen an die Konzeption, Entwicklung und Herstellung sowie das Inverkehrbringen von Produkten mit digitalen Elementen erreicht werden. Außerdem soll die Transparenz für die Nutzer im Bereich der Cybersicherheit bei der Auswahl und Verwendung von Produkten mit digitalen Elementen verbessert werden.
  • Inkrafttreten und Übergangsfristen: Der CRA wurde im März 2024 vom Europäischen Parlament verabschiedet (für weitere Informationen siehe hier) und muss nun noch vom EU-Rat final bestätigt werden, bevor dieser wirksam in Kraft treten kann. Mit dem Inkrafttreten erlangt der CRA unmittelbar Geltung in den Mitgliedsstaaten der EU. Allerdings sieht der CRA aktuell eine Übergangsfrist von 36 Monaten vor, ab der der CRA dann unmittelbare Geltung erlangt. Die Meldepflichten im Falle von ausgenutzten Schwachstellen greifen hingegen schon früher nach 21 Monaten.
  • Regulierte Produkte: Der CRA gilt für alle Produkte mit digitalen Elementen, die entweder direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden werden können. Dies umfasst eine Vielzahl von vernetzten Produkten, wie etwa IoT-Geräte und Anwendungen. Grundsätzlich nicht erfasst werden Webseiten, Cloud-Computing-Dienste sowie Cloud-Dienstmodelle, wie etwa Software as a Service. Letztere können primär der NIS2-Richtlinie unterfallen. Eine Ausnahme besteht allerdings für solche Cloud-Dienste, die den Betrieb bzw. die Nutzung des jeweiligen Produkts mit digitalen Elementen unterstützen – diese werden ebenfalls vom CRA erfasst. Es ist somit eine klare Dokumentation des gesamten Ökosystems notwendig.
  • Adressaten: Der CRA richtet sich an verschiedene Wirtschaftsakteure, nämlich Hersteller, Einführer sowie Händler von Produkten mit digitalen Elementen. Diese Akteure unterliegen jeweils unterschiedlichen Pflichten, wobei der Hersteller im Mittelpunkt der Regelungsrahmens steht. Dieser muss die Cybersicherheit bereits bei der Konzeption und Entwicklung der Produkte berücksichtigen und während des gesamten Produktlebenszyklus sicherstellen.
  • Sicherheitsanforderungen: Hersteller müssen gewährleisten, dass die von ihnen in Verkehr gebrachten der Produkte die im CRA geregelten grundlegenden Anforderungen bei der Konzipierung, Entwicklung und Herstellung einhalten. Hierzu gehören insbesondere die Umsetzung der vorgegebenen Cybersicherheitsanforderungen sowie die Einhaltung der Anforderungen zur Behandlung von Schwachstellen (für weitere Informationen siehe hier). In dem Kontext müssen Hersteller während des Lebenszyklus Cybersicherheitsrisiken und Schwachstellen durch regelmäßige Tests ermitteln und durch kostenlose Sicherheitsupdates beheben. Der Updatezeitraum richtet sich nach dem üblichen Unterstützungszeitraum, wobei dieser mindestens fünf Jahre beträgt. Kommt es zu einem Zwischenfall, der Auswirkungen auf die Sicherheit des Produktes haben kann, oder wird eine Schwachstelle ausgenutzt, sind ist dies innerhalb von höchstens 24 Stunden an die zuständige Behörde zu melden. Zudem müssen entsprechende Maßnahmen zur Behebung ergriffen werden.
  • Kennzeichnungs- und Dokumentationspflichten: Produkte müssen eine klare Kennzeichnung zur Cybersicherheit enthalten, damit Nutzer über das Sicherheitsniveau der Produkte informiert sind und bewusste Kaufentscheidungen treffen können. Weiterhin müssen Hersteller eine ausführliche technische Dokumentation den Nutzern zur Verfügung stellen.
  • Regelung für Drittanbieter-Software: Regelmäßig kommt bei der Entwicklung und dem Betrieb von Software- und Hardwarekomponenten freie und quelloffene Software (sog. Free Open Source Software, FOSS) zum Einsatz, die jeweils eigenen Lizenzbedingungen unterliegen. Der CRA enthält hierzu besondere Vorgaben für Hersteller zum Umgang mit FOSS. Ebenfalls werden Pflichten für sog. Verwalter quelloffener Software (d.h. etwa Anbieter von Online-Repositories) etabliert.
  • Konformitätsverfahren: Bevor Hersteller ihre Produkte auf den Markt bringen, müssen sie eine Konformitätsbewertung durchführen. Der CRA sieht hierzu je nach Einstufung als wichtiges oder kritisches Produkt unterschiedliche Konformitätsverfahren vor. Für kritische Produkte der Klasse I muss eine Vertrauenswürdigkeitsprüfung, für Produkte der Klasse II eine Prüfung unter Beteiligung eines sachkundigen Dritten durchgeführt werden.
  • Überwachung und Sanktionen: Bei einem Verstoß gegen den CRA sind die nationalen Marktüberwachungsbehörden zur Vornahme von Überwachungs- und Durchsetzungsmaßnahmen befugt. Dazu gehört etwa die Befugnis, den Vertrieb des jeweiligen Produktes zu untersagen. Zudem drohen bei Verstößen gegen den CRA empfindliche Strafen in Form von Bußgeldern. Diese können bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Unser Beratungsangebot umfasst

  • die Prüfung von Produkten, ob diese in den Anwendungsbereich des CRA fallen, sowie Bewertung und Abgrenzung der jeweils anwendbaren Pflichtenkreise auf die regulierten Wirtschaftsakteure.
  • die Beratung und Unterstützung bei der Umsetzung von Maßnahmen und Prozessen zur Einhaltung der gesetzlichen Vorgaben während des gesamten Lebenszyklus eines Produkts.
  • die Schulung der Geschäftsleitung (insbesondere zu den neuen Verantwortlichkeiten und Geschäftsleitungspflichten) und von Mitarbeitern.
  • die Unterstützung bei der Erstellung und Verhandlung von Verträgen mit externen Dienstleistern sowie von Verträgen zwischen den einzelnen Wirtschaftsakteuren zur Regelung der Liefer- und Vertriebskette unter Berücksichtigung der Vorgaben des CRA.
Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Michael Kuska, LL.M., LL.M.
Düsseldorf
Manuel Poncza
Köln

Ansprechpartner

Michael Kuska, LL.M., LL.M.
Düsseldorf
Manuel Poncza
Köln

Weitere Artikel

31.10.2024
Cyber Resilience Act verabschiedet und NIS2-Umsetzung in Deutschland auf der Zielgeraden
30.10.2024
Digital Operational Resilience Act (DORA)
30.10.2024
NIS2-Richtlinie
30.07.2024
NIS2-Richtlinie: Update zum deutschen Umsetzungsgesetz
02.07.2024
NIS2-Richtlinie: Update zum deutschen Umsetzungsgesetz und der neuen EU-Durchführungsverordnung
27.03.2024
Die Umsetzung der NIS2-Richtlinie in Deutschland: Herausforderung bei der Bestimmung des Anwendungsbereichs bei Konzernen
13.03.2024
EU-Digitalrecht: Formelle Einigung im EU-Parlament zur KI-Verordnung, zum Cyber Resilience Act und zum European Media Freedom Act
20.11.2023
Neues vom EuGH zum „Personenbezug“
02.11.2023
OLG Karlsruhe: Hacker manipuliert E-Mail-Rechnung – Muss ein zweites Mal gezahlt werden?
22.09.2023
Der neue Entwurf des Digital-Gesetzes – Neue Vorgaben zur IT-Sicherheit im Gesundheitswesen
04.08.2023
Das neue KRITIS-Dachgesetz: Überblick zum neuen Referentenentwurf
11.07.2023
Aller guten Dinge sind drei – Angemessenheitsbeschluss der EU-Kommission schafft neuen Rechtsrahmen für Datentransfers in die USA

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.