Von Jan Pohle und Yannick Zirnstein *)

Die seit einiger Zeit exponentiell zunehmenden Cyberattacken auf Unternehmen, öffentliche Stellen oder Privatpersonen können existenzbedrohenden Ausmaße nach sich ziehen. Allein durch die Vielzahl der Cybersicherheitsvorfälle erhält das Thema Cybersicherheit zudem auch eine stetig wachsende öffentliche Aufmerksamkeit.

Die Europäische Kommission kündigte daher bereits im Jahr 2021 ein Gesetzgebungsvorhaben an, das wirksame Maßnahmen zum Schutz der Sicherheit im Netz fördern sollte. Am 15. September 2022 wurde der Entwurf des sogenannten „Cyber Resilience Act“ veröffentlicht, der sachgerechte Regelungsansätze enthält, jedoch teilweise mit unklaren oder drastischen Regelungsvorschlägen für große Aufmerksamkeit sorgt.

Zielsetzung des Gesetzesentwurfes ist es, Bedingungen dafür zu schaffen, dass bestimmte Produkte während ihres gesamten Produktlebenszyklus zahlreiche Anforderungen zur Verbesserung des Schutzes vor digitalen Angriffen erfüllen. Ebenso sollen Unternehmen entlang der Produktherstellungs- und Produktvertriebskette zu weiteren Maßnahmen verpflichtet werden. So sollen sie unter anderem dafür sorgen, im Falle eines erfolgreichen Cyberangriffs umgehende Maßnahmen zu treffen, um schädliche Auswirkungen möglichst gering zu halten.

Zur Überwachung der Einhaltung dieser Anforderungen sollen öffentliche Stellen zahlreiche, zum Teil sehr eingriffsintensive Befugnisse erhalten. Falls erforderlich, sollen Behörden ermächtigt werden, Maßnahmen zu ergreifen, um Unternehmen zur Einhaltung dieser Anforderungen zu verpflichten. Bei Nichteinhaltung des Gesetzes drohen empfindliche Bußgelder. Die Relevanz des Regelungsgegenstands Cybersicherheit unterstreicht die Europäische Kommission bereits dadurch, dass der Anwendungsbereich des Gesetzesentwurfs denkbar weit gefasst ist.

So werden alle Produkte mit digitalen Elementen erfasst, deren beabsichtigte oder absehbare Nutzung darin liegt, eine direkte oder indirekte Verknüpfung gleich welcher Art zu einem Gerät oder Netzwerk herzustellen. Darunter versteht der Ge­setzesentwurf etwa sämtliche Soft- und Hardwareprodukte und die jeweils verknüpften Datenverarbeitungsvorgänge. Bei Anwendung dieser Vorgaben sollten in einer weiter fortschreitenden digitalisierten Welt nahezu keine Produkte mehr existieren, die diese Anforderungen nicht erfüllen.

Doch nicht alle Produkte behandelt der Entwurf gleich – abhängig davon, welches Risiko ein bestimmtes Produkt für die Cybersicherheit des Anwenders ausstrahlt, kann das Produkt als „kritisches Produkt“ einzuordnen sein und muss als solches zusätzliche, strengere gesetzlich bestimmte Anforderungen erfüllen. Zu diesen Produkten zählen beispielsweise Internetbrowser, Passwortmanager, Betriebssysteme oder auch Mikroprozessoren.

Nicht nur der sachliche Anwendungsbereich des Entwurfs ist denkbar weit gefasst – der Entwurf verpflichtet auch sämtliche Unternehmen, die bei der Entwicklung, Herstellung und beim Vertrieb eines Produkts aktiv werden. Dabei sieht der Entwurf für die Hersteller und Importeure eines Produkts sowie für Unternehmen in der Vertriebskette differenzierte Pflichten vor. Den strengsten Anforderungen unterliegt der Hersteller, doch müssen auch Importeure und Vertriebsunternehmen zahlreiche weitere Anforderungen erfüllen.

Gemeinsam haben die Pflichten all dieser Akteure, dass die relevanten Produkte die „wesentlichen Cybersicherheitsanforderungen und -pflichten“ erfüllen müssen, die der Entwurf vorgibt. Dazu zählen insbesondere die Entwicklung, Produktion und Markteinführung der betroffenen Produkte unter Einhaltung bestimmter rechtlicher und technischer Parameter sowie ein wirksames Schwachstellenmanagement. Die Pflichten sind dabei meist über einen Zeitraum von bis zu fünf Jahren einzuhalten, beginnend mit der Markteinführung eines Produkts. Zum Nachweis der Einhaltung dieser Pflichten sollen die Hersteller eine sogenannte Kon­formitätsbeurteilung durchführen. Hierfür sieht der Entwurf, auch abhängig von der Risikoklassifizierung des Produkts, unterschiedliche Verfahren vor, die dem Hersteller zur Wahl stehen.

Der knapp bemessene Übergangszeitraum dürfte zu großen Herausforderungen bei den Normadressaten führen. Ab dem Inkrafttreten des Gesetz bleiben den Unternehmen gerade einmal 24 Monate, um die jeweiligen Anforderungen umzusetzen und zu erfüllen.

Dies dürfte schwer mit der Praxis zu vereinbaren sein: Produktentwicklungs- und -herstellungszyklen sind zumeist über einen deutlich längeren Zeitraum angelegt. Insbesondere in der Übergangsphase werden die unternehmensseitigen Produktplanungen angepasst werden müssen, eine vorausschauende Planung ist angezeigt, zusätzliche Kosten sind unvermeidbar.

Auch sind innerhalb des Übergangszeitraums die vertraglichen Beziehungen mit Geschäftspartnern zu überarbeiten, um den neuen rechtlichen Anforderungen im Zu­sammenspiel von Herstellern, Im­porteuren und Vertriebsunternehmen zu genügen.

Zur Überprüfung der Einhaltung der gesetzlichen Anforderungen sieht der Entwurf zahlreiche, teils empfindliche Eingriffsbefugnisse diverser öffentlicher Stellen vor. Nationale Behörden sind ermächtigt – auch in Abstimmung nationalen Behörden –, den europäischen Binnenmarkt entsprechend zu überwachen und in bestimmten Situationen einzelne Produkte oder Produktkategorien zu untersuchen. Sollte eine solche Untersuchung aus Sicht der Behörde ergeben, dass bestimmte gesetzliche Anforderungen nicht eingehalten werden, kann die Behörde weitere Maßnahmen treffen. Beispielsweise kann sie ein Unternehmen dazu verpflichten, sämtliche Maßnahmen zu treffen, um einen gesetzeskonformen Zustand herzustellen.

Sollte es keine wirksameren Mittel geben, die Gesetzeseinhaltung herzustellen, können Behörden im Einzelfall auch Bußgelder verhängen. Der Gesetzesentwurf sieht ein Bußgeldkonzept vor, das dem Beispiel jüngerer europäischer Gesetzgebung, unter anderem dem der Datenschutz-Grundverordnung, folgt und zu empfindlichen Strafen führen kann. Bußgelder können in einer maximalen Höhe von 15 Mill. Euro, oder 2,5 % des Jahresumsatzes des vergangenen Geschäftsjahres verhängt werden.

Sicherlich soll die maximale Bußgeldhöhe vor allem der Abschreckung dienen. Betrachtet man die Bußgeldpraxis der Behörden unter der Datenschutz-Grundverordnung, kommt es bisher nur in Ausnahmefällen zu Bußgeldern in Höhe mehrstelliger Millionenbeträge. Neben der Herstellung und Überwachung von Compliance wird eine wirksame Verteidigung ein Bußgeldrisiko minimieren können sein. Gleichwohl steht zu erwarten, dass sich die Bußgeldpraxis unter dem Cyber Resilience Act eigenständig entwickelt.

Das Gesetzgebungsvorhaben be­findet sich noch im Anfangsstadium. Im weiteren Verlauf werden sich noch das Europäische Parlament und der Europäische Rat äußern und vermutlich eigene Vorschläge einbringen. Es dürfte mit zahlreichen Änderungen zu rechnen sein. Marktteilnehmer, deren Geschäftsmodell auch Produkte mit digitalen Elementen enthält, sind dennoch angehalten, sich auf den Ernstfall vorzubereiten. Sie sollten das Gesetzgebungsverfahren sorgfältig beobachten und sich frühzeitig bemühen, absehbare künftige Anforderungen zu berücksichtigen und entsprechende Maßnahmen umzusetzen.

Hier zeigt die Erfahrung aus der Umsetzung der Vorgaben der Datenschutz-Grundverordnung, dass sich der Zeitraum, der zur Umsetzung der gesetzlichen Vorgaben bleibt, in der Praxis als sehr kurz bewahrheitet und sich die Anforderungen nicht selten als komplex herausstellen.

*) Jan Pohle ist Partner und Yannick Zirnstein Senior Associate von DLA Piper in Köln.