Resilienz für alle(s)?!
Der Entwurf des neuen Cyber-Resilience-Act (CRA) der EU-Kommission liefert einen Rundumschlag in Sachen „Cybersecurity by Design“.
Am 15. September 2022 hat die Europäische Kommission ihren Entwurf für den bereits seit geraumer Zeit erwarteten Cyber-Resilience-Act (CRA) vorgestellt – mit vollem Namen: Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 [1]. Wie die Bezeichnung bereits vermuten lässt, steht die Stärkung der „horizontalen“ Cybersicherheit für dieses europäische Gesetz im Mittelpunkt – ein Thema, das von Branchenverbänden schon lange als unzureichend kritisiert wurde (vgl. [2]).
Besorgnis besteht vor allem dahingehend, dass die intensive Cybersecurity-Gesetzgebung der EU in den letzten Jahren – gerade seit der ersten Netz- und Informationssicherheitsrichtlinie (NIS, 2016) – dazu führen könnte, dass die Anschlussfähigkeit an die zahlreichen branchenrelevanten Gesetze aus dem New Legislative Framework (NLF) verpasst wird. Horizontale Regelungen sollen mithin produktgruppenspezifischen und damit vertikalen Rechtsakten vorgezogen werden, um eine Fragmentierung der Regulatorik zu vermeiden und für mehr Kohärenz in den Anforderungen zu sorgen. Das Impact-Assessment, das dem nun veröffentlichten Gesetzentwurf voranging, fand im Rahmen einer öffentlichen Konsultation der EU-Kommission vom 16. März bis zum 25. Mai 2022 statt.
Fokus und Ziele
Der Entwurf des CRA steckt ausweislich seiner Begründung klare Ziele: Einerseits ist die Europäische Union mit einer großen Zahl mannigfaltiger digitaler Produkte im Alltag umfassend vernetzt, andererseits nehmen Cyberangriffe und Cybercrime immer weiter zu. Hierfür werden zwei Faktoren verantwortlich gemacht: ein niedriges Cybersecurity-Niveau, das sich in weitverbreiteten Schwachstellen und der unzureichenden Bereitstellung entsprechender Sicherheitsupdates widerspiegelt, sowie ein unzureichendes Verständnis und ein unzureichender Zugang zu Informationen seitens der Nutzer, wodurch sie daran gehindert werden, Produkte mit angemessener Cybersicherheit auszuwählen beziehungsweise Produkte auf sichere Weise zu nutzen.
Die EU leitet aus diesen Risiken einen Regulierungsauftrag ab, weil sich selbst ein einzelner, eigentlich produktbezogener Cybersicherheitsvorfall zu einer grenzüberschreitenden Gefahr für die IT-Sicherheit entwickeln kann, der schwerwiegende Folgen für den gesamten digitalen europäischen Binnenmarkt zur Folge hat. In der Begründung wird in diesem Zusammenhang explizit die suboptimale Produktsicherheit genannt.
Dementsprechend verfolgt der CRA vier spezifische regulatorische Ziele:
– die Gewährleistung, dass Hersteller die Sicherheit von Produkten mit digitalen Elementen von der Entwurfs- und Entwicklungsphase an und während des gesamten Lebenszyklus verbessern
– die Gewährleistung eines kohärenten Rahmens für die Cybersicherheit, der Herstellern von Hard- und Software die Einhaltung der Compliance-Vorgaben erleichtert
– die Verbesserung der Transparenz der Sicherheitseigenschaften von Produkten mit digitalen Elementen
– die Befähigung von Unternehmen und Verbrauchern, Produkte mit digitalen Elementen sicher zu nutzen
Im Fokus steht dabei generell der gesamte Produktlebenszyklus. Bei der Umsetzung der regulatorischen Maßnahmen gilt es jedoch, eine Balance zwischen Sicherheitsanforderungen und der Innovationsfähigkeit der Unternehmen zu finden. Der Entwurf des CRA enthält daher auch Mechanismen, die eine angemessene Umsetzung und Anpassung der Anforderungen ermöglichen sollen.
Anwendungsbereich
Im Einzelnen untergliedert sich der Entwurf des CRA in 57 Artikel. Das erste Kapitel definiert generelle Vorgaben, so zunächst den Gegenstand der Verordnung, die sich auf das Inverkehrbringen von „Produkten mit digitalen Elementen“ und deren Cybersicherheit bezieht. Außerdem werden eingangs grundlegende Anforderungen an den Entwurf, die Entwicklung und die Herstellung von Produkten mit digitalen Elementen bestimmt – und ebenfalls grundlegende Anforderungen an die Verfahren zum Umgang mit Sicherheitslücken während des gesamten Lebenszyklus sowie Vorschriften zur Marktüberwachung/Durchsetzung der Pflichten des CRA.
Der Anwendungsbereich ist weit gefasst: Grundsätzlich gilt der CRA für alle Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz umfasst. Spezielle Vorschriften des Unionsrechts, welche die Produktsicherheit betreffen, sind gegenüber dem allgemeinen CRA vorrangig. Ebenso findet das Gesetz keine Anwendung auf Produkte mit militärischem oder staatlich-sicherheitsspezifischem Hintergrund.
Auch anhand der nachfolgenden Definitionen wird der breit angelegte Anwendungsbereich des CRA deutlich: So sind unter Produkten mit digitalen Elementen jegliche Hard- oder Software-Produkte sowie damit verbundene Cloudlösungen zu verstehen. Ebenso bezieht sich der Anwendungsbereich des Gesetzes auf separat in Verkehr gebrachte Software- und Hardware-Komponenten. Weitere Definitionen und damit Unterscheidungen nach Cybersicherheitsrisiken betreffen kritische Produkte mit digitalen Bestandteilen sowie hochkritische Produkte mit digitalen Bestandteilen. Explizite Erwähnung finden außerdem Hochrisiko-KI-Systeme und Maschinenprodukte.
Vom Anfang bis zum Ende
Kapitel 2 des CRA enthält umfassende Anforderungen, wie sich bei digitalen Produkten Cybersicherheit „by Design“ herstellen lässt. Zunächst werden an dieser Stelle die Hersteller in die Verantwortung genommen: Diese müssen eine Bewertung der Cybersicherheits-Risiken vornehmen und diese in die Phasen der Planung, des Entwurfs, der Entwicklung, der Herstellung, Lieferung und Wartung ihrer Produkte einbeziehen.
Bei Komponenten von Drittherstellern sind besondere Sorgfaltspflichten zu beachten, um sicherzustellen, dass hierdurch die IT-Sicherheit des Endprodukts nicht kompromittiert wird. Damit referenziert die EU im Besonderen auf globale Lieferketten. Cybersicherheitsrisken sind vom Hersteller zu dokumentieren und gegebenenfalls zu aktualisieren.
Darüber hinaus bestimmt der CRA, dass Hersteller für den Zeitraum der voraussichtlichen Lebensdauer des Produkts oder während eines Zeitraums von fünf Jahren ab dem Inverkehrbringen – je nachdem, welcher Zeitraum kürzer ist – Sicherheitsupdates zur Verfügung stellen müssen.
Vor dem Inverkehrbringen von Produkten mit digitalen Elementen trifft die Hersteller die Pflicht, technische Unterlagen zu erstellen und Konformitätsbewertungsverfahren durchzuführen – diese Unterlagen sind entsprechend für Marktüberwachungsbehörden vorzuhalten. Ebenso trifft Hersteller die Verpflichtung, technische Verbraucherinformationen in elektronischer oder physischer Form beizufügen. Diese sollen eine sichere Installation, Bedienung und Verwendung der Produkte mit digitalen Elementen ermöglichen.
Soweit Hersteller innerhalb der vorgenannten Fristen feststellen, dass ihre Produkte den definierten Cybersicherheitsanforderungen nicht mehr entsprechen, müssen sie erforderliche Korrekturmaßnahmen ergreifen. Hierzu gehören final auch die Rücknahme beziehungsweise der Rückruf des Produkts.
Somit fordert die neue Richtlinie Cybersecurity und Risk-Assessment von Beginn an ein – sowie Sicherheitsupdates und die Verantwortlichkeit des Herstellers über die gesamte Lebenszeit bis ganz zum Ende hin.
Meldepflichten
Hersteller von Produkten mit digitalen Elementen unterliegen gemäß CRA-Entwurf umfassenden Meldepflichten. So sind sie verpflichtet, der europäischen Cybersicherheitsbehörde ENISA unverzüglich, in jedem Fall aber innerhalb von 24 Stunden, nachdem man Kenntnis erlangt hat, jede aktiv ausgenutzte Sicherheitslücke in einem Produkt zu melden. Ebenso unterliegen Vorfälle der Meldepflicht, die Auswirkungen auf die Produktsicherheit haben.
Solche Meldungen müssen Informationen über die Schwere und die Auswirkungen der Störung enthalten und gegebenenfalls angeben, ob der Hersteller vermutet, dass die Störung durch rechtswidrige oder böswillige Handlungen verursacht wurde – oder ob man der Ansicht ist, dass sie grenzüberschreitende Auswirkungen hat.
Ebenso sind die Nutzer der Produkte über Vorfälle und eventuell zu treffende Abwehrmaßnahmen in Kenntnis zu setzen. Und nicht zuletzt besteht diese Cybersecurity-Meldepflicht auch gegenüber den Verantwortlichen für Open-Source-Komponenten.
Import und Vertrieb
Auch Importeure werden im CRA-Entwurf legal-definiert und sind ebenfalls Adressaten der Regelungen. Ausgehend vom Gesetz ist ein Importeur jede in der Union ansässige natürliche oder juristische Person, die ein Produkt mit digitalen Elementen in Verkehr bringt, das den Namen oder die Marke einer außerhalb der Union ansässigen natürlichen oder juristischen Person trägt – auch hier ist der Anwendungsbereich des Gesetzes somit denkbar weit gefasst.
Für Importeure gilt, dass sie nur Produkte in Verkehr bringen dürfen, die den grundlegenden Sicherheitsanforderungen des CRA entsprechen – die Maßgaben sind an dieser Stelle durchaus mit denen der Hersteller vergleichbar. Zusätzlich gibt es Informationspflichten für Importeure: So müssen diese ihren Namen, ihren eingetragenen Handelsnamen oder ihre eingetragene Marke, ihre Postanschrift und ihre E-Mail-Adresse, unter der sie kontaktiert werden können, auf dem Produkt mit digitalen Elementen oder, falls dies nicht möglich ist, auf der Verpackung oder in den dem Produkt beigefügten Unterlagen angeben. Die Kontaktangaben müssen in einer Sprache abgefasst sein, die von den Benutzern und den Marktüberwachungsbehörden leicht zu verstehen ist. Eine Gebrauchsanleitung muss ebenfalls beigelegt sein.
Importeure, die wissen oder Grund zu der Annahme haben, dass ein von ihnen in Verkehr gebrachtes Produkt mit digitalen Elementen oder die von seinem Hersteller eingerichteten Verfahren nicht den wesentlichen Anforderungen des CRA entsprechen, müssen unverzüglich Maßnahmen ergreifen, um die Produktkonformität herzustellen – anderenfalls ist das Produkt zurückzunehmen oder zurückzurufen.
Sobald Importeure eine Schwachstelle im Produkt feststellen, müssen sie hierüber unverzüglich den Hersteller und im Zweifelsfall die zuständigen Marktüberwachungsbehörden der Mitgliedstaaten informieren, in denen das Produkt in Verkehr gebracht wurde. Auch von den Importeuren wird bei festgestellten Schwachstellen erwartet, dass sie alle Maßnahmen zur Beseitigung festgestellter Cybersicherheitsrisiken ergreifen und dabei mit den zuständigen Behörden kooperieren.
Ausdrücklich bestimmt der CRA-Entwurf, dass auch Händler von den gesetzlichen Regelungen erfasst sind, soweit sie ein Produkt mit digitalen Elementen auf dem europäischen Markt bereitstellen: Für sie gelten ebenso Prüfpflichten und der Maßstab der gebotenen Sorgfalt. Sollte ein Händler dabei zu dem Ergebnis gelangen, dass das Produkt nicht mit den Anforderungen des CRA übereinstimmt, darf er es erst dann bereitstellen, wenn die Konformität hergestellt wurde. Bei erheblichen Cybersicherheitsrisiken sind Hersteller und zuständige Marktüberwachungsbehörden zu unterrichten.
Die Herstellerverantwortung reicht gemessen an den strengen Maßstäben des CRA jedoch noch weiter: Händler, die wissen oder Grund zu der Annahme haben, dass ein von ihnen auf dem Markt bereitgestelltes Produkt mit digitalen Elementen oder die vom Hersteller eingerichteten Verfahren nicht den wesentlichen Anforderungen des CRA entsprechen, müssen sicherstellen, dass die erforderlichen Maßnahmen ergriffen werden, um die Produktkonformität zu gewährleisten oder um das Produkt gegebenenfalls zurückzunehmen oder zurückzurufen.
Auch Händler müssen den Hersteller über festgestellte Schwachstellen unverzüglich unterrichten – bei erheblichen Cybersicherheitsrisiken sind sogar die Behörden durch den Händler in Kenntnis zu setzen. Überdies gelten dieselben Pflichten wie für Importeure bei der Zurverfügungstellung produktbezogener Unterlagen an die Behörden.
Parallelen zur Produkthaftung
An verschiedenen Stellen des CRA sind inhaltliche Parallelen zum allgemeinen europäischen Produkthaftungsrecht auffällig: So wird bestimmt, dass auch Importeure und Händler als Hersteller mit den entsprechenden Pflichten gelten, wenn der Importeur oder Händler ein Produkt mit digitalen Elementen unter seinem Namen oder seiner Marke in Verkehr bringt oder eine wesentliche Änderung an dem bereits in Verkehr gebrachten Produkt mit digitalen Elementen vornimmt – dies gilt auch für teilweise Produktänderungen, die jedoch Auswirkungen auf die gesamte Cybersicherheit haben.
Damit wird nicht nur der häufig problematischen Lieferkette digitaler Produkte Rechnung getragen, sondern es werden auch Fälle berücksichtigt, in denen elektrotechnische Komponenten neu mit IT gekoppelt werden, wie es oft im „Internet der Dinge“ (IoT) der Fall ist. Dem tragen gleichermaßen die umfassenden Transparenzpflichten Rechnung, die in dem Rechtsakt festgeschrieben werden – so zum Beispiel im Hinblick auf die Identifizierung von Wirtschaftsbeteiligten in der Lieferkette von Produkten mit digitalen Elementen.
Konformitätsbewertung und Notifizierung
Kapitel 3 und 4 des CRA setzen sich intensiv mit der Konformitätsbewertung von Produkten im europäischen Regulierungsgefüge auseinander. Eine Konformitätsvermutung gilt dabei dann, wenn Produkte mit digitalen Elementen mit harmonisierten europäischen Normen oder Teilen davon übereinstimmen – Selbiges gilt für die Konformität mit gemeinsamen Spezifikationen, die von der EU-Kommission im Wege von Durchführungsrechtsakten erlassen wurden. Das ist dann der Fall, wenn
- keine harmonisierten Normen existieren,
- die Kommission der Auffassung ist, dass die einschlägigen Normen nicht ausreichen, um die Anforderungen des CRA zu erfüllen,
- es zu unangemessenen Verzögerungen im Normungsverfahren kommt oder
- der entsprechende Normungsauftrag von den europäischen Normungsorganisationen nicht angenommen wurde.
Ebenso gilt eine Konformitätsvermutung im Hinblick auf die Cybersicherheit, soweit das Produkt einem nach EU Cybersecurity-Act (CSA, EU-Verordnung 2019/881 [3]) ausgestellten Zertifikat entspricht.
Die EU-Konformitätserklärung wird von den Herstellern ausgestellt und bescheinigt die Erfüllung der Anforderungen des CRA. Mit der Ausstellung dieser Erklärung übernimmt der Hersteller zugleich die Verantwortung dafür, dass das Produkt den Anforderungen entspricht. Vom Hersteller sind alle zweckdienlichen Angaben oder Einzelheiten über die Mittel zu dokumentieren, mit denen er sicherstellt, dass das Produkt mit digitalen Elementen und die von ihm eingerichteten Verfahren die grundlegenden Anforderungen nach CRA erfüllen. Diese technischen Unterlagen sind vor dem Inverkehrbringen des Produkts mit digitalen Elementen zu erstellen und während der voraussichtlichen Lebensdauer des Produkts oder während eines Zeitraums von fünf Jahren nach dem Inverkehrbringen eines Produkts mit digitalen Elementen kontinuierlich zu aktualisieren – je nachdem, welcher Zeitraum kürzer ist.
Die Mitgliedstaaten notifizieren der EU-Kommission und den anderen Mitgliedstaaten die jeweiligen Konformitätsbewertungsstellen, die befugt sind, Konformitätsbewertungen gemäß CRA vorzunehmen. Diese müssen besondere personelle, fachliche und organisatorische Anforderungen erfüllen, die der CRA detailliert beschreibt. Hierzu trifft die Mitgliedstaaten die Pflicht, eine notifizierende Behörde zu bestimmen, die für die Einrichtung und Durchführung der erforderlichen Verfahren für die Bewertung und Notifizierung von Konformitätsbewertungsstellen und für die Überwachung der notifizierten Stellen zuständig ist.
Dabei können die Mitgliedstaaten ebenso beschließen, dass die zuvor beschriebene Bewertung und Überwachung von einer nationalen Akkreditierungsstelle im Sinne der „Verordnung … über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten“ (EG-Verordnung 765/2008) durchgeführt wird. In Deutschland ist hierfür die Deutsche Akkreditierungsstelle GmbH (DAkkS) mit Sitz in Berlin zuständig.
Marktüberwachung, Koordination und Kontrolle
EU-Mitgliedstaaten sind verpflichtet, eine oder mehrere Marktüberwachungsbehörden mit entsprechenden Kompetenzen und Ressourcen zu benennen, um die wirksame Durchführung des CRA zu gewährleisten. Aufgrund der fachlichen Nähe ist davon auszugehen, dass diese Rolle in Deutschland durch das BSI wahrgenommen wird. Angeordnet wird überdies eine Zusammenarbeit der nationalen Marktüberwachungsbehörden mit der ENISA.
Aufgrund von Aspekten der Datensicherheit – gerade auch im IoT-Umfeld – wird eine Möglichkeit zur Zusammenarbeit mit der Datenschutzaufsicht bestimmt, die nach CRA ebenfalls Administrativbefugnisse wie die Einsicht in Unterlagen zu Zwecken der Aufgabenerfüllung erhält. Eine Zusammenarbeit findet ebenfalls mit den für den EU Artificial Intelligence Act (AIA, [4]) zuständigen Behörden statt. Eine einzusetzende Gruppe für Verwaltungszusammenarbeit (Administrative Cooperation Group, AdCo) soll die einheitliche Anwendung des CRA unterstützen, um besonders auch die Koordinationsprozesse unter den einzelnen Fachbehörden im gegebenen multidisziplinären Themenspektrum zu erleichtern.
Für Produkte mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisiko darstellen, wird im Rahmen der Marktüberwachung ein besonders restriktives Verfahren vorgesehen: Hat die Marktüberwachungsbehörde eines Mitgliedstaats hinreichende Gründe zu der Annahme, dass ein Produkt mit digitalen Elementen ein erhebliches Cybersicherheitsrisiko darstellt, so führt sie eine Bewertung des betreffenden Produkts im Hinblick auf die Einhaltung aller im CRA festgelegten Anforderungen durch. Sollte die Behörde dabei zu dem Ergebnis gelangen, dass das in Rede stehende Produkt die Anforderungen aus dem CRA nicht erfüllt, fordert sie unverzüglich den betroffenen Wirtschaftsakteur dazu auf, innerhalb einer von ihr vorgeschriebenen, der Art der Gefahr angemessenen Frist alle geeigneten Korrekturmaßnahmen zu ergreifen, um die Übereinstimmung des Produkts mit den CRA-Anforderungen herzustellen, es vom Markt zu nehmen oder zurückzurufen.
Weitergehende Maßnahmen unter direkter Einbeziehung der EU-Kommission und der ENISA sind im europäischen Raum möglich, soweit sich die Gefährdung nicht ausschließlich auf einen Mitgliedstaat erstreckt oder besondere Eilbedürftigkeit besteht. Hierfür ist ein umfassendes Abstimmungsverfahren zwischen den Mitgliedstaaten vorgesehen. Falls der Hersteller nicht oder nicht in ausreichender Weise tätig wird, kann die Marktaufsicht den Vertrieb des Produkts untersagen.
Für Cybersicherheitsgefahren, die von Produkten mit digitalen Elementen mit einem Bezug zu NIS 2 ausgehen, werden gesonderte Regeln vorgesehen, die vergleichbar strenge Herstellerpflichten vorsehen, die wiederum die Lieferkette und Herkunft der Produkte umfassen. Es können im Zweifelsfall sogar Maßnahmen vorgesehen werden, falls ein Produkt zwar den Anforderungen des CRA entspricht, aber dennoch Risiken für die Cybersicherheit bestehen. Sogenannte „Sweeps“ ermöglichen außerdem von der EU-Kommission koordinierte Kontrollmaßnahmen von Marktüberwachungsbehörden der Mitgliedstaaten, um Verstöße gegen den CRA aufzudecken.
Sanktionen
Im siebten Kapitel bestimmt der CRA das Sanktionsmaß bei Zuwiderhandlungen gegen die neuen Cybersecurity-Vorgaben: Wie immer müssen die Sanktionen „wirksam, verhältnismäßig und abschreckend“ sein. Dass der CRA auch an dieser Stelle kein „zahnloser Tiger“ ist, wird schnell deutlich: Eine Nichteinhaltung der im Rechtsakt niedergelegten grundlegenden Cybersicherheitsanforderungen kann Geldbußen von maximal 15.000.000 e oder, wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, in Höhe von bis zu 2,5 % des gesamten weltweiten Jahresumsatzes im vorausgegangenen Geschäftsjahr zur Folge haben – je nachdem, welcher Betrag höher ist.
Auch geringfügigere Verstöße können abgestuft beginnend mit 5.000.000 e beziehungsweise 1 % des im vorausgegangenen Geschäftsjahr erzielten weltweiten Gesamtjahresumsatzes geahndet werden. Eine Mehrfachbuße für dieselbe Zuwiderhandlung wird nicht ausgeschlossen. Damit ist das Sanktionsregime durchaus mit der Datenschutzgrundverordnung (DSGVO) vergleichbar.
Fazit und Ausblick
Noch bleibt für vom CRA betroffene Unternehmen etwas Zeit – das Gesetz sieht nach seiner Verkündung eine Übergangsfrist von 24 Monaten bis zur Wirksamkeit vor und befindet sich zurzeit ja auch noch in der Entwurfsfassung, sodass das europäische Gesetzgebungsverfahren noch lange nicht abgeschlossen ist.
Fest steht aber schon jetzt: Politisch soll der CRA für Europa der „große Wurf“ in der Cybersicherheit werden, der in seinen Ambitionen alle bislang verabschiedeten Regelungen deutlich in den Schatten stellt. Das liegt einerseits an seinem strengen Sanktionsregime, wodurch Cybersicherheit endgültig zu einem Thema mit erheblicher sektorübergreifender Relevanz aufgestiegen ist – andererseits aber vor allem an seinem breiten Zuschnitt im Anwendungsbereich und dem gleichermaßen umfassend wie detailliert geregelten Pflichtenkatalog für betroffene Marktakteure und mitgliedstaatliche Behörden, Cybersicherheit über den gesamten Produktlebenszyklus zu denken und umzusetzen.
Der CRA berücksichtigt hierdurch im Ergebnis nicht nur die Cybersicherheit, sondern die digitale Resilienz im Ganzen – und das in einem Zeitalter globaler Krisen, in dem sich diese mehr denn je Herausforderungen gegenübergestellt sieht. Cybersicherheit lässt sich schon lange nicht mehr auf die bloßen technischen Schutzziele der IT-Sicherheit reduzieren, sondern hat sich zu einer ge sellschaftlichen, wirtschaftlichen und multidisziplinären Herausforderung entwickelt. Das versucht auch der Entwurf des CRA zu berücksichtigen, indem er den gesamten Weg der Wertschöpfungskette digitaler Produkte in seine Betrachtung einbezieht – ein auf gesetzlicher Ebene neuer Ansatz, denn bislang wurden Sorgfaltspflichten und Leistungsbeziehungen in der Lieferkette rechtlich vorwiegend vertraglich und somit nur zwischen den einzelnen Parteien erfasst.
Konnte man den CRA im Impact-Assessment noch für seinen abgestuften und halbherzig wirkenden Ansatz kritisieren, liefert er nun nicht länger Anknüpfungspunkte für eine solche Kritik – im Gegenteil: Die Cybersecurity-Anforderungen, gerade auch für das IoT-Segment, wurden im Kommissionsentwurf begrüßenswerterweise nicht aufgeweicht, sondern verschärft.
Deutlich wird, dass der CRA eine Lücke in der bisherigen europäischen Digitalgesetzgebung schließen soll und dieser Zielsetzung auch alle Ehre macht. Das war insoweit auch der einzige logische Schluss, denn bislang hat die EU ihre erheblichen gesetzgeberischen Anstrengungen in der Digitalisierung in den letzten Jahren vor allem bereichsspezifisch und vertikal platziert. Der CRA liefert nun das bislang fehlende „Puzzlestück“, um eine Schnittstelle zwischen all den Rechtsakten herzustellen, die Cybersicherheit unmittelbar oder mittelbar adressieren – so beispielsweise die bestehenden und zurzeit teils in Überarbeitung befindlichen Rechtsakte aus dem NLF, dem CSA, NIS 2, dem AI-Act und der neuen EU Maschinenverordnung.
Bestehende Regelungslücken werden damit geschlossen; weitergehende Bezüge zu ambitionierten Programmen wie das EU „Cyber Crises Liaison Organisation Network“ (CyCLONe) legen nahe, dass dies erst der Auftakt zu einem ganzen europäischen Ökosystem digitaler Resilienz sein wird. Auch die früher noch so stark ausschlaggebende Unterscheidung zwischen „Security“ und „Safety“ rückt damit immer weiter in den Hintergrund, da das eine ohne das andere zwangsläufig nicht mehr denkbar ist. Deutlich wird außerdem: Die EU überträgt die seit Jahrzehnten bekannten allgemeinen Grundsätze der Produkthaftung nun auch explizit auf die Cybersicherheit.
Mit dem CRA kommen nicht nur auf Betreiber neue, strenge Pflichten zur Cybersicherheit zu, sondern letztlich auf alle Parteien, die an der digitalen Lieferkette beteiligt sind: also Hersteller, Importeure und Vertrieb. Mit dieser wachsenden technischen Verantwortung wächst jedoch auch der bürokratische Aufwand – und auch damit geizt der CRA definitiv nicht. Mehr Personalressourcen und höhere Kosten sind somit die Folge. Natürlich besteht ein eminenter Bedarf für nachhaltige und nach Möglichkeit über die gesamte Lieferkette gewährleistete Cybersicherheit. In die Betrachtung sollte man aber auch einbeziehen, dass Unternehmen im IT-Bereich schon jetzt unzähligen globalen, europäischen und nationalen Compliance-Pflichten ausgesetzt sind – und Cybersecurity ist hiervon nur ein Teilaspekt.
Und damit zeigt sich, allem Lob zum Trotz, auch eine Schwachstelle des CRA: die benötigte Bürokratie. Ein Blick in die hochkomplexen, verweisungslastigen und detailverliebten Vorschriften wirft die sicherlich nicht ganz unberechtigte Frage auf, ob Cybersecurity-Regulierung in Zukunft zum Selbstzweck werden soll. Die Sorge davor erkennt sogar der europäische Gesetzgeber schon jetzt, wenn er im Entwurf gesetzliche Schutzmechanismen vorsieht, damit Cybersicherheit eben nicht zu einem Risiko für freien Warenverkehr und Wettbewerb in der EU mutiert und als mitgliedstaatliches Mittel des Protektionismus für eigene Hersteller und Produkte missbraucht wird.
Diese erkennbaren Widrigkeiten machen deutlich, dass man auch beim wichtigen Thema Cybersicherheit zeitnah regulatorische Grenzen erreichen wird und die EU ein dringendes Augenmerk darauf legen muss, sich in all der Gesetzgebung rund um die digitale Souveränität nicht zu „verzetteln“.
Trotz des an sich lobenswerten und ganzheitlichen Ansatzes des CRA stellen sich darüber hinaus nicht unwichtige Einzelfallfragen, die ebenfalls die Effektivität der Gesamtkonstruktion infrage stellen könnten: Welche auch tatsächlich relevante Rolle zwischen harmonisierten europäischen Normen und eigenen Spezifikationen der EU-Kommission zur Cybersecurity nach CRA spielt nun noch der Cybersecurity Act (CSA)? Warum wird die Pflicht zu Sicherheitsaktualisierungen pauschal auf maximal 5 Jahre limitiert, wo es viele deutlich langlebigere und hochpreisige Produkte mit digitalen Elementen gibt? Wie will die EU gewährleisten, dass Hersteller mit all ihren Pflichten auch für den Kunden stets transparent und rechtssicher erreichbar bleiben?
Sollte es der EU gelingen, auch diese noch offenen Fragen im Laufe der weiteren Gesetzgebung zufriedenstellend zu adressieren, so ist der CRA zumindest in der Theorie zunächst ein gutes Gesetz. Die Praxis muss dann allerdings in den folgenden Jahren zeigen, ob die Rechnung zur an sich sehr wünschenswerten „ganzheitlichen digitalen Resilienz“ auch aufgeht.
Prof. Dr. iur. Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Fakultät für Elektrotechnik und Informatik der Hochschule Bremen (HSB), Legal Advisor im Competence Center Information Security und CERT des VDE, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) sowie Geschäftsführer der Certavo-Beratungsgesellschaft in Bremen (https://denniskenjikipker.de/).
Literatur
[1] European Union, Proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020, September 2022, https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=COM:2022:0454:FIN – siehe auch https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
[2] Dennis-Kenji Kipker, Horizontale Cybersecurity, Neue europäische Anforderungen – Regulierungspakete zu Cyber Resilience Act und RED Delegated Act, <kes> 2022 #4, S. 20
[3] Europäische Union, Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit – Cybersecurity Act), in: Amtsblatt der Europäischen Union L 151, S. 15, Juni 2019, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32019R0881
[4] Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union, April 2021, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A52021PC0206