Artikel 13 Pflichten der Hersteller

1. Wenn sie ein Produkt mit digitalen Elementen in den Verkehr bringen, gewährleisten die Hersteller, dass dieses Produkt gemäß den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I konzipiert, entwickelt und hergestellt worden ist.
1. Für die Zwecke der Erfüllung von Absatz 1 führen die Hersteller eine Bewertung der Cybersicherheitsrisiken durch, die ein Produkt mit digitalen Elementen birgt, und berücksichtigen das Ergebnis dieser Bewertung in der Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase des Produkts mit digitalen Elementen, um die Cybersicherheitsrisiken zu minimieren, Sicherheitsvorfälle zu verhindern und die Auswirkungen solcher Sicherheitsvorfälle, auch in Bezug auf die Gesundheit und Sicherheit der Nutzer, so gering wie möglich zu halten.
1. Die Bewertung des Cybersicherheitsrisikos wird während eines gemäß Absatz 8 festzulegenden Unterstützungszeitraums dokumentiert und gegebenenfalls aktualisiert. Diese Bewertung des Cybersicherheitsrisikos umfasst mindestens eine Analyse der Cybersicherheitsrisiken auf der Grundlage der Zweckbestimmung und der vernünftigerweise vorhersehbaren Verwendung des Produkts mit digitalen Elementen, wie der Betriebsumgebung oder der zu schützenden Anlagen, wobei die voraussichtliche Nutzungsdauer des Produkts berücksichtigt wird. In der Bewertung des Cybersicherheitsrisikos wird angegeben, ob und gegebenenfalls in welcher Weise die Sicherheitsanforderungen gemäß Anhang I Teil I Nummer 2 auf das einschlägige Produkt mit digitalen Elementen anwendbar sind und wie diese Anforderungen auf der Grundlage der Bewertung des Cybersicherheitsrisikos umgesetzt werden. Ferner ist anzugeben, wie der Hersteller Anhang I Teil I Nummer 1 anzuwenden hat und welche Anforderungen an die Behandlung von Schwachstellen in Anhang I Teil II festgelegt sind.
1. Wenn er ein Produkt mit digitalen Elementen in den Verkehr bringt, nimmt der Hersteller die Bewertung der Cybersicherheitsrisiken gemäß Absatz 3 in die gemäß Artikel 31 und Anhang VII vorgeschriebene technische Dokumentation auf. Bei Produkten mit digitalen Elementen gemäß Artikel 12, die auch anderen Unionsrechtsvorschriften unterliegen, kann die Bewertung der Cybersicherheitsrisiken auch Teil der in den betreffenden Unionsrechtsvorschriften geforderten Risikobewertungen sein. Sind bestimmte grundlegende Cybersicherheitsanforderungen nicht auf das Produkt mit digitalen Elementen anwendbar, so nimmt der Hersteller eine klare Begründung hierfür in diese technische Dokumentation auf.
1. Für die Zwecke der Erfüllung der in Absatz 1 festgelegten Pflicht lassen die Hersteller die gebotene Sorgfalt walten, wenn sie von Dritten bezogene Komponenten in ihre Produkte mit digitalen Elementen integrieren, sodass solche Komponenten die Cybersicherheit des Produkts mit digitalen Elementen nicht beeinträchtigen, auch nicht bei der Integration von freier und quelloffener Software, die nicht im Rahmen einer Geschäftstätigkeit auf dem Markt bereitgestellt wurde.
1. Sobald der Hersteller eine Schwachstelle in einer in das Produkt mit digitalen Elementen integrierten Komponente, einschließlich einer quelloffenen Komponente, feststellt, meldet er die Schwachstelle der Person oder Einrichtung, die diese Komponente herstellt oder wartet, und behandelt und behebt die Schwachstelle gemäß den in Anhang I Teil II festgelegten Anforderungen an die Behandlung von Schwachstellen. Haben Hersteller eine Software- oder Hardware-Änderung entwickelt, um die Schwachstelle in dieser Komponente zu beheben, teilen sie den betreffenden Code oder die einschlägigen Unterlagen der Person oder Stelle, die die Komponente herstellt oder wartet, gegebenenfalls in einem maschinenlesbaren Format mit.
1. Der Hersteller dokumentiert systematisch und in einer der Art der Cybersicherheitsrisiken angemessenen Weise alle relevanten Cybersicherheitsaspekte des Produkts mit digitalen Elementen, einschließlich der Schwachstellen, von denen er Kenntnis erlangt, und aller von Dritten bereitgestellten einschlägigen Informationen und aktualisiert gegebenenfalls die Bewertung der Cybersicherheitsrisiken des Produkts.
1. Wenn sie ein Produkt mit digitalen Elementen in den Verkehr bringen und während der erwarteten Produktlebensdauer und des Unterstützungszeitraums stellen die Hersteller sicher, dass Schwachstellen dieses Produkts, einschließlich seiner Komponenten, wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden.
2. Die Hersteller legen den Unterstützungszeitraum so fest, dass er die Dauer der voraussichtlichen Nutzung des Produkts widerspiegelt, wobei sie insbesondere angemessenen Erwartungen der Nutzer, der Art des Produkts, einschließlich seiner Zweckbestimmung, sowie den einschlägigen Rechtsvorschriften der Union zur Festlegung der Lebensdauer von Produkten mit digitalen Elementen Rechnung tragen. Bei der Festlegung des Unterstützungszeitraums können die Hersteller auch die Unterstützungszeiträume für Produkte mit digitalen Elementen mit einer ähnlichen Funktion, die von anderen Herstellern in den Verkehr gebracht werden, die Verfügbarkeit der Betriebsumgebung, die Unterstützungszeiträume für integrierte Komponenten, die Kernfunktionen erbringen und von Dritten bezogen werden, sowie die einschlägigen Leitlinien der gemäß Artikel 52 Absatz 15 eingesetzten besondere Gruppe zur administrativen Zusammenarbeit (ADCO) und der Kommission berücksichtigen. Die zur Bestimmung des Unterstützungszeitraums zu berücksichtigenden Aspekte werden in einer Weise berücksichtigt, die die Verhältnismäßigkeit gewährleistet.
3. Unbeschadet Unterabsatz 2 beträgt der Unterstützungszeitraum mindestens fünf Jahre. Wird davon ausgegangen, dass das Produkt mit digitalen Elementen weniger als fünf Jahre im Betrieb ist, muss der Unterstützungszeitraum der voraussichtlichen Nutzungsdauer entsprechen.
4. Unter Berücksichtigung der ADCO-Empfehlungen gemäß Artikel 52 Absatz 16 kann die Kommission gemäß Artikel 61 delegierte Rechtsakte erlassen, um diese Verordnung durch die Festlegung des Mindestunterstützungszeitraums für bestimmte Produktkategorien zu ergänzen, wenn die Marktüberwachungsdaten auf unangemessene Unterstützungszeiträume hindeuten.
5. Die Hersteller nehmen die Informationen, die bei der Bestimmung des Unterstützungszeitraums eines Produkts mit digitalen Elementen berücksichtigt wurden, in die technische Dokumentation gemäß Anhang VII auf.
6. Die Hersteller haben geeignete Strategien und Verfahren, darunter eine Strategie für die koordinierte Offenlegung von Schwachstellen gemäß Anhang I Teil II Nummer 5, um potenzielle Schwachstellen in dem Produkt mit digitalen Elementen, die von internen oder externen Quellen gemeldet werden, zu bearbeiten und zu beheben.
1. Die Hersteller gewährleisten, dass jede Sicherheitsaktualisierung gemäß Anhang I Teil II Nummer 8, die den Nutzern während des Unterstützungszeitraums zur Verfügung gestellt wurde, nach ihrer Bereitstellung für mindestens zehn Jahre oder für die verbleibende Dauer des Unterstützungszeitraums, je nachdem, welcher Zeitraum länger ist, verfügbar bleibt.
1. Hat ein Hersteller nachfolgende wesentlich geänderte Versionen eines Softwareprodukts in den Verkehr gebracht, so kann er die Sicherstellung der Einhaltung der in Anhang I Teil II Nummer 2 festgelegten grundlegenden Cybersicherheitsanforderung auf die Version beschränken, die der Hersteller zuletzt in den Verkehr gebracht hat, sofern die Nutzer der zuvor in den Verkehr gebrachten Version kostenlos Zugang zu der zuletzt in den Verkehr gebrachten Version haben und ihnen keine zusätzlichen Kosten für die Anpassung der Hardware- und Softwareumgebung entstehen, in der sie die Originalversion dieses Produkts verwenden.
1. Die Hersteller können öffentliche Softwarearchive unterhalten, die den Nutzern den Zugang zu historischen Versionen erleichtern. In diesen Fällen werden die Nutzer klar und in leicht zugänglicher Form über die Risiken im Zusammenhang mit der Verwendung nicht unterstützter Software informiert.
1. Bevor sie ein Produkt mit digitalen Elementen in den Verkehr bringen, erstellen die Hersteller die in Artikel 31 genannte technische Dokumentation.
2. Sie führen die gewählten Konformitätsbewertungsverfahren gemäß Artikel 32 durch oder lassen sie durchführen.
3. Ist mit diesem Konformitätsbewertungsverfahren nachgewiesen worden, dass das Produkt mit digitalen Elementen den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I genügt und die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II genügen, so stellen die Hersteller die EU-Konformitätserklärung gemäß Artikel 28 aus und bringen die CE-Kennzeichnung gemäß Artikel 30 an.
1. Die Hersteller bewahren die technische Dokumentation und die EU-Konformitätserklärung nach dem Inverkehrbringen des Produkts mit digitalen Elementen mindestens zehn Jahre lang oder für die Dauer des Unterstützungszeitraums, je nachdem, welcher Zeitraum länger ist, für die Marktüberwachungsbehörden auf.
1. Die Hersteller gewährleisten durch geeignete Verfahren, dass die Konformität von Produkten mit digitalen Elementen mit dieser Verordnung bei einer Serienherstellung sichergestellt bleibt. Die Hersteller berücksichtigen in angemessener Weise etwaige Änderungen am Entwicklungs- und Herstellungsverfahren oder an der Konzeption oder den Merkmalen des Produkts mit digitalen Elementen sowie Änderungen der harmonisierten Normen, der europäischen Schemata für die Cybersicherheitszertifizierung oder der in Artikel 27 genannten gemeinsamen Spezifikationen, die bei der Erklärung der Konformität des Produkts mit digitalen Elementen zugrunde gelegt oder bei der Überprüfung seiner Konformität angewandt wurden.
1. Die Hersteller gewährleisten, dass ihre Produkte mit digitalen Elementen eine Typen-, Chargen- oder Seriennummer oder ein anderes Kennzeichen zu ihrer Identifikation tragen, oder, falls dies nicht möglich ist, dass die diese Informationen auf der Verpackung oder in den dem Produkt mit digitalen Elementen beigefügten Unterlagen angegeben werden.
1. Die Hersteller geben den Namen, den eingetragenen Handelsnamen oder die eingetragene Handelsmarke des Herstellers, die Postanschrift, die E-Mail-Adresse oder andere digitale Kontaktangaben sowie, soweit vorhanden, die Website, unter der der Hersteller zu erreichen ist, entweder auf dem Produkt mit digitalen Elementen selbst oder, wenn dies nicht möglich ist, auf der Verpackung oder in den dem Produkt mit digitalen Elementen beigefügten Unterlagen an. Diese Informationen werden auch in die in Informationen und Anleitungen für den Nutzer gemäß Anhang II aufgenommen. Die Kontaktangaben sind in einer Sprache abzufassen, die von den Nutzern und den Marktüberwachungsbehörden leicht verstanden werden kann.
1. Für die Zwecke dieser Verordnung benennen die Hersteller eine zentrale Anlaufstelle, die es den Nutzern ermöglicht, direkt und schnell mit ihnen zu kommunizieren, auch um die Meldung von Schwachstellen des Produkts mit digitalen Elementen zu erleichtern.
2. Die Hersteller stellen sicher, dass die zentrale Anlaufstelle von den Nutzern leicht ermittelt werden kann. Sie nehmen die zentrale Anlaufstelle auch in die Informationen und Anleitungen für die Nutzer gemäß Anhang II auf.
3. Die zentrale Anlaufstelle ermöglicht es den Nutzern, ihr bevorzugtes Kommunikationsmittel zu wählen, wobei diese Mittel nicht auf automatisierte Instrumente beschränkt werden dürfen.
1. Die Hersteller gewährleisten, dass den Produkten mit digitalen Elementen die in Anhang II genannten Informationen und Anleitungen für den Nutzer in Papierform oder elektronischer Form beigefügt sind. Diese Informationen und Anleitungen müssen in einer Sprache bereitgestellt werden, die von den Nutzern und den Marktüberwachungsbehörden leicht verstanden werden kann. Sie müssen klar, verständlich, deutlich und lesbar sein. Sie müssen die sichere Installation, den sicheren Betrieb und die sichere Verwendung der Produkte mit digitalen Elementen ermöglichen. Die Hersteller stellen die Informationen und Anleitungen für den Nutzer gemäß Anhang II nach dem Inverkehrbringen des Produkts mit digitalen Elementen mindestens zehn Jahre lang oder für die Dauer des Unterstützungszeitraums, je nachdem, welcher Zeitraum länger ist, den Nutzern zur Verfügung. Werden diese Informationen und Anleitungen online bereitgestellt, so stellen die Hersteller sicher, dass sie zugänglich, benutzerfreundlich und mindestens zehn Jahre lang nach dem Inverkehrbringen des Produkts mit digitalen Elementen oder während des Unterstützungszeitraums, je nachdem, welcher Zeitraum länger ist, online verfügbar sind.
1. Die Hersteller stellen sicher, dass das Enddatum des in Absatz 8 genannten Unterstützungszeitraums, zum Zeitpunkt des Kaufs in leicht zugänglicher Weise und sofern zutreffend auf dem Produkt mit digitalen Elementen, seiner Verpackung oder mit digitalen Mitteln klar und verständlich angegeben wird, wobei mindestens der Monat und das Jahr anzugeben sind.
2. Sofern dies angesichts der Art des Produkts mit digitalen Elementen technisch machbar ist, zeigen die Hersteller den Nutzern eine Mitteilung an, um sie darüber zu unterrichten, dass das Ende des Unterstützungszeitraums ihres Produkts mit digitalen Elementen erreicht ist.
1. Die Hersteller fügen dem Produkt mit digitalen Elementen entweder eine Kopie der EU-Konformitätserklärung oder eine vereinfachte EU-Konformitätserklärung bei. Wird nur eine vereinfachte EU-Konformitätserklärung bereitgestellt, muss darin die genaue Internetadresse angegeben sein, unter der die vollständige EU-Konformitätserklärung eingesehen werden kann.
1. Ab dem Inverkehrbringen und während des Unterstützungszeitraums ergreifen die Hersteller, denen bekannt ist oder die Grund zu der Annahme haben, dass das Produkt mit digitalen Elementen oder die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I nicht genügen, unverzüglich die erforderlichen Korrekturmaßnahmen, um die Konformität dieses Produkts mit digitalen Elementen oder der Prozesse des Herstellers herzustellen oder um gegebenenfalls das Produkt vom Markt zu nehmen oder zurückzurufen.
1. Die Hersteller übermitteln der Marktüberwachungsbehörde auf deren begründetes Verlangen in Papierform oder in elektronischer Form in einer für diese Behörde leicht verständlichen Sprache alle Informationen und Unterlagen, die für den Nachweis der Konformität des Produkts mit digitalen Elementen und der vom Hersteller festgelegten Verfahren mit den grundlegenden Cybersicherheitsanforderungen in Anhang I erforderlich sind. Die Hersteller arbeiten mit dieser Behörde auf deren Verlangen bei allen Maßnahmen zur Abwendung der Cybersicherheitsrisiken zusammen, die mit dem von ihnen in den Verkehr gebrachten Produkt mit digitalen Elementen verbunden sind.
1. Ein Hersteller, der seine Betriebstätigkeit einstellt und infolgedessen nicht in der Lage ist, diese Verordnung zu erfüllen, unterrichtet vor dem Wirksamwerden der Betriebseinstellung die einschlägigen Marktüberwachungsbehörden sowie — mit allen verfügbaren Mitteln und soweit möglich — die Nutzer der einschlägigen in den Verkehr gebrachten Produkte mit digitalen Elementen über die bevorstehende Einstellung der Betriebstätigkeit.
1. Die Kommission kann im Wege von Durchführungsrechtsakten unter Berücksichtigung europäischer oder internationaler Normen und bewährter Verfahren das Format und die Elemente der Software-Stückliste gemäß Anhang I Teil II Nummer 1 festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 62 Absatz 2 genannten Prüfverfahren erlassen.
1. Um die Abhängigkeit der Mitgliedstaaten und der Union insgesamt von Softwarekomponenten und insbesondere von Komponenten, die als freie und quelloffene Software gelten, zu bewerten, kann die ADCO beschließen, für bestimmte Kategorien von Produkten mit digitalen Elementen eine unionsweite Bewertung der Abhängigkeit durchzuführen. Zu diesem Zweck können die Marktüberwachungsbehörden die Hersteller solcher Kategorien von Produkten mit digitalen Elementen auffordern, die entsprechenden Software-Stücklisten gemäß Anhang I Teil II Nummer 1 vorzulegen. Auf der Grundlage dieser Informationen können die Marktüberwachungsbehörden der ADCO anonymisierte und aggregierte Informationen über Softwareabhängigkeiten zur Verfügung stellen. Die ADCO legt der gemäß Artikel 14 der Richtlinie (EU) 2022/2555 eingesetzten Kooperationsgruppe einen Bericht über die Ergebnisse der Abhängigkeitsbewertung vor.

Relevant recitals

Erwägungsgrund 17 Application considering free and open-source software

Software und Daten, die offen geteilt werden und die Nutzer frei abrufen, nutzen, verändern und weiter verteilen können, auch in veränderter Form, können zu Forschung und Innovation auf dem Markt beitragen. Zur Förderung der Entwicklung und des Einsatzes von freier und quelloffener Software, insbesondere durch Kleinstunternehmen sowie kleine und mittlere Unternehmen, einschließlich Start-up-Unternehmen, Einzelpersonen, gemeinnützige Organisationen und akademische Forschungseinrichtungen, sollte bei der Anwendung dieser Verordnung auf Produkte mit digitalen Elementen, die als freie und quelloffene Software eingestuft und zum Vertrieb oder zur Nutzung im Rahmen einer Geschäftstätigkeit bereitgestellt werden, die Arten der verschiedenen Entwicklungsmodelle für Software berücksichtigt werden, die im Rahmen von Lizenzen für freie und quelloffene Software vertrieben und entwickelt wird.

Erwägungsgrund 18 Definition of free and open-source software

Unter freier und quelloffener Software ist eine Software zu verstehen, deren Quellcode offen geteilt wird und in deren Lizenz alle erforderlichen Rechte vorgesehen sind, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen. Freie und quelloffene Software wird offen entwickelt, gepflegt und verteilt, auch über Online-Plattformen. In Bezug auf Wirtschaftsakteure, die in den Anwendungsbereich dieser Verordnung fallen, sollte nur freie und quelloffene Software, die auf dem Markt bereitgestellt und somit zum Vertrieb oder zur Nutzung im Rahmen einer Geschäftstätigkeit verfügbar gemacht wird, in den Anwendungsbereich dieser Verordnung fallen. Die bloßen Umstände, unter denen das Produkt mit digitalen Elementen entwickelt wurde, oder die Art und Weise, wie die Entwicklung finanziert wurde, sollten daher bei der Bestimmung des kommerziellen oder nichtkommerziellen Charakters der entsprechenden Tätigkeit nicht berücksichtigt werden. Insbesondere sollte für die Zwecke dieser Verordnung und in Bezug auf die Wirtschaftsakteure, die in ihren Anwendungsbereich fallen, die Bereitstellung von Produkten mit digitalen Elementen, die als freie und quelloffene Software eingestuft und von ihren Herstellern nicht zu Geld gemacht werden, nicht als Geschäftstätigkeit betrachtet werden, damit sichergestellt ist, dass klar zwischen der Entwicklungs- und der Lieferphase unterschieden wird. Darüber hinaus sollte die Lieferung von Produkten mit digitalen Elementen, die als freie und quelloffene Softwarekomponenten eingestuft werden und zur Integration durch andere Hersteller in ihre eigenen Produkte mit digitalen Elementen bestimmt sind, nur dann als Bereitstellung auf dem Markt betrachtet werden, wenn die Komponente von ihrem ursprünglichen Hersteller zu Geld gemacht wird. Beispielsweise sollte allein der Umstand, dass ein Produkt quelloffener Software mit digitalen Elementen von den Herstellern finanziell unterstützt wird oder dass Hersteller zur Entwicklung eines solchen Produkts beitragen, für sich genommen nicht ausschlaggebend für die Feststellung sein, dass die Tätigkeit kommerzieller Art ist. Fernerhin sollte das bloße Vorhandensein regelmäßiger Veröffentlichungen von Versionen für sich genommen nicht zu der Schlussfolgerung führen, dass ein Produkt mit digitalen Elementen im Rahmen einer Geschäftstätigkeit geliefert wird. Schließlich sollte für die Zwecke dieser Verordnung die Entwicklung von Produkten mit digitalen Elementen, die als freie und quelloffene Software eingestuft werden, durch gemeinnützige Organisationen nicht als kommerzielle Tätigkeit betrachtet werden, sofern die Organisation so angelegt ist, dass sichergestellt ist, dass alle Einnahmen nach Abzug der Kosten zur Verwirklichung gemeinnütziger Ziele verwendet werden. Diese Verordnung gilt nicht für natürliche oder juristische Personen, die mit Quellcode zu Produkten mit digitalen Elementen beitragen, die als freie und quelloffene Software eingestuft sind und nicht ihrer Verantwortung unterliegen.

Erwägungsgrund 19 Regulatory regime for open-source software stewards

Angesichts der Bedeutung für die Cybersicherheit, die vielen Produkten mit digitalen Elementen zukommt, die als freie und quelloffene Software eingestuft sind und im Sinne dieser Verordnung veröffentlicht, aber nicht auf dem Markt bereitgestellt werden, sollten juristische Personen, die die Entwicklung solcher für kommerzielle Tätigkeiten bestimmte Produkte dauerhaft unterstützen und eine wichtige Rolle bei der Sicherstellung der Brauchbarkeit dieser Produkte spielen (Verwalter quelloffener Software), einer vereinfachten und maßgeschneiderten Regulierungsregelung unterworfen werden. Zu den Verwaltern quelloffener Software gehören bestimmte Stiftungen sowie Einrichtungen, die freie und quelloffene Software im wirtschaftlichen Kontext entwickeln und veröffentlichen, einschließlich gemeinnütziger Einrichtungen. Bei der Regulierung sollten ihre Besonderheiten und die Vereinbarkeit mit der Art der auferlegten Verpflichtungen berücksichtigt werden. Es sollten nur Produkte mit digitalen Elementen abgedeckt sein, die als freie und quelloffene Software gelten und letztlich für kommerzielle Tätigkeiten wie die Integration in kommerzielle Dienste oder kostenpflichtige Produkte mit digitalen Elementen bestimmt sind. Für die Zwecke dieser Regulierungsregelung umfasst die beabsichtigte Integration in kostenpflichtige Produkte mit digitalen Elementen Fälle, in denen die Hersteller, die eine Komponente in ihre eigenen Produkte mit digitalen Elementen integrieren, entweder regelmäßig zur Entwicklung dieser Komponente beitragen oder regelmäßige finanzielle Unterstützung leisten, um die Kontinuität eines Softwareprodukts sicherzustellen. Die dauerhafte Unterstützung der Entwicklung eines Produkts mit digitalen Elementen umfasst unter anderem das Hosting und die Verwaltung von Plattformen für die Zusammenarbeit bei der Softwareentwicklung, das Hosting von Quellcode oder Software, das Verwalten oder Administrieren von Produkten mit digitalen Elementen, die als freie und quelloffene Software eingestuft sind, sowie die Steuerung der Entwicklung solcher Produkte. Da in der vereinfachten und maßgeschneiderten Regulierungsregelung für Verwalter quelloffener Software nicht dieselben Verpflichtungen wie für Hersteller im Rahmen dieser Verordnung vorgesehen sind, sollte es ihnen nicht gestattet sein, die CE-Kennzeichnung auf Produkten mit digitalen Elementen, deren Entwicklung sie unterstützen, anzubringen.

Erwägungsgrund 22 ADCO to aggregate software bills of materials

Im Hinblick auf die Ziele dieser Verordnung im Bereich der öffentlichen Cybersicherheit und zur Verbesserung des Lagebewusstseins der Mitgliedstaaten hinsichtlich der Abhängigkeit der Union von Softwarekomponenten und insbesondere von potenziell freien und quelloffenen Softwarekomponenten sollte eine mit dieser Verordnung eingesetzte besondere Gruppe zur administrativen Zusammenarbeit (ADCO) beschließen können, gemeinsam eine Abhängigkeitsbewertung der Union durchzuführen. Die Marktüberwachungsbehörden sollten Hersteller von Produkten mit digitalen Elementen, die in die von der ADCO aufgestellten Kategorien fallen, auffordern können, die Software-Stücklisten vorzulegen, die sie gemäß dieser Verordnung erstellt haben. Um die Vertraulichkeit der Software-Stücklisten zu schützen, sollten die Marktüberwachungsbehörden der ADCO relevante Informationen über Abhängigkeiten in anonymisierter und aggregierter Form übermitteln.

Erwägungsgrund 34 Manufacturers' responsibility for the supply chain

Wenn die Hersteller in der Entwurfs- und Entwicklungsphase von Dritten bezogene Komponenten in Produkte mit digitalen Elementen integrieren, sollten sie in Bezug auf diese Komponenten, einschließlich freier und quelloffener Softwarekomponenten, die nicht auf dem Markt bereitgestellt wurden, die gebotene Sorgfalt walten lassen, um sicherzustellen, dass die Produkte im Einklang mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen konzipiert, entwickelt und hergestellt werden. Der angemessene Umfang der Sorgfaltspflicht richtet sich nach der Art und dem Ausmaß des Cybersicherheitsrisikos, das mit einer bestimmten Komponente verbunden ist; dabei sollten zu diesem Zweck eine oder mehrere der folgenden Maßnahmen Berücksichtigung finden: gegebenenfalls Überprüfung, ob der Hersteller einer Komponente die Konformität mit dieser Verordnung nachgewiesen hat, einschließlich einer Kontrolle der Frage, ob die Komponente bereits mit der CE-Kennzeichnung versehen ist; Überprüfung, ob für eine Komponente regelmäßig Sicherheitsaktualisierungen vorgenommen werden, etwa durch Kontrolle der bisherigen Sicherheitsaktualisierungen; Überprüfung, ob eine Komponente frei von den Schwachstellen ist, die in der gemäß Artikel 12 Absatz 2 der Richtlinie (EU) 2022/2555 eingerichteten europäischen Schwachstellendatenbank oder anderen öffentlich zugänglichen Schwachstellendatenbanken registriert sind, oder Durchführung zusätzlicher Sicherheitsprüfungen. Die in dieser Verordnung festgelegten Pflichten zum Umgang mit Schwachstellen, die die Hersteller beim Inverkehrbringen eines Produkts mit digitalen Elementen und während des Unterstützungszeitraums erfüllen müssen, gelten für Produkte mit digitalen Elementen in ihrer Gesamtheit, einschließlich aller integrierten Komponenten. Stellt der Hersteller des Produkts mit digitalen Elementen im Rahmen seiner Sorgfaltspflicht eine Schwachstelle in einer Komponente, auch in einer freien und quelloffenen Komponente, fest, sollte er die Person oder die Einrichtung, die die Komponente hergestellt hat bzw. wartet, informieren, die Schwachstelle beheben und der Person oder der Einrichtung gegebenenfalls den eingesetzten Sicherheits-Patch zur Verfügung stellen.

Erwägungsgrund 35 Manufacturers' due diligence immediately after transitional period

Unmittelbar nach dem Übergangszeitraum für die Anwendung dieser Verordnung ist ein Hersteller eines Produkts mit digitalen Elementen, das eine oder mehrere Komponenten enthält, die von Dritten bezogen werden, die ebenfalls dieser Verordnung unterliegen, möglicherweise nicht in der Lage, im Rahmen seiner Sorgfaltspflicht zu überprüfen, ob die Hersteller dieser Komponenten die Konformität mit dieser Verordnung nachgewiesen haben, indem er beispielsweise kontrolliert, ob die Komponenten bereits die CE-Kennzeichnung tragen. Dies kann der Fall sein, wenn die Komponenten integriert wurden, bevor diese Verordnung auf die Hersteller dieser Komponente anwendbar wird. In einem solchen Fall sollte ein Hersteller, der solche Komponenten integriert, seiner Sorgfaltspflicht auf andere Weise nachkommen.

Erwägungsgrund 40 Support period and security updates

In Anbetracht des der Softwareentwicklung innewohnenden Wiederholungscharakters sollten Hersteller, die aufgrund einer späteren wesentlichen Änderung an dem Produkt neue Versionen eines Softwareprodukts in den Verkehr gebracht haben, die Möglichkeit haben, während des Unterstützungszeitraums nur für die Version des Softwareprodukts, die sie zuletzt in den Verkehr gebracht haben, Sicherheitsaktualisierungen anzubieten. Dazu sollten sie nur dann berechtigt sein, wenn die Nutzer der einschlägigen früheren Produktversionen Zugang zu der zuletzt in den Verkehr gebrachten Produktversion haben und ihnen keine zusätzlichen Kosten für die Anpassung der Hardware- oder Softwareumgebung, in der sie das Produkt betreiben, entstehen. Das könnte beispielsweise der Fall sein, wenn eine Aufrüstung des Desktop-Betriebssystems keine neue Hardware erfordert, z. B. eine schnellere Zentraleinheit oder mehr Speicher. Dessen ungeachtet sollte der Hersteller während des Unterstützungszeitraums weiterhin sonstige Anforderungen an die Behandlung von Schwachstellen erfüllen und etwa über eine Strategie zur abgestimmten Offenlegung von Schwachstellen verfügen oder Vorkehrungen getroffen haben, um den Informationsaustausch über potenzielle Schwachstellen für alle nachfolgenden, wesentlich geänderten Versionen des in den Verkehr gebrachten Softwareprodukts zu erleichtern. Die Hersteller sollten die Möglichkeit haben, geringfügige Sicherheits- oder Funktionsaktualisierungen, die keine wesentliche Änderung darstellen, nur für die letzte Version oder Unterversion eines Softwareprodukts, das nicht wesentlich geändert wurde, bereitzustellen. Gleichzeitig sollte der Hersteller in Fällen, in denen ein Hardwareprodukt wie ein Smartphone nicht mit der neuesten Version des Betriebssystems kompatibel ist, mit dem es ursprünglich geliefert wurde, während des Unterstützungszeitraums zumindest für die letzte kompatible Version des Betriebssystems weiterhin Sicherheitsaktualisierungen bereitstellen.

Erwägungsgrund 54 Assessment of cybersecurity risks

Um sicherzustellen, dass Produkte mit digitalen Elementen sowohl zum Zeitpunkt ihres Inverkehrbringens als auch während der voraussichtlichen Nutzungsdauer des Produkts mit digitalen Elementen sicher sind, müssen grundlegende Cybersicherheitsanforderungen für die Behandlung von Schwachstellen und grundlegende Cybersicherheitsanforderungen in Bezug auf die Eigenschaften von Produkten mit digitalen Elementen festgelegt werden. Die Hersteller sollten sowohl alle grundlegenden Cybersicherheitsanforderungen in Bezug auf die Behandlung von Schwachstellen während des gesamten Unterstützungszeitraums erfüllen, als auch bestimmen, welche anderen grundlegenden Cybersicherheitsanforderungen in Bezug auf die Produkteigenschaften für die betreffende Art von Produkten mit digitalen Elementen von Bedeutung sind. Zu diesem Zweck sollten die Hersteller eine Bewertung der Cybersicherheitsrisiken vornehmen, die mit einem Produkt mit digitalen Elementen verbunden sind, um einschlägige Risiken und grundlegende Cybersicherheitsanforderungen zu ermitteln, sodass sie ihre Produkte mit digitalen Elementen ohne bekannte ausnutzbare Schwachstellen bereitstellen, die sich auf die Sicherheit dieser Produkte auswirken könnten, und um geeignete harmonisierte Normen, gemeinsame Spezifikationen oder europäische oder internationale Normen angemessen anzuwenden.

Erwägungsgrund 55 Justification of non-applicability of requirements

Sind bestimmte grundlegende Cybersicherheitsanforderungen auf ein Produkt mit digitalen Elementen nicht anwendbar, sollte der Hersteller dies in der Risikobewertung für die Cybersicherheit eindeutig begründen, die der technischen Dokumentation beigefügt ist. Dies könnte der Fall sein, wenn eine grundlegende Cybersicherheitsanforderung mit der Art eines Produkts mit digitalen Elementen unvereinbar ist. So kann es beispielsweise aufgrund der Zweckbestimmung eines Produkts mit digitalen Elementen erforderlich sein, dass der Hersteller weithin anerkannte Interoperabilitätsnormen befolgt, selbst wenn seine Sicherheitsmerkmale nicht mehr dem Stand der Technik entsprechen. Auch andere Rechtsvorschriften der Union verlangen, dass die Hersteller spezifischen Interoperabilitätsanforderungen genügen. Wenn eine grundlegende Cybersicherheitsanforderungen nicht für ein Produkt mit digitalen Elementen anwendbar ist, der Hersteller jedoch Cybersicherheitsrisiken im Zusammenhang mit dieser grundlegenden Cybersicherheitsanforderung ermittelt hat, sollte er Maßnahmen ergreifen, um diesen Risiken mit anderen Mitteln zu begegnen, beispielsweise indem er die Zweckbestimmung des Produkts auf vertrauenswürdige Umgebungen beschränkt oder die Nutzer über diese Risiken informiert.

Erwägungsgrund 59 Determining the support period

Um für die Sicherheit von Produkten mit digitalen Elementen nach ihrem Inverkehrbringen zu sorgen, sollten die Hersteller den Unterstützungszeitraum festlegen, der der voraussichtlichen Nutzungsdauer des Produkts mit digitalen Elementen Rechnung tragen sollte. Bei der Festlegung eines Unterstützungszeitraums sollte ein Hersteller insbesondere die berechtigten Erwartungen der Nutzer, die Art des Produkts sowie das einschlägige Unionsrecht zur Festlegung der Lebensdauer von Produkten mit digitalen Elementen berücksichtigen. Die Hersteller sollten auch andere relevante Faktoren berücksichtigen können. Die Kriterien sollten so angewandt werden, dass die Verhältnismäßigkeit bei der Festlegung der Unterstützungszeiträume gegeben ist. Auf Anfrage sollte ein Hersteller den Marktüberwachungsbehörden die Informationen zur Verfügung stellen, die bei der Festlegung des Unterstützungszeitraums eines Produkts mit digitalen Elementen berücksichtigt wurden.

Erwägungsgrund 60 Minimum support period

Der Unterstützungszeitraum, für den der Hersteller die wirksame Behandlung von Schwachstellen gewährleistet, sollte mindestens fünf Jahre betragen, es sei denn, die Lebensdauer des Produkts mit digitalen Elementen beträgt weniger als fünf Jahre; in diesem Fall sollte der Hersteller die Behandlung von Schwachstellen für die entsprechende Lebensdauer sicherstellen. Wenn nach vernünftigem Ermessen davon auszugehen ist, dass das Produkt mit digitalen Elementen länger als fünf Jahre verwendet wird, wie dies häufig bei Hardwarekomponenten wie Hauptplatinen oder Mikroprozessoren, bei Netzwerkgeräten wie Routern, Modems oder Switches sowie bei Software wie Betriebssystemen oder Videobearbeitungstools der Fall ist, sollten die Hersteller dementsprechend längere Unterstützungszeiträume sicherstellen. Insbesondere Produkte mit digitalen Elementen, die für die Verwendung in industriellen Umgebungen bestimmt sind, wie etwa industrielle Steuerungssysteme, werden häufig über deutlich längere Zeiträume hinweg verwendet. Ein Hersteller sollte nur dann einen Unterstützungszeitraum von weniger als fünf Jahren festlegen können, wenn dies durch das Wesen des betreffenden Produkts mit digitalen Elementen gerechtfertigt ist und das Produkt voraussichtlich weniger als fünf Jahre in Verwendung sein wird; in diesem Fall sollte der Unterstützungszeitraum der erwarteten Nutzungsdauer entsprechen. Beispielsweise könnte die Lebensdauer einer Kontaktnachverfolgungs-App, die für die Nutzung während einer Pandemie bestimmt ist, auf die Dauer der Pandemie begrenzt werden. Darüber hinaus können einige Software-Anwendungen naturgemäß nur auf der Grundlage eines Abonnements zur Verfügung gestellt werden, insbesondere wenn die Anwendung nach Ablauf des Abonnements für den Nutzer nicht mehr zur Verfügung steht und folglich nicht mehr genutzt wird.

Erwägungsgrund 61 Release of source code after support period

Wenn bei Produkten mit digitalen Elementen das Ende des jeweiligen Unterstützungszeitraums erreicht ist, sollten die Hersteller in Erwägung ziehen, den Quellcode dieser Produkte mit digitalen Elementen entweder gegenüber anderen Unternehmen, die sich zu einer verlängerten Bereitstellung von Diensten zur Behandlung von Schwachstellen verpflichten, oder für die Öffentlichkeit freizugeben, damit Schwachstellen auch nach Ablauf des Unterstützungszeitraums behandelt werden können. Wenn Hersteller den Quellcode an andere Unternehmen weitergeben, sollten sie in der Lage sein, das Eigentumsrecht an dem Produkt mit digitalen Elementen zu schützen und die Weitergabe des Quellcodes an die Öffentlichkeit zu verhindern, etwa im Wege vertraglicher Vereinbarungen.

Erwägungsgrund 62 Harmonisation of support periods

Um sicherzustellen, dass die Hersteller in der gesamten Union vergleichbare Unterstützungszeiträume für vergleichbare Produkte mit digitalen Elementen festlegen, sollte die ADCO Statistiken über die von den Herstellern für Kategorien von Produkten mit digitalen Elementen festgelegten durchschnittlichen Unterstützungszeiträume veröffentlichen und Leitlinien herausgeben, in denen angemessene Unterstützungszeiträume für diese Kategorien angegeben sind. Darüber hinaus sollte die Kommission im Hinblick auf die Gewährleistung eines über den gesamten Binnenmarkt hinweg harmonisierten Ansatzes delegierte Rechtsakte erlassen können, um Mindestunterstützungszeiträume für bestimmte Produktkategorien festzulegen, wenn die von den Marktüberwachungsbehörden bereitgestellten Daten entweder darauf hindeuten, dass die von den Herstellern festgelegten Unterstützungszeiträume systematisch nicht den in dieser Verordnung festgelegten Kriterien für die Festlegung der Unterstützungszeiträume entsprechen, oder darauf hindeuten, dass Hersteller aus verschiedenen Mitgliedstaaten ungerechtfertigt unterschiedliche Unterstützungszeiträume festlegen.

Erwägungsgrund 63 Manufacturers' single point of contact for users

Die Hersteller sollten eine zentrale Anlaufstelle einrichten, die es den Nutzern ermöglicht, mühelos mit ihnen zu kommunizieren, etwa um Schwachstellen des Produkts mit digitalen Elementen zu melden und Informationen zu diesen Schwachstellen zu erhalten. Sie sollten die zentrale Anlaufstelle für die Nutzer leicht zugänglich und klare Angaben zu ihrer Erreichbarkeit machen und diese Informationen auf dem neuesten Stand halten. Wenn Hersteller sich dafür entscheiden, automatisierte Instrumente wie etwa Chatboxen anzubieten, sollten sie auch eine Telefonnummer oder andere digitale Kontaktmöglichkeiten wie eine E-Mail-Adresse oder ein Kontaktformular anbieten. Die zentrale Anlaufstelle sollte nicht ausschließlich auf automatisierten Instrumenten beruhen.

Erwägungsgrund 81 Voluntary European cybersecurity certification framework

Mit der Verordnung (EU) 2019/881 ist ein freiwilliger europäischer Rahmen für die Cybersicherheitszertifizierung von IKT-Produkten, -Prozessen und -Diensten geschaffen worden. Die europäischen Schemata für die Cybersicherheitszertifizierung schaffen einen gemeinsamen Rahmen für das Vertrauen der Nutzer in die Verwendung von Produkten mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen. Die vorliegende Verordnung sollte folglich Synergieeffekte mit der Verordnung (EU) 2019/881 schaffen. Um die Bewertung der Konformität mit den in der vorliegenden Verordnung festgelegten Anforderungen zu erleichtern, wird bei Produkten mit digitalen Elementen, die im Rahmen eines von der Kommission in einem Durchführungsrechtsakt festgelegten europäischen Cybersicherheitsschemas gemäß der Verordnung (EU) 2019/881 zertifiziert worden sind oder für die im Rahmen eines solchen Schemas eine Konformitätserklärung ausgestellt wurde, davon ausgegangen, dass sie den in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen genügen, sofern das europäische Cybersicherheitszertifikat oder die Konformitätserklärung oder Teile davon diese Anforderungen abdecken. Die Notwendigkeit neuer europäischer Schemata für die Cybersicherheitszertifizierung von Produkten mit digitalen Elementen sollte im Lichte der vorliegenden Verordnung geprüft werden, auch bei der Ausarbeitung des fortlaufenden Arbeitsprogramms der Union gemäß der Verordnung (EU) 2019/881. Wenn ein neues Schema für Produkte mit digitalen Elementen erforderlich ist, um etwa die Einhaltung dieser Verordnung zu erleichtern, kann die Kommission die ENISA gemäß Artikel 48 der Verordnung (EU) 2019/881 ersuchen, mögliche Schemata auszuarbeiten. Solche künftigen europäischen Schemata für die Cybersicherheitszertifizierung von Produkten mit digitalen Elementen sollten den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen und Konformitätsbewertungsverfahren Rechnung tragen und die Einhaltung dieser Verordnung erleichtern. Für europäische Schemata für die Cybersicherheitszertifizierung, die vor dem Inkrafttreten dieser Verordnung in Kraft treten, können weitere Spezifikationen zu detaillierten Aspekten bezüglich der Anwendung einer Konformitätsvermutung erforderlich sein. Der Kommission sollte die Befugnis übertragen werden, im Wege von delegierten Rechtsakten festzulegen, unter welchen Bedingungen die europäischen Schemata für die Cybersicherheitszertifizierung zum Nachweis der Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen verwendet werden können. Um einen übermäßigen Verwaltungsaufwand zu vermeiden, sollten die Hersteller darüber hinaus nicht verpflichtet sein, für die betreffenden Anforderungen eine Konformitätsbewertung durch Dritte, wie in dieser Verordnung vorgesehen, durchzuführen zu lassen, wenn im Rahmen solcher europäischen Schemata für die Cybersicherheitszertifizierung ein europäisches Cybersicherheitszertifikat mindestens für die Stufe „mittel“ ausgestellt wurde.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.