EU-weite Maßnahmen zur Stärkung der Cybersicherheit

06.03.2024

Professor Klaus Gennen, Professor für Wirtschaftsrecht, insbesondere Informationstechnologierecht mit IT-Vertragsrecht und Recht des elektronischen Geschäftsverkehrs, TH Köln

Der Cyber Resilience Act (CRA) – Zielsetzung und Maßnahmen (Teil 1)

Seit Jahren ist zu beobachten, dass neben staatlichen Institutionen auch immer mehr wirtschaftliche Akteure zum Ziel von Cyberangriffen werden. In Deutschland wurden im Jahr 2022 neun von zehn Unternehmen Opfer von Datendiebstahl, -spionage oder -sabotage.[1] Auch wenn den Unternehmen bewusst ist, welche wirtschaftlichen Verluste mit einem erfolgreichen Cyberangriff einhergehen können, bleiben die Investitionen in geeignete, cybersichere Infrastruktur noch deutlich hinter dem erforderlichen Niveau zurück, insbesondere im Mittelstand. Diese Problematik ist dabei nicht nur in Deutschland bekannt, sondern reicht über die nationalen Grenzen hinaus, weshalb sich die EU schon vor geraumer Zeit der Herausforderung angenommen und es sich zur Aufgabe gemacht hat, das Cybersicherheitsniveau in allen Mitgliedsstaaten anzuheben.

Als Teil eines größeren Maßnahmenpakets ergänzen sich dabei unter anderem der Cyber Resilience Act[2] (CRA), die NIS2-Richtlinie[3] und die DORA-Verordnung[4], die sich in unterschiedlichen Ausprägungen der Cybersicherheit und der Stärkung kritischer Infrastrukturen angenommen haben.

Der CRA ist dabei von den genannten Maßnahmen der erste horizontale, sektorübergreifende Vorschlag im Bereich der Cybersicherheit. Vor den Regelungen für spezifischer Sektoren, die in nachfolgenden Beträgen adressiert werden, wird der Blick zunächst auf den CRA und dessen weiten Anwendungsbereich gerichtet. Der Entwurf für diese Regulierung wurde im September 2022 von der Europäischen Kommission auf den Weg gebracht und befindet sich derzeit noch im europäischen Gesetzgebungsprozess. Sollte der CRA in seiner derzeitigen Gestalt vom Europäischen Parlament angenommen und verabschiedet werden, entfaltet er als Verordnung unmittelbare Wirkung in den Mitgliedsstaaten. Damit bedarf es keines weiteren Umsetzungsaktes auf nationaler Ebene.

Mit dem aktuellen Entwurf (Dezember 2023) soll ein Rechtsrahmen für alle Produkte mit digitalen Elementen gefunden werden, um deren Cybersicherheitsanforderungen zu vereinheitlichen. Neben dem weit gefassten Anwendungsbereich sieht der Entwurf auch weitreichende Pflichten für Unternehmen vor, wie hohe Anforderungen an die Cybersicherheit und die Etablierung verschiedener Managementsysteme. Verstärkt durch die eher kurzen Umsetzungsfristen von 24 bzw. 12 Monaten ab Inkrafttreten der Verordnung, werden damit auf die betroffenen Unternehmen schnell hohe Handlungsanforderungen zukommen.

Doppelte Zielsetzung des CRA

Der bereits erwähnte Anwendungsbereich des Entwurfs umfasst alle „Produkte mit digitalen Elementen“. Hierunter versteht der CRA Software, Hardware, über die ein Zugriff auf ein Produkt oder ein Netzwerk möglich ist und dazugehörige Datenfernverarbeitungslösungen. Hierunter können beispielsweise Bild- und Textbearbeitungsprogramme, intelligente Lautsprecher oder Festplatten fallen.[5] Da diese Produkte (bei Vernetzung) oftmals eine zu niedrige Cybersicherheit aufweisen und während ihrer Lebensdauer auch kaum durch die Bereitstellung entsprechender Softwareupdates auf einem cybersicheren Stand gehalten werden, soll das Cybersicherheitsniveau angehoben werden. Hinzu kommt, dass die Nutzer dieser Produkte häufig ein unzureichendes Verständnis von oder Zugang zu Informationen über die Cybersicherheit der Produkte haben. Eine ausreichend informierte Auswahl der entsprechenden Produkte oder eine adäquate Nutzung derselben findet daher kaum statt.[6] Auch dieser Problematik widmet sich der Entwurf.

Er sieht vor, dass die Hersteller digitaler Produkte sowohl in der Design-, Entwicklungs- und Produktionsphase, als auch beim späteren Inverkehrbringen der Produkte bestimmte Cybersicherheits- und Dokumentationsmaßnahmen beachten müssen. Zudem sollen die Sicherheitseigenschaften von digitalen Produkten transparenter gemacht werden, damit die Nutzer informierte Entscheidungen treffen und das Produkt sicher nutzen können. Hierzu gehört auch, dass die Hersteller auftauchende Sicherheitslücken während des gesamten Lebenszyklus des Produktes – maximal jedoch fünf Jahre – durch entsprechende Updates schließen und Cybersicherheitsvorfälle melden müssen.

Ernstzunehmende Verpflichtungen für alle Beteiligten entlang der Lieferkette

Neben den genannten Maßnahmen sieht der CRA noch weitere umfassende Pflichten vor, wie die ständige Bewertung von Cybersicherheitsrisiken, Konformitätsbewertungen, Dokumentationen und Risikominimierungen. Die Umsetzung soll von nationalen Behörden überwacht werden, welche die Beseitigung von Risiken anordnen, Produkte einschränken, untersagen oder sogar Rückrufe anordnen können. Halten sich die Verantwortlichen nicht an die Pflichten aus dem CRA, können Bußgelder von bis zu 15 Mio. Euro bzw. 2,5% des weltweiten Jahresumsatzes verhängt werden. Diese Regelungen betreffen dabei nicht nur die Hersteller digitaler Produkte, sondern auch Händler und Importeure. Angesichts dieser ernstzunehmenden und weitreichenden Verpflichtungen und Konsequenzen wird sich in Teil 2 dieser Blogreihe der Frage gewidmet, wer genau von den Pflichten betroffen ist und welche Neuerungen von den Betroffenen bereits jetzt schon beachtet bzw. umgesetzt werden sollten.

[1] Umfrage von Bitkom Research:

[2] Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU) 2019/1020, COM (2022) 454 final.

[3] Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), ABl. L 333, 27.12.2022, S. 80–152.

[4] Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011, ABl. L 333, 27.12.2022, S. 1–79.

[5] Europäische Kommission, Cyber Resilience Act – Factsheet.

[6] Erwägungsgrund 1 des CRA, COM (2022) 454 final.