Anhang VII INHALT DER TECHNISCHEN DOKUMENTATION

Produkte mit digitalen Elementen sollten als wichtig betrachtet werden, wenn die negativen Auswirkungen der Ausnutzung potenzieller Cybersicherheitslücken in dem Produkt schwerwiegend sein können, unter anderem aufgrund seiner Cybersicherheitsfunktion oder einer Funktion, die ein beträchtliches Risiko nachteiliger Auswirkungen birgt, was ihre Tragweite und ihre Möglichkeit anbelangt, eine große Zahl anderer Produkte mit digitalen Elementen zu stören, zu kontrollieren oder zu schädigen oder die Gesundheit, die Sicherheit oder die Unversehrtheit ihrer Nutzer zu beeinträchtigen, indem sie direkt manipuliert wird, wie etwa eine zentrale Systemfunktion, einschließlich Netzverwaltung, Konfigurationskontrolle, Virtualisierung oder Verarbeitung personenbezogener Daten. Insbesondere können Schwachstellen in Produkten mit digitalen Elementen, die eine Cybersicherheitsfunktion haben, wie z. B. Bootmanager, zu einer Ausbreitung von Sicherheitsproblemen in der gesamten Lieferkette führen. Die Schwere der Auswirkungen eines Sicherheitsvorfallseinen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555; kann auch zunehmen, wenn das Produkt in erster Linie eine zentrale Systemfunktion ausübt, einschließlich Netzverwaltung, Konfigurationskontrolle, Virtualisierung oder Verarbeitung personenbezogener Daten.

Bestimmte Kategorien von Produkten mit digitalen Elementen sollten strengeren Konformitätsbewertungsverfahren unterliegen, wobei die Verhältnismäßigkeit gewahrt werden sollte. Zu diesem Zweck sollten wichtige Produkte mit digitalen Elementen in zwei Klassen unterteilt werden, die das mit diesen Produktkategorien verbundene Cybersicherheitsrisikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; widerspiegeln. Ein Sicherheitsvorfalleinen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555; mit wichtigen Produkten mit digitalen Elementen, die in Klasse II fallen, könnte größere negative Auswirkungen haben als ein Sicherheitsvorfalleinen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555; mit wichtigen Produkten mit digitalen Elementen, die in Klasse I fallen, beispielsweise wegen der Art ihrer Cybersicherheitsfunktion oder der Ausübung einer anderen Funktion, die ein erhebliches Risiko nachteiliger Auswirkungen birgt. Ein Anhaltspunkt für größere negative Auswirkungen könnte es sein, dass Produkte mit digitalen Elementen, die in Klasse II fallen, entweder eine Cybersicherheitsfunktion übernehmen oder eine andere Funktion, die mit einem höheren Risiko schädlicher Auswirkungen als bei Produkten in Klasse I verbunden ist, oder beide genannten Kriterien erfüllen. Wichtige Produkte mit digitalen Elementen, die in Klasse II fallen, sollten daher einem strengeren Konformitätsbewertungsverfahren unterzogen werden.

Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; von Produkten mit digitalen Elementen sollten Konzepte für die koordinierte Offenlegung von Schwachstellen einführen, um das Melden von Schwachstellen durch natürliche oder juristische Personen entweder direkt an den Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; oder indirekt und auf Wunsch anonym über die CSIRTs zu erleichtern, die gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 als Koordinatoren für die Zwecke der koordinierten Offenlegung von Schwachstellen benannt werden. Das Konzept der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; für die koordinierte Offenlegung von Schwachstellen sollte einen strukturierten Prozess vorsehen, in dem Schwachstellen dem Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in einer Weise gemeldet werden, die dem Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; die Diagnose und Behebung solcher Schwachstellen ermöglicht, bevor detaillierte Informationen über die Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; an Dritte oder die Öffentlichkeit weitergegeben werden. Darüber hinaus sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; auch in Erwägung ziehen, ihre Sicherheitskonzepte in maschinenlesbarem Format zu veröffentlichen. Angesichts dessen, dass mit Informationen über ausnutzbare Schwachstellen in weitverbreiteten Produkten mit digitalen Elementen auf dem Schwarzmarkt hohe Preisen zu erzielen sind, sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; solcher Produkte in der Lage sein, im Rahmen ihrer Konzepte für die koordinierte Offenlegung von Schwachstellen Programme durchzuführen, mit denen sie Anreize für das Melden von Schwachstellen schaffen, indem sie dafür sorgen, dass natürliche oder juristische Personen Anerkennung und Belohnung für ihre Bemühungen erhalten. Hierbei handelt es sich um sogenannte „Bug-Bounty-Programme“.

Zur Erleichterung der Schwachstellenanalyse sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; feststellen und dokumentieren, welche Komponenten in den Produkten mit digitalen Elementen enthalten sind, und dazu gegebenenfalls eine Software-Stücklisteeine formale Aufzeichnung der Einzelheiten und Lieferkettenbeziehungen der Komponenten, die in den Softwareelementen eines Produkts mit digitalen Elementen enthalten sind; aufstellen. Über eine Software-Stücklisteeine formale Aufzeichnung der Einzelheiten und Lieferkettenbeziehungen der Komponenten, die in den Softwareelementen eines Produkts mit digitalen Elementen enthalten sind; können denjenigen, die Softwareden Teil eines elektronischen Informationssystems, der aus Computercode besteht; herstellen, kaufen und betreiben, Informationen bereitgestellt werden, die ihnen helfen, die Lieferkette besser zu verstehen, was zahlreiche Vorteile mit sich bringt und insbesondere Herstellern und Nutzern hilft, bekannte neu aufgetretene Schwachstellen und Cybersicherheitsrisiken zu verfolgen. Besonders wichtig ist es, dass die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sicherstellen, dass ihre Produkte mit digitalen Elementen keine anfälligen Komponenten enthalten, die von Dritten entwickelt wurden. Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten nicht verpflichtet sein, die Software-Stücklisteeine formale Aufzeichnung der Einzelheiten und Lieferkettenbeziehungen der Komponenten, die in den Softwareelementen eines Produkts mit digitalen Elementen enthalten sind; zu veröffentlichen.

In Bezug auf Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; und kleine Unternehmen ist es zur Sicherstellung von Verhältnismäßigkeit angezeigt, die Verwaltungskosten zu senken, ohne das Maß an CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; von Produkten mit digitalen Elementen, die in den Anwendungsbereich dieser Verordnung fallen, oder das Vorliegen gleicher Wettbewerbsbedingungen zwischen den Herstellern zu beeinträchtigen. Daher sollte die Kommission ein vereinfachtes Formular für die technische Dokumentation erstellen, das auf die Bedürfnisse von Kleinst- und Kleinunternehmen zugeschnitten ist. Das von der Kommission angenommene vereinfachte Formular für die technische Dokumentation sollte alle anwendbaren Elemente im Zusammenhang mit der technischen Dokumentation gemäß dieser Verordnung abdecken und angeben, wie ein Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; oder kleines Unternehmen die angeforderten Elemente in knapper Form bereitstellen kann, beispielsweise die Beschreibung der Gestaltung, Entwicklung und Herstellung des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;. Auf diese Weise würde das Formular dazu beitragen, die Verwaltungslast für die Einhaltung der Vorschriften zu verringern, indem den betroffenen Unternehmen Rechtssicherheit hinsichtlich des Umfangs und der Einzelheiten der bereitzustellenden Informationen geboten wird. Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; und kleine Unternehmen sollten die Option haben, die anwendbaren Elemente im Zusammenhang mit der technischen Dokumentation in umfassender Form vorzulegen und das ihnen zur Verfügung stehende vereinfachte technische Formular nicht zu verwenden.