CRA regulation

Das bestehenden Unionsrecht gilt zwar für bestimmte Produkte mit digitalen Elementen, jedoch gibt es keinen horizontalen Rechtsrahmen der Union, der umfassende Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen festlegen würde. Die verschiedenen bisher auf Unionsebene und auf nationaler Ebene erlassenen Vorschriften und ergriffenen Initiativen befassen sich nur teilweise mit den festgestellten Problemen und Risiken im Zusammenhang mit der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881;, wodurch ein legislativer Flickenteppich innerhalb des Binnenmarkts entstanden ist, der zu einer größeren Rechtsunsicherheit sowohl für die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; als auch für die Nutzer solcher Produkte und zu einer größeren unnötigen Belastung der Unternehmen und Organisationen führt, die eine Reihe verschiedener Anforderungen und Pflichten in Bezug auf ähnliche Produktarten zu erfüllen haben. Die CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; dieser Produkte hat eine besonders ausgeprägte grenzüberschreitende Dimension, weil die in einem Mitgliedstaat oder in einem Drittland hergestellten Produkte mit digitalen Elementen häufig von Organisationen und Verbrauchern im gesamten Binnenmarkt verwendet werden. Dies macht es notwendig, den Bereich auf Unionsebene zu regulieren, um für einen harmonisierten Rechtsrahmen und Rechtssicherheit für Nutzer, Organisationen und Unternehmen, einschließlich Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; und kleinen und mittleren Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG der Kommission(⁵)Empfehlung der Kommission 2003/361/EG vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36)., zu sorgen. Das Regulierungsumfeld der Union sollte durch die Einführung von horizontalen Cybersicherheitsanforderungen für Produkte mit digitalen Elementen harmonisiert werden. Überdies gilt es, in der gesamten Union Rechtssicherheit für die Wirtschaftsakteure und Nutzer und eine bessere Harmonisierung des Binnenmarkts sowie Verhältnismäßigkeit für Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; sowie kleine und mittlere Unternehmen zu gewährleisten, wodurch auch bessere Bedingungen für Wirtschaftsakteure geschaffen würden, die in diesen Markt eintreten wollen.

Was Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; sowie kleine und mittlere Unternehmen betrifft, so sollten bei der Bestimmung der Kategorie, in die ein Unternehmen fällt, die Bestimmungen des Anhangs der Empfehlung 2003/361/EG in vollem Umfang angewandt werden. Daher sollten bei der Berechnung der Mitarbeiterzahl und der finanziellen Schwellenwerte zur Bestimmung der Unternehmenstypen auch die Bestimmungen von Artikel 6 des Anhangs der Empfehlung 2003/361/EG über die Erstellung der Daten eines Unternehmens im Hinblick auf bestimmte Arten von Unternehmen wie Partnerunternehmen oder verbundene Unternehmen angewandt werden.

Die Kommission sollte Leitlinien bereitstellen, um die Wirtschaftsakteure, insbesondere Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; sowie kleine und mittlere Unternehmen, bei der Anwendung dieser Verordnung zu unterstützen. Diese Leitlinien sollten unter anderem den Anwendungsbereich dieser Verordnung, insbesondere die Datenfernverarbeitungentfernt stattfindende Datenverarbeitung, für die eine Software vom Hersteller selbst oder unter dessen Verantwortung konzipiert und entwickelt wird und ohne die das Produkt mit digitalen Elementen eine seiner Funktionen nicht erfüllen könnte; und ihre Auswirkungen auf die Entwickler freier und quelloffener Softwaremeans the part of an electronic information system which consists of computer code;, die Anwendung der Kriterien zur Festlegung von Unterstützungszeiträumen für Produkte mit digitalen Elementen, das Zusammenspiel dieser Verordnung und anderer Rechtsvorschriften der Union und die Frage, was den Begriff der wesentlichen Änderung darstellt, abdecken.

Auf Unionsebene wurden in verschiedenen programmatischen und politischen Papieren wie der gemeinsamen Mitteilung der Kommission und des Hohen Vertreters der Union für Außen- und Sicherheitspolitik vom 16. Dezember 2020 mit dem Titel „Die Cybersicherheitsstrategie der EU für die digitale Dekade“, den Schlussfolgerungen des Rates zur CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; vernetzter Geräte vom 2. Dezember 2020 und den Schlussfolgerungen des Rates zur Entwicklung der Cyberabwehr der Europäischen Union vom 23. Mai 2022 und der Entschließung des Europäischen Parlaments vom 10. Juni 2021 zu der Cybersicherheitsstrategie der EU für die digitale Dekade(⁶)ABl. C 67 vom 8.2.2022, S. 81. besondere Cybersicherheitsanforderungen der Union für digitale oder vernetzte Produkte verlangt; gleichzeitig haben mehrere Drittländer Maßnahmen ergriffen, um dieses Problem auf eigene Initiative anzugehen. Im Abschlussbericht der Konferenz zur Zukunft Europas forderten die Bürgerinnen und Bürger „eine stärkere Rolle der EU bei der Abwehr von Cybersicherheitsbedrohungen“. Damit die Union international eine führende Rolle im Bereich der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; einnehmen kann, ist es wichtig, einen ambitionierten Rechtsrahmen zu schaffen.

Um das Gesamtniveau der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; aller im Binnenmarkt in den Verkehr gebrachten Produkte mit digitalen Elementen zu erhöhen, müssen für diese Produkte objektive und technologieneutrale grundlegende Cybersicherheitsanforderungen eingeführt werden, die dann horizontal gelten sollen.

Alle Produkte mit digitalen Elementen, die in ein größeres elektronisches Informationssystemein System, einschließlich elektrischer oder elektronischer Ausrüstung, das digitale Daten verarbeiten, speichern oder übertragen kann; integriert oder mit ihm verbunden sind, können unter bestimmten Umständen böswilligen Akteuren als Angriffsvektor dienen. Folglich kann selbst eine als weniger kritisch geltende Hardwaremeans a physical electronic information system, or parts thereof capable of processing, storing or transmitting digital data; und Softwaremeans the part of an electronic information system which consists of computer code; eine erste Kompromittierung eines Geräts oder Netzes erleichtern und es böswilligen Akteuren ermöglichen, sich privilegierten Zugriff auf einem System zu verschaffen oder sich systemübergreifend zu bewegen. Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten daher dafür sorgen, dass alle Produkte mit digitalen Elementen im Einklang mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen konzipiert und entwickelt werden. Die Pflicht bezieht sich sowohl auf Produkte, die physisch über Hardware-Schnittstellen verbunden werden können, als auch auf Produkte, die logisch verbunden werden, z. B. über Netzwerksockets, Pipes, Dateien, Anwendungsprogrammierschnittstellen oder andere Arten von Software-Schnittstellen. Da sich Cyberbedrohungen über verschiedene Produkte mit digitalen Elementen verbreiten können, ehe ein bestimmtes Ziel erreicht wird, z. B. durch Verkettung mehrerer ausnutzbarer Schwachstellen, sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; auch die CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; jener Produkte mit digitalen Elementen sicherstellen, die nur indirekt mit anderen Geräten oder Netzen verbunden sind.

Mit der Festlegung von Cybersicherheitsanforderungen für das Inverkehrbringenbzw. „in den Verkehr bringen“ die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt; von Produkten mit digitalen Elementen soll die CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; dieser Produkte sowohl für Verbrauchereine natürliche Person, die zu Zwecken handelt, die nicht ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit zugerechnet werden können; als auch für Unternehmen verbessert werden. Durch diese Anforderungen wird auch sichergestellt, dass die CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; in der gesamten Lieferkette berücksichtigt wird, sodass Endprodukte mit digitalen Elementen und ihre Komponenten sicherer gemacht werden. Dies betrifft auch Anforderungen für das Inverkehrbringenbzw. „in den Verkehr bringen“ die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt; von Verbraucherprodukten mit digitalen Elementen, die für schutzbedürftige Verbrauchereine natürliche Person, die zu Zwecken handelt, die nicht ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit zugerechnet werden können; bestimmt sind, wie z. B. Spielzeug und Babyphone-Systeme. Die Verbraucherprodukte mit digitalen Elementen, die in dieser Verordnung als wichtige Produkte mit digitalen Elementen eingestuft werden, sind mit einem höheren Cybersicherheitsrisikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; behaftet, da ihre Funktionen ein erhebliches Risiko nachteiliger Auswirkungen in Bezug auf ihre Tragweite und ihre mögliche Beeinträchtigung der Gesundheit, Sicherheit oder Unversehrtheit der Nutzer solcher Produkte bergen, und sollten einem strengeren Konformitätsbewertungsverfahren unterzogen werden. Das gilt für Produkte wie intelligente Haushaltsgeräte mit Sicherheitsfunktionen, einschließlich intelligenter Türschlösser, Babyphone-Systemen und Alarmanlagen, vernetztes Spielzeug und am Körper tragbare medizinische Geräte (Wearables). Darüber hinaus werden die strengeren Konformitätsbewertungsverfahren, denen sonstige Produkte mit digitalen Elementen, die in dieser Verordnung als wichtige oder kritische Produkte mit digitalen Elementen eingestuft werden, unterzogen werden müssen, dazu beitragen, etwaige negative Auswirkungen auf die Verbrauchereine natürliche Person, die zu Zwecken handelt, die nicht ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit zugerechnet werden können; zu verhindern, die sich aus der Ausnutzung von Schwachstellen ergeben könnten.

Mit dieser Verordnung soll ein hohes Niveau an CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; von Produkten mit digitalen Elementen und ihren integrierten Datenfernverarbeitungslösungen sichergestellt werden. Solche Datenfernverarbeitungslösungen sollten als entfernt stattfindende Datenverarbeitung definiert werden, für die eine Softwaremeans the part of an electronic information system which consists of computer code; vom Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; selbst oder unter dessen Verantwortung konzipiert und entwickelt wird und ohne die das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; eine seiner Funktionen nicht erfüllen könnte. Damit wird sichergestellt, dass solche Produkte in ihrer Gesamtheit von ihren Herstellern angemessen gesichert werden, unabhängig davon, ob die Daten lokal auf dem Gerät des Nutzers oder aus der Ferne durch den Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; verarbeitet oder gespeichert werden. Gleichzeitig fällt die Fernverarbeitung oder -speicherung nur insoweit in den Anwendungsbereich dieser Verordnung, als sie notwendig ist, damit ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; seine Funktionen erfüllen kann. Eine solche Fernverarbeitung oder -speicherung liegt vor, wenn eine mobile Anwendung den Zugang zu einer Anwendungsprogrammierschnittstelle oder zu einer Datenbank erfordert, die über einen vom Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; entwickelten Dienst bereitgestellt wird. In diesem Fall fällt der Dienst als Datenfernverarbeitungslösung in den Anwendungsbereich dieser Verordnung. Die Anforderungen an Datenfernverarbeitungslösungen, die in den Anwendungsbereich dieser Verordnung fallen, beinhalten daher keine technischen, betrieblichen oder organisatorischen Maßnahmen zur Beherrschung der Risiken für die Sicherheit der Netz- und Informationssysteme des Herstellerseine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; insgesamt.

Cloud-Lösungen gelten nur dann als Datenfernverarbeitungslösungen im Sinne dieser Verordnung, wenn sie der in dieser Verordnung festgelegten Begriffsbestimmung entsprechen. So fallen beispielsweise vom Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; von intelligenten Haushaltsgeräten angebotene Cloud-Funktionen, die es den Nutzern ermöglichen, das Gerät aus der Ferne zu steuern, in den Anwendungsbereich dieser Verordnung. Dagegen fallen Websites, die die Funktionalität eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; nicht unterstützen, oder Cloud-Dienste, die außerhalb der Verantwortung eines Herstellerseine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; entworfen und entwickelt wurden, nicht in den Anwendungsbereich dieser Verordnung. Die Richtlinie (EU) 2022/2555 gilt für Cloud-Computing-Dienste und Cloud-Dienstmodelle wie SaaS (Softwaremeans the part of an electronic information system which consists of computer code; as a Service), PaaS (Platform as a Service) oder IaaS (Infrastructure as a Service). Die Einrichtungen, die Cloud-Computing-Dienste in der Union erbringen und die gemäß Artikel 2 des Anhangs der Empfehlung 2003/361/EG als mittlere Unternehmen gelten oder die Schwellenwerte für mittlere Unternehmen gemäß Absatz 1 jenes Artikels überschreiten, fallen in den Anwendungsbereich der genannten Richtlinie.

Im Einklang mit dem Ziel dieser Verordnung, Hindernisse für den freien Verkehr von Produkten mit digitalen Elementen auszuräumen, sollten die Mitgliedstaaten in den von dieser Verordnung erfassten Aspekten nicht die Bereitstellung auf dem Marktdie entgeltliche oder unentgeltliche Abgabe eines Produkts mit digitalen Elementen zum Vertrieb oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit; von Produkten mit digitalen Elementen, die dieser Verordnung entsprechen, behindern. In den durch diese Verordnung harmonisierten Bereichen können die Mitgliedstaaten daher keine zusätzlichen Cybersicherheitsanforderungen für die Bereitstellung von Produkten mit digitalen Elementen auf dem Markt vorschreiben. Jede öffentliche oder private Einrichtung kann jedoch über die in dieser Verordnung festgelegten Anforderungen hinaus zusätzliche Anforderungen für die Beschaffung oder Verwendung von Produkten mit digitalen Elementen für ihre spezifischen Zwecke festlegen und sich daher für die Verwendung von Produkten mit digitalen Elementen entscheiden, die strengere oder spezifischere Cybersicherheitsanforderungen erfüllen als die, die für die Bereitstellung auf dem Marktdie entgeltliche oder unentgeltliche Abgabe eines Produkts mit digitalen Elementen zum Vertrieb oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit; gemäß dieser Verordnung gelten. Unbeschadet der Richtlinien 2014/24/EU(⁷)Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die öffentliche Auftragsvergabe und zur Aufhebung der Richtlinie 2004/18/EG (ABl. L 94 vom 28.3.2014, S. 65). und 2014/25/EU(⁸)Richtlinie 2014/25/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die Vergabe von Aufträgen durch Auftraggeber im Bereich der Wasser-, Energie- und Verkehrsversorgung sowie der Postdienste und zur Aufhebung der Richtlinie 2004/17/EG (ABl. L 94 vom 28.3.2014, S. 243). des Europäischen Parlaments und des Rates sollten die Mitgliedstaaten bei der Beschaffung von Produkten mit digitalen Elementen, die den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen, einschließlich jener für den Umgang mit Sicherheitsrisiken, entsprechen müssen, sicherstellen, dass diese Anforderungen im Beschaffungsprozess berücksichtigt werden und auch die Fähigkeit der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; zur wirksamen Anwendung von Cybersicherheitsmaßnahmen und zur Bewältigung von Cyberbedrohungen betrachtet wird. Darüber hinaus sind in der Richtlinie (EU) 2022/2555 Risikomanagementmaßnahmen im Bereich der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; für die wesentlichen und wichtigen Einrichtungen im Sinne von Artikel 3 der genannten Richtlinie festgelegt, die Maßnahmen zur Sicherheit der Lieferkette umfassen könnten, die erfordern, dass diese Einrichtungen Produkte mit digitalen Elementen verwenden, die strengeren als den in dieser Verordnung festgelegten Cybersicherheitsanforderungen genügen. Gemäß der Richtlinie (EU) 2022/2555 und ihrem Grundsatz der Mindestharmonisierung können die Mitgliedstaaten daher zusätzliche Cybersicherheitsanforderungen für die Verwendung von Produkten der Informations- und Kommunikationstechnologie (IKT-Produkte) durch wesentliche oder wichtige Einrichtungen gemäß der genannten Richtlinie festlegen, um für ein höheres Cybersicherheitsniveau zu sorgen, sofern diese Anforderungen mit den im Unionsrecht festgelegten Verpflichtungen der Mitgliedstaaten im Einklang stehen. Zu den von dieser Verordnung nicht erfassten Aspekten können auch nichttechnische Faktoren im Zusammenhang mit Produkten mit digitalen Elementen und deren Herstellern gehören. Die Mitgliedstaaten können daher nationale Maßnahmen festlegen, einschließlich Beschränkungen für Produkte mit digitalen Elementen oder für Anbieter solcher Produkte, die nichttechnischen Faktoren Rechnung tragen. Die nationalen Maßnahmen in Bezug auf solche Faktoren müssen mit dem Unionsrecht vereinbar sein.

Diese Verordnung sollte im Einklang mit dem Unionsrecht die Verantwortung der Mitgliedstaaten für die Gewährleistung der nationalen Sicherheit unberührt lassen. Die Mitgliedstaaten sollten Produkte mit digitalen Elementen, die für Zwecke der nationalen Sicherheit oder Verteidigung beschafft oder verwendet werden, zusätzlichen Vorgaben unterwerfen können, sofern diese Vorgaben mit den im Unionsrecht festgelegten Verpflichtungen der Mitgliedstaaten im Einklang stehen.

Diese Verordnung gilt für Wirtschaftsakteure nur in Bezug auf Produkte mit digitalen Elementen, die auf dem Markt bereitgestellt werden, d. h., die im Rahmen einer Geschäftstätigkeit zum Vertrieb oder zur Verwendung auf dem Unionsmarkt geliefert werden. Eine Lieferung im Zusammenhang mit einer Geschäftstätigkeit ist möglicherweise nicht nur dadurch gekennzeichnet, dass für ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; ein Preis verlangt wird, sondern auch dadurch, dass für technische Unterstützungsleistungen ein Entgelt verlangt wird, das nicht nur der Deckung der tatsächlichen Kosten dient, dass eine Gewinnerzielungsabsicht besteht, beispielsweise durch Bereitstellung einer Softwareplattform, über die der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; andere Dienste gewinnorientiert anbietet, oder dass als Bedingung für die Nutzung die Verarbeitung personenbezogener Daten zu anderen Zwecken als der alleinigen Verbesserung der Sicherheit, Kompatibilität oder Interoperabilität der Softwaremeans the part of an electronic information system which consists of computer code; verlangt wird oder dass Spenden angenommen werden, die die mit der Konzeption, Entwicklung und Bereitstellung eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; verbundenen Kosten übersteigen. Die Annahme von Spenden ohne Gewinnabsicht sollte nicht als Geschäftstätigkeit gelten.

Produkte mit digitalen Elementen, die im Rahmen der Erbringung einer Dienstleistung bereitgestellt werden, für die eine Gebühr ausschließlich zur Deckung der tatsächlichen Kosten erhoben wird, die in unmittelbarem Zusammenhang mit dem Betrieb dieses Dienstes stehen, wie dies bei bestimmten Produkten mit digitalen Elementen der Fall sein kann, die von Einrichtungen der öffentlichen Verwaltung bereitgestellt werden, sollten nicht allein aus diesen Gründen als Bestandteil einer Geschäftstätigkeit im Sinne dieser Verordnung angesehen werden. Darüber hinaus sollten Produkte mit digitalen Elementen, die von einer öffentlichen Verwaltungseinrichtung ausschließlich für ihren Eigenbedarf entwickelt oder geändert werden, nicht als auf dem Markt bereitgestellt im Sinne dieser Verordnung gelten.

Softwaremeans the part of an electronic information system which consists of computer code; und Daten, die offen geteilt werden und die Nutzer frei abrufen, nutzen, verändern und weiter verteilen können, auch in veränderter Form, können zu Forschung und Innovation auf dem Markt beitragen. Zur Förderung der Entwicklung und des Einsatzes von freier und quelloffener Softwaremeans the part of an electronic information system which consists of computer code;, insbesondere durch Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; sowie kleine und mittlere Unternehmen, einschließlich Start-up-Unternehmen, Einzelpersonen, gemeinnützige Organisationen und akademische Forschungseinrichtungen, sollte bei der Anwendung dieser Verordnung auf Produkte mit digitalen Elementen, die als freie und quelloffene Softwareeine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen; eingestuft und zum Vertrieb oder zur Nutzung im Rahmen einer Geschäftstätigkeit bereitgestellt werden, die Arten der verschiedenen Entwicklungsmodelle für Softwaremeans the part of an electronic information system which consists of computer code; berücksichtigt werden, die im Rahmen von Lizenzen für freie und quelloffene Softwareeine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen; vertrieben und entwickelt wird.

Unter freier und quelloffener Softwaremeans the part of an electronic information system which consists of computer code; ist eine Softwaremeans the part of an electronic information system which consists of computer code; zu verstehen, deren Quellcode offen geteilt wird und in deren Lizenz alle erforderlichen Rechte vorgesehen sind, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen. Freie und quelloffene Softwareeine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen; wird offen entwickelt, gepflegt und verteilt, auch über Online-Plattformen. In Bezug auf Wirtschaftsakteure, die in den Anwendungsbereich dieser Verordnung fallen, sollte nur freie und quelloffene Softwareeine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen;, die auf dem Markt bereitgestellt und somit zum Vertrieb oder zur Nutzung im Rahmen einer Geschäftstätigkeit verfügbar gemacht wird, in den Anwendungsbereich dieser Verordnung fallen. Die bloßen Umstände, unter denen das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; entwickelt wurde, oder die Art und Weise, wie die Entwicklung finanziert wurde, sollten daher bei der Bestimmung des kommerziellen oder nichtkommerziellen Charakters der entsprechenden Tätigkeit nicht berücksichtigt werden. Insbesondere sollte für die Zwecke dieser Verordnung und in Bezug auf die Wirtschaftsakteure, die in ihren Anwendungsbereich fallen, die Bereitstellung von Produkten mit digitalen Elementen, die als freie und quelloffene Softwareeine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen; eingestuft und von ihren Herstellern nicht zu Geld gemacht werden, nicht als Geschäftstätigkeit betrachtet werden, damit sichergestellt ist, dass klar zwischen der Entwicklungs- und der Lieferphase unterschieden wird. Darüber hinaus sollte die Lieferung von Produkten mit digitalen Elementen, die als freie und quelloffene Softwarekomponenten eingestuft werden und zur Integration durch andere Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in ihre eigenen Produkte mit digitalen Elementen bestimmt sind, nur dann als Bereitstellung auf dem Marktdie entgeltliche oder unentgeltliche Abgabe eines Produkts mit digitalen Elementen zum Vertrieb oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit; betrachtet werden, wenn die KomponenteSoftware oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist; von ihrem ursprünglichen Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; zu Geld gemacht wird. Beispielsweise sollte allein der Umstand, dass ein Produkt quelloffener Softwaremeans the part of an electronic information system which consists of computer code; mit digitalen Elementen von den Herstellern finanziell unterstützt wird oder dass Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; zur Entwicklung eines solchen Produkts beitragen, für sich genommen nicht ausschlaggebend für die Feststellung sein, dass die Tätigkeit kommerzieller Art ist. Fernerhin sollte das bloße Vorhandensein regelmäßiger Veröffentlichungen von Versionen für sich genommen nicht zu der Schlussfolgerung führen, dass ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; im Rahmen einer Geschäftstätigkeit geliefert wird. Schließlich sollte für die Zwecke dieser Verordnung die Entwicklung von Produkten mit digitalen Elementen, die als freie und quelloffene Softwareeine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen; eingestuft werden, durch gemeinnützige Organisationen nicht als kommerzielle Tätigkeit betrachtet werden, sofern die Organisation so angelegt ist, dass sichergestellt ist, dass alle Einnahmen nach Abzug der Kosten zur Verwirklichung gemeinnütziger Ziele verwendet werden. Diese Verordnung gilt nicht für natürliche oder juristische Personen, die mit Quellcode zu Produkten mit digitalen Elementen beitragen, die als freie und quelloffene Softwareeine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen; eingestuft sind und nicht ihrer Verantwortung unterliegen.

Angesichts der Bedeutung für die CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881;, die vielen Produkten mit digitalen Elementen zukommt, die als freie und quelloffene Softwareeine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen; eingestuft sind und im Sinne dieser Verordnung veröffentlicht, aber nicht auf dem Markt bereitgestellt werden, sollten juristische Personen, die die Entwicklung solcher für kommerzielle Tätigkeiten bestimmte Produkte dauerhaft unterstützen und eine wichtige Rolle bei der Sicherstellung der Brauchbarkeit dieser Produkte spielen (Verwalter quelloffener Softwareeine juristische Person, bei der es sich nicht um einen Hersteller handelt, die den Zweck oder das Ziel hat, die Entwicklung spezifischer Produkte mit digitalen Elementen, die als freie und quelloffene Software gelten und für kommerzielle Tätigkeiten bestimmt sind, systematisch und nachhaltig zu unterstützen, und die die Brauchbarkeit dieser Produkte sicherstellt;), einer vereinfachten und maßgeschneiderten Regulierungsregelung unterworfen werden. Zu den Verwaltern quelloffener Softwaremeans the part of an electronic information system which consists of computer code; gehören bestimmte Stiftungen sowie Einrichtungen, die freie und quelloffene Softwareeine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen; im wirtschaftlichen Kontext entwickeln und veröffentlichen, einschließlich gemeinnütziger Einrichtungen. Bei der Regulierung sollten ihre Besonderheiten und die Vereinbarkeit mit der Art der auferlegten Verpflichtungen berücksichtigt werden. Es sollten nur Produkte mit digitalen Elementen abgedeckt sein, die als freie und quelloffene Softwareeine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen; gelten und letztlich für kommerzielle Tätigkeiten wie die Integration in kommerzielle Dienste oder kostenpflichtige Produkte mit digitalen Elementen bestimmt sind. Für die Zwecke dieser Regulierungsregelung umfasst die beabsichtigte Integration in kostenpflichtige Produkte mit digitalen Elementen Fälle, in denen die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich;, die eine KomponenteSoftware oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist; in ihre eigenen Produkte mit digitalen Elementen integrieren, entweder regelmäßig zur Entwicklung dieser KomponenteSoftware oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist; beitragen oder regelmäßige finanzielle Unterstützung leisten, um die Kontinuität eines Softwareprodukts sicherzustellen. Die dauerhafte Unterstützung der Entwicklung eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; umfasst unter anderem das Hosting und die Verwaltung von Plattformen für die Zusammenarbeit bei der Softwareentwicklung, das Hosting von Quellcode oder Softwaremeans the part of an electronic information system which consists of computer code;, das Verwalten oder Administrieren von Produkten mit digitalen Elementen, die als freie und quelloffene Softwareeine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen; eingestuft sind, sowie die Steuerung der Entwicklung solcher Produkte. Da in der vereinfachten und maßgeschneiderten Regulierungsregelung für Verwalter quelloffener Softwareeine juristische Person, bei der es sich nicht um einen Hersteller handelt, die den Zweck oder das Ziel hat, die Entwicklung spezifischer Produkte mit digitalen Elementen, die als freie und quelloffene Software gelten und für kommerzielle Tätigkeiten bestimmt sind, systematisch und nachhaltig zu unterstützen, und die die Brauchbarkeit dieser Produkte sicherstellt; nicht dieselben Verpflichtungen wie für Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; im Rahmen dieser Verordnung vorgesehen sind, sollte es ihnen nicht gestattet sein, die CE-Kennzeichnungeine Kennzeichnung, durch die ein Hersteller erklärt, dass ein Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I und anderen geltenden Harmonisierungsrechtsvorschriften der Union über ihre Anbringung genügen; auf Produkten mit digitalen Elementen, deren Entwicklung sie unterstützen, anzubringen.

Die bloße Bereitstellung von Produkten mit digitalen Elementen in offenen Archiven, darunter über Paketverwaltung oder auf Plattformen für die Zusammenarbeit, stellt an sich noch keine Bereitstellung eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; auf dem Markt dar. Die Anbieter solcher Dienste sollten nur dann als Händlereine natürliche oder juristische Person in der Lieferkette, die ein Produkt mit digitalen Elementen ohne Änderung seiner Eigenschaften auf dem Unionsmarkt bereitstellt, mit Ausnahme des Herstellers oder des Einführers; betrachtet werden, wenn sie diese Softwaremeans the part of an electronic information system which consists of computer code; auf dem Markt bereitstellen und sie somit im Rahmen einer Geschäftstätigkeit zum Vertrieb oder zur Verwendung auf dem Unionsmarkt liefern.

Zur Unterstützung und Erleichterung der Sorgfaltspflicht von Herstellern, die freie und quelloffene Softwarekomponenten, die nicht den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen unterliegen, in ihre Produkte mit digitalen Elementen integrieren, sollte die Kommission die Möglichkeit haben, freiwillige Sicherheitsbescheinigungsprogramme einzurichten, entweder durch einen delegierten Rechtsakt zur Ergänzung dieser Verordnung oder durch das Anfordern eines europäischen Schemas für die Cybersicherheitszertifizierung gemäß Artikel 48 der Verordnung (EU) 2019/881, das den Besonderheiten der Modelle für die Entwicklung freier und quelloffener Softwaremeans the part of an electronic information system which consists of computer code; Rechnung trägt. Die Sicherheitsbescheinigungsprogramme sollten so konzipiert sein, dass nicht nur natürliche oder juristische Personen, die ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, die als freie und quelloffene Softwareeine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen; eingestuft sind, entwickeln oder dazu beitragen, eine Sicherheitsbescheinigung initiieren oder finanzieren können, sondern auch Dritte, wie Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich;, die solche Produkte mit digitalen Elementen in ihre eigenen Produkte mit digitalen Elementen integrieren, sowie Nutzer oder öffentliche Verwaltungen der Union und der Mitgliedstaaten.

Im Hinblick auf die Ziele dieser Verordnung im Bereich der öffentlichen CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; und zur Verbesserung des Lagebewusstseins der Mitgliedstaaten hinsichtlich der Abhängigkeit der Union von Softwarekomponenten und insbesondere von potenziell freien und quelloffenen Softwarekomponenten sollte eine mit dieser Verordnung eingesetzte besondere Gruppe zur administrativen Zusammenarbeit (ADCO) beschließen können, gemeinsam eine Abhängigkeitsbewertung der Union durchzuführen. Die Marktüberwachungsbehörden sollten Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; von Produkten mit digitalen Elementen, die in die von der ADCO aufgestellten Kategorien fallen, auffordern können, die Software-Stücklisten vorzulegen, die sie gemäß dieser Verordnung erstellt haben. Um die Vertraulichkeit der Software-Stücklisten zu schützen, sollten die Marktüberwachungsbehörden der ADCO relevante Informationen über Abhängigkeiten in anonymisierter und aggregierter Form übermitteln.

Die Wirksamkeit der Durchführung dieser Verordnung wird auch davon abhängen, ob angemessene Kompetenzen im Bereich der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; verfügbar sind. Auf Unionsebene wurde in verschiedenen programmatischen und politischen Dokumenten, darunter in der Mitteilung der Kommission vom 18. April 2023 mit dem Titel „Schließung der Fachkräftelücke im Cybersicherheitsbereich zur Förderung der Wettbewerbsfähigkeit, des Wachstums und der Resilienz in der EU“ und in den Schlussfolgerungen des Rates vom 22. Mai 2023 zur Cyberabwehrpolitik der EU, eingeräumt, dass in der Union ein Qualifikationsdefizit im Bereich der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; besteht und die entsprechende Problematik sowohl im öffentlichen als auch im privaten Sektor vorrangig angegangen werden muss.. Um eine wirksame Durchführung dieser Verordnung sicherzustellen, sollten die Mitgliedstaaten dafür Sorge tragen, dass ausreichende Ressourcen für eine adäquate Personalausstattung der Marktüberwachungsbehörden und Konformitätsbewertungsstellen zur Verfügung stehen, damit diese ihre in dieser Verordnung festgelegten Aufgaben erfüllen können. Im Rahmen dieser Maßnahmen sollten die Mobilität der Arbeitskräfte im Bereich der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; und die damit verbundenen Karrierewege verbessert werden. Die Maßnahmen sollten auch dazu beitragen, die Beschäftigten im Bereich der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; resilienter und inklusiver zu machen, auch im Hinblick auf die Gleichstellung der Geschlechter. Die Mitgliedstaaten sollten daher Vorkehrungen treffen, damit die entsprechenden Aufgaben von angemessen ausgebildeten Fachkräften mit den erforderlichen Cybersicherheitskompetenzen wahrgenommen werden. Ebenso sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sicherstellen, dass ihr Personal über die erforderlichen Fähigkeiten verfügt, um ihren in dieser Verordnung festgelegten Verpflichtungen nachzukommen. Die Mitgliedstaaten und die Kommission sollten im Einklang mit ihren Vorrechten und Zuständigkeiten und den ihnen durch diese Verordnung übertragenen besonderen Aufgaben Maßnahmen ergreifen, um Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich;, insbesondere Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; sowie kleine und mittlere Unternehmen, einschließlich Start-up-Unternehmen, auch in Bereichen wie dem Aufbau von Kompetenzen, zu unterstützen, damit sie ihren Verpflichtungen aus dieser Verordnung nachkommen können. Da die Mitgliedstaaten gemäß der Richtlinie (EU) 2022/2555 verpflichtet sind, im Rahmen ihrer nationalen Cybersicherheitsstrategien Maßnahmen zur Förderung und Entwicklung von Schulungen im Bereich der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; und der Cybersicherheitskompetenzen zu ergreifen, können die Mitgliedstaaten bei der Verabschiedung solcher Strategien auch erwägen, den sich aus dieser Verordnung ergebenden Bedarf an Cybersicherheitskompetenzen zu decken, einschließlich des Bedarfs an Umschulung und Weiterqualifizierung.

Ein sicheres Internet ist für das Funktionieren kritischer Infrastrukturen und für die Gesellschaft insgesamt unverzichtbar. Die Richtlinie (EU) 2022/2555 zielt darauf ab, für ein hohes Maß an CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; der Dienste der in Artikel 3 jener Richtlinie genannten wesentlichen und wichtigen Einrichtungen, zu denen auch die Betreiber digitaler Infrastrukturen zählen, zu sorgen, die Kernfunktionen des offenen Internets unterstützen und den Internetzugang und Internetdienste sicherzustellen. Deshalb ist es wichtig, dass die Produkte mit digitalen Elementen, die erforderlich sind, damit die Betreiber digitaler Infrastrukturen das Funktionieren des Internets sicherstellen können, auf sichere Weise entwickelt werden und dass sie den etablierten Internetsicherheitsnormen entsprechen. Diese Verordnung, die für alle verbindungsfähigen Hardware- und Softwareprodukte gilt, zielt auch darauf ab, den Betreibern digitaler Infrastrukturen die Einhaltung der Anforderungen der Richtlinie (EU) 2022/2555 an die Lieferketten zu erleichtern, indem sichergestellt wird, dass die Produkte mit digitalen Elementen, die sie für die Erbringung ihrer Dienste verwenden, auf sichere Weise entwickelt werden, und dass sie rechtzeitig Sicherheitsaktualisierungen für solche Produkte erhalten.

Die Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates(⁹)Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates vom 5. April 2017 über Medizinprodukte, zur Änderung der Richtlinie 2001/83/EG, der Verordnung (EG) Nr. 178/2002 und der Verordnung (EG) Nr. 1223/2009 und zur Aufhebung der Richtlinien 90/385/EWG und 93/42/EWG des Rates (ABl. L 117 vom 5.5.2017, S. 1). enthält Vorschriften für Medizinprodukte und die Verordnung (EU) 2017/746 des Europäischen Parlaments und des Rates(¹⁰)Verordnung (EU) 2017/746 des Europäischen Parlaments und des Rates vom 5. April 2017 über In-vitro-Diagnostika und zur Aufhebung der Richtlinie 98/79/EG und des Beschlusses 2010/227/EU der Kommission (ABl. L 117 vom 5.5.2017, S. 176). enthält Vorschriften für In-vitro-Diagnostika. Diese Verordnungen dienen der Bewältigung von Cybersicherheitsrisiken und folgen besonderen Ansätzen, die auch dieser Verordnung zugrunde liegen. Insbesondere enthalten die Verordnungen (EU) 2017/745 und (EU) 2017/746 grundlegende Anforderungen an Medizinprodukte, die mittels eines elektronischen Systems funktionieren oder die selbst Softwaremeans the part of an electronic information system which consists of computer code; sind. Bestimmte nicht eingebettete Softwaremeans the part of an electronic information system which consists of computer code; und der gesamte Lebenszyklusansatz werden ebenfalls von diesen Verordnungen erfasst. Nach diesen Anforderungen müssen die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; bei der Entwicklung und Konstruktion ihrer Produkte Risikomanagementgrundsätze anwenden und dazu Anforderungen an IT-Sicherheitsmaßnahmen sowie entsprechende Konformitätsbewertungsverfahren festlegen. Darüber hinaus gibt es seit Dezember 2019 spezifische Leitlinien zur CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; von Medizinprodukten, die den Herstellern von Medizinprodukten und In-vitro-Diagnostika Orientierungen für die Einhaltung aller einschlägigen grundlegenden Anforderungen gemäß Anhang I dieser Verordnungen in Bezug auf die CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; an die Hand geben. Produkte mit digitalen Elementen, die unter eine dieser Verordnungen fallen, sollten daher nicht von der vorliegenden Verordnung erfasst werden.

Produkte mit digitalen Elementen, die ausschließlich für Zwecke der nationalen Sicherheit oder für Verteidigungszwecke entwickelt oder verändert werden, oder Produkte, die speziell für die Verarbeitung von Verschlusssachen konzipiert sind, fallen nicht in den Anwendungsbereich dieser Verordnung. Die Mitgliedstaaten sind aufgefordert, mit Blick auf diese Produkte für das gleiche oder ein höheres Schutzniveau als für die Produkte zu sorgen, die in den Anwendungsbereich dieser Verordnung fallen.

Mit der Verordnung (EU) 2019/2144 des Europäischen Parlaments und des Rates(¹¹)Verordnung (EU) 2019/2144 des Europäischen Parlaments und des Rates vom 27. November 2019 über die Typgenehmigung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge im Hinblick auf ihre allgemeine Sicherheit und den Schutz der Fahrzeuginsassen und von ungeschützten Verkehrsteilnehmern, zur Änderung der Verordnung (EU) 2018/858 des Europäischen Parlaments und des Rates und zur Aufhebung der Verordnungen (EG) Nr. 78/2009, (EG) Nr. 79/2009 und (EG) Nr. 661/2009 des Europäischen Parlaments und des Rates sowie der Verordnungen (EG) Nr. 631/2009, (EU) Nr. 406/2010, (EU) Nr. 672/2010, (EU) Nr. 1003/2010, (EU) Nr. 1005/2010, (EU) Nr. 1008/2010, (EU) Nr. 1009/2010, (EU) Nr. 19/2011, (EU) Nr. 109/2011, (EU) Nr. 458/2011, (EU) Nr. 65/2012, (EU) Nr. 130/2012, (EU) Nr. 347/2012, (EU) Nr. 351/2012, (EU) Nr. 1230/2012 und (EU) 2015/166 der Kommission (ABl. L 325 vom 16.12.2019, S. 1). sind Anforderungen an die Typgenehmigung von Kraftfahrzeugen sowie von Systemen und Bauteilen für diese Fahrzeuge festgelegt und bestimmte Cybersicherheitsanforderungen eingeführt worden, auch in Bezug auf den Betrieb eines zertifizierten Cybersicherheitsmanagementsystems, Software-Aktualisierungen, welche die Strategien und Verfahren der Organisationen für den Umgang mit Cybersicherheitsrisiken über dem gesamten Lebenszyklus von Fahrzeugen, Ausrüstungen und Diensten im Einklang mit den geltenden Regelungen der Vereinten Nationen über technische Spezifikationen und CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881;, insbesondere die UN-Regelung Nr. 155 — Einheitliche Bedingungen für die Genehmigung von Fahrzeugen hinsichtlich der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; und des Cybersicherheitsmanagementsystems(¹²)ABl. L 82 vom 9.3.2021, S. 30., umfassen und spezifische Konformitätsbewertungsverfahren vorsehen. Im Bereich der Luftfahrt besteht das Hauptziel der Verordnung (EU) 2018/1139 des Europäischen Parlaments und des Rates(¹³)Verordnung (EU) 2018/1139 des Europäischen Parlaments und des Rates vom 4. Juli 2018 zur Festlegung gemeinsamer Vorschriften für die Zivilluftfahrt und zur Errichtung einer Agentur der Europäischen Union für Flugsicherheit sowie zur Änderung der Verordnungen (EG) Nr. 2111/2005, (EG) Nr. 1008/2008, (EU) Nr. 996/2010, (EU) Nr. 376/2014 und der Richtlinien 2014/30/EU und 2014/53/EU des Europäischen Parlaments und des Rates, und zur Aufhebung der Verordnungen (EG) Nr. 552/2004 und (EG) Nr. 216/2008 des Europäischen Parlaments und des Rates und der Verordnung (EWG) Nr. 3922/91 des Rates (ABl. L 212 vom 22.8.2018, S. 1). in der Festlegung und Aufrechterhaltung eines hohen einheitlichen Niveaus der Flugsicherheit in der Union. Die Verordnung schafft einen Rahmen für grundlegende Anforderungen an die Lufttüchtigkeit luftfahrttechnischer Erzeugnisse, Teile und Ausrüstungen, einschließlich Softwaremeans the part of an electronic information system which consists of computer code;, die Pflichten zum Schutz vor Bedrohungen der Informationssicherheit umfasst. Mit dem Zertifizierungsverfahren nach der Verordnung (EU) 2018/1139 wird die mit der vorliegenden Verordnung angestrebte Vertrauenswürdigkeit sichergestellt. Produkte mit digitalen Elementen, die unter die Verordnung (EU) 2019/2144 fallen, und Produkte, die nach der Verordnung (EU) 2018/1139 zertifiziert worden sind, sollten daher nicht den in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen und Konformitätsbewertungsverfahren unterliegen.

In dieser Verordnung werden horizontale Cybersicherheitsvorschriften festgelegt, die nicht speziell für bestimmte Branchen oder bestimmte Produkte mit digitalen Elementen gelten sollen. Dennoch könnten branchen- oder produktspezifische Unionsvorschriften mit denen Anforderungen eingeführt werden, die sich auf alle oder einige der Risiken beziehen, die von den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen abgedeckt werden. Die Anwendung dieser Verordnung auf Produkte mit digitalen Elementen, die unter andere Unionsvorschriften mit Anforderungen in Bezug auf alle oder einige der von den grundlegenden Cybersicherheitsanforderungen dieser Verordnung abgedeckten Risiken fallen, kann in solchen Fällen eingeschränkt oder ausgeschlossen werden, sofern die Einschränkung oder der Ausschluss mit dem für diese Produkte geltenden allgemeinen Rechtsrahmen vereinbar ist und mit den branchenspezifischen Vorschriften zumindest dasselbe Schutzniveau erreicht wird, wie es diese Verordnung gewährleistet. Der Kommission sollte die Befugnis übertragen werden, delegierte Rechtsakte zur Ergänzung dieser Verordnung im Hinblick auf die Festlegung solcher Produkte und Vorschriften zu erlassen. In Bezug auf bestehendes Unionsrecht, für das solche Einschränkungen oder Ausschlüsse gelten sollten, enthält diese Verordnung besondere Bestimmungen, um ihr Verhältnis zu diesem Unionsrecht zu präzisieren.

Damit auf dem Markt bereitgestellte Produkte mit digitalen Elementen wirksam repariert werden können und ihre Lebensdauer verlängert wird, sollte eine Ausnahme für Ersatzteile vorgesehen werden. Diese Ausnahme sollte sowohl für Ersatzteile gelten, die der Reparatur von Altprodukten dienen, die vor dem Geltungsbeginn dieser Verordnung zur Verfügung gestellt wurden, als auch für Ersatzteile, die bereits ein Konformitätsbewertungsverfahren gemäß dieser Verordnung durchlaufen haben.

Nach der Delegierten Verordnung (EU) 2022/30 der Kommission(¹⁴)Delegierte Verordnung (EU) 2022/30 der Kommission vom 29. Oktober 2021 zur Ergänzung der Richtlinie 2014/53/EU des Europäischen Parlaments und des Rates im Hinblick auf die Anwendung der grundlegenden Anforderungen, auf die in Artikel 3 Absatz 3 Buchstaben d, e und f der Richtlinie Bezug genommen wird (ABl. L 7 vom 12.1.2022, S. 6). gelten die grundlegenden Anforderungen gemäß Artikel 3 Absatz 3 Buchstabe d, Buchstabe e und Buchstabe f der Richtlinie 2014/53/EU des Europäischen Parlaments und des Rates(¹⁵)Richtlinie 2014/53/EU des Europäischen Parlaments und des Rates vom 16. April 2014 über die Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die Bereitstellung von Funkanlagen auf dem Markt und zur Aufhebung der Richtlinie 1999/5/EG (ABl. L 153 vom 22.5.2014, S. 62)., die sich auf schädliche Auswirkungen auf das Netz und missbräuchliche Nutzung von Netzressourcen, personenbezogene Datenpersonenbezogene Daten gemäß der Begriffsbestimmung in Artikel 4 Nummer 1 der Verordnung (EU) 2016/679; und Privatsphäre sowie Betrug beziehen, für bestimmte Funkanlagen. Der Durchführungsbeschluss C(2022) 5637 der Kommission vom 5. August 2022 über einen Normungsauftrag an das Europäische Komitee für Normung und das Europäische Komitee für elektrotechnische Normung enthält Anforderungen für die Entwicklung spezifischer Normen, in denen präzisiert wird, wie diese drei grundlegenden Anforderungen zu behandeln sind. Die in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen umfassen alle Elemente der grundlegenden Anforderungen gemäß Artikel 3 Absatz 3 Buchstaben d, e und f der Richtlinie 2014/53/EU. Darüber hinaus stehen die in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen im Einklang mit den Zielen der Anforderungen an die spezifischen Normen, die in diesem Normungsauftrag vorgesehenen sind. Wenn die Kommission die Delegierte Verordnung (EU) 2022/30 aufhebt oder ändert, sodass sie für bestimmte von der vorliegenden Verordnung erfasste Produkte nicht mehr gilt, so sollten daher dann die Kommission und die europäischen Normungsorganisationen bei der Ausarbeitung und Entwicklung harmonisierter Normen die Normungsarbeiten, die im Rahmen des Durchführungsbeschlusses C(2022) 5637 durchgeführt werden, berücksichtigen, um die Durchführung der vorliegenden Verordnung zu erleichtern. Während des Übergangszeitraums für die Anwendung dieser Verordnung sollte die Kommission den Herstellern, die dieser Verordnung und auch der Delegierten Verordnung (EU) 2022/30 unterliegen, Leitlinien an die Hand geben, um den Nachweis der Einhaltung beider Verordnungen zu erleichtern.

Die Richtlinie (EU) 2024/2853 des Europäischen Parlaments und des Rates(¹⁶)Richtlinie (EU) 2024/2853 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über die Haftung für fehlerhafte Produkte und zur Aufhebung der Richtlinie 85/374/EWG des Rates (ABl. L, 2024/2853, 18.11.2024, ELI: http://data.europa.eu/eli/dir/2024/2853/oj). wirkt ergänzend zu dieser Verordnung. Diese Richtlinie enthält Vorschriften über die Haftung für fehlerhafte Produkte, damit geschädigte Personen Schadenersatz verlangen können, wenn durch ein fehlerhaftes Produkt ein Schaden verursacht wurde. Darin wird der Grundsatz festgelegt, dass der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; eines Produkts unabhängig vom Verschulden für Schäden haftet, die durch die mangelnde Sicherheit seines Produkts verursacht werden („verschuldensunabhängige Haftung“). Besteht ein solcher Mangel an Sicherheit in fehlenden Sicherheitsaktualisierungen nach dem Inverkehrbringenbzw. „in den Verkehr bringen“ die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt; des Produkts und wird dadurch ein Schaden verursacht, könnte dies die Haftung des Herstellerseine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; nach sich ziehen. In dieser Verordnung sollten Pflichten der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in Bezug auf die Bereitstellung solcher Sicherheitsaktualisierungen festgelegt werden.

Die vorliegende Verordnung sollte unbeschadet der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates(¹⁷)Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1). gelten, die Bestimmungen im Zusammenhang mit der Einführung von Datenschutz-Zertifizierungsverfahren und von Datenschutzsiegeln und -prüfzeichen enthält, die dem Nachweis dienen, dass die für die Datenverarbeitung Verantwortlichen und die Auftragsverarbeiter bei der Verarbeitung von Daten die Bestimmungen der letzteren Verordnung einhalten. Solche Vorgänge könnten in ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; eingebettet werden. Die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sowie die CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; im Allgemeinen sind Schlüsselelemente der Verordnung (EU) 2016/679. Durch den Schutz von Verbrauchern und Organisationen vor Cybersicherheitsrisiken sollen die in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen auch dazu beitragen, den Schutz personenbezogener Daten und den Schutz der Privatsphäre natürlicher Personen zu verbessern. Sowohl bei der Normung als auch bei der Zertifizierung von Cybersicherheitsaspekten sollten Synergien im Rahmen der Zusammenarbeit zwischen der Kommission, den europäischen Normungsorganisationen, der Agentur der Europäischen Union für CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; (ENISA), dem durch die Verordnung (EU) 2016/679 eingesetzten Europäischen Datenschutzausschuss und den nationalen Datenschutzaufsichtsbehörden berücksichtigt werden. Synergieeffekte zwischen dieser Verordnung und dem Datenschutzrecht der Union sollten auch im Bereich der Marktüberwachung und Rechtsdurchsetzung angestrebt werden. Hierzu sollten die nach dieser Verordnung benannten nationalen Marktüberwachungsbehörden mit den Behörden zusammenarbeiten, die die Anwendung des Datenschutzrechtes der Union beaufsichtigen. Letztere Behörden sollten auch Zugang zu Informationen haben, die für die Erfüllung ihrer Aufgaben von Bedeutung sind.

Soweit ihre Produkte in den Anwendungsbereich der vorliegenden Verordnung fallen, sollten die Anbieter von Brieftaschen für die europäische digitale Identität (EUid-Brieftaschen) gemäß Artikel 5a Absatz 2 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates(¹⁸)Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73). sowohl die in der vorliegenden Verordnung festgelegten horizontalen grundlegenden Cybersicherheitsanforderungen als auch die besonderen Sicherheitsanforderungen gemäß Artikel 5a der Verordnung (EU) Nr. 910/2014 erfüllen. Um die Einhaltung der Vorschriften zu erleichtern, sollten Anbieter von EUid-Brieftaschen die Konformität der EUid-Brieftaschen mit den in der vorliegenden Verordnung und in der Verordnung (EU) Nr. 910/2014 festgelegten Anforderungen dadurch nachweisen können, dass sie ihre Produkte im Rahmen eines europäischen Systems für die Cybersicherheitszertifizierung nach der Verordnung (EU) 2019/881 zertifizieren lassen, für das die Kommission im Wege eines delegierten Rechtsakts eine Konformitätsvermutung für die Anforderungen der vorliegenden Verordnung festgelegt hat, soweit das Zertifikat oder Teile davon diese Anforderungen abdecken.

Wenn die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in der Entwurfs- und Entwicklungsphase von Dritten bezogene Komponenten in Produkte mit digitalen Elementen integrieren, sollten sie in Bezug auf diese Komponenten, einschließlich freier und quelloffener Softwarekomponenten, die nicht auf dem Markt bereitgestellt wurden, die gebotene Sorgfalt walten lassen, um sicherzustellen, dass die Produkte im Einklang mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen konzipiert, entwickelt und hergestellt werden. Der angemessene Umfang der Sorgfaltspflicht richtet sich nach der Art und dem Ausmaß des Cybersicherheitsrisikosdas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird;, das mit einer bestimmten KomponenteSoftware oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist; verbunden ist; dabei sollten zu diesem Zweck eine oder mehrere der folgenden Maßnahmen Berücksichtigung finden: gegebenenfalls Überprüfung, ob der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; einer KomponenteSoftware oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist; die Konformität mit dieser Verordnung nachgewiesen hat, einschließlich einer Kontrolle der Frage, ob die KomponenteSoftware oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist; bereits mit der CE-Kennzeichnungeine Kennzeichnung, durch die ein Hersteller erklärt, dass ein Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I und anderen geltenden Harmonisierungsrechtsvorschriften der Union über ihre Anbringung genügen; versehen ist; Überprüfung, ob für eine KomponenteSoftware oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist; regelmäßig Sicherheitsaktualisierungen vorgenommen werden, etwa durch Kontrolle der bisherigen Sicherheitsaktualisierungen; Überprüfung, ob eine KomponenteSoftware oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist; frei von den Schwachstellen ist, die in der gemäß Artikel 12 Absatz 2 der Richtlinie (EU) 2022/2555 eingerichteten europäischen Schwachstellendatenbank oder anderen öffentlich zugänglichen Schwachstellendatenbanken registriert sind, oder Durchführung zusätzlicher Sicherheitsprüfungen. Die in dieser Verordnung festgelegten Pflichten zum Umgang mit Schwachstellen, die die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; beim Inverkehrbringenbzw. „in den Verkehr bringen“ die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt; eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; und während des Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; erfüllen müssen, gelten für Produkte mit digitalen Elementen in ihrer Gesamtheit, einschließlich aller integrierten Komponenten. Stellt der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; im Rahmen seiner Sorgfaltspflicht eine Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; in einer KomponenteSoftware oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist;, auch in einer freien und quelloffenen KomponenteSoftware oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist;, fest, sollte er die Person oder die Einrichtung, die die KomponenteSoftware oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist; hergestellt hat bzw. wartet, informieren, die Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; beheben und der Person oder der Einrichtung gegebenenfalls den eingesetzten Sicherheits-Patch zur Verfügung stellen.

Unmittelbar nach dem Übergangszeitraum für die Anwendung dieser Verordnung ist ein Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, das eine oder mehrere Komponenten enthält, die von Dritten bezogen werden, die ebenfalls dieser Verordnung unterliegen, möglicherweise nicht in der Lage, im Rahmen seiner Sorgfaltspflicht zu überprüfen, ob die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; dieser Komponenten die Konformität mit dieser Verordnung nachgewiesen haben, indem er beispielsweise kontrolliert, ob die Komponenten bereits die CE-Kennzeichnungeine Kennzeichnung, durch die ein Hersteller erklärt, dass ein Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I und anderen geltenden Harmonisierungsrechtsvorschriften der Union über ihre Anbringung genügen; tragen. Dies kann der Fall sein, wenn die Komponenten integriert wurden, bevor diese Verordnung auf die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; dieser KomponenteSoftware oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist; anwendbar wird. In einem solchen Fall sollte ein Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich;, der solche Komponenten integriert, seiner Sorgfaltspflicht auf andere Weise nachkommen.

Produkte mit digitalen Elementen sollten grundsätzlich mit der CE-Kennzeichnungeine Kennzeichnung, durch die ein Hersteller erklärt, dass ein Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I und anderen geltenden Harmonisierungsrechtsvorschriften der Union über ihre Anbringung genügen; versehen sein, aus der ihre Konformität mit dieser Verordnung gut sichtbar, lesbar und dauerhaft hervorgeht, sodass sie frei im Binnenmarkt verkehren können. Die Mitgliedstaaten sollten für das Inverkehrbringenbzw. „in den Verkehr bringen“ die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt; von Produkten mit digitalen Elementen, die den in dieser Verordnung festgelegten Anforderungen genügen und mit der CE-Kennzeichnungeine Kennzeichnung, durch die ein Hersteller erklärt, dass ein Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I und anderen geltenden Harmonisierungsrechtsvorschriften der Union über ihre Anbringung genügen; versehen sind, keine ungerechtfertigten Hindernisse schaffen. Ferner sollten die Mitgliedstaaten nicht die Präsentation oder Verwendung eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, das dieser Verordnung nicht entspricht, bei Messen, Ausstellungen, Vorführungen oder ähnlichen Veranstaltungen, einschließlich Prototypen, verhindern, sofern das Produkt eine sichtbare Kennzeichnung aufweist, die deutlich darauf hinweist, dass das Produkt dieser Verordnung nicht entspricht und erst auf dem Markt bereitgestellt werden darf, wenn es dies tut.

Damit Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; Softwaremeans the part of an electronic information system which consists of computer code; zu Testzwecken freigeben können, bevor sie ihre Produkte mit digitalen Elementen einer Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; unterziehen, sollten die Mitgliedstaaten nicht verhindern, dass unfertige Softwaremeans the part of an electronic information system which consists of computer code; z. B. als Alpha-, Beta- oder Vorabversion bereitgestellt wird, sofern die unfertige Softwaremeans the part of an electronic information system which consists of computer code; nur so lange zur Verfügung gestellt wird, wie es für die Tests und das Sammeln von Rückmeldungen erforderlich ist. Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten sicherstellen, dass unter diesen Bedingungen bereitgestellte Softwaremeans the part of an electronic information system which consists of computer code; erst nach einer Risikobewertung freigegeben wird und die Sicherheitsanforderungen dieser Verordnung in Bezug auf die Eigenschaften von Produkten mit digitalen Elementen so weit wie möglich erfüllt. Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten auch die Anforderungen an die Behandlung von Schwachstellen so weit wie möglich umsetzen. Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten die Nutzer nicht zu einer Aktualisierung auf Versionen zwingen, die nur zu Testzwecken freigegeben wurden.

Damit Produkte mit digitalen Elementen beim Inverkehrbringenbzw. „in den Verkehr bringen“ die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt; keine Cybersicherheitsrisiken für Personen und Organisationen darstellen, sollten für solche Produkte grundlegende Cybersicherheitsanforderungen festgelegt werden. Diese grundlegenden Cybersicherheitsanforderungen, einschließlich der Anforderungen an das Schwachstellenmanagement, gelten für jedes einzelne Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, wenn es in den Verkehr gebracht wird, unabhängig davon, ob das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; als Einzelstück oder in Serie hergestellt wird. So sollte beispielsweise bei einer Produktart jedes einzelne Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; alle verfügbaren Sicherheits-Patches oder Aktualisierungen zur Behebung relevanter Sicherheitsprobleme erhalten haben, wenn es in den Verkehr gebracht wird. Werden solche Produkte mit digitalen Elementen nachträglich physisch oder digital in einer Weise verändert, die vom Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in der ursprünglichen Risikobewertung nicht vorgesehen ist und die dazu führen kann, dass sie die einschlägigen grundlegenden Cybersicherheitsanforderungen nicht mehr erfüllen, sollte die Veränderung als wesentlich betrachtet werden. Beispielsweise könnten Reparaturen den Wartungsarbeiten gleichgestellt werden, sofern sie ein bereits in den Verkehr gebrachtes Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; nicht so verändern, dass die Konformität mit den geltenden Anforderungen beeinträchtigt oder die Zweckbestimmungdie Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation;, für die das Produkt geprüft wurde, verändert werden kann.

Wie bei physischen Reparaturen oder Änderungen sollte ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; als durch eine Softwareänderung wesentlich geändert gelten, wenn die Softwareaktualisierung die Zweckbestimmungdie Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation; des Produkts ändert und diese Änderungen vom Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in der ursprünglichen Risikobewertung nicht vorhergesehen wurden, oder wenn sich die Art der Gefahr geändert oder sich das Cybersicherheitsrisikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; aufgrund der Softwareaktualisierung erhöht hat und die aktualisierte Version des Produkts auf dem Markt bereitgestellt wird. Wenn eine Sicherheitsaktualisierung, mit der das Cybersicherheitsrisikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; verringert werden soll, die Zweckbestimmungdie Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation; eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; nicht verändert, gilt sie nicht als wesentliche Änderungeine Änderung des Produkts mit digitalen Elementen nach dessen Inverkehrbringen, die sich auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I auswirkt oder zu einer Änderung des bestimmungsgemäßen Zwecks, für den das Produkt geprüft wurde, führt;. Dies schließt in der Regel Fälle ein, in denen eine Sicherheitsaktualisierung nur geringfügige Anpassungen des Quellcodes nach sich zieht. Dies könnte zum Beispiel der Fall sein, wenn mit einer Sicherheitsaktualisierung eine bekannte Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; behoben wird, auch durch Änderung der Funktionen oder der Leistung eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; zu dem alleinigen Zweck, das Cybersicherheitsrisikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; zu senken. Ebenso sollte eine geringfügige Aktualisierung der Funktionalitäten, etwa eine visuelle Verbesserung oder die Hinzufügung neuer Sprachen oder neuer Piktogramme zur Benutzeroberfläche, im Allgemeinen nicht als wesentliche Änderungen betrachtet werden. Umgekehrt sollte eine Funktionsaktualisierung die die ursprünglich beabsichtigten Funktionen oder die Art oder Leistung eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; verändert und die oben genannten Kriterien erfüllt, als wesentliche Änderungeine Änderung des Produkts mit digitalen Elementen nach dessen Inverkehrbringen, die sich auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I auswirkt oder zu einer Änderung des bestimmungsgemäßen Zwecks, für den das Produkt geprüft wurde, führt; betrachtet werden, da das Hinzufügen neuer Funktionen in der Regel zu einer größeren Angriffsfläche führt und damit das Cybersicherheitsrisikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; erhöht. Dies könnte zum Beispiel der Fall sein, wenn einer Anwendung ein neues Eingabeelement hinzugefügt wird, sodass der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; für eine adäquate Eingabevalidierung sorgen muss. Bei der Beurteilung, ob eine Funktionsaktualisierung als wesentliche Änderungeine Änderung des Produkts mit digitalen Elementen nach dessen Inverkehrbringen, die sich auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I auswirkt oder zu einer Änderung des bestimmungsgemäßen Zwecks, für den das Produkt geprüft wurde, führt; anzusehen ist, spielt es keine Rolle, ob sie als separate Aktualisierung oder in Kombination mit einer Sicherheitsaktualisierung bereitgestellt wird. Die Kommission sollte Leitlinien zur Bestimmung dessen herausgeben, was eine wesentliche Änderungeine Änderung des Produkts mit digitalen Elementen nach dessen Inverkehrbringen, die sich auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I auswirkt oder zu einer Änderung des bestimmungsgemäßen Zwecks, für den das Produkt geprüft wurde, führt; ist.

In Anbetracht des der Softwareentwicklung innewohnenden Wiederholungscharakters sollten Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich;, die aufgrund einer späteren wesentlichen Änderung an dem Produkt neue Versionen eines Softwareprodukts in den Verkehr gebracht haben, die Möglichkeit haben, während des Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; nur für die Version des Softwareprodukts, die sie zuletzt in den Verkehr gebracht haben, Sicherheitsaktualisierungen anzubieten. Dazu sollten sie nur dann berechtigt sein, wenn die Nutzer der einschlägigen früheren Produktversionen Zugang zu der zuletzt in den Verkehr gebrachten Produktversion haben und ihnen keine zusätzlichen Kosten für die Anpassung der Hardware- oder Softwareumgebung, in der sie das Produkt betreiben, entstehen. Das könnte beispielsweise der Fall sein, wenn eine Aufrüstung des Desktop-Betriebssystems keine neue Hardwaremeans a physical electronic information system, or parts thereof capable of processing, storing or transmitting digital data; erfordert, z. B. eine schnellere Zentraleinheit oder mehr Speicher. Dessen ungeachtet sollte der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; während des Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; weiterhin sonstige Anforderungen an die Behandlung von Schwachstellen erfüllen und etwa über eine Strategie zur abgestimmten Offenlegung von Schwachstellen verfügen oder Vorkehrungen getroffen haben, um den Informationsaustausch über potenzielle Schwachstellen für alle nachfolgenden, wesentlich geänderten Versionen des in den Verkehr gebrachten Softwareprodukts zu erleichtern. Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten die Möglichkeit haben, geringfügige Sicherheits- oder Funktionsaktualisierungen, die keine wesentliche Änderungeine Änderung des Produkts mit digitalen Elementen nach dessen Inverkehrbringen, die sich auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I auswirkt oder zu einer Änderung des bestimmungsgemäßen Zwecks, für den das Produkt geprüft wurde, führt; darstellen, nur für die letzte Version oder Unterversion eines Softwareprodukts, das nicht wesentlich geändert wurde, bereitzustellen. Gleichzeitig sollte der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in Fällen, in denen ein Hardwareprodukt wie ein Smartphone nicht mit der neuesten Version des Betriebssystems kompatibel ist, mit dem es ursprünglich geliefert wurde, während des Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; zumindest für die letzte kompatible Version des Betriebssystems weiterhin Sicherheitsaktualisierungen bereitstellen.

Im Einklang mit dem allgemein anerkannten Konzept der wesentlichen Änderung von Produkten, für die Harmonisierungsrechtsvorschriften der Uniondie in Anhang I der Verordnung (EU) 2019/1020 aufgeführten Rechtsvorschriften der Union sowie alle sonstigen Rechtsvorschriften der Union zur Harmonisierung der Bedingungen für die Vermarktung von Produkten, auf welche die genannte Verordnung Anwendung findet; gelten, ist es angebracht, wenn eine wesentliche Änderungeine Änderung des Produkts mit digitalen Elementen nach dessen Inverkehrbringen, die sich auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I auswirkt oder zu einer Änderung des bestimmungsgemäßen Zwecks, für den das Produkt geprüft wurde, führt; eintritt, die sich auf die Konformität eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; mit dieser Verordnung auswirken könnte, oder wenn sich die Zweckbestimmungdie Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation; dieses Produkts ändert, die Konformität des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; zu überprüfen und es gegebenenfalls einer neuen Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; zu unterziehen. Wenn der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; eine Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; unter Beteiligung eines Dritten durchführt, sollte eine Veränderung, die zu einer wesentlichen Änderung führen könnte, dem Dritten mitgeteilt werden.

Wird ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; einer „Überholung“, „Wartung“ und „Reparatur“ im Sinne des Artikels 2 Nummern 18, 19 und 20 der Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates(¹⁹)Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG (ABl. L, 2024/1781, 28.6.2024, ELI: http://data.europa.eu/eli/reg/2024/1781/oj). unterzogen, führt dies nicht unbedingt zu einer wesentlichen Änderung des Produkts, wenn z. B. die Zweckbestimmungdie Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation; und die Funktionen nicht geändert werden und das Risikoniveau gleich bleibt. Die Aufrüstung eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; durch den Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; könnte jedoch zu Änderungen in der Konzeption und Entwicklung des Produkts führen und sich daher auf seine Zweckbestimmungdie Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation; und die Konformität mit den in dieser Verordnung festgelegten Anforderungen auswirken.

Produkte mit digitalen Elementen sollten als wichtig betrachtet werden, wenn die negativen Auswirkungen der Ausnutzung potenzieller Cybersicherheitslücken in dem Produkt schwerwiegend sein können, unter anderem aufgrund seiner Cybersicherheitsfunktion oder einer Funktion, die ein beträchtliches Risiko nachteiliger Auswirkungen birgt, was ihre Tragweite und ihre Möglichkeit anbelangt, eine große Zahl anderer Produkte mit digitalen Elementen zu stören, zu kontrollieren oder zu schädigen oder die Gesundheit, die Sicherheit oder die Unversehrtheit ihrer Nutzer zu beeinträchtigen, indem sie direkt manipuliert wird, wie etwa eine zentrale Systemfunktion, einschließlich Netzverwaltung, Konfigurationskontrolle, Virtualisierung oder Verarbeitung personenbezogener Daten. Insbesondere können Schwachstellen in Produkten mit digitalen Elementen, die eine Cybersicherheitsfunktion haben, wie z. B. Bootmanager, zu einer Ausbreitung von Sicherheitsproblemen in der gesamten Lieferkette führen. Die Schwere der Auswirkungen eines Sicherheitsvorfallseinen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555; kann auch zunehmen, wenn das Produkt in erster Linie eine zentrale Systemfunktion ausübt, einschließlich Netzverwaltung, Konfigurationskontrolle, Virtualisierung oder Verarbeitung personenbezogener Daten.

Bestimmte Kategorien von Produkten mit digitalen Elementen sollten strengeren Konformitätsbewertungsverfahren unterliegen, wobei die Verhältnismäßigkeit gewahrt werden sollte. Zu diesem Zweck sollten wichtige Produkte mit digitalen Elementen in zwei Klassen unterteilt werden, die das mit diesen Produktkategorien verbundene Cybersicherheitsrisikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; widerspiegeln. Ein Sicherheitsvorfalleinen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555; mit wichtigen Produkten mit digitalen Elementen, die in Klasse II fallen, könnte größere negative Auswirkungen haben als ein Sicherheitsvorfalleinen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555; mit wichtigen Produkten mit digitalen Elementen, die in Klasse I fallen, beispielsweise wegen der Art ihrer Cybersicherheitsfunktion oder der Ausübung einer anderen Funktion, die ein erhebliches Risiko nachteiliger Auswirkungen birgt. Ein Anhaltspunkt für größere negative Auswirkungen könnte es sein, dass Produkte mit digitalen Elementen, die in Klasse II fallen, entweder eine Cybersicherheitsfunktion übernehmen oder eine andere Funktion, die mit einem höheren Risiko schädlicher Auswirkungen als bei Produkten in Klasse I verbunden ist, oder beide genannten Kriterien erfüllen. Wichtige Produkte mit digitalen Elementen, die in Klasse II fallen, sollten daher einem strengeren Konformitätsbewertungsverfahren unterzogen werden.

Wichtige Produkte mit digitalen Elementen, auf die in dieser Verordnung Bezug genommen wird, sollten als Produkte verstanden werden, die die Kernfunktion einer in dieser Verordnung festgelegten Kategorie wichtiger Produkte mit digitalen Elementen aufweisen. So werden in dieser Verordnung beispielsweise Kategorien wichtiger Produkte mit digitalen Elementen festgelegt, die durch ihre Kernfunktion als Firewalls oder Intrusion-Detection-Systeme oder Intrusion-Prevention-Systeme der Klasse II definiert werden. Folglich unterliegen Firewalls und Intrusion-Detection-Systeme und Intrusion-Prevention-Systeme einer obligatorischen Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; durch Dritte. Dies gilt nicht für andere Produkte mit digitalen Elementen, die nicht als wichtige Produkte mit digitalen Elementen eingestuft sind und die Firewalls oder Intrusion-Detection-Systeme oder Intrusion-Prevention-Systeme enthalten können. Die Kommission sollte einen Durchführungsrechtsakt erlassen, um die technische Beschreibung der Kategorien wichtiger Produkte mit digitalen Elementen, die unter die Klassen I und II gemäß dieser Verordnung fallen, zu präzisieren.

Die in dieser Verordnung festgelegten Kategorien kritischer Produkte mit digitalen Elementen sind mit einer Cybersicherheitsfunktion verbunden und werden für eine Funktion verwendet, die ein beträchtliches Risiko nachteiliger Auswirkungen birgt, was ihre Tragweite und ihre Möglichkeit anbelangt, eine große Zahl anderer Produkte mit digitalen Elementen zu stören, zu kontrollieren oder zu schädigen, indem sie direkt manipuliert wird. Darüber hinaus gelten diese Kategorien von Produkten mit digitalen Elementen als kritische Abhängigkeiten für die in Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 genannten wesentlichen Einrichtungen. Die Kategorien kritischer Produkte mit digitalen Elementen, die aufgrund ihrer Kritikalität in einem Anhang dieser Verordnung aufgeführt sind, nutzen bereits häufig verschiedene Formen der Zertifizierung und fallen auch unter das auf gemeinsamen Kriterien beruhende europäische System für die Cybersicherheitszertifizierung (EUCC), das in der Durchführungsverordnung (EU) 2024/482(²⁰)Durchführungsverordnung (EU) 2024/482 der Kommission vom 31. Januar 2024 mit Durchführungsbestimmungen zur Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates hinsichtlich der Annahme des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC) (ABl. L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj). festgelegt ist. Um einen gemeinsamen angemessenen Schutz der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; kritischer Produkte mit digitalen Elementen in der Union sicherzustellen, könnte es daher angemessen und verhältnismäßig sein, solche Produktkategorien im Wege eines delegierten Rechtsakts der obligatorischen europäischen Cybersicherheitszertifizierung zu unterwerfen, wenn bereits ein einschlägiges europäisches Schema für die Cybersicherheitszertifizierung für diese Produkte besteht und die Kommission eine Bewertung der potenziellen Auswirkungen der geplanten obligatorischen Zertifizierung auf den Markt vorgenommen hat. Bei dieser Bewertung sollten sowohl die Angebots- als auch die Nachfrageseite berücksichtigt werden, einschließlich der Frage, ob eine ausreichende Nachfrage nach den betreffenden Produkten mit digitalen Elementen sowohl bei den Mitgliedstaaten als auch bei den Nutzern besteht, sodass eine europäische Cybersicherheitszertifizierung erforderlich ist, sowie die Zwecke, für die die Produkte mit digitalen Elementen verwendet werden sollen, einschließlich der kritischen Abhängigkeiten davon seitens der in Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 genannten wesentlichen Einrichtungen. Bei der Bewertung sollten auch die potenziellen Auswirkungen der obligatorischen Zertifizierung auf die Verfügbarkeit dieser Produkte auf dem Binnenmarkt sowie die Fähigkeiten und die Bereitschaft der Mitgliedstaaten mit Blick auf die Umsetzung der einschlägigen europäischen Schemata für die Cybersicherheitszertifizierung analysiert werden.

In delegierten Rechtsakten, mit denen eine verpflichtende europäische Cybersicherheitszertifizierung vorgeschrieben wird, sollten die Produkte mit digitalen Elementen bestimmt werden, die die Kernfunktionen einer in dieser Verordnung festgelegten Kategorie kritischer Produkte mit digitalen Elementen, die einer obligatorischen Zertifizierung unterworfen werden sollen, sowie die erforderliche Vertrauenswürdigkeitsstufe, die mindestens „mittel“ sein sollte, aufweisen. Die erforderliche Vertrauenswürdigkeitsstufe sollte in einem angemessenen Verhältnis zum Niveau des Cybersicherheitsrisikosdas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; stehen, das mit dem Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; verbunden ist. Wenn beispielsweise das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; die Kernfunktion einer in dieser Verordnung festgelegten Kategorie kritischer Produkte mit digitalen Elementen aufweist und für die Verwendung in einer empfindlichen oder kritischen Umgebung vorgesehen ist, wie Produkte, die für die Verwendung durch die in Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 genannten wesentlichen Einrichtungen bestimmt sind, ist unter Umständen die höchste Vertrauenswürdigkeitsstufe erforderlich.

Um für einen gemeinsamen, angemessenen Schutz der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; von Produkten mit digitalen Elementen in der Union zu sorgen, die die Kernfunktion einer in dieser Verordnung festgelegten Kategorie kritischer Produkte mit digitalen Elementen aufweisen, sollte der Kommission auch die Befugnis übertragen werden, delegierte Rechtsakte zur Änderung dieser Verordnung zu erlassen, indem Kategorien kritischer Produkte mit digitalen Elementen hinzugefügt oder gestrichen werden, für die von den Herstellern verlangt werden könnte, im Rahmen eines europäischen Schemas für die Cybersicherheitszertifizierung gemäß der Verordnung (EU) 2019/881 ein europäisches Cybersicherheitszertifikat einzuholen, um die Konformität mit der vorliegenden Verordnung nachzuweisen. Eine neue Kategorie kritischer Produkte mit digitalen Elementen kann zu diesen Kategorien hinzugefügt werden, wenn eine kritische Abhängigkeit der in Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 genannten wesentlichen Einrichtungen von diesen Produkten besteht oder wenn sie von Sicherheitsvorfällen betroffen sind oder ausgenutzte Schwachstellen enthalten und dies zu Unterbrechungen kritischer Lieferketten führen könnte. Bei der Bewertung der Frage, ob es notwendig ist, mittels eines delegierten Rechtsakts Kategorien kritischer Produkte mit digitalen Bestandteilen hinzuzufügen oder zu streichen, sollte die Kommission berücksichtigen können, ob die Mitgliedstaaten auf nationaler Ebene Produkte mit digitalen Elementen ermittelt haben, die für die Resilienz wesentlicher Einrichtungen im Sinne von Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 von maßgeblicher Bedeutung sind und die zunehmend mit Cyberangriffen auf die Lieferkette zu kämpfen haben, was schwerwiegende Beeinträchtigungen zur Folge haben könnte. Darüber hinaus sollte die Kommission die Möglichkeit haben, das Ergebnis der koordinierten Risikobewertungen in Bezug auf die Sicherheit kritischer Lieferketten auf Ebene der Union, die gemäß Artikel 22 der Richtlinie (EU) 2022/2555 durchgeführt werden, zu berücksichtigen.

Die Kommission sollte sicherstellen, dass bei der Ausarbeitung von Maßnahmen zur Durchführung dieser Verordnung ein breites Spektrum einschlägiger Interessengruppen in strukturierter und regelmäßiger Weise konsultiert wird. Dies sollte insbesondere dann der Fall sein, wenn die Kommission prüft, ob die Listen der Kategorien wichtiger oder kritischer Produkte mit digitalen Elementen möglicherweise aktualisiert werden müssen, wobei die einschlägigen Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; konsultiert und ihre Ansichten berücksichtigt werden sollten, um die Cybersicherheitsrisiken und das Kosten-Nutzen-Verhältnis zu analysieren, die mit der Einstufung solcher Produktkategorien als wichtig oder kritisch verbunden sind.

Mit dieser Verordnung werden Cybersicherheitsrisiken gezielt angegangen. Produkte mit digitalen Elementen können jedoch noch andere Sicherheitsrisiken bergen, die nicht immer mit der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; zusammenhängen, sich aber aus einer Sicherheitsverletzung ergeben können. Diese Risiken sollten weiterhin durch andere einschlägige Harmonisierungsrechtsvorschriften der Uniondie in Anhang I der Verordnung (EU) 2019/1020 aufgeführten Rechtsvorschriften der Union sowie alle sonstigen Rechtsvorschriften der Union zur Harmonisierung der Bedingungen für die Vermarktung von Produkten, auf welche die genannte Verordnung Anwendung findet; als diese Verordnung geregelt werden. Wenn keine anderen Harmonisierungsrechtsvorschriften der Uniondie in Anhang I der Verordnung (EU) 2019/1020 aufgeführten Rechtsvorschriften der Union sowie alle sonstigen Rechtsvorschriften der Union zur Harmonisierung der Bedingungen für die Vermarktung von Produkten, auf welche die genannte Verordnung Anwendung findet; als diese Verordnung anwendbar sind, sollten sie der Verordnung (EU) 2023/988 des Europäischen Parlaments und des Rates(²¹)Verordnung (EU) 2023/988 des Europäischen Parlaments und des Rates vom 10. Mai 2023 über die allgemeine Produktsicherheit, zur Änderung der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates und der Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates sowie zur Aufhebung der Richtlinie 2001/95/EG des Europäischen Parlaments und des Rates und der Richtlinie 87/357/EWG des Rates (ABl. L 135 vom 23.5.2023, S. 1). unterliegen. Angesichts der gezielten Ausrichtung der vorliegenden Verordnung sollten daher abweichend von Artikel 2 Absatz 1 Unterabsatz 3 Buchstabe b der Verordnung (EU) 2023/988 in Bezug auf Sicherheitsrisiken, die nicht unter die vorliegende Verordnung fallen, das Kapitel III Abschnitt 1, die Kapitel V und VII sowie die Kapitel IX bis XI der Verordnung (EU) 2023/988 auch für Produkte mit digitalen Elementen gelten, wenn diese Produkte keinen besonderen Anforderungen anderer Harmonisierungsrechtsvorschriften der Uniondie in Anhang I der Verordnung (EU) 2019/1020 aufgeführten Rechtsvorschriften der Union sowie alle sonstigen Rechtsvorschriften der Union zur Harmonisierung der Bedingungen für die Vermarktung von Produkten, auf welche die genannte Verordnung Anwendung findet; als dieser Verordnung im Sinne von Artikel 3 Nummer 27 der Verordnung (EU) 2023/988 unterliegen.

Produkte mit digitalen Elementen, die nach Artikel 6 der Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates(²²)Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Gesetz über künstliche Intelligenz) (ABl. L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj). als Hochrisiko-KI-Systeme eingestuft sind und in den Anwendungsbereich der vorliegenden Verordnung fallen, sollten den in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen genügen. Genügen diese Hochrisiko-KI-Systeme den in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen, so gelten sie als die Cybersicherheitsanforderungen gemäß Artikel 15 der Verordnung (EU) 2024/1689 erfüllend, soweit diese Anforderungen von der nach der vorliegenden Verordnung ausgestellten EU-Konformitätserklärung oder Teilen davon abgedeckt sind. Zu diesem Zweck sollten bei der Bewertung der mit einem Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, das als KI-System mit hohem Risiko gemäß der VO (EU) 2024/1689 eingestuft wird, verbundenen Cybersicherheitsrisiken, die während der Planungs-, Entwurfs-, Entwicklungs-, Produktions-, Liefer- und Wartungsphasen eines solchen Produkts zu berücksichtigen ist, wie in dieser Verordnung vorgeschrieben, die Risiken für die Cyberresilienz eines KI-Systems berücksichtigt werden in Bezug auf Versuche unbefugter Dritter, die Nutzung, das Verhalten oder die Leistung des Systems zu verändern, einschließlich KI-spezifischer Schwachstellen wie Data Poisoning oder adversarial attack, sowie gegebenenfalls Risiken für die Grundrechte, gemäß der Verordnung (EU) 2024/1689. Für die Konformitätsbewertungsverfahren zu den grundlegenden Cybersicherheitsanforderungen an ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, das in den Anwendungsbereich der vorliegenden Verordnung fällt und als Hochrisiko-KI-System eingestuft ist, sollte grundsätzlich anstelle der einschlägigen Bestimmungen der vorliegenden Verordnung Artikels 43 der Verordnung (EU) 2024/1689 Anwendung finden. Diese Regel sollte jedoch nicht dazu führen, dass die erforderliche Vertrauenswürdigkeit für die in der vorliegenden Verordnung genannten wichtigen oder kritischen Produkte mit digitalen Elementen verringert wird. Deshalb sollten abweichend von dieser Regel Hochrisiko-KI-Systeme, die in den Anwendungsbereich der Verordnung (EU) 2024/1689 fallen und auch wichtige oder kritische Produkte mit digitalen Elementen, wie in der vorliegenden Verordnung genannt, sind und auf die das Konformitätsbewertungsverfahren auf der Grundlage einer internen Kontrolle gemäß Anhang VI der Verordnung (EU) 2024/1689 angewandt wird, den Konformitätsbewertungsverfahren der vorliegenden Verordnung unterliegen, soweit die in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen betroffen sind. In diesem Fall sollten für alle anderen Aspekte, die unter die Verordnung (EU) 2024/1689 fallen, die einschlägigen Bestimmungen über die Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; auf der Grundlage einer internen Kontrolle gemäß Anhang VI der genannten Verordnung gelten.

Zur Erhöhung der Sicherheit von Produkten mit digitalen Elementen, die im Binnenmarkt in den Verkehr gebracht werden, ist es erforderlich, grundlegende Cybersicherheitsanforderungen festzulegen, die für solche Produkte gelten. Diese grundlegenden Cybersicherheitsanforderungen sollten die koordinierten Risikobewertungen in Bezug auf die Sicherheit kritischer Lieferketten auf Ebene der Union, die in Artikel 22 der der Richtlinie (EU) 2022/2555 vorgesehen sind, unberührt lassen, in denen sowohl technische als gegebenenfalls auch nichttechnische Risikofaktoren wie eine unzulässige Einflussnahme eines Drittlands auf Lieferanten berücksichtigt werden. Darüber hinaus sollten sie die Vorrechte der Mitgliedstaaten unberührt lassen, zusätzliche Anforderungen festzulegen, die nichttechnischen Faktoren Rechnung tragen, um ein hohes Maß an Resilienz sicherzustellen, einschließlich derer, die in der Empfehlung (EU) 2019/534 der Kommission(²³)Empfehlung (EU) 2019/534 der Kommission vom 26. März 2019 mit dem Titel „Cybersicherheit der 5G-Netze“ (ABl. L 88 vom 29.3.2019, S. 42)., in der EU-weit koordinierten Risikobewertung zur CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; der 5G-Netze und in dem EU-Instrumentarium für die 5G-Cybersicherheit definiert worden sind, das die gemäß Artikel 14 der Richtlinie (EU) 2022/2555 eingerichtete NIS-Kooperationsgruppe beschlossen hat.

Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; von Produkten, die in den Anwendungsbereich der Verordnung (EU) 2023/1230 des Europäischen Parlaments und des Rates(²⁴)Verordnung (EU) 2023/1230 des Europäischen Parlaments und des Rates vom 14. Juni 2023 über Maschinen und zur Aufhebung der Richtlinie 2006/42/EG des Europäischen Parlaments und des Rates und der Richtlinie 73/361/EWG des Rates (ABl. L 165 vom 29.6.2023, S. 1). fallen und bei deren Produkten es sich auch um Produkte mit digitalen Elementen im Sinne der vorliegenden Verordnung handelt, sollten sowohl die grundlegenden Cybersicherheitsanforderungen der vorliegenden Verordnung als auch die grundlegenden Sicherheits- und Gesundheitsschutzanforderungen gemäß der Verordnung (EU) 2023/1230 erfüllen. Die in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen und bestimmte grundlegende Anforderungen der Verordnung (EU) 2023/1230 betreffen unter Umstände ähnliche Cybersicherheitsrisiken. Daher könnte die Einhaltung der in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen die Einhaltung der grundlegenden Anforderungen erleichtern, die auch bestimmte Cybersicherheitsrisiken gemäß der Verordnung (EU) 2023/1230 abdecken, insbesondere die Anforderungen in Bezug auf den Schutz gegen Korrumpierung sowie die Sicherheit und Zuverlässigkeit von Steuerungen gemäß Anhang III Abschnitte 1.1.9 und 1.2.1 der genannten Verordnung. Solche Synergieeffekte müssen vom Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; nachgewiesen werden, beispielsweise durch die Anwendung harmonisierter Normen oder anderer technischer Spezifikationen, die die einschlägigen grundlegenden Cybersicherheitsanforderungen abdecken, nachdem eine Risikobewertung für die entsprechenden Cybersicherheitsrisiken durchgeführt wurde. Der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollte auch die geltenden Konformitätsbewertungsverfahren gemäß dieser Verordnung und der Verordnung (EU) 2023/1230 befolgen. Die Kommission und die europäischen Normungsorganisationen sollten bei den vorbereitenden Arbeiten zur Unterstützung der Umsetzung dieser Verordnung und der Verordnung (EU) 2023/1230 und der damit verbundenen Normungsverfahren die Kohärenz fördern, was die Bewertung der Cybersicherheitsrisiken und die Art und Weise betrifft, wie diese Risiken durch harmonisierte Normen im Hinblick auf die einschlägigen grundlegenden Anforderungen abgedeckt werden sollen. Insbesondere sollten die Kommission und die europäischen Normungsorganisationen diese Verordnung bei der Ausarbeitung und Entwicklung harmonisierter Normen berücksichtigen, um die Durchführung der Verordnung (EU) 2023/1230 insbesondere in Bezug auf die Cybersicherheitsaspekte im Zusammenhang mit dem Schutz gegen Korrumpierung sowie der Sicherheit und Zuverlässigkeit von Steuerungen, die in Anhang III Abschnitte 1.1.9 und 1.2.1 der genannten Verordnung aufgeführt sind, zu erleichtern. Die Kommission sollte Leitlinien bereitstellen, um Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich;, die dieser Verordnung und auch der Verordnung (EU) 2023/1230 unterliegen, zu unterstützen, um insbesondere den Nachweis der Einhaltung der einschlägigen grundlegenden Anforderungen der vorliegenden Verordnung und der Verordnung (EU) 2023/1230 zu erleichtern.

Um sicherzustellen, dass Produkte mit digitalen Elementen sowohl zum Zeitpunkt ihres Inverkehrbringensbzw. „in den Verkehr bringen“ die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt; als auch während der voraussichtlichen Nutzungsdauer des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; sicher sind, müssen grundlegende Cybersicherheitsanforderungen für die Behandlung von Schwachstellen und grundlegende Cybersicherheitsanforderungen in Bezug auf die Eigenschaften von Produkten mit digitalen Elementen festgelegt werden. Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten sowohl alle grundlegenden Cybersicherheitsanforderungen in Bezug auf die Behandlung von Schwachstellen während des gesamten Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; erfüllen, als auch bestimmen, welche anderen grundlegenden Cybersicherheitsanforderungen in Bezug auf die Produkteigenschaften für die betreffende Art von Produkten mit digitalen Elementen von Bedeutung sind. Zu diesem Zweck sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; eine Bewertung der Cybersicherheitsrisiken vornehmen, die mit einem Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; verbunden sind, um einschlägige Risiken und grundlegende Cybersicherheitsanforderungen zu ermitteln, sodass sie ihre Produkte mit digitalen Elementen ohne bekannte ausnutzbare Schwachstellen bereitstellen, die sich auf die Sicherheit dieser Produkte auswirken könnten, und um geeignete harmonisierte Normen, gemeinsame Spezifikationen oder europäische oder internationale Normen angemessen anzuwenden.

Sind bestimmte grundlegende Cybersicherheitsanforderungen auf ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; nicht anwendbar, sollte der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; dies in der Risikobewertung für die CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; eindeutig begründen, die der technischen Dokumentation beigefügt ist. Dies könnte der Fall sein, wenn eine grundlegende Cybersicherheitsanforderung mit der Art eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; unvereinbar ist. So kann es beispielsweise aufgrund der Zweckbestimmungdie Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation; eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; erforderlich sein, dass der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; weithin anerkannte Interoperabilitätsnormen befolgt, selbst wenn seine Sicherheitsmerkmale nicht mehr dem Stand der Technik entsprechen. Auch andere Rechtsvorschriften der Union verlangen, dass die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; spezifischen Interoperabilitätsanforderungen genügen. Wenn eine grundlegende Cybersicherheitsanforderungen nicht für ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; anwendbar ist, der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; jedoch Cybersicherheitsrisiken im Zusammenhang mit dieser grundlegenden Cybersicherheitsanforderung ermittelt hat, sollte er Maßnahmen ergreifen, um diesen Risiken mit anderen Mitteln zu begegnen, beispielsweise indem er die Zweckbestimmungdie Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation; des Produkts auf vertrauenswürdige Umgebungen beschränkt oder die Nutzer über diese Risiken informiert.

Eine der wichtigsten Maßnahmen, die die Nutzer ergreifen müssen, um ihre Produkte mit digitalen Elementen vor Cyberangriffen zu schützen, ist die schnellstmögliche Installation der neuesten verfügbaren Sicherheitsaktualisierungen. Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten daher ihre Produkte so gestalten und Verfahren einrichten, dass Produkte mit digitalen Elementen automatische Funktionen mit Blick auf die Benachrichtigung, die Verteilung, das Herunterladen und die Installation von Sicherheitsaktualisierungen enthalten, insbesondere im Falle von Verbraucherprodukten. Sie sollten auch die Möglichkeit bieten, als letzte Etappe das Herunterladen und die Installation der Sicherheitsaktualisierungen zu genehmigen. Die Nutzer sollten weiterhin die Möglichkeit haben, automatische Aktualisierungen zu deaktivieren, und zwar mit einem klaren und einfach zu bedienenden Vorgang, der durch eindeutige Erläuterungen dazu ergänzt wird, wie die Nutzer auf Aktualisierungen verzichten können. Die in einem Anhang dieser Verordnung festgelegten Anforderungen an automatische Aktualisierungen gelten nicht für Produkte mit digitalen Elementen, die in erster Linie dazu bestimmt sind, als Komponenten in andere Produkte integriert zu werden. Sie gelten auch nicht für Produkte mit digitalen Elementen, bei denen die Nutzer normalerweise keine automatischen Aktualisierungen erwarten würden, einschließlich Produkten mit digitalen Elementen, die für den Einsatz in professionellen IKT-Netzen und insbesondere in kritischen und industriellen Umgebungen bestimmt sind, in denen eine automatische Aktualisierung zu Störungen des Betriebs führen könnte. Unabhängig davon, ob ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; für den Empfang automatischer Aktualisierungen konzipiert ist oder nicht, sollte sein Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; die Nutzer über Schwachstellen informieren und Sicherheitsaktualisierungen unverzüglich zur Verfügung stellen. Verfügt ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; über eine Benutzerschnittstelle oder ähnliche technische Mittel, die eine direkte Interaktion mit seinen Nutzern ermöglichen, so sollte der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; diese Funktionen nutzen, um die Nutzer darüber zu informieren, dass ihr Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; das Ende des Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; erreicht hat. Die Meldungen sollten sich auf das Maß beschränken, das erforderlich ist, um den tatsächlichen Empfang dieser Informationen sicherzustellen, und sie sollten sich nicht negativ auf das Nutzererlebnis des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; auswirken.

Um die Verfahren zur Behandlung von Schwachstellen transparenter zu machen und um sicherzustellen, dass die Nutzer nicht gezwungen sind, neue Funktionsaktualisierungen zu installieren, nur um die neuesten Sicherheitsaktualisierungen zu erhalten, sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; dafür Sorge tragen, dass neue Sicherheitsaktualisierungen, soweit technisch machbar, getrennt von Funktionsaktualisierungen bereitgestellt werden.

In der gemeinsamen Mitteilung der Kommission und des Hohen Vertreters der Union für Außen- und Sicherheitspolitik vom 20. Juni 2023 über eine „Europäische Strategie für wirtschaftliche Sicherheit“ heißt es, dass die Union durch einen gemeinsamen strategischen Rahmen für die wirtschaftliche Sicherheit der Union die Vorteile ihrer wirtschaftlichen Offenheit maximieren und gleichzeitig die Risiken aus wirtschaftlichen Abhängigkeiten von Anbietern mit hohem Risiko minimieren muss. Abhängigkeiten von risikoreichen Anbietern von Produkten mit digitalen Elementen können ein strategisches Risiko darstellen, das auf Unionsebene angegangen werden muss, insbesondere wenn die Produkte mit digitalen Elementen für die Verwendung durch die in Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 genannten wesentlichen Einrichtungen bestimmt sind. Diese Risiken können unter anderem mit der für den Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; geltenden Gerichtsbarkeit, den Merkmalen seines Unternehmenseigentums und den von Kontrolle bestimmten Beziehungen zu der Regierung eines Drittlands, in dem er niedergelassen ist, zusammenhängen, insbesondere wenn das Drittland Wirtschaftsspionage betreibt oder unverantwortliches staatliches Verhalten im Cyberspace an den Tag legt und seine Gesetze einen willkürlichen Zugang zu Geschäftsvorgängen oder Unternehmensdaten jeglicher Art, einschließlich wirtschaftlich sensibler Daten, ermöglichen und unter Umständen nachrichtendienstliche Verpflichtungen auferlegen, ohne dass es demokratische Schutzmechanismen, Kontrollmechanismen, ordnungsgemäße Verfahren oder das Recht auf Anrufung eines unabhängigen Gerichts gibt. Bei der Bestimmung der Erheblichkeit eines Cybersicherheitsrisikosdas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; im Sinne dieser Verordnung sollten die Kommission und die Marktüberwachungsbehörden im Rahmen ihrer in dieser Verordnung festgelegten Zuständigkeiten auch nichttechnische Risikofaktoren berücksichtigen, insbesondere solche, die als Ergebnis von koordinierten Risikobewertungen in Bezug auf die Sicherheit der Lieferketten auf Ebene der Union, die gemäß Artikel 22 der Richtlinie (EU) 2022/2555 durchgeführt werden, ermittelt wurden.

Um für die Sicherheit von Produkten mit digitalen Elementen nach ihrem Inverkehrbringenbzw. „in den Verkehr bringen“ die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt; zu sorgen, sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; den Unterstützungszeitraumden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; festlegen, der der voraussichtlichen Nutzungsdauer des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; Rechnung tragen sollte. Bei der Festlegung eines Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; sollte ein Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; insbesondere die berechtigten Erwartungen der Nutzer, die Art des Produkts sowie das einschlägige Unionsrecht zur Festlegung der Lebensdauer von Produkten mit digitalen Elementen berücksichtigen. Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten auch andere relevante Faktoren berücksichtigen können. Die Kriterien sollten so angewandt werden, dass die Verhältnismäßigkeit bei der Festlegung der Unterstützungszeiträume gegeben ist. Auf Anfrage sollte ein Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; den Marktüberwachungsbehörden die Informationen zur Verfügung stellen, die bei der Festlegung des Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; berücksichtigt wurden.

Der Unterstützungszeitraumden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden;, für den der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; die wirksame Behandlung von Schwachstellen gewährleistet, sollte mindestens fünf Jahre betragen, es sei denn, die Lebensdauer des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; beträgt weniger als fünf Jahre; in diesem Fall sollte der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; die Behandlung von Schwachstellen für die entsprechende Lebensdauer sicherstellen. Wenn nach vernünftigem Ermessen davon auszugehen ist, dass das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; länger als fünf Jahre verwendet wird, wie dies häufig bei Hardwarekomponenten wie Hauptplatinen oder Mikroprozessoren, bei Netzwerkgeräten wie Routern, Modems oder Switches sowie bei Softwaremeans the part of an electronic information system which consists of computer code; wie Betriebssystemen oder Videobearbeitungstools der Fall ist, sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; dementsprechend längere Unterstützungszeiträume sicherstellen. Insbesondere Produkte mit digitalen Elementen, die für die Verwendung in industriellen Umgebungen bestimmt sind, wie etwa industrielle Steuerungssysteme, werden häufig über deutlich längere Zeiträume hinweg verwendet. Ein Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollte nur dann einen Unterstützungszeitraumden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; von weniger als fünf Jahren festlegen können, wenn dies durch das Wesen des betreffenden Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; gerechtfertigt ist und das Produkt voraussichtlich weniger als fünf Jahre in Verwendung sein wird; in diesem Fall sollte der Unterstützungszeitraumden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; der erwarteten Nutzungsdauer entsprechen. Beispielsweise könnte die Lebensdauer einer Kontaktnachverfolgungs-App, die für die Nutzung während einer Pandemie bestimmt ist, auf die Dauer der Pandemie begrenzt werden. Darüber hinaus können einige Software-Anwendungen naturgemäß nur auf der Grundlage eines Abonnements zur Verfügung gestellt werden, insbesondere wenn die Anwendung nach Ablauf des Abonnements für den Nutzer nicht mehr zur Verfügung steht und folglich nicht mehr genutzt wird.

Wenn bei Produkten mit digitalen Elementen das Ende des jeweiligen Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; erreicht ist, sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in Erwägung ziehen, den Quellcode dieser Produkte mit digitalen Elementen entweder gegenüber anderen Unternehmen, die sich zu einer verlängerten Bereitstellung von Diensten zur Behandlung von Schwachstellen verpflichten, oder für die Öffentlichkeit freizugeben, damit Schwachstellen auch nach Ablauf des Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; behandelt werden können. Wenn Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; den Quellcode an andere Unternehmen weitergeben, sollten sie in der Lage sein, das Eigentumsrecht an dem Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; zu schützen und die Weitergabe des Quellcodes an die Öffentlichkeit zu verhindern, etwa im Wege vertraglicher Vereinbarungen.

Um sicherzustellen, dass die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in der gesamten Union vergleichbare Unterstützungszeiträume für vergleichbare Produkte mit digitalen Elementen festlegen, sollte die ADCO Statistiken über die von den Herstellern für Kategorien von Produkten mit digitalen Elementen festgelegten durchschnittlichen Unterstützungszeiträume veröffentlichen und Leitlinien herausgeben, in denen angemessene Unterstützungszeiträume für diese Kategorien angegeben sind. Darüber hinaus sollte die Kommission im Hinblick auf die Gewährleistung eines über den gesamten Binnenmarkt hinweg harmonisierten Ansatzes delegierte Rechtsakte erlassen können, um Mindestunterstützungszeiträume für bestimmte Produktkategorien festzulegen, wenn die von den Marktüberwachungsbehörden bereitgestellten Daten entweder darauf hindeuten, dass die von den Herstellern festgelegten Unterstützungszeiträume systematisch nicht den in dieser Verordnung festgelegten Kriterien für die Festlegung der Unterstützungszeiträume entsprechen, oder darauf hindeuten, dass Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; aus verschiedenen Mitgliedstaaten ungerechtfertigt unterschiedliche Unterstützungszeiträume festlegen.

Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten eine zentrale Anlaufstelle einrichten, die es den Nutzern ermöglicht, mühelos mit ihnen zu kommunizieren, etwa um Schwachstellen des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; zu melden und Informationen zu diesen Schwachstellen zu erhalten. Sie sollten die zentrale Anlaufstelle für die Nutzer leicht zugänglich und klare Angaben zu ihrer Erreichbarkeit machen und diese Informationen auf dem neuesten Stand halten. Wenn Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sich dafür entscheiden, automatisierte Instrumente wie etwa Chatboxen anzubieten, sollten sie auch eine Telefonnummer oder andere digitale Kontaktmöglichkeiten wie eine E-Mail-Adresse oder ein Kontaktformular anbieten. Die zentrale Anlaufstelle sollte nicht ausschließlich auf automatisierten Instrumenten beruhen.

Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten ihre Produkte mit digitalen Elementen mit einer sicheren Standardkonfiguration auf dem Markt bereitstellen und den Nutzern kostenlos Sicherheitsaktualisierungen zur Verfügung stellen. Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten von den grundlegenden Cybersicherheitsanforderungen nur abweichen können, wenn es sich um maßgeschneiderte Produkte handelt, die für einen bestimmten gewerblichen Nutzer auf einen bestimmten Zweck zugeschnitten sind und bei denen sowohl der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; als auch der Nutzer ausdrücklich anderen Vertragsbedingungen zugestimmt haben.

Aktiv ausgenutzte Schwachstellen in Produkten mit digitalen Elementen sowie schwerwiegende Sicherheitsvorfälle, die sich auf die Sicherheit dieser Produkte auswirken, sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; über die einheitliche Meldeplattform gleichzeitig sowohl dem als Koordinator benannten Computer Security Incidentmeans an incident as defined in Article 6, point (6), of Directive (EU) 2022/2555; Response Team (CSIRT) als auch der ENISA melden. Die Meldungen sollten über den Endpunktein Gerät, das an ein Netz angeschlossen ist und als Zugangspunkt zu diesem Netz dient; für die elektronische Meldung eines als Koordinator benannten CSIRT übermittelt werden und gleichzeitig der ENISA zugänglich sein.

Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten aktiv ausgenutzte Schwachstellen melden, um dafür zu sorgen, dass die als Koordinatoren benannten CSIRTs und die ENISA einen angemessenen Überblick über diese Schwachstellen haben und die Informationen erhalten, die sie benötigen, um ihre Aufgaben gemäß der Richtlinie (EU) 2022/2555 wahrzunehmen und das Gesamtniveau der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; wesentlicher und wichtiger Einrichtungen gemäß Artikel 3 der genannten Richtlinie zu erhöhen, und um das wirksame Funktionieren der Marktüberwachungsbehörden zu gewährleisten. Da die meisten Produkte mit digitalen Elementen im gesamten Binnenmarkt vermarktet werden, sollte jede ausgenutzte Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; in einem Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; als Bedrohung für das Funktionieren des Binnenmarkts betrachtet werden. Im Einvernehmen mit dem Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollte die ENISA behobene Schwachstellen in der gemäß Artikel 12 Absatz 2 der Richtlinie (EU) 2022/2555 eingerichteten europäischen Schwachstellendatenbank offenlegen. Die europäische Schwachstellendatenbank wird die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; dabei unterstützen, bekannte ausnutzbare Schwachstellen in ihren Produkten zu ermitteln, um sicherzustellen, dass auf dem Markt sichere Produkte bereitgestellt werden.

Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten dem als Koordinator benannten CSIRT und der ENISA auch jeden schwerwiegenden Sicherheitsvorfalleinen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555; melden, der sich auf die Sicherheit eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; auswirkt. Damit die Nutzer rasch auf schwerwiegende Sicherheitsvorfälle reagieren können, die sich auf die Sicherheit ihrer Produkte mit digitalen Elementen auswirken, sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; auch ihre Nutzer über solche Sicherheitsvorfälle und gegebenenfalls über Korrekturmaßnahmen informieren, die die Nutzer ergreifen können, um die Auswirkungen des Sicherheitsvorfallseinen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555; zu mindern, und zwar z. B. durch Veröffentlichung einschlägiger Informationen auf ihren Websites oder, falls der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; zu den Nutzern Kontakt aufnehmen kann und die Cybersicherheitsrisiken dies rechtfertigen, durch direkte Kontaktaufnahme zu den Nutzern.

Bei aktiv ausgenutzten Schwachstellen handelt es sich um Fälle, in denen ein Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; feststellt, dass eine Sicherheitsverletzung, die sich auf seine Nutzer oder andere natürliche oder juristische Personen auswirkt, darauf zurückzuführen ist, dass ein böswilliger Akteur einen Fehler in einem der Produkte mit digitalen Elementen nutzt, die vom Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; auf dem Markt bereitgestellt werden. Bei solchen Schwachstellen kann es sich beispielsweise um Schwächen in den Identifizierungs- und Authentifizierungsfunktionen eines Produkts handeln. Schwachstellen, die ohne böswillige Absicht bei in gutem Glauben ausgeführten Tests, Untersuchungen, Korrekturen oder Offenlegungen, die auf die Sicherheit und den Schutz des Systemeigners und seiner Nutzer abzielen, festgestellt werden, sollten nicht meldepflichtig sein. Schwerwiegende Sicherheitsvorfälle, die sich auf die Sicherheit des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; auswirken, beziehen sich hingegen auf Situationen, in denen ein Cybersicherheitsvorfall die Entwicklungs-, Herstellungs- oder Wartungsprozesse des Herstellerseine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; so beeinträchtigt, dass er zu einem erhöhten Cybersicherheitsrisikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; für die Nutzer oder andere Personen führen könnte. Zu diesen schwerwiegenden Sicherheitsvorfällen gehört beispielsweise der Fall, dass ein Angreifer erfolgreich ein Schadprogramm in den Freigabekanal eingeschleust hat, über den der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; Sicherheitsaktualisierungen für die Nutzer freigibt.

Damit Meldungen rasch an alle einschlägigen als Koordinatoren benannten CSIRTs weitergeleitet werden können und die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in jeder Phase des Meldeverfahrens die Möglichkeit einer Einzelnotifizierung haben, sollte die ENISA eine einheitliche Meldeplattform mit nationalen Endpunkten für die elektronische Meldung einrichten. Der laufende Betrieb der einheitlichen Meldeplattform sollte von der ENISA gesteuert und aufrechterhalten werden. Die als Koordinatoren benannten CSIRTs sollten ihre jeweiligen Marktüberwachungsbehörden über gemeldete Schwachstellen oder Sicherheitsvorfälle unterrichten. Die einheitliche Meldeplattform sollte so gestaltet sein, dass die Vertraulichkeit der Meldungen gewahrt bleibt, wobei dies insbesondere für Schwachstellen gilt, für die noch keine Sicherheitsaktualisierung verfügbar ist. Darüber hinaus sollte die ENISA Verfahrensweisen für den sicheren und vertraulichen Umgang mit Informationen festlegen. Auf der Grundlage der von ihr erfassten Informationen sollte die ENISA alle zwei Jahre einen technischen Bericht über sich abzeichnende Trends in Bezug auf Cybersicherheitsrisiken bei Produkten mit digitalen Elementen erstellen und ihn der gemäß Artikel 14 der Richtlinie (EU) 2022/2555 eingesetzten Kooperationsgruppe vorlegen.

Unter außergewöhnlichen Umständen und insbesondere auf Ersuchen des Herstellerseine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollte das als Koordinator benannte CSIRT, bei dem die Meldung zunächst eingeht, beschließen können, die Übermittlung über die einheitliche Meldeplattform an die anderen einschlägigen als Koordinatoren benannten CSIRTs aufzuschieben, wenn dies aus Gründen der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; und für einen unbedingt erforderlichen Zeitraum gerechtfertigt werden kann. Das als Koordinator benannte CSIRT sollte die ENISA unverzüglich über die Entscheidung zur Aufschiebung und die Gründe dafür sowie darüber informieren, wann es eine Weiterverbreitung beabsichtigt. Die Kommission sollte im Wege eines delegierten Rechtsakts technische Einzelheiten zu den Bedingungen ausarbeiten, unter denen Gründe der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; geltend gemacht werden könnten, und bei der Ausarbeitung des Entwurfs eines delegierten Rechtsakts mit dem gemäß Artikel 15 der Richtlinie (EU) 2022/2555 errichteten CSIRTs-Netzwerk und der ENISA zusammenarbeiten. Bei Gründen der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; kann es sich etwa um ein laufendes Verfahren zur koordinierten Offenlegung von Schwachstellen oder um Situationen handeln, in denen erwartet wird, dass ein Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in Kürze eine Minderungsmaßnahme ergreift und die mit einer unmittelbaren Weiterleitung über die einheitliche Meldeplattform verbundenen Cybersicherheitsrisiken die mit dieser Weiterleitung einhergehenden Vorteile überwiegen. Auf Ersuchen des als Koordinator benannten CSIRT sollte die ENISA in der Lage sein, das CSIRT bei der Geltendmachung von Gründen der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; im Zusammenhang mit der Aufschiebung der Weiterleitung der Meldung auf der Grundlage der Informationen zu unterstützen, die die ENISA von diesem CSIRT in Bezug auf die Entscheidung erhalten hat, eine Meldung aus diesen cybersicherheitsbezogenen Gründen zurückzuhalten. Darüber hinaus sollte die ENISA unter besonders außergewöhnlichen Umständen nicht alle Einzelheiten einer Meldung über eine aktiv ausgenutzte Schwachstelleeine Schwachstelle, zu der verlässliche Nachweise dafür vorliegen, dass ein böswilliger Akteur sie in einem System ohne Zustimmung des Systemeigners ausgenutzt hat; gleichzeitig erhalten. Dies wäre der Fall, wenn der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in seiner Meldung angibt, dass die gemeldete Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; von einem böswilligen Akteur aktiv ausgenutzt wurde und dass sie nach den verfügbaren Informationen in keinem anderen Mitgliedstaat als dem des als Koordinator benannten CSIRT, dem der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; die Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; gemeldet hat, ausgenutzt wurde, wenn eine unverzügliche Weiterverbreitung der Meldung über die Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; voraussichtlich zu einer Zuleitung von Informationen führen würde, deren Offenlegung den wesentlichen Interessen dieses Mitgliedstaats zuwiderliefe, oder wenn die gemeldete Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; aufgrund der Weiterverbreitung ein unmittelbares hohes Cybersicherheitsrisikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; darstellen würde. In solchen Fällen erhält die ENISA nur gleichzeitigen Zugang zu der Information, dass der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; eine Meldung getätigt hat, zu allgemeinen Informationen über das betreffende Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, zu den Informationen über die allgemeine Art der Ausnutzung und zu Informationen darüber, dass diese Sicherheitsgründe vom Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; geltend gemacht wurden und der vollständige Inhalt der Meldung daher zurückgehalten wird. Die vollständige Meldung sollte der ENISA und anderen einschlägigen als Koordinatoren benannten CSIRTs dann zur Verfügung gestellt werden, wenn das als Koordinator benannte CSIRT, das die Meldung ursprünglich erhält, feststellt, dass diese Sicherheitsgründe, die besonders außergewöhnliche Umstände im Sinne dieser Verordnung widerspiegeln, nicht mehr bestehen. Ist die ENISA auf der Grundlage der verfügbaren Informationen der Auffassung, dass ein Systemrisiko für die Sicherheit des Binnenmarkts besteht, sollte sie dem CSIRT, bei dem die Meldung eingegangen ist, empfehlen, die vollständige Meldung an die anderen als Koordinatoren benannten CSIRTs und an die ENISA selbst weiterzuleiten.

Wenn Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; eine aktiv ausgenutzte Schwachstelleeine Schwachstelle, zu der verlässliche Nachweise dafür vorliegen, dass ein böswilliger Akteur sie in einem System ohne Zustimmung des Systemeigners ausgenutzt hat; oder einen schwerwiegenden Sicherheitsvorfalleinen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555; melden, die bzw. der sich auf die Sicherheit des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; auswirkt, sollten sie angeben, für wie sensibel sie die gemeldeten Informationen halten. Das als Koordinator benannte CSIRT, das die Meldung ursprünglich erhält, sollte diese Informationen bei der Prüfung, ob die Meldung außergewöhnliche Umstände nahelegt, die eine Aufschiebung der Weiterleitung der Meldung an die anderen einschlägigen als Koordinatoren benannten CSIRTs aus berechtigten Gründen der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; rechtfertigen, berücksichtigen. Zudem sollte es diese Informationen bei der Beurteilung der Frage berücksichtigen, ob die Meldung über eine aktiv ausgenutzte Schwachstelleeine Schwachstelle, zu der verlässliche Nachweise dafür vorliegen, dass ein böswilliger Akteur sie in einem System ohne Zustimmung des Systemeigners ausgenutzt hat; besonders außergewöhnliche Umstände nahelegt, die es rechtfertigen, dass die vollständige Meldung nicht gleichzeitig der ENISA zur Verfügung gestellt wird. Darüber hinaus sollten die als Koordinatoren benannten CSIRTs in der Lage sein, diese Informationen bei der Festlegung geeigneter Maßnahmen zur Minderung der Risiken, die sich aus den entsprechenden Schwachstellen und Sicherheitsvorfällen ergeben, zu berücksichtigen.

Um die im Rahmen dieser Verordnung vorgeschriebene Meldung von Informationen unter Berücksichtigung anderer ergänzender Meldepflichten, die im Unionsrecht etwa in der Verordnung (EU) 2016/679, der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates(²⁵)Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (ABl. L 333 vom 27.12.2022, S. 1)., der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates(²⁶)Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (ABl. L 201 vom 31.7.2002, S. 37). und der Richtlinie (EU) 2022/2555 festgelegt sind, zu vereinfachen und den Verwaltungsaufwand für Einrichtungen zu verringern, wird den Mitgliedstaaten nahegelegt, die Einrichtung zentraler Anlaufstellen für solche Meldepflichten auf nationaler Ebene in Erwägung zu ziehen. Die Nutzung solcher nationalen zentralen Anlaufstellen für die Meldung von Sicherheitsvorfällen gemäß der Verordnung (EU) 2016/679 und der Richtlinie 2002/58/EG sollte die Anwendung der Bestimmungen der Verordnung (EU) 2016/679 und der Richtlinie 2002/58/EG, insbesondere der Bestimmungen über die Unabhängigkeit der darin genannten Behörden, unberührt lassen. Bei der Einrichtung der in dieser Verordnung genannten einheitlichen Meldeplattform sollte die ENISA der Möglichkeit Rechnung tragen, dass die in dieser Verordnung genannten nationalen Endpunkte für die elektronische Meldung in nationale zentrale Anlaufstellen integriert werden können, die auch andere nach dem Unionsrecht erforderliche Meldungen umfassen können.

Um sich Erfahrungen aus der Vergangenheit zunutze zu machen, sollte die ENISA bei der Einrichtung der in dieser Verordnung genannten einheitlichen Meldeplattform andere Organe oder Agenturen der Union konsultieren, die Plattformen oder Datenbanken verwalten, die strengen Sicherheitsanforderungen unterliegen, wie etwa die Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA). Außerdem sollte die ENISA mögliche Komplementaritäten mit der gemäß Artikel 12 Absatz 2 der Richtlinie (EU) 2022/2555 eingerichteten europäischen Schwachstellendatenbank prüfen.

Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; und andere natürliche und juristische Personen sollten in der Lage sein, einem als Koordinator benannten CSIRT oder der ENISA auf freiwilliger Basis jedwede in einem Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; enthaltene Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann;, Cyberbedrohungen, die sich auf das Risikoprofil eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; auswirken könnten, jedweden Sicherheitsvorfalleinen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555;, der sich auf die Sicherheit des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; auswirkt, sowie Beinahe-Vorfälle, die zu einem solchen Sicherheitsvorfalleinen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555; hätten führen können, zu melden.

Die Mitgliedstaaten sollten im Einklang mit den nationalen Rechtsvorschriften so weit wie möglich die Herausforderungen angehen, mit denen Forscher, die sich mit Schwachstellen befassen, konfrontiert sind, wobei hierzu auch deren potenzielle strafrechtliche Haftung gehört. Da natürliche und juristische Personen, die Schwachstellen erforschen, in einigen Mitgliedstaaten der strafrechtlichen und zivilrechtlichen Haftung unterliegen könnten, werden die Mitgliedstaaten aufgefordert, Leitlinien für die Nichtverfolgung von Forschern im Bereich der Informationssicherheit zu verabschieden und eine Ausnahme von der zivilrechtlichen Haftung für ihre Tätigkeiten zu erlassen.

Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; von Produkten mit digitalen Elementen sollten Konzepte für die koordinierte Offenlegung von Schwachstellen einführen, um das Melden von Schwachstellen durch natürliche oder juristische Personen entweder direkt an den Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; oder indirekt und auf Wunsch anonym über die CSIRTs zu erleichtern, die gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 als Koordinatoren für die Zwecke der koordinierten Offenlegung von Schwachstellen benannt werden. Das Konzept der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; für die koordinierte Offenlegung von Schwachstellen sollte einen strukturierten Prozess vorsehen, in dem Schwachstellen dem Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in einer Weise gemeldet werden, die dem Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; die Diagnose und Behebung solcher Schwachstellen ermöglicht, bevor detaillierte Informationen über die Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; an Dritte oder die Öffentlichkeit weitergegeben werden. Darüber hinaus sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; auch in Erwägung ziehen, ihre Sicherheitskonzepte in maschinenlesbarem Format zu veröffentlichen. Angesichts dessen, dass mit Informationen über ausnutzbare Schwachstellen in weitverbreiteten Produkten mit digitalen Elementen auf dem Schwarzmarkt hohe Preisen zu erzielen sind, sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; solcher Produkte in der Lage sein, im Rahmen ihrer Konzepte für die koordinierte Offenlegung von Schwachstellen Programme durchzuführen, mit denen sie Anreize für das Melden von Schwachstellen schaffen, indem sie dafür sorgen, dass natürliche oder juristische Personen Anerkennung und Belohnung für ihre Bemühungen erhalten. Hierbei handelt es sich um sogenannte „Bug-Bounty-Programme“.

Zur Erleichterung der Schwachstellenanalyse sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; feststellen und dokumentieren, welche Komponenten in den Produkten mit digitalen Elementen enthalten sind, und dazu gegebenenfalls eine Software-Stücklisteeine formale Aufzeichnung der Einzelheiten und Lieferkettenbeziehungen der Komponenten, die in den Softwareelementen eines Produkts mit digitalen Elementen enthalten sind; aufstellen. Über eine Software-Stücklisteeine formale Aufzeichnung der Einzelheiten und Lieferkettenbeziehungen der Komponenten, die in den Softwareelementen eines Produkts mit digitalen Elementen enthalten sind; können denjenigen, die Softwaremeans the part of an electronic information system which consists of computer code; herstellen, kaufen und betreiben, Informationen bereitgestellt werden, die ihnen helfen, die Lieferkette besser zu verstehen, was zahlreiche Vorteile mit sich bringt und insbesondere Herstellern und Nutzern hilft, bekannte neu aufgetretene Schwachstellen und Cybersicherheitsrisiken zu verfolgen. Besonders wichtig ist es, dass die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sicherstellen, dass ihre Produkte mit digitalen Elementen keine anfälligen Komponenten enthalten, die von Dritten entwickelt wurden. Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten nicht verpflichtet sein, die Software-Stücklisteeine formale Aufzeichnung der Einzelheiten und Lieferkettenbeziehungen der Komponenten, die in den Softwareelementen eines Produkts mit digitalen Elementen enthalten sind; zu veröffentlichen.

Im Rahmen der neuen komplexen Geschäftsmodelle im Zusammenhang mit Online-Verkäufen kann ein online tätiges Unternehmen eine Vielzahl von Dienstleistungen anbieten. Je nach Art der in Bezug auf ein bestimmtes Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; erbrachten Dienstleistungen kann ein und dasselbe Unternehmen in verschiedene Kategorien von Geschäftsmodellen oder Wirtschaftsakteuren fallen. Erbringt ein Unternehmen ausschließlich Online-Vermittlungsdienste für ein bestimmtes Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; und handelt es sich bei diesem Unternehmen lediglich um einen Anbieter eines Online-Marktplatzes im Sinne von Artikel 3 Nummer 14 der Verordnung (EU) 2023/988, so fällt es nicht in eine der Kategorien von Wirtschaftsakteuren im Sinne dieser Verordnung. Handelt es sich bei einem Unternehmen um einen Anbieter eines Online-Marktplatzes, der beim Verkauf bestimmter Produkte mit digitalen Elementen zudem als Wirtschaftsakteurden Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder der Bereitstellung auf dem Markt von Produkten mit digitalen Elementen im Einklang mit dieser Verordnung unterliegt; im Sinne dieser Verordnung fungiert, so sollte es den für diese Art von Wirtschaftsakteurden Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder der Bereitstellung auf dem Markt von Produkten mit digitalen Elementen im Einklang mit dieser Verordnung unterliegt; in dieser Verordnung festgelegten Verpflichtungen unterliegen. Vertreibt beispielsweise der Anbieter eines Online-Marktplatzes auch ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, so wird er in Bezug auf den Verkauf dieses Produkts als Händlereine natürliche oder juristische Person in der Lieferkette, die ein Produkt mit digitalen Elementen ohne Änderung seiner Eigenschaften auf dem Unionsmarkt bereitstellt, mit Ausnahme des Herstellers oder des Einführers; betrachtet. Ebenso würde das betreffende Unternehmen, wenn es seine eigenen Markenprodukte mit digitalen Elementen verkauft, als Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; gelten und müsste somit die für Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; geltenden Anforderungen erfüllen. Darüber hinaus können einige Unternehmen als Fulfilment-Dienstleister im Sinne von Artikel 3 Nummer 11 der Verordnung (EU) 2019/1020 des Europäischen Parlaments und des Rates(²⁷)Verordnung (EU) 2019/1020 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über Marktüberwachung und die Konformität von Produkten sowie zur Änderung der Richtlinie 2004/42/EG und der Verordnungen (EG) Nr. 765/2008 und (EU) Nr. 305/2011 (ABl. L 169 vom 25.6.2019, S. 1). gelten, wenn sie die entsprechenden Dienstleistungen anbieten. Die betreffenden Fälle müssten im Einzelfall bewertet werden. Angesichts der herausragenden Rolle, die Online-Marktplätze bei der Ermöglichung des elektronischen Geschäftsverkehrs spielen, sollten diese bestrebt sein, mit den Marktüberwachungsbehörden der Mitgliedstaaten zusammenzuarbeiten, um dazu beizutragen, dass über Online-Marktplätze erworbene Produkte mit digitalen Elementen die in dieser Verordnung festgelegten Cybersicherheitsanforderungen erfüllen.

Um die Bewertung der Konformität mit den in dieser Verordnung festgelegten Anforderungen zu erleichtern, sollte eine Konformitätsvermutung für Produkte mit digitalen Elementen gelten, die harmonisierten Normen entsprechen, mit denen die in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen in detaillierte technische Spezifikationen umgesetzt werden und die gemäß der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates(²⁸)Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 zur europäischen Normung, zur Änderung der Richtlinien 89/686/EWG und 93/15/EWG des Rates sowie der Richtlinien 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG und 2009/105/EG des Europäischen Parlaments und des Rates und zur Aufhebung des Beschlusses 87/95/EWG des Rates und des Beschlusses Nr. 1673/2006/EG des Europäischen Parlaments und des Rates (ABl. L 316 vom 14.11.2012, S. 12). angenommen wurden. Die genannte Verordnung enthält ein Verfahren für Einwände gegen harmonisierte Normen für den Fall, dass diese Normen den in der vorliegenden Verordnung festgelegten Anforderungen nicht in vollem Umfang entsprechen. Im Rahmen des Normierungsprozesses sollte eine ausgewogene Interessenvertretung und eine wirksame Einbeziehung von Interessenträgern der Zivilgesellschaft, darunter von Verbraucherorganisationen, sichergestellt werden. Internationale Normen, die mit dem Cybersicherheitsschutzniveau, das mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen angestrebt wird, im Einklang stehen, sollten ebenfalls berücksichtigt werden, um die Entwicklung harmonisierter Normen und die Durchführung dieser Verordnung zu unterstützen und Unternehmen, insbesondere Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG;, kleinen und mittleren Unternehmen sowie weltweit tätigen Unternehmen, die Konformität zu erleichtern.

Die rechtzeitige Entwicklung harmonisierter Normen während des Übergangszeitraums für die Anwendung dieser Verordnung und ihre Verfügbarkeit vor dem Geltungsbeginn dieser Verordnung werden für ihre wirksame Umsetzung besonders wichtig sein. Insbesondere ist dies bei wichtigen Produkten mit digitalen Elementen der Klasse I der Fall. Die Verfügbarkeit harmonisierter Normen wird es den Herstellern der entsprechenden Produkte ermöglichen, die Konformitätsbewertungen im Wege des internen Kontrollverfahrens durchzuführen, und kann so dazu beitragen, Engpässe und Verzögerungen bei den Tätigkeiten von Konformitätsbewertungsstellen zu umgehen.

Mit der Verordnung (EU) 2019/881 ist ein freiwilliger europäischer Rahmen für die Cybersicherheitszertifizierung von IKT-Produkten, -Prozessen und -Diensten geschaffen worden. Die europäischen Schemata für die Cybersicherheitszertifizierung schaffen einen gemeinsamen Rahmen für das Vertrauen der Nutzer in die Verwendung von Produkten mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen. Die vorliegende Verordnung sollte folglich Synergieeffekte mit der Verordnung (EU) 2019/881 schaffen. Um die Bewertung der Konformität mit den in der vorliegenden Verordnung festgelegten Anforderungen zu erleichtern, wird bei Produkten mit digitalen Elementen, die im Rahmen eines von der Kommission in einem Durchführungsrechtsakt festgelegten europäischen Cybersicherheitsschemas gemäß der Verordnung (EU) 2019/881 zertifiziert worden sind oder für die im Rahmen eines solchen Schemas eine Konformitätserklärung ausgestellt wurde, davon ausgegangen, dass sie den in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen genügen, sofern das europäische Cybersicherheitszertifikat oder die Konformitätserklärung oder Teile davon diese Anforderungen abdecken. Die Notwendigkeit neuer europäischer Schemata für die Cybersicherheitszertifizierung von Produkten mit digitalen Elementen sollte im Lichte der vorliegenden Verordnung geprüft werden, auch bei der Ausarbeitung des fortlaufenden Arbeitsprogramms der Union gemäß der Verordnung (EU) 2019/881. Wenn ein neues Schema für Produkte mit digitalen Elementen erforderlich ist, um etwa die Einhaltung dieser Verordnung zu erleichtern, kann die Kommission die ENISA gemäß Artikel 48 der Verordnung (EU) 2019/881 ersuchen, mögliche Schemata auszuarbeiten. Solche künftigen europäischen Schemata für die Cybersicherheitszertifizierung von Produkten mit digitalen Elementen sollten den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen und Konformitätsbewertungsverfahren Rechnung tragen und die Einhaltung dieser Verordnung erleichtern. Für europäische Schemata für die Cybersicherheitszertifizierung, die vor dem Inkrafttreten dieser Verordnung in Kraft treten, können weitere Spezifikationen zu detaillierten Aspekten bezüglich der Anwendung einer Konformitätsvermutung erforderlich sein. Der Kommission sollte die Befugnis übertragen werden, im Wege von delegierten Rechtsakten festzulegen, unter welchen Bedingungen die europäischen Schemata für die Cybersicherheitszertifizierung zum Nachweis der Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen verwendet werden können. Um einen übermäßigen Verwaltungsaufwand zu vermeiden, sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; darüber hinaus nicht verpflichtet sein, für die betreffenden Anforderungen eine Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; durch Dritte, wie in dieser Verordnung vorgesehen, durchzuführen zu lassen, wenn im Rahmen solcher europäischen Schemata für die Cybersicherheitszertifizierung ein europäisches Cybersicherheitszertifikat mindestens für die Stufe „mittel“ ausgestellt wurde.

Beim Inkrafttreten der Durchführungsverordnung (EU) 2024/482, die in den Anwendungsbereich dieser Verordnung fallende Produkte wie Hardware-Sicherheitsmodule und Mikroprozessoren betrifft, sollte die Kommission im Wege eines delegierten Rechtsakts festlegen können, auf welche Weise das EUCC eine Vermutung der Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen oder Teilen davon begründen kann. Darüber hinaus kann in einem solchen delegierten Rechtsakt festgelegt werden, wie mit einem im Rahmen des EUCC ausgestellten Zertifikat die in dieser Verordnung vorgesehene Pflicht der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich;, eine Bewertung durch Dritte durchführen zu lassen, für die betreffenden Anforderungen aufgehoben werden kann.

Der bestehende europäische Normungsrahmen, dem die Grundsätze der neuen Konzeption gemäß der Entschließung des Rates vom 7. Mai 1985 über eine neue Konzeption auf dem Gebiet der technischen Harmonisierung und der Normung und die Verordnung (EU) Nr. 1025/2012 zugrunde liegen, bildet den Standardrahmen für die Ausarbeitung von Normen, die eine Konformitätsvermutung mit den in dieser Verordnung festgelegten einschlägigen grundlegenden Cybersicherheitsanforderungen vorsehen. Europäische Normen sollten marktorientiert sein, dem öffentlichen Interesse sowie den politischen Zielen Rechnung tragen, die im Auftrag der Kommission an eine oder mehrere europäische Normungsorganisationen, innerhalb einer bestimmten Frist harmonisierte Normen auszuarbeiten, präzise dargelegt sind, und auf Konsens beruhen. In Ermangelung einschlägiger Verweise auf harmonisierte Normen sollte die Kommission jedoch die Möglichkeit haben, in Ausnahmefällen als Ausweichlösung und unter gebührender Achtung der Rolle und der Aufgaben der europäischen Normungsorganisationen Durchführungsrechtsakte zu erlassen, in denen gemeinsame Spezifikationen für die in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen festgelegt werden, um es dem Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; zu erleichtern, seiner Pflicht zur Einhaltung dieser grundlegenden Cybersicherheitsanforderungen nachzukommen, wenn das Normungsverfahren blockiert ist oder wenn es bei der Ausarbeitung angemessener harmonisierter Normen zu Verzögerungen kommt. Ist eine solche Verzögerung auf die technische Komplexität der betreffenden Norm zurückzuführen, so sollte die Kommission dies berücksichtigen, bevor sie die Festlegung gemeinsamer Spezifikationen in Erwägung zieht.

Um bei der Festlegung gemeinsamer Spezifikationen, die die in dieser Verordnung genannten grundlegenden Cybersicherheitsanforderungen abdecken, möglichst effizient vorzugehen, sollte die Kommission einschlägige Interessenträger in den Prozess einbeziehen.

Unter einer angemessenen Frist ist in Bezug auf die Veröffentlichung der Fundstelle harmonisierter Normen im Amtsblatt der Europäischen Union gemäß der Verordnung (EU) Nr. 1025/2012 ein Zeitraum zu verstehen, in dem die Fundstelle der Norm, ihre Berichtigung oder ihre Änderung voraussichtlich im Amtsblatt der Europäischen Union veröffentlicht wird und der ein Jahr nach Ablauf der Frist für die Erstellung des Entwurfs einer europäischen Norm gemäß der Verordnung (EU) Nr. 1025/2012 nicht überschreiten sollte.

Um die Bewertung der Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen zu erleichtern, sollte eine Konformitätsvermutung für Produkte mit digitalen Elementen gelten, die den gemeinsamen Spezifikationen entsprechen, die die Kommission gemäß dieser Verordnung angenommen hat, um ausführliche technische Spezifikationen für diese Anforderungen zu formulieren.

Die Anwendung harmonisierter Normen, gemeinsamer Spezifikationen oder europäischer Schemata für die Cybersicherheitszertifizierung, die gemäß der Verordnung (EU) 2019/881 angenommen wurden und bei denen eine Konformitätsvermutung in Bezug auf die grundlegenden Cybersicherheitsanforderungen an Produkte mit digitalen Elementen besteht, wird die Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; durch die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; erleichtern. Entscheidet sich der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; gegen die Verwendung dieser Mittel für bestimmte Anforderungen, so muss er in seinen technischen Unterlagen angeben, wie die Konformität auf andere Weise erreicht wird. Darüber hinaus würde die Anwendung harmonisierter Normen, gemeinsamer Spezifikationen oder europäischer Schemata für die Cybersicherheitszertifizierung, die gemäß der Verordnung (EU) 2019/881 angenommen wurden, durch die Begründung einer Konformitätsvermutung für die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; die Überprüfung der Konformität von Produkten mit digitalen Elementen durch die Marktüberwachungsbehörden erleichtern. Daher werden die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; von Produkten mit digitalen Elementen angehalten, diese harmonisierten Normen, gemeinsamen Spezifikationen oder europäischen Schemata für die Cybersicherheitszertifizierung anzuwenden.

Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten eine EU-Konformitätserklärung ausstellen, aus der die nach dieser Verordnung erforderlichen Informationen über die Konformität der Produkte mit digitalen Elementen mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen und gegebenenfalls den sonstigen einschlägigen Harmonisierungsrechtsvorschriften der Uniondie in Anhang I der Verordnung (EU) 2019/1020 aufgeführten Rechtsvorschriften der Union sowie alle sonstigen Rechtsvorschriften der Union zur Harmonisierung der Bedingungen für die Vermarktung von Produkten, auf welche die genannte Verordnung Anwendung findet;, denen das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; unterliegt, hervorgehen. Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; können ferner auch aufgrund anderer Rechtsakte der Union verpflichtet sein, eine EU-Konformitätserklärung auszustellen. Um einen wirksamen Zugang zu Informationen für die Zwecke der Marktüberwachung zu gewährleisten, sollte eine einzige EU-Konformitätserklärung in Bezug auf die Einhaltung aller einschlägigen Rechtsakte der Union ausgestellt werden. Um den Verwaltungsaufwand für die Wirtschaftsakteure zu verringern, sollte es zulässig sein, dass diese einzige EU-Konformitätserklärung aus einer Akte besteht, die sich aus den einschlägigen einzelnen Konformitätserklärungen zusammensetzt.

Die CE-Kennzeichnungeine Kennzeichnung, durch die ein Hersteller erklärt, dass ein Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I und anderen geltenden Harmonisierungsrechtsvorschriften der Union über ihre Anbringung genügen; bringt die Konformität eines Produkts zum Ausdruck und ist das sichtbare Ergebnis eines ganzen Prozesses, der die Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; im weiteren Sinne umfasst. Die allgemeinen Grundsätze für die CE-Kennzeichnungeine Kennzeichnung, durch die ein Hersteller erklärt, dass ein Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I und anderen geltenden Harmonisierungsrechtsvorschriften der Union über ihre Anbringung genügen; sind in der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates(²⁹)Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und zur Aufhebung der Verordnung (EWG) Nr. 339/93 (ABl. L 218 vom 13.8.2008, S. 30). festgelegt. Die Vorschriften für die Anbringung der CE-Kennzeichnungeine Kennzeichnung, durch die ein Hersteller erklärt, dass ein Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I und anderen geltenden Harmonisierungsrechtsvorschriften der Union über ihre Anbringung genügen; auf Produkten mit digitalen Elementen sollten in der vorliegenden Verordnung festgelegt werden. Die CE-Kennzeichnungeine Kennzeichnung, durch die ein Hersteller erklärt, dass ein Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I und anderen geltenden Harmonisierungsrechtsvorschriften der Union über ihre Anbringung genügen; sollte die einzige Kennzeichnung sein, die die Übereinstimmung der Produkte mit digitalen Elementen mit den in dieser Verordnung festgelegten Anforderungen garantiert.

Damit die Wirtschaftsakteure die Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen nachweisen können und die Marktüberwachungsbehörden sicherstellen können, dass Produkte mit digitalen Elementen, die auf dem Markt bereitgestellt werden, diesen Anforderungen genügen, sind Konformitätsbewertungsverfahren vorzusehen. Im Beschluss Nr. 768/2008/EG des Europäischen Parlaments und des Rates(³⁰)Beschluss Nr. 768/2008/EG des Europäischen Parlaments und des Rates vom 9. Juli 2008 über einen gemeinsamen Rechtsrahmen für die Vermarktung von Produkten und zur Aufhebung des Beschlusses 93/465/EWG des Rates (ABl. L 218 vom 13.8.2008, S. 82). sind Module für Konformitätsbewertungsverfahren festgelegt, die der Höhe des Risikos und dem geforderten Sicherheitsniveau angemessen sind. Um die sektorübergreifende Kohärenz zu gewährleisten und Ad-hoc-Varianten zu vermeiden, sollten die Konformitätsbewertungsverfahren zur Überprüfung der Konformität von Produkten mit digitalen Elementen mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen auf diesen Modulen beruhen. In den Konformitätsbewertungsverfahren sollten sowohl produkt- als auch verfahrensbezogene Anforderungen untersucht und überprüft werden, die den gesamten Lebenszyklus von Produkten mit digitalen Elementen abdecken, einschließlich Planung, Konzeption, Entwicklung oder Herstellung, Tests und Wartung des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;.

Die Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; von Produkten mit digitalen Elementen, die in dieser Verordnung nicht als wichtige oder kritische Produkte mit digitalen Elementen aufgeführt sind, kann vom Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in eigener Verantwortung nach dem internen Kontrollverfahren auf der Grundlage von Modul A des Beschlusses Nr. 768/2008/EG gemäß dieser Verordnung durchgeführt werden. Dies gilt auch für Fälle, in denen ein Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; beschließt, eine geltende harmonisierte Normeine harmonisierte Norm gemäß der Begriffsbestimmung in Artikel 2 Nummer 1 Buchstabe c der Verordnung (EU) Nr. 1025/2012;, eine gemeinsame Spezifikation oder ein europäisches Schema für die Cybersicherheitszertifizierung ganz oder teilweise nicht anzuwenden. Dem Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; bleibt freigestellt, ein strengeres Konformitätsbewertungsverfahren unter Einbeziehung eines Dritten zu wählen. Im Rahmen der nach dem internen Kontrollverfahren durchgeführten Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; stellt der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sicher und erklärt er auf eigene Verantwortung, dass das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; und die Prozesse des Herstellerseine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; die in dieser Verordnung festgelegten geltenden grundlegenden Cybersicherheitsanforderungen erfüllen. Fällt ein wichtiges Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; in die Klasse I, so ist eine zusätzliche Vertrauenswürdigkeitsprüfung erforderlich, um die Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen nachzuweisen. Der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollte harmonisierte Normen, gemeinsame Spezifikationen oder europäische Schemata für die Cybersicherheitszertifizierung, die gemäß der Verordnung (EU) 2019/881 angenommen wurden und von der Kommission in einem Durchführungsrechtsakt ermittelt wurden, verwenden, wenn er die Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; in eigener Verantwortung durchführen möchte (Modul A). Verwendet der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; solche harmonisierten Normen, gemeinsamen Spezifikationen oder europäischen Schemata für die Cybersicherheitszertifizierung nicht, so sollte eine Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; unter Beteiligung eines Dritten durchgeführt werden (basierend auf den Modulen B und C oder H). Unter Berücksichtigung des Verwaltungsaufwands für die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; und der Tatsache, dass die CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; in der Konzeptions- und Entwicklungsphase materieller und immaterieller Produkte mit digitalen Elementen eine wichtige Rolle spielt, wurden Konformitätsbewertungsverfahren auf der Grundlage der Module B und C oder des Moduls H des Beschlusses Nr. 768/2008/EG als am besten geeignet ausgewählt, um die Konformität wichtiger Produkte mit digitalen Elementen auf verhältnismäßige und wirksame Weise zu bewerten. Der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich;, der die Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; durch Dritte durchführen lässt, kann das Verfahren auswählen, das seinem Konzeptions- und Herstellungsprozess am besten entspricht. Angesichts des noch größeren Cybersicherheitsrisikosdas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird;, das mit der Verwendung wichtiger Produkte mit digitalen Elementen verbunden ist, die in die Klasse II fallen, sollte an deren Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; stets ein Dritter beteiligt werden, auch wenn das Produkt vollständig oder teilweise harmonisierten Normen, gemeinsamen Spezifikationen oder europäischen Schemata für die Cybersicherheitszertifizierung entspricht. Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; wichtiger Produkte mit digitalen Elementen, die als freie und quelloffene Softwareeine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen; gelten, sollten das interne Kontrollverfahren auf der Grundlage von Modul A anwenden können, sofern sie die technische Dokumentation der Öffentlichkeit zugänglich machen.

Während die Herstellung materieller Produkte mit digitalen Elementen in der Regel einen erheblichen Aufwand während der gesamten Konzeptions-, Entwicklungs- und Herstellungsphase erfordert, konzentriert sich die Herstellung von Produkten mit digitalen Elementen in Form von Softwaremeans the part of an electronic information system which consists of computer code; fast ausschließlich auf die Konzeption und Entwicklung, wogegen die Herstellungsphase eine untergeordnete Rolle spielt. Dennoch müssen Softwareprodukte oft noch kompiliert und zu Versionen zusammengefügt, gepackt, zum Herunterladen bereitgestellt oder auf physische Datenträger kopiert werden, bevor sie in den Verkehr gebracht werden. Bei der Anwendung der einschlägigen Konformitätsbewertungsmodule zur Überprüfung der Konformität des Produkts mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen in der Konzeptions-, Entwicklungs- und Herstellungsphase sollten diese Tätigkeiten als dem Herstellungsprozess gleichkommende Tätigkeiten betrachtet werden.

In Bezug auf Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; und kleine Unternehmen ist es zur Sicherstellung von Verhältnismäßigkeit angezeigt, die Verwaltungskosten zu senken, ohne das Maß an CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; von Produkten mit digitalen Elementen, die in den Anwendungsbereich dieser Verordnung fallen, oder das Vorliegen gleicher Wettbewerbsbedingungen zwischen den Herstellern zu beeinträchtigen. Daher sollte die Kommission ein vereinfachtes Formular für die technische Dokumentation erstellen, das auf die Bedürfnisse von Kleinst- und Kleinunternehmen zugeschnitten ist. Das von der Kommission angenommene vereinfachte Formular für die technische Dokumentation sollte alle anwendbaren Elemente im Zusammenhang mit der technischen Dokumentation gemäß dieser Verordnung abdecken und angeben, wie ein Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; oder kleines Unternehmen die angeforderten Elemente in knapper Form bereitstellen kann, beispielsweise die Beschreibung der Gestaltung, Entwicklung und Herstellung des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;. Auf diese Weise würde das Formular dazu beitragen, die Verwaltungslast für die Einhaltung der Vorschriften zu verringern, indem den betroffenen Unternehmen Rechtssicherheit hinsichtlich des Umfangs und der Einzelheiten der bereitzustellenden Informationen geboten wird. Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; und kleine Unternehmen sollten die Option haben, die anwendbaren Elemente im Zusammenhang mit der technischen Dokumentation in umfassender Form vorzulegen und das ihnen zur Verfügung stehende vereinfachte technische Formular nicht zu verwenden.

Um Innovationen zu fördern und zu schützen, ist es wichtig, dass die Interessen von Herstellern, bei denen es sich um Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; oder um kleine oder mittlere Unternehmen handelt, insbesondere von Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; und Kleinunternehmen, einschließlich Start-up-Unternehmen, besondere Berücksichtigung finden. Zu diesem Zweck könnten die Mitgliedstaaten Initiativen entwickeln, die sich an Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; richten, bei denen es sich um Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; oder kleine Unternehmen handelt, unter anderem in den Bereichen Schulung, Sensibilisierung, Kommunikation von Informationen, Tests, Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; durch Dritte sowie Einrichtung von Reallaboren. Übersetzungskosten im Zusammenhang mit der verpflichtenden Dokumentation, beispielsweise der technischen Dokumentation, und den gemäß dieser Verordnung erforderlichen Informationen und Anweisungen für die Nutzer sowie mit der Kommunikation mit den Behörden können erhebliche Ausgaben für die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich;, insbesondere für Kleinhersteller, mit sich bringen. Daher sollten die Mitgliedstaaten auch prüfen können, ob eine der Sprachen, die sie für die einschlägige Dokumentation der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; und für die Kommunikation mit den Herstellern bestimmen und akzeptieren, eine Sprache ist, die von der größtmöglichen Zahl von Nutzern weitgehend verstanden wird.

Um für eine reibungslose Anwendung dieser Verordnung zu sorgen, sollten die Mitgliedstaaten vor dem Beginn der Anwendung dieser Verordnung möglichst sicherstellen, dass es eine ausreichende Zahl notifizierter Stellen gibt, die Konformitätsbewertungen durch Dritte durchführen können. Die Kommission sollte die Mitgliedstaaten und andere einschlägige Parteien bei diesem Unterfangen möglichst unterstützen, um Engpässe und Hindernisse beim Marktzugang von Herstellern zu verhindern. Gezielte Schulungsmaßnahmen unter der Leitung der Mitgliedstaaten, gegebenenfalls auch mit Unterstützung der Kommission, können zur Verfügbarkeit qualifizierter Fachkräfte und auch zur Unterstützung der Tätigkeiten notifizierter Stellen im Sinne dieser Verordnung beitragen. Darüber hinaus sollten angesichts der Kosten, die eine Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; durch Dritte mit sich bringen kann, Finanzierungsinitiativen auf Unionsebene und auf nationaler Ebene in Betracht gezogen werden, die darauf abzielen, diese Kosten für Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; und kleine Unternehmen zu verringern.

Um die Verhältnismäßigkeit sicherzustellen, sollten die Konformitätsbewertungsstellen bei der Festlegung der Gebühren für die Verfahren der Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; den besonderen Interessen und Bedürfnissen von Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; sowie von kleinen und mittleren Unternehmen, einschließlich Start-up-Unternehmen, Rechnung tragen. Insbesondere sollten die Konformitätsbewertungsstellen die in dieser Verordnung vorgesehenen einschlägigen Prüfverfahren und Tests nur dann anwenden, wenn dies angemessen ist und ein risikobasierter Ansatz verfolgt wird.

Die Ziele von Reallaboren sollten darin bestehen, Innovation und Wettbewerbsfähigkeit für Unternehmen zu fördern, indem vor dem Inverkehrbringenbzw. „in den Verkehr bringen“ die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt; von Produkten mit digitalen Elementen kontrollierte Testumgebungen geschaffen werden. Reallabore sollten dazu beitragen, die Rechtssicherheit für alle Akteure, die in den Anwendungsbereich dieser Verordnung fallen, zu verbessern und den Zugang von Produkten mit digitalen Elementen zum Unionsmarkt zu erleichtern und zu beschleunigen, insbesondere wenn sie von Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; und kleinen Unternehmen, einschließlich Start-up-Unternehmen, bereitgestellt werden.

Damit Produkte mit digitalen Elementen einer Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; durch Dritte unterzogen werden können, sollten die nationalen notifizierenden Behörden der Kommission und den anderen Mitgliedstaaten die Konformitätsbewertungsstellen notifizieren, sofern diese eine Reihe von Anforderungen erfüllen, insbesondere in Bezug auf Unabhängigkeit, Kompetenz und Nichtvorliegen von Interessenkonflikten.

Um für ein einheitliches Qualitätsniveau bei der Durchführung der Konformitätsbewertungen von Produkten mit digitalen Elementen zu sorgen, müssen auch die Anforderungen an die notifizierenden Behörden und andere Stellen, die bei der Begutachtung, Notifizierung und Überwachung von notifizierten Stellen tätig sind, festgelegt werden. Das in dieser Verordnung vorgesehene System sollte durch das Akkreditierungssystem gemäß der Verordnung (EG) Nr. 765/2008 ergänzt werden. Da die Akkreditierung ein wichtiges Mittel zur Überprüfung der Kompetenz von Konformitätsbewertungsstellen ist, sollte sie auch zu Notifizierungszwecken eingesetzt werden.

Konformitätsbewertungsstellen, die nach Unionsrecht akkreditiert und notifiziert wurden, in denen ähnliche Anforderungen wie in dieser Verordnung festgelegt sind, wie z. B. eine Konformitätsbewertungsstelleeine Konformitätsbewertungsstelle im Sinne von Artikel 2 Nummer 13 der Verordnung (EG) Nr. 765/2008., die für ein gemäß der Verordnung (EU) 2019/881 angenommenes europäisches Schema für die Cybersicherheitszertifizierung oder gemäß der Delegierten Verordnung (EU) 2022/30 notifiziert wurde, sollten im Rahmen dieser Verordnung neu bewertet und notifiziert werden. Allerdings können die einschlägigen Behörden Synergien in Bezug auf sich überschneidende Anforderungen definieren, um unnötigen finanziellen und administrativen Aufwand zu vermeiden und ein reibungsloses und zeitnahes Notifizierungsverfahren sicherzustellen.

Eine transparente Akkreditierung nach Maßgabe der Verordnung (EG) Nr. 765/2008, die das notwendige Maß an Vertrauen in Konformitätsbescheinigungen gewährleistet, sollte von den nationalen Behörden unionsweit als bevorzugtes Mittel zum Nachweis der fachlichen Kompetenz von Konformitätsbewertungsstellen angesehen werden. Allerdings können nationale Behörden die Auffassung vertreten, dass sie über die geeigneten Mittel verfügen, um diese Bewertung selbst vorzunehmen. Um in solchen Fällen die Glaubwürdigkeit der durch andere nationale Behörden vorgenommenen Beurteilungen zu gewährleisten, sollten sie der Kommission und den anderen Mitgliedstaaten alle erforderlichen Unterlagen übermitteln, aus denen hervorgeht, dass die beurteilten Konformitätsbewertungsstellen die einschlägigen rechtlichen Anforderungen erfüllen.

Häufig vergeben Konformitätsbewertungsstellen Teile ihrer Arbeit im Zusammenhang mit der Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; an Unterauftragnehmer oder übertragen sie an Zweigstellen. Zur Wahrung des für das Inverkehrbringenbzw. „in den Verkehr bringen“ die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt; von Produkten mit digitalen Elementen in der Union erforderlichen Schutzniveaus müssen die Unterauftragnehmer und Zweigstellen bei der Ausführung der Konformitätsbewertungsaufgaben unbedingt denselben Anforderungen genügen wie die notifizierten Stellen.

Die Notifizierung einer Konformitätsbewertungsstelleeine Konformitätsbewertungsstelle im Sinne von Artikel 2 Nummer 13 der Verordnung (EG) Nr. 765/2008. sollte der Kommission und den anderen Mitgliedstaaten von der notifizierenden Behörde über das NANDO-Informationssystem (New Approach Notified and Designated Organisations, Informationssystem für die nach dem neuen Konzept notifizierten und benannten Organisationen) übermittelt werden. Das NANDO-Informationssystem ist das von der Kommission entwickelte und verwaltete elektronische Notifizierungsinstrument, mit dem eine Liste aller notifizierten Stellen geführt wird.

Da die notifizierten Stellen ihre Dienstleistungen in der gesamten Union anbieten können, sollten die anderen Mitgliedstaaten und die Kommission die Möglichkeit erhalten, Einwände gegen eine notifizierte Stelleeine Konformitätsbewertungsstelle, die nach Artikel 43 dieser Verordnung und anderen einschlägigen Harmonisierungsrechtsvorschriften der Union benannt wurde; zu erheben. Daher ist es wichtig, dass eine Frist vorgesehen wird, innerhalb deren etwaige Zweifel oder Bedenken hinsichtlich der Kompetenz von Konformitätsbewertungsstellen geklärt werden können, bevor diese ihre Arbeit als notifizierte Stellen aufnehmen.

Im Interesse der Wettbewerbsfähigkeit ist es entscheidend, dass die notifizierten Stellen die Konformitätsbewertungsverfahren anwenden, ohne unnötigen Aufwand für die Wirtschaftsakteure zu schaffen. Aus demselben Grund, und damit die Gleichbehandlung der Wirtschaftsakteure sichergestellt ist, ist für eine einheitliche technische Anwendung der Konformitätsbewertungsverfahren zu sorgen. Dies lässt sich am besten durch eine zweckmäßige Koordinierung und Zusammenarbeit zwischen den notifizierten Stellen erreichen.

Die Marktüberwachung ist ein wesentliches Instrument zur Gewährleistung der korrekten und einheitlichen Anwendung des Unionsrechts. Daher sollte ein Rechtsrahmen geschaffen werden, innerhalb dessen die Marktüberwachung in angemessener Weise erfolgen kann. Die Vorschriften der Verordnung (EU) 2019/1020 für die Überwachung des Unionsmarktes und die Kontrolle von Produkten, die auf den Unionsmarkt gelangen, gelten auch für Produkte mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen.

Nach der Verordnung (EU) 2019/1020 führt eine Marktüberwachungsbehördeeine Marktüberwachungsbehörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020; die Marktüberwachung im Hoheitsgebiet des Mitgliedstaats, der sie benennt, durch. Diese Verordnung sollte die Mitgliedstaaten nicht daran hindern, zu entscheiden, welche Behörden für die Wahrnehmung der Marktüberwachungsaufgaben zuständig sind. Jeder Mitgliedstaat sollte in seinem Hoheitsgebiet eine oder mehrere Marktüberwachungsbehörden benennen. Die Mitgliedstaaten sollten beschließen können, eine bestehende oder eine neue Behörde als Marktüberwachungsbehördeeine Marktüberwachungsbehörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020; zu benennen, einschließlich der gemäß Artikel 8 der Richtlinie (EU) 2022/2555 benannten oder eingesetzten zuständigen Behörden, der gemäß Artikel 58 der Verordnung (EU) 2019/881 benannten nationalen Behörden für die Cybersicherheitszertifizierung oder der im Sinne der Richtlinie 2014/53/EU benannten Marktüberwachungsbehörden. Die Wirtschaftsakteure sollten umfassend mit den Marktüberwachungsbehörden und anderen zuständigen Behörden zusammenarbeiten. Jeder Mitgliedstaat sollte die Kommission und die anderen Mitgliedstaaten über seine Marktüberwachungsbehörden und deren jeweilige Zuständigkeitsbereiche unterrichten und dafür sorgen, dass diese über die erforderlichen Ressourcen und Fähigkeiten für die Durchführung der Marktüberwachungsaufgaben im Zusammenhang mit der vorliegenden Verordnung verfügen. Gemäß Artikel 10 Absätze 2 und 3 der Verordnung (EU) 2019/1020 sollte jeder Mitgliedstaat eine zentrale Verbindungsstelle benennen, die unter anderem dafür zuständig sein sollte, den abgestimmten Standpunkt der Marktüberwachungsbehörden zu vertreten und die Zusammenarbeit zwischen den Marktüberwachungsbehörden in verschiedenen Mitgliedstaaten zu unterstützen.

Im Hinblick auf die einheitliche Anwendung dieser Verordnung sollte gemäß Artikel 30 Absatz 2 der Verordnung (EU) 2019/1020 eine ADCO für die Cyberresilienz von Produkten mit digitalen Elementen eingesetzt werden. Die ADCO sollte sich aus Vertretern der benannten Marktüberwachungsbehörden und gegebenenfalls Vertretern der zentralen Verbindungsstellen zusammensetzen. Die Kommission sollte die Zusammenarbeit zwischen den Marktüberwachungsbehörden über das gemäß Artikel 29 der Verordnung (EU) 2019/1020 eingerichtete Unionsnetzwerk für Produktkonformität unterstützen und fördern, das sich aus Vertretern der einzelnen Mitgliedstaaten, einschließlich eines Vertreters jeder zentralen Verbindungsstelle nach Artikel 10 der genannten Verordnung und eines optionalen nationalen Sachverständigen, sowie den Vorsitzenden der ADCO und Vertretern der Kommission zusammensetzt. Die Kommission sollte an den Sitzungen des Netzwerks der Union für Produktkonformität, seiner Untergruppen und der ADCO teilnehmen. Sie sollte die ADCO durch ein Exekutivsekretariat unterstützen, das technische und logistische Unterstützung leistet. Die ADCO kann auch unabhängige Sachverständige zur Teilnahme einladen und sich mit anderen ADCOs, beispielsweise derjenigen, die im Rahmen der Richtlinie 2014/53/EU eingerichtet wurde, in Verbindung setzen.

Die Marktüberwachungsbehörden sollten über die im Rahmen dieser Verordnung eingerichtete ADCO eng zusammenarbeiten und in der Lage sein, Leitliniendokumente zu entwickeln, um die Marktüberwachungstätigkeiten auf nationaler Ebene zu erleichtern, beispielsweise durch die Entwicklung bewährter Verfahren und Indikatoren zur wirksamen Überprüfung der Konformität von Produkten mit digitalen Elementen mit dieser Verordnung.

Damit zeitnahe, verhältnismäßige und wirksame Maßnahmen in Bezug auf Produkte mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisikoein Cybersicherheitsrisiko, bei dem aufgrund seiner technischen Merkmale davon auszugehen ist, dass es mit hoher Wahrscheinlichkeit zu einem Sicherheitsvorfall führen wird, der schwerwiegende negative Auswirkungen haben und erhebliche materielle oder immaterielle Verluste oder Störungen verursachen könnte; bergen, getroffen werden können, sollte ein Schutzklauselverfahren der Union bereitgestellt werden, in dessen Rahmen interessierte Kreise über geplante Maßnahmen in Bezug auf solche Produkte informiert werden. Auf diese Weise könnten die Marktüberwachungsbehörden in Zusammenarbeit mit den betreffenden Wirtschaftsakteuren nötigenfalls zu einem früheren Zeitpunkt einschreiten. Wenn sich die Mitgliedstaaten und die Kommission einig sind, dass eine von einem Mitgliedstaat ergriffene Maßnahme gerechtfertigt ist, sollte die Kommission nur dann weiter tätig werden müssen, wenn sich die Nichtkonformität auf Unzulänglichkeiten einer harmonisierten Norm zurückführen lässt.

In bestimmten Fällen kann ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, das dieser Verordnung entspricht, dennoch ein erhebliches Cybersicherheitsrisikoein Cybersicherheitsrisiko, bei dem aufgrund seiner technischen Merkmale davon auszugehen ist, dass es mit hoher Wahrscheinlichkeit zu einem Sicherheitsvorfall führen wird, der schwerwiegende negative Auswirkungen haben und erhebliche materielle oder immaterielle Verluste oder Störungen verursachen könnte; oder ein Risiko für die Gesundheit oder Sicherheit von Personen, für die Erfüllung der Pflichten aus dem Unionsrecht oder dem nationalen Recht zum Schutz der Grundrechte, für die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Diensten, die über ein elektronisches Informationssystemein System, einschließlich elektrischer oder elektronischer Ausrüstung, das digitale Daten verarbeiten, speichern oder übertragen kann; von wesentlichen Einrichtungen im Sinne von Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 angeboten werden, oder für andere Aspekte des Schutzes öffentlicher Interessen darstellen. Daher müssen Vorschriften festgelegt werden, die die Minderung solcher Risiken gewährleisten. Infolgedessen sollten die Marktüberwachungsbehörden Maßnahmen treffen, mit denen sie den Wirtschaftsakteurden Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder der Bereitstellung auf dem Markt von Produkten mit digitalen Elementen im Einklang mit dieser Verordnung unterliegt; dazu verpflichten, in Abhängigkeit vom Risiko dafür zu sorgen, dass das Produkt dieses Risiko nicht mehr birgt, oder aber es zurückzurufen oder vom Markt zu nehmen. Sobald eine Marktüberwachungsbehördeeine Marktüberwachungsbehörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020; den freien Verkehr eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; auf diese Weise einschränkt bzw. untersagt, sollte der Mitgliedstaat die Kommission und die anderen Mitgliedstaaten unverzüglich unter Angabe von Gründen und Argumenten für die Entscheidung in Kenntnis setzen. Ergreift eine Marktüberwachungsbehördeeine Marktüberwachungsbehörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020; solche Maßnahmen gegen Produkte mit digitalen Elementen, von denen ein Risiko ausgeht, so sollte die Kommission unverzüglich Konsultationen mit den Mitgliedstaaten und dem bzw. den betroffenen Wirtschaftsakteurden Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder der Bereitstellung auf dem Markt von Produkten mit digitalen Elementen im Einklang mit dieser Verordnung unterliegt;(en) aufnehmen und die nationale Maßnahme bewerten. Anhand der Ergebnisse dieser Bewertung sollte die Kommission entscheiden, ob die nationale Maßnahme gerechtfertigt ist oder nicht. Die Kommission sollte ihren Beschluss an alle Mitgliedstaaten richten und ihn diesen und dem bzw. den betroffenen Wirtschaftsakteurden Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder der Bereitstellung auf dem Markt von Produkten mit digitalen Elementen im Einklang mit dieser Verordnung unterliegt;(en) unverzüglich mitteilen. Wird die Maßnahme als gerechtfertigt erachtet, sollte die Kommission auch Vorschläge zur Überarbeitung des einschlägigen Unionsrechts in Erwägung ziehen können.

Bei Produkten mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisikoein Cybersicherheitsrisiko, bei dem aufgrund seiner technischen Merkmale davon auszugehen ist, dass es mit hoher Wahrscheinlichkeit zu einem Sicherheitsvorfall führen wird, der schwerwiegende negative Auswirkungen haben und erhebliche materielle oder immaterielle Verluste oder Störungen verursachen könnte; bergen und bei denen Grund zu der Annahme besteht, dass sie dieser Verordnung nicht entsprechen, oder bei Produkten, die zwar dieser Verordnung entsprechen, aber andere große Risiken bergen, wie Risiken für die Gesundheit oder Sicherheit von Personen, für die Erfüllung der Pflichten aus dem Unionsrecht oder dem nationalen Recht zum Schutz der Grundrechte oder für die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Diensten, die über ein elektronisches Informationssystemein System, einschließlich elektrischer oder elektronischer Ausrüstung, das digitale Daten verarbeiten, speichern oder übertragen kann; von wesentlichen Einrichtungen im Sinne von Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 angeboten werden, sollte die Kommission die ENISA ersuchen können, eine Bewertung vorzunehmen. Auf der Grundlage dieser Bewertung sollte die Kommission im Wege von Durchführungsrechtsakten Korrekturmaßnahmen oder einschränkende Maßnahmen auf Unionsebene erlassen können, einschließlich der Anordnung der Rücknahme der betroffenen Produkte mit digitalen Elementen vom Markt oder ihres Rückrufseinen Rückruf gemäß der Begriffsbestimmung in Artikel 3 Nummer 22 der Verordnung (EU) 2019/1020; innerhalb einer der Art des Risikos angemessenen Frist. Ein solches Eingreifen der Kommission sollte nur unter außergewöhnlichen Umständen möglich sein, die ein sofortiges Eingreifen zur Bewahrung des reibungslosen Funktionierens des Binnenmarkts rechtfertigen, und nur dann, wenn die Marktüberwachungsbehörden keine wirksamen Maßnahmen ergriffen haben, um Abhilfe zu schaffen. Solche außergewöhnlichen Umstände können Notfälle sein, in denen beispielsweise ein nichtkonformes Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; vom Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in mehreren Mitgliedstaaten in großem Umfang auf dem Markt bereitgestellt und auch in Schlüsselsektoren von Einrichtungen verwendet wird, die in den Anwendungsbereich der Richtlinie (EU) 2022/2555 fallen, und es bekannte Schwachstellen aufweist, die von böswilligen Akteuren ausgenutzt werden und für die der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; keine verfügbaren Patches bereitstellt. Die Kommission sollte in solchen Notfällen nur während der Dauer der außergewöhnlichen Umstände und nur solange eingreifen können, wie die Nichtkonformität mit dieser Verordnung oder die großen Risiken fortbestehen.

Gibt es Hinweise auf eine Nichtkonformität mit dieser Verordnung in mehreren Mitgliedstaaten, so sollten die Marktüberwachungsbehörden in der Lage sein, gemeinsame Tätigkeiten mit anderen Behörden durchzuführen, um die Konformität zu überprüfen und Cybersicherheitsrisiken von Produkten mit digitalen Elementen zu ermitteln.

Gleichzeitige koordinierte Kontrollen („Sweeps“) sind besondere Durchsetzungsmaßnahmen, die von Marktüberwachungsbehörden durchgeführt werden und die Produktsicherheit weiter verbessern können. Sweeps sollten insbesondere dann durchgeführt werden, wenn Marktentwicklungen, Beschwerden von Verbrauchern oder andere Anzeichen dafür sprechen, dass bestimmte Kategorien von Produkten mit digitalen Elementen häufig Cybersicherheitsrisiken aufweisen. Darüber hinaus sollten die Marktüberwachungsbehörden bei der Festlegung der Produktkategorien, die Sweeps zu unterziehen sind, auch die Umstände im Zusammenhang mit nichttechnischen Risikofaktoren berücksichtigen. Zu diesem Zweck sollten die Marktüberwachungsbehörden in der Lage sein, die Ergebnisse der gemäß Artikel 22 der Richtlinie (EU) 2022/2555 koordinierten Risikobewertungen in Bezug auf die Sicherheit kritischer Lieferketten auf Ebene der Union, darunter die Umstände in Bezug auf nichttechnische Risikofaktoren, zu berücksichtigen. Die ENISA sollte den Marktüberwachungsbehörden Vorschläge für Kategorien von Produkten mit digitalen Elementen vorlegen, für die Sweeps organisiert werden könnten, und zwar unter anderem auf der Grundlage der bei ihr eingegangenen Meldungen über Schwachstellen und Sicherheitsvorfälle.

Angesichts ihrer Sachkenntnis und ihres Auftrags sollte die ENISA in der Lage sein, den Prozess der Durchführung dieser Verordnung zu unterstützen. Die ENISA sollte insbesondere in der Lage sein, gemeinsame Tätigkeiten vorzuschlagen, die von Marktüberwachungsbehörden auf der Grundlage von Hinweisen oder Informationen über eine mögliche Nichtkonformität von Produkten mit digitalen Elementen mit dieser Verordnung in mehreren Mitgliedstaaten durchgeführt werden sollen, oder Produktkategorien zu ermitteln, zu denen Sweeps organisiert werden sollten. Unter außergewöhnlichen Umständen sollte die ENISA auf Ersuchen der Kommission Bewertungen in Bezug auf bestimmte Produkte mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisikoein Cybersicherheitsrisiko, bei dem aufgrund seiner technischen Merkmale davon auszugehen ist, dass es mit hoher Wahrscheinlichkeit zu einem Sicherheitsvorfall führen wird, der schwerwiegende negative Auswirkungen haben und erhebliche materielle oder immaterielle Verluste oder Störungen verursachen könnte; bergen, durchführen können, wenn ein sofortiges Eingreifen erforderlich ist, um das reibungslose Funktionieren des Binnenmarkts zu bewahren.

Mit dieser Verordnung werden der ENISA bestimmte Aufgaben übertragen, die angemessene Ressourcen sowohl in Bezug auf Sachkenntnis als auch auf Humanressourcen erfordern, damit die ENISA in die Lage versetzt wird, diese Aufgaben wirksam wahrzunehmen. Bei der Ausarbeitung des Entwurfs des Gesamthaushaltsplans der Union wird die Kommission gemäß dem in Artikel 29 der Verordnung (EU) 2019/881 festgelegten Verfahren die erforderlichen Haushaltsmittel für den Stellenplan der ENISA vorschlagen. Während dieses Prozesses wird die Kommission die Gesamtressourcen der ENISA berücksichtigen, um sie in die Lage zu versetzen, ihre Aufgaben wahrzunehmen, auch diejenigen, die ihr gemäß dieser Verordnung übertragen wurden.

Damit der Rechtsrahmen erforderlichenfalls angepasst werden kann, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) Rechtsakte hinsichtlich der Aktualisierung der Liste wichtiger Produkte mit digitalen Elementen und deren Aufnahme in den Anhang der vorliegenden Verordnung zu erlassen. Der Kommission sollte die Befugnis übertragen werden, gemäß dem genannten Artikel Rechtsakte zu erlassen, um Produkte mit digitalen Elementen festzulegen, die unter andere Unionsvorschriften fallen, mit denen dasselbe Schutzniveau wie mit dieser Verordnung erreicht wird, und um festzustellen, ob eine Einschränkung oder ein Ausschluss vom Anwendungsbereich dieser Verordnung notwendig wäre, und gegebenenfalls den Umfang dieser Einschränkung festzulegen. Der Kommission sollte auch die Befugnis übertragen werden, gemäß dem genannten Artikel Rechtsakte zu erlassen, um möglichweise die Zertifizierung von in einem Anhang der vorliegenden Verordnung dargelegten kritischen Produkten mit digitalen Elementen im Rahmen eines europäischen Schemas für die Cybersicherheitszertifizierung vorzuschreiben, um die Liste kritischer Produkte mit digitalen Elementen auf der Grundlage der in dieser Verordnung festgelegten Kritikalitätskriterien zu aktualisieren und um die gemäß der Verordnung (EU) 2019/881 erlassenen europäischen Systeme für die Cybersicherheitszertifizierung festzulegen, die zum Nachweis der Konformität mit den grundlegenden Cybersicherheitsanforderungen oder Teilen davon gemäß einem Anhang der vorliegenden Verordnung verwendet werden können. Der Kommission sollte auch die Befugnis übertragen werden, Rechtsakte zu erlassen, um für bestimmte Produktkategorien den Mindestzeitraum für die Unterstützung zu bestimmen, wenn die Marktüberwachungsdaten auf unzureichende Unterstützungszeiträume hindeuten, und um die Geschäftsbedingungen für die Anwendung der Gründe in Bezug auf das Cybersicherheitsrisikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; festzulegen, wenn Meldungen über aktiv ausgenutzte Schwachstellen nur verzögert weitergegeben werden. Darüber hinaus sollte der Kommission die Befugnis übertragen werden, Rechtsakte zu erlassen, um freiwillige Programme zur Bescheinigung der Sicherheit zwecks Bewertung der Konformität von Produkten mit digitalen Elementen, die als freie und quelloffene Softwareeine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen; gelten, mit allen oder bestimmten grundlegenden Cybersicherheitsanforderungen oder anderweitigen in dieser Verordnung aufgeführten Pflichten festzulegen sowie um die Mindestangaben für die EU-Konformitätserklärung vorzuschreiben und die in die technische Dokumentation aufzunehmenden Elemente zu ergänzen. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen in Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung(³¹)ABl. L 123 vom 12.5.2016, S. 1. festgelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind. Die Befugnis zum Erlass delegierter Rechtsakte gemäß dieser Verordnung wird der Kommission für einen Zeitraum von fünf Jahren ab dem 10. Dezember 2024 übertragen. Die Kommission sollte spätestens neun Monate vor Ablauf des Zeitraums von fünf Jahren einen Bericht über die Befugnisübertragung erstellen. Die Befugnisübertragung sollte sich stillschweigend um Zeiträume gleicher Länge verlängern, es sei denn, das Europäische Parlament oder der Rat widersprechen einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.

Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung sollten der Kommission Durchführungsbefugnisse in Bezug auf Folgendes übertragen werden: Festlegung der technischen Beschreibung der in einem Anhang dieser Verordnung aufgeführten Kategorien wichtiger Produkte mit digitalen Elementen, Festlegung des Formats und der Elemente der Software-Stücklisteeine formale Aufzeichnung der Einzelheiten und Lieferkettenbeziehungen der Komponenten, die in den Softwareelementen eines Produkts mit digitalen Elementen enthalten sind;, Präzisierung des Formats und des Verfahrens der Meldungen über aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle, die sich auf die Sicherheit von Produkten mit digitalen Elementen, wie sie von den Herstellern übermittelt wurde, auswirken, Festlegung gemeinsamer Spezifikationen für technische Anforderungen, mit deren Hilfe den grundlegenden Cybersicherheitsanforderungen in einem Anhang dieser Verordnung genügt wird, Festlegung technischer Spezifikationen für Etiketten, Piktogramme oder andere Kennzeichnungen in Bezug auf die Sicherheit von Produkten mit digitalen Elementen und deren Unterstützungszeitraumden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; sowie Mechanismen zur Förderung ihrer Verwendung und zur Sensibilisierung der Öffentlichkeit für die Sicherheit von Produkten mit digitalen Elementen, Festlegung des vereinfachten Formulars für die Dokumentation, das auf die Bedürfnisse von Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; und kleinen Unternehmen zugeschnitten ist, sowie Entscheidung über Korrekturmaßnahmen oder einschränkende Maßnahmen auf Unionsebene unter außergewöhnlichen Umständen, die ein sofortiges Eingreifen rechtfertigen, um das reibungslose Funktionieren des Binnenmarkts zu bewahren. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates(³²)Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13, ELI: http://data.europa.eu/eli/reg/2011/182/oj). ausgeübt werden.

Zur Gewährleistung einer vertrauensvollen und konstruktiven Zusammenarbeit der Marktüberwachungsbehörden auf Ebene der Union und der Mitgliedstaaten sollten alle an der Anwendung dieser Verordnung beteiligten Parteien die Vertraulichkeit der im Rahmen der Durchführung ihrer Tätigkeiten erlangten Informationen und Daten wahren.

Um die wirksame Durchsetzung der in dieser Verordnung festgelegten Pflichten zu gewährleisten, sollte jede Marktüberwachungsbehördeeine Marktüberwachungsbehörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020; befugt sein, Geldbußen aufzuerlegen oder ihre Auferlegung zu beantragen. Daher sollten auch Obergrenzen für Geldbußen festgelegt werden, die im einzelstaatlichen Recht für Verstöße gegen die in dieser Verordnung festgelegten Pflichten vorzusehen sind. Bei der Entscheidung über die Höhe der Geldbuße sollten in jedem Einzelfall alle relevanten Umstände der konkreten Situation und zumindest die in dieser Verordnung ausdrücklich festgelegten Umstände berücksichtigt werden, einschließlich der Frage, ob es sich bei dem Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; um ein Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; oder um ein kleines oder mittleres Unternehmen, einschließlich eines Start-up-Unternehmens, handelt und ob bereits dieselbe Marktüberwachungsbehördeeine Marktüberwachungsbehörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020; oder andere Marktüberwachungsbehörden demselben Wirtschaftsakteurden Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder der Bereitstellung auf dem Markt von Produkten mit digitalen Elementen im Einklang mit dieser Verordnung unterliegt; für einen ähnlichen Verstoß Geldbußen auferlegt haben. Solche Umstände könnten entweder erschwerend wirken, falls der Verstoß desselben Wirtschaftsakteursden Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder der Bereitstellung auf dem Markt von Produkten mit digitalen Elementen im Einklang mit dieser Verordnung unterliegt; im Hoheitsgebiet eines anderen Mitgliedstaats als desjenigen, in dem bereits eine Geldbuße verhängt wurde, weiter andauert, oder aber mildernd, indem sichergestellt wird, dass in anderen Mitgliedstaaten verhängte Sanktionen und deren Höhe sowie andere einschlägige konkrete Umstände berücksichtigt werden, wenn eine andere Marktüberwachungsbehördeeine Marktüberwachungsbehörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020; für denselben Wirtschaftsakteurden Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder der Bereitstellung auf dem Markt von Produkten mit digitalen Elementen im Einklang mit dieser Verordnung unterliegt; oder dieselbe Art von Verstoß eine weitere Geldbuße in Betracht zieht. Jedenfalls sollte der Gesamtbetrag der Geldbußen, die die Marktüberwachungsbehörden mehrerer Mitgliedstaaten wegen derselben Art von Verstößen gegen denselben Wirtschaftsakteurden Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder der Bereitstellung auf dem Markt von Produkten mit digitalen Elementen im Einklang mit dieser Verordnung unterliegt; verhängen könnten, dem Grundsatz der Verhältnismäßigkeit entsprechen. Da Geldbußen weder gegen Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; oder kleine Unternehmen wegen einer Nichteinhaltung der 24-Stunden-Frist für die Frühmeldung bei aktiv ausgenutzten Schwachstellen oder schwerwiegenden Sicherheitsvorfällen, die sich auf die Sicherheit des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; auswirken, noch gegen Verwalter quelloffener Softwareeine juristische Person, bei der es sich nicht um einen Hersteller handelt, die den Zweck oder das Ziel hat, die Entwicklung spezifischer Produkte mit digitalen Elementen, die als freie und quelloffene Software gelten und für kommerzielle Tätigkeiten bestimmt sind, systematisch und nachhaltig zu unterstützen, und die die Brauchbarkeit dieser Produkte sicherstellt; bei Verstößen gegen diese Verordnung verhängt werden und vorbehaltlich des Grundsatzes, dass Sanktionen wirksam, verhältnismäßig und abschreckend sein sollten, sollten die Mitgliedstaaten gegen diese Einrichtungen keine anderweitigen finanziellen Sanktionen verhängen.

Werden Geldbußen einer Person auferlegt, bei der es sich nicht um ein Unternehmen handelt, so sollte die zuständige Behörde bei der Bemessung der Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedstaat und der wirtschaftlichen Lage der Personen Rechnung tragen. Die Mitgliedstaaten sollten bestimmen können, ob und inwieweit gegen Behörden Geldbußen verhängt werden können.

Die Mitgliedstaaten sollten unter Berücksichtigung der nationalen Gegebenheiten prüfen, ob die Einnahmen aus den in dieser Verordnung vorgesehenen Sanktionen oder entsprechende gleichwertige Einnahmen verwendet werden können, um Cybersicherheitsstrategien zu unterstützen und das Maß an CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; in der Union zu verbessern, indem unter anderem die Anzahl der qualifizierten Cybersicherheitsfachkräfte erhöht, der Kapazitätsaufbau für Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; sowie kleine und mittlere Unternehmen gestärkt und die Öffentlichkeit für Cyberbedrohungen sensibilisiert wird.

In ihren Beziehungen mit Drittländern strebt die Union die Förderung des internationalen Handels mit regulierten Produkten an. Zur Erleichterung des Handels kann eine ganze Palette von Maßnahmen angewandt werden, darunter verschiedene Rechtsinstrumente wie bilaterale (zwischenstaatliche) Abkommen über die gegenseitige Anerkennung (MRA) der Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; und der Kennzeichnung regulierter Produkte. Abkommen über die gegenseitige Anerkennung werden zwischen der Union und Drittländern geschlossen, die sich auf einem vergleichbaren Niveau der technischen Entwicklung befinden und deren Herangehensweise an die Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; als kompatibel betrachtet wird. Diese Abkommen haben die gegenseitige Anerkennung von Bescheinigungen, Konformitätszeichen und Prüfberichten zur Grundlage, die von den Konformitätsbewertungsstellen der Vertragsparteien entsprechend den Rechtsvorschriften der jeweils anderen Partei vorgelegt werden. Solche Abkommen über die gegenseitige Anerkennung bestehen derzeit mit mehreren Drittländern. Diese Abkommen werden für eine Reihe bestimmter Sektoren geschlossen, die sich von einem Drittland zum anderen unterscheiden können. Zur weiteren Erleichterung des Handels und im Bewusstsein dessen, dass die Lieferketten für Produkte mit digitalen Elementen global sind, kann die Union für Produkte, die unter diese Verordnung fallen, gemäß Artikel 218 AEUV Abkommen über die gegenseitige Anerkennung der Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; schließen. Ebenfalls wichtig ist die Zusammenarbeit mit Partnerländern, um die weltweite Abwehrfähigkeit gegen Cyberangriffe zu stärken, da dies langfristig zu einem gestärkten Cybersicherheitsrahmen sowohl innerhalb als auch außerhalb der Union beitragen wird.

Verbrauchereine natürliche Person, die zu Zwecken handelt, die nicht ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit zugerechnet werden können; sollten ihre Rechte im Zusammenhang mit den gemäß dieser Verordnung für Wirtschaftsakteure geltenden Pflichten im Wege von Verbandsklagen gemäß der Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates(³³)Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates vom 25. November 2020 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22/EG (ABl. L 409 vom 4.12.2020, S. 1). durchsetzen können. Zu diesem Zweck sollte in dieser Verordnung vorgesehen werden, dass die Richtlinie (EU) 2020/1828 auf Verbandsklagen wegen Verstößen gegen diese Verordnung Anwendung findet, die den Kollektivinteressen der Verbrauchereine natürliche Person, die zu Zwecken handelt, die nicht ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit zugerechnet werden können; schaden oder schaden können. Folglich sollte Anhang I der genannten Richtlinie entsprechend geändert werden. Es obliegt den Mitgliedstaaten, dafür zu sorgen, dass sich diese Änderungen in den Umsetzungsmaßnahmen, die sie gemäß der genannten Richtlinie erlassen, niederschlagen, wenngleich der Erlass diesbezüglicher nationaler Umsetzungsmaßnahmen keine Voraussetzung dafür ist, dass die Richtlinie auf diese Verbandsklagen Anwendung findet. Die genannte Richtlinie sollte ab dem 11. Dezember 2027 auf Verbandsklagen anwendbar sein, die wegen von Wirtschaftsakteuren begangenen Verstößen gegen Bestimmungen dieser Verordnung, die den Kollektivinteressen der Verbrauchereine natürliche Person, die zu Zwecken handelt, die nicht ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit zugerechnet werden können; schaden oder schaden können, eingereicht wurden.

Die Kommission sollte diese Verordnung regelmäßig in Abstimmung mit einschlägigen Interessenträgern bewerten und überprüfen, insbesondere um festzustellen, ob sie veränderten gesellschaftlichen, politischen oder technischen Bedingungen oder veränderten Marktbedingungen anzupassen ist. Mit dieser Verordnung wird die Einhaltung der Verpflichtungen zur Sicherheit der Lieferkette durch Einrichtungen erleichtert, die in den Anwendungsbereich der Verordnung (EU) 2022/2554 und der Richtlinie (EU) 2022/2555 fallen und Produkte mit digitalen Elementen verwenden. Die Kommission sollte im Rahmen dieser regelmäßigen Überprüfung die kombinierten Auswirkungen des Cybersicherheitsrahmens der Union bewerten.

Den Wirtschaftsakteuren sollte ausreichend Zeit für die Anpassung an die in dieser Verordnung festgelegten Anforderungen eingeräumt werden. Diese Verordnung sollte ab dem 11. Dezember 2027 gelten, mit Ausnahme der Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle mit Auswirkungen auf die Sicherheit von Produkten mit digitalen Elementen, die ab dem 11. September 2026 gelten sollten, sowie der Bestimmungen über die Notifizierung von Konformitätsbewertungsstellen, die ab dem 11. Juni 2026 gelten sollten.

Es ist wichtig, Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; sowie kleine und mittlere Unternehmen, einschließlich Start-up-Unternehmen, bei der Durchführung dieser Verordnung zu unterstützen und die Risiken für die Durchführung, die sich aus mangelndem Wissen und fehlender Sachkenntnis auf dem Markt ergeben, zu minimieren und den Herstellern die Einhaltung ihrer in dieser Verordnung festgelegten Pflichten zu erleichtern. Im Rahmen des Programms „Digitales Europa“ und anderer einschlägiger Unionsprogramme wird finanzielle und technische Unterstützung geboten, durch die es diesen Unternehmen ermöglicht wird, zum Wachstum der Wirtschaft der Union und zur Stärkung des gemeinsamen Cybersicherheitsniveaus in der Union beizutragen. Das Europäische Kompetenzzentrum für Cybersicherheitsforschung und die nationalen Koordinierungszentren sowie die von der Kommission und den Mitgliedstaaten auf Unionsebene oder nationaler Ebene eingerichteten europäischen digitalen Innovationszentren könnten ebenfalls Unternehmen und Einrichtungen des öffentlichen Sektors unterstützen und zur Durchführung dieser Verordnung beitragen. Im Rahmen ihrer jeweiligen Aufgaben und Zuständigkeitsbereiche könnten sie Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; sowie kleinen und mittleren Unternehmen technische und wissenschaftliche Unterstützung leisten, z. B. bei Testtätigkeiten und Konformitätsbewertungen durch Dritte. Sie könnten auch den Einsatz von Instrumenten zur Erleichterung der Durchführung dieser Verordnung fördern.

Außerdem sollten die Mitgliedstaaten prüfen, ob sie ergänzende Maßnahmen ergreifen, die darauf abzielen, für Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; sowie kleine und mittlere Unternehmen Orientierungshilfen und Unterstützung bereitzustellen, unter anderem durch die Einrichtung von Reallaboren und gezielter Kanäle für die Kommunikation. Um das Maß an CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; in der Union zu stärken, können die Mitgliedstaaten auch in Erwägung ziehen, die Entwicklung von Kapazitäten und Kompetenzen im Zusammenhang mit der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; von Produkten mit digitalen Elementen zu unterstützen, die Abwehrfähigkeit von Wirtschaftsakteuren gegen Cyberangriffe, insbesondere wenn es um Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; sowie um kleine und mittlere Unternehmen geht, zu verbessern und die Öffentlichkeit für die CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; von Produkten mit digitalen Elementen zu sensibilisieren.

Da das Ziel dieser Verordnung von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann, sondern vielmehr wegen der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das zur Verwirklichung dieses Ziels erforderliche Maß hinaus.

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates(³⁴)Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39). angehört und hat am 9. November 2022(³⁵)ABl. C 452 vom 29.11.2022, S. 23. eine Stellungnahme abgegeben.