Der Cyber Resilience Act aus juristischer Sicht

Am 10.12.2024 ist die Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyber Resilience Act, im Folgenden „CRA“) in Kraft getreten. Als erster europäischer Rechtsakt dieser Art führt er verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen während ihres gesamten Lebenszyklus sowie entsprechende Pflichten der Wirtschaftsakteure ein.

I. Sachlicher Anwendungsbereich

Die Verordnung gilt für alle Produkte, die entweder direkt oder indirekt mit einem anderen Gerät oder Netz verbunden sind; sie erfasst nach Art. 3 Abs. 1 CRA Hard- und Software gleichermaßen. Beispielsweise unterliegen dem CRA Netzwerksockets, Pipes, Dateien, Anwendungsprogrammierschnittstellen, Apps, intelligente Maschinen (IIoT), Computer, Laptops, Smartphones, intelligente Haushaltsgeräte mit Sicherheitsfunktionen, einschließlich intelligenter Türschlösser, Babyphone-Systemen und Alarmanlagen, vernetztes Spielzeug und am Körper tragbare medizinische Geräte (Wearables). Vom Anwendungsbereich ausgenommen sind allerdings Produkte, für die Anforderungen an die Cybersicherheit bereits in bestehenden EU-Rechtsakten festgelegt sind, z.B. für Medizinprodukte, die Luftfahrt oder Fahrzeuge.
 

II. Produktanforderungen
 

1. Formelle Anforderungen

Da der CRA auf dem New Legislativ Framework (NLF) der EU basiert, folgt er dessen grundlegender Regelungsstruktur. Zu den formellen Anforderungen gehören etwa die Ausstellung einer EU-Konformitätserklärung nach Art. 28 CRA und die Anbringung der CE-Kennzeichnung im Sinne des Art. 30 CRA. Wie üblich, hat Letztere vorrangig auf dem Produkt selbst oder nachrangig auf der Verpackung zu erfolgen. Bei Stand-alone-Software kann die CE-Kennzeichnung auch auf der EU-Konformitätserklärung oder einer produktbegleitenden Website angebracht werden. Darüber hinaus gilt es, die Hersteller- und Einführerkennzeichnung anzugeben.
 

2. Materielle Anforderungen

Des Weiteren muss das Produkt die grundlegenden Cybersicherheitsanforderungen nach Art. 6 CRA i.V.m. Anhang I des CRA erfüllen. Dabei wird gemäß Art. 27 CRA vermutet, dass das Produkt die Anforderungen erfüllt, wenn es harmonisierten Normen entspricht (sog. Konformitätsvermutung).

Das für die Einhaltung der materiellen Anforderungen maßgebliche Konformitätsbewertungsverfahren führt der Hersteller nach Art. 32 CRA in der Regel selbst durch. Anders ist dies bei den sog. wichtigen bzw. kritischen Produkten mit digitalen Elementen im Sinne der Artt. 7, 8 CRA. Ein Produkt unterfällt dieser Kategorie, wenn seine Kernfunktion einer der in Anhang III, IV des CRA abschließend aufgeführten Anwendungen entspricht. Bei den wichtigen Produkten mit digitalen Elementen wird ferner zwischen Produkten der Klasse I und solchen der Klasse II unterschieden. Bei Klasse I-Produkten kann der Hersteller die Konformität durch die vollständige Anwendung harmonisierter Normen im Sinne des Art. 27 CRA nachweisen, andernfalls hat er eins der in Art. 32 Abs. 2, 3 CRA aufgeführten Verfahren unter Einbindung einer notifizierten Stelle durchzuführen. Bei Produkten der Klasse II ist hingegen zwingend ein Konformitätsbewertungsverfahren unter Einbindung einer notifizierten Stelle zu durchlaufen.
 

III. Pflichten der Wirtschaftsakteure

1. Hersteller

Der Herstellerbegriff des Art. 3 Nr. 13 CRA entspricht dem üblichen Verständnis und erfasst auch sogenannte Quasi-Hersteller. Nach Art. 22 CRA wiederum reicht auch die Vornahme einer wesentlichen Veränderung an einem Produkt mit digitalem Element aus, um als Hersteller angesehen zu werden.

Der Hersteller trägt die primäre Verantwortung für die Produktkonformität. Ausdruck der Produktverantwortung sind die klassischen Vormarkt- und Nachmarktpflichten, die sich jedoch teilweise von den bestehenden Harmonisierungsrechtsvorschriften der Union unterscheiden:

• Gewährleistung der grundlegenden Anforderungen im Sinne des Anhangs I und Durchführung eines Konformitätsbewertungsverfahrens (Art. 13 Abs. 1, 12 CRA)
• Informations- und Instruktionspflichten mit dem Mindestinhalt des Anhangs II des CRA (Art. 13 Abs. 15, 16, 18, 19, 20 CRA)
• Produktbeobachtungspflichten, insbesondere hinsichtlich der Anfälligkeit für Sicherheitslücken und der davon ausgehenden Risiken (Art. 13 Abs. 3, 7 CRA)
• Prüfpflichten in Bezug auf zugekaufte Komponenten (Art. 13 Abs. 5 CRA)
• proaktive Nachmarktpflichten über die ganze Lebensdauer des Produkts, höchstens aber für 5 Jahre nach der Markteinführung, wie etwa Software-Updates bei Sicherheitslücken oder Korrekturmaßnahmen bei fehlender Konformität (Art. 13 Abs. 6, 8, 21 CRA)
• Mitwirkungs- und Meldepflichten gegenüber den Marktüberwachungsbehörden; speziell eine sehr kurz bemessene Meldefrist von höchstens 24 Stunden gegenüber der Agentur der Europäischen Union für Cybersicherheit (ENISA) bei Entdeckung aktiv ausgenutzter Sicherheitslücken (Artt. 13 Abs. 22 f., 14 CRA)

2. Einführer und Händler

Sowohl Einführer als auch Händler dürfen ein Produkt erst dann in den Verkehr bringen bzw. auf dem Markt bereitstellen, wenn es den Anforderungen des CRA entspricht. Einführer und Händler treffen die nach dem NLF üblichen formellen Prüf- und Sicherstellungpflichten. Diese umfassen z.B. die Verpflichtung, die ordnungsgemäße CE-Kennzeichnung zu überprüfen (vgl. Art. 19 Abs. 2 lit. c) CRA für den Einführer bzw. Art. 20 Abs. 2 lit. a) CRA für den Händler). Darüber hinaus obliegt es ihnen, bei fehlender Konformität für das Ergreifen geeigneter Maßnahmen zu sorgen (vgl. Art. 19 Abs. 5 Uabs. 2 CRA bzw. Art. 20 Abs. 4 Uabs. 2 CRA).
 

IV. Verhältnis zu anderen EU-Produktrechtsvorschriften

Als horizontaler Rechtsakt sieht der CRA vor, dass dieser parallel zu anderen Harmonisierungsrechtsvorschriften anzuwenden ist. Zu drei EU-Produktrechtsvorschriften wird das Verhältnis freilich ausdrücklich geregelt:

• Nach Art. 11 CRA haben Harmonisierungsrechtsvorschriften der Union und die Verordnung (EU) 2023/988 (sog. EU-Produktsicherheitsverordnung) hinsichtlich der Anforderungen an die Produktsicherheit Vorrang vor dem CRA.
• Nach Art. 12 CRA gelten die Anforderungen an die Cybersicherheit nach Art. 15 VO (EU) 2024/1689 (sog. KI-Verordnung) als erfüllt, wenn das Produkt bereits nach dem CRA konform ist.

Produkte, die sowohl in den Anwendungsbereich des CRA als auch in den Anwendungsbereich der Verordnung (EU) 2023/1230 (sog. EU-Maschinenverordnung) fallen, müssen den Anforderungen beider Rechtsakte entsprechen. Sofern sich bestimmte grundlegende Anforderungen überschneiden, können mit der Einhaltung der Anforderungen des CRA auch die Anforderungen der Nrn. 1.1.9 und 1.2.1 des Anhangs III der Verordnung (EU) 2023/1230 erfüllt werden. Dies muss der Hersteller allerdings nachweisen, z.B. durch die Anwendung harmonisierter technischer Normen (vgl. Erwägungsgrund 53 zum CRA).
 

V. Marktüberwachung und Sanktionen

Art. 52 Nr. 1 CRA ordnet hinsichtlich der Marktüberwachung die Anwendung der Verordnung (EU) 2019/1020 (sog. EU-Marktüberwachungsverordnung) an. Auf dieser Grundlage können die Marktüberwachungsbehörden bei nicht-konformen Produkten, die Wirtschaftsakteure auffordern, Maßnahmen zur Beendigung der Nichtkonformität und zur Beseitigung von Risiken zu ergreifen, die Bereitstellung eines Produkts auf dem Markt zu verbieten oder einzuschränken, sowie Rückrufe durchzuführen.

Zur Durchsetzung dieser Maßnahmen sollen die nationalen Umsetzungsrechtakte gemäß Art. 64 Abs. 1 CRA korrespondierende Sanktionsvorschriften enthalten. Bei Verstößen gegen die wesentlichen Pflichten des CRA sollen Geldbußen von bis zu EUR 10 Millionen oder von bis zu 2 % des Umsatzes in Betracht – je nachdem, welcher Betrag höher ist – festgelegt werden.