Recht, Legal Updates

Legal Update #50: Cyberresilienz-VO: Neue Cybersicherheitsanforderungen für Produkte mit digitalen Elementen

Der Gesetzgebungsprozess rund um die neue Cyberresilienz-Verordnung steht kurz vor seinem Abschluss. Sie bringt mit sich neue Vorschriften für die Cybersicherung von Produkten mit digitalen Elementen. Ein hohes Sicherheitsniveau innerhalb des EU-Raums ist das Ziel. Sobald die Verordnung Anwendbarkeit erlangt, müssen Händler von Smart-Home-Geräten oder ähnlichen Produkten ihre umfangreichen (CyberSec-)Anforderungen erfüllen. Die wichtigsten Eckpunkte der neuen Verordnung für den österreichischen Handel erfahren Sie in Legal Update #50.

Die EU-Cyberresilienz-Verordnung bringt neue Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen, um ein hohes Sicherheitsniveau innerhalb des gesamten EU-Raums zu gewährleisten und Konsumenten vor Cyberrisiken zu schützen. Die neuen Bestimmungen betreffen grds die gesamte Lieferkette, nicht zuletzt aber auch Händler die Produkte mit digitalen Komponenten auf dem EU-Markt anbieten, und erstrecken sich auf den gesamten Lebenszyklus solcher Produkte.

1. Aktueller Stand der Gesetzgebung und Anwendbarkeit

Die Cyberresilienz-Verordnung wurde am 10. Oktober 2024 vom Rat der EU angenommen. Nach der anstehenden Veröffentlichung im EU-Amtsblatt tritt sie 20 Tage darauf in Kraft. Ein dreijähriger Übergangszeitraum wurde festgelegt, wodurch die Verordnung ab Ende 2027 vollständig anwendbar sein wird. Für bestimmte Vorschriften (zB Meldepflichten von Herstellern) gelten verkürzte Übergangsphasen.

2. Was regelt die Cyberresilienz-Verordnung und wen betrifft sie?

Die Cyberresilienz-Verordnung gilt für alle Produkte mit digitalen Elementen, die auf dem EU-Markt in Verkehr gebracht werden und eine Verbindung mit einem Gerät oder Netz aufbauen – von Smart-Home-Geräten bis hin zu Softwareanwendungen. Dazu zählen sowohl Hardware als auch Software, die mit dem Internet verbunden sind. Ausnahmen bestehen allerdings in Bezug auf Produkte, die bereits gesonderten Sicherheitsregeln unterliegen (zB Medizinprodukte).

Die Verordnung legt umfassende Cybersicherheitsanforderungen fest, welche sicherstellen sollen, dass erfasste Produkte während ihres gesamten Lebenszyklus sicher bleiben und Sicherheitslücken schnell behoben werden. Die Regeln der Cyberresilienz-Verordnung sind dabei für einen breiten Personenkreis beachtlich, welcher sich auf die gesamte Wertschöpfungskette von Produkten mit digitalen Komponenten erstreckt und insb Hersteller, Importeure und Händler miteinschließt.

3. Neue Pflichten für österreichische Händler

3.1      Kontrolle der Cybersicherheit

Händler müssen sicherstellen, dass die Produkte, die sie verkaufen, den Cybersicherheitsanforderungen der Cyberresilienz-Verordnung entsprechen. Dies bedeutet nicht zuletzt, dass sie überprüfen müssen, ob der Hersteller oder Importeur entsprechende Sicherheitsvorkehrungen getroffen hat, etwa die Bereitstellung regelmäßiger Software-Updates zur Behebung von Schwachstellen. IdZ treffen Händler auch gewisse Informationspflichten gegenüber dem Hersteller einschlägiger Produkte; diese müssen den Hersteller über entdeckte Sicherheitslücken unverzüglich informieren.

Sollte der Hersteller eines Produktes seine unternehmerische Tätigkeit eingestellt haben – und dementsprechend nicht mehr in der Lage sein, die Anforderungen der neuen Verordnung zu erfüllen – besteht für Händler ggf auch eine Informationspflicht gegenüber Nutzern der fraglichen Produkte.

3.2      Konformitätsbewertung und CE-Kennzeichnung

Produkte mit digitalen Elementen müssen eine Konformitätsbewertung durchlaufen, um die Einhaltung der Cybersicherheitsanforderungen zu gewährleisten.

Die CE-Kennzeichnung ist bereits für viele Produkte verpflichtend. Neu ist jedoch, dass die CE-Kennzeichnung nun auch impliziert, dass die Cybersicherheitsanforderungen erfüllt sind. Händler müssen vor dem Verkauf von Produkten mit digitalen Elementen überprüfen, ob diese das CE-Kennzeichen tragen und die notwendigen Konformitätsunterlagen vorhanden sind.

3.3      Zusammenarbeit mit den Behörden

Händler müssen unverzüglich sicherheitsrelevante Vorfälle melden und betroffene Produkte vom Markt nehmen. Die Zusammenarbeit erfolgt vor allem mit den nationalen Marktüberwachungsbehörden. Zudem können die Behörden zusätzliche Informationen oder technische Unterstützung von Händlern einfordern.

4. Besondere Herausforderungen für den Online-Handel

Insbesondere Online-Händler müssen ihre internen Prozesse anpassen, um den Anforderungen der Cyberresilienz-Verordnung gerecht zu werden. Dies umfasst auch die Sicherstellung einer sicheren Lieferkette, in der alle Akteure – vom Hersteller bis zum Endkunden – die Cybersicherheitsanforderungen einhalten. Betreiber von Online-Marktplätzen müssen zusätzlich sicherstellen, dass keine unsicheren Produkte auf ihren Plattformen angeboten werden.

5. Anhänge zur Cyberresilienz-Verordnung als Hilfestellung für die Umsetzung

Die Verordnung enthält spezifische Anhänge, welche Händlern eine Anleitung für die Umsetzung ihrer entsprechenden Verpflichtungen bietet:

  • Anhang I beschreibt die grundlegenden Cybersicherheitsanforderungen (“Security by Design”), die für alle Produkte mit digitalen Elementen gelten (zB Schutz vor unbefugtem Zugriff, sichere Standardkonfigurationen).
  • Anhang II listet die Informationen auf, die Nutzern bereitgestellt werden müssen, zB Anleitungen zur sicheren Installation, Nutzung und Aktualisierung.
  • Anhang III und IV klassifizieren wichtige sowie kritische Produkte mit digitalen Elementen.
  • Anhang V und VI stellen Informationen zum Inhalt der EU-Konformitätserklärung bereit.
  • Anhang VII legt fest, welche technische Dokumentation für die Konformitätsprüfung erforderlich ist, einschließlich der Sicherheitsmaßnahmen und Verfahren zur Behandlung von Schwachstellen.
  • Anhang VIII behandelt die verschiedenen Verfahren zur Bewertung der Cybersicherheitskonformität, einschließlich interner Kontrollen und externer Prüfungen.

6. Mögliche Sanktionen bei Nichteinhaltung

Die Verordnung sieht strenge Sanktionen bei Verstößen vor. Sollten Produkte mit digitalen Elementen ohne die erforderlichen Sicherheitsvorkehrungen auf den Markt gebracht werden, drohen hohe Geldstrafen.

Je nach konkretem Verstoß können Geldbußen von bis zu EUR 15 Mio oder 2,5 % des weltweiten Jahresumsatzes verhängt werden. Auch die Erteilung von Falschinformationen, unter anderem gegenüber Marktüberwachungsbehörden, ist mit empfindlichen Strafdrohungen bis zu EUR 5 Mio oder 1 % des weltweiten Jahresumsatzes bedroht.

Diese Strafen sollen sicherstellen, dass Unternehmen die Cybersicherheitsanforderungen ernst nehmen. Für die Strafbemessung werden dabei alle im Einzelfall relevanten Umstände, etwa Art, Schwere und Dauer des Verstoßes, aber auch die jeweilige Unternehmensgröße berücksichtigt.

7. Conclusio

Die Cyberresilienz-Verordnung bringt für österreichische Händler neue, spezifische Herausforderungen, insb im Bereich der Cybersicherheit. Sie müssen sich nun intensiv mit digitalen Risiken auseinandersetzen und Produkte mit digitalen Elementen auf diese vorbereiten. Das erfordert nicht nur technische Anpassungen, sondern auch eine enge Abstimmung mit Herstellern und Lieferanten.

Gleichzeitig bietet die Verordnung die Chance, das Vertrauen der Kunden zu stärken, indem sicherheitskonforme, hochwertige Produkte angeboten werden.

Frühzeitige Vorbereitung und fundierte rechtliche Beratung sind entscheidend, um die neuen Anforderungen rechtzeitig und umfassend zu erfüllen und finanzielle Sanktionen zu vermeiden.

STADLER VÖLKEL Rechtsanwälte bietet qualifizierte Beratung in ausgewählten Schwerpunktbereichen, wie z.B. Wirtschafts- & Bankenrecht sowie Kryptowährungen. Mehr Infos finden Sie unter: www.sv.law

Leave a Reply