Der Cyber Resilience Act: Ein Gesetz „mit digitalen Elementen“ (Heckmann/Ziegler, ITRB 2024, 159)

Der Cyber Resilience Act der Europäischen Union steht kurz vor dem Inkrafttreten. Für vernetzte Produkte wird die Verordnung ein kaum zu überschätzendes Regelwerk zur Cybersicherheit. Dieser Beitrag führt in die wesentlichen Pflichten und einige ausgewählte Aspekte ein.

1. Ziele des CRA

2. Zentrale Inhalte

a) Anwendungsbereich

b) Herstellerpflichten

3. CRA und Open Source Software (OSS)

4. CRA und KI-VO

5. CRA und digitales Schuldrecht


1. Ziele des CRA

Am 15.9.2022 veröffentlichte die EU-Kommission ihren Vorschlag des Cyber Resilience Acts (CRA). Nach einer Trilogeinigung im Dezember 2023 und dem Parlamentsbeschluss am 12.3.2024 steht die Veröffentlichung im Amtsblatt der EU unmittelbar bevor. Ziel der neuen Verordnung ist es, Hardware und Software, die immer mehr Cyberangriffen ausgesetzt ist und oft nur ein niedriges Cybersicherheitsniveau ab Werk aufweist, widerstandsfähiger zu machen und so zu einem sichereren Binnenmarkt beizutragen.

2. Zentrale Inhalte

a) Anwendungsbereich

Bisher gibt es nur sektorale Cybersicherheitsanforderungen an Produkte. Der CRA formuliert als horizontaler Rechtsakt nun Anforderungen für sämtliche Produkte mit digitalen Elementen (Art. 3 Nr. 1 CRA). Hierunter versteht die Verordnung nicht nur Hardware, sondern auch reine Software.

Persönlich anwendbar ist der CRA v.a. auf die Hersteller von Produkten mit digitalen Elementen (Art. 3 Nr. 13 CRA). In abnehmender Intensität der Verpflichtungen adressiert der CRA jedoch mit Bevollmächtigten, Importeuren und Händlern die gesamte Lieferkette.

b) Herstellerpflichten

Nach Art. 6 Nr. 1 CRA dürften Produkte mit digitalen Elementen nur auf dem Markt bereitgestellt werden, wenn sie die grundlegenden Cybersicherheitsanforderungen aus Anh. I, Teil I des CRA erfüllen. Nach Art. 13 Abs. 1 CRA ist es zentrale Pflicht der Hersteller, ihre Produkte nach ebendiesen Anforderungen zu konzipieren, zu entwickeln und herzustellen. Diese technisch ins Detail gehenden Anforderungen lassen sich treffend mit dem neuen Grundsatz „Security by Design“ zusammenfassen. Die Hersteller haben ein den Risiken angemessenes Cybersicherheitsniveau sicherzustellen.

Auch nach dem Markteintritt haben die Hersteller nach Art. 13 Abs. 8 CRA die Produkte fortlaufend zu überwachen und bei ausnutzbaren Schwachstellen mit Updates zu schließen.

Daneben werden die Hersteller Melde-, Dokumentations- und Informationspflichten zu beachten haben. Insb. die Meldepflicht bei (...)