Am 10. Dezember 2024 ist der Cyber Resilience Act ([EU] 2024/2847) in Kraft getreten. Das Gesetz soll als „horizontale“ Regelung die Cybersicherheit von sog. Produkten mit digitalen Elementen branchenunabhängig erhöhen. Der Begriff des Produkts mit digitalen Elementen wird dabei sehr weit verstanden und erfasst sämtliche Hard- und Softwareprodukte, bei denen eine Datenverbindung mit einem Gerät oder Netz besteht (z.B. Textverarbeitungsprogramme, Smart Speaker, Graphikkarten, Smart-TVs oder Betriebssysteme).
Hersteller* von Produkten mit digitalen Elementen unterliegen bereits ab dem 11. September 2026 der Meldepflicht für Schwachstellen und Vorfälle gegenüber den zuständigen Behörden. Ab dem 11. Dezember 2027 wird der CRA im vollen Umfang anwendbar sein.
Zahlreiche Cybersicherheitspflichten für Hersteller, Einführer und Händler
Der persönliche Anwendungsbereich des CRA ist für Hersteller, Einführer (Importeur) und Händler eröffnet. Dabei ist der Hersteller derjenige, der die Produkte entwickelt oder herstellt oder die Produkte konzipieren, entwickeln oder herstellen lässt und sie unter eigenem Namen oder Marke vermarktet. Einführer ist eine in der EU niedergelassene natürliche oder juristische Person, die ein Produkt unter dem Namen oder der Marke einer außerhalb der EU niedergelassenen Person in der Union in den Verkehr bringt. Beim Händler handelt es sich um eine natürliche oder juristische Person, die nicht Hersteller oder Einführer ist und die ein Produkt mit digitalen Elementen ohne Änderung seiner Eigenschaften auf dem Unionsmarkt bereitstellt.
Der CRA sieht für die vorgenannten Marktakteure verschiedene Anforderungen und Pflichten in Bezug auf Cybersecurity vor. Im Mittelpunkt des CRA stehen dabei die Pflichten des Herstellers. Zu diesen zählen insbesondere:
- Die cybersichere Entwicklung von Produkten einschließlich einer Bewertung und Dokumentation von Cybersicherheitsrisiken nach den Anforderungen gemäß Anhang I des CRA.
- Die Durchführung von Lieferketten-Due-Diligence hinsichtlich Software-Produkten Dritter, die in dem Produkt integriert sind einschließlich der Erstellung einer Software-Bill-of-Material.
- Die Durchführung eines Konformitätsbewertungsverfahrens bzgl. der im CRA geforderten europäischen Cybersicherheitsstandards mit anschließender CE-Zertifizierung.
- Die Bereitstellung kostenloser Sicherheitsupdates während des gesamten Unterstützungszeitraums (mindestens jedoch 5 Jahre außer in Ausnahmefällen).
- Bereitstellung von Cybersicherheitsinformationen und -anleitungen für Nutzer des Produkts.
Einführer und Händler treffen hingegen vor allem nachgelagerte Überprüfungspflichten hinsichtlich des Produkts. So dürfen Einführer z.B. nur Produkte in Verkehr bringen, die den Cybersicherheitsanforderungen aus Anhang I des CRA genügen. Sie müssen zudem prüfen, ob ein Konformitätsverfahren durchgeführt wurde und dem Produkt eine EU-Konformitätserklärung beigefügt wurde. Auch Händler müssen überprüfen, ob ein Produkt eine CE-Kennzeichnung aufweist und Hersteller sowie Einführer alle erforderlichen Dokumente und Anleitungen zum Produkt beigefügt haben. Ferner treffen sowohl Hersteller als auch Einführer und Händler jeweils die Pflicht zur Meldung von aktiv ausgenutzten Schwachstellen und Vorfällen in Bezug auf das Produkt an Behörden und Nutzer.
Erforderlichkeit der Gestaltung von Verträgen zwischen Akteuren „entlang der Lieferkette“
Mit Blick auf die Vertragsgestaltung können neben den im CRA ausdrücklich erwähnten Marktakteuren (Hersteller, Einführer und Händler) auch noch weitere Akteure in der Lieferkette eine Rolle spielen. So können dem Hersteller auch Akteure vorgelagert sein, die das Produkt für den Hersteller entwickelt und konzipiert haben, z.B. Zulieferer von Soft- oder Hardwarekomponenten oder Entwickler des jeweiligen Produkts, das der Hersteller unter eigenem Namen auf den Markt bringt.
Bei der Umsetzung der CRA-Anforderungen besteht entlang der gesamten Lieferkette für Akteure der nachgelagerten Stufen häufig eine Abhängigkeit von den Akteuren der vorgelagerten Stufen, z. B. Zulieferer, Entwickler oder Hersteller, da die Erfüllung von verschiedenen CRA-Pflichten nur mit Unterstützung der Akteure der vorgelagerten Stufen möglich ist.
So wird der Hersteller Informationen und die Mitwirkung seiner Zulieferer und des Produktentwicklers benötigen, um etwa seiner Pflicht zur Analyse und Dokumentation von Cybersicherheitsrisiken, der Erstellung einer Software-Bill-of-Material für das Produkt, der Behebung von Schwachstellen, der Bereitstellung von Sicherheitsupdates oder seiner Informationspflichten nach dem CRA ordnungsgemäß nachkommen zu können. Zudem ist davon auszugehen, dass die Frage der Kostenübernahme für den Aufwand zur Umsetzung der vorgenannten Pflichten und Anforderungen aus dem CRA Diskussionen unter den Akteuren auslösen wird und daher in den Verträgen zwischen den Akteuren klar und rechtskonform geregelt werden sollte.
Für Zulieferer, Entwickler oder Hersteller besteht in der Regel ein Interesse, in den Verträgen mit Akteuren der nachgelagerten Stufen der Lieferkette, z.B. mit Herstellern, Händlern oder Endkunden, Regelungen (z.B. zur Mitwirkung) zu vereinbaren, um den Umfang, die Verantwortlichkeit und Haftung für die Erfüllung von Pflichten nach dem CRA klarzustellen und – soweit dies möglich ist – zu beschränken oder sogar auszuschließen.
Für Akteure der nachgelagerten Stufen der Lieferkette dürfte hingegen ein Interesse daran bestehen, die Verträge mit Akteuren der vorgelagerten Stufen so zu gestalten, dass die vorgelagerten Akteure möglichst alle Anforderungen und Pflichten aus dem CRA selbst einhalten, bei der Erfüllung von Pflichten des nachgelagerten Akteurs vollumfänglich unterstützen und dass eine etwaige Haftung wegen CRA-Pflichten oder -anforderungen gegenüber dem Endkunden im Wege der Regresshaftung gegenüber den vorgelagerten Akteuren geltend gemacht werden können.
Akteure in der Lieferkette haben somit in der Regel nicht nur ein Interesse an der Einhaltung der für sie unmittelbar geltenden Vorgaben und Pflichten aus dem CRA, um etwaige Maßnahmen und Bußgelder der CRA-Marktaufsichtbehörden zu vermeiden, sondern auch das rechtliche und wirtschaftliche Interesse daran, Verträge mit vor- und nachgelagerten Akteuren in der Lieferkette so zu gestalten, dass hinsichtlich des Umfangs der Rechte und Pflichten aus dem CRA möglichst keine Rechtunsicherheiten bestehen und dass ihre eigene Haftung für CRA-Verletzungen – soweit rechtlich möglich – vertraglich beschränkt wird.
Schließlich hat auch der Endkunde (sowohl im B2B- als auch B2C-Verhältnis), der am Ende der Lieferkette steht und weder an der Entwicklung, Herstellung und/oder dem Vertrieb von Produkten mit digitalen Elementen beteiligt ist, ein Interesse daran, nur solche Verträge mit Akteuren in der Lieferkette zu schließen (z.B. Hersteller oder Händler), die den Endkunden nicht unangemessen benachteiligen. Im Interesse des Endkunden sollte der Vertrag z.B. die Einhaltung der CRA-Cybersicherheitsstandards gewährleisten oder keine ausufernden Mitwirkungspflichten vorsehen. Auch Vereinbarungen, die eine Beschränkung der Haftung des jeweiligen vorgelagerten Akteurs für die Nicht-Einhaltung der CRA-Cybersicherheitsstandards oder ein „Durchreichen“ der Verantwortlichkeit an Dritte vorsehen, sind nicht im Interesse des Endkunden.
CRA-Anforderungen als Maßstab für die Beschaffenheit von Produkten mit digitalen Elementen
Im Rahmen der Vertragsgestaltung ist ferner zu berücksichtigen, dass die Anforderungen aus dem CRA den Standard in Bezug auf Cybersicherheit für Produkte mit digitalen Elementen setzen und somit als Maßstab bei der Auslegung von Verträgen gelten können. So könnten die Cybersicherheits-Anforderungen im CRA als Beschaffenheitsmaßstab für Produkte mit digitalen Elementen gesehen werden und somit Einfluss auf die Auslegung des Sachmangelbegriffs haben.
Nach § 434 BGB ist eine Sache frei von Sachmängeln, wenn sie bei Gefahrübergang den subjektiven Anforderungen, den objektiven Anforderungen und den Montageanforderungen dieser Vorschrift entspricht. § 434 Abs. 3 BGB setzt Art. 7 Abs. 1 und 2 (EU) 2019/771 (Warenkauf-RL) um und legt den Maßstab für die objektiven Anforderungen an die Sachmangelfreiheit des Kaufgegenstands fest. Danach muss die Sache u.a. eine Beschaffenheit aufweisen, die bei Sachen derselben Art üblich ist und die der Käufer erwarten kann. Der Gesetzeswortlaut erwähnt dabei ausdrücklich, dass auch die „Sicherheit“ eine übliche Beschaffenheit sein kann. Zudem regelt Art. 7 der Warenkauf-RL, dass Waren
für die Zwecke geeignet sein müssen, für die Waren der gleichen Art in der Regel gebraucht werden, auch unter Berücksichtigung des „bestehenden Unionsrechts“ und somit unter Berücksichtigung des CRA. Ähnliche Regelungen zu den objektiven Anforderungen an die Beschaffenheit enthalten auch § 327e BGB sowie Art. 8 Digitale-Inhalte-Richtlinie ((EU) 2019/770), die die Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen (sog. digitale Produkte) im B2C-Verhältnis regeln.
Insofern müssen die Anforderungen des CRA im Rahmen der Auslegung des Sachmangelbegriffs berücksichtigt werden. Bei der Gestaltung von Verträgen zu Produkten mit digitalen Elementen sollte daher geprüft werden, ob geeignete Regelungen zu den CRA-Anforderungen sinnvoll sind, um die Beschaffenheit des Produkts hinsichtlich Cybersecurity näher zu bestimmen und u.U. – sofern rechtlich möglich – den Maßstab der Beschaffenheit individuell zu vereinbaren.
Vertragliche Regelungen zu Schwachstellenbehebung und Sicherheitsupdates erforderlich
Ein weiteres Beispiel für eine CRA-Anforderung, die Regelungen in Verträgen zu Produkten mit digitalen Inhalten erforderlich machen, ist die Pflicht des Herstellers, während des Unterstützungszeitraums Schwachstellen unverzüglich zu behandeln und zu beheben, u.a. durch Bereitstellung von Sicherheitsaktualisierungen. Dabei müssen die Sicherheitsaktualisierungen den Nutzern kostenlos zur Verfügung gestellt werden. Die Pflicht zur Bereitstellung von Sicherheitsaktualisierungen besteht allerdings nicht, wenn es sich um ein für den Nutzer „maßgeschneidertes Produkt“ handelt und die Beteiligten die Pflicht des Herstellers zur Bereitstellung von Sicherheitsaktualisierungen vertraglich abbedungen haben.
Zu der vorgenannten Herstellerpflicht bedarf es in Verträgen zwischen den Akteuren in der Lieferkette verschiedene Regelungen. Für den Herstellers kann es dabei sinnvoll sein, in den Verträgen mit nachgelagerten Marktakteuren Regelungen zur Konkretisierung seiner Pflichten zu vereinbaren z.B.:
- Regelungen zur Konkretisierung der Dauer des Unterstützungszeitraums;
- Regelung zum Umfang der Sicherheitsupdates oder
- Regelung zur Unterscheidung von Funktionsupdate und kostenlosen Sicherheitsupdates.
Nachgelagerte Marktakteure sollten hingegen in den Verträgen mit vorgelagerten Marktakteuren darauf achten, dass die Herstellerpflichten zur Schwachstellenbehebung und zur Bereitstellung von Sicherheitsupdates nicht zu ihren Lasten eingeschränkt werden.
Überprüfung und Überarbeitung von Verträgen auf „CRA-Readiness“ geboten
Aufgrund der zahlreichen CRA-Pflichten und -Anforderungen an die Marktakteure sowie der Abhängigkeit der Marktakteure in der Lieferkette ist die Überprüfung und Überarbeitung von Verträgen zwischen den Marktakteuren hinsichtlich der CRA-Themen geboten. Dabei besteht für jeden Marktakteur, einschließlich des Endkunden, unabhängig davon, ob er selbst unter den Anwendungsbereich des CRA fällt und Pflichten aus dem CRA erfüllen muss, ein eigenes wirtschaftliches Interesse daran, die Verträge mit anderen Marktakteuren so zu gestalten, dass er hinsichtlich des Cybersicherheitsmaßstabs gemäß CRA und etwaigen damit in Zusammenhang stehenden Verantwortungs- und Haftungsfragen nicht benachteiligt wird.
Aspekte zur CRA-konformen Gestaltung von Verträgen zur Regelung von Produkten mit digitalen Elementen sollten bereits frühzeitig berücksichtigt werden. Verträge zwischen Herstellern und Entwicklern oder Zulieferern sollten schon vor der Entwicklung des Produkts „CRA-ready“ gestaltet werden. Bestehende (Standard-)Verträge der Hersteller, Einführer und Händler sollten auf „CRA-Readiness“ überprüft und angepasst werden. Ferner sollten auch nachgelagerte Marktakteure vor Abschluss von (Standard-) Verträgen der vorgelagerten Marktakteure darauf achten, dass bestimmte CRA-Anforderungen nicht (zu ihren Lasten) vertraglich beschränkt oder sogar ausgeschlossen werden.
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.
Der Beitrag Cyber Resilience Act – Auswirkungen auf die Vertragsgestaltung entlang der Lieferkette erschien zuerst auf CMS Blog.