Mit dem Cyber Resilience Act (Verordnung (EU) 2024/2847) schafft die Europäische Union erstmals einen unionsweit einheitlichen Rechtsrahmen für Cybersicherheitsanforderungen von Produkten mit digitalen Elementen.
Anders als vorangegangen Gesetzgebungsakte, wie die NIS-2-Richtlinie (Richtlinie (EU) 2022/255), die im Wesentlichen Sicherheitsanforderungen für Betreiber:innen wesentlicher Dienste und digitale Diensteanbieter vorsieht, sowie die DORA-Verordnung (Verordnung (EU) 2022/2554) mit der ein Rechtsrahmen für die digitale Widerstandsfähigkeit der europäischen Finanzunternehmen geschaffen wurde, wird mit dem Cyber Resilience Act auf die Produktsicherheit abgezielt.
Für Unternehmen bedeutet das einen Wandel: Cybersicherheit ist nicht mehr bloß ein technisches Thema, sondern hat sich zu einer bedeutenden Aufgabe der Unternehmens-Compliance weiterentwickelt. Hersteller:innen von Produkten mit digitalen Elementen werden durch den Cyber Resilience Act verpflichtet, über den gesamten Lebenszyklus der Produkte die Cybersicherheit zu gewähren. Die meisten Verpflichtungen der Verordnung werden im Dezember 2027 verbindlich.
Zur Zielerreichung sieht der Cyber Resilience Act Compliance-Pflichten, Marktüberwachung sowie Sanktionen vor. Unternehmen sind daher mehr oder minder dazu gezwungen neue organisatorische Strukturen zu schaffen bzw. vorhandene Prozesse anzupassen.
Hersteller:innen sind nach dem Cyber Resilience Act bereits in der Entwicklungsphase verpflichtet, die Sicherheitsanforderungen der Verordnung zu berücksichtigen. Daher ist es wichtig, nachweisbare Prozesse im Unternehmen zu etablieren, um Sicherheitsstandards systematisch in die Produktentwicklung zu integrieren. Technische Maßnahmen sind daher auch vermehrt rechtlich zu bewerten.
Dabei nimmt auch die Konformitätsbewertung einen wichtigen Stellenwert ein. Produkte mit digitalem Element dürfen zukünftig nur noch in Verkehr gebracht werden, wenn sie den Anforderungen der Verordnung entsprechen. Für interne Prozesse bedeutet das, dass Sicherheitsüberprüfungen, Dokumentationen sowie Freigabeprozesse verordnungskonform durchgeführt werden müssen. Durch umfangreiche Dokumentations- und Nachweispflichten werden betroffene Unternehmen zusätzlich herausgefordert.
Gleichzeitigt verschärft der Cyber Resilience Act die Verantwortung nach dem Inverkehrbringen der Produkte erheblich, da Unternehmen verpflichtet bleiben, Schwachstellen aktiv zu überwachen und Sicherheitsupdates bereitzustellen. Die Verantwortung endet somit nicht mit dem Verkauf, sondern besteht weiterhin für den gesamten Produktlebenszyklus.
Hinzu kommen strenge Meldepflichten bei Sicherheitsvorfällen. Kritische Schwachstellen oder schwerwiegende Vorfälle müssen innerhalb kurzer Fristen an die zuständigen Behörden gemeldet werden. Das erfordert konkrete und klare interne Prozesse sowie die enge Zusammenarbeit zwischen IT-Sicherheit, Compliance und Krisenmanagement.
Gleichzeitig werden auch Importeur:innen und Händler:innenstärker in die Verantwortung einbezogen, da sie die Konformität dervertriebenen Produkte überprüfen müssen.
Cybersicherheit wird durch den Cyber Resilience Act zunehmend auf Managementebene verankert. Ergänzend sind verbindliche Prozesse für Secure Development, Schwachstellenmanagement und Sicherheitsprüfungen erforderlich. Regelmäßige Schulungen und interne Audits sollten zusätzlich hilfreich sein, Sicherheitsanforderungen im Unternehmen dauerhaft einzuhalten.
Insgesamt macht der Cyber Resilience Act deutlich, dass Cybersecurity künftig ein wesentlicher Bestandteil guter Unternehmensführung ist. Die digitale Transformation der Wirtschaft hat unweigerlich dazu geführt, dass sie eine wichtige Rolle im Bereich Produkt-Compliance einnimmt. Unternehmen, die frühzeitig Compliance- und Governance-Strukturen etablieren, reduzieren nicht nur regulatorische und haftungsrelevante Risiken, sondern stärken zugleich das Vertrauen von Kund:innen und Geschäftspartner:innen.
Gerne unterstützen wir Ihr Unternehmen bei der Einführung oder Anpassung solcher Prozesse sowie bei der entsprechenden Umsetzung in Kunden- und Lieferantenverträge sowie Allgemeinen Geschäftsbedingungen.