Interview: Nora Nuissl, Content Manager SPS New Business
Mit dem Inkrafttreten des Cyber Resilience Acts (CRA) im Dezember 2024 startete eine neue Ära der IT-Sicherheit. Die europäische Verordnung legt erstmals einheitliche und verbindliche Cybersicherheitsanforderungen für den Lebenszyklus aller Produkte mit digitalen Elementen fest. Ziel ist es, Verbraucher und Unternehmen, die Software- oder Hardwareprodukte mit einer digitalen Komponente kaufen, zu schützen. Die wichtigsten mit dem Gesetz eingeführten Verpflichtungen gelten ab dem 11. Dezember 2027. Für Hersteller, Importeure und Händler gilt es zu klären: Was kommt konkret auf uns zu und wer muss was umsetzen?
Herr Dr. Hötzel, gilt der CRA nur für neu entwickelte Produkte oder wird er auch auf unveränderte Bestandsprodukte angewendet?
Er gilt nach Ende der Übergangsfristen für unveränderte Bestandsprodukte, wenn diese neu in den Verkehr gebracht werden. Bereits im Markt befindliche Produkte müssen nicht vom Markt entfernt werden, wenn diese weitgehend unverändert bleiben.
Welches Vorgehen muss eingehalten werden, um ein Bestandsprodukt – abgesehen von der Risikobetrachtung – CRA-konform zu machen, insbesondere bei nicht-kritischen Produkten?
Letztlich müssen sämtliche Anforderungen des CRA umgesetzt werden. Die genaue Antwort auf die Frage fällt entsprechend umfangreich aus. Es wird das konkrete Produkt zu betrachten sein, um eine Abschichtung der Fragestellungen vornehmen zu können.
Allgemein wird bei einem Bestandsprodukt mit einer GAP-Analyse zu beginnen sein. Es werden sodann eine technische Dokumentation angefertigt werden müssen und hierzu eine Risikobewertung unter Cybersicherheitsaspekten durchgeführt werden müssen.
„Das CE-Kennzeichen kann nach erfolgreich ausgestellter Konformitätserklärung angebracht werden.“
Ferner sind die sogenannten grundlegenden Anforderungen einzuhalten, und zwar in Bezug auf die Produkteigenschaften und in Bezug auf das Schwachstellenmanagement. Die Übereinstimmung mit den grundlegenden Anforderungen ist schließlich über ein Konformitätsbewertungsverfahren zu zeigen, wobei – abhängig von der Risikoklasse – die Einbindung einer sogenannten benannten Stelle erforderlich sein kann. Ist alles ordnungsgemäß, kann die Konformitätserklärung ausgestellt werden und das CE-Kennzeichen angebracht werden.
Mehr zur Person
Dr. Gerrit Hötzel ist Fachanwalt für IT-Recht sowie Fachanwalt für Urheber- und Medienrecht und Partner der Full-Service-Kanzlei VOELKER & Partner Rechtsanwälte Wirtschaftsprüfer Steuerberater mbB am Standort Stuttgart. Er berät und begleitet Unternehmen umfassend im Bereich der Digitalisierung und der Product Compliance und führt außergerichtliche wie auch gerichtliche Verfahren. Mehr Informationen unter: www.voelker-gruppe.com
Welche Regeln gelten für den Export von Produkten mit digitalen Elementen außerhalb Europas?
Maßgeblich ist, ob das Produkt im Unionsmarkt in den Verkehr gebracht wird. Für den konkreten Fall ist zu beurteilen, ob der Export so ausgestaltet ist, dass ein In-Verkehr-bringen nicht gegeben ist.
Welche Auswirkungen hat der Cyber Resilience Act (CRA) auf die Fahrzeughomologation?
Der CRA gilt nicht für Produkte, die unter die Verordnung (EU) 2019/2144 fallen.
Welche Anforderungen des CRA werden bereits durch eine VDA5050 mitgebracht?
Als Hintergrund zur Einordnung der Frage aus der Live-Q&A-Runde: Autonome Mobile Roboter beziehungsweise eine Fahrerlose-Transport-System-Flotte wird durch eine Zentrale gesteuert. Diese steuert ebenfalls die Maschinedatenerfassungssysteme und die Maschinen. Wer hat als Systemlieferant den Hut auf?
„Bei Nicht-Einhaltung des Cyber Resilience Acts ist ein Bußgeldrahmen von bis zu 15 Mio. Euro oder 2,5 % des weltweiten Umsatzes vorgesehen.“
Mit dem CRA wird ein horizontaler Regulierungsansatz verfolgt, das heißt es werden (fast) alle Marktsegmente reguliert. Über die VDA5050 erfolgt die Definition einer Kommunikationsschnittstelle für fahrerlose Transportsysteme. Inwieweit diese spezifischen Beschreibungen die allgemein formulierten, technischen Anforderungen des CRA tangieren, bedarf einer genaueren Betrachtung. Die Anforderungen des CRA gehen jedoch in jedem Fall weiter. Zunächst wird zu ermitteln sein, wer als Hersteller im Sinne des CRA zu betrachten ist, um gemäß der Fragestellung zu ermitteln „Wer hat den Hut auf?“.
Inwieweit kann künstliche Intelligenz (KI) die Zertifizierung unterstützen? Gibt es schon Angebote diesbezüglich im Markt?
Hierzu ist mir bislang wenig Konkretes bekannt. KI wird insbesondere bei der Dokumentenverwaltung unterstützen können wie zum Beispiel bei der Anfertigung der technischen Dokumentation. Es ist aber fraglich, ob KI im Vergleich zu „klassischer Software“ besondere Vorteile bietet.
Haben alle Sicherheitsupdates einer Software gemäß CRA über den kompletten Produktlebenszyklus kostenlos zu erfolgen?
Im B2C-Bereich ja. Im B2B-Bereich kann – innerhalb bestimmter Grenzen – eine vertragliche Regelung erfolgen und eine Vergütung verlangt werden.
Welche Auswirkungen ergeben sich aus einer Nicht-Einhaltung des CRA?
Die übliche Antwort wird sich auf die Bußgeldregelung beziehen. Es ist ein Bußgeldrahmen von bis zu 15 Mio. Euro oder 2,5 % des weltweiten Umsatzes vorgesehen.
Das In-Verkehr-bringen eines Produkts ohne ordnungsgemäße CE-Kennzeichnung kann jedoch wesentlich weitergehende und vermutlich wahrscheinlichere Folgen haben, wie ein Einschreiten der Marktüberwachungsbehörden, medienwirksame „Beschlagnahmungen“ von Produkten auf Veranlassung von Wettbewerbern sowie eine Haftung der Entscheider im Unternehmen. Je nach genauer Situation ist dabei von Vorsatz auszugehen, sodass gegebenenfalls noch nicht einmal ein Versicherungsschutz eingreift. Im Falle von Lieferketten können zudem erhebliche Regress-Schäden entstehen, insbesondere wenn Abnehmer mit die eigenen Produkten in weitere Produkte verbauen, bei denen erheblichere Schäden entstehen können. Im Falle eines gerichtlichen Unterlassungsverfahrens, das auch in einem Eilverfahren möglich sein wird, können zudem kurzfristig umfassende und kostspielige „Produktrückrufe“ durchzuführen sein.
Herr Hötzel, vielen Dank für dieses Gespräch.
Sie sind neugierig und wollen noch mehr rund um den Cyber Resilience Act erfahren? Dann schauen Sie in die Aufzeichnung unseres SPS Technology Talks vom 27.02.2025 – inklusive der gesamten Keynote sowie Frage-Antwort-Runde mit Dr. Gerrit Hötzel.
Weiterführende Informationen
Hier haben wir einige der im Kontext genannten Verordnungen und Richtlinien für Sie zusammengestellt:
- Informationen der Europäischen Kommission zum Cyber Resilience Act
- Offizielle CRA-Regulation
- VDA 5050
- Informationen der Europäischen Kommission zu NIS 2
- Offizielle NIS 2-Direktive