Technical description of product categories

Die Tatsache, dass ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; im Vergleich zu den technischen Beschreibungen jener Verordnung andere oder zusätzliche Funktionen erfüllt, bedeutet für sich genommen nicht, dass das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; nicht die Kernfunktionen einer in den Anhängen III und IV der Verordnung (EU) 2024/2847 aufgeführten Produktkategorie aufweist. Beispielsweise umfassen Produkte mit digitalen Elementen, die die Kernfunktion von „Betriebssystemen“ aufweisen, häufig Softwareden Teil eines elektronischen Informationssystems, der aus Computercode besteht; für Nebenfunktionen, die nicht in der technischen Beschreibung dieser Produktkategorie enthalten sind, wie z. B. Rechner oder einfache Grafikprogramme. Produkte mit digitalen Elementen enthalten häufig auch Komponenten, die die Funktion eines anderen wichtigen oder kritischen Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; aufweisen, wie z. B. ein Betriebssystem mit integrierter Browserfunktion oder einen Router mit integrierter Firewall-Funktion. Dies bedeutet jedoch für sich genommen nicht, dass solche Produkte mit digitalen Elementen nicht die Kernfunktion von „Betriebssystemen“ bzw. „Routern, Modems für die Internetanbindung und Switches“ aufweisen.

Ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, das die Funktionen einer in den Anhängen III und IV der Verordnung (EU) 2024/2847 aufgeführten Produktkategorie ausüben kann, dessen Kernfunktionen sich jedoch von der einer solchen Produktkategorie unterscheiden, gilt hingegen nicht als ein Produkt, das der technischen Beschreibung dieser Produktkategorie entspricht. So kann beispielsweise eine SOAR-Software (Security Orchestration, Automation and Response) häufig die Funktionen von Produkten mit digitalen Elementen in der Kategorie „Systeme für die Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM)“ erfüllen, d. h. Daten sammeln, analysieren und als umsetzbare Informationen für Sicherheitszwecke darstellen. Da ihre Kernfunktion jedoch eine andere als die eines SIEM ist, entspricht SOAR-Software in der Regel nicht der technischen Beschreibung von „Systemen für die Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM)“. Ein ähnliches Beispiel sind Smartphones, da diese üblicherweise Komponenten enthalten, die die Funktionen mehrerer in den Anhängen III und IV der Verordnung (EU) 2024/2847 aufgeführter Produktkategorien ausüben, wie z. B. ein Betriebssystem oder einen integrierten Passwort-Manager. Da die Kernfunktion eines Smartphones jedoch eine andere als die eines Betriebssystems oder eines Passwort-Managers ist, entspricht es in der Regel nicht der technischen Beschreibung dieser Produktkategorien.

Gemäß Artikel 13 Absätze 2 und 3 der Verordnung (EU) 2024/2847 müssen die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; von Produkten mit digitalen Elementen die grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I der Verordnung (EU) 2024/2847 in einer Weise umsetzen, die den Risiken des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; auf der Grundlage der Zweckbestimmungdie Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation; und der vernünftigerweise vorhersehbaren Verwendung sowie der Nutzungsbedingungen des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; unter Berücksichtigung der voraussichtlichen Nutzungsdauer des Produkts angemessen ist. Gemäß Artikel 13 Absätze 2 und 3 der genannten Verordnung und unabhängig davon, ob das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; als wichtiges oder kritisches Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; angesehen wird, müssen die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; eine umfassende Bewertung des Cybersicherheitsrisikosdas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; durchführen und Angaben dazu machen, wie die grundlegenden Cybersicherheitsanforderungen auf der Grundlage der Risikobewertung umgesetzt werden, sowie zur Erprobung und Vertrauenswürdigkeit. Entspricht die Kernfunktion des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; der technischen Beschreibung eines wichtigen oder kritischen Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, so müssen die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; die Konformität im Rahmen der spezifischen Konformitätsbewertungsverfahren gemäß Artikel 32 Absätze 2, 3, 4 und 5 der Verordnung (EU) 2024/2847 nachweisen.

Jene Verordnung enthält Beispiele für Produkte mit digitalen Elementen, deren Kernfunktion der technischen Beschreibung bestimmter wichtiger oder kritischer Produkte mit digitalen Elementen entspricht. Diese Beispiele dienen lediglich der Veranschaulichung und erheben keinen Anspruch auf Vollständigkeit.

Um den Herstellern Rechtssicherheit zu bieten, sollten die Kategorien von Produkten mit digitalen Elementen, bei denen es sich um manipulationssichere Mikroprozessoren, manipulationssichere Mikrocontroller sowie Chipkarten und ähnliche Geräte, einschließlich Sicherheitselemente, handelt, nach dem Grad der Widerstandsfähigkeit gegen die potenzielle Ausnutzung von Mängeln oder Schwachstellen, auf den sie ausgelegt sind, unterschieden werden. Mit den weitverbreiteten und standardisierten AVA_VAN-Stufen kann ein solcher Grad der Widerstandsfähigkeit angegeben werden. Die AVA_VAN-Stufen sind in den öffentlich zugänglichen Normen für Gemeinsame Kriteriendie Gemeinsamen Kriterien für die Evaluierung der IT-Sicherheit im Sinne von Artikel 2 Absatz 1 der Durchführungsverordnung (EU) 2024/482 oder gemäß den in Artikel 3 Absatz 2 Buchstaben a und b jener Durchführungsverordnung genannten Normen; und die Gemeinsame Evaluierungsmethodikdie Gemeinsame Methodik für die Evaluierung der IT-Sicherheit im Sinne von Artikel 2 Absatz 2 der Durchführungsverordnung (EU) 2024/482 oder gemäß den in Artikel 3 Absatz 2 Buchstaben c und d jener Durchführungsverordnung genannten Normen. festgelegt, die den bestehenden, auf dem Markt weitverbreiteten Zertifizierungsrahmen, wie der Durchführungsverordnung (EU) 2024/482 der Kommission(³)Durchführungsverordnung (EU) 2024/482 der Kommission vom 31. Januar 2024 mit Durchführungsbestimmungen zur Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates hinsichtlich der Annahme des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC) (ABl. L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj)., unterliegen. Mit der Durchführungsverordnung (EU) 2024/482 wurde ein europäisches System für die Cybersicherheitszertifizierung eingeführt, das zur Zertifizierung eines Produkts unter Angabe bestimmter Vertrauenswürdigkeitsstufen verwendet werden kann. Gestützt auf weltweite Praktiken sieht die Durchführungsverordnung (EU) 2024/482 die Möglichkeit vor, bis Ende 2027 Zertifikate auf der Grundlage früherer Versionen der Normen auszustellen. Im Zusammenhang mit der Verordnung (EU) 2024/2847 sollte es daher zulässig sein, die AVA_VAN-Stufen durch Bezugnahme auf die neueste Version oder auf frühere Versionen dieser Normen auszudrücken.

Die in dieser Verordnung vorgesehenen Maßnahmen stehen im Einklang mit der Stellungnahme des nach Artikel 62 Absatz 1 der Verordnung (EU) 2024/2847 eingesetzten Ausschusses —