CRA

Widerstandsfähigkeit ist nicht zwecklos

Der Rat der Europäischen Union hat in seiner Sitzung am 10. Oktober 2024 neben der Produkthaftungsrichtlinie auch die Verordnung mit dem schönen Namen „Horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen…“ formell verabschiedet. Die Auswirkungen des Cyber Resilience Acts, kurz CRA, werden daher für betroffene Unternehmen spätestens in zwei Jahren zu spüren sein. Angesichts der doch erheblichen Aufgaben, die mit der Umsetzung der Verordnung verbunden sind, wird es höchste Zeit für den nachstehenden Überblick.

Der CRA ist wie die NIS2-Richtlinie (vgl hierzu unseren Artikel) eine Reaktion auf die zunehmenden Cyberbedrohungen im digitalen Binnenmarkt. Ziel ist es, dass digitale Produkte über deren gesamten Lebenszyklus hinweg sicher zu nutzen sind. Schwachstellen und Angriffe sollen dadurch minimiert und Endkunden besser geschützt werden.

Wen und was betrifft das eigentlich genau?

Gegenstand des CRA sind Produkte mit digitalen Elementen. Nach Art. 2 Absatz 1 CRA sind dies solche Produkte, „deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt“. Die etwas unübersichtliche Definition muss wohl dahingehend verstanden werden, dass das Produkt (sowohl Hard- als auch Software) mit einer entfernt stattfindenden Datenverarbeitung ausgestattet ist. Laut Erwägungsgründe kann dies über Programmierschnittstellen und Datenbankzugriffe geschehen, auch direkte Datei-Uploads sind denkbar. Gleichgültig dürfte sein, ob die erforderliche Kommunikation über Kabel, WLAN oder Bluetooth erfolgt. Wenn lediglich Einwegschnittstellen wie bei NFC und RFID vorliegen, dürfte eine Anwendung deshalb scheitern, weil Daten nur in eine Richtung fließen. Das Gleiche gilt, wenn lediglich Software as a Service (SaaS) angeboten wird.

Es geht also um eine Palette von Produkten, die über den intelligenten Kühlschrank über WLAN-Router und VPN-Systemen bis hin zu industriellen Kontrollsystemen (ICS) reicht. Persönlich gilt der CRA für verschiedene Wirtschaftsakteure, allen voran natürlich die Hersteller der Produkte. Daneben werden auch Bevollmächtigte und Einführer von Produkten in die Pflicht genommen. Nach den Artikeln 20 und 21 CRA gibt es auch erhebliche Pflichten für Händler, was den Kreis der Betroffenen erheblich erweitert.

Natürlich gibt es auch Produkte, die von den Regelungen des CRA ausgenommen sind, da diese überwiegend bereits durch andere Rechtsakte reguliert sind. Dazu zählen Produkte, die unter die Medizinprodukte- (VO (EU) 2017/745) oder die Invitro-Diagnostika-Verordnung (VO (EU) 2017/746) fallen. Zusätzlich gilt der CRA nicht für Produkte, die bereits durch die VO (EU) 2019/2144 über die Typgenehmigung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen und Bauteilen für diese Fahrzeuge abgedeckt sind. Weitere Ausnahmen betreffen die Sektoren Luft- und Schifffahrt sowie Zwecke der nationalen Sicherheit und Verteidigung. Auf den letzten Drücker hinzugekommen ist eine Bereichsausnahme für Ersatzteile, „die auf dem Markt bereitgestellt werden, um identische Komponenten in Produkten mit digitalen Elementen zu ersetzen, und die nach denselben Spezifikationen hergestellt werden wie die Bauteile, die sie ersetzen sollen.“ (Artikel 2 Absatz 6 CRA).

Was müssen betroffene Unternehmen tun?

Die zu ergreifenden Maßnahmen richten sich – wie schon bei NIS2 – nach der Kritikalität, die durch eine Risikobewertung ermittelt werden muss. Neben den „normalen“ Produkten gibt es noch die wichtigen sowie die kritischen Produkte mit digitalen Elementen.

Grundlegend ist zunächst eine Bewertung der Cybersicherheitsrisiken, die sich auf Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase erstrecken muss (siehe Art. 13 Absatz 2 CRA). Diese Bewertung sollte ausreichend dokumentiert und gegebenenfalls aktualisiert werden, da die technische Dokumentation als Bestandteil der EU-Konformitätserklärung zehn Jahre für die Behörden bereitzuhalten ist.

Darüber hinaus gilt für alle betroffenen Produkte, dass die Hersteller die sich aus dem Anhang I des CRA ergebenen Sicherheitsanforderungen einhalten müssen. Konzeption, Entwicklung und Herstellung der Produkte müssen ein angemessenes Cybersicherheitsniveau erreichen. Je nach Risikoeinschätzung kann dies aus dem bunten Strauß der vielfältigen Anforderungen folgende Details beinhalten (Versuch einer Kurzfassung):

• wenig Angriffsfläche bieten, Ausmerzen aller bekannten ausnutzbaren Schwachstellen;
• sichere Standardkonfiguration, sofern mit gewerblichem Nutzer bei individuellem Produkt nichts anderes vereinbart wurde, und Funktion zur Wiederherstellung der Standardeinstellungen;
• Behebung von Schwachstellen durch Sicherheitsaktualisierungen mit Opt-out-Mechanismus;
• Kontrollmechanismen zum Schutz vor unbefugtem Zugriff (Authentifizierungs-, Identitäts- oder Zugangsverwaltungssysteme);
• Vertraulichkeit gespeicherter, übermittelter oder anderweitig verarbeiteter personenbezogener oder sonstiger Daten (z.B. Verschlüsselung), Datenminimierung, sichere Datenübertragung;
• Integrität jeglicher Daten, Befehle, Programme und Konfigurationen, Schutz vor Manipulation;
• Verfügbarkeit grundlegender Funktionen auch nach einem Sicherheitsvorfall, insbesondere in Bezug auf Denial-of-Service-Angriffe);
• Minimieren von negativen Auswirkungen von den Produkten selbst oder von vernetzten Geräten auf die Verfügbarkeit der von anderen Geräten oder Netzen bereitgestellten Dienste;
• Bereitstellen von sicherheitsbezogenen Informationen durch Aufzeichnung und/oder Überwachung einschlägiger interner Vorgänge, auch wieder mit Opt-out-Mechanismus;
• Bereitstellen der Möglichkeit für Nutzer, alle Daten und Einstellungen dauerhaft sicher und einfach zu löschen.

Darüber hinaus ergeben sich aus Teil II des Anhangs noch weitere Pflichten in Bezug auf Schwachstellen. Liegen die Voraussetzungen für ein wichtiges Produkt mit digitalen Elementen nach Anhang III des CRA vor, muss noch ein Konformitätsbewertungsverfahren durchlaufen werden. Man unterscheidet dabei noch die Kritikalitätsklassen 1 (z.B. Browser, Passwort-Manager, VPN-Software) und 2 (z.B. Firewalls, Hypervisoren und Container-Runtime-Systeme). Hersteller von Produkten nach Klasse 1 können sich dann – wie aus anderen Bereichen bekannt – u.U. selbst eine CE-Kennzeichnung geben, bei denen nach Klasse 2 muss die Bewertung durch eine benannte Stelle erfolgen. Bei kritischen Produkten mit digitalen Elementen braucht es dann schon ein spezielles europäischen Cyberzertifikat, was durch die EU noch näher ausgestaltet wird; nach Anhang IV des CRA betrifft das Chipkarten (oder ähnliche Geräte, einschließlich Sicherheitselemente), Hardwaregeräte mit Sicherheitsboxen, Smart-Meter-Gateways in intelligenten Messsystemen sowie andere Geräte für fortgeschrittene Sicherheitszwecke, einschließlich der sicheren Kryptoverarbeitung.

Bevor Händler ein Produkt mit digitalen Elementen auf dem Markt bereitstellen, müssen sie nach Art. 20 des CRA zwingend überprüfen, ob das Produkt mit digitalen Elementen mit der CE-Kennzeichnung versehen ist, ob der Hersteller/Einführer weitere Anforderungen aus dem CRA erfüllt hat und ob dem Händler alle erforderlichen Dokumente zur Verfügung gestellt wurden. Sollte diese Prüfung Missstände aufdecken, schließen sich nach Artikel 20 Absätze 3 und 4 CRA weitere Maßnahmen an, insbesondere die Kommunikation mit Herstellern und Behörden oder gar der Produktrückruf. Brisant ist sicherlich Art. 21 CRA, demnach sich Händler wie Hersteller behandeln lassen müssen, wenn sie ein Produkt mit digitalen Elementen unter eigenen Namen oder eigener Marke in den Verkehr bringen oder eine wesentliche Änderung an einem bereits in den Verkehr gebrachten Produkt mit digitalen Elementen vornehmen – wie man oben lesen konnte sind die Pflichten, die die Händler dann treffen, sehr umfangreich.

Fazit

Angesichts der vielseitigen Anforderungen für Hersteller von Produkten mit digitalen Elementen sollte keine Zeit verschwendet werden, auch wenn die meisten Pflichten erst im Herbst 2026 scharf ziehen. In Sachen Cybersicherheit lohnt sich der Aufwand in Bezug auf die relevanten Produkte jedenfalls, da nicht nur die angedrohten Geldbußen (bis zu 15 Mio. € oder 2,5% des weltweiten Jahresumsatzes) vermieden werden können, sondern am Ende tatsächlich widerstandsfähige Waren stehen sollen, die das Kundenvertrauen erheblich stärken – Compliance bedeutet eben auch, wettbewerbsfähig zu sein. Für Fragen rund um die Themen Cyber- und Produktsicherheit stehen wir von MKM LEGAL natürlich gerne zur Verfügung.

Autor: Andree Hönninger