Zurück zur Übersicht
13.02.2023Fachbeitrag

Update Datenschutz Nr. 132

Digital Operational Resilience Act und Cyber Resilience Act: Neue Vorgaben der EU zur Cybersicherheit

Momentan warnen Akteure auf allen Ebenen vor der erheblich gestiegenen Gefahr durch Cyberangriffe. Auch das Risiko von Cyberangriffen auf kritische Infrastrukturen wie den Finanzsektor sei aufgrund der geänderten politischen Lage durch den Krieg in der Ukraine gestiegen.

Deshalb überrascht es nicht, dass auf die NIS2-Richtlinie, die erst vor wenigen Wochen in Kraft getreten ist, weitere Gesetzesvorhaben der Europäischen Union folgen, welche die Erhöhung der Sicherheit im digitalen Raum und durch vernetzte Komponenten zum Ziel haben.

Zwei der jüngsten Gesetzesvorhaben der EU werden wir im Folgenden genauer beleuchten. Zum einen geht es um die Bedeutung der erst vor kurzem in Kraft getretene EU-Verordnung namens Digital Operational Resilience Act für Finanz- und Versicherungsunternehmen. Zum anderen wird im Folgenden die sich noch im Abstimmungsstadium befindliche EU-Verordnung namens Cyber Resilience Act näher beleuchtet, dessen Entwurf erst im September des vergangenen Jahres veröffentlich wurde und der erhebliche Anforderungen für alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen mit sich bringt.

Beide Rechtsakte müssen als Verordnungen grundsätzlich nicht mehr in nationales Recht umgesetzt werden.

A. Digital Operational Resilience Act (DORA)

Die europäische Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operational Resilience Act, DORA) ist am 17. Januar 2023 in Kraft getreten. Da es sich um eine Verordnung handelt, gilt der DORA ohne weitere Umsetzungsakte unmittelbar in den Mitgliedsstaaten. Es ist jedoch eine 24-monatige Umsetzungsfrist vorgesehen, sodass die Pflichten des DORA erst am 17. Januar 2025 durch alle betroffenen Stellen umgesetzt werden müssen.

Ziel der Verordnung ist es, den wachsenden IT-Sicherheits- und Cyberrisiken im Finanzsektor und der Versicherungsbranche zu begegnen. Die Verordnung ist Teil eines Maßnahmenpaketes, das die Digitalisierung des Finanzsektors begleiten und unterstützen soll. Die DORA-Verordnung definiert einheitliche Anforderungen an Betriebsstabilität und Sicherheit der Netz- und Informationssysteme im Finanzsektor, die sich auch auf kritische Drittdienstleister im IKT-Bereich erstreckt (IKT – Informations- und Kommunikationstechnologie) und so die Risiken von und durch Cyberangriffe reduzieren soll. Der Fokus der DORA-Verordnung liegt auf dem IKT-Bereich, da die Bedeutung dieses Sektors im Zuge der Digitalisierung erheblich gewachsen ist. Zudem werden die Pflichten hinsichtlich regelmäßiger Überprüfungen und Tests erheblich ausgeweitet.

Die DORA-Verordnung ergänzt die NIS2-Richtlinie, die bis Oktober 2024 in nationales Gesetz umgesetzt werden muss, und ebenfalls höhere Anforderungen an die Cybersicherheit in kritischen Sektoren vorsieht als lex specialis zur Stärkung der IT-Sicherheit in der Finanzbranche.

1. Wer muss handeln?

Die DORA-Verordnung gilt gemäß Art. 2 Abs. 1 grundsätzlich für alle Finanzunternehmen, zu denen etwa Kredit-, Zahlungs- und E-Geld-Institute aber auch Investmentgesellschaften sowie Versicherungs- und Rückversicherungsunternehmen gehören, sowie für IKT-Dienstleister. 

IKT-Drittdienstleister sind Unternehmen, die IKT-Dienstleistungen bereitstellen. Dabei handelt es sich um „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern erbracht werden, einschließlich Diensten für die Bereitstellung, Eingabe, Speicherung und Verarbeitung von Daten und Berichterstattungsdiensten, Datenüberwachung sowie datenbasierter Dienste und Diensten für Entscheidungsunterstützung.“ Diese eher weite Definition, erfasst jedenfalls Anbieter von Cloud-Diensten, Software, Datenanalyse und Rechenzentren, die von Finanzunternehmen zur Erbringung ihrer Leistungen eingesetzt werden. 

Welche Vorgaben gemäß der DORA-Verordnung umzusetzen sind, hängt vor allem von der Größe des jeweiligen Unternehmens ab:

  • Für Kleinstunternehmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz bzw. einer Bilanzsumme unter EUR 10 Mio. gelten zahlreiche Ausnahmen.
  • Auch für kleine und mittlere Unternehmen gibt es Ausnahmen, sofern diese nicht mit einem größeren Unternehmen verflochten sind. Weitere Kriterien sind die Ressourcen und Größe des Unternehmens sowie die aufgrund des Unternehmensprofils drohenden Risiken.
2. Was ist neu?

Die DORA-Verordnung erhält ergänzende Anforderungen an die interne Governance, an das IKT-Risikomanagement, den Umgang mit IKT-Sicherheitsvorfällen, an die Sicherstellung der digitalen Betriebsstabilität sowie die Überwachung und Risikosteuerung bei IKT-Drittanbietern.

Art. 40 der DORA-Verordnung vereinfacht den Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen durch Finanzunternehmen.

Darüber hinaus erhalten auch die Aufsichtsbehörden erstmals Befugnisse zur Kontrolle von IKT-Drittanbietern.

a) Kapitel II: Governance, IKT-Risikomanagement und Schutzmaßnahmen

Art. 4 der DORA-Verordnung sieht zunächst vor, dass alle Finanzunternehmen über interne Governance- und Kontrollrahmen zur Steuerung von IKT-Risiken verfügen. Besondere Verantwortung kommt dabei nach Abs. 2 dem Leitungsorgan des Unternehmens zu, das diesbezüglich rechenschaftspflichtig ist und dessen Mitglieder bei Verstößen auch persönlich in Anspruch genommen werden können. Aufgaben des Leitungsorgans sind insbesondere die Steuerung des IKT-Risikomanagements, die Zuweisung von Zuständigkeiten für alle IKT-bezogenen Funktionen und deren Kontrolle, die Begleitung von Genehmigungs- und Kontrollverfahren sowie die Organisation von Schulungen für die in diesem Bereich tätigen Mitarbeiter.

Im Hinblick auf das IKT-Risikomanagement enthalten die Artikel 5-14 umfassende Pflichten, um die Stabilität von IKT-Systemen und -Instrumenten auch in Bedrohungslagen sicherzustellen. Dabei muss sich der IKT-Risikomanagementrahmen nach Art. 5 Abs. 2 auch auf physische Infrastruktur wie Computer-Hardware, Server, die relevanten Räumlichkeiten und Rechenzentren erstrecken.

Ursachen für Risiken sollen dokumentiert und schnellstmöglich beseitigt werden. Weiterhin sind Schutz- und Präventionsmaßnahmen zu ergreifen und Wiederherstellungspläne zu erstellen. Sofern es sich bei Finanzunternehmen nicht um Kleinstunternehmen handelt, müssen sie zudem ein System zur Steuerung der Informationssicherheit anwenden und regelmäßig überprüfen und für eine angemessene Trennung von IKT-Verwaltungsfunktionen, IKT-Kontrollfunktionen und internen Prüffunktionen sorgen. Weitere Vorgaben zur Standardisierung dieser Maßnahmen und Pläne macht die DORA hingegen nicht. Finanzunternehmen sind jedoch gut damit beraten, sich hier an die bestehenden anerkannten technischen Normen zu halten. Auch Aufforderungen und Empfehlungen der Aufsichtsbehörden können künftig eine gute Orientierung bieten.

Alle ergriffenen Maßnahmen müssen im IKT-Risikomanagementrahmen dokumentiert und regelmäßig von IKT-Prüfern mit entsprechender Expertise überprüft werden (Art. 5 Abs. 1, 6 DORA-Verordnung).

b) Kapitel III: IKT-bezogene Vorfälle – Bewältigung, Klassifizierung und Berichterstattung

Gemäß Artikel 15 ff. der DORA-Verordnung sind IKT-bezogene Vorfälle durch einen geeigneten Managementprozess zu überwachen und dokumentieren. Handelt es sich um einen schwerwiegenden Vorfall, muss dieser nach Art. 17 zudem an die zuständige Behörde und im Falle schwerwiegender Auswirkungen an deren finanziellen Interessen auch an Dienstnutzer und Kunden gemeldet werden. Es wird mit der Entwicklung weiterer aufsichtsbehördlicher Leitlinien zur Überwachung und Meldung von Cybersicherheitsvorfällen sowie mit der Einrichtung einer europäischen Meldeplattform gerechnet.

c) Kapitel IV: Prüfung der digitalen Betriebsstabilität

Artikel 21 ff. der DORA-Verordnung sehen vor, dass Finanzunternehmen ein umfassendes Programm zur Prüfung der digitalen Betriebsstabilität umsetzen. Bei den Anforderungen an ein solches Programm werden etwa die Größe und die Geschäfts- und Risikoprofile des jeweiligen Finanzunternehmens berücksichtigt. Es sollten jedenfalls die in Artikel 22 vorgesehenen Tests durchgeführt werden, etwa die Bewertung und Überprüfung der Anfälligkeit, Analyse verwendeter Open-Source-Software etc. Auf Grundlage der Testergebnisse soll dann die Betriebsstabilität im Falle von Störungen wiederhergestellt werden. Diese Test können mit erheblichem Umsetzungsaufwand einhergehen, sind dafür jedoch geeignet, die digitale Resilienz noch einmal erheblich zu erhöhen.

Besonders gefährdete Unternehmen müssen gemäß Art. 23 zudem alle drei Jahre bedrohungsorientiere Penetrationstests durchführen. Der Umfang dieser Penetrationstests wird von Finanzunternehmen festgelegt und von den zuständigen Behörden genehmigt. Da der Testaufwand bei kritischen IKT-Systemen höher ist, ist es wichtig diese kritischen Komponenten zu identifizieren und so den Umsetzungsaufwand zu optimieren.

d) Kapitel V: Steuerung des Risikos durch IKT-Drittanbieter 

Nach Art. 25 Abs. 1 der DORA-Verordnung haften Finanzunternehmen jederzeit in vollem Umfang und auch bei Einsatz von IKT-Drittanbietern für die Einhaltung dieser Regeln. Weiterhin müssen die IKT-Drittanbieter überwacht werden. Um eine ausreichende Überwachung und gegebenenfalls Vor-Ort-Untersuchungen sicherzustellen, werden voraussichtlich Anpassungen der bestehenden IKT-Verträge erforderlich. 

Darüber hinaus enthält Art. 27 umfassende Vorgaben zu vertraglichen Mindestinhalten, zu denen neben der Leistungsbeschreibung mit quantitativen und qualitativen Leistungszielen, Bestimmungen über Zugänglichkeit, Verfügbarkeit, Integrität, Sicherheit etc. auch Zugangsrechte, Berichtspflichten der IKT-Drittanbieter oder Kontroll- und Prüfstrategien des Finanzunternehmens sowie spezielle Ausstiegsstrategien gehören. Es sollen zu diesen verpflichtenden Inhalten künftig jedoch Standardvertragsklauseln zur Verfügung gestellt werden. 

Bei der Auslagerung zu kritischen Drittanbietern, die von der EBA (Europäische Bankenaufsichtsbehörde), ESMA (Europäische Wertpapier- und Marktaufsichtsbehörde) und EIOPA (Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung) benannt werden, gelten noch einmal strengere Anforderungen, siehe Art. 28. Insbesondere besteht in diesem Fall eine Meldepflicht. Maßgeblich für die Einstufung als kritischer IKT-Anbieter sind etwa der systemische Charakter des Finanzunternehmens, die Abhängigkeit der Finanzunternehmen von den Dienstleistungen des IKT-Drittanbieters, der Grad der Substituierbarkeit oder die Zahl der betroffenen Mitgliedstaaten. Eine Liste der als kritisch eingestuften IKT-Drittanbieter soll veröffentlicht und jährlich aktualisiert werden.

3. Fazit & Checkliste

Viele Vorgaben der DORA-Verordnung sind bereits aus anderen Regularien und Guidelines wie der MaRisk/BAIT bekannt und ein hoher Grad an Compliance mit anderen Vorgaben hilft auch bei der Umsetzung der DORA-Verordnung. Allerdings machen abweichende oder detailliertere Regelungen dennoch Anpassungen erforderlich, zum Teil in erheblichem Umfang. Letzteres betrifft vor allem größere Unternehmen in den betroffenen Branchen. Erleichterungen entstehen dadurch, dass etwa die BaFin-Rundschreiben zu den Bankaufsichtliche Anforderungen an die IT (BAIT) und den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) auf nationaler Ebene bereits einige Vorgaben der DORA antizipieren, jedoch wohl nun angepasst werden dürften.
 
Im Übrigen gibt die folgende Checkliste eine kurze Übersicht über die notwendigen Maßnahmen:

  • GAP-Analyse zur Bestandsaufnahme der internen Regelungen und der verwendeten Systeme sowie zur Ermittlung des Handlungsbedarfes;
  • Definition des IKT-Risikomanagementrahmens: Beschreibung der IT-Strategie (Personaleinsatz, Budget, Aufbau und Struktur etc.), Darstellung etwaiger Abhängigkeiten von IT-Drittanbietern, Identifikation kritischer IKT-Funktionen und -Komponenten; 
  • Verfahren zum Test der digitalen Resilienz identifizieren: Wie hoch ist das bestehende Risiko von Cyberangriffen?
  • Regelmäßige Tests der digitalen Resilienz;
  • Implementierung von Schutz- und Präventionsmaßnahmen und Wiederherstellungsplänen im Falle von Verlusten (betriebliches Kontinuitätsmanagement – BCM);
  • Zuweisung von Zuständigkeiten für alle IKT-bezogenen Funktionen und deren Kontrolle;
  • Organisation von Schulungen für die in diesem Bereich tätigen Mitarbeiter;
  • Dokumentation von möglichen Ursachen für Cyberrisiken und schnellstmögliche Beseitigung von Cyberrisiken und Störungen;
  • Prozess zur Dokumentation von IKT-Vorfällen und zur Ermittlung schwerwiegender Vorfälle;
  • Fehler-Ursachen-Analysen nach Sicherheitsvorfällen und Störungen;
  • Meldung schwerwiegender IKT-Vorfälle (an die Aufsichtsbehörden und ggf. betroffene Dienstnutzer und Kunden);
  • Sorgfältige, dokumentierte Auswahl von IKT-Drittanbietern;
  • Bestehende IKT-Drittanbieter überprüfen und ggf. Verträgen gemäß Art. 27 Abs. 2 der DORA-Verordnung anpassen;
  • Überwachungssystem für IKT-Drittanbieter einrichten und Verträge entsprechend anpassen;
  • Exit-Strategie für (kritische) Drittanbieter;
  • Meldung des Einsatzes kritischer IKT-Drittanbieter;
  • Regelmäßige Überprüfung und Tests von IKT-Drittanbietern, interner IT-Infrastruktur und der internen Prozesse;
  • Gegebenenfalls alle drei Jahre bedrohungsorientierte Penetrationstest durchführen (kritische Komponenten);
  • Weitere Konkretisierungen und Leitfäden durch die EU im Blick behalten.

B. Cyber Resilience Act (CRA)

Anders als die DORA-Verordnung ist der Cyber Resilience Act (EU 2019/1020, CRA) noch nicht in Kraft getreten. Ein erster Entwurf wurde erst am 15. September 2022 veröffentlicht (Heuking berichtete). Der Anwendungsbereich des CRA ist deutlich weiter als derjenige der DORA-Verordnung und sieht umfassende Pflichten für Hersteller, Händler und Importeure von Produkten mit digitalen Elementen vor. Ziel der Verordnung ist, die Cybersicherheit von Produkten mit digitalen Elementen sicherzustellen und diese für den gesamten Lebenszyklus der Produkte aufrechtzuerhalten. Außerdem sollen Nutzer bessere Informationen erhalten, um so eine informierte Entscheidung unter Berücksichtigung der Cybersicherheits-eigenschaften eines Produktes treffen zu können. Darüber hinaus enthält der CRA Regeln zur Marktüberwachung und zur Durchsetzung der enthaltenen Regeln zur Cybersicherheit. 

Durch die Minimierung der Einfallstore für Schadsoftware oder Hackerangriffe sollen schließlich die geschätzten Kosten durch Cyberkriminalität gesenkt werden, die die EU Kommission zuletzt mit EUR 5,5 Bio. jährlich bezifferte.

1. Produkte mit digitalen Elementen

Im CRA dreht sich alles um Produkte mit digitalen Elementen. Dieser weite Begriff soll sowohl Software als auch Hardware erfassen, auf die ein Zugriff über ein Produkt oder ein Netzwerk möglich ist. Nicht erfasst sind hingegen digitale Dienste, etwa Cloud-Services oder SaaS, sowie Open-Source-Software, die außerhalb einer Geschäftstätigkeit entwickelt wird. Zu den Produkten mit digitalen Elementen zählen beispielsweise Sensoren, Kameras, Router, intelligente Lautsprecher, Festplatten oder mobile Endgeräte.

Dabei dürfen die Produkte mit digitalen Elementen aus dem CRA nicht mit den Waren mit digitalen Elementen verwechselt werden, die mit der letzten Schuldrechtsreform in §§ 475a ff. BGB eingeführt wurden. Anders als bei den Regelungen im BGB handelt es sich beim CVA nicht um Verbraucherrecht. Vielmehr soll der Rechtsrahmen für alle vernetzten Produkte im Hinblick auf die Cybersicherheit vereinheitlich werden. Zudem ist auch die Definition der Produkte mit digitalen Elementen deutlich weiter gefasst und der CRA erfasst auch reine Softwarekomponenten.

2. Was ist neu?

Artikel 10 ff. des CRA-Entwurfes legen umfassende Pflichten für Produkte mit digitalen Elementen fest und sehen die ständige Bewertung von Cybersicherheitsrisiken sowie deren Dokumentation und Minimierung vor. Auch nach dem Inverkehrbringen solcher Produkte soll die Bewertung von Risiken Teil der technischen Dokumentation sein. Es soll ein „angemessenes“ Mindestmaß an Sicherheit erreicht werden, das jedenfalls die folgenden Anforderungen umfasst:

  • Verbot, Produkte mit bekannten Schwachstellen auf den Markt zu bringen,
  • Sicherheit durch Standardkonfiguration (security by design),
  • Schutz vor unbefugtem Zugriff,
  • Minimierung der Angriffsflächen,
  • Minimierung der Auswirkungen von Sicherheitszwischenfällen,
  • Vertraulichkeit von Daten durch: a) Verschlüsselung, b) Schutz der Datenintegrität und c) Datenminimierung.
Treten während des Lebenszyklus des Produktes Cybersicherheitsrisiken oder Schwachstellen auf, muss der Hersteller diese beheben und automatische kostenlose Sicherheitsupdates zur Verfügung stellen. Der Updatezeitraum ist allerdings auf höchstens fünf Jahre begrenzt.

Zudem müssen Hersteller Schwachstellen in ihren Produkten laut dem aktuellen Entwurfstext durch regelmäßige Test ermitteln und so gegebenenfalls unverzüglich beheben. Ist es bereits zu einem Zwischenfall gekommen, der Auswirkungen auf die Sicherheit der Produkte haben kann, oder wurden Schwachstellen ausgenutzt, müssen Hersteller dies unverzüglich, spätestens aber innerhalb von 24 h nach Bekanntwerden an die zuständige Aufsichtsbehörde melden. Zuständige Behörde für die Meldung von Cybersicherheitsvorfällen ist die ENISA, also die europäische Behörde für Cybersicherheit. Handelt es sich gleichzeitig auch um einen Sicherheitsvorfall im Sinne der DSGVO oder anderer Gesetze, können allerdings zusätzlich Meldungen an die zuständige Datenschutzbehörde oder das BSI notwendig sein.

Hersteller müssen die Konformität ihrer Produkte entweder durch interne Kontrollverfahren, eine EU-Typenprüfung oder durch eine Konformitätsbewertung auf der Grundlage einer umfassenden Qualitätszusicherung sicherstellen (EU Declaration of Conformity). Besonderheiten gelten für Produkte mit digitalen Elementen, in denen die Kommission ein besonderes Risiko sieht (kritische Produkte), weil potenzielle Cybersicherheitslücken dieser Produkte aufgrund ihrer Cybersicherheitsfunktion oder ihrer bestimmungsgemäßen Verwendung schwerwiegende Folgen haben können. Diese Produkte müssen ein strengeres Verfahren durchlaufen, wobei sich die konkreten Anforderungen nach der Klassifizierung des jeweiligen Produktes richten:
 
  • Klasse I: Identitätsmanagementsysteme, Browser, Passwortmanager, Antivirenprogramme, Firewalls, virtuelle private Netzwerke (VPNs), Netzwerkmanagement, Systeme, physische Netzwerkschnittstellen, Router, Chips, die für wesentliche Einrichtungen im Sinne der NIS2 verwendet werden, Passwortmanager, Firewalls, Mikroprozessoren und das industrielle IoT, die nicht unter Klasse II fallen etc.
  • Klasse II: Desktop- und Mobilgeräte, virtualisierte Betriebssysteme, Aussteller digitaler Zertifikate, Allzweck-Mikroprozessoren, Kartenlesegeräte, CPUs, Robotersensoren, intelligente Messgeräte und alle IoT-Geräte, Router und Firewalls für den industriellen Einsatz, der als "sensible Umgebung" gilt.

Für kritische Produkte der Klasse I ist zusätzlich eine Vertrauenswürdigkeitsprüfung erforderlich. Bei Produkten der Klasse II soll an der Bewertung der Konformität stets ein sachkundiger Dritter beteiligt sein.

Neben den Herstellern werden auch Importeure („Einführer“), die Produkte mit digitalen Elementen von Herstellern außerhalb der EU einführen, und Händler von Produkten mit digitalen Elementen verpflichtet, wenn sie diese in der EU in Verkehr bringen. Dabei ist Importeur oder Händler nur, wer das Produkt in fremdem Namen auf den Markt bringt. Tut er dies im eigenen Namen, gilt er hingegen als Hersteller im Sinne des CRA.
 
Importeure müssen etwa sicherstellen, dass der Hersteller ein geeignetes Konformitätsverfahren durchgeführt und die technische Dokumentation erstellt hat. Zudem müssen sowohl Importeure als auch Händler sicherstellen, dass das Produkt die CE-Kennzeichnung tragen und alle erforderlichen Informationen sowie die Gebrauchsanweisung enthalten sind. Der Importeur muss seine Kontaktinformationen auf dem Produkt oder auf der Verpackung angeben, der Händler muss überprüfen, ob der Importeur dies getan hat.

Die Kontrolle der Umsetzung soll durch die Mitgliedsstaaten erfolgen. Halten die neu einzurichtenden nationalen Marktüberwachungsstellen ein Produkt nicht für konform, können sie in drei Schritten

1) die Beseitigung des festgestellten Risikos anordnen

2) die Bereitstellung des Produktes auf dem Markt einschränken oder untersagen

3) einen Produktrückruf anordnen.

Hält sich ein Hersteller, Importeur oder Händler nicht an die Verpflichtungen aus dem CRA, sieht der Verordnungsentwurf weiterhin Bußgelder bis zu EUR 15 Mio. bzw. 2,5 % des weltweiten Jahresumsatzes (ggf. des Konzerns) vor.

3. Fazit & Checkliste

Auch wenn vor dem Inkrafttreten des CRA noch die Zustimmung durch den Ministerrat und die Annahme durch das Europäische Parlament erfolgen müssen und dann voraussichtlich eine 24-monatige Umsetzungsfrist folgen wird, empfehlen wir Herstellern, Händlern und Importeuren aufgrund der oftmals langen Produktentwicklungszyklen (Security by Design, also Beachtung bereits im Entwicklungsstadium), sich schon jetzt auf die geplanten Regeln vorzubereiten. Zudem müssen die Meldepflichten bei Sicherheitsvorfällen bereits 12 Monate nach dem Inkrafttreten umgesetzt werden.

Betroffene Unternehmen sollten den weiteren Gesetzgebungsprozess deshalb aufmerksam beobachten und sich schon jetzt auf den CRA vorbereiten:

  • Bestehende Produkte im Hinblick auf Cybersicherheit und Schwachstellen beobachten;
  • Bei geplanten Produkten schon jetzt sicherstellen, dass diese möglichst geringe Schwachstellen in der Cybersicherheit aufweisen;
  • Dokumentation der Cybersicherheit (in der technischen Dokumentation) sowie Dokumentation von Schwachstellen und der verwendeten Bestandteile Dritter für jedes Produkt;
  • Einen Mechanismus zur Konformitätsbewertung wählen und ggf. die notwendigen Vorbereitungen treffen (etwa die Grundlagen für die EU-Typenbewertung schaffen oder die notwendigen Inhalte zusammenstellen);
  • Nach erfolgreichem Konformitätsbewertungsverfahren CE-Kennzeichnung anbringen;
  • Bereitstellung von Informationen und Handlungsempfehlungen zur Cybersicherheit jedes Produktes;
  • Ggf. Lebenszyklus der Produkte bestimmen und: a) Produktbeobachtung für den gesamten Lebenszyklus sicherstellen sowie b) während des gesamten Lebenszyklus notwendige Sicherheitsupdates bereitstellen;
  • Im Falle von ausgenutzten Schwachstellen oder Sicherheitsvorfällen: Meldung an die ENISA innerhalb von 24 Stunden nach Kenntnisnahme.
Die Pflichten für Importeure sind:
 
  • Prüfung der Konformitätsbewertung durch den Hersteller,
  • Information über Namen und Kontaktdaten auf dem Produkt oder der Verpackung,
  • Überprüfung der CE-Kennzeichnung,
  • Ggf. Meldung von erheblichen Cybersicherheitsrisiken an die Marktüberwachungsbehörde und den Hersteller.
Die Pflichten für Händler sind:
 
  • Überprüfung der CE-Kennzeichnung sowie
  • Überprüfung der Pflichten der Hersteller und Einführer.
Bei Rückfragen oder Unterstützungsbedarf wenden Sie sich gern an Mitglieder unserer Taskforce Cybersecurity.
Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Dr. Johannes Rolfs, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Dr. Johannes Rolfs, LL.M.
Hamburg

Weitere Artikel

15.11.2024
Datenschutzaufsicht: Unterlassene Löschung personenbezogener Daten führt zu Bußgeld von EUR 900.000
04.11.2024
BGH urteilt zur Panoramafreiheit bei Drohnenaufnahmen
04.11.2024
Referentenentwurf des Beschäftigtendatengesetzes (BeschDG): Neue Regelungen für den Einsatz von Künstlicher Intelligenz im Arbeitsverhältnis
31.10.2024
Cyber Resilience Act verabschiedet und NIS2-Umsetzung in Deutschland auf der Zielgeraden
29.10.2024
Der Referentenentwurf für das Beschäftigtendatengesetz (BeschDG) – Fundament für den rechtssicheren Umgang mit Beschäftigtendaten in der digitalen Arbeitswelt?
17.10.2024
Europäische Kommission veröffentlicht FAQ zum Data Act
15.10.2024
Urteil des OLG München: DSGVO-Verstoß führt zur fristlosen Kündigung eines Vorstandsmitglieds
30.09.2024
Künstliche Intelligenz: Diese gesetzlichen Pflichten greifen bereits ab Februar 2025
20.09.2024
Bundesregierung erlässt Einwilligungsverwaltungsverordnung – (K)ein Ende der Cookie-Banner?
11.09.2024
Verhältnis zwischen Abmahnerfordernis und plattforminternen Abhilfe- und Meldesystemen – Entscheidung des LG Köln
05.09.2024
OLG München zur Rückzahlung bei Online-Coaching-Verträgen
02.09.2024
Künstliche Intelligenz ist kein Erfinder im Sinne des Patentrechts

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.