Der weitgehend finalisierte Entwurf des Cyber Resiliance Act (CRAE) gehört zu den Initiativen der Europäischen Union zum Schutz der Cybersicherheit. Die Ziele, Herausforderungen und mögliche Auswirkungen für Unternehmen werden nachstehend beleuchtet.
Der Entwurf des Cyber Resiliance Act soll in den nächsten Monaten formal in Kraft gesetzt werden. Nach veröffentlichten Hinweisen sind die Trilogverhandlungen am 20.12.2023 abgeschlossen worden. Angesichts der zunehmenden Bedrohung durch Cyberangriffe soll die Widerstandsfähigkeit digitaler Produkte und Dienstleistungen in der EU gestärkt werden. Der CRAE soll die an der Vermarktung von „Produkten mit digitalen Elementen“ (im weiten Sinne alle vernetzten Produkte) beteiligten Unternehmen dazu verpflichten, die Sicherheit solcher Produkte zu gewährleisten. Das richtet sich an Hersteller ebenso wie Bevollmächtigte, Einführer, Händler und sonstige natürliche oder juristische Personen. Die Pflichten erstrecken sich jeweils auf den zu erwartenden Lebenszyklus der digitalen Produkte. Die Regeln orientieren sich an denen der DSGVO (z.B. mit Bußgeldern von bis zu 2,5% des weltweiten Jahresumsatzes).
Wesentliche Regelungen des Cyber Resiliance Act
- wesentliche Herstellerpflichten (nach Art. 11 CRAE) gelten 24 Monate ab Inkrafttreten der Verordnung, Art. 55 CRAE. Sonstige Pflichten gelten nur für später auf den Markt gebrachte bzw. substantiell geänderte Produkte, Art. 55 Abs. 2 CRAE.
- Hersteller haben abzusichern, dass Produkte den Anforderungen der Verordnung genügen, z.B. mit Blick auf Gestaltung, Entwicklung und Produktion nach den in Anlage I getroffenen Bestimmungen, Art. 10 Abs. 1 CRAE. Hersteller sind Personen, die ein Produkt unter ihrer Marke auf den Markt bringen, Art. 3 Abs. 18 CRAE.
- Hersteller haben zudem Informations- und Prüfungspflichten bezogen auf verbaute Teile von Zulieferern und im Zusammenhang erkennbare Risiken zu erfüllen (z.B. Aufstellung der Bestandteile in einem „software bill of materials“, Anlage I), Art. 10 Abs. 4 und 5 CRAE.
- Der Hersteller hat eine Risikoeinschätzung mit bestimmten Mindestinhalten durchzuführen und zu dokumentieren; die Dokumentation muss über den Lebenszyklus des Produkts aktualisiert werden (z.B. nach erkennbaren Sicherheitsvorfällen), Art. 10 Abs. 2 CRAE.
- Der Hersteller hat „unverzüglich“, jedenfalls der innerhalb von 24 Stunden,“ nach Kenntnis von einer aktiv genutzten Schwachstelle eine Meldung mit bestimmten Mindestinhalten an die dafür eingerichtete Behörde zu machen, Art. 11 Abs. 1 CRAE.
- Am Produkt ist eine EU-Konformitätserklärung mit bestimmten Mindestinhalten anzubringen, Art. 22 Abs. 1 CRAE.
- Weitergehende Anforderungen an die für einen sicheren Betrieb erforderlichen Anleitungen sind vorgeschrieben, Art. 10 Abs. 10 CRAE.
- Mindestens die übliche Nutzungsdauer für Produkte ist abzusichern, Art. 10 Abs. 6 und 12 CRAE. Insoweit gelten Update- und Dokumentationspflichten, Art. 23 Abs. 2 CRAE.
Der Entwurf des Cyber Resiliance Act und der Data Act verpflichtet im Geschäftsverkehr mit digitalen Produkten zu umfangreichen Sicherheitsvorkehrungen und deren Dokumentation über den Lebenszyklus der jeweiligen Produkte hinweg. Die Einhaltung dieser Pflichten wird zumindest durch die objektiven Mindestanforderungen des Gewährleistungsrechts (z.B. der Mindestanforderungen an verkaufte Waren nach § 434 Abs. 3 BGB) und die auch im unternehmerischen Verkehr geltende angeschlossene Regressvorschriften gravierende Auswirkungen haben:
Es ist damit zu rechnen, dass in der Vertragsgestaltung Nachteile möglichst auf den Vertragspartner abgewälzt werden. Sollte es zu Sicherheitsvorfällen oder Streitigkeiten – auch aus völlig anderen Gründen - kommen, bieten die Regeln vielfältige Ansatzpunkte, um Pflichtenverletzungen und damit Mängelrechte und Schadensersatzansprüche geltend zu machen. Auch unabhängig von konkreten Sicherheitsvorfällen sind die Regeln vertraglich zu berücksichtigen, um erhebliche wirtschaftliche Belastungen zu vermeiden (z.B. Bußgelder oder Rückabwicklung der Vereinbarungen).