Mehr als ein Jahr nach dem Vorschlag[1] der Europäischen Kommission für einen neuen Cyber Resilience Act zum Schutz von Verbrauchern und Unternehmen vor (digitalen) Produkten mit unzureichenden Sicherheitsmerkmalen durch die Einführung verbindlicher Anforderungen wurde nun eine politische Einigung[2] am 1. Dezember 2023 zwischen den beiden anderen Teilen des «Trilogs», nämlich dem Europäischen Parlament und dem Rat.

Der recht umfassende Vorschlag soll sowohl Hardware- als auch Softwareprodukte abdecken, die unterschiedliche Risikoniveaus aufweisen können und daher unterschiedliche Sicherheitsmassnahmen erfordern. Infolgedessen soll die Art der Konformitätsbewertung für jedes Produkt an das jeweilige Risikoniveau angepasst werden.

Folglich müssen Hersteller von Hard- und Software, Entwickler und Händler, die ihre Produkte in die EU importieren und auf dem EU-Markt anbieten wollen, im Wesentlichen Cybersicherheitsmassnahmen für den gesamten Lebenszyklus ihrer Produkte umsetzen, von der Entwurfs- und Entwicklungsphase bis zum Inverkehrbringen. Konkret geht es nicht nur um Produkte, die an Endnutzer und Verbraucher verkauft werden, sondern auch um solche, die in Unternehmen für die Produktion verwendet werden, die als Vorprodukte bezogen und weiterverarbeitet werden oder die Teil von Lieferketten sind.

Insbesondere werden Produkte, die bereits unter andere bestehende EU-Rechtsvorschriften fallen, wie z. B. in den Anwendungsbereich der NIS2-Richtlinie, ausgenommen sein.

In diesem Zusammenhang wird die Einhaltung der vorgeschlagenen Rechtsvorschriften im Wesentlichen in Form einer CE-Kennzeichnung erfolgen, mit der bestätigt wird, dass die auf dem Markt des Europäischen Wirtschaftsraums (EWR) verkauften Produkte ordnungsgemäss auf die Einhaltung der Sicherheits-, Gesundheits- und Umweltschutzanforderungen geprüft worden sind.

Darüber hinaus werden die Hersteller verpflichtet, den Verbrauchern eine genaue Angabe über die voraussichtliche Nutzungsdauer eines bestimmten Produkts zu machen.

Die vorgeschlagenen Rechtsvorschriften, die für alle Produkte gelten, die direkt oder indirekt mit einem anderen Gerät oder Netz verbunden sind, müssen nun förmlich genehmigt werden und dürften nach ihrer Veröffentlichung im Amtsblatt in Kraft treten.

Da die EU für viele Branchen und Sektoren in der Schweiz der wichtigste Absatzmarkt ist, sind die direkten Auswirkungen der vorgeschlagenen Rechtsvorschriften auf die Schweizer Akteure und Interessengruppen unbestreitbar. Wichtig ist, dass die Schweizer Exporteure von Produkten, die im Sinne des vorgeschlagenen Textes als «kritisch» eingestuft werden könnten, erstens nachweisen müssen, dass die entsprechenden digitalen Komponenten die festgelegten Sicherheitsstandards erfüllen, und zweitens Konformitätsbewertungen vorlegen müssen, wenn dies für erforderlich gehalten wird.

[1] Siehe hier https://ec.europa.eu/commission/presscorner/detail/de/IP_22_5374.

[2] Siehe hier https://ec.europa.eu/commission/presscorner/detail/de/ip_23_6168.