Artikel 8 Kritische Produkte mit digitalen Elementen

Mit der Festlegung von Cybersicherheitsanforderungen für das Inverkehrbringen von Produkten mit digitalen Elementen soll die Cybersicherheit dieser Produkte sowohl für Verbraucher als auch für Unternehmen verbessert werden. Durch diese Anforderungen wird auch sichergestellt, dass die Cybersicherheit in der gesamten Lieferkette berücksichtigt wird, sodass Endprodukte mit digitalen Elementen und ihre Komponenten sicherer gemacht werden. Dies betrifft auch Anforderungen für das Inverkehrbringen von Verbraucherprodukten mit digitalen Elementen, die für schutzbedürftige Verbraucher bestimmt sind, wie z. B. Spielzeug und Babyphone-Systeme. Die Verbraucherprodukte mit digitalen Elementen, die in dieser Verordnung als wichtige Produkte mit digitalen Elementen eingestuft werden, sind mit einem höheren Cybersicherheitsrisiko behaftet, da ihre Funktionen ein erhebliches Risiko nachteiliger Auswirkungen in Bezug auf ihre Tragweite und ihre mögliche Beeinträchtigung der Gesundheit, Sicherheit oder Unversehrtheit der Nutzer solcher Produkte bergen, und sollten einem strengeren Konformitätsbewertungsverfahren unterzogen werden. Das gilt für Produkte wie intelligente Haushaltsgeräte mit Sicherheitsfunktionen, einschließlich intelligenter Türschlösser, Babyphone-Systemen und Alarmanlagen, vernetztes Spielzeug und am Körper tragbare medizinische Geräte (Wearables). Darüber hinaus werden die strengeren Konformitätsbewertungsverfahren, denen sonstige Produkte mit digitalen Elementen, die in dieser Verordnung als wichtige oder kritische Produkte mit digitalen Elementen eingestuft werden, unterzogen werden müssen, dazu beitragen, etwaige negative Auswirkungen auf die Verbraucher zu verhindern, die sich aus der Ausnutzung von Schwachstellen ergeben könnten.

Die in dieser Verordnung festgelegten Kategorien kritischer Produkte mit digitalen Elementen sind mit einer Cybersicherheitsfunktion verbunden und werden für eine Funktion verwendet, die ein beträchtliches Risiko nachteiliger Auswirkungen birgt, was ihre Tragweite und ihre Möglichkeit anbelangt, eine große Zahl anderer Produkte mit digitalen Elementen zu stören, zu kontrollieren oder zu schädigen, indem sie direkt manipuliert wird. Darüber hinaus gelten diese Kategorien von Produkten mit digitalen Elementen als kritische Abhängigkeiten für die in Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 genannten wesentlichen Einrichtungen. Die Kategorien kritischer Produkte mit digitalen Elementen, die aufgrund ihrer Kritikalität in einem Anhang dieser Verordnung aufgeführt sind, nutzen bereits häufig verschiedene Formen der Zertifizierung und fallen auch unter das auf gemeinsamen Kriterien beruhende europäische System für die Cybersicherheitszertifizierung (EUCC), das in der Durchführungsverordnung (EU) 2024/482(²⁰)Durchführungsverordnung (EU) 2024/482 der Kommission vom 31. Januar 2024 mit Durchführungsbestimmungen zur Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates hinsichtlich der Annahme des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC) (ABl. L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj). festgelegt ist. Um einen gemeinsamen angemessenen Schutz der Cybersicherheit kritischer Produkte mit digitalen Elementen in der Union sicherzustellen, könnte es daher angemessen und verhältnismäßig sein, solche Produktkategorien im Wege eines delegierten Rechtsakts der obligatorischen europäischen Cybersicherheitszertifizierung zu unterwerfen, wenn bereits ein einschlägiges europäisches Schema für die Cybersicherheitszertifizierung für diese Produkte besteht und die Kommission eine Bewertung der potenziellen Auswirkungen der geplanten obligatorischen Zertifizierung auf den Markt vorgenommen hat. Bei dieser Bewertung sollten sowohl die Angebots- als auch die Nachfrageseite berücksichtigt werden, einschließlich der Frage, ob eine ausreichende Nachfrage nach den betreffenden Produkten mit digitalen Elementen sowohl bei den Mitgliedstaaten als auch bei den Nutzern besteht, sodass eine europäische Cybersicherheitszertifizierung erforderlich ist, sowie die Zwecke, für die die Produkte mit digitalen Elementen verwendet werden sollen, einschließlich der kritischen Abhängigkeiten davon seitens der in Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 genannten wesentlichen Einrichtungen. Bei der Bewertung sollten auch die potenziellen Auswirkungen der obligatorischen Zertifizierung auf die Verfügbarkeit dieser Produkte auf dem Binnenmarkt sowie die Fähigkeiten und die Bereitschaft der Mitgliedstaaten mit Blick auf die Umsetzung der einschlägigen europäischen Schemata für die Cybersicherheitszertifizierung analysiert werden.

In delegierten Rechtsakten, mit denen eine verpflichtende europäische Cybersicherheitszertifizierung vorgeschrieben wird, sollten die Produkte mit digitalen Elementen bestimmt werden, die die Kernfunktionen einer in dieser Verordnung festgelegten Kategorie kritischer Produkte mit digitalen Elementen, die einer obligatorischen Zertifizierung unterworfen werden sollen, sowie die erforderliche Vertrauenswürdigkeitsstufe, die mindestens „mittel“ sein sollte, aufweisen. Die erforderliche Vertrauenswürdigkeitsstufe sollte in einem angemessenen Verhältnis zum Niveau des Cybersicherheitsrisikos stehen, das mit dem Produkt mit digitalen Elementen verbunden ist. Wenn beispielsweise das Produkt mit digitalen Elementen die Kernfunktion einer in dieser Verordnung festgelegten Kategorie kritischer Produkte mit digitalen Elementen aufweist und für die Verwendung in einer empfindlichen oder kritischen Umgebung vorgesehen ist, wie Produkte, die für die Verwendung durch die in Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 genannten wesentlichen Einrichtungen bestimmt sind, ist unter Umständen die höchste Vertrauenswürdigkeitsstufe erforderlich.

Um für einen gemeinsamen, angemessenen Schutz der Cybersicherheit von Produkten mit digitalen Elementen in der Union zu sorgen, die die Kernfunktion einer in dieser Verordnung festgelegten Kategorie kritischer Produkte mit digitalen Elementen aufweisen, sollte der Kommission auch die Befugnis übertragen werden, delegierte Rechtsakte zur Änderung dieser Verordnung zu erlassen, indem Kategorien kritischer Produkte mit digitalen Elementen hinzugefügt oder gestrichen werden, für die von den Herstellern verlangt werden könnte, im Rahmen eines europäischen Schemas für die Cybersicherheitszertifizierung gemäß der Verordnung (EU) 2019/881 ein europäisches Cybersicherheitszertifikat einzuholen, um die Konformität mit der vorliegenden Verordnung nachzuweisen. Eine neue Kategorie kritischer Produkte mit digitalen Elementen kann zu diesen Kategorien hinzugefügt werden, wenn eine kritische Abhängigkeit der in Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 genannten wesentlichen Einrichtungen von diesen Produkten besteht oder wenn sie von Sicherheitsvorfällen betroffen sind oder ausgenutzte Schwachstellen enthalten und dies zu Unterbrechungen kritischer Lieferketten führen könnte. Bei der Bewertung der Frage, ob es notwendig ist, mittels eines delegierten Rechtsakts Kategorien kritischer Produkte mit digitalen Bestandteilen hinzuzufügen oder zu streichen, sollte die Kommission berücksichtigen können, ob die Mitgliedstaaten auf nationaler Ebene Produkte mit digitalen Elementen ermittelt haben, die für die Resilienz wesentlicher Einrichtungen im Sinne von Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 von maßgeblicher Bedeutung sind und die zunehmend mit Cyberangriffen auf die Lieferkette zu kämpfen haben, was schwerwiegende Beeinträchtigungen zur Folge haben könnte. Darüber hinaus sollte die Kommission die Möglichkeit haben, das Ergebnis der koordinierten Risikobewertungen in Bezug auf die Sicherheit kritischer Lieferketten auf Ebene der Union, die gemäß Artikel 22 der Richtlinie (EU) 2022/2555 durchgeführt werden, zu berücksichtigen.

Mit der Verordnung (EU) 2019/881 ist ein freiwilliger europäischer Rahmen für die Cybersicherheitszertifizierung von IKT-Produkten, -Prozessen und -Diensten geschaffen worden. Die europäischen Schemata für die Cybersicherheitszertifizierung schaffen einen gemeinsamen Rahmen für das Vertrauen der Nutzer in die Verwendung von Produkten mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen. Die vorliegende Verordnung sollte folglich Synergieeffekte mit der Verordnung (EU) 2019/881 schaffen. Um die Bewertung der Konformität mit den in der vorliegenden Verordnung festgelegten Anforderungen zu erleichtern, wird bei Produkten mit digitalen Elementen, die im Rahmen eines von der Kommission in einem Durchführungsrechtsakt festgelegten europäischen Cybersicherheitsschemas gemäß der Verordnung (EU) 2019/881 zertifiziert worden sind oder für die im Rahmen eines solchen Schemas eine Konformitätserklärung ausgestellt wurde, davon ausgegangen, dass sie den in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen genügen, sofern das europäische Cybersicherheitszertifikat oder die Konformitätserklärung oder Teile davon diese Anforderungen abdecken. Die Notwendigkeit neuer europäischer Schemata für die Cybersicherheitszertifizierung von Produkten mit digitalen Elementen sollte im Lichte der vorliegenden Verordnung geprüft werden, auch bei der Ausarbeitung des fortlaufenden Arbeitsprogramms der Union gemäß der Verordnung (EU) 2019/881. Wenn ein neues Schema für Produkte mit digitalen Elementen erforderlich ist, um etwa die Einhaltung dieser Verordnung zu erleichtern, kann die Kommission die ENISA gemäß Artikel 48 der Verordnung (EU) 2019/881 ersuchen, mögliche Schemata auszuarbeiten. Solche künftigen europäischen Schemata für die Cybersicherheitszertifizierung von Produkten mit digitalen Elementen sollten den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen und Konformitätsbewertungsverfahren Rechnung tragen und die Einhaltung dieser Verordnung erleichtern. Für europäische Schemata für die Cybersicherheitszertifizierung, die vor dem Inkrafttreten dieser Verordnung in Kraft treten, können weitere Spezifikationen zu detaillierten Aspekten bezüglich der Anwendung einer Konformitätsvermutung erforderlich sein. Der Kommission sollte die Befugnis übertragen werden, im Wege von delegierten Rechtsakten festzulegen, unter welchen Bedingungen die europäischen Schemata für die Cybersicherheitszertifizierung zum Nachweis der Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen verwendet werden können. Um einen übermäßigen Verwaltungsaufwand zu vermeiden, sollten die Hersteller darüber hinaus nicht verpflichtet sein, für die betreffenden Anforderungen eine Konformitätsbewertung durch Dritte, wie in dieser Verordnung vorgesehen, durchzuführen zu lassen, wenn im Rahmen solcher europäischen Schemata für die Cybersicherheitszertifizierung ein europäisches Cybersicherheitszertifikat mindestens für die Stufe „mittel“ ausgestellt wurde.