Zurück zur Übersicht
30.10.2024

Cyber Resilience Act (CRA)

Der Cyber Resilience Act (CRA) soll die Cybersicherheit von Produkten mit digitalen Elementen in der EU stärken, indem er sicherstellt, dass diese Produkte unter der Berücksichtigung bestimmter Mindestanforderungen an die Cybersicherheit konzipiert, entwickelt und unterhalten werden. Diese Mindestanforderungen sollen branchenübergreifend und während des gesamten Lebenszyklus‘ des Produkts gelten.

Der CRA stellt damit ein Kernstück des digitalen Produktsicherheitsrechts dar.

Key Facts:

  • Ziel und Gegenstand: Der CRA hat zum Ziel, die Cybersicherheit von Produkten mit digitalen Elementen in der EU zu gewährleisten. Dies soll durch verschiedene grundlegende Anforderungen an die Konzeption, Entwicklung und Herstellung sowie das Inverkehrbringen von Produkten mit digitalen Elementen erreicht werden. Außerdem soll die Transparenz für die Nutzer im Bereich der Cybersicherheit bei der Auswahl und Verwendung von Produkten mit digitalen Elementen verbessert werden.
  • Inkrafttreten und Übergangsfristen: Der CRA wurde am 20. November 2024 offiziell im Amtsblatt veröffentlicht und tritt damit Mitte Dezember 2024 in Kraft. Der CRA sieht verschiedene Übergangsfristen zum Geltungsbeginn vor. So wird der CRA vollständig erst am 11. Dezember 2027 unmittelbar gelten. Ausgenommen sind hiervon die Meldepflichten im Falle von ausgenutzten Schwachstellen und die Regelungen zur Notifizierung von Konformitätsbewertungsstellen: Diese gelten bereits ab dem 11. September 2026.
  • Regulierte Produkte: Der CRA gilt für alle Produkte mit digitalen Elementen, die entweder direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden werden können. Dies umfasst eine Vielzahl von vernetzten Produkten, wie etwa IoT-Geräte und Anwendungen. Grundsätzlich nicht erfasst werden Webseiten, Cloud-Computing-Dienste sowie Cloud-Dienstmodelle, wie etwa Software as a Service. Letztere können primär der NIS2-Richtlinie unterfallen. Eine Ausnahme besteht allerdings für solche Cloud-Dienste, die den Betrieb bzw. die Nutzung des jeweiligen Produkts mit digitalen Elementen unterstützen – diese werden ebenfalls vom CRA erfasst. Es ist somit eine klare Dokumentation des gesamten Ökosystems notwendig.
  • Adressaten: Der CRA richtet sich an verschiedene Wirtschaftsakteure, nämlich Hersteller (sowie ggf. deren Bevollmächtigte), Einführer sowie Händler von Produkten mit digitalen Elementen. Diese Akteure unterliegen jeweils unterschiedlichen Pflichten, wobei der Hersteller im Mittelpunkt des Regelungsrahmens steht. Dieser muss die Cybersicherheit bereits bei der Konzeption und Entwicklung der Produkte berücksichtigen und während des gesamten Produktlebenszyklus sicherstellen.
  • Sicherheitsanforderungen: Hersteller müssen gewährleisten, dass die von ihnen in Verkehr gebrachten Produkte die im CRA geregelten grundlegenden Anforderungen bei der Konzipierung, Entwicklung und Herstellung einhalten. Hierzu gehören insbesondere die Umsetzung der vorgegebenen Cybersicherheitsanforderungen sowie die Einhaltung der Anforderungen zur Behandlung von Schwachstellen (für weitere Informationen siehe hier).
  • Aktualisierungspflicht: Hersteller müssen während des Lebenszyklus Cybersicherheitsrisiken und Schwachstellen durch regelmäßige Tests ermitteln und durch kostenlose Sicherheitsupdates beheben. Der Updatezeitraum richtet sich nach dem üblichen Unterstützungszeitraum, wobei dieser mindestens fünf Jahre beträgt. Kommt es zu einem Zwischenfall, der Auswirkungen auf die Sicherheit des Produktes haben kann, oder wird eine Schwachstelle ausgenutzt, ist dies innerhalb von höchstens 24 Stunden an die zuständige Behörde zu melden. Zudem müssen entsprechende Maßnahmen zur Behebung ergriffen werden.
  • Kennzeichnungs- und Dokumentationspflichten: Produkte müssen vor dem Inverkehrbringen ein CE-Kennzeichen zur Kennzeichnung der Einhaltung der Mindestanforderungen an die  Cybersicherheit enthalten, damit Kunden und Nutzer über das Sicherheitsniveau der Produkte informiert sind und bewusste Kaufentscheidungen treffen können. Weiterhin müssen Hersteller eine ausführliche technische Dokumentation den Nutzern zur Verfügung stellen.
  • Regelung für Drittanbieter-Software: Regelmäßig kommt bei der Entwicklung und dem Betrieb von Software- und Hardwarekomponenten freie und quelloffene Software (sog. Free Open Source Software, FOSS) zum Einsatz, die jeweils eigenen Lizenzbedingungen unterliegen. Der CRA enthält hierzu besondere Vorgaben für Hersteller zum Umgang mit FOSS. Ebenfalls werden Pflichten für sog. Verwalter quelloffener Software (d.h. etwa Anbieter von Online-Repositories) etabliert.
  • Konformitätsbewertung: Bevor Hersteller ihre Produkte auf den Markt bringen, müssen sie eine Konformitätsbewertung durchführen. Der CRA sieht hierzu je nach Einstufung als wichtiges oder kritisches Produkt unterschiedliche Konformitätsbewertungsverfahren vor. Im Kern unterscheiden sich diese Verfahren darin, dass nur für kritische Produkte der Klasse I und Klasse II eine Beteiligung der notifizierten Stellen erforderlich ist
  • Überwachung und Sanktionen: Bei einem Verstoß gegen den CRA sind die nationalen Marktüberwachungsbehörden zur Vornahme von Überwachungs- und Durchsetzungsmaßnahmen befugt. Dazu gehört etwa die Befugnis, den Vertrieb des jeweiligen Produktes zu untersagen. Zudem drohen bei Verstößen gegen den CRA empfindliche Strafen in Form von Bußgeldern. Diese können bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Unser Beratungsangebot umfasst:

  • die Prüfung von Produkten, ob diese in den Anwendungsbereich des CRA fallen, sowie Bewertung und Abgrenzung der jeweils anwendbaren Pflichtenkreise auf die regulierten Wirtschaftsakteure.
  • die Beratung und Unterstützung bei der Umsetzung oder Anpassung von Maßnahmen und Geschäftsprozessen zur Einhaltung der gesetzlichen Vorgaben während des gesamten Lebenszyklus eines Produkts.
  • die Schulung der Geschäftsleitung (insbesondere zu den neuen Verantwortlichkeiten und Geschäftsleitungspflichten), der fachverantwortlichen Entscheidungsträger und der Mitarbeiter.
  • die Unterstützung bei der Erstellung und Verhandlung von Verträgen mit externen Dienstleistern sowie von Verträgen zwischen den einzelnen Wirtschaftsakteuren zur Regelung der Liefer- und Vertriebskette unter Berücksichtigung der Vorgaben des CRA.
Als PDF herunterladen
Als PDF herunterladen

Weitere Artikel

02.12.2024
Haftung des Verantwortlichen für (Unter-)Auftragsverarbeiter – aktuelle Rechtsprechung zu vermeidbaren Haftungsrisiken
02.12.2024
Die „Kundenanlage“ auf dem Prüfstand des EuGH
29.11.2024
Konzernprivileg bei andauernder Arbeitnehmerüberlassung
29.11.2024
Tariflicher Feiertagszuschlag richtet sich nach regelmäßigem Arbeitsort
27.11.2024
Neue Vorgaben zur Barrierefreiheit: Betroffene Unternehmen müssen bis Juni ihren Webauftritt überarbeiten
22.11.2024
Länder dürfen Bezahlkarte vergeben
15.11.2024
Datenschutzaufsicht: Unterlassene Löschung personenbezogener Daten führt zu Bußgeld von EUR 900.000
14.11.2024
Die Staatsanwaltschaften als Bußgeldbehörden für Verstöße gegen das Hinweisgeberschutzgesetz in NRW
12.11.2024
Das Geschiedenentestament – Schutz des Vermögens vor dem Zugriff des Ex-Partners
11.11.2024
US-Wahl 2024: Konsequenzen für Compliance in Deutschland
07.11.2024
Genussrechte für die Mitarbeiterbeteiligung bei Start-ups – Eine echte Alternative zum VSOP?
04.11.2024
BGH urteilt zur Panoramafreiheit bei Drohnenaufnahmen

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.