ISGroup Cybersicherheitsberatung

Richtlinie (EU) 2024/2853 und Vulnerability Assessment: Pflichten und Verantwortlichkeiten für Hersteller

Die Richtlinie (EU) 2024/2853 über die Haftung für fehlerhafte Produkte führt kontinuierliche Überwachungspflichten ein, die Entwickler und Anbieter von Software sowie damit verbundenen Diensten direkt betreffen. Für Hersteller ist der Nachweis, dass ein Produkt kontinuierlich überwacht und aktualisiert wird, keine bloße „Best Practice“ mehr, sondern eine gesetzliche Anforderung mit rechtlichen Konsequenzen. Das Vulnerability Assessment (Schwachstellenanalyse) ist eines der effektivsten Instrumente, um diese Nachweise zu erstellen und zu dokumentieren.

Dieser Artikel ist Teil des Minileitfadens zur Richtlinie (EU) 2024/2853. Für den allgemeinen Überblick konsultieren Sie bitte den Hub zur Produkthaftungsrichtlinie sowie den vertiefenden Beitrag zu digitalen Produkten und verbundener Software.

After-Sales-Kontrolle: Was die Richtlinie vom Hersteller verlangt

Die Richtlinie 2024/2853 legt fest, dass der Hersteller verpflichtet ist, das Produkt über den gesamten Zeitraum zu überwachen, in dem er Updates bereitstellen kann. Wenn ein Fehler auf das Fehlen von Sicherheitsupdates oder Softwareverbesserungen zurückzuführen ist, bleibt die Haftung auch nach dem Verkauf beim Hersteller. Das Unterlassen von Updates zur Behebung von Cybersicherheitslücken entbindet den Hersteller nicht von der zivilrechtlichen Haftung.

In diesem Kontext erfüllt das Vulnerability Assessment eine konkrete Funktion: Es ermöglicht die Identifizierung von Schwachstellen im Produkt, deren Priorisierung und die Einleitung eines strukturierten Behebungsprozesses (Remediation). Die Periodizität der Scans und die Verwaltung des Backlogs an Korrekturen werden zu dokumentierbaren Elementen, die belegen, dass die kontinuierliche Überwachung tatsächlich ausgeübt wurde.

Remediation-Backlog und Update-Management

Einer der relevantesten Aspekte für Softwarehersteller ist die Verwaltung des Backlogs identifizierter Schwachstellen. Es reicht nicht aus, Probleme zu erkennen: Man muss die Entscheidungen zu jeder Schwachstelle, die Interventionszeiten und die Gründe für etwaige Verzögerungen nachverfolgen. Ein gut dokumentierter Prozess für das Vulnerability Assessment liefert regelmäßige Berichte, die im Falle einer Anfechtung oder Offenlegung als Beweismittel dienen können.

Die Richtlinie schreibt keine spezifischen Tools vor, aber die Verbindung zum Cyber Resilience Act — auf den auch das italienische Gesetz zur europäischen Delegation 2025 (Gesetz 36/2026) verweist — führt präzise technische Anforderungen für Produkte mit digitalen Elementen ein. Die Nichteinhaltung dieser Normen führt zivilrechtlich zur automatischen Vermutung der Fehlerhaftigkeit des Produkts. Ein nachvollziehbarer Prozess für das Vulnerability Assessment ist daher auch für die Verteidigung vor Gericht von Bedeutung.

Schadensersatzpflicht und Auswirkungen auf Daten

Die Richtlinie 2024/2853 erweitert den Kreis der ersatzfähigen Schäden und schließt erstmals die Zerstörung oder Korruption von Daten ein, die nicht für berufliche Zwecke genutzt werden. Ein effektives Vulnerability Assessment reduziert das Risiko von Vorfällen, die Daten oder Datenbanken von Endnutzern gefährden. Die Prävention solcher Ereignisse senkt die Wahrscheinlichkeit, sowohl materielle Wiederherstellungskosten tragen zu müssen als auch rechtliche Konsequenzen aufgrund der Fehlerhaftigkeit des Produkts zu erleiden.

Um die spezifischen Auswirkungen auf Software zu vertiefen, lesen Sie den Artikel zur Softwarehaftung in der EU-Richtlinie. Um zu verstehen, wie sich Penetrationstests in das Vulnerability Assessment bei der Beweisführung integrieren, lesen Sie den vertiefenden Beitrag zu Penetrationstests und Herstellerhaftung.

FAQ: Richtlinie (EU) 2024/2853 und Vulnerability Assessment

  • Ist das Vulnerability Assessment gemäß der Richtlinie 2024/2853 gesetzlich vorgeschrieben?
  • Die Richtlinie nennt das Vulnerability Assessment nicht explizit, verpflichtet den Hersteller jedoch dazu, das Produkt zu überwachen und Sicherheitsupdates bereitzustellen. Das Vulnerability Assessment ist eines der am besten geeigneten Instrumente, um diese Verpflichtung auf dokumentierbare und überprüfbare Weise zu erfüllen.
  • Wann tritt die Pflicht zur kontinuierlichen Überwachung in Kraft?
  • Die Richtlinie 2024/2853 ist ab dem 9. Dezember 2026 voll anwendbar. Hersteller, die auf dem EU-Markt tätig sind, sollten ihre Compliance-Prozesse rechtzeitig einleiten.
  • Was passiert, wenn eine Schwachstelle identifiziert, aber nicht in angemessener Zeit behoben wird?
  • Wenn der Schaden auf eine bekannte und nicht behobene Schwachstelle zurückzuführen ist, kann der Hersteller haftbar gemacht werden. Die Dokumentation des Remediation-Backlogs – inklusive der getroffenen Entscheidungen und der Gründe für Verzögerungen – ist ein relevantes Element für die Verteidigung im Streitfall.
  • Gilt der Cyber Resilience Act für dieselben Unternehmen?
  • Der Cyber Resilience Act gilt für Produkte mit digitalen Elementen, die auf dem EU-Markt in Verkehr gebracht werden, und führt spezifische technische Anforderungen ein, einschließlich solcher zur Schwachstellenverwaltung. Das Gesetz 36/2026 verknüpft beide Rechtsinstrumente in der italienischen Rechtsordnung.

[Callforaction-VA-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *