Update Datenschutz Nr. 118
Der Entwurf des EU Cyber Resilience Act
Am 15. September 2022 hat die EU-Kommission den lang erwarteten Entwurf des Cyber Resilience Act („Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020“) vorgelegt. Die Reichweite der neu eingeführten Pflichten für Hersteller, Händler und Importeure von Produkten mit digitalen Elementen ist enorm.
I. Der Cyber Resilience Act
1. Ziele der Verordnung
Gegenstand des Cyber Resilience Act ist im Wesentlichen das Erreichen von vier zentralen regulatorischen Zielen:
a) Vorschriften für das Inverkehrbringen von Produkten mit digitalen Elementen, um die Cybersicherheit dieser Produkte zu gewährleisten;
b) grundlegende Anforderungen an den Entwurf, die Entwicklung und die Herstellung von Produkten mit digitalen Elementen und die Pflichten der Wirtschaftsakteure in Bezug auf diese Produkte im Hinblick auf die Cybersicherheit;
c) grundlegende Anforderungen an die Verfahren zur Behebung von Schwachstellen, die von Hersteller zur Gewährleistung der Cybersicherheit von Produkten mit digitalen Elementen während Lebenszyklus zu gewährleisten, sowie die Verpflichtungen der Wirtschaftsakteure in Bezug auf diese Verfahren;
d) Regeln für die Marktüberwachung und die Durchsetzung der oben genannten Regeln und Anforderungen.
2. Geltungsbereich
Nach dem Verordnungsentwurf soll die Verordnung nur für „Produkte mit digitalen Elementen“ gelten. Dieser bereits aus der Schuldrechtsreform 2022 bekannte Begriff wird im Rahmen der Verordnung definiert als „jedes Software- oder Hardware-Produkt und seine Datenfernverarbeitungslösungen (remote data processing solutions), einschließlich Software- oder Hardware-Komponenten, die separat in Verkehr gebracht werden“. Ferndatenverarbeitung ist hierbei jede Datenverarbeitung aus der Ferne, für die die Software vom Hersteller oder unter der Verantwortung des Herstellers konzipiert und entwickelt wurde und deren Fehlen das Produkt mit digitalen Elementen daran hindern würde, eine seiner Funktionen zu erfüllen.
Keine „Produkte mit digitalen Elementen“ stellen etwa „Produkte mit digitalen Inhalten“ und „Digitale Produkte“ dar. Erstere zeichnen sich gegenüber „Produkten mit digitalen Elementen“ dadurch aus, dass der digitale Teil des Produkts für die Funktionsfähigkeit des Produkts als solchem nicht von zentraler Bedeutung ist. Letztere dadurch, dass sie rein digital sind.
Ebenfalls keine „Produkte mit digitalen Elementen“ stellen im Übrigen Produkte dar, die unter sektorale Rechtsvorschriften fallen. Dies würde insbesondere für medizinische Geräte gelten.
3. Pflichten der Hersteller
In den Artt. 10 ff. des Cyber Resilience Act enthält der Verordnungsentwurf einen umfangreichen Katalog neuer Pflichten der beteiligten Wirtschaftsakteure.
Hersteller von Produkten mit digitalen Elementen müssen nach dem Verordnungsentwurf insbesondere sicherstellen, dass in Übereinstimmung mit den dem Cyber Resilience Act angehängten grundlegenden Sicherheitsanforderungen (essential security requirements) angemessene Sicherheitsmaßnahmen entworfen, entwickelt und eingeführt werden. Um dieser Verpflichtung nachzukommen, sollen die Hersteller eine Bewertung der mit einem Produkt mit digitalen Elementen verbundenen Cybersicherheitsrisiken vornehmen und das Ergebnis dieser Bewertung in der Planungs-, Entwurfs-, Entwicklungs-, Produktions-, Liefer- und Wartungsphase des Produkts mit digitalen Elementen berücksichtigen, um die Cybersicherheitsrisiken zu minimieren, Sicherheitsvorfälle zu verhindern und die Auswirkungen solcher Vorfälle, auch in Bezug auf die Gesundheit und Sicherheit der Nutzer, zu minimieren. Diese Bewertung der Cybersicherheitsrisiken soll bei in Verkehr gebrachten Produkten mit digitalen Elementen Teil der technischen Dokumentation sein. Darüber hinaus müssen Hersteller Schwachstellen während des gesamten Lebenszyklus des Geräts, höchstens allerdings für 5 Jahre durch automatische und kostenlose Updates überwachen und beheben.
Die Liste der grundlegenden Sicherheitsanforderungen umfasst ein "angemessenes" Niveau der Cybersicherheit, das Verbot, Produkte mit bekannten Schwachstellen auf den Markt zu bringen, Sicherheit durch Standardkonfiguration, Schutz vor unbefugtem Zugriff, Begrenzung der Angriffsflächen und Minimierung der Auswirkungen von Zwischenfällen.
Die Produkte mit digitalen Elementen müssen die Vertraulichkeit der Daten gewährleisten, u. a. durch Verschlüsselung, Schutz der Datenintegrität und Verarbeitung nur der Daten, die für das Funktionieren des Produkts unbedingt erforderlich sind.
Um all dies dauerhaft gewährleisten zu können, sollen die Hersteller verpflichtet werden die Schwachstellen im Produkt durch regelmäßige Tests zu ermitteln und sie unverzüglich beheben. Ähnlich wie die kürzlich überarbeitete Richtlinie zur Netz- und Informationssicherheit (NIS2) soll der vorgeschlagene Rechtsakt die Hersteller dazu verpflichten, ausgenutzte Schwachstellen und Zwischenfälle zu melden. Hierzu sollen die Hersteller verpflichtet werden, unverzüglich, spätestens aber innerhalb von 24 Stunden, nach Bekanntwerden einer aktiv ausgenutzten Sicherheitsschwachstelle oder nach Bekanntwerden von Zwischenfällen, welche Auswirkungen auf die Sicherheit der Produkte mit digitalen Elementen haben können, diese an die ENISA zu melden. Die Zunahme verschiedener Meldepflichten kann durchaus komplex werden, wenn parallel auch Meldungen z. B. an verschiedene Datenschutzaufsichtsbehörden und möglicherweise an das BSI durchzuführen sind.
4. Pflichten der übrigen Wirtschaftsakteure
Wie bereits aus anderen Bereichen des Produktsicherheitsrechts bekannt, wird nun auch mit dem Cyber Resilience Act ein umfangreiches Paket an Verpflichtungen von Importeuren und Händlern hinsichtlich der IT-Sicherheit der durch sie in Verkehr gebrachten Produkte eingeführt.
Importeure etwa sind verpflichtet, die Einhaltung der grundlegenden Anforderungen (essential requirements) hinsichtlich der Produkte mit digitalen Elementen und der vom Hersteller eingeführten Prozesse vor dem Inverkehrbringen eines Produkts zu prüfen. und die CE-Kennzeichnung des Produkts zu überprüfen. Hierbei hat der Importeur sicherzustellen, dass
a) die geeigneten Konformitätsbewertungsverfahren vom Hersteller durchgeführt worden sind;
b) der Hersteller die technische Dokumentation erstellt hat;
c) das Produkt mit digitalen Elementen die CE-Kennzeichnung trägt und diesem die erforderlichen Informationen und die Gebrauchsanweisung beigefügt sind.
Zusätzlich haben Importeure ihren Namen und ihre Kontaktinformationen auf dem Produkt mit digitalen Elementen oder, falls dies nicht möglich ist, auf der Verpackung anzubringen.
Händler haben demgegenüber vor dem Inverkehrbringen eines Produkts zu prüfen, ob
a) das Produkt mit digitalen Elementen eine CE-Kennzeichnung trägt,
b) der Hersteller und der Importeur ihren Plichten zur Beifügung der technischen Informationen und Anweisungen und der EU-Konformitätserklärung nachgekommen sind und der Importeur seinen Namen und seine Kontaktinformationen beigefügt hat.
Bringt ein Importeur oder Händler ein Produkt im eigenen Namen auf den Markt, ist er als Hersteller im Sinne des Cyber Resilience Act anzusehen.
5. Kritische Produkte
Von dieser Unterscheidung abgesehen, hat die Kommission mehrere kritische Produkte aufgelistet, die als ein größeres Risiko angesehen werden. Die kritischen Produkte werden in zwei "Klassen" eingeteilt, deren Hauptunterschied im Konformitätsverfahren besteht.
Zur Klasse I gehören etwa Identitätsmanagementsysteme, Browser, Passwortmanager, Antivirenprogramme, Firewalls, virtuelle private Netzwerke (VPNs), Netzwerkmanagement, Systeme, physische Netzwerkschnittstellen, Router, Chips, die für wesentliche Einrichtungen im Sinne der NIS2 verwendet werden und alle Betriebssysteme, Mikroprozessoren und das industrielle IoT, die nicht unter Klasse II fallen.
Die höhere Risikokategorie, Klasse II, umfasst Desktop- und Mobilgeräte, virtualisierte Betriebssysteme, Aussteller digitaler Zertifikate, Allzweck-Mikroprozessoren, Kartenlesegeräte, Robotersensoren, intelligente Messgeräte und alle IoT-Geräte, Router und Firewalls für den industriellen Einsatz, der als "sensible Umgebung" gilt.
Um die Liste dieser Klasse I und Klasse II Produkte zu aktualisieren oder anzupassen und die Zertifizierung von hochkritischen Produkten vorzuschreiben, sollen der EU-Kommission umfangreiche Rechte zur Anpassung des Cyber Resilience Act eingeräumt werden.
6. Produktkonformität
Ein weiterer Baustein des Cyber Resilience Act ist die Verpflichtung der Hersteller zur Durchführung von Konformitätsbewertungen. Diese erfassen sowohl die Konformität der Produkte mit digitalen Elementen, als auch die Konformität von Prozessen des Herstellers. Diese Konformitätsbewertung kann über drei verschiedene Verfahren erfolgen:
a) ein interne Kontrollverfahren,
b) eine EU-Typenprüfung gefolgt von der Konformität mit dem EU-Typen auf der Grundlage der internen Herstellungkontrolle, oder
c) einer Konformitätsbewertung auf der Grundlage einer umfassenden Qualitäts(zu)sicherung.
Von dieser Konformitätsprüfung ausgenommen werden sollen solche Produkte mit digitalen Elementen, die als EHR Systeme im Sinne der European Health Data Space Regulation anzusehen sind.
Die Hersteller kritischer Produkte der Klassen I und II müssen ein spezielles Verfahren zur Einhaltung der Vorschriften einhalten. Für Produkte der Klasse II soll eine Bewertung durch Dritte erforderlich sein.
Liegt nach der durchgeführten Konformitätsbewertung Produktkonformität vor, wird ein EU Erklärung über die Konformität (EU Declaration of Conformity) erstellt.
7. Nationale Marktüberwachungsstellen
Nach dem Verordnungsentwurf sollen die Mitgliedsstaaten verpflichtet werden, eine oder mehrere Marktüberwachungsstellen einzurichten, deren Zweck die Prüfung der Einhaltung des Cyber Resilience Acts sein soll. Die Wirtschaftsakteure sind zur Mitwirkung bei derartigen Prüfungen verpflichtet.
Die Konzeption dieser Marktüberwachungsstellen erinnert an die bereits im Rahmen der NIS-Richtlinie eingeführten nationalen Behörden bzw. Anlaufstellen, die mit Aufgaben im Zusammenhang mit der Sicherheit von netz- und Informationssystemen beauftragt werden sollen.
Erachten die Marktüberwachungsstellen auf Grundlage einer Konformitätsprüfung ein Produkt als nicht konform, sind sie berechtigt, sofern durch andere Maßnahmen nicht ausreichend abgeholfen werden kann, den Vertrieb des Produkts zu untersagen. Dies kann bis zu einem EU-weiten Vertriebsverbot reichen.
8. Sanktionen
Für die Nichteinhaltung der durch die Verordnung auferlegten Pflichten ist ein mit der DSGVO vergleichbares Sanktionsregime vorgesehen. Hierbei können Bußgelder für die Nichteinhaltung der grundlegenden Sicherheitsanforderungen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Konzernjahresumsatzes des Vorjahres betragen, je nachdem, welcher Betrag höher ist. Für Verstöße gegen sonstige Verpflichtungen betragen die Grenzen 10 Millionen Euro oder 2 % des
weltweiten Konzernjahresumsatzes des Vorjahres.
9. Übergangszeit
Nach dem Entwurf der Verordnung soll diese 24 Monate nach ihrem Inkrafttreten anwendbar werden. Hiervon ausgenommen ist die Berichterstattungspflicht für Hersteller, welche bereits ab 12 Monaten nach dem Inkrafttreten gilt.
II. Wie geht es nun weiter?
Die Frist für Rückmeldungen auf den Entwurf läuft vom 19. September 2022 bis zum 14. November 2022. Diese Frist wird entsprechend um die Zeit verlängert, die es braucht, bis der Entwurf in allen EU-Sprache vorliegt. Dies ist aktuell noch nicht der Fall.
Anschließend werden eingegangene Rückmeldungen von der Kommission zusammengefasst und dem Europäischen Parlament und dem Rat vorgelegt, sodass die zusammengefassten Rückmeldungen im Gesetzgebungsverfahren, insbesondere der Gesetzgebungsdebatte, berücksichtigt werden können.