Recital 117 Power to adopt delegated acts

Damit der Rechtsrahmen erforderlichenfalls angepasst werden kann, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) Rechtsakte hinsichtlich der Aktualisierung der Liste wichtiger Produkte mit digitalen Elementen und deren Aufnahme in den Anhang der vorliegenden Verordnung zu erlassen. Der Kommission sollte die Befugnis übertragen werden, gemäß dem genannten Artikel Rechtsakte zu erlassen, um Produkte mit digitalen Elementen festzulegen, die unter andere Unionsvorschriften fallen, mit denen dasselbe Schutzniveau wie mit dieser Verordnung erreicht wird, und um festzustellen, ob eine Einschränkung oder ein Ausschluss vom Anwendungsbereich dieser Verordnung notwendig wäre, und gegebenenfalls den Umfang dieser Einschränkung festzulegen. Der Kommission sollte auch die Befugnis übertragen werden, gemäß dem genannten Artikel Rechtsakte zu erlassen, um möglichweise die Zertifizierung von in einem Anhang der vorliegenden Verordnung dargelegten kritischen Produkten mit digitalen Elementen im Rahmen eines europäischen Schemas für die Cybersicherheitszertifizierung vorzuschreiben, um die Liste kritischer Produkte mit digitalen Elementen auf der Grundlage der in dieser Verordnung festgelegten Kritikalitätskriterien zu aktualisieren und um die gemäß der Verordnung (EU) 2019/881 erlassenen europäischen Systeme für die Cybersicherheitszertifizierung festzulegen, die zum Nachweis der Konformität mit den grundlegenden Cybersicherheitsanforderungen oder Teilen davon gemäß einem Anhang der vorliegenden Verordnung verwendet werden können. Der Kommission sollte auch die Befugnis übertragen werden, Rechtsakte zu erlassen, um für bestimmte Produktkategorien den Mindestzeitraum für die Unterstützung zu bestimmen, wenn die Marktüberwachungsdaten auf unzureichende Unterstützungszeiträume hindeuten, und um die Geschäftsbedingungen für die Anwendung der Gründe in Bezug auf das Cybersicherheitsrisikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; festzulegen, wenn Meldungen über aktiv ausgenutzte Schwachstellen nur verzögert weitergegeben werden. Darüber hinaus sollte der Kommission die Befugnis übertragen werden, Rechtsakte zu erlassen, um freiwillige Programme zur Bescheinigung der Sicherheit zwecks Bewertung der Konformität von Produkten mit digitalen Elementen, die als freie und quelloffene Softwareeine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen; gelten, mit allen oder bestimmten grundlegenden Cybersicherheitsanforderungen oder anderweitigen in dieser Verordnung aufgeführten Pflichten festzulegen sowie um die Mindestangaben für die EU-Konformitätserklärung vorzuschreiben und die in die technische Dokumentation aufzunehmenden Elemente zu ergänzen. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen in Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung(³¹)ABl. L 123 vom 12.5.2016, S. 1. festgelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind. Die Befugnis zum Erlass delegierter Rechtsakte gemäß dieser Verordnung wird der Kommission für einen Zeitraum von fünf Jahren ab dem 10. Dezember 2024 übertragen. Die Kommission sollte spätestens neun Monate vor Ablauf des Zeitraums von fünf Jahren einen Bericht über die Befugnisübertragung erstellen. Die Befugnisübertragung sollte sich stillschweigend um Zeiträume gleicher Länge verlängern, es sei denn, das Europäische Parlament oder der Rat widersprechen einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.