Artikel 32 Konformitätsbewertungsverfahren für Produkte mit digitalen Elementen

Mit der Verordnung (EU) 2019/881 ist ein freiwilliger europäischer Rahmen für die Cybersicherheitszertifizierung von IKT-Produkten, -Prozessen und -Diensten geschaffen worden. Die europäischen Schemata für die Cybersicherheitszertifizierung schaffen einen gemeinsamen Rahmen für das Vertrauen der Nutzer in die Verwendung von Produkten mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen. Die vorliegende Verordnung sollte folglich Synergieeffekte mit der Verordnung (EU) 2019/881 schaffen. Um die Bewertung der Konformität mit den in der vorliegenden Verordnung festgelegten Anforderungen zu erleichtern, wird bei Produkten mit digitalen Elementen, die im Rahmen eines von der Kommission in einem Durchführungsrechtsakt festgelegten europäischen Cybersicherheitsschemas gemäß der Verordnung (EU) 2019/881 zertifiziert worden sind oder für die im Rahmen eines solchen Schemas eine Konformitätserklärung ausgestellt wurde, davon ausgegangen, dass sie den in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen genügen, sofern das europäische Cybersicherheitszertifikat oder die Konformitätserklärung oder Teile davon diese Anforderungen abdecken. Die Notwendigkeit neuer europäischer Schemata für die Cybersicherheitszertifizierung von Produkten mit digitalen Elementen sollte im Lichte der vorliegenden Verordnung geprüft werden, auch bei der Ausarbeitung des fortlaufenden Arbeitsprogramms der Union gemäß der Verordnung (EU) 2019/881. Wenn ein neues Schema für Produkte mit digitalen Elementen erforderlich ist, um etwa die Einhaltung dieser Verordnung zu erleichtern, kann die Kommission die ENISA gemäß Artikel 48 der Verordnung (EU) 2019/881 ersuchen, mögliche Schemata auszuarbeiten. Solche künftigen europäischen Schemata für die Cybersicherheitszertifizierung von Produkten mit digitalen Elementen sollten den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen und Konformitätsbewertungsverfahren Rechnung tragen und die Einhaltung dieser Verordnung erleichtern. Für europäische Schemata für die Cybersicherheitszertifizierung, die vor dem Inkrafttreten dieser Verordnung in Kraft treten, können weitere Spezifikationen zu detaillierten Aspekten bezüglich der Anwendung einer Konformitätsvermutung erforderlich sein. Der Kommission sollte die Befugnis übertragen werden, im Wege von delegierten Rechtsakten festzulegen, unter welchen Bedingungen die europäischen Schemata für die Cybersicherheitszertifizierung zum Nachweis der Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen verwendet werden können. Um einen übermäßigen Verwaltungsaufwand zu vermeiden, sollten die Hersteller darüber hinaus nicht verpflichtet sein, für die betreffenden Anforderungen eine Konformitätsbewertung durch Dritte, wie in dieser Verordnung vorgesehen, durchzuführen zu lassen, wenn im Rahmen solcher europäischen Schemata für die Cybersicherheitszertifizierung ein europäisches Cybersicherheitszertifikat mindestens für die Stufe „mittel“ ausgestellt wurde.

Damit die Wirtschaftsakteure die Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen nachweisen können und die Marktüberwachungsbehörden sicherstellen können, dass Produkte mit digitalen Elementen, die auf dem Markt bereitgestellt werden, diesen Anforderungen genügen, sind Konformitätsbewertungsverfahren vorzusehen. Im Beschluss Nr. 768/2008/EG des Europäischen Parlaments und des Rates(³⁰)Beschluss Nr. 768/2008/EG des Europäischen Parlaments und des Rates vom 9. Juli 2008 über einen gemeinsamen Rechtsrahmen für die Vermarktung von Produkten und zur Aufhebung des Beschlusses 93/465/EWG des Rates (ABl. L 218 vom 13.8.2008, S. 82). sind Module für Konformitätsbewertungsverfahren festgelegt, die der Höhe des Risikos und dem geforderten Sicherheitsniveau angemessen sind. Um die sektorübergreifende Kohärenz zu gewährleisten und Ad-hoc-Varianten zu vermeiden, sollten die Konformitätsbewertungsverfahren zur Überprüfung der Konformität von Produkten mit digitalen Elementen mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen auf diesen Modulen beruhen. In den Konformitätsbewertungsverfahren sollten sowohl produkt- als auch verfahrensbezogene Anforderungen untersucht und überprüft werden, die den gesamten Lebenszyklus von Produkten mit digitalen Elementen abdecken, einschließlich Planung, Konzeption, Entwicklung oder Herstellung, Tests und Wartung des Produkts mit digitalen Elementen.

Die Konformitätsbewertung von Produkten mit digitalen Elementen, die in dieser Verordnung nicht als wichtige oder kritische Produkte mit digitalen Elementen aufgeführt sind, kann vom Hersteller in eigener Verantwortung nach dem internen Kontrollverfahren auf der Grundlage von Modul A des Beschlusses Nr. 768/2008/EG gemäß dieser Verordnung durchgeführt werden. Dies gilt auch für Fälle, in denen ein Hersteller beschließt, eine geltende harmonisierte Norm, eine gemeinsame Spezifikation oder ein europäisches Schema für die Cybersicherheitszertifizierung ganz oder teilweise nicht anzuwenden. Dem Hersteller bleibt freigestellt, ein strengeres Konformitätsbewertungsverfahren unter Einbeziehung eines Dritten zu wählen. Im Rahmen der nach dem internen Kontrollverfahren durchgeführten Konformitätsbewertung stellt der Hersteller sicher und erklärt er auf eigene Verantwortung, dass das Produkt mit digitalen Elementen und die Prozesse des Herstellers die in dieser Verordnung festgelegten geltenden grundlegenden Cybersicherheitsanforderungen erfüllen. Fällt ein wichtiges Produkt mit digitalen Elementen in die Klasse I, so ist eine zusätzliche Vertrauenswürdigkeitsprüfung erforderlich, um die Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen nachzuweisen. Der Hersteller sollte harmonisierte Normen, gemeinsame Spezifikationen oder europäische Schemata für die Cybersicherheitszertifizierung, die gemäß der Verordnung (EU) 2019/881 angenommen wurden und von der Kommission in einem Durchführungsrechtsakt ermittelt wurden, verwenden, wenn er die Konformitätsbewertung in eigener Verantwortung durchführen möchte (Modul A). Verwendet der Hersteller solche harmonisierten Normen, gemeinsamen Spezifikationen oder europäischen Schemata für die Cybersicherheitszertifizierung nicht, so sollte eine Konformitätsbewertung unter Beteiligung eines Dritten durchgeführt werden (basierend auf den Modulen B und C oder H). Unter Berücksichtigung des Verwaltungsaufwands für die Hersteller und der Tatsache, dass die Cybersicherheit in der Konzeptions- und Entwicklungsphase materieller und immaterieller Produkte mit digitalen Elementen eine wichtige Rolle spielt, wurden Konformitätsbewertungsverfahren auf der Grundlage der Module B und C oder des Moduls H des Beschlusses Nr. 768/2008/EG als am besten geeignet ausgewählt, um die Konformität wichtiger Produkte mit digitalen Elementen auf verhältnismäßige und wirksame Weise zu bewerten. Der Hersteller, der die Konformitätsbewertung durch Dritte durchführen lässt, kann das Verfahren auswählen, das seinem Konzeptions- und Herstellungsprozess am besten entspricht. Angesichts des noch größeren Cybersicherheitsrisikos, das mit der Verwendung wichtiger Produkte mit digitalen Elementen verbunden ist, die in die Klasse II fallen, sollte an deren Konformitätsbewertung stets ein Dritter beteiligt werden, auch wenn das Produkt vollständig oder teilweise harmonisierten Normen, gemeinsamen Spezifikationen oder europäischen Schemata für die Cybersicherheitszertifizierung entspricht. Hersteller wichtiger Produkte mit digitalen Elementen, die als freie und quelloffene Software gelten, sollten das interne Kontrollverfahren auf der Grundlage von Modul A anwenden können, sofern sie die technische Dokumentation der Öffentlichkeit zugänglich machen.

Während die Herstellung materieller Produkte mit digitalen Elementen in der Regel einen erheblichen Aufwand während der gesamten Konzeptions-, Entwicklungs- und Herstellungsphase erfordert, konzentriert sich die Herstellung von Produkten mit digitalen Elementen in Form von Software fast ausschließlich auf die Konzeption und Entwicklung, wogegen die Herstellungsphase eine untergeordnete Rolle spielt. Dennoch müssen Softwareprodukte oft noch kompiliert und zu Versionen zusammengefügt, gepackt, zum Herunterladen bereitgestellt oder auf physische Datenträger kopiert werden, bevor sie in den Verkehr gebracht werden. Bei der Anwendung der einschlägigen Konformitätsbewertungsmodule zur Überprüfung der Konformität des Produkts mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen in der Konzeptions-, Entwicklungs- und Herstellungsphase sollten diese Tätigkeiten als dem Herstellungsprozess gleichkommende Tätigkeiten betrachtet werden.

Um die Verhältnismäßigkeit sicherzustellen, sollten die Konformitätsbewertungsstellen bei der Festlegung der Gebühren für die Verfahren der Konformitätsbewertung den besonderen Interessen und Bedürfnissen von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen, einschließlich Start-up-Unternehmen, Rechnung tragen. Insbesondere sollten die Konformitätsbewertungsstellen die in dieser Verordnung vorgesehenen einschlägigen Prüfverfahren und Tests nur dann anwenden, wenn dies angemessen ist und ein risikobasierter Ansatz verfolgt wird.