Am 15. September 2022 stellte die Europäische Kommission ihren Entwurf für den bereits seit geraumer Zeit erwarteten 'Cyber Resilience Act' (CRA, "Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020") vor. Wie die Bezeichnung des Rechtsaktes bereits vermuten lässt, steht die Stärkung der horizontalen Cybersicherheit für dieses europäische Gesetz im Mittelpunkt – ein Thema, das von Branchenverbänden schon lange als unzureichend kritisiert wurde. Besorgnis besteht vor allem dahingehend, dass die intensive Cybersecurity-Gesetzgebung der EU in den letzten Jahren insbesondere seit der ersten Netz- und Informationssicherheitsrichtlinie (NIS, 2016) dazu führen könnte, dass die Anschlussfähigkeit an die zahlreichen branchenrelevanten Gesetze aus dem New Legislative Framework (NLF) verpasst wird. Horizontale Regelungen sollen mithin produktgruppenspezifischen und damit vertikalen Rechtsakten vorgezogen werden, um eine Fragmentierung der Regulatorik zu vermeiden und für mehr Kohärenz in den Anforderungen zu sorgen. Das Impact Assessment, das dem heute veröffentlichten Gesetzentwurf inhaltlich vorangeht, fand im Rahmen einer öffentlichen Konsultation der EU-Kommission vom 16.3. bis zum 25.5.2022 statt.
Cybersicherheit über den gesamten Produktlebenszyklus gedacht: der europäische 'Cyber Resilience Act' kommt!
Klare Ziele: Digitale Resilienz für die gesamte IT-Wertschöpfungskette
Der Entwurf des CRA steckt ausweislich seiner Begründung klare Ziele: Einerseits ist die europäische Union mit einer großen Zahl mannigfaltiger digitaler Produkte im Alltag umfassend vernetzt, andererseits nehmen Cyberangriffe und Cybercrime immer weiter zu. Hierfür werden zwei Faktoren verantwortlich gemacht: ein niedriges Cybersecurity-Niveau, das sich in weit verbreiteten Schwachstellen und der unzureichenden Bereitstellung von entsprechenden Sicherheitsupdates widerspiegelt, sowie ein unzureichendes Verständnis und ein unzureichender Zugang zu Informationen seitens der Nutzer, wodurch sie daran gehindert werden, Produkte mit angemessener Cybersicherheit auszuwählen bzw. Produkte auf sichere Weise zu nutzen. Die EU leitet ihren aus diesen Risiken resultierenden Regulierungsauftrag daraus ab, dass sich ein einzelner, eigentlich produktbezogener Cybersicherheitsvorfall auf diese Weise zu einer grenzüberschreitenden Gefahr für die IT-Sicherheit entwickeln kann, die schwerwiegende Folgen für den gesamten digitalen europäischen Binnenmarkt zur Folge hat. In der Begründung explizit genannt wird in diesem Zusammenhang die suboptimale Produktsicherheit. Dementsprechend verfolgt der CRA vier spezifische regulatorische Ziele:
- Die Gewährleistung, dass die Hersteller die Sicherheit von Produkten mit digitalen Elementen von der Entwurfs- und Entwicklungsphase an und während des gesamten Lebenszyklus verbessern ("cybersecurity by design").
- Die Gewährleistung eines kohärenten Rahmens für die Cybersicherheit, der den Herstellern von Hardware und Software die Einhaltung der Compliance-Vorgaben erleichtert.
- Die Verbesserung der Transparenz der Sicherheitseigenschaften von Produkten mit digitalen Elementen.
- Die Befähigung von Unternehmen und Verbrauchern, Produkte mit digitalen Elementen sicher zu nutzen.
Anknüpfung an weltweiten Jahresumsatz: Sanktionsregime mit der DS-GVO vergleichbar
Der CRA bestimmt, dass die Sanktionen "wirksam, verhältnismäßig und abschreckend" sein müssen. Dass der CRA auch bei den Sanktionen kein "zahnloser Tiger" ist, wird schnell deutlich: So kann eine Nichteinhaltung der im Rechtsakt niedergelegten grundlegenden Cybersicherheitsanforderungen Geldbußen von maximal 15.000.000 EUR oder wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, in Höhe von bis zu 2,5 % seines gesamten weltweiten Jahresumsatzes im vorausgegangenen Geschäftsjahr zur Folge haben, je nachdem, welcher Betrag höher ist. Auch geringfügigere Verstöße können abgestuft beginnend mit 5.000.000 EUR bzw. 1% des im vorausgegangenen Geschäftsjahr erzielten weltweiten Gesamtjahresumsatzes geahndet werden. Eine Mehrfachbebußung für dieselbe Zuwiderhandlung wird nicht ausgeschlossen.
Fazit und Einschätzung
Noch ist für vom CRA betroffene Unternehmen etwas Zeit – der CRA soll grundsätzlich erst nach einer Übergangsfrist von 24 Monaten wirksam werden und liegt zurzeit in einer ersten Entwurfsfassung vor, sodass das europäische Gesetzgebungsverfahren noch nicht abgeschlossen ist. Fest steht aber schon jetzt: Politisch soll der CRA der „große europäische Wurf“ in der Cybersicherheit werden, der in seinen Ambitionen alle bislang verabschiedeten Regelungen deutlich in den Schatten stellt. Dies liegt einerseits natürlich an seinem strengen Sanktionsregime, wodurch Cybersicherheit endgültig zu einem Thema mit erheblicher sektorübergreifender Relevanz aufgestiegen ist, andererseits aber vor allem an seinem breiten Zuschnitt im Anwendungsbereich und seinem umfassenden wie detailliert geregelten Pflichtenkatalog für betroffene Marktakteure und mitgliedstaatliche Behörden, Cybersicherheit über den gesamten Produktlebenszyklus zu denken und umzusetzen.
Der CRA berücksichtigt hierdurch im Ergebnis nicht nur die Cybersicherheit, sondern die digitale Resilienz im Ganzen – und das in einem Zeitalter globaler Krisen, in dem diese mehr denn je herausgefordert ist. Cybersicherheit ist deshalb schon lange nicht mehr auf die bloßen technischen Schutzziele der IT-Sicherheit zu reduzieren, sondern hat sich zu einer gesellschaftlichen, wirtschaftlichen und multidisziplinären Herausforderung entwickelt. Dies versucht auch der Entwurf des CRA zu berücksichtigen, indem er den gesamten Weg der Wertschöpfungskette digitaler Produkte in seine Betrachtung einbezieht – ein auf gesetzlicher Ebene neuer Ansatz, denn bislang wurden Sorgfaltspflichten und Leistungsbeziehungen in der Lieferkette rechtlich vorwiegend vertraglich und somit nur zwischen den einzelnen Parteien erfasst. Wo der CRA im Impact Assessment noch für seinen abgestuften und halbherzig wirkenden Ansatz kritisiert werden konnte, finden sich nunmehr grundsätzlich keine Anknüpfungspunkte für eine solche Kritik – im Gegenteil, die Cybersecurity-Anforderungen insbesondere für das IoT-Segment wurden im Kommissionsentwurf begrüßenswerterweise nicht aufgeweicht, sondern verschärft.
Deutlich wird, dass der CRA eine Lücke in der bisherigen europäischen Digitalgesetzgebung schließen soll und dieser Zielsetzung auch alle Ehre macht – und das war insoweit auch der einzige logische Schluss, denn bislang hat die EU ihre erheblichen gesetzgeberischen Anstrengungen in der Digitalisierung in den letzten Jahren vor allem bereichsspezifisch und vertikal platziert. Der CRA bildet nun das bislang verbliebene „Puzzlestück“, um eine Schnittstelle zwischen all den Rechtsakten herzustellen, die Cybersicherheit unmittelbar oder mittelbar adressieren, so beispielsweise die bestehenden und zurzeit teils in Überarbeitung befindlichen Rechtsakte aus dem NLF, dem CSA, NIS 2, dem AI Act und der neuen EU Maschinenverordnung. Bestehende Regelungslücken werden damit geschlossen. Weitergehende Bezüge zu ambitionierten Programmen wie EU CyCLONe legen nahe, dass dies erst der Anfang sein wird zu einem ganzen europäischen Ökosystem an digitaler Resilienz. Auch die früher noch so stark ausschlaggebende Unterscheidung zwischen "Security" und "Safety" rückt damit immer weiter in den Hintergrund, da das eine ohne das andere zwangsläufig nicht mehr denkbar ist. Deutlich wird außerdem: Die EU überträgt die seit Jahrzehnten bekannten allgemeinen Grundsätze der Produkthaftung nun auch explizit auf die Cybersicherheit.
Mit dem CRA kommen nicht nur auf Betreiber neue, strenge Pflichten zur Cybersicherheit zu, sondern letztlich auf alle Parteien, die an der digitalen Lieferkette beteiligt sind, also Hersteller, Importeure und Vertrieb. Mit dieser wachsenden technischen Verantwortung wächst jedoch auch der bürokratische Aufwand, und damit geizt der CRA definitiv nicht. Mehr Personalressourcen und höhere Kosten sind somit die Folge. Natürlich besteht ein eminenter Bedarf für nachhaltige und nach Möglichkeit über die gesamte Lieferkette gewährleistete Cybersicherheit, in die Betrachtung einbezogen werden muss aber auch, dass Unternehmen im IT-Bereich schon jetzt unzähligen globalen, europäischen und nationalen Compliance-Pflichten ausgesetzt sind. Und Cybersecurity ist hiervon nur ein Teilaspekt.
Und damit sind wir, aller Lobeshymnen zum Trotz, schon bei den Schwachstellen des CRA angelangt: seiner Bürokratie. Bei einem Blick in die hochkomplexen, verweisungslastigen und detailverliebten Vorschriften darf sich manch einer sicherlich nicht ganz unberechtigt fragen, ob Cybersecurity-Regulierung in Zukunft zum Selbstzweck werden soll. Die Sorge davor erkennt sogar der europäische Gesetzgeber jetzt schon, wenn er im Entwurf gesetzliche Schutzmechanismen vorsieht, damit Cybersicherheit nicht zu einem Risiko für freien Warenverkehr und Wettbewerb in der EU wird und als mitgliedstaatliches Mittel des Protektionismus für eigene Hersteller und Produkte missbraucht wird. Diese erkennbaren Widrigkeiten machen deutlich, dass auch beim noch so wichtigen Thema der Cybersicherheit zeitnah regulatorische Grenzen erreicht werden und die EU dringendes Augenmerk darauf legen muss, sich in all der Gesetzgebung um die digitale Souveränität beizeiten nicht zu „verzetteln“.
Trotz des an sich lobenswerten und ganzheitlichen Ansatzes des CRA stellen sich darüber hinaus nicht unwichtige Einzelfallfragen, die schnell die Effektivität der Gesamtkonstruktion in Frage stellen können: Welche tatsächlich auch relevante Rolle spielt zwischen harmonisierten europäischen Normen und eigenen Spezifikationen der EU-Kommission zur Cybersecurity nach CRA nun noch der CSA? Warum wird die Pflicht zu Sicherheitsaktualisierungen pauschal auf maximal 5 Jahre limitiert, wo es viele deutlich langlebigere und hochpreisige Produkte mit digitalen Elementen gibt? Wie will die EU gewährleisten, dass der Hersteller mit all seinen Pflichten auch für den Kunden stets transparent und rechtssicher erreichbar ist? Sollte es der EU gelingen, auch diese noch offenen Fragen im Laufe der weiteren Gesetzgebung zufriedenstellend zu adressieren, so ist der CRA zumindest in der Theorie zunächst gar nicht mal so ein schlechtes Gesetz. Die Praxis wird dann in einigen Jahren zeigen, ob die Rechnung zu an sich wünschenswerter "ganzheitlicher digitaler Resilienz" aufgeht.