Source: OJ L 2024/2847, 20.11.2024Current language: DE
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Artikel 3 Begriffsbestimmungen
Für die Zwecke dieser Verordnung bezeichnet der Ausdruck
„Produkt mit digitalen Elementen“ ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;
„Datenfernverarbeitung“ entfernt stattfindende Datenverarbeitung, für die eine Software vom Hersteller selbst oder unter dessen Verantwortung konzipiert und entwickelt wird und ohne die das Produkt mit digitalen Elementen eine seiner Funktionen nicht erfüllen könnte;
„Cybersicherheit“ Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881;
„Software“ den Teil eines elektronischen Informationssystems, der aus Computercode besteht;
„Hardware“ ein physisches elektronisches Informationssystem, das digitale Daten verarbeiten, speichern oder übertragen kann, oder Teile eines solchen Systems;
„Komponente“ Software oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist;
„elektronisches Informationssystem“ ein System, einschließlich elektrischer oder elektronischer Ausrüstung, das digitale Daten verarbeiten, speichern oder übertragen kann;
„logische Verbindung“ eine virtuelle Darstellung einer Datenverbindung, die über eine Softwareschnittstelle hergestellt wird;
„physische Verbindung“ eine Verbindung zwischen elektronischen Informationssystemen oder Komponenten, die mit physikalischen Mitteln wie elektrischen, optischen oder mechanischen Schnittstellen, Drähten oder Funkwellen hergestellt wird;
„indirekte Verbindung“ eine Verbindung zu einem Gerät oder Netz, die nicht direkt erfolgt, sondern als Teil eines größeren Systems, das seinerseits direkt mit diesem Gerät oder Netz verbunden werden kann;
„Endpunkt“ ein Gerät, das an ein Netz angeschlossen ist und als Zugangspunkt zu diesem Netz dient;
„Wirtschaftsakteur“ den Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder der Bereitstellung auf dem Markt von Produkten mit digitalen Elementen im Einklang mit dieser Verordnung unterliegt;
„Hersteller“ eine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich;
„Verwalter quelloffener Software“ eine juristische Person, bei der es sich nicht um einen Hersteller handelt, die den Zweck oder das Ziel hat, die Entwicklung spezifischer Produkte mit digitalen Elementen, die als freie und quelloffene Software gelten und für kommerzielle Tätigkeiten bestimmt sind, systematisch und nachhaltig zu unterstützen, und die die Brauchbarkeit dieser Produkte sicherstellt;
„Bevollmächtigter“ eine in der Union ansässige oder niedergelassene natürliche oder juristische Person, die von einem Hersteller schriftlich beauftragt wurde, in seinem Namen bestimmte Aufgaben wahrzunehmen;
„Einführer“ eine in der Union ansässige oder niedergelassene natürliche oder juristische Person, die ein Produkt mit digitalen Elementen unter dem Namen oder der Marke einer außerhalb der Union ansässigen oder niedergelassenen natürlichen oder juristischen Person in der Union in den Verkehr bringt;
„Händler“ eine natürliche oder juristische Person in der Lieferkette, die ein Produkt mit digitalen Elementen ohne Änderung seiner Eigenschaften auf dem Unionsmarkt bereitstellt, mit Ausnahme des Herstellers oder des Einführers;
„Verbraucher“ eine natürliche Person, die zu Zwecken handelt, die nicht ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit zugerechnet werden können;
„Kleinstunternehmen“, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG;
„Unterstützungszeitraum“ den Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden;
„Inverkehrbringen“ bzw. „in den Verkehr bringen“ die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt;
„Bereitstellung auf dem Markt“ die entgeltliche oder unentgeltliche Abgabe eines Produkts mit digitalen Elementen zum Vertrieb oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit;
„Zweckbestimmung“ die Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation;
„vernünftigerweise vorhersehbare Verwendung“ eine Verwendung, die nicht unbedingt der vom Hersteller in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen und der technischen Dokumentation angegebenen Zweckbestimmung entspricht, die sich aber aus einem vernünftigerweise vorhersehbaren menschlichen Verhalten oder aus technischen Vorgängen oder Wechselwirkungen wahrscheinlich ergibt;
„vernünftigerweise vorhersehbare Fehlanwendung“ die Verwendung eines Produkts mit digitalen Elementen in einer Weise, die nicht seiner Zweckbestimmung entspricht, die sich aber aus einem vernünftigerweise vorhersehbaren menschlichen Verhalten oder einer vernünftigerweise vorhersehbaren Interaktion mit anderen Systemen ergeben kann;
„notifizierende Behörde“ die nationale Behörde, die für die Einrichtung und Durchführung der erforderlichen Verfahren für die Bewertung, Benennung und Notifizierung von Konformitätsbewertungsstellen und für deren Überwachung zuständig ist;
„Konformitätsbewertung“ das Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden;
„Konformitätsbewertungsstelle“ eine Konformitätsbewertungsstelle im Sinne von Artikel 2 Nummer 13 der Verordnung (EG) Nr. 765/2008.
„notifizierte Stelle“ eine Konformitätsbewertungsstelle, die nach Artikel 43 dieser Verordnung und anderen einschlägigen Harmonisierungsrechtsvorschriften der Union benannt wurde;
„wesentliche Änderung“ eine Änderung des Produkts mit digitalen Elementen nach dessen Inverkehrbringen, die sich auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I auswirkt oder zu einer Änderung des bestimmungsgemäßen Zwecks, für den das Produkt geprüft wurde, führt;
„CE-Kennzeichnung“ eine Kennzeichnung, durch die ein Hersteller erklärt, dass ein Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I und anderen geltenden Harmonisierungsrechtsvorschriften der Union über ihre Anbringung genügen;
„Harmonisierungsrechtsvorschriften der Union“ die in Anhang I der Verordnung (EU) 2019/1020 aufgeführten Rechtsvorschriften der Union sowie alle sonstigen Rechtsvorschriften der Union zur Harmonisierung der Bedingungen für die Vermarktung von Produkten, auf welche die genannte Verordnung Anwendung findet;
„Marktüberwachungsbehörde“ eine Marktüberwachungsbehörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020;
„internationale Norm“ eine internationale Norm gemäß der Begriffsbestimmung in Artikel 2 Absatz 1 Buchstabe a der Verordnung (EU) Nr. 1025/2012;
„europäische Norm“ eine europäische Norm gemäß der Begriffsbestimmung in Artikel 2 Nummer 1 Buchstabe b der Verordnung (EU) Nr. 1025/2012;
„harmonisierte Norm“ eine harmonisierte Norm gemäß der Begriffsbestimmung in Artikel 2 Nummer 1 Buchstabe c der Verordnung (EU) Nr. 1025/2012;
„Cybersicherheitsrisiko“ das Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird;
„erhebliches Cybersicherheitsrisiko“ ein Cybersicherheitsrisiko, bei dem aufgrund seiner technischen Merkmale davon auszugehen ist, dass es mit hoher Wahrscheinlichkeit zu einem Sicherheitsvorfall führen wird, der schwerwiegende negative Auswirkungen haben und erhebliche materielle oder immaterielle Verluste oder Störungen verursachen könnte;
„Software-Stückliste“ eine formale Aufzeichnung der Einzelheiten und Lieferkettenbeziehungen der Komponenten, die in den Softwareelementen eines Produkts mit digitalen Elementen enthalten sind;
„Schwachstelle“ eine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann;
„ausnutzbare Schwachstelle“ eine Schwachstelle, die von einem unbefugten Dritten unter praktischen Betriebsbedingungen wirksam genutzt werden kann;
„aktiv ausgenutzte Schwachstelle“ eine Schwachstelle, zu der verlässliche Nachweise dafür vorliegen, dass ein böswilliger Akteur sie in einem System ohne Zustimmung des Systemeigners ausgenutzt hat;
„Sicherheitsvorfall“ einen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555;
„Sicherheitsvorfall mit Auswirkungen auf die Sicherheit des Produkts mit digitalen Elementen“ einen Sicherheitsvorfall, der sich negativ auf die Fähigkeit eines Produkts mit digitalen Elementen auswirkt oder auswirken kann, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder Funktionen zu schützen;
„Beinahe-Vorfall“ einen Beinahe-Vorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 5 der Richtlinie (EU) 2022/2555;
„Cyberbedrohung“ ist eine Cyberbedrohung gemäß der Begriffsbestimmung in Artikel 2 Nummer 8 der Verordnung (EU) 2019/881;
„personenbezogene Daten“ personenbezogene Daten gemäß der Begriffsbestimmung in Artikel 4 Nummer 1 der Verordnung (EU) 2016/679;
„freie und quelloffene Software“ eine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen;
„Rückruf“ einen Rückruf gemäß der Begriffsbestimmung in Artikel 3 Nummer 22 der Verordnung (EU) 2019/1020;
„Rücknahme vom Markt“ eine Rücknahme vom Markt gemäß der Begriffsbestimmung in Artikel 3 Nummer 23 der Verordnung (EU) 2019/1020;
„als Koordinator benanntes CSIRT“ ein CSIRT, das gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 als Koordinator benannt wurde.
Relevant recitals
Erwägungsgrund 5 Definition of microenterprises and small and medium-sized enterprises
Was Kleinstunternehmen sowie kleine und mittlere Unternehmen betrifft, so sollten bei der Bestimmung der Kategorie, in die ein Unternehmen fällt, die Bestimmungen des Anhangs der Empfehlung 2003/361/EG in vollem Umfang angewandt werden. Daher sollten bei der Berechnung der Mitarbeiterzahl und der finanziellen Schwellenwerte zur Bestimmung der Unternehmenstypen auch die Bestimmungen von Artikel 6 des Anhangs der Empfehlung 2003/361/EG über die Erstellung der Daten eines Unternehmens im Hinblick auf bestimmte Arten von Unternehmen wie Partnerunternehmen oder verbundene Unternehmen angewandt werden.
Erwägungsgrund 11 Definition of remote data processing solutions
Mit dieser Verordnung soll ein hohes Niveau an Cybersicherheit von Produkten mit digitalen Elementen und ihren integrierten Datenfernverarbeitungslösungen sichergestellt werden. Solche Datenfernverarbeitungslösungen sollten als entfernt stattfindende Datenverarbeitung definiert werden, für die eine Software vom Hersteller des Produkts mit digitalen Elementen selbst oder unter dessen Verantwortung konzipiert und entwickelt wird und ohne die das Produkt mit digitalen Elementen eine seiner Funktionen nicht erfüllen könnte. Damit wird sichergestellt, dass solche Produkte in ihrer Gesamtheit von ihren Herstellern angemessen gesichert werden, unabhängig davon, ob die Daten lokal auf dem Gerät des Nutzers oder aus der Ferne durch den Hersteller verarbeitet oder gespeichert werden. Gleichzeitig fällt die Fernverarbeitung oder -speicherung nur insoweit in den Anwendungsbereich dieser Verordnung, als sie notwendig ist, damit ein Produkt mit digitalen Elementen seine Funktionen erfüllen kann. Eine solche Fernverarbeitung oder -speicherung liegt vor, wenn eine mobile Anwendung den Zugang zu einer Anwendungsprogrammierschnittstelle oder zu einer Datenbank erfordert, die über einen vom Hersteller entwickelten Dienst bereitgestellt wird. In diesem Fall fällt der Dienst als Datenfernverarbeitungslösung in den Anwendungsbereich dieser Verordnung. Die Anforderungen an Datenfernverarbeitungslösungen, die in den Anwendungsbereich dieser Verordnung fallen, beinhalten daher keine technischen, betrieblichen oder organisatorischen Maßnahmen zur Beherrschung der Risiken für die Sicherheit der Netz- und Informationssysteme des Herstellers insgesamt.
Erwägungsgrund 12 Cloud solutions as remote data processing solutions
Cloud-Lösungen gelten nur dann als Datenfernverarbeitungslösungen im Sinne dieser Verordnung, wenn sie der in dieser Verordnung festgelegten Begriffsbestimmung entsprechen. So fallen beispielsweise vom Hersteller von intelligenten Haushaltsgeräten angebotene Cloud-Funktionen, die es den Nutzern ermöglichen, das Gerät aus der Ferne zu steuern, in den Anwendungsbereich dieser Verordnung. Dagegen fallen Websites, die die Funktionalität eines Produkts mit digitalen Elementen nicht unterstützen, oder Cloud-Dienste, die außerhalb der Verantwortung eines Herstellers eines Produkts mit digitalen Elementen entworfen und entwickelt wurden, nicht in den Anwendungsbereich dieser Verordnung. Die Richtlinie (EU) 2022/2555 gilt für Cloud-Computing-Dienste und Cloud-Dienstmodelle wie SaaS (Software as a Service), PaaS (Platform as a Service) oder IaaS (Infrastructure as a Service). Die Einrichtungen, die Cloud-Computing-Dienste in der Union erbringen und die gemäß Artikel 2 des Anhangs der Empfehlung 2003/361/EG als mittlere Unternehmen gelten oder die Schwellenwerte für mittlere Unternehmen gemäß Absatz 1 jenes Artikels überschreiten, fallen in den Anwendungsbereich der genannten Richtlinie.
Erwägungsgrund 18 Definition of free and open-source software
Unter freier und quelloffener Software ist eine Software zu verstehen, deren Quellcode offen geteilt wird und in deren Lizenz alle erforderlichen Rechte vorgesehen sind, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen. Freie und quelloffene Software wird offen entwickelt, gepflegt und verteilt, auch über Online-Plattformen. In Bezug auf Wirtschaftsakteure, die in den Anwendungsbereich dieser Verordnung fallen, sollte nur freie und quelloffene Software, die auf dem Markt bereitgestellt und somit zum Vertrieb oder zur Nutzung im Rahmen einer Geschäftstätigkeit verfügbar gemacht wird, in den Anwendungsbereich dieser Verordnung fallen. Die bloßen Umstände, unter denen das Produkt mit digitalen Elementen entwickelt wurde, oder die Art und Weise, wie die Entwicklung finanziert wurde, sollten daher bei der Bestimmung des kommerziellen oder nichtkommerziellen Charakters der entsprechenden Tätigkeit nicht berücksichtigt werden. Insbesondere sollte für die Zwecke dieser Verordnung und in Bezug auf die Wirtschaftsakteure, die in ihren Anwendungsbereich fallen, die Bereitstellung von Produkten mit digitalen Elementen, die als freie und quelloffene Software eingestuft und von ihren Herstellern nicht zu Geld gemacht werden, nicht als Geschäftstätigkeit betrachtet werden, damit sichergestellt ist, dass klar zwischen der Entwicklungs- und der Lieferphase unterschieden wird. Darüber hinaus sollte die Lieferung von Produkten mit digitalen Elementen, die als freie und quelloffene Softwarekomponenten eingestuft werden und zur Integration durch andere Hersteller in ihre eigenen Produkte mit digitalen Elementen bestimmt sind, nur dann als Bereitstellung auf dem Markt betrachtet werden, wenn die Komponente von ihrem ursprünglichen Hersteller zu Geld gemacht wird. Beispielsweise sollte allein der Umstand, dass ein Produkt quelloffener Software mit digitalen Elementen von den Herstellern finanziell unterstützt wird oder dass Hersteller zur Entwicklung eines solchen Produkts beitragen, für sich genommen nicht ausschlaggebend für die Feststellung sein, dass die Tätigkeit kommerzieller Art ist. Fernerhin sollte das bloße Vorhandensein regelmäßiger Veröffentlichungen von Versionen für sich genommen nicht zu der Schlussfolgerung führen, dass ein Produkt mit digitalen Elementen im Rahmen einer Geschäftstätigkeit geliefert wird. Schließlich sollte für die Zwecke dieser Verordnung die Entwicklung von Produkten mit digitalen Elementen, die als freie und quelloffene Software eingestuft werden, durch gemeinnützige Organisationen nicht als kommerzielle Tätigkeit betrachtet werden, sofern die Organisation so angelegt ist, dass sichergestellt ist, dass alle Einnahmen nach Abzug der Kosten zur Verwirklichung gemeinnütziger Ziele verwendet werden. Diese Verordnung gilt nicht für natürliche oder juristische Personen, die mit Quellcode zu Produkten mit digitalen Elementen beitragen, die als freie und quelloffene Software eingestuft sind und nicht ihrer Verantwortung unterliegen.
Erwägungsgrund 39 Guidance on substantial modifications
Wie bei physischen Reparaturen oder Änderungen sollte ein Produkt mit digitalen Elementen als durch eine Softwareänderung wesentlich geändert gelten, wenn die Softwareaktualisierung die Zweckbestimmung des Produkts ändert und diese Änderungen vom Hersteller in der ursprünglichen Risikobewertung nicht vorhergesehen wurden, oder wenn sich die Art der Gefahr geändert oder sich das Cybersicherheitsrisiko aufgrund der Softwareaktualisierung erhöht hat und die aktualisierte Version des Produkts auf dem Markt bereitgestellt wird. Wenn eine Sicherheitsaktualisierung, mit der das Cybersicherheitsrisiko eines Produkts mit digitalen Elementen verringert werden soll, die Zweckbestimmung eines Produkts mit digitalen Elementen nicht verändert, gilt sie nicht als wesentliche Änderung. Dies schließt in der Regel Fälle ein, in denen eine Sicherheitsaktualisierung nur geringfügige Anpassungen des Quellcodes nach sich zieht. Dies könnte zum Beispiel der Fall sein, wenn mit einer Sicherheitsaktualisierung eine bekannte Schwachstelle behoben wird, auch durch Änderung der Funktionen oder der Leistung eines Produkts mit digitalen Elementen zu dem alleinigen Zweck, das Cybersicherheitsrisiko zu senken. Ebenso sollte eine geringfügige Aktualisierung der Funktionalitäten, etwa eine visuelle Verbesserung oder die Hinzufügung neuer Sprachen oder neuer Piktogramme zur Benutzeroberfläche, im Allgemeinen nicht als wesentliche Änderungen betrachtet werden. Umgekehrt sollte eine Funktionsaktualisierung die die ursprünglich beabsichtigten Funktionen oder die Art oder Leistung eines Produkts mit digitalen Elementen verändert und die oben genannten Kriterien erfüllt, als wesentliche Änderung betrachtet werden, da das Hinzufügen neuer Funktionen in der Regel zu einer größeren Angriffsfläche führt und damit das Cybersicherheitsrisiko erhöht. Dies könnte zum Beispiel der Fall sein, wenn einer Anwendung ein neues Eingabeelement hinzugefügt wird, sodass der Hersteller für eine adäquate Eingabevalidierung sorgen muss. Bei der Beurteilung, ob eine Funktionsaktualisierung als wesentliche Änderung anzusehen ist, spielt es keine Rolle, ob sie als separate Aktualisierung oder in Kombination mit einer Sicherheitsaktualisierung bereitgestellt wird. Die Kommission sollte Leitlinien zur Bestimmung dessen herausgeben, was eine wesentliche Änderung ist.
Erwägungsgrund 41 Verification of compliance after substantial modification
Im Einklang mit dem allgemein anerkannten Konzept der wesentlichen Änderung von Produkten, für die Harmonisierungsrechtsvorschriften der Union gelten, ist es angebracht, wenn eine wesentliche Änderung eintritt, die sich auf die Konformität eines Produkts mit digitalen Elementen mit dieser Verordnung auswirken könnte, oder wenn sich die Zweckbestimmung dieses Produkts ändert, die Konformität des Produkts mit digitalen Elementen zu überprüfen und es gegebenenfalls einer neuen Konformitätsbewertung zu unterziehen. Wenn der Hersteller eine Konformitätsbewertung unter Beteiligung eines Dritten durchführt, sollte eine Veränderung, die zu einer wesentlichen Änderung führen könnte, dem Dritten mitgeteilt werden.
Erwägungsgrund 42 Substantial modification via refurbishment, maintenance and repair
Wird ein Produkt mit digitalen Elementen einer „Überholung“, „Wartung“ und „Reparatur“ im Sinne des Artikels 2 Nummern 18, 19 und 20 der Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates(19)Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG (ABl. L, 2024/1781, 28.6.2024, ELI: http://data.europa.eu/eli/reg/2024/1781/oj). unterzogen, führt dies nicht unbedingt zu einer wesentlichen Änderung des Produkts, wenn z. B. die Zweckbestimmung und die Funktionen nicht geändert werden und das Risikoniveau gleich bleibt. Die Aufrüstung eines Produkts mit digitalen Elementen durch den Hersteller könnte jedoch zu Änderungen in der Konzeption und Entwicklung des Produkts führen und sich daher auf seine Zweckbestimmung und die Konformität mit den in dieser Verordnung festgelegten Anforderungen auswirken.
Erwägungsgrund 78 Definition of economic operator
Im Rahmen der neuen komplexen Geschäftsmodelle im Zusammenhang mit Online-Verkäufen kann ein online tätiges Unternehmen eine Vielzahl von Dienstleistungen anbieten. Je nach Art der in Bezug auf ein bestimmtes Produkt mit digitalen Elementen erbrachten Dienstleistungen kann ein und dasselbe Unternehmen in verschiedene Kategorien von Geschäftsmodellen oder Wirtschaftsakteuren fallen. Erbringt ein Unternehmen ausschließlich Online-Vermittlungsdienste für ein bestimmtes Produkt mit digitalen Elementen und handelt es sich bei diesem Unternehmen lediglich um einen Anbieter eines Online-Marktplatzes im Sinne von Artikel 3 Nummer 14 der Verordnung (EU) 2023/988, so fällt es nicht in eine der Kategorien von Wirtschaftsakteuren im Sinne dieser Verordnung. Handelt es sich bei einem Unternehmen um einen Anbieter eines Online-Marktplatzes, der beim Verkauf bestimmter Produkte mit digitalen Elementen zudem als Wirtschaftsakteur im Sinne dieser Verordnung fungiert, so sollte es den für diese Art von Wirtschaftsakteur in dieser Verordnung festgelegten Verpflichtungen unterliegen. Vertreibt beispielsweise der Anbieter eines Online-Marktplatzes auch ein Produkt mit digitalen Elementen, so wird er in Bezug auf den Verkauf dieses Produkts als Händler betrachtet. Ebenso würde das betreffende Unternehmen, wenn es seine eigenen Markenprodukte mit digitalen Elementen verkauft, als Hersteller gelten und müsste somit die für Hersteller geltenden Anforderungen erfüllen. Darüber hinaus können einige Unternehmen als Fulfilment-Dienstleister im Sinne von Artikel 3 Nummer 11 der Verordnung (EU) 2019/1020 des Europäischen Parlaments und des Rates(27)Verordnung (EU) 2019/1020 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über Marktüberwachung und die Konformität von Produkten sowie zur Änderung der Richtlinie 2004/42/EG und der Verordnungen (EG) Nr. 765/2008 und (EU) Nr. 305/2011 (ABl. L 169 vom 25.6.2019, S. 1). gelten, wenn sie die entsprechenden Dienstleistungen anbieten. Die betreffenden Fälle müssten im Einzelfall bewertet werden. Angesichts der herausragenden Rolle, die Online-Marktplätze bei der Ermöglichung des elektronischen Geschäftsverkehrs spielen, sollten diese bestrebt sein, mit den Marktüberwachungsbehörden der Mitgliedstaaten zusammenzuarbeiten, um dazu beizutragen, dass über Online-Marktplätze erworbene Produkte mit digitalen Elementen die in dieser Verordnung festgelegten Cybersicherheitsanforderungen erfüllen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.