Mit der General Product Safety Regulation (GPSR, 2023/988) hat die Europäische Union im Dezember 2024 ein neues Regelwerk zur Erhöhung der Produktesicherheit eingeführt. Diese Verordnung ersetzt die bisherige Richtlinie von 2001 und bringt wichtige Änderungen für Hersteller, Händler und Importeure mit sich. Die Produktsicherheitsverordnung wurde insbesondere auch deshalb überarbeitet und aktualisiert, um Entwicklungen im Zusammenhang mit neuen Technologien und Online-Verkäufen zu berücksichtigen.
Die GPSR stellt sicher, dass sämtliche Produkte, die in der EU verkauft werden, grundlegende Sicherheitsanforderungen erfüllen. Davon betroffen sind physische Konsumgüter genauso wie Produkte mit digitalen Elementen. «Unternehmen, die Waren in der EU vertreiben oder in Verkehr bringen, müssen sicherstellen, dass sie die neuen Anforderungen erfüllen – andernfalls drohen Geldstrafen oder Handelsbeschränkungen», sagt Jürgen Messerer, Embedded Software Architekt bei bbv.
Wie der Cyber Resilience Act (CRA) verfolgt GPSR das Ziel, den Schutz von Nutzern und Unternehmen vor unsicheren Produkten zu verbessern. Angepasst auf das digitale Zeitalter – in dem viele Produkte zunehmend softwaregesteuert und vernetzt sind – werden dabei die Risiken durch neue Technologien berücksichtigt und die Marktüberwachung gestärkt. «Während die GPSR allgemein die Sicherheitsanforderungen für Konsumgüter auf dem EU-Markt regelt – sowohl für physische als auch für digitale Produkte – konzentriert sich der Cyber Resilience Act gezielt auf die Cybersicherheit von Konsumgütern mit digitalen Elementen», erklärt Jürgen Messerer.
Überschneidungen gibt es etwa bei vernetzten Geräten, IoT-Produkten oder Softwarelösungen. Die GPSR stellt sicher, dass alle auf dem EU-Markt verfügbaren Produkte – unabhängig davon, ob sie online oder offline verkauft werden – den neusten Sicherheitsstandards entsprechen. Die Radio Equipment Directive (RED) wiederum regelt detailliert und verbindlich die Sicherheitsanforderungen speziell für Funkanlagen bzw. drahtlos kommunizierende Geräte.
Die Neuerungen der GPSR 2024
- Erweiterter Geltungsbereich: Die GPSR deckt nicht nur physische Produkte ab, sondern auch digitale Komponenten, die sich auf die Sicherheit eines Produkts auswirken können. Insbesondere müssen neu entwickelte, selbstlernende und prädikative Funktionen, die mit künstlicher Intelligenz arbeiten, berücksichtigt werden.
- Pflichten für Onlinemarktplätze: Webshops tragen eine grössere Verantwortung für die Sicherheit der Produkte, die über ihre Plattform verkauft werden. Im Speziellen verpflichtet die Verordnung Anbieter von Online-Marktplätzen zur Registrierung im Safety-Gate-Portal sowie zur Benennung einer zentralen Kontaktstelle. Ebenso müssen Produktsicherheits- und Rückverfolgbarkeitsinformationen durch die Shop-Betreiber bereitgestellt und eine Frist von zwei Arbeitstagen für die Umsetzung von Anordnungen der Marktüberwachungsbehörden sowie eine Frist von drei Arbeitstagen für die Bearbeitung von Meldungen Dritter eingehalten werden.
- Rückverfolgbarkeit und Kennzeichnung: Produkte müssen mit klaren Informationen zur Identifikation und zum Hersteller versehen sein, um Rückrufe und Überprüfungen zu erleichtern.
- Strengere Marktüberwachung: Behörden haben erweiterte Befugnisse, um unsichere Produkte schneller aus dem Verkehr zu ziehen.
- Neue Anforderungen an Produktrückrufe: Endnutzer müssen effizient und verständlich über Sicherheitsrisiken informiert werden. Unternehmen müssen klar definierte Rückrufprozesse implementieren. Deshalb besteht die Pflicht, verfügbare Kundendaten zu nutzen, um die von einem Rückruf betroffenen Konsumentinnen und Konsumenten direkt und unverzüglich zu informieren. Für digitale Produkte besonders relevant ist die Forderung nach klaren und verständlichen Rückrufanzeigen und das Angebot von mindestens zwei Abhilfemassnahmen wie Reparatur, Ersatz oder Erstattung, wobei eine Reparatur auch ein Software-Update umfassen kann.
Kostenloser Download
Whitepaper zum CRA
Dieses Whitepaper zum Cyber Resilience Act bietet Einblicke und konkrete Empfehlungen für Ihr Unternehmen.
Wen die GPSR betrifft – und was zu tun ist
Die GPSR ist sehr umfassend und betrifft sämtliche Unternehmen, die Produkte auf dem EU-Markt bereitstellen. Dazu gehören sowohl die Hersteller, die sicherstellen müssen, dass ihre Waren den neusten Sicherheitsstandards entsprechen, als auch die Importeure und Händler. Zu Letzteren gehören auch die Betreiber von Onlineplattformen. Diese müssen nachweisen, dass sie wirksame Massnahmen zur Identifizierung und Entfernung von unsicheren Produkten ergreifen. Weiter sind auch Dienstleister angesprochen, die einen Einfluss auf die Produktsicherheit haben, also etwa Unternehmen, die digitale Services oder Software bereitstellen.
Die General Product Safety Regulation ist bereits gültig. «Unternehmen sollten sich deshalb umgehend mit den neuen Gegebenheiten befassen und je nach Produkt die folgenden Massnahmen einleiten», sagt Jürgen Messerer.
- Bestandesaufnahme: Betroffene Produkte, die unter die GPSR fallen, müssen identifiziert werden. Dazu gehören explizit auch digitale und vernetzte Produkte sowie solche mit KI-Funktionen. Interne Sicherheitsrichtlinien und Tests müssen überprüft und bei Bedarf angepasst werden. Erforderlich ist die Erstellung und Aktualisierung einer technischen Dokumentation inklusive einer Risikoanalyse. Mitarbeitende sollten adäquate Awareness-Schulung erhalten.
- Cybersecurity: Es gilt abzuklären, ob die Produkte digitale oder vernetzte Komponenten enthalten, die Sicherheitsrisiken mit sich bringen. Die daraus resultierenden Cyberrisiken, sofern sie die Produktsicherheit oder Gesundheit der Benutzerinnen und Benutzer beeinträchtigen können, müssen als Teil der allgemeinen Risikoanalyse unter der GPSR berücksichtigt werden. IoT-Produkte müssen etwa per se sicher konzipiert sein oder entsprechend gegen Cyberangriffe geschützt werden können. Eine Gefahrenanalyse zeigt auf, wo die Risiken liegen und wie sie bewertet werden können.
Kostenloser Download
Checkliste CRA-Umsetzung
Diese Checkliste bietet Ihnen einen klaren Leitfaden, um alle erforderlichen Schritte effizient zu planen und umzusetzen.
- Meldungspflicht für Vorfälle: Bei der Sicherheit digitaler Produkte, bei denen Risiken sich schnell verbreiten können, ist eine schnelle und effiziente Meldung und Koordination über ein zentrales System wie Safety Gate unerlässlich. Mit dem Schnellwarnsystem Safety Gate wurde im Europäischen Wirtschaftsraum ein Netzwerk zum Schutz der Gesundheit etabliert, in dem Behörden in Echtzeit Informationen zu gefährlichen Produkten austauschen. Online-Marktplätze müssen sich dort registrieren. Das modernisierte Safety Gate System, insbesondere das Safety-Business-Gateway, dient als zentraler Mechanismus, über den Wirtschaftsakteure und Online-Marktplätze gefährliche Produkte und Unfälle melden müssen. Es dient auch dem Informationsaustausch mit den Behörden.
- Transparenz: Sicherstellen, dass die Produkte die neuen Anforderungen an Rückverfolgbarkeit erfüllen. Evtl. müssen neue Prozesse implementiert werden, um Rückrufe und Fehlermeldungen den neuen Regulierungen anzupassen, sodass unsichere Produkte schnell upgedatet oder aus dem Verkehr gezogen werden können. Security-Guidelines müssen zur Verfügung gestellt werden. Diese zeigen auf, welche Security-Features die Produkte aufweisen, wie sie sich sicher in Betrieb nehmen und bei einem Sicherheitsvorfall härten lassen.
- Mechanismen der Durchsetzung und Rechtsbehelfe: Die strengere Marktüberwachung, die erweiterten Befugnisse der Behörden, insbesondere im Online-Bereich, sowie die Möglichkeit von Verbandsklagen sind für die Sicherheit digitaler Produkte ebenfalls relevant. Sicherheitsmängel bei digitalen Produkten können viele Konsumentinnen und Konsumenten gleichzeitig betreffen. Effektive Durchsetzungsmechanismen und die Möglichkeit kollektiver Rechtsbehelfe sind daher wichtig, um die Einhaltung der Sicherheitsanforderungen zu gewährleisten.
Schützen Sie Ihre digitalen Assets
Cybersecurity Services
Unsere Dienstleistungen helfen, Ihre digitalen Assets zu schützen und die Geschäftskontinuität zu gewährleisten.
bbv unterstützt Sie bei der Umsetzung der GPSR
bbv unterstützt Unternehmen in mehreren Bereichen bei der Einhaltung relevanter Regulatorien und Normen wie dem Cyber Resilence Act, NIS-2, IEC62443 oder um die eher allgemeineren Anforderungen der General Product Safety Regulation effizient umzusetzen. Neben der Risikoanalyse führen die bbv-Spezialisten Gap-Analysen durch und begleiten die Kunden bei der Erarbeitung passender Massnahmen.
- Compliance-Check & Risikobewertung
bbv führt eine detaillierte Analyse (Cybersecurity Risk Assessments inklusive Threat Analysis) durch, um zu prüfen, ob Produkte den neuen Sicherheitsanforderungen entsprechen, und identifiziert potenzielle Schwachstellen. - Entwicklung sicherer digitaler Komponenten
Falls ein Produkt Software oder smarte Funktionen beinhaltet, helfen wir bei der Implementierung sicherer Architekturen und Software-Updates, um den Anforderungen der GPSR gerecht zu werden. - Optimierung von Rückverfolgbarkeit und Dokumentation
Wir entwickeln Lösungen zur lückenlosen Rückverfolgbarkeit von Produkten, um regulatorische Anforderungen zu erfüllen und Rückrufprozesse effizienter zu gestalten. - Integration von Cybersecurity-Massnahmen
Da digitale Komponenten unter die GPSR fallen, bietet bbv Sicherheitslösungen für IoT- und Cloud-Produkte, um Unternehmen gegen potenzielle Cyberrisiken abzusichern. - Training und Schulung
bbv bietet gezielte Workshops für Unternehmen an, um Mitarbeitende mit den neuen Anforderungen der GPSR vertraut zu machen und Best Practices für die Umsetzung zu vermitteln. Die Workshops sensibilisieren für das Thema Cybersecurity und führen in die wichtigsten Themen ein. Durch Gruppenarbeiten identifizieren die Teilnehmenden gemeinsam Handlungsfelder in Ihrem Unternehmen und entwickeln eine konkrete Roadmap für potenzielle Massnahmen.
Jürgen Messerer
Als Security-Experte unterstützt er auch bei Fragen zu Compliance und regulatorischen Anforderungen.
DAS KÖNNTE SIE AUCH INTERESSIEREN
CRA trifft Realität: 5 typische Fehler, die Unternehmen aktuell machen
Cyber Resilience Act: Was Hersteller ab September 2026 beachten müssen
