Bereit für den EU Cyber Resilience Act

Alle Personen oder Unternehmen, die Produkte mit digitalen Elementen entwickeln, herstellen oder vertreiben, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht.

Personen oder Unternehmen innerhalb der EU, die Produkte mit digitalen Elementen auf den Markt bringen, die den Namen oder die Marke einer Person oder Firma außerhalb der EU tragen.

Personen oder Unternehmen, die Produkte mit digitalen Elementen auf dem Unionsmarkt bereitstellen, ohne deren Eigenschaften zu verändern, ausgenommen Hersteller und Importeure.

Unternehmen, die nicht die Hersteller sind, aber systematisch die Entwicklung bestimmter Produkte mit digitalen Elementen unterstützen, die als Open-Source-Software für kommerzielle Zwecke gelten.

Physische elektronische Systeme, die digitale Daten verarbeiten, speichern oder übertragen, sowie deren Komponenten.

Integrierte Software (Embedded Software), eigenständige Software und kommerzielle Softwarelösungen.

Datenfernverarbeitungslösungen, wie Cloud-Dienste, die von Herstellern intelligenter, fernsteuerbarer Haushaltsgeräte angeboten werden.

Für Regierungen, Unternehmen und Privatpersonen ist Cybersicherheit wichtiger denn je. Die EU hat das erkannt und im September den Cyber Resilience Act (CRA) veröffentlicht. Das Ziel ist es, mit der Umsetzung ab 2027 die verbindlichen Cybersicherheitsanforderungen für „Produkte mit digitalen Elementen“ einzuführen und damit die Widerstandsfähigkeit gegen Cyberangriffe in der EU zu erhöhen und verlässliche digitale Dienste zu gewährleisten.

Erstens zielt der CRA darauf ab, Sicherheitslücken und Schwachstellen in Produkten mit digitalen Elementen zu reduzieren. Dies soll dazu beitragen, das Risiko von Cyberangriffen und damit verbundenen Gefahren für die Anwender sowie für gesamte Lieferketten zu minimieren.

Zweitens fördert der Cyber Resilience Act eine stärkere Verantwortung von Herstellern und Anbietern. Diese sind nun verpflichtet, ihre Produkte sicher zu gestalten und bereitzustellen, bevor sie auf den europäischen Markt gelangen. Dadurch wird die Sicherheit über den gesamten Lebenszyklus eines Produkts hinweg verbessert.

Schließlich strebt das Gesetz zur Cyberresilienz eine größere Transparenz für Nutzer an, was durch die Bereitstellung klarer Informationen über die Sicherheitsmerkmale und potenziellen Risiken digitaler Produkte erreicht werden soll. So können Verbraucher fundierte Entscheidungen treffen und sind besser darüber informiert, wie sie ihre digitalen Produkte sicher nutzen können.

Der Cyber Resilience Act (CRA) und die NIS2-Richtlinie verfolgen das gemeinsame Ziel, die Cybersicherheit in der EU zu verbessern, jedoch mit unterschiedlichen Schwerpunkten.

Der CRA konzentriert sich auf die Sicherheit digitaler Produkte, indem er verbindliche Standards für Hardware und Software festlegt, die in der EU vertrieben werden. Die NIS2-Richtlinie richtet ihren Fokus hingegen auf die Absicherung von Netzwerken und Informationssystemen, die für kritische Infrastrukturen und wichtige Dienstleistungen unerlässlich sind.

Zusammen sorgen beide Regelwerke für eine umfassende Cybersicherheitsstrategie in der EU, die Produkte und Infrastrukturen gleichermaßen abdeckt. Unternehmen, die sowohl Produkte herstellen als auch kritische Dienste anbieten, müssen beide Anforderungen berücksichtigen und ihre Sicherheitsmaßnahmen entsprechend koordinieren.

Bei Verstößen können Bußgelder von bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes des betreffenden Unternehmens verhängt werden, je nachdem, welcher Betrag höher ist. Und Produkte mit digitalen Elementen, die ab Anwendungsbeginn (11. Dezember 2027) nicht den CRA-Vorgaben entsprechen, dürfen erst gar nicht auf den Markt gebracht werden. Es droht ein Ausschluss aus Lieferketten und Ausschreibungen.

Hersteller sind verpflichtet, umfassende Cybersicherheitsanforderungen zu erfüllen, was die kontinuierliche Identifikation und Dokumentation von Sicherheitsaspekten sowie die schnelle Behebung von Sicherheitslücken einschließt. Sie müssen zudem ihre Produkte einer Konformitätsbewertung unterziehen und den zuständigen Behörden notwendige Informationen und Meldungen bereitstellen.

Verwalter von Open-Source-Software (OSS) übernehmen ebenfalls wichtige Aufgaben, indem sie eine Cybersicherheitsstrategie entwickeln und administrative Pflichten wie die Bereitstellung technischer Dokumentationen sicherstellen. Einführer sind dafür verantwortlich, dass die Produkte, die sie auf den EU-Markt bringen, den CRA-Vorgaben entsprechen. Sie müssen überprüfen, ob die Hersteller ihre Pflichten erfüllen und bei Nichtkonformität erforderliche Korrekturmaßnahmen einleiten.

Sowohl Händler als auch Importeure (im Gesetzestext „Einführer“) haben die Pflicht sicherzustellen und zu überprüfen, dass der Hersteller die Pflichten nach dem CRA erfüllt hat. Nimmt einer dieser beiden Wirtschaftsakteure wesentliche Änderungen an dem Produkt vor, so gelten Händler und Importeurer nach dem CRA als Hersteller (sie übernehmen nicht nur die Pflichten sondern sind rein rechtlich mit Hinblick auf den CRA Hersteller). Die „Bevollmächtigten“ übernehmen nur bestimmte administrative Pflichten des Herstellers (nicht der Importeure).

Um die Anforderungen des EU Cyber Resilience Act zu erfüllen und ihre Produkte für den europäischen Markt zu sichern, sollten Unternehmen eine umfassende Cybersicherheitsstrategie implementieren. Diese Strategie sollte die fortlaufende Identifikation und Behebung von Sicherheitslücken, die Verschlüsselung von Daten und die Minimierung von Angriffsflächen umfassen. Eine gründliche Produktklassifizierung und Risikobewertung sind zwingend notwendig, um spezifische Anforderungen zu identifizieren und gezielte Maßnahmen zu ergreifen.

Darüber hinaus ist es wichtig, dass Unternehmen ihre Produkte regelmäßigen Konformitätsbewertungen unterziehen und eine aktuelle technische Dokumentation bereitstellen, um die CRA-Compliance nachweisen zu können. Sicherheitsupdates und die kontinuierliche Wartung während des gesamten Produktlebenszyklus sind ebenfalls entscheidend. Durch Schulung der Mitarbeitenden und Zusammenarbeit mit externen Experten können Unternehmen sicherstellen, dass ihre Cybersicherheitsmaßnahmen den neuen Vorschriften entsprechen und sie ihre Position im europäischen Markt stärken.

Inverkehrbringen („placing on the market“) ist der einmalige Zeitpunkt, in dem ein Produkt erstmals auf dem EU-Markt bereitgestellt wird, also – zum Beispiel, wenn es vom Hersteller an einen Importeur, Händler oder direkt an den Endnutzer übergeht.

Bereitstellung auf dem Markt („making available on the market“) umfasst jede entgeltliche oder unentgeltliche Abgabe dieses Produkts innerhalb der EU. Dazu zählen sowohl das erstmalige Inverkehrbringen als auch alle nachfolgenden Verkäufe, Vermietungen oder sonstigen Überlassungen.

Die Begriffe sind im CRA, Art. 3 Nr. 21 und 22 definiert und werden im Blue Guide 2022, Kapitel 2.2 bzw. 2.3 ausführlich erläutert.

Produkteinheiten, die bereits vor dem 11. Dezember 2027 in Verkehr gebracht wurden, sind grundsätzlich von den meisten CRA-Anforderungen befreit – solange sie nach diesem Datum keiner wesentlichen Änderung unterliegen (siehe Frage 4).

Neue Einheiten desselben Modells oder derselben Serie, die erst nach dem Stichtag erstmals auf den Markt kommen, müssen hingegen vollständig CRA-konform sein.

Die Übergangsbestimmung nach Artikel 69 („Bestandsschutz“) gilt also nur für einzelne Produkteinheiten. Alle Einheiten, die nach dem Stichtag erstmals in der EU bereitgestellt werden, müssen die CRA-Anforderungen uneingeschränkt erfüllen – unabhängig davon, wie es bei früheren Einheiten desselben Produkts war.

Warum gibt es keinen Bestandsschutz für Serien oder Modelle?

Definition: Nach CRA Art. 69 bezieht sich der Bestandsschutz auf das Inverkehrbringen einzelner Produkteinheiten, nicht auf ganze Serien oder Modelle (vgl. Blue Guide 2022).

Ziel des CRA: Ein Schutz für Serien/Modelle würde Hersteller dazu verleiten, vor dem Stichtag ganze Serien in Verkehr zu bringen und danach notwendige Verbesserungen zu vermeiden. Das widerspricht dem Ziel des CRA, das Sicherheitsniveau kontinuierlich zu erhöhen.

Fristen: Bereits ab dem 11. September 2026 gelten die Melde- und Incident-Response-Pflichten nach Art. 14 CRA für alle Einheiten.

Beispiel:

• 10 Kopfhörer eines Modells, die am 10. Dezember 2027 in die EU eingeführt werden → müssen nicht alle CRA-Anforderungen erfüllen.
• Die 11. Einheit desselben Modells, die am 11. Dezember 2027 in die EU eingeführt wird → muss vollständig CRA-konform sein.

Für den CRA gibt es keinen Unterschied zwischen Einzel- und Serienprodukten. Für die Begriffe „Bereitstellung auf dem Markt“ und „Inverkehrbringen“ zählt immer das einzelne Exemplar, unabhängig davon, ob es als Einzelstück oder als Teil einer Serienproduktion hergestellt wurde.

• Erwägungsgrund 38 des CRA stellt klar, dass die essenziellen Cybersicherheitsanforderungen „für jedes einzelne Produkt mit digitalen Elementen gelten, unabhängig davon, ob es als Einzel¬einheit oder in Serie hergestellt wurde“.
• Der Blue Guide definiert deckungsgleich dazu in Kap. 2.2 und 2.3: „Der Begriff bezieht sich auf jedes einzelne Produkt, nicht auf eine Produktart, unabhängig davon, ob es als Einzelstück oder in Serie hergestellt wurde.“

Konsequenz: Pflichten und Übergangsregeln gelten stets für die einzelne Produkteinheit, die vor dem 11. Dezember 2027 in Verkehr gebracht wurde. Ob sie Teil einer Serie ist, spielt keine Rolle.

Die Inverkehrbringung findet nur einmalig statt – bei der allerersten Abgabe einer Produkteinheit an einen Marktakteur in der EU. Jede weitere Abgabe oder jeder Verkauf ist lediglich eine Bereitstellung auf dem Markt (siehe Frage 1).

Für die Stichtagsregel gilt: Jede Produkteinheit, die nach dem 11. Dezember 2027 in Verkehr gebracht wird, muss vollständig CRA-konform sein.

Wenn die Konformität einer Produktserie einmal nachgewiesen wurde, können identische Einheiten dieser Serie auf dieser Basis in Verkehr gebracht werden – solange keine wesentliche Änderung erfolgt. Eine solche liegt vor, wenn:

• die ursprüngliche Zweckbestimmung des Produkts geändert wird oder
• Änderungen zu einer neuen oder höheren Risikobewertung führen.

Keine wesentliche Änderung sind dagegen Updates oder Patches, die Risiken reduzieren, ohne die Zweckbestimmung zu ändern (Erwägungsgrund 39 CRA).

Fazit: Der Konformitätsnachweis wird in der Regel modellweise erbracht. Der Hersteller muss aber sicherstellen, dass jede einzelne Produkteinheit beim Inverkehrbringen die Anforderungen tatsächlich erfüllt.

Die Definition im Blue Guide gilt auch für den CRA: Inverkehrbringen bedeutet stets den erstmaligen Übergang einer einzelnen Produkteinheit in den EU-Markt – unabhängig davon, ob sie als Einzelstück oder Teil einer Serie hergestellt wurde.

Da der CRA seine Anforderungen an das Inverkehrbringen knüpft, beziehen sich alle Pflichten und Übergangsregelungen auf jede einzelne Produkteinheit, nicht auf eine gesamte Serie oder ein Modell.

Rechtlich entscheidend ist eine wirksame Übereignung oder ein Besitzübergang, etwa durch Vertragsschluss mit einem Händler oder Endnutzer. Nicht als Inverkehrbringen gelten dagegen Prototypen, Vorführungen auf Messen oder Produkte, die noch beim Hersteller lagern.