4. Cyber Resilience Act – Cyberresilienz-Verordnung (2024/2847/EU)
4.1 Inkrafttreten und Geltungszeitpunkt
Die Cyberresilienz-Verordnung (Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen) ist am 10. Dezember 2024 in Kraft getreten. Die wichtigsten Regelungen gelten ab dem 11. Dezember 2027.
4.2 Ziele und Allgemeine Anforderungen
Um Unternehmen und Verbraucher angesichts der weltweit erhebliche angestiegene Cyberkriminalität bessern schützen zu können, werden mit dem Cyber Resilience Act für die EU einheitliche Cybersicherheits-Standards eingeführt.
Die Verordnung gilt für alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden sind, mit Ausnahme bestimmter Ausnahmen wie bestimmte quelloffene Software- oder Dienstleistungsprodukte, die bereits unter bestehende Vorschriften fallen, was für Medizinprodukte, Luftfahrt und Autos der Fall ist. Sie gilt neben der neuen Maschinenverordnung für Maschinen.
Die neuen Vorschriften werden die Verantwortung gegenüber den Herstellern von Maschinen neu ausbalancieren, die sicherstellen müssen, dass ihre Produkte mit digitalen Elementen den Cybersicherheitsstandards für den EU-Markt entsprechen. Der Cyber Resilience Act stellt besondere Anforderungen an die Cybersicherheit solcher Produkte und verpflichtet Hersteller dazu, mögliche Sicherheitslücken über die Gesamtlebensdauer des Produktes zu schließen und bei Auftreten von Schwachstellen kostenfreie Sicherheitsupdates zur Verfügung zu stellen.
4.3 Hardware und Software
Die Verordnung erfasst sowohl in Hardware integrierte Software als auch Stand-Alone-Software. Cloud-Lösungen unterfallen der Verordnung nur dann, wenn sie als sog. Datenfernverarbeitungslösungen einzuordnen sind. Das umfasst entfernt stattfindende Datenverarbeitungen, für die eine Software vom Hersteller selbst oder unter dessen Verantwortung konzipiert und entwickelt wird und ohne die die Maschine mit digitalen Elementen eine seiner Funktionen nicht erfüllen kann.
4.4 Besondere Cybersicherheitsanforderungen
Hersteller müssen sicherstellen, dass ihre Produkte mit digitalen Elementen nach den geregelten Cybersicherheitsanforderungen konzipiert, entwickelt und hergestellt sind.
Dies setzt insbesondere Folgendes voraus
- keine Schwachstellen und Sicherheits-Updates zu deren Behebung;
- standardmäßige sichere Konfiguration verfügen, die ohne weiteres wieder in den Ausgangszustand zurückgesetzt werden kann;
- geeignete Kontrollmechanismen vor unbefugtem Zugriff auf Daten bzw. vor nicht autorisierter Manipulation der Maschinenbefehle und Programme;
- Sammlung nicht erforderlicher Daten – Datenminimierung;
- Begrenzung der Angriffsflächen für Cyberangriffe;
- Verringerung der Auswirkung möglicher Cyberangriffe
4.5 Risikobewertung und Due Diligence
Hersteller haben dazu eine Risikobewertung durchzuführen. Diese muss sich auf den gesamten Produktlebenszyklus der Maschine beziehen, d.h. von der Planung, Entwicklung, Herstellung, Montage, Betrieb bis zur Wartung und Demontage. Soweit von Dritten bezogene Komponenten oder Software in die Maschine integriert werden, muss der Hersteller eine sog. Due Diligence durchführen, um sicherzustellen, dass diese die Cybersicherheit der eigenen Maschine, deren Komponenten und Software nicht beeinträchtigen.
4.6 Nachmarktpflichten
Hersteller müssen über den sog. Unterstützungszeitraum hinweg etwaige Cybersicherheitsrisiken und -lücken systematisch identifizieren und die Risikobewertung dahingehend fortlaufend aktualisieren. Der Unterstützungszeitraum soll in der Regel mindestens 5 Jahre ab Inverkehrbringung der Maschine dauern. Werden Sicherheitslücken erkannt, ist auf diese unverzüglich entsprechend den Anforderungen der Verordnung zu reagieren, insbesondere mit der Bereitstellung von Sicherheits-Updates. Die Verordnung verlangt dazu von den Herstellern die Implementierung geeigneter interner Prozesse, um Sicherheitslücken zu erkennen, diese zu bearbeiten und letztlich zu beheben (sog. Schwachstellenmanagementsystem).
4.7 Informationspflichten
Hersteller sollen es ihren Kunden ermöglichen cybersicherheitsrelevante Eigenschaften bei der Auswahl und Nutzung der Maschine stärker zu berücksichtigen. Dazu müssen Hersteller ihren Produkten insbesondere Informationen zu den wesentlichen Cybersicherheits-Funktionen und -Eigenschaften der Maschine sowie zu technischen Cybersicherheits-Supports des Herstellers beifügen.
4.8 Konformitätsbewertung
Hersteller von Maschinen müssen die Erfüllung der wesentlichen Anforderungen der Verordnung mit einem der jeweils für die Maschine anwendbaren Konformitätsbewertungsverfahren nachweisen, u. a. interne Fertigungskontrolle oder EU-Baumusterprüfung.
– – –
Stuttgart, den 15. Januar 2025
Rechtsanwalt Dominik Görtz
Fachanwalt für internationales Wirtschaftsrecht
Görtz Legal Rechtsanwaltsgesellschaft mbH
Schwieberdinger Straße 56
D-70435 Stuttgart
Tel. 0711 – 365 917 0
Email goertz@goertz-legal.de
www.goertz-legal.de
