RWT Header Image

News der RWT

Titelbild RWTkompakt Januar 2025_Frau_seitlich zu sehen_tippt auf Tablet

Der Cyber Resilience Act: Produktsicherheit im Internet der Dinge

Am 11. Dezember 2024 trat der Cyber Resilience Act (CRA) in Kraft. Der CRA ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt. Das Ziel ist es, Verbraucher und Unternehmen besser vor Cyberangriffen zu schützen und die Cybersicherheit in der Lieferkette sicherzustellen. Bestimmte Wirtschaftsakteure müssen verbindliche Sicherheitsanforderungen wie Transparenz, Dokumentations- und Update-Pflichten erfüllen.

Welche Produkte sind betroffen? 

Alle Produkte mit digitalen Elementen (nachfolgend auch „Digitalprodukte“ genannt), die in der EU in Verkehr gebracht werden, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht, müssen den Anforderungen des CRA entsprechen. Dies betrifft sowohl Produkte aus dem B2C- als auch aus dem B2B-Bereich. „Produkte mit digitalen Elementen“ werden als Produkte definiert, die mit einem Gerät oder einem Netzwerk verbunden werden können und umfassen sowohl Hardwareprodukte mit vernetzten Funktionen als auch reine Softwareprodukte. 

Gibt es Ausnahmen?

Grundsätzlich ist der CRA für alle Branchen relevant. Ausgenommen sind nicht-kommerzielle Produkte, zum Beispiel nicht-kommerzielle Open-Source-Softwareprodukte, reine Dienstleistungen, Medizinprodukte, Fahrzeuge, Produkte der Luft- und Raumfahrt sowie Verteidigungsgüter.

Wer ist betroffen?

Die Pflichten des CRA betreffen in erster Linie Unternehmen, die Digitalprodukte herstellen. Darüber hinaus gibt es bestimmte Pflichten für Händler und Importeure.

Welche Pflichten gelten ab wann?

Der CRA wurde am 20. November 2024 veröffentlicht und trat am 11. Dezember 2024 in Kraft. Der CRA hat eine Umsetzungsfrist von 36 Monaten, das heißt, ab dem 11. Dezember 2027 gilt er vollumfänglich. Die Meldepflichten der Hersteller über jede aktiv ausgenutzte Schwachstelle gelten bereits ab dem 11. September 2026. Die Regelungen über die Notifizierung der Konformitätsbewertungsstellen gelten ab dem 11. Juni 2026.

Die wichtigsten Anforderungen des CRA

Die Pflichten nach dem CRA betreffen den gesamten Lebenszyklus der digitalen Produkte.

  • Risikobewertung und Gewährleistung: Hersteller müssen Produkte so konzipieren und entwickeln, dass während des gesamten Produktlebenszyklus ein angemessenes Maß an Cybersicherheit gewährleistet ist. Digitalprodukte sollen während der erwarteten Produktlebensdauer oder während eines Zeitraums von fünf Jahren ab Inverkehrbringen, je nachdem, welcher Zeitraum kürzer ist, bestimmte Cybersicherheitsanforderungen erfüllen.
  • Schwachstellenmanagement: Bekannte Schwachstellen sollen vom Hersteller durch kostenlose Sicherheitsaktualisierungen beseitigt werden. 
  • Dokumentation: Hersteller müssen Schwachstellen und Komponenten ihrer Produkte identifizieren und dokumentieren.
  • Meldepflichten: Innerhalb von 24 Stunden nach Bekanntwerden hat der Hersteller eine ausgenutzte Schwachstelle über die Meldeplattform der ENISA (Europäische Agentur für Netz- und Cybersicherheit) zu melden.

Je nach Kritikalität und Risikopotential des Produktes ist darüber hinaus zum Nachweis der Compliance ein Konformitätsbewertungsverfahren durchzuführen oder durch Dritte durchführen zu lassen. Die Konformität des Produktes wird über die CE-Kennzeichnung bestätigt. Je höher das Risiko, desto strenger sind die Anforderungen. Der CRA unterscheidet zwischen normalen Digitalprodukten (zum Beispiel smarten Alltagsgeräten, Festplatten), wichtigen Digitalprodukten (beispielsweise Routern, Modems, Switches, Browsern, Betriebssystemen, Passwortmanagern, Identitätsmanagementsystemen) und kritischen Digitalprodukten wie Chipkarten und Hardwaregeräten mit Sicherheitsboxen.

Welche Sanktionen drohen bei Verstößen?

Den Marktaufsichtsbehörden werden umfassende Kontroll- und Sanktionsbefugnisse zugesprochen. Verstöße gegen die Vorschriften des CRA können zu hohen Geldbußen von bis zu 15 Mio. Euro oder bis zu 2,5 % des weltweiten Jahreskonzernumsatzes führen, je nachdem, welcher Betrag höher ist. Weiter können Produkte, welche sich nicht an die Vorgaben halten, vom Markt genommen werden.

Um sich bei etwaigen Kontrollen dieser Sanktionen entziehen zu können, werden den Adressaten des CRA wiederum strengere Dokumentations- und Nachweispflichten über die Einhaltung der Vorschriften auferlegt. Die Einhaltung dieser Dokumentations- und Nachweispflichten ist elementar wichtig, damit Unternehmen nicht Gefahrlaufen, hohe Bußgelder zahlen zu müssen.

Was Unternehmen jetzt beachten sollten?

Unternehmen sollten zeitnah mit der Umsetzung der Pflichten und Anforderungen beginnen. Neben der Kontrolle, ob die eigenen Produkte in den Anwendungsbereich des CRA fallen und relevante Sicherheitsrisiken bestehen, sollten sie auch frühzeitig ihre bestehenden Prozesse im Hinblick auf die Regelungen des CRA kontrollieren und optimieren. Ein weiteres Hauptaugenmerk sollte auf die Umsetzung der Verfahrensanforderungen gelegt werden. Insbesondere die Implementierung der Dokumentations-, Nachweis- und Meldepflichten in den Unternehmensablauf, welche bereits ab dem 11. September 2026 zu beachten sind, sollten hierbei in den Fokus gerückt werden, um den hohen Bußgeldern zu entgehen.

 

RWTkompakt Ausgabe Januar 2025
Zu allen News der RWT

Autorin

Dr. Anke Thiedemann, LL.M.

Dr. Anke Thiedemann, LL.M.

Partnerin · Geschäftsführerin · Rechtsanwältin, attorney at law (New York), Fachanwältin für Gewerblichen Rechtsschutz, Fachanwältin für IT-Recht, Zertifizierte Datenschutzbeauftragte des TÜV Süd

+49 7121 489-251

Das könnte Sie auch interessieren