Author Rechtsanwalt Dr. Tobias Beltle

EU Cyber Resilience Act (CRA): Eine neue Ära der Cybersicherheit für Europa

Veröffentlicht am Categories Blog Tags · ·

Der Weg zu einer sicheren digitalen Zukunft mit dem Cyber-Resilience-Act

In einer zunehmend digitalisierten Welt, in der die Vernetzung kritischer Infrastrukturen und Alltagsprodukte stetig zunimmt, wächst auch die Bedrohung durch Cyberangriffe. Als Antwort auf diese Herausforderung hat die Europäische Union den Cyber Resilience Act (CRA) vorgestellt – eine weitreichende regulatorische Maßnahme, die einheitliche Standards zur Verbesserung der Cybersicherheit auf dem europäischen Binnenmarkt etablieren soll.

Der am 20. November 2024 im Amtsblatt der Europäischen Union veröffentlichte CRA ist bereits am 11. Dezember 2024 in Kraft getreten und verfolgt das Ziel, ein einheitliches Sicherheitsniveau für digitale Produkte, Softwareprodukte und damit verbundenen Dienstleistungen zu schaffen. Das betrifft bei Produkten u.a. auch die Lieferkette, aber auch z.B. Hardware und Software. Zielgruppe des CRA sind insbesondere Hersteller, Importeure und Anbieter digitaler Produkte, welche erstmals europaweit verbindliche Sicherheitsanforderungen erfüllen müssen und durch den CRA damit weitergehenden Anforderungen und Verpflichtungen unterliegen.

Der Hintergrund der EU-Regulierung und der EU-Kommisson ist eindeutig: Mit der steigenden Zahl vernetzter Elemente – vom smarten Kühlschrank bis hin zu komplexen Industrieanlagen – wächst die Angriffsfläche für Cyberkriminelle enorm. Die bisherigen freiwilligen und fragmentierten nationalen Ansätze haben sich als nicht ausreichend erwiesen.

Kernpunkte des Cyber Resilience Act

Der Cyber Resilience Act (CRA) sieht insbesondere folgende Maßnahmen vor:

  • Verbindliche Cybersicherheitsanforderungen: Hersteller müssen bereits bei der Produktentwicklung strenge Sicherheitsstandards einhalten (Security by Design) und sicherstellen, dass Cybersicherheitsmaßnahmen über den gesamten Produktlebenszyklus hinweg wirksam bleiben.
  • Transparenzpflichten: Hersteller, Importeure und Händler digitaler Produkte müssen über bekannte Schwachstellen und Sicherheitslücken informieren sowie regelmäßig Sicherheitsupdates zur Bereitstellung für Endanwender zur Verfügung stellen.
  • Risikoklassifizierung: Produkte und deren Elemente werden je nach potenzieller Kritikalität und Gefährdung in folgende Sicherheitskategorien und Klassen eingeteilt:
    • Standardprodukte (geringe Risikoklasse), z.B. Haushaltsgeräte oder einfache smarte Beleuchtungssysteme.
    • Wichtige Produkte (mittlere Risikoklasse), z.B. Netzwerkgeräte, Router oder Firewalls.
    • Kritische Produkte (hohe Risikoklasse), hochkritische Komponente wie z.B. industrielle Steuerungssysteme (ICS), medizinische Geräte oder Infrastrukturkomponenten in den Bereichen Energie und Transport.
  • Marktaufsicht und Sanktionen: Verstöße gegen die Vorgaben beim Inverkehrbringen von Produkten oder deren Bestandteilen können empfindliche Bußgelder nach sich ziehen, die bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes betragen können – je nachdem, welcher Betrag höher ist.

Für den CRA wird zwar keine neue gesonderte Kennzeichnung eingeführt, trotzdem gibt es Änderungen bei der CE-Kennzeichnung. Zukünftig ist beabsichtigt, dass die bereits bestehende CE-Kennzeichnung erweitert wird, mit den Cybersicherheitsanforderungen des CRA und die Produktkonformität daher auch Anforderungen der Cybersicherheit erfasst. Durch die Anforderungen an die Cyber-Widerstandskraft wird daher insbesondere für Hersteller und Quasi-Hersteller die Konformitätsbewertung noch um den Punkt der Cyber-Resilienz erweitert. Dadurch werden insbesondere Herstellern, Quasi-Herstellern, Importeuren und Händlern und damit den Unternehmen erhebliche weitere Verpflichtungen auferlegt, insbesondere auch vor dem Hintergrund, dass Verstöße gegen eine ordnungsgemäß CE-Kennzeichnung regelmäßig Gegenstand von wettbewerbsrechtlichen Abmahnungen sein können, die im Einzelfall für Unternehmen sehr teuer werden können. Für den Fall, dass im Anschluss eine wettbewerbsrechtliche Abmahnung eine Unterlassungs- und Verpflichtungserklärung abgegeben werden muss, kann dies außerdem dazu führen, dass Produkte von Unternehmen nicht mehr vertrieben und verkauft werden dürfen. Angriffspunkte für eine wettbewerbsrechtliche Abmahnung sollte daher bereits von vornherein vermieden werden, damit es für Unternehmen nicht zu finanziellen Verlusten und rechtlichen Problemen kommt.

Änderungen bei der CE-Kennzeichnung

Denn durch die CE-Kennzeichnung wird letztlich angegeben, dass ein Produkt insbesondere ein entsprechendes Konformitätsbewertungsverfahren durchlaufen hat, weil das Produkt sonst überhaupt nicht verkehrsfähig wäre. Letztlich muss vom Unternehmen überprüft werden, ob ein Produkt eine ordnungsgemäße CE-Kennzeichnung aufweist und ob eine EU-Konformitätserklärung für das Produkt ausgestellt worden ist. Das müssen regelmäßig auch Händler einhalten, die generell die geltenden rechtlichen Anforderungen mit der gebührenden Sorgfalt berücksichtigen müssen. Beim Händler gehört dazu u.a. das Wissen, welche Produkte mit der CE-Kennzeichnung zu versehen sind, welche Unterlagen (z.B. EU-Konformitätserklärung) das Produkt begleiten müssen, welche sprachlichen Anforderungen an die Etikettierung, Gebrauchsanweisungen bzw. andere Begleitunterlagen bestehen und welche Umstände eindeutig für die Nichtkonformität des Produkts sprechen. Ein Händler muss daher vor der Bereitstellung in der EU formell prüfen, dass das Produkt mit der/den erforderliche/-n Konformitätskennzeichnung/-en versehen ist. Der CRA ist daher ein weiterer rechtlicher Baustein und damit eine weitere rechtliche Verpflichtung, den Hersteller, aber auch Unternehmen bei der Auswahl von Herstellern von Produkten, der Auswahl von Importeure und Händlern für den Weiterverkauf von Produkten innerhalb der EU im Rahmen der Lieferkette beachten müssen.

Der CRA legt damit als Teil der Konformitätserklärung für ein digitales Produkt, wie insbesondere Software, und den damit verbundenen Dienstleistungen ein einheitliches digitales Sicherheitsniveau fest und bescheinigt letztlich durch das CE-Zeichen auch den Bereich der Einhaltung der digitalen Resilienz. Der CRA schreibt darüber hinaus einen klar definierten Supportzeitraum mit kostenlosen Sicherheitsupdates für Endanwender vor. Dabei muss das Datum des Endes des Supports deutlich angegeben werden. Der CRA erhöht dabei maßgeblich die Transparenz bezüglich der Produktinformationen, insbesondere im Hinblick auf Cybersicherheitsrisiken und entsprechende Sicherheitsmaßnahmen.

Rechtliche Einordnung und Umsetzung

Der CRA gilt als EU-Verordnung unmittelbar in allen Mitgliedsstaaten und erfordert daher keine nationale Umsetzung in einzelstaatliches Recht. Als EU-VO gilt der CRA damit in der EU unmittelbar, genauso wie dies z.B. auch bei der Datenschutzgrundverordnung (DSGVO), der KI-Verordnung (AI-Act) oder auch der DORA der Fall ist. Jedoch müssen im Zuge des CRA nationale Aufsichtsbehörden eingerichtet oder entsprechend angepasst werden, um die Einhaltung der Anforderungen effektiv zu kontrollieren und das Inverkehrbringen nicht konformer Produkte zu verhindern. Bis Ende 2027 gibt es Übergangsfristen, innerhalb welcher die Umsetzung der verschiedenen Etappen des CRA erfolgt.

Maßnahmen zur frühzeitigen Umsetzung

Unternehmen sollten in Bezug auf den CRA frühzeitig insbesondere folgende Maßnahmen ergreifen:

  • Durchführung einer umfassenden Risikoanalyse der angebotenen Produkte und ihrer Bestandteile (= GAP-Analyse für bestehende Produkte und Prozesse).
  • Etablierung eines klaren Security-by-Design-Prozesses in der Produktentwicklung.
  • Aufbau interner Prozesse zur kontinuierlichen Überwachung und Bewertung von Sicherheitsrisiken und Schwachstellen.
  • Schulung der Mitarbeiter hinsichtlich neuer regulatorischer Anforderungen und Cybersicherheitsbewusstsein.
  • Prüfung und ggf. Anpassung bestehender Verträge mit Zulieferern und Dienstleistern bezüglich Cybersicherheitsanforderungen.
  • Vorbereitung interner Strukturen für die Zusammenarbeit mit Aufsichtsbehörden.

Diese Maßnahmen sollten rechtlich begleitet und rechtlich abgesichert werden, insbesondere um rechtliche und finanzielle Nachteile für Unternehmen zu vermeiden.

Fazit und Ausblick

Der EU Cyber Resilience Act markiert einen bedeutenden Meilenstein in der europäischen Cybersicherheitsstrategie. Aufgrund der anstehenden regulatorischen Entwicklungen und der zunehmenden Komplexität der Thematik ist es unerlässlich, dass Unternehmen ihre internen Prozesse frühzeitig überprüfen und entsprechend anpassen. Hier bietet sich eine rechtliche Begleitung und flankierende Überprüfung der rechtlichen Vorgaben an.

Eine frühzeitige Umsetzung innerhalb der bestehenden Übergangsfristen der Maßnahmen führt zudem regelmäßig für Unternehmen zu einem insgesamten geringeren zukünftigen Umsetzungsaufwand, sobald ab dem 11. Dezember 2027 sämtliche CRA-Anforderungen für neue Produkte verbindlich gelten. Zur Minimierung von späteren evtl. höheren zeitlichen und personellen Aufwänden ist den betroffenen Unternehmen daher zu empfehlen, sich rechtzeitig mit den Regelung des CRA zu beschäftigen und rechtzeitig Umsetzungsprojekte zu starten.

Ungeachtet der ab 2027 geplanten Regelungen zur Cyber-Resilienz sollten Unternehmen aber ohnehin schon jetzt in die Widerstandskraft und IT-Sicherheit ihrer IT-Systeme und daher auch die rechtliche Absicherung der IT-Infrastruktur investieren. Dies hilft insbesondere auch bei der Einhaltung von IT-Sicherheitsvorgaben und Datenschutzanforderungen.

Denn sichere und widerstandskräftige IT-Systeme sind für Unternehmen schon jetzt sehr wichtig, um die bereits bestehenden rechtlichen Vorgaben, insbesondere im Bereich der Datenschutzvorgaben durch die Datenschutzgrundverordnung (DSGVO), der Vorgaben der KI-Verordnung (EU AI-Act) und IT-Compliance, zu erfüllen.

Denn ansonsten können bereits zum jetzigen Zeitpunkt erhebliche und empfindliche Bußgelder und Schadensersatzzahlungen oder ggf. auch Schmerzensgeldansprüche von Betroffenen auf Unternehmen, Firmen und Betriebe zukommen.

Dabei wird deutlich, wie wichtig die Verzahnung von Cybersicherheit mit den bestehenden datenschutzrechtlichen Anforderungen, beispielsweise aus der Datenschutz-Grundverordnung (DSGVO), und der EU-Verordnung zu Künstlicher Intelligenz (AI Act) ist. Durch die Vielzahl der mittlerweile bestehenden rechtlichen Regelungen und teilweise äußerst komplexen EU-Vorgaben wird es für Unternehmen immer schwieriger, alle relevanten Regelungen für ihr jeweiliges Geschäftsfeld im Blick zu behalten, um sich gesetzeskonform zu verhalten.

Vor diesem Hintergrund kann sich daher auch eine Rechtsbeobachtung mit dem Ziel, die für das jeweilige Geschäftsfeld zu berücksichtigenden Gesetze, Regelungen und Normen zu prüfen, insbesondere auch für zukünftige Änderungen und komplexe Verzahnungen von rechtlichen Regelungen. Das kann Unternehmen helfen, sich gesetzestreu zu verhalten, Compliance-Vorgaben einzuhalten, interne Prozesse zu optimieren und dadurch kostenintensive rechtliche und finanzielle Nachteile, wie insbesondere Bußgeldrisiken, zu vermeiden.

Unternehmen sollten deshalb frühzeitig konkrete Maßnahmen ergreifen und idealerweise externe Experten hinzuziehen, die über Kompetenzen in IT-Recht, technischer Sicherheit und Datenschutz oder auch der KI-Verordnung verfügen. Dies unterstützt Unternehmen dabei, regulatorische Anforderungen wirksam umzusetzen, Synergien zwischen den verschiedenen Rechtsbereichen optimal zu nutzen und langfristig Risiken sowie Sanktionen zu minimieren.

Das Thema Cyber-Resilience kann daher für Unternehmen zur eigenen Absicherung des Unternehmens und Geschäftsfeldes daher durchaus auch positiv und als Chance wahrgenommen werden, um sich am Markt optimal aufzustellen und interne Prozesse zu optimieren.

Das Thema Cyber-Resilienz stellt daher einen wichtigen Baustein im Gesamtkonstrukt der rechtlichen Regelungen zur Widerstandskraft gegenüber äußeren Einflüssen und Einhaltung von rechtlichen Vorgaben für betroffene Unternehmen dar. Das betrifft dabei insbesondere auch den Bereich des Datenschutzes , der sich mit dem Thema Cyber-Resilienz zukünftig immer stärker verzahnt der aufgrund der zunehmenden Komplexität des Themas gerade im Bereich der IT-Infrastruktur aufgrund der Vorgaben des sog. Privacy by Design und Privacy bei Default sowie Security-by-Design immer stärker an Bedeutung gewinnt.

Diese EU-Vorgaben sollten Unternehmen strategisch aktuell und für die Zukunft im Blick und im Fokus behalten, im sich weiterhin rechtskonform aufzustellen und insbesondere digitale Produkte und insbesondere Software auch zukünftig rechtssicher entwickeln und verkaufen zu können.

Haben Sie Fragen oder benötigen Sie weitere Informationen?
Rechtsanwalt Dr. Tobias Beltle berät Sie gerne.

Rechtsanwalt Dr. Tobias Beltle ist Fachanwalt für gewerblichen Rechtsschutz, Fachanwalt für Informationstechnologierecht (IT-Recht) und Mediator. Er ist in seiner anwaltlichen Tätigkeit spezialisiert in den Bereichen des gewerblichen Rechtsschutzes und des IT-Rechts.

Alle Beiträge von Rechtsanwalt Dr. Tobias Beltle anzeigen