Anhang I GRUNDLEGENDE CYBERSECURITYANFORDERUNGEN

In Anbetracht des der Softwareentwicklung innewohnenden Wiederholungscharakters sollten Hersteller, die aufgrund einer späteren wesentlichen Änderung an dem Produkt neue Versionen eines Softwareprodukts in den Verkehr gebracht haben, die Möglichkeit haben, während des Unterstützungszeitraums nur für die Version des Softwareprodukts, die sie zuletzt in den Verkehr gebracht haben, Sicherheitsaktualisierungen anzubieten. Dazu sollten sie nur dann berechtigt sein, wenn die Nutzer der einschlägigen früheren Produktversionen Zugang zu der zuletzt in den Verkehr gebrachten Produktversion haben und ihnen keine zusätzlichen Kosten für die Anpassung der Hardware- oder Softwareumgebung, in der sie das Produkt betreiben, entstehen. Das könnte beispielsweise der Fall sein, wenn eine Aufrüstung des Desktop-Betriebssystems keine neue Hardware erfordert, z. B. eine schnellere Zentraleinheit oder mehr Speicher. Dessen ungeachtet sollte der Hersteller während des Unterstützungszeitraums weiterhin sonstige Anforderungen an die Behandlung von Schwachstellen erfüllen und etwa über eine Strategie zur abgestimmten Offenlegung von Schwachstellen verfügen oder Vorkehrungen getroffen haben, um den Informationsaustausch über potenzielle Schwachstellen für alle nachfolgenden, wesentlich geänderten Versionen des in den Verkehr gebrachten Softwareprodukts zu erleichtern. Die Hersteller sollten die Möglichkeit haben, geringfügige Sicherheits- oder Funktionsaktualisierungen, die keine wesentliche Änderung darstellen, nur für die letzte Version oder Unterversion eines Softwareprodukts, das nicht wesentlich geändert wurde, bereitzustellen. Gleichzeitig sollte der Hersteller in Fällen, in denen ein Hardwareprodukt wie ein Smartphone nicht mit der neuesten Version des Betriebssystems kompatibel ist, mit dem es ursprünglich geliefert wurde, während des Unterstützungszeitraums zumindest für die letzte kompatible Version des Betriebssystems weiterhin Sicherheitsaktualisierungen bereitstellen.

Die Hersteller von Produkten, die in den Anwendungsbereich der Verordnung (EU) 2023/1230 des Europäischen Parlaments und des Rates(²⁴)Verordnung (EU) 2023/1230 des Europäischen Parlaments und des Rates vom 14. Juni 2023 über Maschinen und zur Aufhebung der Richtlinie 2006/42/EG des Europäischen Parlaments und des Rates und der Richtlinie 73/361/EWG des Rates (ABl. L 165 vom 29.6.2023, S. 1). fallen und bei deren Produkten es sich auch um Produkte mit digitalen Elementen im Sinne der vorliegenden Verordnung handelt, sollten sowohl die grundlegenden Cybersicherheitsanforderungen der vorliegenden Verordnung als auch die grundlegenden Sicherheits- und Gesundheitsschutzanforderungen gemäß der Verordnung (EU) 2023/1230 erfüllen. Die in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen und bestimmte grundlegende Anforderungen der Verordnung (EU) 2023/1230 betreffen unter Umstände ähnliche Cybersicherheitsrisiken. Daher könnte die Einhaltung der in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen die Einhaltung der grundlegenden Anforderungen erleichtern, die auch bestimmte Cybersicherheitsrisiken gemäß der Verordnung (EU) 2023/1230 abdecken, insbesondere die Anforderungen in Bezug auf den Schutz gegen Korrumpierung sowie die Sicherheit und Zuverlässigkeit von Steuerungen gemäß Anhang III Abschnitte 1.1.9 und 1.2.1 der genannten Verordnung. Solche Synergieeffekte müssen vom Hersteller nachgewiesen werden, beispielsweise durch die Anwendung harmonisierter Normen oder anderer technischer Spezifikationen, die die einschlägigen grundlegenden Cybersicherheitsanforderungen abdecken, nachdem eine Risikobewertung für die entsprechenden Cybersicherheitsrisiken durchgeführt wurde. Der Hersteller sollte auch die geltenden Konformitätsbewertungsverfahren gemäß dieser Verordnung und der Verordnung (EU) 2023/1230 befolgen. Die Kommission und die europäischen Normungsorganisationen sollten bei den vorbereitenden Arbeiten zur Unterstützung der Umsetzung dieser Verordnung und der Verordnung (EU) 2023/1230 und der damit verbundenen Normungsverfahren die Kohärenz fördern, was die Bewertung der Cybersicherheitsrisiken und die Art und Weise betrifft, wie diese Risiken durch harmonisierte Normen im Hinblick auf die einschlägigen grundlegenden Anforderungen abgedeckt werden sollen. Insbesondere sollten die Kommission und die europäischen Normungsorganisationen diese Verordnung bei der Ausarbeitung und Entwicklung harmonisierter Normen berücksichtigen, um die Durchführung der Verordnung (EU) 2023/1230 insbesondere in Bezug auf die Cybersicherheitsaspekte im Zusammenhang mit dem Schutz gegen Korrumpierung sowie der Sicherheit und Zuverlässigkeit von Steuerungen, die in Anhang III Abschnitte 1.1.9 und 1.2.1 der genannten Verordnung aufgeführt sind, zu erleichtern. Die Kommission sollte Leitlinien bereitstellen, um Hersteller, die dieser Verordnung und auch der Verordnung (EU) 2023/1230 unterliegen, zu unterstützen, um insbesondere den Nachweis der Einhaltung der einschlägigen grundlegenden Anforderungen der vorliegenden Verordnung und der Verordnung (EU) 2023/1230 zu erleichtern.

Um sicherzustellen, dass Produkte mit digitalen Elementen sowohl zum Zeitpunkt ihres Inverkehrbringens als auch während der voraussichtlichen Nutzungsdauer des Produkts mit digitalen Elementen sicher sind, müssen grundlegende Cybersicherheitsanforderungen für die Behandlung von Schwachstellen und grundlegende Cybersicherheitsanforderungen in Bezug auf die Eigenschaften von Produkten mit digitalen Elementen festgelegt werden. Die Hersteller sollten sowohl alle grundlegenden Cybersicherheitsanforderungen in Bezug auf die Behandlung von Schwachstellen während des gesamten Unterstützungszeitraums erfüllen, als auch bestimmen, welche anderen grundlegenden Cybersicherheitsanforderungen in Bezug auf die Produkteigenschaften für die betreffende Art von Produkten mit digitalen Elementen von Bedeutung sind. Zu diesem Zweck sollten die Hersteller eine Bewertung der Cybersicherheitsrisiken vornehmen, die mit einem Produkt mit digitalen Elementen verbunden sind, um einschlägige Risiken und grundlegende Cybersicherheitsanforderungen zu ermitteln, sodass sie ihre Produkte mit digitalen Elementen ohne bekannte ausnutzbare Schwachstellen bereitstellen, die sich auf die Sicherheit dieser Produkte auswirken könnten, und um geeignete harmonisierte Normen, gemeinsame Spezifikationen oder europäische oder internationale Normen angemessen anzuwenden.

Eine der wichtigsten Maßnahmen, die die Nutzer ergreifen müssen, um ihre Produkte mit digitalen Elementen vor Cyberangriffen zu schützen, ist die schnellstmögliche Installation der neuesten verfügbaren Sicherheitsaktualisierungen. Die Hersteller sollten daher ihre Produkte so gestalten und Verfahren einrichten, dass Produkte mit digitalen Elementen automatische Funktionen mit Blick auf die Benachrichtigung, die Verteilung, das Herunterladen und die Installation von Sicherheitsaktualisierungen enthalten, insbesondere im Falle von Verbraucherprodukten. Sie sollten auch die Möglichkeit bieten, als letzte Etappe das Herunterladen und die Installation der Sicherheitsaktualisierungen zu genehmigen. Die Nutzer sollten weiterhin die Möglichkeit haben, automatische Aktualisierungen zu deaktivieren, und zwar mit einem klaren und einfach zu bedienenden Vorgang, der durch eindeutige Erläuterungen dazu ergänzt wird, wie die Nutzer auf Aktualisierungen verzichten können. Die in einem Anhang dieser Verordnung festgelegten Anforderungen an automatische Aktualisierungen gelten nicht für Produkte mit digitalen Elementen, die in erster Linie dazu bestimmt sind, als Komponenten in andere Produkte integriert zu werden. Sie gelten auch nicht für Produkte mit digitalen Elementen, bei denen die Nutzer normalerweise keine automatischen Aktualisierungen erwarten würden, einschließlich Produkten mit digitalen Elementen, die für den Einsatz in professionellen IKT-Netzen und insbesondere in kritischen und industriellen Umgebungen bestimmt sind, in denen eine automatische Aktualisierung zu Störungen des Betriebs führen könnte. Unabhängig davon, ob ein Produkt mit digitalen Elementen für den Empfang automatischer Aktualisierungen konzipiert ist oder nicht, sollte sein Hersteller die Nutzer über Schwachstellen informieren und Sicherheitsaktualisierungen unverzüglich zur Verfügung stellen. Verfügt ein Produkt mit digitalen Elementen über eine Benutzerschnittstelle oder ähnliche technische Mittel, die eine direkte Interaktion mit seinen Nutzern ermöglichen, so sollte der Hersteller diese Funktionen nutzen, um die Nutzer darüber zu informieren, dass ihr Produkt mit digitalen Elementen das Ende des Unterstützungszeitraums erreicht hat. Die Meldungen sollten sich auf das Maß beschränken, das erforderlich ist, um den tatsächlichen Empfang dieser Informationen sicherzustellen, und sie sollten sich nicht negativ auf das Nutzererlebnis des Produkts mit digitalen Elementen auswirken.

Um die Verfahren zur Behandlung von Schwachstellen transparenter zu machen und um sicherzustellen, dass die Nutzer nicht gezwungen sind, neue Funktionsaktualisierungen zu installieren, nur um die neuesten Sicherheitsaktualisierungen zu erhalten, sollten die Hersteller dafür Sorge tragen, dass neue Sicherheitsaktualisierungen, soweit technisch machbar, getrennt von Funktionsaktualisierungen bereitgestellt werden.

Die Hersteller sollten ihre Produkte mit digitalen Elementen mit einer sicheren Standardkonfiguration auf dem Markt bereitstellen und den Nutzern kostenlos Sicherheitsaktualisierungen zur Verfügung stellen. Die Hersteller sollten von den grundlegenden Cybersicherheitsanforderungen nur abweichen können, wenn es sich um maßgeschneiderte Produkte handelt, die für einen bestimmten gewerblichen Nutzer auf einen bestimmten Zweck zugeschnitten sind und bei denen sowohl der Hersteller als auch der Nutzer ausdrücklich anderen Vertragsbedingungen zugestimmt haben.

Zur Erleichterung der Schwachstellenanalyse sollten die Hersteller feststellen und dokumentieren, welche Komponenten in den Produkten mit digitalen Elementen enthalten sind, und dazu gegebenenfalls eine Software-Stückliste aufstellen. Über eine Software-Stückliste können denjenigen, die Software herstellen, kaufen und betreiben, Informationen bereitgestellt werden, die ihnen helfen, die Lieferkette besser zu verstehen, was zahlreiche Vorteile mit sich bringt und insbesondere Herstellern und Nutzern hilft, bekannte neu aufgetretene Schwachstellen und Cybersicherheitsrisiken zu verfolgen. Besonders wichtig ist es, dass die Hersteller sicherstellen, dass ihre Produkte mit digitalen Elementen keine anfälligen Komponenten enthalten, die von Dritten entwickelt wurden. Die Hersteller sollten nicht verpflichtet sein, die Software-Stückliste zu veröffentlichen.