Müssen die neuen LEGO Smart Bricks den Cyber Resilience Act erfüllen?

Was hat es mit den neuen LEGO Smart Bricks auf sich?

LEGO hat mit den sogenannten Smart Bricks eine neue Generation interaktiver Bausteine angekündigt. Optisch bleiben sie den bekannten LEGO-Steinen treu, im Inneren steckt jedoch moderne Technik: Sensoren, LEDs, Lautsprecher und eine eigene Steuereinheit. Die Smart Bricks reagieren auf Bewegung, Lage oder benachbarte Steine und Figuren und erzeugen so Licht- oder Soundeffekte – ganz ohne sichtbare Kabel oder externe Steuerung.

Das Ziel: klassisches, haptisches Bauen mit digitalen Funktionen zu kombinieren und so neue Spielerlebnisse zu schaffen. Genau diese Verbindung von physischem Produkt und digitaler Logik macht die Smart Bricks aus regulatorischer Sicht besonders interessant.

Fallen LEGO Smart Bricks in den Anwendungsbereich des Cyber Resilience Act?

Ob die LEGO Smart Bricks tatsächlich unter den Cyber Resilience Act (CRA) fallen, lässt sich nicht pauschal beantworten. Grundsätzlich ist eine Einordnung in den Anwendungsbereich aber durchaus denkbar.

Der CRA ist eine EU-Verordnung, die erstmals einheitliche und verbindliche Cybersicherheitsanforderungen für sogenannte Produkte mit digitalen Elementen schafft. Gemeint sind damit nicht nur klassische IT-Produkte, sondern auch Hardware, die digitale Funktionen besitzt, Software enthält oder Daten verarbeitet. Ziel ist es, Cybersicherheit über den gesamten Produktlebenszyklus hinweg sicherzustellen – von der Entwicklung bis weit nach der Markteinführung.

Die Smart Bricks erfüllen voraussichtlich die Definition eines „Produkts mit digitalen Elementen“ gemäß CRA. Zwar verfügen sie über Firmware und Sensorik, entscheidend für die Anwendbarkeit ist jedoch die Fähigkeit zur Datenverbindung: Sofern die Bricks über Schnittstellen (z. B. Bluetooth, USB oder WLAN) verfügen, um mit einer App, einem Controller oder dem Internet zu kommunizieren, fallen sie unmittelbar in den Anwendungsbereich der Verordnung. Die bloße Existenz von Elektronik ohne Vernetzungsfähigkeit würde hingegen nicht genügen.

Werden die Smart Bricks in der EU in Verkehr gebracht, wären sie daher nicht nur als Spielzeug zu betrachten, sondern zugleich als digitales Produkt im Sinne des CRA. Da sie weder unter spezielle Sonderregime (etwa Medizinprodukte oder Fahrzeugtechnik) fallen noch offensichtlich von den gesetzlichen Ausnahmen erfasst sind, könnten sie theoretisch in den Anwendungsbereich des CRA fallen. Ob und in welchem Umfang, wäre im Rahmen einer konkreten Relevanz- und Risikobewertung zu klären.

Welche Anforderungen müsste LEGO erfüllen?

Sollten die Smart Bricks unter den CRA fallen, hätte dies eine Reihe konkreter Pflichten für den Hersteller zur Folge. Diese betreffen nicht nur die Technik selbst, sondern den gesamten Produktlebenszyklus:

• Security by Design: Sicherheitsaspekte müssten bereits bei der Entwicklung von Hardware und Firmware berücksichtigt werden – etwa durch Security by Default (sichere Standardeinstellungen) und eine bewusste Reduzierung der Angriffsfläche.
• Risikobewertung und Dokumentation: Mögliche Cyberrisiken wären systematisch zu analysieren und zu dokumentieren, einschließlich der eingesetzten Software-Komponenten (Software Bill of Materials, SBOM), wobei auch Drittanbieter-Bibliotheken erfasst werden müssen.
• Update- und Patch-Management: Sicherheitsupdates müssten über einen definierten Zeitraum (orientiert an der erwarteten Produktlebensdauer) bereitgestellt werden, um bekannte Schwachstellen zu beheben.
• Schwachstellen- und Vorfallmanagement: Aktiv ausgenutzte Sicherheitslücken oder relevante Sicherheitsvorfälle wären innerhalb kurzer Fristen (Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden) an die zuständigen Behörden (CSIRTs/ENISA) zu melden.
• CE-Kennzeichnung und Konformitätserklärung: Die Erfüllung der CRA-Anforderungen wäre Voraussetzung für den rechtmäßigen Vertrieb in der EU.

Voraussichtlich würden Smart Bricks dabei als Standardprodukt eingestuft, sodass eine Selbstbewertung durch den Hersteller (Modul A – interne Fertigungskontrolle) ausreichen würde – der organisatorische Aufwand ist dennoch nicht zu unterschätzen.

Welche Pflichten bringt der CRA generell für Unternehmen mit sich?

Der Cyber Resilience Act macht deutlich: Cybersicherheit ist keine optionale Zusatzfunktion mehr, sondern eine grundlegende Produkteigenschaft. Unternehmen, die Produkte mit digitalen Elementen entwickeln, herstellen oder vertreiben, müssen Sicherheit systematisch in ihre Prozesse integrieren.

Dazu gehören unter anderem regelmäßige Risikoanalysen, eine belastbare technische Dokumentation, langfristig geplante Sicherheitsupdates sowie klare Prozesse für den Umgang mit Schwachstellen und Sicherheitsvorfällen. Bei Verstößen drohen empfindliche Sanktionen – bis hin zu Verkaufsverboten, Rückrufen vom Markt oder Bußgeldern bis zu 15 Mio. Euro bzw. 2,5 % des weltweiten Jahresumsatzes.

Fazit

Die LEGO Smart Bricks zeigen anschaulich, dass der Cyber Resilience Act längst nicht nur klassische IT-Produkte betrifft. Auch innovative Konsum- und Spielzeugprodukte mit digitalen Funktionen können unter die neuen Cybersicherheitsanforderungen fallen – und machen deutlich, wie wichtig es ist, sich frühzeitig mit dem CRA auseinanderzusetzen.

Unsere Leistungen zum Cyber Resilience Act

Als ISiCO unterstützen wir Unternehmen dabei, den Cyber Resilience Act pragmatisch und rechtssicher umzusetzen. Wir prüfen, ob und in welchem Umfang Produkte unter den CRA fallen, und führen detaillierte Gap-Analysen zur Identifikation offener Handlungsfelder sowie umfassende Relevanz- und Risikoanalysen durch. Zudem begleiten wir unsere Mandanten bei der Konformitätsbewertung sowie der Erstellung der erforderlichen technischen Dokumentation. Darüber hinaus beraten wir zu sicheren Entwicklungsprozessen (Security by Design), nachhaltigen Update-Strategien und zur rechtlichen Absicherung entlang der gesamten Lieferkette.

Ganzheitliche Beratung: Datenschutz, IT-Sicherheit & KI
Unser Ansatz endet jedoch nicht beim CRA. Als spezialisierte Unternehmensberatung verknüpfen wir diese neuen Anforderungen nahtlos mit unserem umfassenden Portfolio im Datenschutz- und IT-Sicherheitsrecht, um Synergien zu nutzen und Doppelaufwände zu vermeiden:

• IT-Sicherheit & Compliance: Wir unterstützen bei der Umsetzung der NIS-2-Richtlinie, begleiten Zertifizierungen nach ISO 27001 oder TISAX® und stellen auf Wunsch externe Informationssicherheitsbeauftragte (ISB).
• Datenschutz (DSGVO): Unser Kerngeschäft umfasst den Aufbau von Datenschutzmanagementsystemen, Audits sowie die Stellung externer Datenschutzbeauftragter (DSB).
• Künstliche Intelligenz: Wir beraten zur rechtskonformen Einführung von KI-Systemen gemäß dem neuen AI Act und unterstützen bei der Zertifizierung nach ISO 42001.
• Krisenmanagement: Im Ernstfall stehen wir mit bewährten Prozessen für das Management von Datenpannen und Sicherheitsvorfällen bereit.

So stellen wir sicher, dass Ihre Compliance-Strategie nicht aus isolierten Einzelmaßnahmen besteht, sondern als integriertes Gesamtsystem funktioniert.