Cyber Resilience Act -Verordnung für Produkte mit digitalen Elementen

Die EU-Kommission hat am 20. November 2024 im EU-Amtsblatt die EU-Verordnung über Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (EU) 2024/2847 (Cyber Resilience Act - CRA) veröffentlicht.
Der CRA fordert verbindliche Cyber-Sicherheitsanforderungen für alle vernetzten Geräte sowie eine CE-Kennzeichnung. Die neuen Vorschriften traten am 10. Dezember 2024 in Kraft und gelten in allen EU-Mitgliedstaaten. Sie müssen schrittweise bis 11. Dezember 2027 umgesetzt werden.


Ziele und Inhalt der Verordnung

  • Schaffung von Rahmenbedingungen für die Entwicklung sicherer Produkte mit digitalen Elementen, damit Hardware- und Softwareprodukte mit weniger Schwachstellen in Verkehr gebracht werden und damit die Hersteller sich während des gesamten Lebenszyklus eines Produkts ernsthaft um die Sicherheit kümmern
  • Schaffung von Rahmenbedingungen, die es den Nutzern ermöglichen, bei der Auswahl und Verwendung von Produkten mit digitalen Elementen die Cybersicherheit zu berücksichtigen
    Die Verordnung soll für Produkte mit digitalen Elementen gelten, deren bestimmungsgemäße und vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Dazu gehören sowohl Produkte, die physisch über Hardware-Schnittstellen verbunden werden können, als auch Produkte, die logisch verbunden werden, zum Beispiel über Netzwerksockets, Pipes, Dateien, Anwendungsprogrammierschnittstellen oder andere Arten von Software-Schnittstellen.
    Die Verordnung (EU) 2024/2847 enthält:
    1. Cyber-Sicherheitsvorschriften für das Inverkehrbringen dieser Produkte,
    2. Anforderungen an die Konzeption, Entwicklung und Herstellung der Produkte,
    3. grundlegende Anforderungen an die von den Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen,
    4. Vorschriften für die Marktüberwachung und die Durchsetzung.

Kapitel I: Allgemeine Bestimmungen (Artikel 1 - 9)

  • Die Verordnung legt Vorgaben für die Cybersicherheit von Produkten mit digitalen Elementen fest. Davon umfasst sind Vorschriften über das Inverkehrbringen sowie die Konzeption, Entwicklung und Herstellung von Produkten, (Artikel1)
  • Ausgenommen sind solche Produkte, für die bereits Regelungen auf Unionsebne existieren – zum Beispiel Medizinprodukte mit digitalen Elementen (Artikel 2)
  • Als „Produkte mit digitalen Elementen“ werden laut Gesetzesentwurf alle Hardware- oder Softwareprodukte sowie Software- und Hardwarekomponenten definiert (Artikel 3)
  • Als „kritische Produkte mit digitalen Elementen“ werden Produkte definiert, für die ein erhöhtes Cybersicherheitsrisiko besteht (Artikel 3, Anhang IV)
  • Der Artikel 7 sieht eine Unterscheidung der Produkttypen in verschiedene Kategorien vor:
    1. die Klasse I
    2. die Klasse II
  • Anhang III behandelt „Produkte mit digitalen Elementen“ und führt Produkte der Klasse I und II auf.
  • Hochrisiko-KI-Systeme, die laut Definition in den Anwendungsbereich dieser Verordnung fallen, gelten als konform mit den Cyber-Sicherheitsanforderungen gemäß Artikel 15 der AI-Regulation, sofern die Konformitäts-Anforderungen aus dem Cyber-Resilience-Act erfüllt sind (Artikel 12)

Kapitel II: Verpflichtungen für Wirtschaftsakteure (Artikel 13 - 26)

  • Der Hersteller muss Cyber-Sicherheitsrisiken in der Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase bewerten und so gering wie möglich halten. Eine Bewertung der Cyber-Sicherheitsaspekte ist zu dokumentieren, einschließlich der Schwachstellen, von denen er Kenntnis erlangt.
  • Vor Inverkehrbringen des Produkts muss ein Konformitätsbewertungsverfahren (Artikel 32) durchgeführt werden, erst dann darf die CE-Kennzeichnung angebracht werden.
  • Die technische Dokumentation von Komponenten des Produkts und Schwachstellen und die Konformitätserklärung sind 10 Jahre lang aufzubewahren.
  • Der Hersteller muss sicherstellen, dass Schwachstellen während eines Zeitraums von 5 Jahren offengelegt und geschlossen werden.
  • Die in Anhang II genannten Informationen und Anleitungen müssen dem Produkt in elektronischer Form oder in Papierform beigefügt sein.
  • Hersteller müssen der ENISA unverzüglich, jedenfalls innerhalb von 24 Stunden, aktiv ausgenutzte Schwachstellen sowie Sicherheitsvorfälle melden. Die EU-Kommission kann Format und Verfahren der Meldungen im Wege von Durchführungsrechtsakten präzisieren (Artikel 14).
  • Hersteller müssen Nutzer über IT-Sicherheitsvorfälle und mögliche Korrekturmaßnahmen informieren, die der Nutzer ergreifen kann.
  • Sobald Hersteller eine Schwachstelle in einer in das Produkt integrierten Komponente, einschließlich einer Open-Source-Komponente, feststellt, muss er die Schwachstelle der Person oder Einrichtung melden, die diese Komponente wartet.
  • Importeure dürfen nur solche Produkte auf den europäischen Markt bringen, die den Anforderungen des Cyber-Resilience-Act entsprechen.
  • Händler sind dazu verpflichtet, Produkte erst zu verkaufen, wenn sichergestellt ist, dass die Cybersicherheitsanforderungen vom Hersteller und/oder Importeur erfüllt wurden.
  • Händler unterliegen Meldepflichten gegenüber Herstellern und Marktüberwachungsbehörden, sofern Hersteller oder Importeure Vorgaben aus dem Cyber-Resilience-Act nicht erfüllen.
  • Sofern ein Händler/Importeur Produkte in eigenem Namen oder unter eigener Marke in Verkehr bringt oder eine wesentliche Änderung an einem bereits in Verkehr gebrachten Produkt mit digitalen Elementen vornimmt, unterliegt er denselben Pflichten wie der Hersteller (Artikel 21).
  • Eine natürliche oder juristische Person, die kein Hersteller, Importeur oder Händler ist, aber eine substanzielle Änderung an einem Produkt mit digitalen Elementen durchführt, soll als Hersteller gelten und den gleichen Anforderungen unterliegen (Artikel 21).
  • Wirtschaftsteilnehmer müssen auf Nachfrage folgende Informationen an die Marktüberwachungsstellen weitergeben und 10 Jahre lang auf Nachfrage zur Verfügung stellen können:
    - Name und Adresse von Wirtschaftsakteuren, von welchen sie Produkte mit digitalen Elementen erhalten haben,
    - Name und Adresse von Wirtschaftsakteuren, die sie mit Produkten mit digitalen Elementen versorgt haben.

Kapitel III: Konformität von Produkten mit digitalen Elementen (Artikel 21-34)

  • Produkte, die den von der EU-Kommission in Durchführungsrechtsakten definierten gemeinsamen Spezifikationen oder harmonisierten Normen, die im Amtsblatt der EU veröffentlicht wurden, entsprechen, werden als konform mit den Anforderungen in Anhang I betrachtet (Artikel 27).
  • Die von den Herstellern ausgefüllte „EU- Konformitätserklärung“ weist die Erfüllung der Anforderungen aus Anhang VI nach; eine Vorlage dieser Erklärung findet sich in Anhang V (Artikel 28).
  • Die technische Dokumentation muss alle relevanten Daten und Details enthalten, die nachweisen, dass der Hersteller die Anforderungen an die Cybersicherheit erfüllt hat (Anhang I). Sie muss mindestens die in Anhang VII genannten Angaben enthalten (Artikel 31).
  • Der Hersteller muss eine Konformitätsüberprüfung durchführen (lassen), aus der hervor gehen soll, ob die Anforderungen aus Anhang I erfüllt worden sind. Sofern keine harmonisierten Normen zur Verfügung stehen, erfolgt die Konformitätsbewertung auf Grundlage einer umfassenden Qualitätssicherung oder auf Basis der EU-Baumusterprüfung. Die Details werden in Anhang VIII aufgeführt. (Artikel 32)

Kapitel IV: Notifizierung von Konformitätsbewertungsstellen (Artikel 35 - 51)

  • Die Mitgliedstaaten notifizieren der Kommission und den anderen Mitgliedstaaten die Konformitätsbewertungsstellen, die befugt sind, Konformitätsbewertungen gemäß dieser Verordnung durchzuführen. Die Anforderungen an die Konformitätsbewertungsstellen werden hier definiert.

Kapitel V: Marktüberwachung und Durchsetzung (Artikel 52 - 60)

  • Die Mitgliedstaaten benennen eine oder mehrere (neue oder bestehende) zuständige Behörden, die für die Anwendung und Durchsetzung dieser Verordnung verantwortlich sind und die Konformitätskontrolle von Produkten durchführen. Weitere Regelungen zu Pflichten und Befugnissen der Marktüberwachungsbehörden werden hier definiert.

Fristen

  • Konformitätsbewertungsstellen können ab Mai 2026 die Erfüllung der Anforderungen prüfen.
  • Der Hersteller sind bereits ab August 2026 dazu verpflichtet, jeden Vorfall, der Auswirkungen auf die Sicherheit des Produkts mit digitalen Elementen hat, unverzüglich und in jedem Fall innerhalb von 24 Stunden nach Kenntnisnahme zu melden.
  • Alle anderen Anforderungen wie die CE-Kennzeichnungspflicht gelten ab November 2027.
    Das BSI hat eine technische Richtlinie erarbeitet, um die Anforderungen des CRA für die Hersteller und Produkte greifbar zu machen