Die Europäische Union hat mit dem Cyber Resilience Act (CRA) ein neues Regelwerk geschaffen, das Hersteller und Anbieter digitaler Produkte und Dienste in die Pflicht nimmt. Ziel ist es, die Cybersicherheit innerhalb der EU zu stärken und gleichzeitig Verbraucher sowie Unternehmen besser vor digitalen Bedrohungen zu schützen. Der Cyber Resilience Act stellt ein Schlüsselelement der europäischen Digitalstrategie dar und wird weitreichende Folgen für den gesamten IT-Sektor haben. Was bedeutet das für Unternehmen und Hersteller? Hier ein Überblick über die wichtigsten Regelungen und die praktischen Auswirkungen.
1. Was ist der Cyber Resilience Act?
Der Cyber Resilience Act ist ein europäischer Gesetzesvorschlag, der Anforderungen an die Cybersicherheit von Hard- und Softwareprodukten festlegt. Damit will die EU sicherstellen, dass digitale Produkte sicherer werden und Hersteller von Anfang an Sicherheitsmaßnahmen in ihre Produkte integrieren. Von Alltagsgeräten wie Smart-Home-Produkten bis hin zu komplexer Unternehmenssoftware – alle digitalen Produkte und Dienste sollen besser gegen Cyberangriffe geschützt werden.
Der CRA reiht sich ein in die laufenden Bemühungen der EU, das digitale Vertrauen zu stärken. Mit Regelwerken wie der NIS-2-Richtlinie und dem Digital Services Act (DSA) hatte die EU bereits wichtige Schritte unternommen. Doch der Cyber Resilience Act geht einen Schritt weiter und setzt direkt bei der Produktsicherheit an.
2. Warum ist der Cyber Resilience Act notwendig?
In der zunehmend vernetzten Welt steigt die Zahl der Cyberangriffe rapide an. Schwachstellen in Software und Hardwareprodukten können schwerwiegende Konsequenzen haben, sowohl für Privatpersonen als auch für Unternehmen:
- Verlust von sensiblen Daten: Schwachstellen ermöglichen Hackern Zugriff auf personenbezogene oder unternehmenskritische Informationen.
- Wirtschaftliche Schäden: Unternehmen erleiden hohe Kosten durch Datenlecks, Betriebsunterbrechungen oder Lösegeldforderungen.
- Rechtliche Folgen: Verstöße gegen Datenschutz- und Sicherheitsanforderungen führen zu Bußgeldern und Reputationsverlust.
Der CRA stellt sicher, dass Sicherheitslücken minimiert werden, indem Hersteller verpflichtet werden, Sicherheitsmaßnahmen während des gesamten Lebenszyklus eines Produkts zu gewährleisten.
3. Wer ist betroffen?
Der Cyber Resilience Act betrifft alle Hersteller, Importeure und Vertreiber von digitalen Produkten, die innerhalb der Europäischen Union auf den Markt gebracht werden. Dies betrifft insbesondere:
- Softwareanbieter: Anbieter von Betriebssystemen, Anwendungen und Cloud-Diensten.
- Hardwarehersteller: Anbieter von IoT-Geräten, Smart-Home-Lösungen oder anderen vernetzten Produkten.
- Distributoren und Importeure: Unternehmen, die digitale Produkte aus Drittstaaten in die EU einführen.
Auch für kleine und mittelständische Unternehmen (KMU) ergeben sich Pflichten, wenn sie digitale Produkte vertreiben.
4. Die wichtigsten Anforderungen des Cyber Resilience Acts
Der CRA führt verbindliche Sicherheitsanforderungen ein, die Hersteller von Anfang an berücksichtigen müssen:
- Sicherheitsmaßnahmen im gesamten Lebenszyklus:
Hersteller müssen bereits in der Entwicklungsphase (Security-by-Design) Maßnahmen zur Cybersicherheit implementieren und Sicherheitsupdates bereitstellen. - Pflicht zur Behebung von Schwachstellen:
Sicherheitslücken müssen kontinuierlich erkannt und behoben werden. Hersteller müssen außerdem Sicherheitsupdates in angemessener Zeit liefern und die Kunden darüber informieren. - Risikobewertung:
Unternehmen müssen vor der Markteinführung eine Risikoanalyse durchführen, um potenzielle Schwachstellen zu identifizieren. - Meldepflicht für Sicherheitslücken:
Wenn Hersteller eine kritische Schwachstelle entdecken, sind sie verpflichtet, diese der Europäischen Agentur für Cybersicherheit (ENISA) zu melden. - Konformitätsbewertung:
Für bestimmte Hochrisikoprodukte ist eine Konformitätsprüfung erforderlich, bevor diese auf den Markt gebracht werden dürfen. Dies betrifft vor allem Produkte, die in kritischen Infrastrukturen eingesetzt werden.
5. Konsequenzen bei Nichteinhaltung des CRA
Der Cyber Resilience Act sieht strenge Strafen bei Verstößen vor. Unternehmen, die die Sicherheitsanforderungen nicht erfüllen oder Meldepflichten verletzen, drohen hohe Bußgelder. Diese sind an die Mechanismen der DSGVO angelehnt:
- Bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Diese hohen Strafen sollen sicherstellen, dass Hersteller ihre Verantwortung ernst nehmen und proaktiv in Cybersicherheit investieren.
6. Welche praktischen Auswirkungen hat der CRA für Unternehmen?
Unternehmen müssen sich auf umfangreiche Änderungen einstellen. Dazu gehören:
- Anpassung der Entwicklungsprozesse: Software und Hardware müssen nach den Prinzipien von „Security-by-Design“ entwickelt werden.
- Implementierung eines Schwachstellenmanagements: Unternehmen müssen Systeme etablieren, um Sicherheitslücken frühzeitig zu erkennen und zu beheben.
- Verpflichtung zur Dokumentation und Nachweisführung: Hersteller müssen die Einhaltung der Anforderungen umfassend dokumentieren und auf Anfrage nachweisen.
- Erweiterung der Meldeprozesse: Unternehmen benötigen klare Abläufe zur Meldung kritischer Sicherheitslücken an die ENISA.
7. Herausforderungen für Unternehmen
Die Umsetzung des Cyber Resilience Acts birgt insbesondere für KMUs Herausforderungen:
- Kosten und Ressourcen: Die Implementierung von Sicherheitsmaßnahmen und Meldeprozessen erfordert finanzielle und personelle Ressourcen.
- Komplexität der Anforderungen: Die Konformitätsbewertung kann für kleinere Unternehmen schwierig sein.
- Wettbewerbsdruck: Unternehmen müssen in Sicherheitsmaßnahmen investieren, um wettbewerbsfähig zu bleiben.
Dennoch bietet der CRA auch Chancen: Unternehmen, die sichere Produkte anbieten, können sich positiv von der Konkurrenz abheben und das Vertrauen der Kunden stärken.
8. Fazit: Vorbereitung ist der Schlüssel
Der Cyber Resilience Act markiert einen Wendepunkt für die Cybersicherheit in Europa. Für Unternehmen bedeutet er, dass sie ihre Entwicklungsprozesse und Sicherheitsstrategien umfassend überarbeiten müssen. Frühzeitige Vorbereitung und der Aufbau interner Sicherheitsstrukturen sind entscheidend, um den neuen Anforderungen gerecht zu werden und Bußgelder zu vermeiden.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530