Mit dem Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen („Cyberresilienz-Verordnung“) konkretisiert der deutsche Gesetzgeber die nationale Umsetzung eines zentralen europäischen Cybersicherheitsvorhabens. Die Cyberresilienz-Verordnung (CRA) ist bereits am 10. Dezember 2024 in Kraft getreten und wird schrittweise wirksam. Sie stellt erstmals horizontal verpflichtende Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen auf und erweitert das CE-Kennzeichen um den Aspekt der Cybersicherheit.
Der Gesetzentwurf zum CRA-Durchführungsgesetz soll die nationalen Zuständigkeiten, Verfahrensstrukturen und Durchführungsmechanismen schaffen, die für die Anwendung der unmittelbar geltenden EU-Verordnung erforderlich sind.
Ziel und Regelungsansatz des Entwurfs
Künftig müssen Produkte mit digitalen Elementen den in der Cyberresilienz-Verordnung festgelegten Mindestanforderungen an die Cybersicherheit genügen, wenn sie auf dem europäischen Binnenmarkt in Verkehr gebracht werden. Zudem werden Hersteller verpflichtet, aktiv ausgenutzte Schwachstellen zu melden.
Die Regelungen der Verordnung werden, beginnend ab dem 11. Juni 2026 und vollständig ab dem 11. Dezember 2027, wirksam. Kapitel IV der Verordnung zur Notifizierung von Konformitätsbewertungsstellen ist zum 11. Juni daher bereits in Kraft getreten.
Jeder Mitgliedstaat muss mindestens eine Marktüberwachungsbehörde und eine notifizierende Behörde einrichten. Zudem sind ergänzende Verfahrensregelungen für Sanktionen erforderlich. Das Durchführungsgesetz schafft hierfür die notwendigen nationalen Rechtsgrundlagen.
Das BSI als zentrale Behörde
Kern des Entwurfs ist die Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll als zuständige nationale Marktüberwachungsbehörde und als notifizierende Behörde nach der Cyberresilienz-Verordnung tätig werden. Als Marktüberwachungsbehörde überwacht das BSI die Einhaltung der Cybersicherheitsanforderungen und kann im Rahmen seiner Zuständigkeit mit anderen Marktüberwachungs- und Aufsichtsbehörden kooperieren.
Zugleich sieht der Entwurf vor, dass das BSI eine Beschwerdestelle einrichtet, bei der Verbraucher Beschwerden einreichen können, die auf eine Nichteinhaltung der Cyberresilienz-Verordnung hindeuten.
Als notifizierende Behörde ist das BSI für Verfahren zur Bewertung, Benennung und Notifizierung von Konformitätsbewertungsstellen zuständig. Die Bewertung und Überwachung soll grundsätzlich der nationalen Akkreditierungsstelle obliegen. In bestimmten Fällen kann das BSI diese Aufgaben auch selbst wahrnehmen.
Unterstützung statt zusätzlicher nationaler Pflichten
Der Gesetzentwurf schafft seiner Begründung nach keine neuen Verpflichtungen. Die Pflichten ergeben sich aus der unmittelbar geltenden Cyberresilienz-Verordnung. Das nationale Gesetz benennt vielmehr die zuständigen Behörden und regelt deren Zusammenarbeit.
Gleichzeitig enthält der Entwurf Unterstützungsmaßnahmen zugunsten betroffener Wirtschaftsakteure, insbesondere kleiner und mittlerer Unternehmen. Vorgesehen sind spezifische Sensibilisierungs- und Schulungsmaßnahmen sowie die Einrichtung und der Betrieb eines Reallabors für Cyberresilienz. In diesem Reallabor sollen Hersteller innovative Produkte vor dem Inverkehrbringen in einer kontrollierten Prüfumgebung testen können.
Fazit
Der Entwurf des CRA-Durchführungsgesetzes ist ein wichtiger Schritt für die praktische Anwendung der Cyberresilienz-Verordnung in Deutschland. Er regelt die nationale Zuständigkeit, Marktüberwachung, Notifizierung sowie Bußgeldverfahren und die Unterstützung der betroffenen Akteure.
Für Wirtschaftsakteure nach dem CRA liegt die eigentliche Herausforderung weiterhin in der Verordnung selbst. Das Durchführungsgesetz zeigt dabei, welche Behörde künftig zentral zuständig sein wird und welche Unterstützungsstrukturen der Gesetzgeber vorsieht. Unternehmen sollten ihre Produkt- und Compliance-Prozesse rechtzeitig auf die neuen Cybersicherheitsanforderungen ausrichten.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
