Artikel 26 Leitlinien

Die Kommission sollte Leitlinien bereitstellen, um die Wirtschaftsakteure, insbesondere Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; sowie kleine und mittlere Unternehmen, bei der Anwendung dieser Verordnung zu unterstützen. Diese Leitlinien sollten unter anderem den Anwendungsbereich dieser Verordnung, insbesondere die Datenfernverarbeitungentfernt stattfindende Datenverarbeitung, für die eine Software vom Hersteller selbst oder unter dessen Verantwortung konzipiert und entwickelt wird und ohne die das Produkt mit digitalen Elementen eine seiner Funktionen nicht erfüllen könnte; und ihre Auswirkungen auf die Entwickler freier und quelloffener Softwareden Teil eines elektronischen Informationssystems, der aus Computercode besteht;, die Anwendung der Kriterien zur Festlegung von Unterstützungszeiträumen für Produkte mit digitalen Elementen, das Zusammenspiel dieser Verordnung und anderer Rechtsvorschriften der Union und die Frage, was den Begriff der wesentlichen Änderung darstellt, abdecken.

Damit Produkte mit digitalen Elementen beim Inverkehrbringenbzw. „in den Verkehr bringen“ die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt; keine Cybersicherheitsrisiken für Personen und Organisationen darstellen, sollten für solche Produkte grundlegende Cybersicherheitsanforderungen festgelegt werden. Diese grundlegenden Cybersicherheitsanforderungen, einschließlich der Anforderungen an das Schwachstellenmanagement, gelten für jedes einzelne Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, wenn es in den Verkehr gebracht wird, unabhängig davon, ob das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; als Einzelstück oder in Serie hergestellt wird. So sollte beispielsweise bei einer Produktart jedes einzelne Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; alle verfügbaren Sicherheits-Patches oder Aktualisierungen zur Behebung relevanter Sicherheitsprobleme erhalten haben, wenn es in den Verkehr gebracht wird. Werden solche Produkte mit digitalen Elementen nachträglich physisch oder digital in einer Weise verändert, die vom Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in der ursprünglichen Risikobewertung nicht vorgesehen ist und die dazu führen kann, dass sie die einschlägigen grundlegenden Cybersicherheitsanforderungen nicht mehr erfüllen, sollte die Veränderung als wesentlich betrachtet werden. Beispielsweise könnten Reparaturen den Wartungsarbeiten gleichgestellt werden, sofern sie ein bereits in den Verkehr gebrachtes Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; nicht so verändern, dass die Konformität mit den geltenden Anforderungen beeinträchtigt oder die Zweckbestimmungdie Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation;, für die das Produkt geprüft wurde, verändert werden kann.

Wie bei physischen Reparaturen oder Änderungen sollte ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; als durch eine Softwareänderung wesentlich geändert gelten, wenn die Softwareaktualisierung die Zweckbestimmungdie Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation; des Produkts ändert und diese Änderungen vom Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in der ursprünglichen Risikobewertung nicht vorhergesehen wurden, oder wenn sich die Art der Gefahr geändert oder sich das Cybersicherheitsrisikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; aufgrund der Softwareaktualisierung erhöht hat und die aktualisierte Version des Produkts auf dem Markt bereitgestellt wird. Wenn eine Sicherheitsaktualisierung, mit der das Cybersicherheitsrisikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; verringert werden soll, die Zweckbestimmungdie Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation; eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; nicht verändert, gilt sie nicht als wesentliche Änderungeine Änderung des Produkts mit digitalen Elementen nach dessen Inverkehrbringen, die sich auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I auswirkt oder zu einer Änderung des bestimmungsgemäßen Zwecks, für den das Produkt geprüft wurde, führt;. Dies schließt in der Regel Fälle ein, in denen eine Sicherheitsaktualisierung nur geringfügige Anpassungen des Quellcodes nach sich zieht. Dies könnte zum Beispiel der Fall sein, wenn mit einer Sicherheitsaktualisierung eine bekannte Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; behoben wird, auch durch Änderung der Funktionen oder der Leistung eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; zu dem alleinigen Zweck, das Cybersicherheitsrisikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; zu senken. Ebenso sollte eine geringfügige Aktualisierung der Funktionalitäten, etwa eine visuelle Verbesserung oder die Hinzufügung neuer Sprachen oder neuer Piktogramme zur Benutzeroberfläche, im Allgemeinen nicht als wesentliche Änderungen betrachtet werden. Umgekehrt sollte eine Funktionsaktualisierung die die ursprünglich beabsichtigten Funktionen oder die Art oder Leistung eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; verändert und die oben genannten Kriterien erfüllt, als wesentliche Änderungeine Änderung des Produkts mit digitalen Elementen nach dessen Inverkehrbringen, die sich auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I auswirkt oder zu einer Änderung des bestimmungsgemäßen Zwecks, für den das Produkt geprüft wurde, führt; betrachtet werden, da das Hinzufügen neuer Funktionen in der Regel zu einer größeren Angriffsfläche führt und damit das Cybersicherheitsrisikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; erhöht. Dies könnte zum Beispiel der Fall sein, wenn einer Anwendung ein neues Eingabeelement hinzugefügt wird, sodass der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; für eine adäquate Eingabevalidierung sorgen muss. Bei der Beurteilung, ob eine Funktionsaktualisierung als wesentliche Änderungeine Änderung des Produkts mit digitalen Elementen nach dessen Inverkehrbringen, die sich auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I auswirkt oder zu einer Änderung des bestimmungsgemäßen Zwecks, für den das Produkt geprüft wurde, führt; anzusehen ist, spielt es keine Rolle, ob sie als separate Aktualisierung oder in Kombination mit einer Sicherheitsaktualisierung bereitgestellt wird. Die Kommission sollte Leitlinien zur Bestimmung dessen herausgeben, was eine wesentliche Änderungeine Änderung des Produkts mit digitalen Elementen nach dessen Inverkehrbringen, die sich auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I auswirkt oder zu einer Änderung des bestimmungsgemäßen Zwecks, für den das Produkt geprüft wurde, führt; ist.

In Anbetracht des der Softwareentwicklung innewohnenden Wiederholungscharakters sollten Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich;, die aufgrund einer späteren wesentlichen Änderung an dem Produkt neue Versionen eines Softwareprodukts in den Verkehr gebracht haben, die Möglichkeit haben, während des Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; nur für die Version des Softwareprodukts, die sie zuletzt in den Verkehr gebracht haben, Sicherheitsaktualisierungen anzubieten. Dazu sollten sie nur dann berechtigt sein, wenn die Nutzer der einschlägigen früheren Produktversionen Zugang zu der zuletzt in den Verkehr gebrachten Produktversion haben und ihnen keine zusätzlichen Kosten für die Anpassung der Hardware- oder Softwareumgebung, in der sie das Produkt betreiben, entstehen. Das könnte beispielsweise der Fall sein, wenn eine Aufrüstung des Desktop-Betriebssystems keine neue Hardwareein physisches elektronisches Informationssystem, das digitale Daten verarbeiten, speichern oder übertragen kann, oder Teile eines solchen Systems; erfordert, z. B. eine schnellere Zentraleinheit oder mehr Speicher. Dessen ungeachtet sollte der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; während des Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; weiterhin sonstige Anforderungen an die Behandlung von Schwachstellen erfüllen und etwa über eine Strategie zur abgestimmten Offenlegung von Schwachstellen verfügen oder Vorkehrungen getroffen haben, um den Informationsaustausch über potenzielle Schwachstellen für alle nachfolgenden, wesentlich geänderten Versionen des in den Verkehr gebrachten Softwareprodukts zu erleichtern. Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten die Möglichkeit haben, geringfügige Sicherheits- oder Funktionsaktualisierungen, die keine wesentliche Änderungeine Änderung des Produkts mit digitalen Elementen nach dessen Inverkehrbringen, die sich auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I auswirkt oder zu einer Änderung des bestimmungsgemäßen Zwecks, für den das Produkt geprüft wurde, führt; darstellen, nur für die letzte Version oder Unterversion eines Softwareprodukts, das nicht wesentlich geändert wurde, bereitzustellen. Gleichzeitig sollte der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in Fällen, in denen ein Hardwareprodukt wie ein Smartphone nicht mit der neuesten Version des Betriebssystems kompatibel ist, mit dem es ursprünglich geliefert wurde, während des Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; zumindest für die letzte kompatible Version des Betriebssystems weiterhin Sicherheitsaktualisierungen bereitstellen.

Im Einklang mit dem allgemein anerkannten Konzept der wesentlichen Änderung von Produkten, für die Harmonisierungsrechtsvorschriften der Uniondie in Anhang I der Verordnung (EU) 2019/1020 aufgeführten Rechtsvorschriften der Union sowie alle sonstigen Rechtsvorschriften der Union zur Harmonisierung der Bedingungen für die Vermarktung von Produkten, auf welche die genannte Verordnung Anwendung findet; gelten, ist es angebracht, wenn eine wesentliche Änderungeine Änderung des Produkts mit digitalen Elementen nach dessen Inverkehrbringen, die sich auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I auswirkt oder zu einer Änderung des bestimmungsgemäßen Zwecks, für den das Produkt geprüft wurde, führt; eintritt, die sich auf die Konformität eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; mit dieser Verordnung auswirken könnte, oder wenn sich die Zweckbestimmungdie Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation; dieses Produkts ändert, die Konformität des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; zu überprüfen und es gegebenenfalls einer neuen Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; zu unterziehen. Wenn der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; eine Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; unter Beteiligung eines Dritten durchführt, sollte eine Veränderung, die zu einer wesentlichen Änderung führen könnte, dem Dritten mitgeteilt werden.

Wird ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; einer „Überholung“, „Wartung“ und „Reparatur“ im Sinne des Artikels 2 Nummern 18, 19 und 20 der Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates(¹⁹)Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG (ABl. L, 2024/1781, 28.6.2024, ELI: http://data.europa.eu/eli/reg/2024/1781/oj). unterzogen, führt dies nicht unbedingt zu einer wesentlichen Änderung des Produkts, wenn z. B. die Zweckbestimmungdie Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation; und die Funktionen nicht geändert werden und das Risikoniveau gleich bleibt. Die Aufrüstung eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; durch den Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; könnte jedoch zu Änderungen in der Konzeption und Entwicklung des Produkts führen und sich daher auf seine Zweckbestimmungdie Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation; und die Konformität mit den in dieser Verordnung festgelegten Anforderungen auswirken.

Wichtige Produkte mit digitalen Elementen, auf die in dieser Verordnung Bezug genommen wird, sollten als Produkte verstanden werden, die die Kernfunktion einer in dieser Verordnung festgelegten Kategorie wichtiger Produkte mit digitalen Elementen aufweisen. So werden in dieser Verordnung beispielsweise Kategorien wichtiger Produkte mit digitalen Elementen festgelegt, die durch ihre Kernfunktion als Firewalls oder Intrusion-Detection-Systeme oder Intrusion-Prevention-Systeme der Klasse II definiert werden. Folglich unterliegen Firewalls und Intrusion-Detection-Systeme und Intrusion-Prevention-Systeme einer obligatorischen Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; durch Dritte. Dies gilt nicht für andere Produkte mit digitalen Elementen, die nicht als wichtige Produkte mit digitalen Elementen eingestuft sind und die Firewalls oder Intrusion-Detection-Systeme oder Intrusion-Prevention-Systeme enthalten können. Die Kommission sollte einen Durchführungsrechtsakt erlassen, um die technische Beschreibung der Kategorien wichtiger Produkte mit digitalen Elementen, die unter die Klassen I und II gemäß dieser Verordnung fallen, zu präzisieren.

Um für die Sicherheit von Produkten mit digitalen Elementen nach ihrem Inverkehrbringenbzw. „in den Verkehr bringen“ die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt; zu sorgen, sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; den Unterstützungszeitraumden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; festlegen, der der voraussichtlichen Nutzungsdauer des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; Rechnung tragen sollte. Bei der Festlegung eines Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; sollte ein Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; insbesondere die berechtigten Erwartungen der Nutzer, die Art des Produkts sowie das einschlägige Unionsrecht zur Festlegung der Lebensdauer von Produkten mit digitalen Elementen berücksichtigen. Die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollten auch andere relevante Faktoren berücksichtigen können. Die Kriterien sollten so angewandt werden, dass die Verhältnismäßigkeit bei der Festlegung der Unterstützungszeiträume gegeben ist. Auf Anfrage sollte ein Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; den Marktüberwachungsbehörden die Informationen zur Verfügung stellen, die bei der Festlegung des Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; berücksichtigt wurden.

Der Unterstützungszeitraumden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden;, für den der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; die wirksame Behandlung von Schwachstellen gewährleistet, sollte mindestens fünf Jahre betragen, es sei denn, die Lebensdauer des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; beträgt weniger als fünf Jahre; in diesem Fall sollte der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; die Behandlung von Schwachstellen für die entsprechende Lebensdauer sicherstellen. Wenn nach vernünftigem Ermessen davon auszugehen ist, dass das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; länger als fünf Jahre verwendet wird, wie dies häufig bei Hardwarekomponenten wie Hauptplatinen oder Mikroprozessoren, bei Netzwerkgeräten wie Routern, Modems oder Switches sowie bei Softwareden Teil eines elektronischen Informationssystems, der aus Computercode besteht; wie Betriebssystemen oder Videobearbeitungstools der Fall ist, sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; dementsprechend längere Unterstützungszeiträume sicherstellen. Insbesondere Produkte mit digitalen Elementen, die für die Verwendung in industriellen Umgebungen bestimmt sind, wie etwa industrielle Steuerungssysteme, werden häufig über deutlich längere Zeiträume hinweg verwendet. Ein Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollte nur dann einen Unterstützungszeitraumden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; von weniger als fünf Jahren festlegen können, wenn dies durch das Wesen des betreffenden Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; gerechtfertigt ist und das Produkt voraussichtlich weniger als fünf Jahre in Verwendung sein wird; in diesem Fall sollte der Unterstützungszeitraumden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; der erwarteten Nutzungsdauer entsprechen. Beispielsweise könnte die Lebensdauer einer Kontaktnachverfolgungs-App, die für die Nutzung während einer Pandemie bestimmt ist, auf die Dauer der Pandemie begrenzt werden. Darüber hinaus können einige Software-Anwendungen naturgemäß nur auf der Grundlage eines Abonnements zur Verfügung gestellt werden, insbesondere wenn die Anwendung nach Ablauf des Abonnements für den Nutzer nicht mehr zur Verfügung steht und folglich nicht mehr genutzt wird.

Wenn bei Produkten mit digitalen Elementen das Ende des jeweiligen Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; erreicht ist, sollten die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in Erwägung ziehen, den Quellcode dieser Produkte mit digitalen Elementen entweder gegenüber anderen Unternehmen, die sich zu einer verlängerten Bereitstellung von Diensten zur Behandlung von Schwachstellen verpflichten, oder für die Öffentlichkeit freizugeben, damit Schwachstellen auch nach Ablauf des Unterstützungszeitraumsden Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden; behandelt werden können. Wenn Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; den Quellcode an andere Unternehmen weitergeben, sollten sie in der Lage sein, das Eigentumsrecht an dem Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; zu schützen und die Weitergabe des Quellcodes an die Öffentlichkeit zu verhindern, etwa im Wege vertraglicher Vereinbarungen.

Um sicherzustellen, dass die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in der gesamten Union vergleichbare Unterstützungszeiträume für vergleichbare Produkte mit digitalen Elementen festlegen, sollte die ADCO Statistiken über die von den Herstellern für Kategorien von Produkten mit digitalen Elementen festgelegten durchschnittlichen Unterstützungszeiträume veröffentlichen und Leitlinien herausgeben, in denen angemessene Unterstützungszeiträume für diese Kategorien angegeben sind. Darüber hinaus sollte die Kommission im Hinblick auf die Gewährleistung eines über den gesamten Binnenmarkt hinweg harmonisierten Ansatzes delegierte Rechtsakte erlassen können, um Mindestunterstützungszeiträume für bestimmte Produktkategorien festzulegen, wenn die von den Marktüberwachungsbehörden bereitgestellten Daten entweder darauf hindeuten, dass die von den Herstellern festgelegten Unterstützungszeiträume systematisch nicht den in dieser Verordnung festgelegten Kriterien für die Festlegung der Unterstützungszeiträume entsprechen, oder darauf hindeuten, dass Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; aus verschiedenen Mitgliedstaaten ungerechtfertigt unterschiedliche Unterstützungszeiträume festlegen.