23 Sep.
Hinsija Schilling Lebenszyklus-Prozesse, Regulatory Affairs

 

Wirtschaftsakteure und ihre Pflichten im Cyber Resilience Act (CRA)

Im ersten Teil zum Cyber Resilience Act haben wir Ihnen bereits die Relevanz des CRA auch für Medizinproduktehersteller aufgezeigt, auch wenn dieser nicht direkt auf Medizinprodukte anwendbar ist. Sollten Sie jedoch vom CRA betroffen sein, so ist es auch wichtig, sich mit den Pflichten und Rechten der verschiedenen Wirtschaftsakteure auszukennen, welche im Kapitel II des CRA definiert sind, da diese nicht identisch sind mit den Rollen in der MDR / IVDR.  Stellen Sie also intern das richtige Rollenverständnis für alle Gesetze sicher. 

Die neue Rolle: Verwalter quelloffener Software

Zusätzlich zu den bereits bekannten Wirtschaftsakteuren definiert der CRA eine neue Rolle, welcher wir uns als erstes widmen möchten: „Verwalter quelloffener Software“.

„Verwalter quelloffener Software ist eine juristische Person, bei der es sich nicht um einen Hersteller handelt, die den Zweck oder das Ziel hat, die Entwicklung spezifischer Produkte mit digitalen Elementen, die als freie und quelloffene Software gelten und für kommerzielle Tätigkeiten bestimmt sind, systematisch und nachhaltig zu unterstützen, und die die Brauchbarkeit dieser Produkte sicherstellt.“

Zu den Verwaltern quelloffener Software zählen verschiedene Stiftungen und Organisationen, die im wirtschaftlichen Bereich freie und quelloffene Software entwickeln und veröffentlichen, einschließlich gemeinnütziger Einrichtungen. Verwalter quelloffener Software unterliegen einer vereinfachten Regulierungsregelung und dürfen keine CE-Kennzeichnung auf die Produkte anbringen. Ihre Unterstützung umfasst unter anderem das Hosting von Plattformen, die Verwaltung von Quellcodes und die kontinuierliche Entwicklung der Software.

Weitere Pflichten des Verwalters quelloffener Software:

  • Prüfbare Entwicklung und Dokumentation einer Cybersicherheitsstrategie, um die Entwicklung eines sicheren Produkts mit digitalen Elementen und den wirksamen Umgang mit Schwachstellen durch die Entwickler dieses Produkts zu gewährleisten, dies können zum Beispiel sein
    • freiwillige Meldung von Schwachstellen (Artikel 15); insbesondere Aspekte im Zusammenhang mit der Dokumentation,
    • Behebung und Beseitigung von Schwachstellen und
    • Förderung des Austausches von Informationen über aufgedeckte Schwachstellen innerhalb der Open-Source-Community.
  • Zusammenarbeit mit Marktüberwachungsbehörden (auf Verlangen), um die Cybersicherheitsrisiken zu mindern.
  • Ist der Verwalter an der Entwicklung beteiligt, übernimmt er teilweise Pflichten des Herstellers (Artikel 14 Absatz 1, 3 und 8). Jede aktiv ausgenutzte Schwachstelle oder ein schwerwiegender Sicherheitsvorfall, der sich auf die Sicherheit von Produkten auswirkt, Netz- und Informationssysteme beeinträchtigt, die vom Verwalter für die Entwicklung bereitgestellt werden, muss über eingerichtete einheitliche Meldeplattformen gemeldet werden. Der Verwalter informiert die betroffenen Nutzer und erforderlichenfalls über jegliche Risikominderungsmaßnahmen und Korrekturmaßnahmen, die die Nutzer ergreifen können.
Die wichtigsten Pflichten des Herstellers:
  • Cybersicherheitsanforderungen: Hersteller müssen sicherstellen, dass Produkte mit digitalen Elementen gemäß den grundlegenden Cybersicherheitsanforderungen (Anhang I Teil I) konzipiert, entwickelt und hergestellt werden.
  • Die Risikobewertung als Teil der Technischen Dokumentation: Eine umfassende Bewertung der Cybersicherheitsrisiken ist durchzuführen und in allen Phasen (Planung, Entwicklung, Herstellung, Lieferung, Wartung) zu berücksichtigen, um Sicherheitsvorfälle zu minimieren. Die Risikobewertung muss dokumentiert und während eines festgelegten Unterstützungszeitraums aktualisiert werden und umfasst die Anwendbarkeit und Umsetzung der Sicherheitsanforderungen sowie die Behandlung von Schwachstellen.
  • Festlegung des Unterstützungszeitraums: Der Unterstützungszeitraum muss mindestens fünf Jahre betragen und die voraussichtliche Nutzungsdauer des Produkts widerspiegeln, unter Berücksichtigung der Nutzererwartungen und relevanter Vorschriften. Informationen zur Festlegung müssen in der Technischen Dokumentation festgehalten werden. Das Enddatum muss auf dem Produkt, seiner Verpackung oder mit digitalen Mitteln klar und dem Nutzer verständlich (mindestens Monat und das Jahr) angegeben werden.
  • Sicherheitsaktualisierungen: Sicherheitsaktualisierungen müssen während des Unterstützungszeitraums bereitgestellt und für mindestens zehn Jahre oder die Dauer des Unterstützungszeitraums verfügbar bleiben.
  • Sorgfalt bei Drittherstellerkomponenten: Hersteller müssen sicherstellen, dass von Dritten bezogene Komponenten die Cybersicherheit des Produkts nicht gefährden.
  • Meldung von Schwachstellen: Bei Entdeckung von Schwachstellen in integrierten Komponenten müssen diese umgehend gemeldet und gemäß den festgelegten Anforderungen behandelt werden.
  • Systematische Dokumentation: Alle relevanten Cybersicherheitsaspekte, einschließlich Schwachstellen und Informationen von Dritten, müssen systematisch dokumentiert und die Risikobewertung gegebenenfalls aktualisiert werden.
  • Konformitätsbewertung und EU-Konformitätserklärung: Vor dem Inverkehrbringen müssen Hersteller die technische Dokumentation erstellen und die Konformitätsbewertungsverfahren durchführen. Nach erfolgreicher Konformitätsbewertung müssen Hersteller die EU-Konformitätserklärung ausstellen und die CE-Kennzeichnung anbringen. Eine Kopie der EU-Konformitätserklärung muss dem Produkt beigefügt werden. Konformität muss auch bei der Serienherstellung gewährleistet bleiben.
  • Aufbewahrungspflicht: Die Technische Dokumentation und die EU-Konformitätserklärung müssen mindestens zehn Jahre oder für die Dauer des Unterstützungszeitraums aufbewahrt werden, falls dieser länger als 10 Jahre ist.
  • Kennzeichnung: Der Hersteller muss das Produkt entsprechend Artikel 13 Absatz 15 und 16 kennzeichnen.
  • Informationen und Anleitungen für den Nutzer: Der Hersteller muss dem Nutzer alle im Anhang II genannten Informationen und Anleitungen in Papierform oder elektronischer Form für mindestens zehn Jahre oder für die Dauer des Unterstützungszeitraums (auch online) zur Verfügung stellen.
  • Korrekturmaßnahmen: Der Hersteller muss unverzüglich die erforderlichen Korrekturmaßnahmen ergreifen, sobald ihm bekannt ist oder er Grund zur Annahme hat, dass die Cybersicherheitsanforderungen nicht mehr erfüllt werden.
  • Zusammenarbeit mit Marktüberwachungsbehörden: Auf begründetes Verlangen übermittelt der Hersteller der Marktüberwachungsbehörde in Papierform oder in elektronischer Form in leicht verständlicher Sprache alle Informationen und Unterlagen, die für den Nachweis der Konformität erforderlich sind. Der Hersteller arbeitet mit dieser Behörde bei allen Maßnahmen zur Abwendung der Cybersicherheitsrisiken zusammen. Stellt der Hersteller seinen Betrieb ein, müssen die Marktüberwachungsbehörde und soweit möglich Nutzer darüber informiert werden. In Deutschland hat sich das BSI (Bundesamt für Sicherheit in der Informationstechnik) als Marktüberwachungsbehörde beworben, offiziell benannt wurde es jedoch noch nicht.
Pflichten als Einführer / Importeur
  • Es dürfen nur Produkte in Verkehr gebracht werden, die den Sicherheitsanforderungen des CRA entsprechen
  • Vor dem Inverkehrbringen („die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt“) muss der Einführer sicherstellen, dass:
    • der Hersteller die geeigneten Konformitätsbewertungsverfahren durchgeführt und die technische Dokumentation erstellt hat,
    • das Produkt mit der CE-Kennzeichnung versehen ist und die EU-Konformitätserklärung sowie Nutzerinformationen in einer verständlichen Sprache vorliegen,
    • der Hersteller die weiteren Anforderungen gemäß Artikel 13 – also seine Pflichten – erfüllt.
  • Bei Zweifeln an der Konformität darf ein Einführer das Produkt erst in Verkehr bringen, wenn die Konformität hergestellt ist. Bei erheblichen Cybersicherheitsrisiken sollten der Hersteller und die Marktüberwachungsbehörde informiert werden.
  • Bereitstellung der Kontaktinformationen des Einführers in verständlicher Sprache auf dem Produkt oder auf der Verpackung oder in den beigefügten Unterlagen.
  • Der Importeur muss Korrekturmaßnahmen ergreifen, wenn das Produkt nicht (mehr) den Vorschriften entspricht. Erhält er entsprechend Kenntnis von Schwachstellen muss er den Hersteller sofort informieren Bei erheblichen Cybersicherheitsrisiken muss zusätzlich auch noch die Marktüberwachungsbehörde inklusive genauer Angaben zu Nichtkonformität und Maßnahmen informiert werden.
  • Konformitätsdokumente müssen mindestens zehn Jahre ab dem Inverkehrbringen des Produkts oder für den Unterstützungszeitraum, je nachdem, welcher Zeitraum länger ist, aufbewahrt und auf Verlangen den Marktüberwachungsbehörden vorgelegt werden
  • Ãœbermittlung von Informationen an die Marktüberwachungsbehörden auf deren begründetes Verlangen. Alle erforderlichen Informationen und Unterlagen müssen in Papierform oder elektronisch in einer verständlichen Sprache vorgelegt werden. Zudem arbeiten die Einführer bei Maßnahmen zur Abwendung von Cybersicherheitsrisiken eng mit den Behörden zusammen.
  • Stellt der Hersteller seinen Betrieb ein, ist es am Importeur, die Behörden und Nutzer darüber zu informieren.
Pflichten der Händler
  • Es bestehen Sorgfaltspflichten beim Inverkehrbringen, unter anderem muss der Händler vor dem Inverkehrbringen prüfen, ob:
    • das Produkt die CE-Kennzeichnung trägt,
    • der Hersteller und der Einführer ihre Anforderungen erfüllt haben und
    • ob dem Händler alle erforderlichen Dokumente vorliegen
  • Bei Zweifeln an der Konformität darf das Produkt erst dann auf dem Markt bereitgestellt werden, wenn die Konformität hergestellt ist. Bei erheblichen Cybersicherheitsrisiken sollte der Händler den Hersteller und die Marktüberwachungsbehörde informieren.
  • Der Händler muss Korrekturmaßnahmen ergreifen, wenn das Produkt nicht (mehr) den Vorschriften entspricht. Bei Kenntnis von Schwachstellen muss der Hersteller sofort informiert werden. Bei erheblichen Cybersicherheitsrisiken muss zusätzlich auch noch die Marktüberwachungsbehörde inklusive genauer Angaben zu Nichtkonformität und Maßnahmen informiert werden.
  • Ãœbermittlung von Informationen an die Marktüberwachungsbehörden auf deren begründetes Verlangen. Alle erforderlichen Informationen und Unterlagen müssen in Papierform oder elektronisch in einer verständlichen Sprache vorgelegt werden. Zudem arbeiten die Händler bei Maßnahmen zur Abwendung von Cybersicherheitsrisiken eng mit den Behörden zusammen.

Stellt der Hersteller seinen Betrieb ein, ist es am Importeur, die Behörden und Nutzer darüber zu informieren.

Weitere Besonderheiten des CRA
  • Neben den bereits benannten Pflichten der Wirtschaftsakteure sind ähnlich wie in der MDR/IVDR noch weitere Vorgaben zu beachten: Ein Einführer oder Händler wird zum Hersteller, wenn er ein Produkt unter seinem Namen oder seiner Marke in den Verkehr bringt oder wesentliche Änderungen an einem bereits in den Verkehr gebrachten Produkt vornimmt.
  • Wenn eine natürliche oder juristische Person, die nicht der Hersteller, Einführer oder Händler ist, eine wesentliche Änderung an einem Produkt vornimmt und dieses auf den Markt bringt, gilt sie ebenfalls als Hersteller. In diesem Fall müssen die oben beschriebenen Pflichten des Herstellers ebenfalls erfüllt werden, und zwar entweder für den Teil des Produkts, der durch die Änderung betroffen ist, oder, falls die Änderung die Cybersicherheit des gesamten Produkts betrifft, für das ganze Produkt.
  • Wirtschaftsakteure sind verpflichtet, auf Anfrage der Marktüberwachungsbehörden Name und Adresse aller Wirtschaftsakteure, von denen sie Produkte mit digitalen Elementen bezogen haben, bereitzustellen. Und falls verfügbar, die gleichen Angaben zu denjenigen, an die sie diese Produkte weitergegeben haben. Diese Informationen müssen die Wirtschaftsakteure für zehn Jahre nach dem Bezug des Produkts und für zehn Jahre nach der Weitergabe des Produkts aufbewahren und bei Bedarf vorlegen können.
  • Um die Sorgfaltspflichten aus Artikel 13 Absatz 5, besonders für Hersteller, die freie und quelloffene Software in ihre Produkte integrieren, zu erleichtern, erhält die Kommission nach Artikel 61 die Befugnis, freiwillige Programme zur Bescheinigung der Sicherheit einzuführen. Diese Programme sollen Entwicklern, Nutzern und anderen Dritten helfen, die Konformität von Produkten mit digitalen Elementen – also auch quelloffener Software – in Bezug auf die Cybersicherheitsanforderungen und andere Verpflichtungen der Verordnung zu bewerten.
  • Die Kommission veröffentlicht Leitlinien, um die Umsetzung der CRA-Verordnung zu erleichtern und für alle Wirtschaftsakteure, insbesondere kleine und mittlere Unternehmen sowie Kleinstunternehmen, verständlich und kohärent zu gestalten. Diese Leitlinien sollen unter anderem den Anwendungsbereich der Verordnung, Unterstützungszeiträume für bestimmte Produkte, Richtlinien für Hersteller, die auch anderen EU-Rechtsvorschriften unterliegen, sowie den Begriff der wesentlichen Änderung klären. Zudem wird die Kommission eine leicht zugängliche Liste der relevanten Rechtsakte bereitstellen. Bei der Erstellung der Leitlinien bezieht die Kommission die Meinungen wichtiger Interessengruppen mit ein. Bereits vorhandene sind über das BSI verfügbar:
    • https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03183/TR-03183_node.html

Bitte beachten Sie, dass alle Angaben und Auflistungen nicht den Anspruch der Vollständigkeit haben, ohne Gewähr sind und der reinen Information dienen.

Verwandte Artikel

Sie haben Fragen? +49 7131 2774-0
seleon GmbH
Im Zukunftspark 9
74076 Heilbronn

Copyright © 2023 seleon GmbH, All Rights Reserved.