Am 12. März 2024 hat das EU-Parlament der Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen“ zugestimmt bzw. die Annahme des vereinbarten Rechtssetzungstextes erklärt. Die EU-Verordnung, auch Cyber Resilience Act (CRA) genannt, wird als Verordnung unmittelbar in den Mitgliedsstaaten der EU Geltung erlangen. Ab der Veröffentlichung im Amtsblatt der Europäischen Union und dem Ablauf einer Frist von 20 Tagen besteht eine Umsetzungsfrist von 36 Monaten, Besonderheiten gelten für die betroffenen digitalen Produkte, die vor Inkrafttreten des CRA bereits in den Verkehr gebracht wurden.
Betroffen vom CRA ist der Aspekt der Cybersicherheit für Produkte mit digitalen Elementen, die mit dem Internet verbunden sind, und zwar in vier Phasen:
- Konzeption
- Entwicklung
- Herstellung
- Inverkehrbringen
Anwenden müssen die EU-Verordnung neben Herstellern auch Händler, die betroffen sind und Produkte mit digitalen Elementen anbieten. Diese müssen
- Den CRA beachten
- Pflichten vor der Bereitstellung auf dem Markt
- Produkt mit digitalen Elementen muss mit der CE-Kennzeichnung versehen sein
- Händler muss erforderliche Dokumente durch Hersteller und/oder Einführer der Produkte mit digitalen Elementen erhalten haben (darunter u.a. technische Dokumentation, die EU-Konformitätserklärung, Typen-, Chargen- oder Seriennummer oder ein anderes Kennzeichen auf Produkte mit digitalen Elementen, alternativ der Verpackung dem Produkt beigefügten Unterlagen,
- Angabe von Daten zum Hersteller auf Produkt mit digitalen Elemente oder alternativ auf Verpackung oder dem Produkt beigefügten Unterlagen (Namen, den eingetragenen Handelsnamen oder die eingetragene Handelsmarke des Herstellers, die Postanschrift, die E-Mail-Adresse oder andere digitale Kontaktangaben sowie, soweit vorhanden, die Website, unter der der Hersteller zu erreichen ist; Die Kontaktangaben sind in einer Sprache abzufassen, die von den Nutzern und den Marktüberwachungsbehörden leicht verstanden werden kann)
- Prüfpflichten der Einhaltung des CRA vor Bereitstellung und während Bereitstellung (Meldepflichten von Sicherheitslücken an Hersteller ab Kenntnis des Händlers)
Bei Nicht-Einhaltung des CRA drohen auch Händlern Bußgeldern sowie wettbewerbsrechtliche Abmahnungen, da der CRA als Marktverhaltensregelungen im Sinne des § 3a UWG einzustufen sein dürfte.