Die EU beschließt den Cyber Resilience Act

Was regelt der CRA?

Der CRA legt umfassende Cybersicherheits-Anforderungen an Produkte mit digitalen Elementen fest.

Als „Produkt mit digitalen Elementen“ gilt im CRA jedes Produkt – sowohl Hardware als auch Software – das auf dem Markt bereitgestellt wird und mit dem Internet, einem Gerät oder einem anderen Netzwerk verbunden werden kann.

Umfasst sind unter anderem die folgenden Produkte:

• Software, Apps und Betriebssysteme
• Computer, Smartphones, Wearables etc.
• klassische IoT-Geräte, smarte Haushaltsgeräte, Alarmanlagen u.ä.
• sonstige Elektronikprodukte mit Schnittstellen zum Internet oder zu anderen Produkten
• moderne Sensoren, Lesegeräte, Mikroprozessoren und Chipkarten
• vernetzte Fahrzeuge und Fortbewegungsmittel und
•  Industriemaschinen, moderne landwirtschaftliche Geräte und moderne Messgeräte.

Anforderungen an digitale Produkte

Diese „Produkte mit digitalen Elementen“ müssen künftig von ihren Herstellern so konzipiert und hergestellt werden, dass sie festgelegte Cybersicherheits-Kriterien erfüllen. Die Einhaltung dieser Kriterien muss durch ein Konformitätsbewertungsverfahren belegt und durch Anbringung des CE-Kennzeichens bestätigt werden.

Bei normalen Produkten mit digitalen Elementen kann diese Bewertung vom Unternehmen selbst vorgenommen werden, bei im CRA als besonders wichtig oder kritisch definierten Produkten ist eine externe Konformitätsbewertung bzw. Cybersicherheitszertifizierung erforderlich.

Pflichten der Hersteller und Entwickler von digitalen Produkten

Neben der oben beschriebenen Pflicht zur cybersicheren Entwicklung von Produkten müssen Hersteller eine technische Dokumentation und Informationsmaterialien zur Cybersicherheit nach den Vorgaben des CRA erstellt werden. Dazu gehört auch eine Cyberrisikobewertung des Produkts, die regelmäßig zu aktualisieren ist.

Zusätzlich muss der Hersteller während der erwarteten Lebensdauer eines Produkts mit digitalen Elementen dieses regelmäßig auf die Cybersicherheit testen und erkannte Cyber-Schwachstellen des Produkts durch Updates o.ä. beheben. Können Schwachstellen nicht behoben werden, müssen Produkte u.U. vom Markt genommen und/oder zurückgerufen werden.

Aktiv ausgenutzte Schwachstellen der Produkte müssen die Hersteller zudem der zuständigen Behörde melden (Erstmeldung binnen 24 Stunden!).

Daneben bestehen Sorgfaltspflichten hinsichtlich der Cybersicherheit von eingebauten Komponenten, die der Hersteller oder Entwickler von Dritten bezieht.

Pflichten der Importeure und Händler von digitalen Produkten

Auch Importeure und Händler von Produkten mit digitalen Elementen treffen gewisse Pflichten. Insbesondere müssen diese überprüfen, ob die importierten/verkauften Produkte mit dem CE-Kennzeichen versehen sind, das die Einhaltung der Cybersecurity-Anforderungen anzeigt. Daneben bestehen auch Melde- und Handlungspflichten im Cyber-Ernstfall.

Besondere Regeln gelten in diesem Zusammenhang für Verwalter von Open-Source-Software.

Ab wann gilt der CRA?

Nachdem schon am 23.10.2024 die letzten formalen Unterschriften durch die Präsidenten des Rats der EU und des EU-Parlaments geleistet wurden, steht eine Veröffentlichung im Amtsblatt der EU unmittelbar bevor. Ab dieser Veröffentlichung läuft die Umsetzungsfrist von großteils 3 Jahren.

Es handelt sich um eine EU-Verordnung. Eine Umsetzung in österreichisches Recht ist daher nicht erforderlich.

Folglich müssen voraussichtlich ab Ende 2027 alle Produkte, die innerhalb der EU verkauft oder sonst auf den Markt gebracht werden, den Anforderungen des CRA genügen. Dies gilt idR auch für den Abverkauf von Produkten, die bereits zuvor auf Lager waren. Bedenkt man die oft langen Entwicklungszyklen von Produkten, so ist diese Übergangsfrist daher gar nicht besonders lange.

Produkte, die zwar vor diesem Zeitpunkt verkauft wurden, aber nach diesem Zeitpunkt wesentlich geändert werden, unterliegen ab dieser Änderung ebenfalls dem CRA.

Die Meldepflichten für ausgenutzte Produkt-Schwachstellen treten schon wesentlich früher in Kraft, und zwar voraussichtlich Mitte 2026 (21 Monate ab Veröffentlichung des CRA im Amtsblatt).

Was passiert bei Verstößen?

Der CRA sieht bei Verstößen Strafen von bis zu EUR 15 Millionen oder 2,5% des weltweiten Konzernumsatzes vor (der höhere Betrag gilt).

Daneben können Marktüberwachungsmaßnahmen getroffen werden, wie insbesondere verpflichtende Produktrückrufe.

Wie Eversheds Sutherland Sie bei der Umsetzung des CRA unterstützen kann?

Wir durften bereits im Entwurfsstadium des CRA einige Erfahrung in der Beratung von Unternehmen zum Cyber Resilience Act sammeln. Gerne nutzen wir diese Erfahrung, um Sie bei der Erreichung der CRA-Compliance zu unterstützen.

Unsere Unterstützungsangebote umfassen u.a.:

1. Prüfung, ob Ihre Produkte unter den CRA fallen bzw. ob es sich um wichtige/kritische Produkte unter dem CRA handelt (bei Bedarf gemeinsam mit unseren technischen Partnern)
2. Unterstützung bei der Erarbeitung einer CRA-Strategie und einer Roadmap zur CRA-Compliance
3. Unterstützung bei der frühzeitigen Integration der CRA-Pflichten in Ihre NIS2‑/DORA-Compliance-Strategie
4. Spezielle In-house-Schulungen Ihrer Rechts- und Produktabteilungen zu den Anforderungen des CRA (bei Bedarf gemeinsam mit unseren technischen Partnern)
5. Unterstützung bei der Erstellung der erforderlichen Informationsdokumente, Policies und Dokumentationen.

Falls Sie zur Umsetzung des CRA in Ihrem Unternehmen Fragen haben, freuen wir uns auf Ihre unverbindliche Kontaktaufnahme!