07.12.2023FachbeitragUpdate Datenschutz

Update Datenschutz Nr. 160

Cyber Resilience Act: Vorläufige Einigung von Rat und Parlament, fünfjährige Updatepflicht und längere Umsetzungsfrist

Nachdem die Europäische Kommission bereits im Herbst des vergangenen Jahres einen ersten Entwurf des Cyber Resilience Act (CRA) vorgelegt hatte („Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020“, wir berichteten hier und hier), ist es im Rahmen der Trilog-Verhandlungen nun auch zwischen Rat und Parlament zu einer vorläufigen Einigung gekommen (Pressemitteilung des Rates vom 30. November 2023). Auch wenn viele Inhalte des Kommissionsentwurfes übernommen worden sind, gibt es einige Änderungen, etwa hinsichtlich des Anwendungsbereiches strengeren Anforderungen für besonders kritische Produkte. Außerdem sollen die neuen Vorschriften nicht wie bisher geplant zwei, sondern drei Jahre nach Inkrafttreten der Verordnung umgesetzt werden. Unternehmen, die sich schon jetzt mit den neuen Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen auseinandersetzen, bleibt so noch genügend Zeit für die Umsetzung.

1. Hintergrund

Der erste Entwurf des CRA wurde am 15. September 2022 von der EU-Kommission vorgelegt. Er sieht umfassende Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen vor, welche von deren Herstellern sowie Importeuren und Händlern umgesetzt werden müssen.

Hersteller von Produkten mit digitalen Elementen sollen unter anderem dazu verpflichten werden, die Cybersicherheit bereits bei der Konzeption und Entwicklung der Produkte zu berücksichtigen und während des gesamten Produktlebenszyklus sicherzustellen. Produkte mit bekannten Schwachstellen dürfen also gar nicht erst auf den Markt gebracht werden, außerdem sind spätere Cyberrisiken und Schwachstellen durch regelmäßige Tests zu ermitteln und innerhalb eines festgelegten Unterstützungszeitraums durch Sicherheitsupdates zu beheben. Kommt es dennoch zu einem Zwischenfall, der Auswirkungen auf die Sicherheit des Produktes haben kann, oder wird eine Schwachstelle ausgenutzt, ist dies innerhalb von höchstens 24 Stunden an die zuständige Behörde zu melden. Außerdem sollen die Behörden über die zur Begrenzung des Sicherheitsrisikos ergriffenen Maßnahmen informiert werden. Bevor sie ihre Produkte auf den Markt bringen müssen Hersteller zudem eine Konformitätsbewertung durchführen, die durch ein internes Kontrollverfahren, eine EU-Typengenehmigung oder auf der Grundlage einer umfassenden Qualitätszusicherung erfolgt. Für besonders kritische Produkte muss außerdem eine Vertrauenswürdigkeitsprüfung (Klasse I) oder eine Prüfung unter Beteiligung eines sachkundigen Dritten (Klasse II) durchgeführt werden.

Importeure von Produkten mit digitalen Elementen müssen überprüfen, ob der Hersteller die Konformitätsbewertung durchgeführt und die technische Dokumentation erstellt hat. Außerdem muss das Produkt die CE-Kennzeichnung tragen und die erforderlichen weiteren Informationen und die Gebrauchsanweisung müssen beigefügt sein. Für Händler gilt leidglich die Pflicht, zu kontrollieren, dass das Produkt die CE-Kennzeichnung trägt und die technischen Informationen und Anweisungen der EU-Konformitätserklärung sowie Namen und Kontaktinformationen des Importeurs beigefügt sind.

Werden die Vorgaben des CRA nicht eingehalten, können die nationalen Marktüberwachungsbehörden den Unternehmen entsprechende Vorgaben machen und den Vertrieb des jeweiligen Produktes untersagen. Außerdem können Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Vorjahresumsatzes verhängt werden.

2. Was hat sich geändert?

Eine der wichtigsten Änderungen in dem aktuellen Verordnungsentwurf betrifft dessen Anwendungsbereich. Erfasst sind nach wie vor Produkte mit digitalen Elementen, also sowohl Software als auch Hardware, auf die über ein Produkt oder ein Netzwerk zugegriffen kann, nicht aber rein digitale Dienste wie SaaS oder Cloud-Services (beispielsweise smarte Küchengeräte oder Lautsprecher, mobile Endgeräte oder Wearables wie Smartwatches). Geändert hat sich gegenüber dem vorherigen Entwurf hingegen die Definition für die kritischen Produkte der Klassen I und II, die der strengeren Konformitätsbewertung unter Einbindung dritter Sachverständiger unterliegen. Diese liegen nun vor, wenn ein Produkt eine kritische Funktion für die Cybersicherheit anderer Produkte hat oder eine Funktion aufweist, die ein erhebliches Risiko negativer Auswirkungen auf eine große Anzahl von Produkten oder Nutzern mit sich bringt. Details zu den betroffenen Geräteklassen und Software wurden in die Anhänge zum CRA aufgenommen.

Zur Klasse I gehören auf Drängen des Europäischen Parlaments nunmehr auch Verbraucherprodukte wie Smart-Home-Systeme, mit dem Internet verbundenes Spielzeug oder persönliche Wearables. Betriebssysteme für Server, Desktops und Mobilgeräte, Router oder Chipkartenleser sollen hingegen nicht mehr erfasst sein, sodass für diese lediglich eine Konformitätsbewertung durch den Hersteller selbst erforderlich ist (was bspw. der TÜV-Verband kritisiert). Die Klasse II umfasst voraussichtlich Hypervisoren und Container-Laufzeitsysteme, Firewalls, manipulationssichere Mikroprozessoren und Steuerungen. Zudem soll zusätzlich eine Liste kritischer Produkte eingeführt werden, für die ein Cybersicherheitszertifikat verlangt werden kann. Diese soll etwa Hardware-Geräte, intelligente Messgeräte und Smartcards erfassen.

Eine weitere wichtige Änderung betrifft den Zeitraum, für den Sicherheitsupdates bereitgestellt werden müssen. Zwar bleibt es dabei, dass diese während der gesamten erwarteten Lebensdauer eines Produktes angeboten werden müssen, allerdings ist nunmehr vorgesehen, dass diese Unterstützung grundsätzlich für fünf Jahre erfolgt. Ein kürzerer Updatezeitraum ist nur für Produkte vorgesehen, die voraussichtlich für einen kürzeren Zeitraum genutzt werden. Hersteller müssen also nachweisen, dass ihre Produkte kürzer als für den Regelzeitraum von fünf Jahren genutzt werden, um ihre Update- und Unterstützungspflicht entsprechend zu verkürzen. Dies dürfte zur Folge haben, dass für den Großteil der Produkte Updates in Zukunft für fünf Jahre bereitgestellt werden. Darüber hinaus sollen die bereitgestellten Sicherheitsupdates für mindestens 10 Jahre oder aber bis zum Ende des Lebenszyklus des Produktes abrufbar sein – je nachdem, welcher Zeitraum später endet.

Meldungen von ausgenutzten Schwachstellen und Sicherheitsvorfällen sollen nun sowohl an die nationalen Computer Security Incident Response Teams (CSIRTs) als auch an die Agentur der Europäischen Union für Cybersicherheit (ENISA) erfolgen. Allerdings wollen die Mitgliedsstaaten die Rolle der ENISA nicht zu sehr stärken, da es sich bei Cyber-Bedrohungen um ein sensibles Thema handelt. In der Folge sollen die Hersteller im Falle einer Meldung selbst angeben können, wenn er in der Weitergabe der Daten an die eine unmittelbare Gefahr sieht.

Zudem wurde die geplante Umsetzungsfrist angepasst, sodass Unternehmen nun nicht nur 24 Monate, sondern 36 Monate nach Inkrafttreten der finalen Fassung des CRA Zeit haben, um die strengen Vorgaben umzusetzen. Für die Meldung von Sicherheitsvorfällen und Schwachstellen soll davon abweichend allerdings lediglich eine Übergangsfrist von 21 Monaten gelten.

Anders als in vielen anderen EU-Verordnungen sind für Klein- und Kleinstunternehmen (Unternehmen mit bis zu 49 Beschäftigten und einem Jahresumsatz oder einer Bilanzsumme von höchstens 10 Mio. Euro) keine Ausnahmen geplant. Allerdings sieht der neueste Entwurf vor, dass für diese zusätzliche Unterstützungsmaßnahmen bei der Umsetzung bereitgestellt werden, etwa spezielle Sensibilisierungs- und Schulungsmaßnahmen sowie Unterstützung bei den Test- und Konformitätsbewertungsverfahren. Unternehmen, die für solche Angebote berechtigt sind, sollten diese unbedingt in Anspruch nehmen, da diese bei späteren Verfahren wegen möglicher Verstöße zum Nachweis der Anforderungen des CRA dienen könnten.

Schließlich wurde auch hinsichtlich des Umgangs mit Open-Source-Software in digitalen Produkten ein Kompromiss gefunden. So soll nur Software erfasst sein, die im Rahmen kommerzieller Aktivitäten zusammen mit den Produkten auf den Markt gebracht wurde. Auf die Beteiligung kommerzielle agierender Akteure bei der Entwicklung der Software kommt es hingegen nicht an. Ausgeschlossen sind außerdem gemeinnützige Organisationen, die Open-Source-Software auf dem Markt verkaufen, aber alle Einnahmen in gemeinnützige Aktivitäten reinvestieren. Darüber hinaus sind insbesondere für solche Akteure, die zwar nicht als klassische Software-Hersteller agieren, aber dennoch Support bereitstellen, Ausnahmen geplant, etwa im Zusammenhang mit der Dokumentation und des Umgangs mit Sicherheitslücken.

3. Checkliste

Zwar bleiben Herstellern von Produkten mit digitalen Elementen nach Inkrafttreten des CRA noch drei Jahre zur Umsetzung der Vorgaben. Allerdings sollten bereits jetzt Vorkehrungen getroffen werden, um etwa die Updatepflicht technisch umsetzen zu können. Betroffene Unternehmen sollten sich deshalb schon jetzt auf die neuen Anforderungen des CRA vorbereiten:

  • Bestehende und geplante Produkte mit digitalen Elementen identifizieren;
  • Kritische und wichtige Produkte der Klassen I und II identifizieren;
  • Einen oder mehrere Mechanismen zur Konformitätsbewertung wählen und die ggf. erforderlichen Vorbereitung treffen;
  • Vorgehensweise für die Vertrauenswürdigkeitsprüfung (Klasse I) entwickeln und rechtzeitig Bewertung durch sachverständige Dritte (Klasse II) durchführen lassen;
  • Nach Erhalt der EU Declaration of Conformity CE-Kennzeichen anbringen;
  • Bereitstellung von Informationen und Handlungsempfehlungen zur Cybersicherheit jedes Produktes;
  • Lebenszyklus des Produktes bestimmen und dabei die Zweifelsregelung beachten, dass Unterstützung in der Regel für einen Zeitraum von 5 Jahren geleistet werden muss;
  • Für neue und bestehende Produkte Testverfahren zur Ermittlung von Sicherheitsschwachstellen entwickeln (Produktbeobachtung);
  • Während des gesamten Lebenszyklus notwendige Sicherheitsupdates bereitstellen;
  • Ausgenutzte Schwachstellen und Zwischenfälle, die Auswirkungen auf die Sicherheit der betroffenen Produkte haben können, innerhalb von 24 h an die zuständige Stelle melden (voraussichtlich die nationalen Behörden). Parallel ggf. weitere Meldepflichten prüfen und erfüllen (z. B. nach Art. 33 DSGVO).

4. Ausblick

Die vollständige überarbeitete Fassung des CRA wurde von Parlament und Rat noch nicht veröffentlicht und die fachlichen Arbeiten werden auf Grundlage der aktuellen vorläufigen Einigung in den nächsten Wochen fortgesetzt. Erst wenn diese Arbeiten beendet wurden, wird der vollständige Text von den beiden Organen bestätigt, um schließlich noch einmal förmlich von Parlament und Rat bestätigt zu werden. Einen festen Zeitrahmen gibt es hierfür noch nicht, die Kommissionrechnet jedoch mit einem Inkrafttreten in der ersten Hälfte des nächsten Jahres.

Sobald das Gesetz verabschiedet worden ist, tritt es 20 Tagen nach seiner Veröffentlichung in Kraft. Sodann beginnt die 36-monatige Übergangsfrist, bis zu deren Ablauf alle Vorgaben des CRA umgesetzt sein müssen.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.