Beta

Source: OJ L 2024/2847, 20.11.2024

Current language: DE

Artikel 54 Nationale Verfahren für Produkte mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisiko bergen

    1. Hat die Marktüberwachungsbehördeeine Marktüberwachungsbehörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020; eines Mitgliedstaats hinreichenden Grund zu der Annahme, dass ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, einschließlich der Behandlung von Schwachstellen, ein erhebliches Cybersicherheitsrisikoein Cybersicherheitsrisiko, bei dem aufgrund seiner technischen Merkmale davon auszugehen ist, dass es mit hoher Wahrscheinlichkeit zu einem Sicherheitsvorfall führen wird, der schwerwiegende negative Auswirkungen haben und erhebliche materielle oder immaterielle Verluste oder Störungen verursachen könnte; birgt, so führt sie unverzüglich, gegebenenfalls in Zusammenarbeit mit dem einschlägigen CSIRT, eine Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; des betreffenden Produkts im Hinblick auf die in dieser Verordnung festgelegten Anforderungen durch. Die betroffenen Wirtschaftsakteure arbeiten im erforderlichen Umfang mit der Marktüberwachungsbehördeeine Marktüberwachungsbehörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020; zusammen.

    2. Gelangt die Marktüberwachungsbehördeeine Marktüberwachungsbehörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020; im Verlauf dieser Bewertung zu dem Ergebnis, dass das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; die Anforderungen dieser Verordnung nicht erfüllt, so fordert sie den betroffenen Wirtschaftsakteurden Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder der Bereitstellung auf dem Markt von Produkten mit digitalen Elementen im Einklang mit dieser Verordnung unterliegt; unverzüglich dazu auf, innerhalb einer von der Marktüberwachungsbehördeeine Marktüberwachungsbehörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020; vorgeschriebenen, der Art des Cybersicherheitsrisikosdas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; angemessenen Frist alle geeigneten Korrekturmaßnahmen zu ergreifen, um die Konformität des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; mit diesen Anforderungen herzustellen oder um das Produkt vom Markt zu nehmen oder es zurückzurufen.

    3. Die Marktüberwachungsbehördeeine Marktüberwachungsbehörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020; unterrichtet die einschlägige notifizierte Stelleeine Konformitätsbewertungsstelle, die nach Artikel 43 dieser Verordnung und anderen einschlägigen Harmonisierungsrechtsvorschriften der Union benannt wurde; hierüber. Artikel 18 der Verordnung (EU) 2019/1020 gilt für die Korrekturmaßnahmen.

    1. Bei der Bestimmung der Erheblichkeit eines Cybersicherheitsrisikosdas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; gemäß Absatz 1 berücksichtigen die Marktüberwachungsbehörden auch nichttechnische Risikofaktoren, insbesondere solche, die infolge koordinierter Risikobewertungen in Bezug auf die Sicherheit der Lieferketten auf Unionsebene gemäß Artikel 22 der Richtlinie (EU) 2022/2555 festgelegt wurden. Hat eine Marktüberwachungsbehördeeine Marktüberwachungsbehörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020; hinreichenden Grund zu der Annahme, dass ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; angesichts nichttechnischer Risikofaktoren ein erhebliches Cybersicherheitsrisikoein Cybersicherheitsrisiko, bei dem aufgrund seiner technischen Merkmale davon auszugehen ist, dass es mit hoher Wahrscheinlichkeit zu einem Sicherheitsvorfall führen wird, der schwerwiegende negative Auswirkungen haben und erhebliche materielle oder immaterielle Verluste oder Störungen verursachen könnte; birgt, unterrichtet sie die gemäß Artikel 8 der Richtlinie (EU) 2022/2555 benannten oder eingerichteten zuständigen Behörden und arbeitet mit diesen Behörden bei Bedarf zusammen.

    1. Gelangt die Marktüberwachungsbehördeeine Marktüberwachungsbehörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020; zu der Auffassung, dass die Nichtkonformität nicht auf ihr nationales Hoheitsgebiet beschränkt ist, unterrichtet sie die Kommission und die anderen Mitgliedstaaten über die Ergebnisse der Prüfung und über die Maßnahmen, zu denen sie den Wirtschaftsakteurden Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder der Bereitstellung auf dem Markt von Produkten mit digitalen Elementen im Einklang mit dieser Verordnung unterliegt; aufgefordert hat.

    1. Der Wirtschaftsakteurden Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder der Bereitstellung auf dem Markt von Produkten mit digitalen Elementen im Einklang mit dieser Verordnung unterliegt; sorgt dafür, dass alle geeigneten Korrekturmaßnahmen in Bezug auf sämtliche betroffenen Produkte mit digitalen Elementen, die er in der Union auf dem Markt bereitgestellt hat, ergriffen werden.

    1. Ergreift der Wirtschaftsakteurden Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder der Bereitstellung auf dem Markt von Produkten mit digitalen Elementen im Einklang mit dieser Verordnung unterliegt; innerhalb der in Absatz 1 Unterabsatz 2 genannten Frist keine angemessenen Korrekturmaßnahmen, so treffen die Marktüberwachungsbehörden alle geeigneten vorläufigen Maßnahmen, um die Bereitstellung des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; auf ihrem nationalen Markt zu untersagen oder einzuschränken, das Produkt vom Markt zu nehmen oder es zurückzurufen.

    2. Diese Behörde notifiziert die Kommission und die anderen Mitgliedstaaten unverzüglich über diese Maßnahmen.

    1. Die in Absatz 5 genannten Informationen enthalten alle verfügbaren Einzelheiten, insbesondere die notwendigen Daten für die Identifizierung des nichtkonformen Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, die Herkunft dieses Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, die Art der behaupteten Nichtkonformität und das damit verbundene Risiko sowie die Art und Dauer der getroffenen nationalen Maßnahmen und die Argumente des betreffenden Wirtschaftsakteursden Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder der Bereitstellung auf dem Markt von Produkten mit digitalen Elementen im Einklang mit dieser Verordnung unterliegt;. Die Marktüberwachungsbehördeeine Marktüberwachungsbehörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020; gibt insbesondere an, ob die Nichtkonformität eine oder mehrere der folgenden Ursachen hat:

      1. Das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; oder die vom Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; festgelegten Verfahren erfüllen nicht die grundlegenden Cybersicherheitsanforderungen in Anhang I;

      2. Mängel in den harmonisierten Normen, den europäischen Schemata für die Cybersicherheitszertifizierung oder den gemeinsamen Spezifikationen gemäß Artikel 27.

    1. Die Marktüberwachungsbehörden der Mitgliedstaaten, außer derjenigen, die das Verfahren eingeleitet hat, unterrichten unverzüglich die Kommission und die anderen Mitgliedstaaten von jeglichen Maßnahmen und ihnen vorliegenden zusätzlichen Erkenntnissen über die Nichtkonformität des betreffenden Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; sowie über ihre Einwände, falls sie die ihnen mitgeteilte nationale Maßnahme ablehnen.

    1. Erhebt weder ein Mitgliedstaat noch die Kommission innerhalb von drei Monaten nach Eingang der in Absatz 5 dieses Artikels genannten Notifizierung einen Einwand gegen eine vorläufige Maßnahme eines Mitgliedstaats, so gilt diese Maßnahme als gerechtfertigt. Die Verfahrensrechte des betreffenden Wirtschaftsakteursden Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder der Bereitstellung auf dem Markt von Produkten mit digitalen Elementen im Einklang mit dieser Verordnung unterliegt; nach Artikel 18 der Verordnung (EU) 2019/1020 bleiben hiervon unberührt.

    1. Die Marktüberwachungsbehörden aller Mitgliedstaaten tragen dafür Sorge, dass unverzüglich geeignete einschränkende Maßnahmen in Bezug auf das betreffende Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; ergriffen werden, indem sie beispielsweise dieses Produkt von ihrem Markt rücknehmen.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod