Source: OJ L, 2025/2392, 1.12.2025Current language: DE
- Cyber resilience for products with digital elements
Implementing acts
- Technical description of product categories
Anhang II KRITISCHE PRODUKTE MIT DIGITALEN ELEMENTEN
Produktkategorie | Technische Beschreibung |
|---|---|
| Hardwareprodukte mit digitalen Elementen, die sensible Daten sicher speichern, verarbeiten oder verwalten oder kryptografische Vorgänge ausführen, aus mehreren diskreten Bauelementen bestehen, über eine physische Hardwarehülle verfügen und Manipulationserkennung, -widerstandsfähigkeit oder -reaktion als Abwehrmittel gegen physische Angriffe bieten. Zu dieser Kategorie gehören unter anderem physische Zahlungsterminals, Hardware-Sicherheitsmodule, die kryptografische Elemente erzeugen und verwalten, sowie Fahrtenschreiber, die der vorstehenden Beschreibung entsprechen. |
| Smart-Meter-Gateways sind Produkte mit digitalen Elementen, die die Kommunikation zwischen Komponenten in intelligenten Messsystemen (im Sinne des Artikels 2 Nummer 23 der Richtlinie (EU) 2019/944) oder an diese angeschlossenen Komponenten und befugten Dritten wie Versorgungsunternehmen steuern. Smart-Meter-Gateways erfassen, verarbeiten und speichern Messdaten oder personenbezogene Daten, schützen Daten- und Informationsflüsse durch Unterstützung spezifischer kryptografischer Anforderungen wie Verschlüsselung und Entschlüsselung von Daten, umfassen Firewall-Funktionen und stellen Hilfsmittel zur Steuerung anderer Geräte bereit. Diese Kategorie umfasst unter anderem Smart-Meter-Gateways im Zusammenhang mit intelligenten Messsystemen zur Messung von Elektrizität im Sinne des Artikels 2 Nummer 23 der Richtlinie (EU) 2019/944. Sie kann auch intelligente Smart-Meter-Gateways umfassen, die im Rahmen anderer intelligenter Messsysteme zur Messung des Verbrauchs anderer Energiequellen wie Gas oder Wärme verwendet werden, sofern das Gateway dieser Beschreibung entspricht. |
| Sicherheitselemente sind Mikrocontroller oder Mikroprozessoren mit sicherheitsrelevanten Funktionen wie etwa Manipulationserkennung, -widerstandsfähigkeit oder -reaktion. Sie speichern, verarbeiten oder verwalten üblicherweise kryptografische Vorgänge oder sensible Daten wie Identitätsnachweise oder Zahlungsdaten. Sicherheitselemente sind so konzipiert, dass sie Schutz mindestens auf AVA_VAN-Stufe 4 bieten, wie in den Gemeinsamen Kriterien oder der Gemeinsamen Evaluierungsmethodik festgelegt. Sie können diskrete Bauelemente aus Silizium sein oder in Ein-Chip-Systeme (System-on-a-Chip, SoC) integriert werden. Sicherheitselemente können eine Anwendungsumgebung oder ein Betriebssystem sowie eine oder mehrere Anwendungen umfassen. Zu dieser Kategorie gehören unter anderem Trusted Platform Modules (TPMs) und die embedded Universal Integrated Circuit Card (eUICC). |
Chipkarten oder ähnliche Geräte sind Sicherheitselemente, die in ein Trägermaterial wie etwa Kunststoff oder Holz in Form einer Karte integriert sind, oder Sicherheitselemente, die in Trägermaterialien in anderer Form integriert sind. Zu dieser Kategorie gehören unter anderem Ausweis- und Reisedokumente, qualifizierte Signaturkarten, austauschbare UICCs, physische Zahlungskarten, physische Zugangskarten, Karten für digitale Fahrtenschreiber oder Armbänder mit integrierten Sicherheitselementen für Zahlungen. |
Relevant recitals
Erwägungsgrund 2 Core functionality determines product category
Nach Artikel 7 Absatz 1 und Artikel 8 Absatz 1 der Verordnung (EU) 2024/2847 bestimmt die Kernfunktion eines Produkts mit digitalen Elementen, ob das Produkt mit digitalen Elementen der technischen Beschreibung einer Kategorie von wichtigen oder kritischen Produkten mit digitalen Elementen entspricht und folglich welchem Konformitätsbewertungsverfahren es unterliegt.
Erwägungsgrund 7 Examples are illustrative and non-exhaustive
Jene Verordnung enthält Beispiele für Produkte mit digitalen Elementen, deren Kernfunktion der technischen Beschreibung bestimmter wichtiger oder kritischer Produkte mit digitalen Elementen entspricht. Diese Beispiele dienen lediglich der Veranschaulichung und erheben keinen Anspruch auf Vollständigkeit.
Erwägungsgrund 8 AVA_VAN levels distinguish tamper-resistant hardware categories
Um den Herstellern Rechtssicherheit zu bieten, sollten die Kategorien von Produkten mit digitalen Elementen, bei denen es sich um manipulationssichere Mikroprozessoren, manipulationssichere Mikrocontroller sowie Chipkarten und ähnliche Geräte, einschließlich Sicherheitselemente, handelt, nach dem Grad der Widerstandsfähigkeit gegen die potenzielle Ausnutzung von Mängeln oder Schwachstellen, auf den sie ausgelegt sind, unterschieden werden. Mit den weitverbreiteten und standardisierten AVA_VAN-Stufen kann ein solcher Grad der Widerstandsfähigkeit angegeben werden. Die AVA_VAN-Stufen sind in den öffentlich zugänglichen Normen für Gemeinsame Kriterien und die Gemeinsame Evaluierungsmethodik festgelegt, die den bestehenden, auf dem Markt weitverbreiteten Zertifizierungsrahmen, wie der Durchführungsverordnung (EU) 2024/482 der Kommission(3)Durchführungsverordnung (EU) 2024/482 der Kommission vom 31. Januar 2024 mit Durchführungsbestimmungen zur Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates hinsichtlich der Annahme des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC) (ABl. L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj)., unterliegen. Mit der Durchführungsverordnung (EU) 2024/482 wurde ein europäisches System für die Cybersicherheitszertifizierung eingeführt, das zur Zertifizierung eines Produkts unter Angabe bestimmter Vertrauenswürdigkeitsstufen verwendet werden kann. Gestützt auf weltweite Praktiken sieht die Durchführungsverordnung (EU) 2024/482 die Möglichkeit vor, bis Ende 2027 Zertifikate auf der Grundlage früherer Versionen der Normen auszustellen. Im Zusammenhang mit der Verordnung (EU) 2024/2847 sollte es daher zulässig sein, die AVA_VAN-Stufen durch Bezugnahme auf die neueste Version oder auf frühere Versionen dieser Normen auszudrücken.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.