Preamble Recitals

Die Verordnung (EU) 2024/2847 enthält Vorschriften für die CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; von Produkten mit digitalen Elementen. Insbesondere enthält Anhang III der genannten Verordnung Kategorien von wichtigen Produkten mit digitalen Elementen, die beim Inverkehrbringenbzw. „in den Verkehr bringen“ die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt; strengeren Konformitätsbewertungsverfahren unterliegen als andere Produkte mit digitalen Elementen. Anhang IV der Verordnung (EU) 2024/2847 enthält die Kategorien von kritischen Produkten mit digitalen Elementen, für die von den Herstellern verlangt werden könnte, im Rahmen eines europäischen Systems für die Cybersicherheitszertifizierung gemäß der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates(²)Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj). ein europäisches Cybersicherheitszertifikat einzuholen oder die beim Inverkehrbringenbzw. „in den Verkehr bringen“ die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt; einer obligatorischen Konformitätsbewertungdas Verfahren, mit dem überprüft wird, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt werden; durch Dritte unterliegen würden.

Nach Artikel 7 Absatz 1 und Artikel 8 Absatz 1 der Verordnung (EU) 2024/2847 bestimmt die Kernfunktion eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, ob das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; der technischen Beschreibung einer Kategorie von wichtigen oder kritischen Produkten mit digitalen Elementen entspricht und folglich welchem Konformitätsbewertungsverfahren es unterliegt.

Im Zuge der Entwicklung von Produkten mit digitalen Elementen und um die gewünschten Funktionen zu erzielen, integrieren die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in ihre eigenen Produkte mit digitalen Elementen üblicherweise andere Komponenten, bei denen es sich ebenfalls um Produkte mit digitalen Elementen handelt und die der technischen Beschreibung einer Kategorie von wichtigen oder kritischen Produkten entsprechen können. Gemäß der Verordnung (EU) 2024/2847 unterliegt ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; den Konformitätsbewertungsverfahren, die für wichtige oder kritische Produkte mit digitalen Elementen gelten, wenn es sich bei diesem Produkt insgesamt um ein wichtiges oder kritisches Produkt gemäß den Anhängen III und IV der genannten Verordnung handelt. So führt beispielsweise die Integration eines eingebetteten Browsers als KomponenteSoftware oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist; einer Nachrichten-App zur Verwendung mit Smartphones für sich genommen nicht dazu, dass die Nachrichten-App dem Konformitätsbewertungsverfahren unterliegt, das für Produkte mit digitalen Elementen gilt, die die Kernfunktion von „eigenständigen und eingebetteten Browsern“ aufweisen. Dennoch muss der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; gemäß der Verordnung (EU) 2024/2847 sicherstellen, dass das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; insgesamt die grundlegenden Cybersicherheitsanforderungen erfüllt. Daher muss der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; die Sicherheit des gesamten Produkts bewerten und dabei gegebenenfalls die Sicherheit der in das Produkt integrierten Komponenten oder Funktionen berücksichtigen. Damit der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; einer Nachrichten-App beispielsweise die Konformität seines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; mit der Verordnung (EU) 2024/2847 nachweisen kann, muss er nachweisen, dass die Nachrichten-App insgesamt die geltenden Anforderungen erfüllt, wobei gegebenenfalls die Sicherheit des in die App integrierten eingebetteten Browsers zu berücksichtigen ist.

Die Tatsache, dass ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; im Vergleich zu den technischen Beschreibungen jener Verordnung andere oder zusätzliche Funktionen erfüllt, bedeutet für sich genommen nicht, dass das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; nicht die Kernfunktionen einer in den Anhängen III und IV der Verordnung (EU) 2024/2847 aufgeführten Produktkategorie aufweist. Beispielsweise umfassen Produkte mit digitalen Elementen, die die Kernfunktion von „Betriebssystemen“ aufweisen, häufig Softwareden Teil eines elektronischen Informationssystems, der aus Computercode besteht; für Nebenfunktionen, die nicht in der technischen Beschreibung dieser Produktkategorie enthalten sind, wie z. B. Rechner oder einfache Grafikprogramme. Produkte mit digitalen Elementen enthalten häufig auch Komponenten, die die Funktion eines anderen wichtigen oder kritischen Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; aufweisen, wie z. B. ein Betriebssystem mit integrierter Browserfunktion oder einen Router mit integrierter Firewall-Funktion. Dies bedeutet jedoch für sich genommen nicht, dass solche Produkte mit digitalen Elementen nicht die Kernfunktion von „Betriebssystemen“ bzw. „Routern, Modems für die Internetanbindung und Switches“ aufweisen.

Ein Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, das die Funktionen einer in den Anhängen III und IV der Verordnung (EU) 2024/2847 aufgeführten Produktkategorie ausüben kann, dessen Kernfunktionen sich jedoch von der einer solchen Produktkategorie unterscheiden, gilt hingegen nicht als ein Produkt, das der technischen Beschreibung dieser Produktkategorie entspricht. So kann beispielsweise eine SOAR-Software (Security Orchestration, Automation and Response) häufig die Funktionen von Produkten mit digitalen Elementen in der Kategorie „Systeme für die Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM)“ erfüllen, d. h. Daten sammeln, analysieren und als umsetzbare Informationen für Sicherheitszwecke darstellen. Da ihre Kernfunktion jedoch eine andere als die eines SIEM ist, entspricht SOAR-Software in der Regel nicht der technischen Beschreibung von „Systemen für die Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM)“. Ein ähnliches Beispiel sind Smartphones, da diese üblicherweise Komponenten enthalten, die die Funktionen mehrerer in den Anhängen III und IV der Verordnung (EU) 2024/2847 aufgeführter Produktkategorien ausüben, wie z. B. ein Betriebssystem oder einen integrierten Passwort-Manager. Da die Kernfunktion eines Smartphones jedoch eine andere als die eines Betriebssystems oder eines Passwort-Managers ist, entspricht es in der Regel nicht der technischen Beschreibung dieser Produktkategorien.

Gemäß Artikel 13 Absätze 2 und 3 der Verordnung (EU) 2024/2847 müssen die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; von Produkten mit digitalen Elementen die grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I der Verordnung (EU) 2024/2847 in einer Weise umsetzen, die den Risiken des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; auf der Grundlage der Zweckbestimmungdie Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen sowie in der technischen Dokumentation; und der vernünftigerweise vorhersehbaren Verwendung sowie der Nutzungsbedingungen des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; unter Berücksichtigung der voraussichtlichen Nutzungsdauer des Produkts angemessen ist. Gemäß Artikel 13 Absätze 2 und 3 der genannten Verordnung und unabhängig davon, ob das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; als wichtiges oder kritisches Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; angesehen wird, müssen die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; eine umfassende Bewertung des Cybersicherheitsrisikosdas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; durchführen und Angaben dazu machen, wie die grundlegenden Cybersicherheitsanforderungen auf der Grundlage der Risikobewertung umgesetzt werden, sowie zur Erprobung und Vertrauenswürdigkeit. Entspricht die Kernfunktion des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; der technischen Beschreibung eines wichtigen oder kritischen Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, so müssen die Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; die Konformität im Rahmen der spezifischen Konformitätsbewertungsverfahren gemäß Artikel 32 Absätze 2, 3, 4 und 5 der Verordnung (EU) 2024/2847 nachweisen.

Jene Verordnung enthält Beispiele für Produkte mit digitalen Elementen, deren Kernfunktion der technischen Beschreibung bestimmter wichtiger oder kritischer Produkte mit digitalen Elementen entspricht. Diese Beispiele dienen lediglich der Veranschaulichung und erheben keinen Anspruch auf Vollständigkeit.

Um den Herstellern Rechtssicherheit zu bieten, sollten die Kategorien von Produkten mit digitalen Elementen, bei denen es sich um manipulationssichere Mikroprozessoren, manipulationssichere Mikrocontroller sowie Chipkarten und ähnliche Geräte, einschließlich Sicherheitselemente, handelt, nach dem Grad der Widerstandsfähigkeit gegen die potenzielle Ausnutzung von Mängeln oder Schwachstellen, auf den sie ausgelegt sind, unterschieden werden. Mit den weitverbreiteten und standardisierten AVA_VAN-Stufen kann ein solcher Grad der Widerstandsfähigkeit angegeben werden. Die AVA_VAN-Stufen sind in den öffentlich zugänglichen Normen für Gemeinsame Kriteriendie Gemeinsamen Kriterien für die Evaluierung der IT-Sicherheit im Sinne von Artikel 2 Absatz 1 der Durchführungsverordnung (EU) 2024/482 oder gemäß den in Artikel 3 Absatz 2 Buchstaben a und b jener Durchführungsverordnung genannten Normen; und die Gemeinsame Evaluierungsmethodikdie Gemeinsame Methodik für die Evaluierung der IT-Sicherheit im Sinne von Artikel 2 Absatz 2 der Durchführungsverordnung (EU) 2024/482 oder gemäß den in Artikel 3 Absatz 2 Buchstaben c und d jener Durchführungsverordnung genannten Normen. festgelegt, die den bestehenden, auf dem Markt weitverbreiteten Zertifizierungsrahmen, wie der Durchführungsverordnung (EU) 2024/482 der Kommission(³)Durchführungsverordnung (EU) 2024/482 der Kommission vom 31. Januar 2024 mit Durchführungsbestimmungen zur Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates hinsichtlich der Annahme des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC) (ABl. L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj)., unterliegen. Mit der Durchführungsverordnung (EU) 2024/482 wurde ein europäisches System für die Cybersicherheitszertifizierung eingeführt, das zur Zertifizierung eines Produkts unter Angabe bestimmter Vertrauenswürdigkeitsstufen verwendet werden kann. Gestützt auf weltweite Praktiken sieht die Durchführungsverordnung (EU) 2024/482 die Möglichkeit vor, bis Ende 2027 Zertifikate auf der Grundlage früherer Versionen der Normen auszustellen. Im Zusammenhang mit der Verordnung (EU) 2024/2847 sollte es daher zulässig sein, die AVA_VAN-Stufen durch Bezugnahme auf die neueste Version oder auf frühere Versionen dieser Normen auszudrücken.

Die in dieser Verordnung vorgesehenen Maßnahmen stehen im Einklang mit der Stellungnahme des nach Artikel 62 Absatz 1 der Verordnung (EU) 2024/2847 eingesetzten Ausschusses —