Source: OJ L 2024/2847, 20.11.2024Current language: DE
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Artikel 27 Konformitätsvermutung
Bei Produkten mit digitalen Elementen und vom Hersteller festgelegten Verfahren, die mit harmonisierten Normen oder Teilen davon übereinstimmen, deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht worden sind, wird eine Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I vermutet, soweit diese Anforderungen von den betreffenden Normen oder Teilen davon abgedeckt sind.
Die Kommission fordert gemäß Artikel 10 Absatz 1 der Verordnung (EU) Nr. 1025/2012 eine oder mehrere europäische Normungsorganisationen auf, harmonisierte Normen für die in Anhang I dieser Verordnung aufgeführten grundlegenden Cybersicherheitsanforderungen auszuarbeiten. Bei der Ausarbeitung von Normungsanträgen für diese Verordnung bemüht sich die Kommission, bestehende europäische und internationale Normen für Cybersicherheit zu berücksichtigen, die in Kraft sind oder gerade entwickelt werden, um die Entwicklung harmonisierter Normen im Einklang mit der Verordnung (EU) Nr. 1025/2012 zu vereinfachen.
Die Kommission kann Durchführungsrechtsakte annehmen, durch die gemeinsame Spezifikationen zu technischen Anforderungen festgelegt werden, deren Befolgung es ermöglicht, die in Anhang I festgelegten grundlegenden Cybersicherheitsanforderungen an Produkte mit digitalen Elementen im Anwendungsbereich dieser Verordnung zu erfüllen.
Diese Durchführungsrechtsakte dürfen nur erlassen werden, wenn die folgenden Bedingungen erfüllt sind:
die Kommission hat gemäß Artikel 10 Absatz 1 der Verordnung (EU) Nr. 1025/2012 eine oder mehrere europäische Normungsorganisationen aufgefordert, eine harmonisierte Norm für die in Anhang I aufgeführten grundlegenden Cybersicherheitsanforderungen zu erarbeiten, und:
der Auftrag wurde nicht angenommen,
die harmonisierten Normen, die dieser Antrag betrifft, werden nicht im Rahmen der in Übereinstimmung mit Artikel 10 Absatz 1 der Verordnung (EU) Nr. 1025/2012 gesetzten Frist geliefert, oder
die harmonisierten Normen entsprechen nicht dem Auftrag, und
im Amtsblatt der Europäischen Union wurde kein Verweis im Einklang mit der Verordnung (EU) Nr. 1025/2012 auf harmonisierte Normen, die den einschlägigen grundlegenden Cybersicherheitsanforderungen nach Anhang I der vorliegenden Verordnung genügen, veröffentlicht, und es ist nicht zu erwarten, dass ein solcher Verweis innerhalb eines angemessenen Zeitraums veröffentlicht wird.
Diese Durchführungsrechtsakte werden gemäß dem in Artikel 62 Absatz 2 genannten Prüfverfahren erlassen.
Vor der Ausarbeitung eines Entwurfs des in Absatz 2 des vorliegenden Artikels genannten Durchführungsrechtsakts teilt die Kommission dem in Artikel 22 der Verordnung (EU) Nr. 1025/2012 genannten Ausschuss mit, dass sie die Bedingungen nach Absatz 2 des vorliegenden Artikels als erfüllt erachtet.
Bei der Ausarbeitung eines Entwurfs des in Absatz 2 genannten Durchführungsrechtsakt berücksichtigt die Kommission die Standpunkte der einschlägigen Gremien und konsultiert alle einschlägigen Interessenträger ordnungsgemäß.
Bei Produkten mit digitalen Elementen und vom Hersteller festgelegten Verfahren, die mit den gemeinsamen Spezifikationen übereinstimmen, die durch den in Absatz 2 dieses Artikels genannten Durchführungsrechtsakt festgelegt wurden, wird eine Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I vermutet, soweit die gemeinsamen Spezifikationen oder Teile davon diese Anforderungen abdecken.
Wird eine harmonisierte Norm von einer europäischen Normungsorganisation angenommen und der Kommission zur Veröffentlichung ihrer Fundstelle im Amtsblatt der Europäischen Union vorgeschlagen, so bewertet die Kommission diese harmonisierte Norm gemäß der Verordnung (EU) Nr. 1025/2012. Wenn eine Fundstelle einer harmonisierten Norm im Amtsblatt der Europäischen Union der Europäischen Union veröffentlicht wird, hebt die Kommission die in Absatz 2 des vorliegenden Artikels genannten Durchführungsrechtsakte oder Teile davon auf, die dieselben grundlegenden Cybersicherheitsanforderungen wie die harmonisierte Norm regeln.
Ist ein Mitgliedstaat der Auffassung, dass eine gemeinsame Spezifikation den grundlegenden Cybersicherheitsanforderungen nach Anhang I nicht vollständig entspricht, so setzt er die Kommission mittels einer ausführlichen Erläuterung davon in Kenntnis. Die Kommission bewertet die ausführliche Erläuterung und kann gegebenenfalls den Durchführungsrechtsakt, durch den die betreffende gemeinsame Spezifikation festgelegt wurde, ändern.
Bei Produkten mit digitalen Elementen und vom Hersteller festgelegten Verfahren, für die eine EU-Konformitätserklärung oder ein Cybersicherheitszertifikat im Rahmen eines gemäß der Verordnung (EU) 2019/881 angenommenen europäischen Schemas für die Cybersicherheitszertifizierung ausgestellt wurde, wird eine Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I vermutet, sofern die EU-Konformitätserklärung oder das europäische Cybersicherheitszertifikat oder Teile davon diese Anforderungen abdecken.
Der Kommission wird die Befugnis übertragen, delegierte Rechtsakte gemäß Artikel 61 zu erlassen, um diese Verordnung durch die Ausweisung der gemäß der Verordnung (EU) 2019/881 angenommenen europäischen Schemata für die Cybersicherheitszertifizierung zu ergänzen, die zum Nachweis der Konformität von Produkten mit digitalen Elementen mit den grundlegenden Cybersicherheitsanforderungen in Anhang I oder Teilen davon verwendet werden können. Darüber hinaus wird durch die Ausstellung eines im Rahmen eines solchen Schemas ausgestellten europäischen Cybersicherheitszertifikats mindestens der Vertrauenswürdigkeitsstufe „mittel“ die in Artikel 32 Absatz 2 Buchstaben a und b und Artikel 32 Absatz 3 Buchstaben a und b vorgesehene Pflicht des Herstellers, für die betreffenden Anforderungen eine Konformitätsbewertung durch Dritte durchführen zu lassen, aufgehoben.
Relevant recitals
Erwägungsgrund 79 Presumption of conformity based on harmonised standards
Um die Bewertung der Konformität mit den in dieser Verordnung festgelegten Anforderungen zu erleichtern, sollte eine Konformitätsvermutung für Produkte mit digitalen Elementen gelten, die harmonisierten Normen entsprechen, mit denen die in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen in detaillierte technische Spezifikationen umgesetzt werden und die gemäß der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates(28)Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 zur europäischen Normung, zur Änderung der Richtlinien 89/686/EWG und 93/15/EWG des Rates sowie der Richtlinien 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG und 2009/105/EG des Europäischen Parlaments und des Rates und zur Aufhebung des Beschlusses 87/95/EWG des Rates und des Beschlusses Nr. 1673/2006/EG des Europäischen Parlaments und des Rates (ABl. L 316 vom 14.11.2012, S. 12). angenommen wurden. Die genannte Verordnung enthält ein Verfahren für Einwände gegen harmonisierte Normen für den Fall, dass diese Normen den in der vorliegenden Verordnung festgelegten Anforderungen nicht in vollem Umfang entsprechen. Im Rahmen des Normierungsprozesses sollte eine ausgewogene Interessenvertretung und eine wirksame Einbeziehung von Interessenträgern der Zivilgesellschaft, darunter von Verbraucherorganisationen, sichergestellt werden. Internationale Normen, die mit dem Cybersicherheitsschutzniveau, das mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen angestrebt wird, im Einklang stehen, sollten ebenfalls berücksichtigt werden, um die Entwicklung harmonisierter Normen und die Durchführung dieser Verordnung zu unterstützen und Unternehmen, insbesondere Kleinstunternehmen, kleinen und mittleren Unternehmen sowie weltweit tätigen Unternehmen, die Konformität zu erleichtern.
Erwägungsgrund 80 Timely development of harmonised standards
Die rechtzeitige Entwicklung harmonisierter Normen während des Übergangszeitraums für die Anwendung dieser Verordnung und ihre Verfügbarkeit vor dem Geltungsbeginn dieser Verordnung werden für ihre wirksame Umsetzung besonders wichtig sein. Insbesondere ist dies bei wichtigen Produkten mit digitalen Elementen der Klasse I der Fall. Die Verfügbarkeit harmonisierter Normen wird es den Herstellern der entsprechenden Produkte ermöglichen, die Konformitätsbewertungen im Wege des internen Kontrollverfahrens durchzuführen, und kann so dazu beitragen, Engpässe und Verzögerungen bei den Tätigkeiten von Konformitätsbewertungsstellen zu umgehen.
Erwägungsgrund 81 Voluntary European cybersecurity certification framework
Mit der Verordnung (EU) 2019/881 ist ein freiwilliger europäischer Rahmen für die Cybersicherheitszertifizierung von IKT-Produkten, -Prozessen und -Diensten geschaffen worden. Die europäischen Schemata für die Cybersicherheitszertifizierung schaffen einen gemeinsamen Rahmen für das Vertrauen der Nutzer in die Verwendung von Produkten mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen. Die vorliegende Verordnung sollte folglich Synergieeffekte mit der Verordnung (EU) 2019/881 schaffen. Um die Bewertung der Konformität mit den in der vorliegenden Verordnung festgelegten Anforderungen zu erleichtern, wird bei Produkten mit digitalen Elementen, die im Rahmen eines von der Kommission in einem Durchführungsrechtsakt festgelegten europäischen Cybersicherheitsschemas gemäß der Verordnung (EU) 2019/881 zertifiziert worden sind oder für die im Rahmen eines solchen Schemas eine Konformitätserklärung ausgestellt wurde, davon ausgegangen, dass sie den in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen genügen, sofern das europäische Cybersicherheitszertifikat oder die Konformitätserklärung oder Teile davon diese Anforderungen abdecken. Die Notwendigkeit neuer europäischer Schemata für die Cybersicherheitszertifizierung von Produkten mit digitalen Elementen sollte im Lichte der vorliegenden Verordnung geprüft werden, auch bei der Ausarbeitung des fortlaufenden Arbeitsprogramms der Union gemäß der Verordnung (EU) 2019/881. Wenn ein neues Schema für Produkte mit digitalen Elementen erforderlich ist, um etwa die Einhaltung dieser Verordnung zu erleichtern, kann die Kommission die ENISA gemäß Artikel 48 der Verordnung (EU) 2019/881 ersuchen, mögliche Schemata auszuarbeiten. Solche künftigen europäischen Schemata für die Cybersicherheitszertifizierung von Produkten mit digitalen Elementen sollten den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen und Konformitätsbewertungsverfahren Rechnung tragen und die Einhaltung dieser Verordnung erleichtern. Für europäische Schemata für die Cybersicherheitszertifizierung, die vor dem Inkrafttreten dieser Verordnung in Kraft treten, können weitere Spezifikationen zu detaillierten Aspekten bezüglich der Anwendung einer Konformitätsvermutung erforderlich sein. Der Kommission sollte die Befugnis übertragen werden, im Wege von delegierten Rechtsakten festzulegen, unter welchen Bedingungen die europäischen Schemata für die Cybersicherheitszertifizierung zum Nachweis der Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen verwendet werden können. Um einen übermäßigen Verwaltungsaufwand zu vermeiden, sollten die Hersteller darüber hinaus nicht verpflichtet sein, für die betreffenden Anforderungen eine Konformitätsbewertung durch Dritte, wie in dieser Verordnung vorgesehen, durchzuführen zu lassen, wenn im Rahmen solcher europäischen Schemata für die Cybersicherheitszertifizierung ein europäisches Cybersicherheitszertifikat mindestens für die Stufe „mittel“ ausgestellt wurde.
Erwägungsgrund 82 Presumption of conformity based on European cybersecurity certification schemes
Beim Inkrafttreten der Durchführungsverordnung (EU) 2024/482, die in den Anwendungsbereich dieser Verordnung fallende Produkte wie Hardware-Sicherheitsmodule und Mikroprozessoren betrifft, sollte die Kommission im Wege eines delegierten Rechtsakts festlegen können, auf welche Weise das EUCC eine Vermutung der Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen oder Teilen davon begründen kann. Darüber hinaus kann in einem solchen delegierten Rechtsakt festgelegt werden, wie mit einem im Rahmen des EUCC ausgestellten Zertifikat die in dieser Verordnung vorgesehene Pflicht der Hersteller, eine Bewertung durch Dritte durchführen zu lassen, für die betreffenden Anforderungen aufgehoben werden kann.
Erwägungsgrund 83 Common specifications via implementing acts
Der bestehende europäische Normungsrahmen, dem die Grundsätze der neuen Konzeption gemäß der Entschließung des Rates vom 7. Mai 1985 über eine neue Konzeption auf dem Gebiet der technischen Harmonisierung und der Normung und die Verordnung (EU) Nr. 1025/2012 zugrunde liegen, bildet den Standardrahmen für die Ausarbeitung von Normen, die eine Konformitätsvermutung mit den in dieser Verordnung festgelegten einschlägigen grundlegenden Cybersicherheitsanforderungen vorsehen. Europäische Normen sollten marktorientiert sein, dem öffentlichen Interesse sowie den politischen Zielen Rechnung tragen, die im Auftrag der Kommission an eine oder mehrere europäische Normungsorganisationen, innerhalb einer bestimmten Frist harmonisierte Normen auszuarbeiten, präzise dargelegt sind, und auf Konsens beruhen. In Ermangelung einschlägiger Verweise auf harmonisierte Normen sollte die Kommission jedoch die Möglichkeit haben, in Ausnahmefällen als Ausweichlösung und unter gebührender Achtung der Rolle und der Aufgaben der europäischen Normungsorganisationen Durchführungsrechtsakte zu erlassen, in denen gemeinsame Spezifikationen für die in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen festgelegt werden, um es dem Hersteller zu erleichtern, seiner Pflicht zur Einhaltung dieser grundlegenden Cybersicherheitsanforderungen nachzukommen, wenn das Normungsverfahren blockiert ist oder wenn es bei der Ausarbeitung angemessener harmonisierter Normen zu Verzögerungen kommt. Ist eine solche Verzögerung auf die technische Komplexität der betreffenden Norm zurückzuführen, so sollte die Kommission dies berücksichtigen, bevor sie die Festlegung gemeinsamer Spezifikationen in Erwägung zieht.
Erwägungsgrund 84 Relevant stakeholders when establishing common specifications
Um bei der Festlegung gemeinsamer Spezifikationen, die die in dieser Verordnung genannten grundlegenden Cybersicherheitsanforderungen abdecken, möglichst effizient vorzugehen, sollte die Kommission einschlägige Interessenträger in den Prozess einbeziehen.
Erwägungsgrund 85 Definition of 'reasonable period'
Unter einer angemessenen Frist ist in Bezug auf die Veröffentlichung der Fundstelle harmonisierter Normen im Amtsblatt der Europäischen Union gemäß der Verordnung (EU) Nr. 1025/2012 ein Zeitraum zu verstehen, in dem die Fundstelle der Norm, ihre Berichtigung oder ihre Änderung voraussichtlich im Amtsblatt der Europäischen Union veröffentlicht wird und der ein Jahr nach Ablauf der Frist für die Erstellung des Entwurfs einer europäischen Norm gemäß der Verordnung (EU) Nr. 1025/2012 nicht überschreiten sollte.
Erwägungsgrund 86 Presumption of conformity based on common specifications
Um die Bewertung der Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen zu erleichtern, sollte eine Konformitätsvermutung für Produkte mit digitalen Elementen gelten, die den gemeinsamen Spezifikationen entsprechen, die die Kommission gemäß dieser Verordnung angenommen hat, um ausführliche technische Spezifikationen für diese Anforderungen zu formulieren.
Erwägungsgrund 87 Alternatives to presumption of conformity
Die Anwendung harmonisierter Normen, gemeinsamer Spezifikationen oder europäischer Schemata für die Cybersicherheitszertifizierung, die gemäß der Verordnung (EU) 2019/881 angenommen wurden und bei denen eine Konformitätsvermutung in Bezug auf die grundlegenden Cybersicherheitsanforderungen an Produkte mit digitalen Elementen besteht, wird die Konformitätsbewertung durch die Hersteller erleichtern. Entscheidet sich der Hersteller gegen die Verwendung dieser Mittel für bestimmte Anforderungen, so muss er in seinen technischen Unterlagen angeben, wie die Konformität auf andere Weise erreicht wird. Darüber hinaus würde die Anwendung harmonisierter Normen, gemeinsamer Spezifikationen oder europäischer Schemata für die Cybersicherheitszertifizierung, die gemäß der Verordnung (EU) 2019/881 angenommen wurden, durch die Begründung einer Konformitätsvermutung für die Hersteller die Überprüfung der Konformität von Produkten mit digitalen Elementen durch die Marktüberwachungsbehörden erleichtern. Daher werden die Hersteller von Produkten mit digitalen Elementen angehalten, diese harmonisierten Normen, gemeinsamen Spezifikationen oder europäischen Schemata für die Cybersicherheitszertifizierung anzuwenden.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.