Artikel 61 Ausübung der Befugnisübertragung

Damit der Rechtsrahmen erforderlichenfalls angepasst werden kann, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) Rechtsakte hinsichtlich der Aktualisierung der Liste wichtiger Produkte mit digitalen Elementen und deren Aufnahme in den Anhang der vorliegenden Verordnung zu erlassen. Der Kommission sollte die Befugnis übertragen werden, gemäß dem genannten Artikel Rechtsakte zu erlassen, um Produkte mit digitalen Elementen festzulegen, die unter andere Unionsvorschriften fallen, mit denen dasselbe Schutzniveau wie mit dieser Verordnung erreicht wird, und um festzustellen, ob eine Einschränkung oder ein Ausschluss vom Anwendungsbereich dieser Verordnung notwendig wäre, und gegebenenfalls den Umfang dieser Einschränkung festzulegen. Der Kommission sollte auch die Befugnis übertragen werden, gemäß dem genannten Artikel Rechtsakte zu erlassen, um möglichweise die Zertifizierung von in einem Anhang der vorliegenden Verordnung dargelegten kritischen Produkten mit digitalen Elementen im Rahmen eines europäischen Schemas für die Cybersicherheitszertifizierung vorzuschreiben, um die Liste kritischer Produkte mit digitalen Elementen auf der Grundlage der in dieser Verordnung festgelegten Kritikalitätskriterien zu aktualisieren und um die gemäß der Verordnung (EU) 2019/881 erlassenen europäischen Systeme für die Cybersicherheitszertifizierung festzulegen, die zum Nachweis der Konformität mit den grundlegenden Cybersicherheitsanforderungen oder Teilen davon gemäß einem Anhang der vorliegenden Verordnung verwendet werden können. Der Kommission sollte auch die Befugnis übertragen werden, Rechtsakte zu erlassen, um für bestimmte Produktkategorien den Mindestzeitraum für die Unterstützung zu bestimmen, wenn die Marktüberwachungsdaten auf unzureichende Unterstützungszeiträume hindeuten, und um die Geschäftsbedingungen für die Anwendung der Gründe in Bezug auf das Cybersicherheitsrisiko festzulegen, wenn Meldungen über aktiv ausgenutzte Schwachstellen nur verzögert weitergegeben werden. Darüber hinaus sollte der Kommission die Befugnis übertragen werden, Rechtsakte zu erlassen, um freiwillige Programme zur Bescheinigung der Sicherheit zwecks Bewertung der Konformität von Produkten mit digitalen Elementen, die als freie und quelloffene Software gelten, mit allen oder bestimmten grundlegenden Cybersicherheitsanforderungen oder anderweitigen in dieser Verordnung aufgeführten Pflichten festzulegen sowie um die Mindestangaben für die EU-Konformitätserklärung vorzuschreiben und die in die technische Dokumentation aufzunehmenden Elemente zu ergänzen. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen in Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung(³¹)ABl. L 123 vom 12.5.2016, S. 1. festgelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind. Die Befugnis zum Erlass delegierter Rechtsakte gemäß dieser Verordnung wird der Kommission für einen Zeitraum von fünf Jahren ab dem 10. Dezember 2024 übertragen. Die Kommission sollte spätestens neun Monate vor Ablauf des Zeitraums von fünf Jahren einen Bericht über die Befugnisübertragung erstellen. Die Befugnisübertragung sollte sich stillschweigend um Zeiträume gleicher Länge verlängern, es sei denn, das Europäische Parlament oder der Rat widersprechen einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.

Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung sollten der Kommission Durchführungsbefugnisse in Bezug auf Folgendes übertragen werden: Festlegung der technischen Beschreibung der in einem Anhang dieser Verordnung aufgeführten Kategorien wichtiger Produkte mit digitalen Elementen, Festlegung des Formats und der Elemente der Software-Stückliste, Präzisierung des Formats und des Verfahrens der Meldungen über aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle, die sich auf die Sicherheit von Produkten mit digitalen Elementen, wie sie von den Herstellern übermittelt wurde, auswirken, Festlegung gemeinsamer Spezifikationen für technische Anforderungen, mit deren Hilfe den grundlegenden Cybersicherheitsanforderungen in einem Anhang dieser Verordnung genügt wird, Festlegung technischer Spezifikationen für Etiketten, Piktogramme oder andere Kennzeichnungen in Bezug auf die Sicherheit von Produkten mit digitalen Elementen und deren Unterstützungszeitraum sowie Mechanismen zur Förderung ihrer Verwendung und zur Sensibilisierung der Öffentlichkeit für die Sicherheit von Produkten mit digitalen Elementen, Festlegung des vereinfachten Formulars für die Dokumentation, das auf die Bedürfnisse von Kleinstunternehmen und kleinen Unternehmen zugeschnitten ist, sowie Entscheidung über Korrekturmaßnahmen oder einschränkende Maßnahmen auf Unionsebene unter außergewöhnlichen Umständen, die ein sofortiges Eingreifen rechtfertigen, um das reibungslose Funktionieren des Binnenmarkts zu bewahren. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates(³²)Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13, ELI: http://data.europa.eu/eli/reg/2011/182/oj). ausgeübt werden.