Schon wieder etwas Neues in Sachen Cyber aus Brüssel. Und erneut ein erheblicher Aufwand für Unternehmen. Ihr Kreis ist zwar etwas kleiner als in Sachen Datenschutz (DSGVO) oder der eignen Cybersicherheit (NIS-2). Allerdings sind immerhin alle Unternehmen betroffen, deren Produkte digitale Elemente verwenden oder Software (mit Ausnahme kostenfreier Open-Source-Software) darstellen und die ab Ende 2027 neu auf den EU-Markt gebracht werden. Zudem gibt es Ausnahmen für die Ersatzteilherstellung von Bestandsprodukten sowie für bestimmte Branchen wie beispielsweise Medizinprodukte oder Fahrzeuge.
Gelten werden die Pflichten der CRV (oder auch „CRA“) ab dem 11. Dezember 2027. Doch wie sehen diese konkret aus? Hier die wesentlichen Anforderungen an betroffene Unternehmen:
Produkte mit digitalen Elementen, d. h. Software- oder Hardwareprodukte mit getrennt in den Verkehr gebrachten Datenfernverarbeitungslösungen, müssen zum einen sicher sein. Sie dürfen daher nur ohne bekannte ausnutzbare Schwachstellen und mit einer sicheren Standardkonfiguration auf den Markt gebracht werden. Zum anderen ist der Datenschutz sicherzustellen. Hierzu gehören Kontrollmechanismen, die Schutz vor unbefugtem Zugriff bieten (z. B. durch Mehrfaktorauthentifizierung) und die Vertraulichkeit und Integrität insbesondere von personenbezogenen Daten schützen (z. B. durch Verschlüsselung). Letztere müssen zudem auf ein Minimum beschränkt sein.
Die Hersteller sind außerdem dazu verpflichtet, ihre Produkte mit digitalen Elementen regelmäßig zu überprüfen und Schwachstellen oder Komponenten zu ermitteln, zu dokumentieren und unverzüglich zu beheben. Dies hat unter anderem durch Bereitstellung von Sicherheitsaktualisierungen zu geschehen, die auch Informationen über die Schwachstellen enthalten. Diese Aktualisierungen müssen unverzüglich verbreitet werden, zusammen mit Hinweisen, etwa hinsichtlich zu treffender möglicher Maßnahmen.
Der Hersteller muss insbesondere seine eigenen Kontaktdaten angeben sowie die zentrale Kontaktstelle, bei der Informationen über Schwachstellen des Produkts mit digitalen Elementen gemeldet werden können. Zu nennen sind außerdem alle Umstände, die zu erheblichen Cybersicherheitsrisiken führen können, welche Risiken dies sind sowie ausführliche Anleitungen zu Sicherheitsmaßnahmen.
Schließlich müssen die Hersteller jede aktiv ausgenutzte Schwachstelle, die in dem Produkt mit digitalen Elementen enthalten ist und von der sie Kenntnis erlangen, gleichzeitig dem CERT Bund und der Meldeplattform der Agentur der Europäischen Union für Cybersicherheit (ENISA) mitteilen.
Bei Verstößen gegen die dargestellten Pflichten drohen Geldbußen von bis zu 15 Mio. Euro oder von bis zu 2,5 Prozent des gesamten weltweiten Jahresumsatzes.
Fazit: Die ausgesprochen umfangreichen Vorgaben gelten de facto nicht erst 2027, sondern bereits heute, da sie bei der Produktentwicklung und Organisation zu berücksichtigen sind. Wer heute und in Zukunft als Geschäftsführer nicht am Ball bleibt und sein Unternehmen vor Schäden schützt, riskiert ganz sicher eine persönliche Haftung.
Dieser Beitrag ist Teil unseres Sondernewsletters Managementperspektive: Cyberrisiken im Fokus. Bleiben Sie über aktuelle Entwicklungen informiert – jetzt Newsletter abonnieren.