Wie kann ich überprüfen, ob ich betroffen bin?
Der CRA gilt grundsätzlich für alle Produkte mit digitalen Elementen auf dem europäischen Markt und teilt diese in Risikoklassen ein. Einige wenige Produktarten sind jedoch vom CRA ausgenommen. Prüfen Sie jetzt die Betroffenheit Ihrer Produkte mit unserem kostenlosen Quick-Check.
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (kurz: CRA) ist eine produktbezogene Verordnung, die erstmals sektorübergreifend (horizontal) die EU resilienter gegen Cyberangriffe und Sicherheitsvorfälle machen soll.
Was sind die Ziele des Cyber Resilience Acts?
Die Verordnung zielt darauf ab einheitliche Cybersicherheitsanforderungen innerhalb der EU zu schaffen und die Sicherheit von Produkten mit digitalen Elementen zu erhöhen.
Welche Fristen gelten?
Der CRA ist am 10.12.2024 in Kraft getreten. Die Vorgaben für Konformitätsbewertungstellen gelten ab dem 11.06.2026. Ab dem 11.09.2026 müssen Hersteller aktiv ausgenutzte Schwachstellen an die Aufsichtsbehörden melden. Ab dem 11.12.2027 ist die Verordnung voll anwendbar. Wichtig: Der CRA gilt auch Produkte, die vor dem 11.12.2027 in den Verkehr gebracht wurden, wenn wesentliche Änderungen vorgenommen werden.
Wie ist der Cyber Resilience Act in das EU-Regelungskonstrukt einzuordnen?
Der CRA tritt neben unternehmensbezogene Cybersicherheitsanforderungen wie die DORA-Verordnung, die Unternehmen des Finanzsektors zu weitreichenden IT-Sicherheitsmaßnahmen verpflichtet, oder die NIS-2-Richtlinie, die ein ähnliches Ziel für kritische Infrastrukturen verfolgt. Nach Ablauf einer Übergangsfrist wird der CRA ab Ende Jahr 2027 unmittelbar in allen EU-Mitgliedstaaten gelten.
Gibt es Ausnahmen für bestimmte Produkte?
Ja, trotz oder gerade wegen des sehr weiten Anwendungsbereichs sind einige wenige Produkte vom CRA ausgenommen. Darüber hinaus kann der Anwendungsbereich des CRA für digitale Produkte, die unter andere EU-Vorschriften fallen, eingeschränkt oder ganz ausgeschlossen werden, wenn ein solcher Ausschluss mit dem allgemeinen Rechtsrahmen für diese Produkte vereinbar ist und die jeweiligen sektorspezifischen Vorschriften das gleiche Schutzniveau erreichen.
Gibt es Ausnahmen für Bestandsprodukte?
Artikel 69 Abs. 2 CRA sieht ausdrücklich vor, dass die Anforderungen nur für Produkte gelten, die nach dem 11. Dezember 2027 in Verkehr gebracht werden. Sogenannte Bestandsprodukte, die bis zu diesem Zeitpunkt in Verkehr gebracht werden, unterliegen nicht dem CRA. Daher ist es von entscheidender Bedeutung, die Kriterien für das Inverkehrbringen eines Produkts zu definieren. Der CRA enthält eine Legaldefinition: Danach ist das Inverkehrbringen die erstmalige Bereitstellung eines Produkts auf dem Unionsmarkt. Das Kriterium bezieht sich immer auf das einzelne Produkt und nicht auf die Produktreihe oder -serie. Der CRA gilt allerdings für Produkte, die vor dem 11. Dezember 2027 in den Verkehr gebracht wurden, wenn wesentliche Änderungen vorgenommen werden.
Was bedeutet „Inverkehrbringen“?
Das Inverkehrbringen ist kein neuer Rechtsbegriff. Er findet sich seit langem im Produktsicherheitsrecht und wird auch in anderen Rechtsakten wie der Medizinprodukte- oder der KI-Verordnung verwendet. Zur näheren Bestimmung der Frage, wann ein Inverkehrbringen vorliegt, gibt es bereits eine gefestigte EuGH-Rechtsprechung. Diese kann auf den CRA übertragen werden. Danach ist ein Produkt in Verkehr gebracht, wenn es den vom Hersteller eingerichteten Prozess der Herstellung verlassen hat und in einen Prozess der Vermarktung eingetreten ist, in dem es in verbrauchs- oder gebrauchsfertigem Zustand der Öffentlichkeit angeboten wird.
Wann wird Software in Verkehr gebracht?
Es ist anerkannt, dass bei Software das Bereitstellen nicht die körperliche Übergabe z.B. eines Datenträgers erfordert, sondern auch die elektronische Bereitstellung in Form des Ermöglichens eines Downloads den Tatbestand des Bereitstellens erfüllt. Stellt ein Hersteller eine Software in einem App-Store oder auf einer Internetseite zum Download bereit, hat er den Herstellungsprozess verlassen und ist in den Vermarktungsprozess eingetreten. Zu diesem Ergebnis kommt man auch, wenn man, wie in der Literatur teilweise gefordert, auf den subjektiven Willen des Herstellers abstellt. Bietet er eine Software zum Download an, verlässt sie willentlich seine Sphäre. Das bedeutet, dass Software, die vor dem Stichtag zum Download, in der Cloud oder im App-Store zur Verfügung gestellt wurde, nicht alle Anforderungen des CRA erfüllen muss.
Wann liegt eine „wesentliche Änderung“ bei Software vor?
Der CRA gilt für Produkte, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden, wenn wesentliche Änderungen an diesen vorgenommen wurden. Gerade bei der Aktualisierung von Software wirft die genaue Definition des Begriffs Fragen auf. Die Erwägungsgründe zum CRA geben teilweise Aufschluss: Danach liegt keine wesentliche Änderung vor, wenn ein bloßes Sicherheitsupdate die Zweckbestimmung des Produkts nicht verändert. Auch nur geringfügige Änderungen der Funktionalität sind nicht erfasst. Als Beispiele für geringfügige Anpassungen der Funktionalität werden das Hinzufügen neuer Sprachen, eine visuelle Verbesserung oder neue Piktogramme genannt, die in der Regel keine wesentliche Änderung darstellen. Wenn jedoch die Zweckbestimmung geändert wird und sich dadurch die Risikobewertung in Bezug auf die Cybersicherheit ändert, stellt dies eine wesentliche Änderung dar. Die Begriffe sind nicht trennscharf, aber bis zu einer weiteren Konkretisierung durch die Rechtspraxis können anhand der genannten Beispiele und mit Hilfe der Kriterien Zweckänderung und Risikobewertung praxistaugliche Ergebnisse erzielt werden.
Was ist der persönliche Anwendungsbereich des Cyber Resilience Act?
Die weitreichendsten Pflichten treffen die Hersteller. Daran schließen abgestuft die Pflichten der Händler und Einführer an, wobei es sich im Wesentlichen um Kontrollpflichten handelt.
Welche Pflichten haben Hersteller?
Zu den Herstellerpflichten gehören Cybersicherheitsrisikoanalysen, Konformitätsbewertungsverfahren, Schwachstellenmanagement und Produktüberwachung einschließlich der Bereitstellung von Sicherheitsupdates. Alle getroffenen Umsetzungsmaßnahmen sind sorgfältig zu dokumentieren. Erwähnenswert sind auch die Meldepflichten bei aktiv ausgenutzten Schwachstellen.
Welche Pflichten haben Importeure?
Importeure dürften nur Produkte mit digitalen Element in Verkehr bringen, die den Anforderungen an die Cybersicherheit entsprechen. Den Importeur trifft dabei die Pflicht zu kontrollieren, ob der Hersteller seine Pflichten in Bezug auf das importierte Produkt eingehalten hat. Der Importeur soll vor dem Inverkehrbringen insbesondere sicherstellen, dass der Hersteller die einschlägigen Konformitätsbewertungsverfahren gem. Art. 24 CRA durchgeführt, die technischen Dokumente erstellt und das europäische CE-Kennzeichen in korrekter Form und inklusive der erforderlichen Instruktionen angebracht hat.
Welche Pflichten haben Händler?
Händler treffen bestimmte Kontrollpflichten wie beispielsweise die Beifügung der in Anhang II CRA genannten Informationen oder der Konformitätserklärung. Zudem ist der Händler im Falle der Bereitstellung eines Produkts mit digitalen Elementen auf dem Markt nach zu einem Handeln mit der gebotenen Sorgfalt in Bezug auf die Anforderungen der Verordnung verpflichtet. Insgesamt orientieren sich die Vorschriften für Händler – teilweise in abgeschwächter Form – an den Vorgaben für Importeure.
Welche Folgen drohen den Akteuren entlang der Wertschöpfungskette bei Pflichtverletzungen?
Die Marktüberwachungsbehörden verfügen über weitreichende Untersuchungs‑, Abhilfe- und Sanktionsbefugnisse. Bei Verstößen drohen unter anderem Produktwarnungen und Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Vorjahresumsatzes (je nach dem welcher Betrag höher ist). Privatrechtlich beeinflusst der CRA den kaufrechtlichen Mangelbegriff und die Einordnung als produkthaftungsrechtlichen Fehler.
Was sollten Unternehmen jetzt tun?
Vor dem Hintergrund der vielfältigen Anforderungen und der verschiedenen komplexen Meldeverfahren sollten Unternehmen prüfen, ob ihre Produkte vom CRA betroffen sind und klären, welche Rolle sie in der Wertschöpfungskette einnehmen. Dies können Sie einfach und schnell mit unserem Quick-Check erledigen. In einer Gap-Analyse ist dann zu prüfen, welche Anforderungen in Bezug auf das Produkt bereits erfüllt sind und was noch umgesetzt werden müssen. Darüber hinaus ist es ratsam, die Verträge mit Lieferanten zu überprüfen und an die neuen Vorgaben anzupassen.