Wer ist verpflichtet – und wozu?
Produkte mit digitalen Elementen durchlaufen auf ihrem Weg zum Nutzer verschiedene Hände. Vom Entwickler über den Einführer bis zum Händler – und daneben stehen Organisationen, die Open-Source-Software fördern, ohne selbst als Hersteller aufzutreten. Der CRA adressiert sie alle, allerdings mit abgestuften Pflichten. Anknüpfungspunkt des CRA ist das Produkt mit digitalen Elementen (PDE) worunter im Ergebnis so gut wie jedes vernetzte Gerät und Software fällt. Welche Produkte nach dem CRA als PDE einzustufen sind, werden wir noch in einem eigenen ausführlichen Blogbeitrag beleuchten.
Hersteller als zentraler Akteur
Wer ist Hersteller?
Der Hersteller steht im Mittelpunkt des CRA. Hersteller ist eine natürliche oder juristische Person, die ein Produkt mit digitalen Elementen entwickelt oder herstellen lässt und unter ihrem eigenen Namen oder ihrer eigenen Marke vermarktet. Der Begriff ist bewusst weit gefasst. Er knüpft weder an eine bestimmte Unternehmensform noch an eine Mindestgröße an.
Grundlegende Sicherheitsanforderungen
Art. 6 i.V.m. Art. 13 Abs. 1 CRA verpflichtet Hersteller, die in Anhang I genannten grundlegenden Sicherheitsanforderungen zu beachten, die unabhängig von der konkreten Produktkategorie gelten.
Zunächst müssen Produkte frei sein von bekannten, ausnutzbaren Schwachstellen (Anhang I Teil I Ziffer 2 buchst. a CRA). Bereits hier beginnen die Probleme für die Praxis: Ab wann gilt eine Schwachstelle als „bekannt“ – erst mit der Vergabe einer CVE-Nummer (und damit Veröffentlichung auf einer der bekanntesten Plattformen für Sicherheitlücken, der „Common Vulnerability and Exposures (CVE) list“) oder schon bei einer Meldung in einem weniger bekannten Nachrichtenportal? Daneben werden unter anderem eine sichere Standardkonfiguration, Update-Fähigkeit mit der Möglichkeit für Nutzer, Updates zu verschieben, Schutz vor unbefugtem Zugriff, DoS-Attacken, Gewährleistung von Vertraulichkeit und Integrität sowie Datenminimierung verlangt.
Hinzu kommt die Pflicht, eine Software Bill of Materials (SBOM) zu erstellen und zu pflegen – eine maschinenlesbare Aufstellung aller Softwarekomponenten und ihrer Abhängigkeiten (Art. 13 Abs. 4, Art. 31 i. V. m. Anhang VII. Nr. 2 buchst. b CRA)
Die BSI-Richtlinie TR-03183 bietet Herstellern Orientierung für die Erfüllung der Anforderungen.
Risikobewertung und Unterstützungszeitraum
Für jedes Produkt ist eine Cybersicherheitsrisikobewertung durchzuführen (Art. 13. Abs. 2, 3 CRA), die den gesamten Lebenszyklus – von der Planung über die Entwicklung bis zur Wartung – erfasst. Diese Bewertung ist zu dokumentieren (Art. 13 Abs. 4 CRA) und fortlaufend zu aktualisieren. Die technische Dokumentation und die EU-Konformitätserklärung sind mindestens zehn Jahre lang für die Marktüberwachungsbehörden bereitzuhalten. Die Schwachstellen des Produkts sind während des gesamten Unterstützungszeitraums zu beheben, der der voraussichtlichen Nutzungsdauer entsprechen soll. Als Untergrenze nennt der CRA fünf Jahre – relativiert das aber sogleich: Ist davon auszugehen, dass das Produkt kürzer in Betrieb ist, muss der Unterstützungszeitraum der voraussichtlichen Nutzungsdauer entsprechen. Im Ergebnis kann der Unterstützungszeitraum sowohl kürzer als auch länger als fünf Jahre sein.
Meldepflichten
Die Meldepflichten nach Art. 14 CRA gliedern sich in drei Richtungen: Meldungen an die Behörden (CSIRT und ENISA), an die Nutzer (Downstream) und an die Hersteller von Drittkomponenten (Upstream). Auf diese wird in einem separaten Beitrag ausführlich eingegangen. Anzumerken sei an dieser Stelle aber bereits der straffe Zeitplan beginnend mit einer Frühmeldung innerhalb von 24 Stunden für jede aktiv ausgenutzte Schwachstelle oder schwerwiegenden Sicherheitsvorfall, die im Nachgang noch mit ausführlicheren Informationen zum Vorfall oder der Schwachstelle, sowie Behebungsmaßnahmen ergänzt werden muss (nach 72 Stunden und innerhalb einer Monatsfrist).
Bevollmächtigte
Hersteller mit Sitz außerhalb der EU benötigen eine Anlaufstelle innerhalb des Unionsmarkts, die gegenüber Behörden und Marktüberwachung als Ansprechpartner fungieren kann. Der CRA ermöglicht es Herstellern, einen Bevollmächtigten schriftlich zu beauftragen, der bestimmte Aufgaben in ihrem Namen wahrnimmt.
Die grundlegenden Sicherheitsanforderungen lassen sich allerdings nicht übertragen. Der Bevollmächtigte ist damit ein administrativer Repräsentant und kein Ersatz für den Hersteller. In der Praxis dürfte seine Rolle vor allem bei der Kommunikation mit den Marktüberwachungsbehörden und der Bereithaltung von Dokumentationen relevant werden.
Einführer
Einführer sind Personen, die Produkte mit digitalen Elementen in der Union in den Verkehr bringen, die außerhalb der Union hergestellt wurden. Sie fungieren als Bindeglied zwischen dem Drittstaat-Hersteller und dem Unionsmarkt (Definition in Art. 3 Nr. 16 CRA).
Die Pflichten spiegeln diese Rolle wider. Einführer haben unter anderem sicherzustellen, dass die importierten Produkte den grundlegenden Anforderungen des CRA entsprechen und dass die notwendigen Konformitätsbewertungsverfahren durchgeführt wurden. Sie müssen prüfen, ob eine CE-Kennzeichnung vorhanden und die EU-Konformitätserklärung beigefügt ist. Sicherheitsrisiken sind den Marktüberwachungsbehörden zu melden und er darf das Produkt erst dann in den Verkehr bringen, wenn die Konformität dieses Produkts und der vom Hersteller festgelegten Verfahren mit dem CRA hergestellt ist (Pflichtenkatalog des Einführers in Art. 19 CRA).
Die Wahrnehmung dieser Aufgaben setzt voraus, dass er vom Drittstaat-Hersteller die relevanten Unterlagen erhält und in der Lage ist, zumindest deren Plausibilität zu beurteilen. Eine eigenständige technische Überprüfung wird in den meisten Fällen nicht verlangt werden können, wohl aber die Prüfung, ob die formalen Voraussetzungen erfüllt sind und ob offensichtliche Widersprüche in den vorgelegten Unterlagen bestehen.
Besonders relevant ist, dass der Einführer unter Umständen selbst in die Rolle des Herstellers rutschen kann. Bringt ein Einführer Produkte unter seinem eigenen Namen oder seiner eigenen Marke in Verkehr, gilt er als Hersteller – mit allen daraus folgenden Pflichten. In der Praxis betrifft das insbesondere White-Label-Produkte. Wer seinen Namen draufsetzt, übernimmt die volle Verantwortung.
Händler
Händler sind Personen, die Produkte mit digitalen Elementen auf dem Markt bereitstellen, ohne selbst Hersteller oder Einführer zu sein (Definition in Art. 3 Nr. 17 CRA).
Ihre Pflichten fallen etwas schlanker aus als die der Einführer, ähneln diesen aber im Grundsatz. Händler müssen beim Bereitstellen von Produkten sicherstellen, dass die CE-Kennzeichnung angebracht ist und die erforderlichen Dokumentationen vorliegen. Besteht Grund zu der Annahme, dass ein Produkt nicht konform ist, darf der Händler es nicht bereitstellen, solange die Konformität nicht hergestellt ist. Schwachstellen oder erhebliche Sicherheitsrisiken sind den Marktüberwachungsbehörden zu melden (Pflichtenkatalog des Händlers ergibt sich aus Art. 20 CRA).
Auch für Händler besteht die Möglichkeit des Rollenwechsels: Wer Produkte unter eigenem Namen oder eigener Marke in Verkehr bringt, wird zum Hersteller. Insgesamt handelt es sich bei der Händlerrolle um eine Art Mindest-Sorgfaltspflicht. Der Händler muss zwar nicht die technischen Sicherheitsanforderungen selbst gewährleisten, jedoch muss er mit der gebührenden Sorgfalt handeln und darf nicht die Augen verschließen.
Open-Source-Software-Stewards
Mit dem „Verwalter quelloffener Software“ – im Sprachgebrauch der Praxis als Open-Source-Software-Steward oder kurz OSS-Steward bekannt – hat der europäische Gesetzgeber einen Akteur geschaffen, den es so in keinem anderen Regelwerk gibt.
OSS-Stewards unterliegen einem deutlich reduzierten Pflichtenkatalog. Die Erwägungsgründe nennen insbesondere Stiftungen und gemeinnützige Einrichtungen als typische Adressaten. Auf den OSS-Steward und seine Pflichten wird aufgrund seiner Komplexität in einem weiteren Beitrag noch eigenständig eingegangen.
Zusammenwirken der Akteure in der Lieferkette
Die Pflichten der jeweiligen Akteure greifen ineinander und bilden ein System abgestufter Verantwortlichkeiten entlang der Lieferkette. Der Hersteller trägt die Hauptlast: Er muss die Sicherheitsanforderungen erfüllen, die Risikobewertung durchführen und die Meldepflichten in alle Richtungen bedienen. Der Einführer prüft die Konformität auf dem Weg in den Unionsmarkt. Der Händler überwacht auf der letzten Meile, ob die formalen Voraussetzungen vorliegen. Das System funktioniert nur, wenn die vorgelagerten Akteure ihre Pflichten erfüllen. Tun sie das nicht, können die nachgelagerten Akteure in eine schwierige Lage geraten: Sie tragen eigene Pflichten, sind aber abhängig von der Kooperation.
Vertraglich sollte dieser Umstand frühzeitig abgesichert werden. Einführer und Händler sind gut beraten, sich von ihren Lieferanten die Einhaltung der CRA-Anforderungen vertraglich zusichern zu lassen und entsprechende Informations-, Kooperations- und Freistellungspflichten zu vereinbaren. Fehlen solche Vereinbarungen, steht der Einführer oder Händler im Ernstfall mit eigenen Pflichten da, ohne die notwendigen Informationen vom Hersteller zu erhalten.
Für Hersteller, die Drittkomponenten integrieren, stellt sich ein ähnliches Problem in der Upstream-Richtung. Sie tragen die Verantwortung für die Sicherheit ihres Gesamtprodukts, sind aber abhängig von der Qualität der zugekauften oder eingebundenen Komponenten. In der Praxis ist sicherzustellen, dass gerade bei nicht selbst hergestellten Drittkomponenten die Gewährleistung entsprechender Sicherheitspflichten durch eine vertragliche Vereinbarung abgedeckt ist.
Für Unternehmen, die Produkte mit digitalen Elementen herstellen, importieren oder vertreiben, gilt: Die Zeit drängt. Die Pflichten des CRA setzen etablierte Prozesse voraus – von der Risikobewertung über das Schwachstellenmanagement bis zu den Meldewegen. Wer damit erst mit dem Scharfschalten der Norm beginnt, wird die Fristen kaum einhalten können.
Es empfiehlt sich dringend, die eigenen Produkte und deren Lieferketten bereits jetzt systematisch auf ihre CRA-Relevanz hin zu überprüfen. Insbesondere die Frage, ob ein Unternehmen als Hersteller, Einführer oder Händler einzuordnen ist – oder möglicherweise durch White-Labeling in die Herstellerrolle gerät –, sollte frühzeitig geklärt werden. Dasselbe gilt für die organisatorischen Voraussetzungen der Meldepflichten: Wer sind die internen Ansprechpartner? Wie werden Schwachstellen erkannt und bewertet? Welche Kommunikationswege müssen eingerichtet werden?