Artikel 6 Anforderungen an Produkte mit digitalen Elementen

Um das Gesamtniveau der Cybersicherheit aller im Binnenmarkt in den Verkehr gebrachten Produkte mit digitalen Elementen zu erhöhen, müssen für diese Produkte objektive und technologieneutrale grundlegende Cybersicherheitsanforderungen eingeführt werden, die dann horizontal gelten sollen.

Im Einklang mit dem Ziel dieser Verordnung, Hindernisse für den freien Verkehr von Produkten mit digitalen Elementen auszuräumen, sollten die Mitgliedstaaten in den von dieser Verordnung erfassten Aspekten nicht die Bereitstellung auf dem Markt von Produkten mit digitalen Elementen, die dieser Verordnung entsprechen, behindern. In den durch diese Verordnung harmonisierten Bereichen können die Mitgliedstaaten daher keine zusätzlichen Cybersicherheitsanforderungen für die Bereitstellung von Produkten mit digitalen Elementen auf dem Markt vorschreiben. Jede öffentliche oder private Einrichtung kann jedoch über die in dieser Verordnung festgelegten Anforderungen hinaus zusätzliche Anforderungen für die Beschaffung oder Verwendung von Produkten mit digitalen Elementen für ihre spezifischen Zwecke festlegen und sich daher für die Verwendung von Produkten mit digitalen Elementen entscheiden, die strengere oder spezifischere Cybersicherheitsanforderungen erfüllen als die, die für die Bereitstellung auf dem Markt gemäß dieser Verordnung gelten. Unbeschadet der Richtlinien 2014/24/EU(⁷)Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die öffentliche Auftragsvergabe und zur Aufhebung der Richtlinie 2004/18/EG (ABl. L 94 vom 28.3.2014, S. 65). und 2014/25/EU(⁸)Richtlinie 2014/25/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die Vergabe von Aufträgen durch Auftraggeber im Bereich der Wasser-, Energie- und Verkehrsversorgung sowie der Postdienste und zur Aufhebung der Richtlinie 2004/17/EG (ABl. L 94 vom 28.3.2014, S. 243). des Europäischen Parlaments und des Rates sollten die Mitgliedstaaten bei der Beschaffung von Produkten mit digitalen Elementen, die den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen, einschließlich jener für den Umgang mit Sicherheitsrisiken, entsprechen müssen, sicherstellen, dass diese Anforderungen im Beschaffungsprozess berücksichtigt werden und auch die Fähigkeit der Hersteller zur wirksamen Anwendung von Cybersicherheitsmaßnahmen und zur Bewältigung von Cyberbedrohungen betrachtet wird. Darüber hinaus sind in der Richtlinie (EU) 2022/2555 Risikomanagementmaßnahmen im Bereich der Cybersicherheit für die wesentlichen und wichtigen Einrichtungen im Sinne von Artikel 3 der genannten Richtlinie festgelegt, die Maßnahmen zur Sicherheit der Lieferkette umfassen könnten, die erfordern, dass diese Einrichtungen Produkte mit digitalen Elementen verwenden, die strengeren als den in dieser Verordnung festgelegten Cybersicherheitsanforderungen genügen. Gemäß der Richtlinie (EU) 2022/2555 und ihrem Grundsatz der Mindestharmonisierung können die Mitgliedstaaten daher zusätzliche Cybersicherheitsanforderungen für die Verwendung von Produkten der Informations- und Kommunikationstechnologie (IKT-Produkte) durch wesentliche oder wichtige Einrichtungen gemäß der genannten Richtlinie festlegen, um für ein höheres Cybersicherheitsniveau zu sorgen, sofern diese Anforderungen mit den im Unionsrecht festgelegten Verpflichtungen der Mitgliedstaaten im Einklang stehen. Zu den von dieser Verordnung nicht erfassten Aspekten können auch nichttechnische Faktoren im Zusammenhang mit Produkten mit digitalen Elementen und deren Herstellern gehören. Die Mitgliedstaaten können daher nationale Maßnahmen festlegen, einschließlich Beschränkungen für Produkte mit digitalen Elementen oder für Anbieter solcher Produkte, die nichttechnischen Faktoren Rechnung tragen. Die nationalen Maßnahmen in Bezug auf solche Faktoren müssen mit dem Unionsrecht vereinbar sein.

In Anbetracht des der Softwareentwicklung innewohnenden Wiederholungscharakters sollten Hersteller, die aufgrund einer späteren wesentlichen Änderung an dem Produkt neue Versionen eines Softwareprodukts in den Verkehr gebracht haben, die Möglichkeit haben, während des Unterstützungszeitraums nur für die Version des Softwareprodukts, die sie zuletzt in den Verkehr gebracht haben, Sicherheitsaktualisierungen anzubieten. Dazu sollten sie nur dann berechtigt sein, wenn die Nutzer der einschlägigen früheren Produktversionen Zugang zu der zuletzt in den Verkehr gebrachten Produktversion haben und ihnen keine zusätzlichen Kosten für die Anpassung der Hardware- oder Softwareumgebung, in der sie das Produkt betreiben, entstehen. Das könnte beispielsweise der Fall sein, wenn eine Aufrüstung des Desktop-Betriebssystems keine neue Hardware erfordert, z. B. eine schnellere Zentraleinheit oder mehr Speicher. Dessen ungeachtet sollte der Hersteller während des Unterstützungszeitraums weiterhin sonstige Anforderungen an die Behandlung von Schwachstellen erfüllen und etwa über eine Strategie zur abgestimmten Offenlegung von Schwachstellen verfügen oder Vorkehrungen getroffen haben, um den Informationsaustausch über potenzielle Schwachstellen für alle nachfolgenden, wesentlich geänderten Versionen des in den Verkehr gebrachten Softwareprodukts zu erleichtern. Die Hersteller sollten die Möglichkeit haben, geringfügige Sicherheits- oder Funktionsaktualisierungen, die keine wesentliche Änderung darstellen, nur für die letzte Version oder Unterversion eines Softwareprodukts, das nicht wesentlich geändert wurde, bereitzustellen. Gleichzeitig sollte der Hersteller in Fällen, in denen ein Hardwareprodukt wie ein Smartphone nicht mit der neuesten Version des Betriebssystems kompatibel ist, mit dem es ursprünglich geliefert wurde, während des Unterstützungszeitraums zumindest für die letzte kompatible Version des Betriebssystems weiterhin Sicherheitsaktualisierungen bereitstellen.

Die Hersteller von Produkten, die in den Anwendungsbereich der Verordnung (EU) 2023/1230 des Europäischen Parlaments und des Rates(²⁴)Verordnung (EU) 2023/1230 des Europäischen Parlaments und des Rates vom 14. Juni 2023 über Maschinen und zur Aufhebung der Richtlinie 2006/42/EG des Europäischen Parlaments und des Rates und der Richtlinie 73/361/EWG des Rates (ABl. L 165 vom 29.6.2023, S. 1). fallen und bei deren Produkten es sich auch um Produkte mit digitalen Elementen im Sinne der vorliegenden Verordnung handelt, sollten sowohl die grundlegenden Cybersicherheitsanforderungen der vorliegenden Verordnung als auch die grundlegenden Sicherheits- und Gesundheitsschutzanforderungen gemäß der Verordnung (EU) 2023/1230 erfüllen. Die in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen und bestimmte grundlegende Anforderungen der Verordnung (EU) 2023/1230 betreffen unter Umstände ähnliche Cybersicherheitsrisiken. Daher könnte die Einhaltung der in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen die Einhaltung der grundlegenden Anforderungen erleichtern, die auch bestimmte Cybersicherheitsrisiken gemäß der Verordnung (EU) 2023/1230 abdecken, insbesondere die Anforderungen in Bezug auf den Schutz gegen Korrumpierung sowie die Sicherheit und Zuverlässigkeit von Steuerungen gemäß Anhang III Abschnitte 1.1.9 und 1.2.1 der genannten Verordnung. Solche Synergieeffekte müssen vom Hersteller nachgewiesen werden, beispielsweise durch die Anwendung harmonisierter Normen oder anderer technischer Spezifikationen, die die einschlägigen grundlegenden Cybersicherheitsanforderungen abdecken, nachdem eine Risikobewertung für die entsprechenden Cybersicherheitsrisiken durchgeführt wurde. Der Hersteller sollte auch die geltenden Konformitätsbewertungsverfahren gemäß dieser Verordnung und der Verordnung (EU) 2023/1230 befolgen. Die Kommission und die europäischen Normungsorganisationen sollten bei den vorbereitenden Arbeiten zur Unterstützung der Umsetzung dieser Verordnung und der Verordnung (EU) 2023/1230 und der damit verbundenen Normungsverfahren die Kohärenz fördern, was die Bewertung der Cybersicherheitsrisiken und die Art und Weise betrifft, wie diese Risiken durch harmonisierte Normen im Hinblick auf die einschlägigen grundlegenden Anforderungen abgedeckt werden sollen. Insbesondere sollten die Kommission und die europäischen Normungsorganisationen diese Verordnung bei der Ausarbeitung und Entwicklung harmonisierter Normen berücksichtigen, um die Durchführung der Verordnung (EU) 2023/1230 insbesondere in Bezug auf die Cybersicherheitsaspekte im Zusammenhang mit dem Schutz gegen Korrumpierung sowie der Sicherheit und Zuverlässigkeit von Steuerungen, die in Anhang III Abschnitte 1.1.9 und 1.2.1 der genannten Verordnung aufgeführt sind, zu erleichtern. Die Kommission sollte Leitlinien bereitstellen, um Hersteller, die dieser Verordnung und auch der Verordnung (EU) 2023/1230 unterliegen, zu unterstützen, um insbesondere den Nachweis der Einhaltung der einschlägigen grundlegenden Anforderungen der vorliegenden Verordnung und der Verordnung (EU) 2023/1230 zu erleichtern.

Sind bestimmte grundlegende Cybersicherheitsanforderungen auf ein Produkt mit digitalen Elementen nicht anwendbar, sollte der Hersteller dies in der Risikobewertung für die Cybersicherheit eindeutig begründen, die der technischen Dokumentation beigefügt ist. Dies könnte der Fall sein, wenn eine grundlegende Cybersicherheitsanforderung mit der Art eines Produkts mit digitalen Elementen unvereinbar ist. So kann es beispielsweise aufgrund der Zweckbestimmung eines Produkts mit digitalen Elementen erforderlich sein, dass der Hersteller weithin anerkannte Interoperabilitätsnormen befolgt, selbst wenn seine Sicherheitsmerkmale nicht mehr dem Stand der Technik entsprechen. Auch andere Rechtsvorschriften der Union verlangen, dass die Hersteller spezifischen Interoperabilitätsanforderungen genügen. Wenn eine grundlegende Cybersicherheitsanforderungen nicht für ein Produkt mit digitalen Elementen anwendbar ist, der Hersteller jedoch Cybersicherheitsrisiken im Zusammenhang mit dieser grundlegenden Cybersicherheitsanforderung ermittelt hat, sollte er Maßnahmen ergreifen, um diesen Risiken mit anderen Mitteln zu begegnen, beispielsweise indem er die Zweckbestimmung des Produkts auf vertrauenswürdige Umgebungen beschränkt oder die Nutzer über diese Risiken informiert.