top of page

Zwei Gesichter der Sicherheit: Der Cyber Resilience Act und die Produkthaftungsrichtlinie im Vergleich

In der heutigen digitalen Welt sind Unternehmen zunehmend mit den Herausforderungen der Cybersicherheit konfrontiert. Ob Saugroboter, smarter Katzenfutterautomat, Apps auf mobilen Geräten, eine ständig steigende Zahl vernetzter Hard- und Softwareprodukte bringt neben Komfort und Automation auch Risiken. Um den Schutz von Verbrauchern und Unternehmen zu gewährleisten, hat die Europäische Union nach langer Vorbereitung in den letzten Monaten mehrere Rechtsakte eingeführt, die sich mit diesen Themen befassen.


Zwei bedeutende Regelungen sind der „Cyber Resilience Act“ und die neue „EU-Produkthaftungsrichtlinie“.


Während beide darauf abzielen, die Sicherheit von Produkten und Dienstleistungen zu verbessern, verfolgen sie unterschiedliche Ansätze und Zielsetzungen.


In diesem Beitrag werden wir einige wichtige Unterschiede zwischen diesen beiden Regelungen herausgreifen und ansprechen, um ein besseres Verständnis für ihre jeweiligen Implikationen zu schaffen. Alle Themen können wir hier in der Kürze nicht angehen. Und es wird sicher noch Auslegungsbestimmungen brauchen für die Anwendung und Umsetzung der neuen Regularien.


Hier die Übersicht:


Zielsetzung:

  • Cyber Resilience Act: Zielt darauf ab, die Cybersicherheit von Produkten und Dienstleistungen zu verbessern, indem Anforderungen an die Sicherheit von Software und Hardware festgelegt werden.

  • EU-Produkthaftungsrichtlinie: Konzentriert sich auf die Haftung für Schäden, die durch fehlerhafte Produkte, einschließlich Software, verursacht werden. Sie soll den Verbraucherschutz stärken und bessere Haftungsregelungen schaffen.


Haftung:

  • Cyber Resilience Act: Behandelt vor allem Sicherheitsanforderungen und Compliance, ohne direkt Haftungsfragen zu regeln.

  • EU-Produkthaftungsrichtlinie: Führt eine Haftung für Hersteller ein, die auch auf Software ausgeweitet wird. Hersteller können für Schäden haftbar gemacht werden, die durch fehlerhafte Produkte entstehen.

Anwendungsbereich:

  • Cyber Resilience Act: Gilt für alle Produkte, die in der EU verkauft werden, und legt spezifische Sicherheitsanforderungen fest, um Cyberangriffe zu verhindern.

  • EU-Produkthaftungsrichtlinie: Bezieht sich auf alle Arten von Produkten, einschließlich physischer Waren und Software, und definiert, unter welchen Bedingungen diese als fehlerhaft gelten.


Compliance-Anforderungen:

  • Cyber Resilience Act: Unternehmen müssen sicherstellen, dass ihre Produkte den festgelegten Sicherheitsstandards entsprechen und regelmäßige Sicherheitsüberprüfungen durchführen.

  • EU-Produkthaftungsrichtlinie: Unternehmen müssen nicht nur sicherstellen, dass ihre Produkte sicher sind, sondern auch für Schäden haften, die durch Produktfehler entstehen. Dies umfasst auch die Verantwortung für Software-Updates zur Behebung von Sicherheitslücken.


Verjährungsfristen:

  • Cyber Resilience Act: Behandelt keine spezifischen Verjährungsfristen für Ansprüche im Zusammenhang mit Cyber-Sicherheitsvorfällen.

  • EU-Produkthaftungsrichtlinie: Erweiterte Verjährungsfristen für Produkthaftungsansprüche; Ansprüche können bis zu 25 Jahre nach Inverkehrbringen des Produkts geltend gemacht werden, insbesondere wenn sich Gesundheitsschäden erst später zeigen.


Diese Punkte verdeutlichen die unterschiedlichen Schwerpunkte und Regelungen der beiden Rechtsakte in Bezug auf Cybersicherheit und Produkthaftung in der EU.

Differenzierung


Zusammenfassend lässt sich sagen, dass der Cyber Resilience Act und die EU-Produkthaftungsrichtlinie zwar beide darauf abzielen, die Sicherheit und den Schutz von Verbrauchern in der EU zu stärken, jedoch unterschiedliche Schwerpunkte setzen. Der Cyber Resilience Act konzentriert sich auf die Verbesserung der Cybersicherheit von Produkten, während die Produkthaftungsrichtlinie sich gegenüber ihrer Vorgängerin aus dem Jahr 1985 (!!) weiterentwickelt hat, Software besser berücksichtigt und Haftungsregelungen für fehlerhafte Produkte festlegt.

Unternehmen müssen sich der Anforderungen beider Regelungen bewusst sein, um sowohl den Sicherheitsstandards gerecht zu werden als auch rechtliche Risiken zu minimieren.


Handlungsbedarf


Das Thema „Qualitätssicherung“ muss insgesamt ausgebaut werden und auch in die Softwareproduktion Einzug halten, um bessere, also zuverlässigere, sichere und wartbarere Software zu entwickeln.

Es gibt zu tun, denn die Entwicklungsprozesse sind mit Blick auf diese Regelungen zu prüfen und ggf. anzupassen. Agile Modelle müssen angepasst werden. Der Umgang mit Open-Source ist zu regeln. Architektur-Reviews müssen die Rechtslage unterstützen, eine angemessene Softwareinventarisierung (Stichwort „Software Bill of Materials“) muss eingeführt werden, sofern nicht schon erfolgt. Testmechanismen sind zu schärfen und die Wartung und Pflege sind über die Laufzeit sicherzustellen, um nur einige zu nennen.


Terminlicher Rahmen


Die neue Produkthaftungsrichtlinie soll für Software-Produkte gelten, die ab dem 9. Dezember 2026 in Verkehr gebracht werden und die Richtlinie soll bis dahin von den Mitgliedstaaten in nationales Recht umgesetzt werden.


Der Cyber Resilience Act ist bereits in Kraft. Die verbindlichen Regelungen werden jedoch erst nach einer Übergangsfrist von 36 Monaten, also im Jahr 2027, wirksam. Bestimmte Meldepflichten für Schwachstellen müssen aber bereits nach 21 Monaten erfüllt werden.


Sicher ist das noch lange hin, aber angesichts der Anzahl, Komplexität und Reichweite der nötigen Maßnahmen empfehlen wir, die Umsetzung bereits im Jahr 2025 anzugehen. Es geht um Skills, Kosten und Organisation sowie um strategische Fragen.


Daher ist es für Unternehmen heute schon unerlässlich, proaktiv zu handeln und sich auf die neuen gesetzlichen Rahmenbedingungen einzustellen.

Sicher ist das anspruchsvoll und aufwendig. Aber angesichts der nicht zu leugnenden Risiken der Digitalisierung ist die Entwicklung überfällig und positiv!


Und wer die Umsetzung schnell und erfolgreich bewältigt, wird mit sichereren Produkten auch den Markterfolg ernten, ohne Erfüllung der Anforderungen werden andere Anbieter und Produkte vom Markt verschwinden.

Komentáře


bottom of page