logo_klein
Der Cyber Resilience Act: Neue EU-Vorgaben für mehr Cybersicherheit in Unternehmen
Der Cyber Resilience Act: Neue EU-Vorgaben für mehr Cybersicherheit in Unternehmen

Produkte mit digitalen Elementen weisen oft unzureichende Cybersicherheitsstandards auf und stellen daher ein IT-Sicherheitsrisiko dar. Mithilfe der „Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen“, kurz „Cyber Resilience Act“ (CRA) nimmt die EU sich dieser Problematik an. Hersteller, Importeure und Händler werden in die Pflicht genommen. Doch was verbirgt sich hinter dem Cyber Resilience Act und worauf müssen Unternehmen sich einstellen?

Dieser Blogbeitrag gibt einen Überblick über den Anwendungsbereich, die Pflichten für die betroffenen Akteure und das Sanktionsregime des CRA.

Was ist der „Cyber Resilience Act“?

Mit der Veröffentlichung des Vorschlags für den CRA am 15.9.2022 durch die Europäische Kommission war klar: Es steht ein weiterer europäischer Cybersecurity-Rechtsakt bevor. Nach der Annahme durch das Europäische Parlament März 2024, befindet sich die Verordnung nun kurz vor der gesetzgeberischen Ziellinie.  Zu beachten ist, dass der CRA – anders als bspw die NIS-2-Richtlinie – eine Verordnung ist. Das heißt, sie gilt in den EU-Mitgliedsstaaten unmittelbar, ein zusätzlicher nationaler Umsetzungsrechtsakt ist grundsätzlich nicht erforderlich.

Was ist das Ziel des CRA?

Die Verordnung soll gewährleisten, dass Produkte mit digitalen Elementen sicher genutzt werden können und Sicherheitseigenschaften transparenter sind. Auch der Schutz personenbezogener Daten und der Privatsphäre Einzelner soll durch den CRA verbessert werden. Ziel ist es auch, durch unionsweite Regelung der Cybersicherheitsstandards den Wettbewerb zu fördern. Ein horizontaler Rahmen für Cybersicherheit bedeutet auch Rechtssicherheit.

Wer ist betroffen?

Der CRA hat einen sehr weiten Anwendungsbereich. Erfasst wird jedes Produkt mit digitalen Elementen, das auf dem  europäischen Markt zum Vertrieb oder zur Nutzung, im Rahmen einer gewerblichen Tätigkeit, in Verkehr gebracht wird.

Ein Produkt mit digitalen Elementen iSd Verordnung ist jedes Software- oder Hardwareprodukt mit Datenfernverarbeitungslösungen. Der CRA ist daher grundsätzlich bei allen Produkten mit digitalen Elementen relevant, deren Nutzung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netzwerk beinhaltet (vgl Art 2 Abs 1 CRA-Entwurf). Das betrifft nicht nur Software- oder Hardwareprodukte sowie mit ihnen verbundene Cloudlösungen, sondern auch separat in Verkehr gebrachte Software- und Hardwarekomponenten.

Aufgrund des weit gefassten Anwendungsbereichs, kann bereits jetzt davon ausgegangen werden, dass der CRA branchenübergreifend eine bedeutende Anzahl von Produkten mit digitalen Elementen erfassen wird.

Ihre Pflichten als Unternehmer

Unternehmer müssen unter anderem sicherstellen, dass Produkte der genannten Kategorien während des gesamten Lebenszyklus ein hohes Maß an Cybersicherheit gewährleisten. Hierzu muss der Sicherheitsaspekt in den Entwicklungsprozess neuer Produkte von Beginn an integriert werden. Zudem müssen potenzielle Risiken umfassend dokumentiert und Schwachstellen zeitnah gemeldet werden. Hersteller werden verpflichtet, Sicherheitslücken über mindestens fünf Jahre oder während der erwarteten Lebensdauer eines Produkts zu identifizieren, zu beheben und entsprechende Sicherheits-Updates bereitzustellen.

Der genaue Umfang der Pflichten ist abhängig von Produkt und betroffenem Akteur (Hersteller, Händler oder Importeur).

Bei Nichteinhaltung drohen Strafen

Im Falle eines Verstoßes drohen erhebliche Strafen. Bußgelder bis zu 15 Millionen Euro oder 2,5 Prozent des gesamten Jahresumsatzes des vorangegangen Geschäftsjahres sind möglich. Denkbar sind ferner Rückrufaktionen und aufwendige Nachbesserungen. Auch die Verweigerung der CE-Kennzeichnung für neue Produkte ist Teil des Instrumentariums.

Strategien zur Vorbereitung

Um den Anforderungen des CRA gerecht zu werden, sollten Unternehmen proaktive Maßnahmen ergreifen. Hierzu gehören beispielsweise die Durchführung von Sicherheitsbewertungen sowie Mitarbeiterschulungen, um diese für Cybersicherheitsrisiken zu schulen. Eine rechtliche Beratung ist unerlässlich, um sicherzustellen, dass alle gesetzlichen Anforderungen erfüllt sind und eine optimale Vorbereitung gegeben ist.

Empfehlenswert ist, die Produkte frühzeitig entsprechend der Verordnung zu prüfen, Risikobewertungen vorzunehmen und die Dokumentation für Konformitätsnachweise zu erstellen. Auch bei Unsicherheiten bezüglich der Betroffenheiten sollte rechtliche Beratung in Anspruch genommen werden.

Unsere Unterstützung für Ihr Unternehmer

Unsere Kanzlei berät mit umfassender Expertise hinsichtlich der Einhaltung des „Cyber Resilience Act“ und in ähnlichen Fragen des Wirtschaftsrechts. Wir bieten maßgeschneiderte Lösungen, die sicherstellen, dass Ihr Unternehmen alle gesetzlichen Anforderungen erfüllt und vor Sanktionen geschützt ist. Kontaktieren Sie uns unter office@geuer.at oder telefonisch unter +43-1-4380072 und erfahren Sie, wie wir Sie bei der Umsetzung des CRA unterstützen können. Wir freuen uns auf Ihre Anfrage.

Scroll to Top