Artikel 2

Die Verordnung (EU) 2024/2847 enthält Vorschriften für die Cybersicherheit von Produkten mit digitalen Elementen. Insbesondere enthält Anhang III der genannten Verordnung Kategorien von wichtigen Produkten mit digitalen Elementen, die beim Inverkehrbringen strengeren Konformitätsbewertungsverfahren unterliegen als andere Produkte mit digitalen Elementen. Anhang IV der Verordnung (EU) 2024/2847 enthält die Kategorien von kritischen Produkten mit digitalen Elementen, für die von den Herstellern verlangt werden könnte, im Rahmen eines europäischen Systems für die Cybersicherheitszertifizierung gemäß der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates(²)Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj). ein europäisches Cybersicherheitszertifikat einzuholen oder die beim Inverkehrbringen einer obligatorischen Konformitätsbewertung durch Dritte unterliegen würden.

Nach Artikel 7 Absatz 1 und Artikel 8 Absatz 1 der Verordnung (EU) 2024/2847 bestimmt die Kernfunktion eines Produkts mit digitalen Elementen, ob das Produkt mit digitalen Elementen der technischen Beschreibung einer Kategorie von wichtigen oder kritischen Produkten mit digitalen Elementen entspricht und folglich welchem Konformitätsbewertungsverfahren es unterliegt.

Im Zuge der Entwicklung von Produkten mit digitalen Elementen und um die gewünschten Funktionen zu erzielen, integrieren die Hersteller in ihre eigenen Produkte mit digitalen Elementen üblicherweise andere Komponenten, bei denen es sich ebenfalls um Produkte mit digitalen Elementen handelt und die der technischen Beschreibung einer Kategorie von wichtigen oder kritischen Produkten entsprechen können. Gemäß der Verordnung (EU) 2024/2847 unterliegt ein Produkt mit digitalen Elementen den Konformitätsbewertungsverfahren, die für wichtige oder kritische Produkte mit digitalen Elementen gelten, wenn es sich bei diesem Produkt insgesamt um ein wichtiges oder kritisches Produkt gemäß den Anhängen III und IV der genannten Verordnung handelt. So führt beispielsweise die Integration eines eingebetteten Browsers als Komponente einer Nachrichten-App zur Verwendung mit Smartphones für sich genommen nicht dazu, dass die Nachrichten-App dem Konformitätsbewertungsverfahren unterliegt, das für Produkte mit digitalen Elementen gilt, die die Kernfunktion von „eigenständigen und eingebetteten Browsern“ aufweisen. Dennoch muss der Hersteller gemäß der Verordnung (EU) 2024/2847 sicherstellen, dass das Produkt mit digitalen Elementen insgesamt die grundlegenden Cybersicherheitsanforderungen erfüllt. Daher muss der Hersteller die Sicherheit des gesamten Produkts bewerten und dabei gegebenenfalls die Sicherheit der in das Produkt integrierten Komponenten oder Funktionen berücksichtigen. Damit der Hersteller einer Nachrichten-App beispielsweise die Konformität seines Produkts mit digitalen Elementen mit der Verordnung (EU) 2024/2847 nachweisen kann, muss er nachweisen, dass die Nachrichten-App insgesamt die geltenden Anforderungen erfüllt, wobei gegebenenfalls die Sicherheit des in die App integrierten eingebetteten Browsers zu berücksichtigen ist.

Die Tatsache, dass ein Produkt mit digitalen Elementen im Vergleich zu den technischen Beschreibungen jener Verordnung andere oder zusätzliche Funktionen erfüllt, bedeutet für sich genommen nicht, dass das Produkt mit digitalen Elementen nicht die Kernfunktionen einer in den Anhängen III und IV der Verordnung (EU) 2024/2847 aufgeführten Produktkategorie aufweist. Beispielsweise umfassen Produkte mit digitalen Elementen, die die Kernfunktion von „Betriebssystemen“ aufweisen, häufig Software für Nebenfunktionen, die nicht in der technischen Beschreibung dieser Produktkategorie enthalten sind, wie z. B. Rechner oder einfache Grafikprogramme. Produkte mit digitalen Elementen enthalten häufig auch Komponenten, die die Funktion eines anderen wichtigen oder kritischen Produkts mit digitalen Elementen aufweisen, wie z. B. ein Betriebssystem mit integrierter Browserfunktion oder einen Router mit integrierter Firewall-Funktion. Dies bedeutet jedoch für sich genommen nicht, dass solche Produkte mit digitalen Elementen nicht die Kernfunktion von „Betriebssystemen“ bzw. „Routern, Modems für die Internetanbindung und Switches“ aufweisen.

Ein Produkt mit digitalen Elementen, das die Funktionen einer in den Anhängen III und IV der Verordnung (EU) 2024/2847 aufgeführten Produktkategorie ausüben kann, dessen Kernfunktionen sich jedoch von der einer solchen Produktkategorie unterscheiden, gilt hingegen nicht als ein Produkt, das der technischen Beschreibung dieser Produktkategorie entspricht. So kann beispielsweise eine SOAR-Software (Security Orchestration, Automation and Response) häufig die Funktionen von Produkten mit digitalen Elementen in der Kategorie „Systeme für die Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM)“ erfüllen, d. h. Daten sammeln, analysieren und als umsetzbare Informationen für Sicherheitszwecke darstellen. Da ihre Kernfunktion jedoch eine andere als die eines SIEM ist, entspricht SOAR-Software in der Regel nicht der technischen Beschreibung von „Systemen für die Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM)“. Ein ähnliches Beispiel sind Smartphones, da diese üblicherweise Komponenten enthalten, die die Funktionen mehrerer in den Anhängen III und IV der Verordnung (EU) 2024/2847 aufgeführter Produktkategorien ausüben, wie z. B. ein Betriebssystem oder einen integrierten Passwort-Manager. Da die Kernfunktion eines Smartphones jedoch eine andere als die eines Betriebssystems oder eines Passwort-Managers ist, entspricht es in der Regel nicht der technischen Beschreibung dieser Produktkategorien.

Gemäß Artikel 13 Absätze 2 und 3 der Verordnung (EU) 2024/2847 müssen die Hersteller von Produkten mit digitalen Elementen die grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I der Verordnung (EU) 2024/2847 in einer Weise umsetzen, die den Risiken des Produkts mit digitalen Elementen auf der Grundlage der Zweckbestimmung und der vernünftigerweise vorhersehbaren Verwendung sowie der Nutzungsbedingungen des Produkts mit digitalen Elementen unter Berücksichtigung der voraussichtlichen Nutzungsdauer des Produkts angemessen ist. Gemäß Artikel 13 Absätze 2 und 3 der genannten Verordnung und unabhängig davon, ob das Produkt mit digitalen Elementen als wichtiges oder kritisches Produkt mit digitalen Elementen angesehen wird, müssen die Hersteller eine umfassende Bewertung des Cybersicherheitsrisikos durchführen und Angaben dazu machen, wie die grundlegenden Cybersicherheitsanforderungen auf der Grundlage der Risikobewertung umgesetzt werden, sowie zur Erprobung und Vertrauenswürdigkeit. Entspricht die Kernfunktion des Produkts mit digitalen Elementen der technischen Beschreibung eines wichtigen oder kritischen Produkts mit digitalen Elementen, so müssen die Hersteller die Konformität im Rahmen der spezifischen Konformitätsbewertungsverfahren gemäß Artikel 32 Absätze 2, 3, 4 und 5 der Verordnung (EU) 2024/2847 nachweisen.

Jene Verordnung enthält Beispiele für Produkte mit digitalen Elementen, deren Kernfunktion der technischen Beschreibung bestimmter wichtiger oder kritischer Produkte mit digitalen Elementen entspricht. Diese Beispiele dienen lediglich der Veranschaulichung und erheben keinen Anspruch auf Vollständigkeit.

Um den Herstellern Rechtssicherheit zu bieten, sollten die Kategorien von Produkten mit digitalen Elementen, bei denen es sich um manipulationssichere Mikroprozessoren, manipulationssichere Mikrocontroller sowie Chipkarten und ähnliche Geräte, einschließlich Sicherheitselemente, handelt, nach dem Grad der Widerstandsfähigkeit gegen die potenzielle Ausnutzung von Mängeln oder Schwachstellen, auf den sie ausgelegt sind, unterschieden werden. Mit den weitverbreiteten und standardisierten AVA_VAN-Stufen kann ein solcher Grad der Widerstandsfähigkeit angegeben werden. Die AVA_VAN-Stufen sind in den öffentlich zugänglichen Normen für Gemeinsame Kriterien und die Gemeinsame Evaluierungsmethodik festgelegt, die den bestehenden, auf dem Markt weitverbreiteten Zertifizierungsrahmen, wie der Durchführungsverordnung (EU) 2024/482 der Kommission(³)Durchführungsverordnung (EU) 2024/482 der Kommission vom 31. Januar 2024 mit Durchführungsbestimmungen zur Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates hinsichtlich der Annahme des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC) (ABl. L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj)., unterliegen. Mit der Durchführungsverordnung (EU) 2024/482 wurde ein europäisches System für die Cybersicherheitszertifizierung eingeführt, das zur Zertifizierung eines Produkts unter Angabe bestimmter Vertrauenswürdigkeitsstufen verwendet werden kann. Gestützt auf weltweite Praktiken sieht die Durchführungsverordnung (EU) 2024/482 die Möglichkeit vor, bis Ende 2027 Zertifikate auf der Grundlage früherer Versionen der Normen auszustellen. Im Zusammenhang mit der Verordnung (EU) 2024/2847 sollte es daher zulässig sein, die AVA_VAN-Stufen durch Bezugnahme auf die neueste Version oder auf frühere Versionen dieser Normen auszudrücken.