A. Einleitung: Hintergründe und Ziele des CRA
Am 15.09.2022 hat die Europäische Kommission den Vorschlag für eine Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, den Cyber Resilience Act (CRA), vorgestellt.1 Dem vorausgegangen war die ambitionierte Ankündigung von Kommissionspräsidentin von der Leyen am 15.09.2021, dieses Legislativwerk innerhalb eines Jahres vorlegen zu wollen.2 Die Verordnung will im Kern verbindliche Cybersicherheitsanforderungen für Hardware- und Softwareprodukte über deren gesamten Lebenszyklus einführen. Das Bedürfnis für ein solches Regelungswerk ist unübersehbar: Zum einen wird die europäische Wirtschaft und Gesellschaft zunehmend digital vernetzt, zum anderen steigt – gerade auch deshalb – die Cyber-Unsicherheit rapide an. Die Bedrohung im Cyberraum war zum Zeitpunkt der Vorstellung des CRA so hoch wie nie zuvor.3 Schätzungsweise entstand im Jahr 2021 weltweit ein Schaden von 5,5 Billionen Euro durch Cyberkriminalität.4 Als einen zentralen Grund hierfür macht die EU-Kommission mangelnde Cybersicherheit von digitalen Produkten aus.5 Der CRA will daher mehr Cybersicherheit im europäischen Binnenmarkt durch zwei übergeordnete Ziele erreichen: Zum einen soll mit dem CRA ein Rahmen zur Herstellung von digitalen Produkten geschaffen werden, der deren Cybersicherheit erhöht, zum anderen sollen die Nutzer dieser Produkte in Zukunft informierte Entscheidungen bei der Auswahl sicherer Produkte treffen können.6
Dieser Beitrag gibt einen ersten Überblick über den Entwurf des CRA und seiner wichtigsten Regelungen.
B. Überblick des Verordnungsvorschlags
Der Vorschlag des CRA enthält 57 Artikel und acht Kapitel. Kapitel I enthält zentrale Begriffsdefinitionen, die Festlegung des Anwendungsbereichs und allgemeine Anforderungen an Produkte mit digitalen Elementen. Kapitel II formuliert Pflichten an die am Wirtschaftsverkehr mit diesen Produkten Teilnehmenden, während Kapitel III und IV die Konformitätsbewertung der erfassten Produkte regelt. Die Kapitel V und VI bestimmen die Durchsetzung und Marktüberwachung, woran Kapitel VII mit Sanktionsmöglichkeiten anknüpft.
C. Position im Gefüge europäischer Cybersicherheitsregulierung
Der CRA soll neben dem Cybersecurity Act7 und der kürzlich verabschiedeten NIS2-Richtlinie8 zentraler Teil der Cybersicherheitsarchitektur der EU werden. Der Cybersecurity Act und die NIS2-Richtlinie enthalten keine Anforderungen an Produkte mit digitalen Elementen. Bisher gab es solche Regeln nur sektoral für bestimmte Produkte. Der CRA soll nun als letztes fehlendes „Puzzlestück“9 horizontale Cybersicherheitsanforderungen an sämtliche Produkte mit digitalen Elementen stellen und dadurch den „legislativen Flickenteppich“10 an Cybersicherheitsanforderungen im Binnenmarkt harmonisieren. Trotz zahlreicher denkbarer Überschneidungen zwischen den verschiedenen Rechtsakten wird der Fokus des CRA auf der Entwicklung und Markteinführung von Produkten mit digitalen Elementen liegen.
D. Zentrale Inhalte
I. Anwendungsbereich und allgemeine Regelungen
Vom sachlichen Anwendungsbereich des CRA erfasst sind nach Art. 2 Abs. 1 Produkte mit digitalen Elementen. Diese werden in Art. 3 Nr. 1 CRA als „ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in Verkehr gebracht werden sollen“ legaldefiniert. Vor dem Hintergrund des starken Trends hin zu immer mehr Vernetzung von Produkten ist der Anwendungsbereich sehr weit gefasst, was für eine wirksame horizontale Regelung aber auch erforderlich ist.11 Die Begrifflichkeit weist Ähnlichkeiten zu digitalen Produkten i.S.v. § 327 Abs. 1 Satz 1 BGB auf, der die Digitale-Inhalte-RL12 umsetzt. Jedoch erfüllt nur Software die Voraussetzungen beider Definitionen.13
Der Entwurf trägt mit den Kategorien der kritischen Produkte mit digitalen Elementen in Art. 3 Nr. 3 CRA, der hochkritischen Produkte mit digitalen Elementen in Art. 3 Nr. 4 CRA und einer damit einhergehenden Differenzierung der Anforderungen dem Verhältnismäßigkeitsprinzip Rechnung. Die Unterscheidung erfolgt anhand des Anhangs III zum CRA durch Einteilung in eine von zwei Klassen.
Art. 2 Abs. 2 CRA macht vom Anwendungsbereich für einige Produktkategorien Ausnahmen, da deren Sicherheitsniveau bereits hinreichend geregelt ist.14 Diesem Gedanken folgend normiert Art. 2 Abs. 4 CRA eine Ausnahme der Anwendung des CRA, wenn sektorspezifische Regulierung ein gleichwertiges oder höheres Schutzniveau erreicht.15
Die Art. 7 ff. CRA regeln das Verhältnis zu anderen Rechtsakten, wie dem Vorschlag des AI-Acts16 und dem Vorschlag einer Maschinenverordnung.17
II. Adressaten des CRA
Der personelle Anwendungsbereich der Verordnung berücksichtigt die Lieferkette der Produkte mit digitalen Elementen umfassend. Sämtliche sich mit dem Produkt befassenden Wirtschaftsakteure i.S.d. Art. 3 Nr. 17 CRA werden mit Pflichten adressiert. Hierbei werden die umfassendsten Anforderungen an den in Art. 3 Nr. 18 CRA recht breit definierten Hersteller gerichtet. In abfallender Intensität hält Art. 13 CRA Pflichten für den Importeur18 und Art. 14 CRA für den Händler bereit.
Importeure dürfen nach Art. 13 Abs. 1 CRA keine Produkte in den europäischen Markt einführen, die nicht auch den Herstellervorgaben entsprechen. Sie haben die Produkte daher vor einer Einfuhr vollständig zu überprüfen.19 Händler haben nach Art. 14 Abs. 2 CRA nur noch zu überprüfen, ob das Produkt ein CE-Kennzeichen hat und ob die weiteren Wirtschaftsakteure Art. 10 Abs. 10, 11 und Art. 13 Abs. 4 CRA einhalten.
Im Weiteren konzentriert sich die Darstellung auf die Pflichten für die Hersteller von Produkten mit digitalen Elementen. Sie stehen am Anfang der Lieferkette und haben den größten Einfluss auf die Ausgestaltung des Produkts.
III. Zentrale Herstellerpflichten
Art. 10 CRA bildet mit seinen 15 Absätzen das Herzstück des Entwurfs und regelt die Pflichten der Hersteller.
Zentrale Aufgabe der Hersteller ist, dass die Produkte mit digitalen Elementen nach Art. 10 Abs. 1 CRA den wesentlichen Cybersicherheitsanforderungen in Konzeption, Entwicklung und Herstellung entsprechen.20 Leitgedanke in allen Lebensphasen der Produkte ist daher „Cybersecurity by Design“. Diese Anforderungen legt der Abschnitt 1 des Anhangs I zum CRA im Detail fest. Hierbei stellen Nr. 1 Abs. 1 und Nr. 1 Abs. 2 des Anhangs I zum CRA grundlegend fest, dass sich das Sicherheitsniveau angemessen an prognostizierten Risiken zu bemessen hat und die Produkte keine bekannte ausnutzbare Schwachstelle haben dürfen. An der hierfür nötigen Risikoprognose nach Art. 10 Abs. 2 CRA knüpft Nr. 1 Abs. 3 des Anhangs I zum CRA mit einer Liste konkreter Einzelanforderungen an. Die Liste knüpft hierbei u.a. an Grundsätze der Datenverarbeitung nach Art. 5 DSGVO an.21 Angesichts der weitreichenden und offen interpretierbaren Formulierung der Pflichten in der Liste von Nr. 1 Abs. 3 Anhang I zum CRA dürfte sie als abschließend zu verstehen sein.22 Schließlich sollte Art. 10 Abs. 1 CRA als zentrale Norm für Sanktionen nach Art. 53 CRA justiziabel ausgestaltet sein.
Die nach Art. 10 Abs. 2 CRA durchzuführende Risikoprognose hat möglichst frühzeitig zu erfolgen, damit sie bereits in einer frühen Entwicklungsphase vor der Herstellung, aber auch später Berücksichtigung finden kann. Nach Art. 10 Abs. 5 CRA sind die Hersteller zur Dokumentation der Cybersicherheitsrisiken ihres Produkts verpflichtet. Vor der Markteinführung ist auch eine technische Dokumentation nach Art. 23 Abs. 1 CRA anzufertigen.
IV. Updatepflicht und Schwachstellenmanagement
Mit Art. 10 Abs. 6 führt der CRA die Pflicht zur fortlaufenden Produktüberwachung ein. Hersteller haben für die erwartete Lebensdauer oder höchstes fünf Jahre nach Inverkehrbringen des Produkts zu prüfen, ob das Produkt noch den Sicherheitsvorgaben des CRA entspricht. In dieser Zeit sind sie zum Schließen erkannter Schwachstellen verpflichtet. Hierfür bedarf es eines Schwachstellenmanagements, für das Abschnitt 2 des Anhangs I abschließende Vorgaben macht. Um die Behebung von Sicherheitslücken zu erleichtern, haben die Hersteller auch einige Nebenpflichten. Dazu gehören die Erstellung einer Übersicht der im Produkt verwendeten Software und ein Konzept zur Meldung von Sicherheitslücken. Ausweislich der Erwägungsgründe sollen auch sog. Bug-Bounty-Programme genutzt werden.23
Unverständlich bleibt, gerade vor dem Hintergrund der umfassenden umweltbezogenen Initiativen aus Brüssel im Rahmen des European Green Deal24, warum die Updatepflicht auf fünf Jahre beschränkt bleiben soll. Viele Produkte mit digitalen Elementen dürften eine deutlich längere Lebensdauer haben.25
Die Updatepflicht des CRA weist auch Überschneidungen mit dem Vorschlag einer neuen Produkthaftungsrichtlinie26 auf. Ausweislich der Erwägungsgründe soll die ProdHaftRL „ergänzend“27 zum CRA gelten, jedoch führt auch der ProdHaftRL-E in Art. 10 Abs. 2 Buchst. c über das Haftungsrecht eine Pflicht für Sicherheitsupdates ein.28 Diese kann nach Art. 14 Nr. 2 ProdHaftRL-E auch einen Zeitraum von bis zu zehn Jahren erfassen. Diesbezüglich scheint der CRA eher die ProdHaftRL zu ergänzen. Über Art. 6 Abs. 1 Buchst. f ProdHaftRL-E werden die Pflichten des CRA Anknüpfungspunkt für eine Haftung.
V. Meldepflichten
Nach Art. 11 Abs. 1 und 2 CRA haben Hersteller binnen 24 Stunden ausgenutzte Schwachstellen im Produkt und sonstige sicherheitsrelevante Vorfälle an die Agentur der Europäischen Union für Cybersicherheit (ENISA) zu melden. Nach Art. 11 Abs. 4 CRA sind auch die Nutzer unverzüglich zu informieren. Gemäß Art. 11 Abs. 7 CRA sind Hersteller bei Schwachstellen von Open-Source-Software verpflichtet, diese „verwaltenden“ Personen oder Einrichtungen zu informieren. Die 24-Stunden-Frist für die Meldung nach Art. 11 Abs. 1 CRA ist jedoch sehr ambitioniert.
VI. Konformität
Schon vom Umfang her bilden Kapitel III und IV mit den Regelungen der Konformität von Produkten mit digitalen Inhalten den Schwerpunkt des CRA. Art. 18 CRA enthält Vermutungsregeln zur Konformität von Produkten mit dem CRA. Nach Art. 20 Abs. 1 CRA hat der Hersteller eine EU-Konformitätserklärung zu erstellen, die nach Abs. 2 auch das Ergebnis der Konformitätsbewertung nach Art. 24 CRA enthalten muss. Der Anhang IV enthält die Mindestangaben der Konformitätserklärung. Art. 21 CRA legt fest, dass Produkte mit digitalen Inhalten eine CE-Kennzeichnung tragen müssen.
VII. Marktüberwachung und Durchsetzung
Für den Charakter als horizontales Regelwerk ist eine effektive Durchsetzung der Pflichten zwingend erforderlich. Die Regelungen hierzu finden sich in den Art. 41 ff. CRA. Die zuständigen Marktaufsichtsbehörden sind nach Art. 41 Abs. 2 CRA von den Mitgliedstaaten zu benennen. In Deutschland dürfte angesichts bisheriger Fähigkeiten und Zuständigkeiten das BSI am geeignetsten sein.29 Nach Art. 41 Abs. 6 CRA sollen die zuständigen Behörden auch angemessen ausgestattet sein. Dem „Standortvorteil Vollzugsdefizit“ wird daher zumindest im Normtext vorgebeugt.
Art. 43 CRA beherbergt die den Aufsichtsbehörden zur Verfügung stehenden Maßnahmen. Neben Untersuchungen stehen den Behörden sämtliche Mittel zur Verfügung, um die Cybersicherheit in Bezug auf Produkte im Binnenmarkt, nötigenfalls durch Rückruf, zu gewährleisten. Art. 46 CRA sieht auch Befugnisse bei Produkten vor, die die Anforderungen der Verordnung erfüllen, jedoch gleichwohl erhebliche Sicherheitsrisiken bergen. Art. 49 CRA ermöglicht sog. Sweeps, also Marktüberwachungsmaßnahmen mehrerer Behörden grenzüberschreitend zusammen, bei denen Cyberangriffe simuliert werden. Diese eingriffsintensive Maßnahme findet im Normtext problematischerweise keinerlei Einschränkung.30
Bußgelder regelt der CRA in Art. 53. Für Verstöße gegen die zentralen Verpflichtungen in Art. 10 und 11 CRA sind die Strafen mit entweder 15 Mio. Euro oder 2,5% des Gesamtjahresumsatzes sehr hoch. Art. 53 Abs. 6 CRA gibt die Bemessungskriterien für die Geldbußen vor.
E. Ausblick: Bisherige Rezeption und weiterer Gang des Gesetzgebungsverfahrens
Der CRA befindet sich noch in den ersten Schritten des Gesetzgebungsverfahrens.31 Änderungsvorschläge von Rat und Parlament gab es bisher noch nicht und auch die Trilogverhandlungen sind noch nicht abzusehen. Dennoch kann bereits jetzt gesagt werden, dass der CRA mit großer Wahrscheinlichkeit den „Sicherheitsgurt-Moment“32 der europäischen Cybersecurity-Regulierung darstellen wird und zukünftig endlich echte Regulierung vor freiwilliger Zertifizierung Vorrang hat. Die breite Masse der Rückmeldungen zum Vorschlag der Kommission ist – auch und gerade von den Wirtschaftsverbänden – positiv.33 Nichtsdestoweniger gibt es berechtigte Kritik am Vorschlag:34
Der Umsetzungszeitraum von 24 Monaten nach Art. 57 CRA könnte angesichts der nötigen umfassenden Anpassungen des Produktionsentwicklungsprozesses zu knapp sein, kritisiert die Wirtschaft. Mit Sicherheit zu kurz ist der Fünf-Jahres-Zeitraum der Updatepflicht. Angebracht wären die fünf Jahre eher als Mindestzeitraum.35
Trotz des grundsätzlich positiven Echos: Hinsichtlich eines effektiven Schwachstellenmanagements kann man dem CRA ein gröberes Versäumnis vorwerfen. Sofern der CRA in Nr. 1 Abs. 2 Annex I vorsieht, dass Produkte keine „bekannte ausnutzbare Schwachstelle“ haben dürfen, verlangt er in strenger wortlautgetreuer Auslegung Unmögliches vom Hersteller. Denn die für staatliches Hacking ausgenutzten Zero-Day-Exploits sind zumindest den zuständigen Stellen bekannt. Hersteller können aber nur auf Schwachstellen reagieren, von denen sie Kenntnis haben. Anstatt der vom BDI vorgeschlagenen Umformulierung in „Schwachstelle, die dem Hersteller bekannt ist“, sollte über eine Pflicht der EU-Mitgliedstaaten nachgedacht werden, den jeweiligen Herstellern Schwachstellen ihrer Produkte zu melden. Anderenfalls verweigert sich der Staat des ihm möglichen Beitrags zum effektiven Schwachstellenmanagement bei Produkten mit digitalen Elementen. Letztendlich ist der CRA in seiner derzeitigen Vorschlagsfassung aber ein starker Beitrag zu mehr Cybersicherheit für Verbraucher und Unternehmen.
