Fragen und Antworten zur Cyberresilienz-Verordnung

Die Cyberresilienz-Verordnung ist die erste EU-weite Rechtsvorschrift ihrer Art. Mit dem Gesetz werden gemeinsame Cybersicherheitsvorschriften für Hersteller und Entwickler von Produkten mit digitalen Elementen eingeführt. Diese decken sowohl Hardware als auch Software ab.

Mit der Cyberresilienz-Verordnung wird Folgendes sichergestellt:

• Drahtgebundene und drahtlose mit dem Internet verbundene Produkte und Software, die in der EU in Verkehr gebracht werden, werden sicherer;
• die Hersteller bleiben während des gesamten Lebenszyklus eines Produkts für seine Cybersicherheit verantwortlich;
• die Verbraucherinnen und Verbraucher werden angemessen über die Cybersicherheit der Produkte, die sie kaufen und verwenden, informiert.

Cyberangriffe können sich im Binnenmarkt innerhalb von Minuten über die Grenzen hinweg verbreiten. Mit der Verordnung werden daher 2 Probleme angegangen:

Zum einen geht es um das geringe Cybersicherheitsniveau vieler dieser Produkte und vor allem um die Tatsache, dass zahlreiche Hersteller keine Updates bereitstellen, um Schwachstellen zu beheben.

Zwar leidet der Ruf der Hersteller von Produkten mit digitalen Elementen bisweilen, wenn ihre Produkte nicht sicher sind, die Kosten für Schwachstellen werden aber in erster Linie von den gewerblichen Nutzern und von den Verbrauchern getragen. Deshalb haben Hersteller kaum Anreize, in die sichere Konzeption und Entwicklung zu investieren und Sicherheitsupdates bereitzustellen.

Zum anderen verfügen Unternehmen und Verbraucher oftmals nicht über ausreichende und genaue Informationen für die Auswahl sicherer Produkte. Darüber hinaus wissen sie oft nicht, wie sie sichergehen können, dass die von ihnen gekauften Produkte auch sicher eingerichtet sind.

Mit den neuen Vorschriften werden diese beiden Aspekte angegangen, indem das Problem der Updates und der Bereitstellung aktueller Informationen für die Kunden beseitigt wird.

Die Cyberresilienz-Verordnung schreibt vor, dass Produkte mit digitalen Elementen nur dann auf den Markt gebracht werden dürfen, wenn sie bestimmte grundlegende Cybersicherheitsanforderungen erfüllen. Es verpflichtet die Hersteller, die Cybersicherheit bei der Konzeption und Entwicklung von Produkten mit digitalen Elementen zu berücksichtigen.

In Bezug auf die Informationen und Anleitungen, die den Endnutzern zur Verfügung gestellt werden, ist im Rechtsakt über Cyberresilienz vorgesehen, dass die Hersteller im Hinblick auf Cybersicherheitsaspekte transparent sein und ihre Kundinnen und Kunden angemessen darüber informieren müssen.

Ein zentrales Element der Vorschrift ist die Abdeckung des gesamten Lebenszyklus der Produkte, insbesondere die Verpflichtung der Hersteller und Entwickler, einen Support-Zeitraum, der der voraussichtlichen Nutzungsdauer der Produkte entspricht, festzulegen und während diese Zeitraums Sicherheitsupdates bereitzustellen.

Solche Verpflichtungen sollen den Wirtschaftsteilnehmern – angefangen von Herstellern bis hin zu Händlern und Importeuren – in Bezug auf das Inverkehrbringen von Produkten mit digitalen Elementen in einem angemessenen Verhältnis zu ihrer Rolle und Verantwortung in der Lieferkette auferlegt werden.

Auf der Grundlage des neuen EU-Rechtsrahmens für Produktvorschriften würden die Hersteller einem Konformitätsbewertungsverfahren unterzogen, um nachzuweisen, dass die für ein Produkt festgelegten Anforderungen eingehalten wurden.

Dies könnte je nach dem Risikoniveau des betreffenden Produkts durch eine Selbstbewertung oder eine Konformitätsbewertung durch Dritte erfolgen.

Wurde die Konformität eines Produkts mit den geltenden Anforderungen nachgewiesen, würden die Hersteller und Entwickler eine EU-Konformitätserklärung ausstellen und das CE-Zeichen anbringen können. Mit der CE-Kennzeichnung wird die Konformität von Produkten mit digitalen Elementen mit der Cyberresilienz-Verordnung bestätigt, sodass sie im Binnenmarkt frei verkauft und benutzt werden können.

Weiterführende Informationen

EU-Rechtsrahmen für Produktvorschriften (Englisch)

Die Cyberresilienz-Verordnung wird den verschiedenen Beteiligten erhebliche Vorteile bringen: Unternehmen werden bald nur noch EU-weit einheitliche Cybersicherheitsvorschriften einhalten müssen.

Das Gesetz wird die Zahl der Cybersicherheitsvorfälle und damit die Kosten der Bewältigung von Sicherheitsvorfällen und der Rufschädigung für Unternehmen verringern. Damit würde das Vertrauen der Verbraucher und Geschäftskunden in Unternehmen und Produkte gestärkt und damit die Nachfrage nach Produkten mit digitalen Elementen sowohl innerhalb als auch außerhalb der EU gesteigert.

Gleichzeitig werden die Verbraucher und die Nutzer bei der Auswahl eines Produkts mit digitalen Elementen mehr Informationen und klarere Gebrauchsanweisungen erhalten. Aufgrund von geringeren Sicherheitsrisiken und weniger Vorfällen werden die Grundrechte der Verbraucher und Bürger, wie zum Beispiel ihre Daten und ihre Privatsphäre, besser geschützt.

Die Mitgliedstaaten werden Marktüberwachungsbehörden benennen, die für die Durchsetzung der Verpflichtungen aus dem Rechtsakt über Cyberresilienz zuständig sind.

Im Falle der Nichtkonformität könnten die Marktüberwachungsbehörden die Wirtschaftsteilnehmer auffordern, die Nichtkonformität abzustellen und das betreffende Risiko zu beseitigen, die Bereitstellung eines Produkts auf dem Markt untersagen beziehungsweise einschränken oder anordnen, dass das Produkt vom Markt genommen oder zurückgerufen wird. Jede dieser Behörden wird Geldbußen gegen Unternehmen verhängen können, die sich nicht an die Vorschriften halten. In der Cyberresilienz-Verordnung werden Obergrenzen für Geldbußen festgelegt, die in den nationalen Rechtsvorschriften für Fälle der Nichtkonformität vorgesehen werden sollen.

Software, die im Rahmen eines Dienstes bereitgestellt wird, fällt nicht unter die vorgeschlagene Cyberresilienz-Verordnung, da diese ausschließlich für Produkte mit digitalen Elementen gilt, die im europäischen Binnenmarkt verkauft werden, und konkrete Cybersicherheitsanforderungen und -verpflichtungen für die Hersteller dieser Produkte enthält. Die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) und andere sektorspezifische Rechtsvorschriften hingegen stellen sicher, dass Systeme, die als Dienst bereitgestellt oder unternehmensintern entwickelt werden, gleichwertige technische Anforderungen an die Cybersicherheit erfüllen. Dies könnte zum Beispiel elektronische Patientendatensysteme betreffen. Sie sollten ferner das gleiche Schutzniveau gegenüber Cyberbedrohungen bieten wie Produkte mit digitalen Elementen, die unter die Cyberresilienz-Verordnung fallen.

Gemäß der NIS-2-Richtlinie müssen die Mitgliedstaaten sicherstellen, dass wesentliche und wichtige Einrichtungen wie Erbringer von Gesundheitsdienstleistungen oder Cloud-Anbieter und Einrichtungen der öffentlichen Verwaltung geeignete und verhältnismäßige technische, betriebliche und organisatorische Cybersicherheitsmaßnahmen ergreifen. Dazu gehört unter anderem die Anforderung, Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen umzusetzen, einschließlich Management und Offenlegung von Schwachstellen.

Technische und methodische Anforderungen an bestimmte Arten von Einrichtungen, wie Cloud-Computing-Diensteanbieter, sowie gegebenenfalls sektorspezifische Anforderungen werden im Wege von Durchführungsbeschlüssen festgelegt.

Weiterführende Informationen

NIS-2-Richtlinie

Mit der Cyberresilienz-Verordnung wird das Regulierungsumfeld der EU harmonisiert, indem Cybersicherheitsanforderungen für Produkte mit digitalen Elementen eingeführt und Überschneidungen mit Anforderungen, die sich aus verschiedenen Rechtsvorschriften ergeben, vermieden werden. Dies wird zu mehr Rechtssicherheit für Wirtschaftsteilnehmer und Nutzer in der gesamten Union sowie zu einer besseren Harmonisierung des europäischen Binnenmarkts führen, wodurch bessere Bedingungen für Wirtschaftsteilnehmer geschaffen würden, die in den EU-Markt eintreten wollen.

NIS-2-Richtlinie

Insbesondere wird die Cyberresilienz-Verordnung die NIS-2-Richtlinie ergänzen, auf die sich das Europäische Parlament und der Rat kürzlich geeinigt haben. Mit der NIS-2-Richtlinie werden Cybersicherheitsanforderungen, einschließlich Sicherheitsmaßnahmen in der Lieferkette, und Pflichten zur Meldung von Sicherheitsvorfällen für wesentliche und wichtige Einrichtungen festgelegt, um die Resilienz der von ihnen erbrachten Dienste zu erhöhen.

Daher würde ein höheres Cybersicherheitsniveau von Produkten mit digitalen Elementen auch die Einhaltung der Vorschriften durch die in den Anwendungsbereich der NIS-2-Richtlinie fallenden Einrichtungen erleichtern und die Sicherheit der gesamten Lieferkette erhöhen.

Delegierte Verordnung gemäß der Richtlinie über Funkanlagen

Die Cyberresilienz-Verordnung gilt auch für Funkanlagen, die in den Anwendungsbereich der gemäß der Richtlinie 2014/53/EU über Funkanlagen erlassenen delegierten Verordnung (Delegierte Verordnung über Funkanlagen) fallen. Der Rechtsakt über Cyberresilienz steht im Einklang mit den Anforderungen der delegierten Verordnung über Funkanlagen, einschließlich der einzelnen darin geforderten Normen.

Die Cyberresilienzverordnung stellt somit den nächsten wichtigen umfassenden Schritt dar, der auf diesen Normen aufbaut, die bis zur Anwendung der Cyberresilienz-Verordnung entwickelt werden. Um Rechtsklarheit zu schaffen, wird die Delegierte Verordnung über Funkanlagen daher geändert oder aufgehoben werden.

Weiterführende Informationen

Delegierte Verordnung über Funkanlagen, EUR-Lex

Der Rechtsakt wurde am 23. Oktober beschlossen, am 20. November im Amtsblatt der EU veröffentlicht und ist am 11. Dezember 2024 in Kraft getreten. Die Wirtschaftsteilnehmer und die Mitgliedstaaten haben nun 36 Monate Zeit, also bis 11. Dezember 2027, um sich auf die neuen Anforderungen einzustellen.

Eine Ausnahme von dieser Regel ist die Meldepflicht der Hersteller in Bezug auf aktiv ausgenutzte Schwachstellen und Vorfälle, die schon ab 21 Monaten nach Inkrafttreten gelten soll, da sie weniger organisatorische Anpassungen erfordert als die anderen neuen Verpflichtungen.

Um den Herstellern – insbesondere denjenigen, die wichtige Produkte herstellen – die Anwendung der grundlegenden Anforderungen zu erleichtern, wird die Kommission einen Normungsauftrag erteilen, sodass die europäischen Normungsorganisationen technische Normen für viele der Produktkategorien entwickeln können, die unter die Cyberresilienz-Verordnung fallen.

Die Kommission wird den Rechtsakt über Cyberresilienz regelmäßig überprüfen und über seine Funktionsweise Bericht erstatten.

Um die Einhaltung der Cyberresilienz-Verordnung sicherzustellen, sind innerstaatlich Marktüberwachungsbehörden und notifizierende Behörden einzurichten. Letztere bewerten und notifizieren ihrerseits Konformitätsbewertungsstellen. Das Bundeskanzleramt wird die Aufgaben der notifizierenden Behörde durch die Cybersicherheits-Zertifizierungsbehörde wahrnehmen. Weitere Zuständigkeiten werden in den nächsten Monaten im Rahmen der Durchführung der Cyberresilienz-Verordnung festgelegt.

Hersteller (Artikel 13f)

Der Begriff des Herstellers ist in Art. 3 Nr. 13 CRA legaldefiniert. Danach bezeichnet "Hersteller" jede natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich. Es ist also nicht erforderlich, dass der Hersteller das Produkt selbst gefertigt hat. Ferner kann eine Person sohin auch Hersteller sein, wenn sie das Produkt unentgeltlich am Markt anbietet.

Händler (Artikel 20)

Händler, die Produkte mit digitalen Elementen am Markt bereitstellen, treffen Sorgfaltspflichten ("due diligence") in Hinblick auf die Erfüllung der Anforderungen an diese Produkte nach dem CRA.

Einführer (Artikel 19)

Auch Einführer treffen gemäß Art. 19 Pflichten im Zusammenhang mit Produkten mit digitalen Elementen. Grundsätzlich bringen Einführer nur Produkte mit digitalen Elementen in Verkehr, die dem Anhang I genügen (grundlegende Cybersicherheitsanforderungen nach Anhang I Teil I und die vom Hersteller festgelegten Verfahren nach Anhang I Teil II).

Der Begriff des Herstellers ist in Art. 3 Nr. 13 CRA legaldefiniert. Danach bezeichnet "Hersteller" jede natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich. Es ist also nicht erforderlich, dass der Hersteller das Produkt selbst gefertigt hat. Ferner kann eine Person sohin auch Hersteller sein, wenn sie das Produkt unentgeltlich am Markt anbietet.

Hersteller treffen für den gesamten Lebenszyklus eines Produkts unterschiedliche Pflichten:

Konzeption und Herstellung eines Produkts mit digitalen Elementen

Gemäß Art. 13 Abs. 1 CRA haben Hersteller zu gewährleisten, dass sie ein Produkt mit digitalen Elementen vor dem Inverkehrbringen gemäß den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I konzipiert, entwickelt und hergestellt haben.

Die Pflichten der Hersteller beginnen somit bereits im Zeitpunkt der Konzeption. Entsprechend hat auch die Risikobewertung bereits im Zeitpunkt der Konzeption und Entwicklung zu beginnen (Art. 13 Abs. 2 und 3 CRA). Diese Risikobewertung ist zu dokumentieren (Art. 13 Abs. 3 bis 4 CRA). Dies schließt auch die Risikobewertung bei der Auswahl von Dritthersteller-Komponenten ein (Art. 13 Abs. 5 CRA).

Im Rahmen der Herstellung sind die sich aus der initialen Risikobewertung ergebenden Cybersicherheitsanforderungen umzusetzen. Bei der Serienherstellung ist durch geeignete Verfahren die durchgehende Konformität der Produkte sicherzustellen (Art. 13 Abs. 14 CRA).

Inverkehrbringen des Produktes

Vor dem Inverkehrbringen ist die Technische Dokumentation gemäß Art. 31 zu erstellen.

Der Hersteller hat vor dem Inverkehrbringen jedenfalls eine Konformitätsbewertung (Art. 32) durchzuführen. Hierfür kommen folgende Verfahren in Frage (wobei die Auswahl bei wichtigen und kritischen Produkten eingeschränkt ist):

• internes Kontrollverfahren (auf der Grundlage von Modul A) gemäß Anhang VIII
• EU-Baumusterprüfverfahren (auf der Grundlage von Modul B) gemäß Anhang VIII und anschließend Konformität mit dem EU-Baumuster auf der Grundlage der internen Fertigungskontrolle (auf der Grundlage von Modul C) gemäß Anhang VIII
• Konformitätsbewertung auf der Grundlage einer umfassenden Qualitätssicherung (auf der Grundlage von Modul H) gemäß Anhang VIII; oder
• sofern verfügbar und anwendbar, ein europäisches Schema für die Cybersicherheitszertifizierung gemäß Art. 27 Abs. 9 CRA.

Der Hersteller hat die EU-Konformitätserklärung (Art. 13 Abs. 12 und Art. 28 CRA; Anhänge V und VIII) auszustellen. In bestimmten Fällen kann eine vereinfachte EU-Konformitätserklärung ausgestellt werden (Art. 13 Abs. 20 CRA in Verbindung mit Anhang VI).

Ferner hat der Hersteller die CE-Kennzeichnung am Produkt anzubringen, wobei die Vorgaben des Art. 30 (in Verbindung mit Art 29) CRA einzuhalten sind.

Neben der technischen Dokumentation, sind den Produkten Nutzerinformationen und -anleitungen beizulegen, welche die sichere Installation, den sicheren Betrieb und die sichere Verwendung der Produkte mit digitalen Elementen ermöglichen und alle in Anhang II CRA genannten Informationen enthalten. Ebenso sind dort eine von den Herstellern einzurichtende zentrale Anlaufstelle (einschließlich für Schwachstellenmeldungen) sowie die Kontaktdaten des Herstellers beizufügen. (Art. 13 Abs. 16 bis 18 CRA).

Nach dem Inverkehrbringen

Mit dem Inverkehrbringen eines Produktes mit digitalen Elementen enden die Pflichten des Herstellers nicht. Vielmehr treffen den Hersteller für die Dauer des Unterstützungszeitraums beziehungsweise der zu erwartenden Produktlebensdauer noch weitere Beobachtungs- und Wartungspflichten, sodass sich das Risikomanagement über den gesamten Lebenszyklus zieht.

Der Unterstützungszeitraum beträgt grundsätzlich mindestens 5 Jahre (wobei es Ausnahmen bei geringerer zu erwartender Nutzungsdauer geben kann). Die Kommission kann erforderlichenfalls delegierte Rechtsakte erlassen um für bestimmte Produktkategorien Mindestunterstützungszeiträume vorsehen. Dieser Unterstützungszeitraum muss den Nutzern klar erkennbar gemacht werden (sofern technisch machbar, ist den Nutzern beim Enddatum eine Mitteilung zu machen; Art. 13 Abs. 19 CRA).

Das Risikomanagement über den gesamten Lebenszyklus erfordert ein Schwachstellenmanagement und Updatepflichten (Art. 13 Abs. 6 bis 9).

Während dieses Zeitraums dokumentiert der Hersteller ferner systematisch alle relevanten Cybersicherheitsaspekte des Produkts (wobei dies in einer der Art der Cybersicherheitsrisiken angemessenen Weise erfolgen kann; Art. 13 Abs. 7 CRA). Sofern Änderungen im Produktionsprozess (insbesondere bei der Serienherstellung) erforderlich sind, hat der Hersteller diese vorzunehmen (Art. 13 Abs. 14 CRA).

Sofern Hersteller jedoch Grund zur Annahme haben, dass das Produkt mit digitalen Elementen (oder die vom Hersteller festgelegten Verfahren) den grundlegenden Cybersicherheitsanforderungen in Anhang I nicht mehr entsprechen, haben Hersteller unverzüglich Korrekturmaßnahmen zu treffen. Mit diesen stellen sie die entweder die Konformität dieses Produkts/der Prozesse wieder her oder sie nehmen gegebenenfalls das Produkt vom Markt.

Die Hersteller bewahren die technische Dokumentation und die EU-Konformitätserklärung nach dem Inverkehrbringen des Produkts mit digitalen Elementen mindestens 10 Jahre lang (oder für die Dauer eines allfällig längeren Unterstützungszeitraums) für die Marktüberwachungsbehörden auf (Art. 13 Abs. 13 CRA).

Bei Einstellung der Betriebstätigkeit hat ein Hersteller, sofern er dadurch nicht mehr in der Lage ist, die Pflichten des CRA zu erfüllen, die Nutzer darüber zu informieren (Art. 13 Abs. 23 CRA).

Unabhängig vom Unterstützungszeitraum arbeiten Hersteller mit den Marktüberwachungsbehörden zusammen um Maßnahmen zur Abwendung von Cybersicherheitsrisiken zu setzen und stellen Informationen und Unterlagen auf begründetes Verlangen zur Verfügung (Art. 13 Abs. 22 CRA).

Händler, die Produkte mit digitalen Elementen am Markt bereitstellen, treffen Sorgfaltspflichten ("due diligence") in Hinblick auf die Erfüllung der Anforderungen an diese Produkte nach dem CRA.

Jedenfalls haben Händler zu prüfen, ob das Produkt mit der CE-Kennzeichnung versehen ist. Darüber hinaus haben Händler zu überprüfen, ob Hersteller oder Einführer die notwendigen Informationen (insbesondere Kontaktdaten der Hersteller und gegebenenfalls Einführer, zentrale Anlaufstelle, Informationen nach Anhang II, Unterstützungszeitraum, EU-Konformitätserklärung) bereitgestellt haben.

Bei Bedenken hinsichtlich der Konformität darf ein Händler das Produkt nicht vertreiben, bis die Anforderungen des CRA hergestellt sind. Bei einem erheblichen Cybersicherheitsrisiko hat der Händler sowohl Marktaufsicht als auch Hersteller unverzüglich zu informieren.

Sofern ein Händler das Produkt bereits am Markt bereitgestellt hat, sind gegebenenfalls Korrekturmaßnahmen (einschließlich Rücknahme oder Rückruf) zu ergreifen. Ferner haben Händler den Hersteller über entdeckte Schwachstellen zu informieren (bei einem erheblichen Cybersicherheitsrisiko: auch die Marktaufsichtsbehörde).

Darüber hinaus kooperieren Händler ebenso mit den Marktaufsichtsbehörden und stellen auf begründetes Verlangen alle Informationen und Unterlagen, die für den Nachweis der Konformität des Produkts mit digitalen Elementen und der vom Hersteller festgelegten Verfahren dieser Verordnung erforderlich sind, zur Verfügung.

Auch der Händler unterrichtet die Marktüberwachungsbehörden und die Nutzer nach Möglichkeit, sofern er darüber Kenntnis erlangt, dass der Hersteller seine Geschäftstätigkeit einstellt.

Auch Einführer treffen gemäß Art. 19 Pflichten im Zusammenhang mit Produkten mit digitalen Elementen. Grundsätzlich bringen Einführer nur Produkte mit digitalen Elementen in Verkehr, die dem Anhang I genügen (grundlegende Cybersicherheitsanforderungen nach Anhang I Teil I und die vom Hersteller festgelegten Verfahren nach Anhang I Teil II).

Einführer stellen sicher, dass der Hersteller die Konformitätsbewertung nach Art. 32 durchgeführt und die technische Dokumentation erstellt hat, die CE-Kennzeichnung angebracht und die EU-Konformitätserklärung und die Nutzerinformationen beigefügt sind und ferner das Produkt mit einer Kennnummer versehen ist, der Unterstützungszeitraum angegeben ist und die Kontaktdaten des Herstellers beigefügt sind. Einführer geben ihre eigenen Kontaktdaten dem Produkt bei.

Vergleichbar mit dem Händler hat auch der Einführer bei Bedenken hinsichtlich der Konformität davon abzusehen, das Produkt in den Markt einzubringen, bis die Anforderungen des CRA hergestellt sind. Bei einem erheblichen Cybersicherheitsrisiko hat der Einführer sowohl Marktaufsicht als auch Hersteller unverzüglich zu informieren.

Einführer halten für mindestens 10 Jahre (oder für die Dauer eines allfällig längeren Unterstützungszeitraums) ein Exemplar der EU-Konformitätserklärung sowie technische Dokumentation zum Produkt bereit.

Einführer, die Grund zu der Annahme haben, dass ein Produkt mit digitalen Elementen, das sie in den Verkehr gebracht haben, dieser Verordnung nicht entspricht, ergreifen unverzüglich die erforderlichen Korrekturmaßnahmen. Ferner informieren Einführer den Hersteller unverzüglich über entdeckte Schwachstellen (bei einem erheblichen Cybersicherheitsrisiko: auch die Marktaufsichtsbehörde).

Darüber hinaus kooperieren Einführer mit den Marktaufsichtsbehörden und stellen auf begründetes Verlangen alle Informationen/Unterlagen zur Verfügung und informieren die Marktaufsichtsbehörden und gegebenenfalls Nutzer im Fall darüber, dass ein Hersteller seine Betriebstätigkeit eingestellt hat.

Der CRA richtet sich lediglich an wirtschaftliche Akteure (Hersteller, Einführer, Händler). Für Nutzer, sei es ein Unternehmer oder Verbraucher, enthält der CRA keine Pflichten. Exemplarisch beschreibt hierzu Erw. 56 CRA, dass "eine der wichtigsten Maßnahmen, die die Nutzer ergreifen müssen, um ihre Produkte mit digitalen Elementen vor Cyberangriffen zu schützen, […] die schnellstmögliche Installation der neuesten verfügbaren Sicherheitsaktualisierungen" sei. Dies ist jedoch strenggenommen keine "Pflicht" (sondern eine bloße "Obligation"), da dies nicht durchgesetzt werden kann. Wie Erw. 56 CRA ferner festhält, sollen etwa Nutzer weiterhin die Möglichkeit haben, automatische Aktualisierungen zu deaktivieren und auf Aktualisierungen verzichten zu können. Jedoch hat eine Nachlässigkeit bei der Installation verfügbarer Sicherheitsaktualisierungen mitunter schadenersatzrechtliche Konsequenzen (Schadensminderungsobliegenheit; bestimmte Schäden können gegen den Hersteller mitunter nicht mehr geltend gemacht werden).

Erw. 56 ist exemplarisch und steht für eine gewisse Verteilung des Risikos zwischen dem Hersteller und dem Nutzer. Anders formuliert: der Hersteller hat Maßnahmen zu treffen, damit das Produkt mit digitalen Elementen ein – angesichts der der damit verbundenen Risiken – angemessenes Cybersicherheitsniveau gewährleistet (siehe Anhang I Teil 1 Punkt 1 CRA). Da Hersteller jedoch nicht jeden denkbaren Anwendungsfall antizipieren können, sind Nutzer dazu angehalten, mit der gebotenen Sorgfalt vorzugehen.

Indirekt ergeben sich für die Nutzer jedoch mitunter aus anderen Rechtsakten eigene Pflichten (zum Beispiel für wesentliche oder wichtige Einrichtungen aus der NIS-2-Richtlinie) oder aus Verträgen.

Die Europäische Kommission kann in einem delegierten Rechtsakt bestimmte Produkte als "kritische Produkte" feststellen. Dabei können nur solche Produkte mit digitalen Elementen als kritische Produkte gelten, die wichtige Funktionen aus bestimmten Produktkategorien erfüllen, welche in Anhang IV der Verordnung genannt sind. Derzeit gibt es noch keinen solchen delegierten Rechtsakt der Kommission, mit der kritische Produkte definiert würden.

Für kritische Produkte kann die Europäische Kommission festlegen, dass sie ein europäisches Cybersicherheitszertifikat mindestens der Stufe "mittel" als Konformitätsnachweis benötigen. Dieses Zertifikat soll zeigen, dass sie die grundlegenden Anforderungen an Cybersicherheit erfüllen. Dabei wird auch berücksichtigt, wie hoch das Risiko dieser Produkte ist und wie wichtig sie zum Beispiel für wichtige Einrichtungen sind.

Solange es noch keine speziellen Regeln gibt, gelten allgemeine Prüfverfahren aus Art. 32 Abs. 3 Cyberresilienz-Verordnung.

Wichtige Produkte mit digitalen Elementen sind solche, die die Kernfunktion einer Produktgruppe erfüllen, die in Anhang III der Cyberresilienz-Verordnung aufgelistet ist. Für diese Produkte gelten bestimmte Konformitätsbewertungsverfahren (Art. 32 Abs. 2 und 3 CRA), um sicherzustellen, dass sie den Regeln entsprechen.

Zu beachten: Wenn ein wichtiges digitales Produkt in ein anderes Gerät eingebaut wird, bedeutet das nicht automatisch, dass auch das gesamte Gerät diese Prüfungen durchlaufen muss.

• Produkte, die unter die europäische Medizinprodukte-Verordnung fallen (Verordnung (EU) 2017/745); siehe Art. 2 Abs. 2 lit. a.
• Produkte, die unter die europäische Verordnung über In-vitro-Diagnostika fallen (Verordnung (EU) 2017/746); siehe Art. 2 Abs. 2 lit. b.
• Produkte, die unter die europäische Verordnung zur Typgenehmigung fallen (Verordnung (EU) 2019/2144); siehe Art. 2 Abs. 2 lit. c.
• Produkte, die unter die europäische Verordnung zur Festlegung gemeinsamer Vorschriften in der Zivilluftfahrt fallen (Verordnung (EU) 2018/1139); siehe Art. 2 Abs. 3.
• Produkte, die unter die europäische Richtlinie über Schiffsausrüstung fallen (Richtlinie 2014/90/EU); siehe Art. 2 Abs. 4.
• Ersatzteile, die auf dem Markt bereitgestellt werden, um identische Komponenten in Produkten mit digitalen Elementen zu ersetzen, und die nach denselben Spezifikationen hergestellt werden wie die Bauteile, die sie ersetzen sollen; siehe Art. 2 Abs. 6.
• Produkte, die ausschließlich für Zwecke der nationalen Sicherheit oder für Verteidigungszwecke entwickelt/geändert wurden, und auch nicht für Produkte, die speziell für die Verarbeitung von Verschlusssachen konzipiert sind; siehe Art. 2 Abs. 7.

Zusätzlich kann die Europäische Kommission delegierte Rechtsakte erlassen, mit denen sie die Anwendung dieser Verordnung auf Produkte einschränken oder ausschließen kann, solange diese Produkte sektorspezifischen Vorschriften unterliegen, durch welche zumindest dasselbe Schutzniveau erreicht wird.