CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

Wiebe, Das neue Recht der Cyberresilienz

Prof. Dr. Rolf H. Weber ist Professor für Internationales Wirtschaftsrecht an der Universität Zürich sowie Vorstandsmitglied der Swiss Blockchain Federation.
Gerhard Wiebe, Das neue Recht der Cyberresilienz – Cyber Resilience Act (CRA), Baden-Baden (Nomos) 2025, ISBN 978-3-7560-0473-7, 59 EUR
MMR-Aktuell 2026, 01168   Mit dem Cyber Resilience Act (CRA) hat die EU erstmals verbindliche IT-Sicherheitsanforderungen, die neben die bekannten Produktsicherheits-Regulierungen treten, für den gesamten Lebenszyklus von Hardware- und Softwareprodukten eingeführt. Anknüpfungspunkte für den CRA sind digitale Elemente oder nicht eingebettete Software in Produkten. Obwohl der im Spätherbst 2024 verabschiedete CRA mit einer großzügigen Übergangsfrist erst nach drei Jahren in Kraft tritt, sind kleinere und größere Publikationen dazu bereits vorhanden.

Der hier anzuzeigende handliche Einführungsband (knapp 250 Seiten, Hrsg. Gerhard Wiebe, Rechtsanwalt, Berlin), stammt aus der Feder von sechs Mitwirkenden, die allein oder in unterschiedlicher Zusammensetzung gemeinsam gewisse Teile der Ausführungen geschrieben haben; auch wenn die Autorschaft innerhalb eines Kapitels wechselt, ist dies erfreulicherweise nicht gleich bemerkbar. Die einzelnen Kapitel sind konzis, teilweise ergänzt durch Tabellen, geschrieben, jeweils eingeleitet durch eine ansehnliche Literaturübersicht.

Zwei kurze Kapitel zu Beginn des Buches stammen von Philipp Wolf (Einleitung) und Gerhard Wiebe (New Legislative Framework (NLF) als Regelungskonzept). Zur Sprache kommen der rechtspolitische Hintergrund, der Gesetzgebungsverlauf, der Charakter des Instruments (Verordnung zur Beseitigung des vorhandenen Flickenteppichs), die Rechtsgrundlage (Art. 114 AEUV), das Inkrafttreten (11.12.2027) sowie die Aufhebungen und Änderungen bestehender EU-Rechtsakte. Etwas knapp ausgefallen sind (aus akademischer Sicht) die Bemerkungen zum durch das NLF geprägten risikobasierten Security-by-Design-Ansatzes. Die Darstellung des Regelungsgegenstandes und der Ziele durch Wolf erläutert die wesentlichen durch den CRA verfolgten Regulierungszwecke wie das angestrebte hohe Niveau an Cybersicherheit, die Transparenz zugunsten der Nutzer/Verwender, aber auch den Schutz der Privatsphäre.

Von praktischer Bedeutung ist das Kapitel zum Anwendungsbereich des CRA (verfasst von Gerhard Wiebe, im letzten Teil von Jonas Jossen und Thorsten Sörup): Die Autoren umschreiben die Produkte mit digitalen Elementen, aber auch die Konkretisierungen durch Begriffe wie Software, Hardware, elektronische Informationssysteme und Datenfernverarbeitungslösungen (Cloud-Computing-Dienste); Auslegungshilfe leisten dabei die Anhänge III und IV zum CRA. Angesprochen sind ebenso die Ausnahmen vom sachlichen Anwendungsbereich. Tätigkeitsspezifisch geht es beim CRA um das Inverkehrbringen und die Bereitstellung von Produkten mit digitalen Elementen auf dem Markt. Der persönliche Anwendungsbereich umfasst, ähnlich wie bei Produktsicherheits-Regulierungen (z. B. Ökodesign-Verordnung), die Hersteller, die Bevollmächtigten, die Importeure, die Händler und spezifische weitere Akteure. Wertvoll sind aus praktischer Sicht die 14-seitigen Ausführungen zum Zusammenspiel mit anderen Produktrechtsvorschriften: Neben den EU-Produktsicherheitsnormen fallen insb. (i) die KI-Verordnung (zB Umsetzungsmaßnahmen von Art. 12 CRA zu den Schnittstellen zwischen dem CRA und der KI-VO) sowie (ii) die Vorgaben des CSA von 2019 zu den im Cybersicherheitsbereich relevanten Behörden ENISA und NCCA (inkl. Schemata für die Cybersicherheitszertifizierung) und (iii) die Anordnungen der NIS-2-Richtlinie (inkl. CSIRT) in Betracht.

Zentral ist das (abwechselnd) von Gerhard Wiebe und Jonas Jossen verfasste gut 40-seitige Kapitel zu den Produktanforderungen. Zutreffend wird unterschieden zwischen den formellen Produktanforderungen (mit Abschnitten zu Konformitätsbewertungsverfahren, technischer Dokumentation, Konformitätserklärung, Kennzeichnungen) sowie den materiellen Produktanforderungen (umfassend die grundlegenden Sicherheitsanforderungen (Anhang 1), die instruktiven Anforderungen (Anhang II) sowie die Wege zur Sicherstellung der materiellen Anforderungen und der Cybersicherheit). Für die praktische Handhabung wertvoll sind nicht zuletzt auch die tabellarische Übersicht zu den einzelnen Teilen des Konformitätsbewertungsverfahrens (S. 69) und zu den kritischen Produkten (S. 80, mit weitergehenden Erläuterungen).

Ebenfalls gut 40 Seiten lang ist das Kapitel zu den Pflichten der Wirtschaftsakteure: Gerhard Wiebe erläutert die Pflichten der Hersteller als der wichtigsten Gruppe von durch den CRA betroffenen Wirtschaftsteilnehmern; zur Sprache kommen die Vormarkt- und die Nachmarktpflichten. Im Anschluss daran erläutert Zeynep Schreitmüller die Pflichten des Bevollmächtigten, des Importeurs (wichtige Konkretisierungen in Art. 19 CRA, inkl. Übernahme der Herstellerpflichten gemäß Art. 21 CRA) und des Händlers.

Relativ kurz sind die Kapitel zur Durchsetzung (Jonas Jossen) und v. a. zum nationalen Cybersicherheitsrecht (Jonas Jossen). Zutreffend umfangreich ist dafür das abschließende Kapitel zu den Implikationen anderer Rechtsgebiete (fast 60 Seiten), welches allein oder gemeinsam aus der Feder von Gerhard Wiebe, Thorsten Sörup, Philipp Wolf und Johannes Schäffer stammt. Diskutiert werden das Datenschutz- (wenn zwar mit gar vielen Originalzitaten aus Rechtsinstrumenten, die heute leicht greifbar sind), das Telekommunikations-­, das Vertrags- und Gewährleistungs­, das Produkt- und Produzentenhaftungs­, das Wettbewerbs- sowie das Aussenwirtschaftsrecht. In der Praxis ist die Berücksichtigung der weiteren Rechtsquellen auf der Lieferkette von großer Bedeutung.

Dank der übersichtlichen Darstellung der durch den CRA hervorgerufenen rechtlichen Herausforderungen sowie der praktischen Hinweise ist das Handbuch im Alltag gut verwendbar. Ein detailliertes Stichwortverzeichnis am Ende des Bandes vereinfacht das Aufsuchen der anvisierten Ausführungen. Voraussichtlich dürften die Kapitel zum Anwendungsbereich des CRA und das Kapitel zu den Implikationen anderer Rechtsgebiete in der «Umsetzung» der CRA-Vorgaben die größte Bedeutung haben; das Geflecht an parallelen und teilweise überlappenden Regulierungen wird immer dichter, weshalb ein Wegweiser durch das Dickicht als wünschbar erscheint.

Anzeigen

MMR Werbung

IT-Recht Plus Premium

BECK Stellenmarkt

Teilen:

Menü