Die Cyberresilienz-Verordnung

Gegenstand

Mit dieser Verordnung wird Folgendes festgelegt:

Anwendungsbereich

(1) Diese Verordnung gilt für auf dem Markt bereitgestellte Produkte mit digitalen Elementen, deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.

(2) Diese Verordnung gilt nicht für Produkte mit digitalen Elementen, auf die folgende Rechtsakte der Union Anwendung finden:

(3) Diese Verordnung gilt nicht für Produkte mit digitalen Elementen, die nach der Verordnung (EU) 2018/1139 zertifiziert worden sind.

(4) Diese Verordnung gilt nicht für Geräte, die in den Anwendungsbereich der Richtlinie 2014/90/EU des Europäischen Parlaments und des Rates (36) fallen.

(5) Die Anwendung dieser Verordnung auf Produkte mit digitalen Elementen, die unter andere Rechtsvorschriften der Union mit Anforderungen für alle oder einige der von den grundlegenden Cybersicherheitsanforderungen in Anhang I abgedeckten Risiken fallen, kann eingeschränkt oder ausgeschlossen werden, wenn

Der Kommission wird die Befugnis übertragen, gemäß Artikel 61 zur Ergänzung dieser Verordnung delegierte Rechtsakte zu erlassen, in denen sie die Notwendigkeit einer solchen Einschränkung oder eines solchen Ausschlusses feststellt und gegebenenfalls die betreffenden Produkte und Vorschriften sowie den Umfang der Einschränkung festlegt.

(6) Diese Verordnung gilt nicht für Ersatzteile, die auf dem Markt bereitgestellt werden, um identische Komponenten in Produkten mit digitalen Elementen zu ersetzen, und die nach denselben Spezifikationen hergestellt werden wie die Bauteile, die sie ersetzen sollen.

(7) Diese Verordnung gilt nicht für Produkte mit digitalen Elementen, die ausschließlich für Zwecke der nationalen Sicherheit oder für Verteidigungszwecke entwickelt oder geändert wurden, und auch nicht für Produkte, die speziell für die Verarbeitung von Verschlusssachen konzipiert sind.

(8) Die in dieser Verordnung festgelegten Verpflichtungen umfassen nicht die Bereitstellung von Informationen, deren Offenlegung wesentlichen Interessen der Mitgliedstaaten im Bereich der nationalen Sicherheit, der öffentlichen Sicherheit oder der Verteidigung zuwiderlaufen würde.

Begriffsbestimmungen

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck

Freier Verkehr

(1) Die Mitgliedstaaten behindern in den von dieser Verordnung erfassten Aspekten nicht die Bereitstellung auf dem Markt von Produkten mit digitalen Elementen, die dieser Verordnung entsprechen.

(2) Die Mitgliedstaaten verhindern nicht die Präsentation oder Verwendung eines Produkts mit digitalen Elementen, das dieser Verordnung nicht entspricht, bei Messen, Ausstellungen, Vorführungen oder ähnlichen Veranstaltungen, einschließlich Prototypen, sofern das Produkt mit eine sichtbare Kennzeichnung aufweist, die deutlich darauf hinweist, dass es dieser Verordnung nicht entspricht und erst auf dem Markt bereitgestellt werden darf, wenn es dies tut.

(3) Die Mitgliedstaaten verhindern nicht die Bereitstellung auf dem Markt von unfertiger Software, die dieser Verordnung nicht entspricht, sofern die Software nur für einen begrenzten Zeitraum zur Verfügung gestellt wird, der für Testzwecke erforderlich ist, und mit einer sichtbaren Kennzeichnung deutlich darauf hinweist, dass sie dieser Verordnung nicht entspricht und außer zu Testzwecken nicht auf dem Markt verfügbar sein wird.

(4) Absatz 3 gilt nicht für Sicherheitsbauteile im Sinne von anderen Harmonisierungsrechtsvorschriften der Union als dieser Verordnung.

Beschaffung oder Nutzung von Produkten mit digitalen Elementen

(1) Diese Verordnung hindert die Mitgliedstaaten nicht daran, Produkte mit digitalen Elementen bei der Beschaffung oder Verwendung dieser Produkte für bestimmte Zwecke zusätzlichen Cybersicherheitsanforderungen zu unterwerfen, auch wenn diese Produkte für Zwecke der nationalen Sicherheit oder Verteidigung beschafft oder verwendet werden, sofern diese Anforderungen mit den im Unionsrecht festgelegten Verpflichtungen der Mitgliedstaaten im Einklang stehen und für die Erreichung dieser Zwecke notwendig und verhältnismäßig sind.

(2) Unbeschadet der Richtlinien 2014/24/EU und 2014/25/EU stellen die Mitgliedstaaten bei der Beschaffung von Produkten mit digitalen Elementen, die in den Anwendungsbereich dieser Verordnung fallen, sicher, dass die Einhaltung der grundlegenden Cybersicherheitsanforderungen gemäß Anhang I dieser Verordnung, einschließlich der Fähigkeit der Hersteller, Schwachstellen wirksam zu bewältigen, im Vergabeverfahren berücksichtigt wird.

Anforderungen an Produkte mit digitalen Elementen

Produkte mit digitalen Elementen werden nur dann auf dem Markt bereitgestellt, wenn

Wichtige Produkte mit digitalen Elementen

(1) Produkte mit digitalen Elementen, die die Kernfunktionen einer in Anhang III aufgeführten Produktkategorie aufweisen, gelten als wichtige Produkte mit digitalen Elementen und unterliegen den in Artikel 32 Absätze 2 und 3 genannten Konformitätsbewertungsverfahren. Die Integration eines Produkts mit digitalen Elementen, das die Kernfunktionen einer in Anhang III aufgeführten Produktkategorie aufweist, führt für sich genommen nicht dazu, dass das Produkt, in das es integriert ist, den Konformitätsbewertungsverfahren gemäß Artikel 32 Absätze 2 und 3 unterliegt.

(2) Die in Absatz 1 dieses Artikels genannten Kategorien von Produkten mit digitalen Elementen, die gemäß Anhang III in die Klassen I und II unterteilt sind, erfüllen mindestens eines der folgenden Kriterien:

(3) Der Kommission wird die Befugnis übertragen, gemäß Artikel 61 delegierte Rechtsakte zur Änderung des Anhangs III zu erlassen, um innerhalb jeder Klasse der Kategorien von Produkten mit digitalen Elementen eine neue Kategorie in die Liste aufzunehmen und ihre Definition zu präzisieren, eine Produktkategorie von einer Klasse in die andere zu verschieben oder eine bestehende Kategorie von dieser Liste zu streichen. Bei der Bewertung der Notwendigkeit einer Änderung der Liste in Anhang III berücksichtigt die Kommission die cybersicherheitsbezogenen Funktionen oder die Funktion und die Höhe des von Produkten mit digitalen Elementen ausgehenden Cybersicherheitsrisikos gemäß den in Absatz 2 genannten Kriterien des vorliegenden Artikels.

Die in Unterabsatz 1 genannten delegierten Rechtsakte sehen gegebenenfalls einen Übergangszeitraum von mindestens 12 Monaten vor, insbesondere wenn eine neue Kategorie wichtiger Produkte mit digitalen Elementen der Klasse I oder II gemäß Anhang III hinzugefügt oder von der Klasse I in die Klasse II verschoben wird, bevor die einschlägigen Konformitätsbewertungsverfahren gemäß Artikel 32 Absätze 2 und 3 zur Anwendung kommen, es sei denn, ein kürzerer Übergangszeitraum ist aus Gründen äußerster Dringlichkeit gerechtfertigt.

(4) Bis zum 11. Dezember 2025 erlässt die Kommission einen Durchführungsrechtsakt, in dem sie die technische Beschreibung der nach Anhang III zu den Klassen I und II gehörigen Kategorien von Produkten mit digitalen Elementen und die technische Beschreibung der Kategorien von Produkten mit digitalen Elementen gemäß Anhang IV festlegt. Dieser Durchführungsrechtsakt wird nach dem Prüfverfahren gemäß Artikel 62 Absatz 2 erlassen.

Kritische Produkte mit digitalen Elementen

(1) Der Kommission wird die Befugnis übertragen, gemäß Artikel 61 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, um festzulegen, welche Produkte mit digitalen Elementen, die die Kernfunktionen einer in Anhang IV dieser Verordnung aufgeführten Produktkategorie aufweisen, ein europäisches Cybersicherheitszertifikat mindestens der Vertrauenswürdigkeitsstufe „mittel“ im Rahmen eines gemäß der Verordnung (EU) 2019/881 erlassenen europäischen Schemas für die Cybersicherheitszertifizierung erhalten müssen, um die Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I der vorliegenden Verordnung oder Teilen davon nachzuweisen, sofern ein europäisches Schema für die Cybersicherheitszertifizierung für diese Produktkategorien mit digitalen Elementen gemäß der Verordnung (EU) 2019/881 angenommen wurde und den Herstellern zur Verfügung steht. In diesen delegierten Rechtsakten wird die erforderliche Vertrauenswürdigkeitsstufe festgelegt, die in einem angemessenen Verhältnis zum Niveau des Cybersicherheitsrisikos stehen muss, das mit Produkten mit digitalen Elementen verbunden ist, und deren Zweckbestimmung, einschließlich der kritischen Abhängigkeit davon seitens wesentlicher Einrichtungen gemäß Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555, berücksichtigen muss.

Vor dem Erlass solcher delegierten Rechtsakte führt die Kommission eine Bewertung der potenziellen Auswirkungen der geplanten Maßnahmen auf den Markt durch und konsultiert die einschlägigen Interessenträger, einschließlich der mit der Verordnung (EU) 2019/881 eingerichteten Europäischen Gruppe für die Cybersicherheitszertifizierung. Bei der Bewertung werden die Bereitschaft und die Kapazität der Mitgliedstaaten für die Umsetzung des einschlägigen europäischen Schemas für die Cybersicherheitszertifizierung berücksichtigt. Wurden keine delegierten Rechtsakte gemäß Unterabsatz 1 erlassen, so unterliegen Produkte mit digitalen Elementen, die Kernfunktionen einer Produktkategorie gemäß Anhang IV aufweisen, den Konformitätsbewertungsverfahren gemäß Artikel 32 Absatz 3.

Die in Unterabsatz 1 genannten delegierten Rechtsakte müssen einen Übergangszeitraum von mindestens sechs Monaten vorsehen, es sei denn, ein kürzerer Übergangszeitraum ist aus Gründen äußerster Dringlichkeit gerechtfertigt.

(2) Der Kommission wird die Befugnis übertragen, gemäß Artikel 61 delegierte Rechtsakte zur Änderung von Anhang IV zu erlassen, um Kategorien kritischer Produkte mit digitalen Elementen hinzuzufügen oder zu streichen. Bei der Festlegung solcher Kategorien kritischer Produkte mit digitalen Elementen und der erforderlichen Vertrauenswürdigkeitsstufe gemäß Absatz 1 berücksichtigt die Kommission die in Artikel 7 Absatz 2 genannten Kriterien und stellt sicher, dass die Kategorie von Produkten mit digitalen Elementen mindestens einem der folgenden Kriterien entspricht:

Vor dem Erlass solcher delegierten Rechtsakte führt die Kommission eine Bewertung der in Absatz 1 genannten Art durch.

Die in Unterabsatz 1 genannten delegierten Rechtsakte müssen einen Übergangszeitraum von mindestens sechs Monaten vorsehen, es sei denn, ein kürzerer Übergangszeitraum ist aus Gründen äußerster Dringlichkeit gerechtfertigt.

Konsultation der Interessenträger

(1) Bei der Vorbereitung von Maßnahmen für die Durchführung dieser Verordnung konsultiert die Kommission die einschlägigen Interessenträger, wie die einschlägigen Behörden der Mitgliedstaaten, Unternehmen des Privatsektors, einschließlich Kleinstunternehmen und kleiner und mittlerer Unternehmen, die Open-Source-Software-Gemeinschaft, Verbraucherverbände, Hochschulen und einschlägige Agenturen und Einrichtungen der Union sowie auf Unionsebene eingerichtete Expertengruppen, und berücksichtigt deren Ansichten. Insbesondere konsultiert die Kommission in folgenden Fällen gegebenenfalls in folgender strukturierter Weise diese Interessenträger und holt deren Ansichten ein:

(2) Die Kommission organisiert regelmäßig, mindestens einmal jährlich, Konsultations- und Informationssitzungen, um die Ansichten der in Absatz 1 genannten Interessenträger zur Durchführung dieser Verordnung einzuholen.

Ausbau der Kompetenzen in einem digitalen Umfeld mit Cyberabwehrfähigkeit

Für die Zwecke dieser Verordnung und um den Bedürfnissen der Fachkräfte bei der Unterstützung der Durchführung dieser Verordnung gerecht zu werden, fördern die Mitgliedstaaten — gegebenenfalls mit Unterstützung der Kommission, des Europäischen Kompetenzzentrums für Cybersicherheit und der ENISA — unter uneingeschränkter Achtung der Verantwortung der Mitgliedstaaten im Bildungsbereich Maßnahmen und Strategien, die auf Folgendes abzielen:

Allgemeine Produktsicherheit

Abweichend von Artikel 2 Absatz 1 Unterabsatz 3 Buchstabe b der Verordnung (EU) 2023/988 finden Kapitel III Abschnitt 1, Kapitel V und VII sowie die Kapitel IX bis XI der genannten Verordnung Anwendung auf Produkte mit digitalen Elementen in Bezug auf Aspekte und Risiken oder Risikokategorien, die nicht unter die vorliegende Verordnung fallen, sofern diese Produkte keinen besonderen Sicherheitsanforderungen unterliegen, die in anderen „Harmonisierungsrechtsvorschriften der Union“ im Sinne von Artikel 3 Nummer 27 der Verordnung (EU) 2023/988 festgelegt sind.

Hochrisiko-KI-Systeme

(1) Unbeschadet der Anforderungen in Bezug auf Genauigkeit und Robustheit gemäß Artikel 15 der Verordnung (EU) 2024/1689 gelten Produkte mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen und die gemäß Artikel 6 der genannten Verordnung als Hochrisiko-KI-Systeme eingestuft werden, als mit den Cybersicherheitsanforderungen gemäß Artikel 15 der genannten Verordnung konform, wenn

(2) Für die in Absatz 1 genannten Produkte mit digitalen Elementen und Cybersicherheitsanforderungen gilt das einschlägige in Artikel 43 der Verordnung (EU) 2024/1689 vorgesehene Konformitätsbewertungsverfahren. Für die Zwecke dieser Bewertung sind die notifizierten Stellen, die gemäß der Verordnung (EU) 2024/1689 dafür zuständig sind, die Konformität der Hochrisiko-KI-Systeme zu kontrollieren, auch dafür zuständig, im Rahmen der vorliegenden Verordnung die Konformität der Hochrisiko-KI-Systeme mit den Anforderungen in Anhang I der vorliegenden Verordnung zu kontrollieren, sofern in dem nach der Verordnung (EU) 2024/1689 durchgeführten Notifizierungsverfahren geprüft wurde, ob diese notifizierten Stellen die in Artikel 39 der vorliegenden Verordnung festgelegten Anforderungen erfüllen.

(3) Abweichend von Absatz 2 des vorliegenden Artikels unterliegen die in Anhang III der vorliegenden Verordnung aufgeführten wichtigen Produkte mit digitalen Elementen, die den Konformitätsbewertungsverfahren gemäß Artikel 32 Absatz 2 Buchstaben a und b und Artikel 32 Absatz 3 der vorliegenden Verordnung unterliegen, sowie in Anhang IV der vorliegenden Verordnung aufgeführte kritische Produkte mit digitalen Elementen, die gemäß Artikel 8 Absatz 1 der vorliegenden Verordnung ein europäisches Cybersicherheitszertifikat erhalten müssen oder — in Ermangelung eines solchen Zertifikats — die den Konformitätsbewertungsverfahren gemäß Artikel 32 Absatz 3 der vorliegenden Verordnung unterliegen, und auch nach Artikel 6 der Verordnung (EU) 2024/1689 als Hochrisiko-KI-Systeme eingestuft sind und für die das Konformitätsbewertungsverfahren auf der Grundlage einer internen Kontrolle gemäß Anhang VI der Verordnung (EU) 2024/1689 gilt, den in der vorliegenden Verordnung vorgesehenen Konformitätsbewertungsverfahren, soweit dies die in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen betrifft.

(4) Hersteller von Produkten mit digitalen Elementen gemäß Absatz 1 können an den KI-Reallaboren gemäß Artikel 57 der Verordnung (EU) 2024/1689 teilnehmen.

Pflichten der Hersteller

(1) Wenn sie ein Produkt mit digitalen Elementen in den Verkehr bringen, gewährleisten die Hersteller, dass dieses Produkt gemäß den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I konzipiert, entwickelt und hergestellt worden ist.

(2) Für die Zwecke der Erfüllung von Absatz 1 führen die Hersteller eine Bewertung der Cybersicherheitsrisiken durch, die ein Produkt mit digitalen Elementen birgt, und berücksichtigen das Ergebnis dieser Bewertung in der Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase des Produkts mit digitalen Elementen, um die Cybersicherheitsrisiken zu minimieren, Sicherheitsvorfälle zu verhindern und die Auswirkungen solcher Sicherheitsvorfälle, auch in Bezug auf die Gesundheit und Sicherheit der Nutzer, so gering wie möglich zu halten.

(3) Die Bewertung des Cybersicherheitsrisikos wird während eines gemäß Absatz 8 festzulegenden Unterstützungszeitraums dokumentiert und gegebenenfalls aktualisiert. Diese Bewertung des Cybersicherheitsrisikos umfasst mindestens eine Analyse der Cybersicherheitsrisiken auf der Grundlage der Zweckbestimmung und der vernünftigerweise vorhersehbaren Verwendung des Produkts mit digitalen Elementen, wie der Betriebsumgebung oder der zu schützenden Anlagen, wobei die voraussichtliche Nutzungsdauer des Produkts berücksichtigt wird. In der Bewertung des Cybersicherheitsrisikos wird angegeben, ob und gegebenenfalls in welcher Weise die Sicherheitsanforderungen gemäß Anhang I Teil I Nummer 2 auf das einschlägige Produkt mit digitalen Elementen anwendbar sind und wie diese Anforderungen auf der Grundlage der Bewertung des Cybersicherheitsrisikos umgesetzt werden. Ferner ist anzugeben, wie der Hersteller Anhang I Teil I Nummer 1 anzuwenden hat und welche Anforderungen an die Behandlung von Schwachstellen in Anhang I Teil II festgelegt sind.

(4) Wenn er ein Produkt mit digitalen Elementen in den Verkehr bringt, nimmt der Hersteller die Bewertung der Cybersicherheitsrisiken gemäß Absatz 3 in die gemäß Artikel 31 und Anhang VII vorgeschriebene technische Dokumentation auf. Bei Produkten mit digitalen Elementen gemäß Artikel 12, die auch anderen Unionsrechtsvorschriften unterliegen, kann die Bewertung der Cybersicherheitsrisiken auch Teil der in den betreffenden Unionsrechtsvorschriften geforderten Risikobewertungen sein. Sind bestimmte grundlegende Cybersicherheitsanforderungen nicht auf das Produkt mit digitalen Elementen anwendbar, so nimmt der Hersteller eine klare Begründung hierfür in diese technische Dokumentation auf.

(5) Für die Zwecke der Erfüllung der in Absatz 1 festgelegten Pflicht lassen die Hersteller die gebotene Sorgfalt walten, wenn sie von Dritten bezogene Komponenten in ihre Produkte mit digitalen Elementen integrieren, sodass solche Komponenten die Cybersicherheit des Produkts mit digitalen Elementen nicht beeinträchtigen, auch nicht bei der Integration von freier und quelloffener Software, die nicht im Rahmen einer Geschäftstätigkeit auf dem Markt bereitgestellt wurde.

(6) Sobald der Hersteller eine Schwachstelle in einer in das Produkt mit digitalen Elementen integrierten Komponente, einschließlich einer quelloffenen Komponente, feststellt, meldet er die Schwachstelle der Person oder Einrichtung, die diese Komponente herstellt oder wartet, und behandelt und behebt die Schwachstelle gemäß den in Anhang I Teil II festgelegten Anforderungen an die Behandlung von Schwachstellen. Haben Hersteller eine Software- oder Hardware-Änderung entwickelt, um die Schwachstelle in dieser Komponente zu beheben, teilen sie den betreffenden Code oder die einschlägigen Unterlagen der Person oder Stelle, die die Komponente herstellt oder wartet, gegebenenfalls in einem maschinenlesbaren Format mit.

(7) Der Hersteller dokumentiert systematisch und in einer der Art der Cybersicherheitsrisiken angemessenen Weise alle relevanten Cybersicherheitsaspekte des Produkts mit digitalen Elementen, einschließlich der Schwachstellen, von denen er Kenntnis erlangt, und aller von Dritten bereitgestellten einschlägigen Informationen und aktualisiert gegebenenfalls die Bewertung der Cybersicherheitsrisiken des Produkts.

(8) Wenn sie ein Produkt mit digitalen Elementen in den Verkehr bringen und während der erwarteten Produktlebensdauer und des Unterstützungszeitraums stellen die Hersteller sicher, dass Schwachstellen dieses Produkts, einschließlich seiner Komponenten, wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden.

Die Hersteller legen den Unterstützungszeitraum so fest, dass er die Dauer der voraussichtlichen Nutzung des Produkts widerspiegelt, wobei sie insbesondere angemessenen Erwartungen der Nutzer, der Art des Produkts, einschließlich seiner Zweckbestimmung, sowie den einschlägigen Rechtsvorschriften der Union zur Festlegung der Lebensdauer von Produkten mit digitalen Elementen Rechnung tragen. Bei der Festlegung des Unterstützungszeitraums können die Hersteller auch die Unterstützungszeiträume für Produkte mit digitalen Elementen mit einer ähnlichen Funktion, die von anderen Herstellern in den Verkehr gebracht werden, die Verfügbarkeit der Betriebsumgebung, die Unterstützungszeiträume für integrierte Komponenten, die Kernfunktionen erbringen und von Dritten bezogen werden, sowie die einschlägigen Leitlinien der gemäß Artikel 52 Absatz 15 eingesetzten besondere Gruppe zur administrativen Zusammenarbeit (ADCO) und der Kommission berücksichtigen. Die zur Bestimmung des Unterstützungszeitraums zu berücksichtigenden Aspekte werden in einer Weise berücksichtigt, die die Verhältnismäßigkeit gewährleistet.

Unbeschadet Unterabsatz 2 beträgt der Unterstützungszeitraum mindestens fünf Jahre. Wird davon ausgegangen, dass das Produkt mit digitalen Elementen weniger als fünf Jahre im Betrieb ist, muss der Unterstützungszeitraum der voraussichtlichen Nutzungsdauer entsprechen.

Unter Berücksichtigung der ADCO-Empfehlungen gemäß Artikel 52 Absatz 16 kann die Kommission gemäß Artikel 61 delegierte Rechtsakte erlassen, um diese Verordnung durch die Festlegung des Mindestunterstützungszeitraums für bestimmte Produktkategorien zu ergänzen, wenn die Marktüberwachungsdaten auf unangemessene Unterstützungszeiträume hindeuten.

Die Hersteller nehmen die Informationen, die bei der Bestimmung des Unterstützungszeitraums eines Produkts mit digitalen Elementen berücksichtigt wurden, in die technische Dokumentation gemäß Anhang VII auf.

Die Hersteller haben geeignete Strategien und Verfahren, darunter eine Strategie für die koordinierte Offenlegung von Schwachstellen gemäß Anhang I Teil II Nummer 5, um potenzielle Schwachstellen in dem Produkt mit digitalen Elementen, die von internen oder externen Quellen gemeldet werden, zu bearbeiten und zu beheben.

(9) Die Hersteller gewährleisten, dass jede Sicherheitsaktualisierung gemäß Anhang I Teil II Nummer 8, die den Nutzern während des Unterstützungszeitraums zur Verfügung gestellt wurde, nach ihrer Bereitstellung für mindestens zehn Jahre oder für die verbleibende Dauer des Unterstützungszeitraums, je nachdem, welcher Zeitraum länger ist, verfügbar bleibt.

(10) Hat ein Hersteller nachfolgende wesentlich geänderte Versionen eines Softwareprodukts in den Verkehr gebracht, so kann er die Sicherstellung der Einhaltung der in Anhang I Teil II Nummer 2 festgelegten grundlegenden Cybersicherheitsanforderung auf die Version beschränken, die der Hersteller zuletzt in den Verkehr gebracht hat, sofern die Nutzer der zuvor in den Verkehr gebrachten Version kostenlos Zugang zu der zuletzt in den Verkehr gebrachten Version haben und ihnen keine zusätzlichen Kosten für die Anpassung der Hardware- und Softwareumgebung entstehen, in der sie die Originalversion dieses Produkts verwenden.

(11) Die Hersteller können öffentliche Softwarearchive unterhalten, die den Nutzern den Zugang zu historischen Versionen erleichtern. In diesen Fällen werden die Nutzer klar und in leicht zugänglicher Form über die Risiken im Zusammenhang mit der Verwendung nicht unterstützter Software informiert.

(12) Bevor sie ein Produkt mit digitalen Elementen in den Verkehr bringen, erstellen die Hersteller die in Artikel 31 genannte technische Dokumentation.

Sie führen die gewählten Konformitätsbewertungsverfahren gemäß Artikel 32 durch oder lassen sie durchführen.

Ist mit diesem Konformitätsbewertungsverfahren nachgewiesen worden, dass das Produkt mit digitalen Elementen den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I genügt und die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II genügen, so stellen die Hersteller die EU-Konformitätserklärung gemäß Artikel 28 aus und bringen die CE-Kennzeichnung gemäß Artikel 30 an.

(13) Die Hersteller bewahren die technische Dokumentation und die EU-Konformitätserklärung nach dem Inverkehrbringen des Produkts mit digitalen Elementen mindestens zehn Jahre lang oder für die Dauer des Unterstützungszeitraums, je nachdem, welcher Zeitraum länger ist, für die Marktüberwachungsbehörden auf.

(14) Die Hersteller gewährleisten durch geeignete Verfahren, dass die Konformität von Produkten mit digitalen Elementen mit dieser Verordnung bei einer Serienherstellung sichergestellt bleibt. Die Hersteller berücksichtigen in angemessener Weise etwaige Änderungen am Entwicklungs- und Herstellungsverfahren oder an der Konzeption oder den Merkmalen des Produkts mit digitalen Elementen sowie Änderungen der harmonisierten Normen, der europäischen Schemata für die Cybersicherheitszertifizierung oder der in Artikel 27 genannten gemeinsamen Spezifikationen, die bei der Erklärung der Konformität des Produkts mit digitalen Elementen zugrunde gelegt oder bei der Überprüfung seiner Konformität angewandt wurden.

(15) Die Hersteller gewährleisten, dass ihre Produkte mit digitalen Elementen eine Typen-, Chargen- oder Seriennummer oder ein anderes Kennzeichen zu ihrer Identifikation tragen, oder, falls dies nicht möglich ist, dass die diese Informationen auf der Verpackung oder in den dem Produkt mit digitalen Elementen beigefügten Unterlagen angegeben werden.

(16) Die Hersteller geben den Namen, den eingetragenen Handelsnamen oder die eingetragene Handelsmarke des Herstellers, die Postanschrift, die E-Mail-Adresse oder andere digitale Kontaktangaben sowie, soweit vorhanden, die Website, unter der der Hersteller zu erreichen ist, entweder auf dem Produkt mit digitalen Elementen selbst oder, wenn dies nicht möglich ist, auf der Verpackung oder in den dem Produkt mit digitalen Elementen beigefügten Unterlagen an. Diese Informationen werden auch in die in Informationen und Anleitungen für den Nutzer gemäß Anhang II aufgenommen. Die Kontaktangaben sind in einer Sprache abzufassen, die von den Nutzern und den Marktüberwachungsbehörden leicht verstanden werden kann.

(17) Für die Zwecke dieser Verordnung benennen die Hersteller eine zentrale Anlaufstelle, die es den Nutzern ermöglicht, direkt und schnell mit ihnen zu kommunizieren, auch um die Meldung von Schwachstellen des Produkts mit digitalen Elementen zu erleichtern.

Die Hersteller stellen sicher, dass die zentrale Anlaufstelle von den Nutzern leicht ermittelt werden kann. Sie nehmen die zentrale Anlaufstelle auch in die Informationen und Anleitungen für die Nutzer gemäß Anhang II auf.

Die zentrale Anlaufstelle ermöglicht es den Nutzern, ihr bevorzugtes Kommunikationsmittel zu wählen, wobei diese Mittel nicht auf automatisierte Instrumente beschränkt werden dürfen.

(18) Die Hersteller gewährleisten, dass den Produkten mit digitalen Elementen die in Anhang II genannten Informationen und Anleitungen für den Nutzer in Papierform oder elektronischer Form beigefügt sind. Diese Informationen und Anleitungen müssen in einer Sprache bereitgestellt werden, die von den Nutzern und den Marktüberwachungsbehörden leicht verstanden werden kann. Sie müssen klar, verständlich, deutlich und lesbar sein. Sie müssen die sichere Installation, den sicheren Betrieb und die sichere Verwendung der Produkte mit digitalen Elementen ermöglichen. Die Hersteller stellen die Informationen und Anleitungen für den Nutzer gemäß Anhang II nach dem Inverkehrbringen des Produkts mit digitalen Elementen mindestens zehn Jahre lang oder für die Dauer des Unterstützungszeitraums, je nachdem, welcher Zeitraum länger ist, den Nutzern zur Verfügung. Werden diese Informationen und Anleitungen online bereitgestellt, so stellen die Hersteller sicher, dass sie zugänglich, benutzerfreundlich und mindestens zehn Jahre lang nach dem Inverkehrbringen des Produkts mit digitalen Elementen oder während des Unterstützungszeitraums, je nachdem, welcher Zeitraum länger ist, online verfügbar sind.

(19) Die Hersteller stellen sicher, dass das Enddatum des in Absatz 8 genannten Unterstützungszeitraums, zum Zeitpunkt des Kaufs in leicht zugänglicher Weise und sofern zutreffend auf dem Produkt mit digitalen Elementen, seiner Verpackung oder mit digitalen Mitteln klar und verständlich angegeben wird, wobei mindestens der Monat und das Jahr anzugeben sind.

Sofern dies angesichts der Art des Produkts mit digitalen Elementen technisch machbar ist, zeigen die Hersteller den Nutzern eine Mitteilung an, um sie darüber zu unterrichten, dass das Ende des Unterstützungszeitraums ihres Produkts mit digitalen Elementen erreicht ist.

(20) Die Hersteller fügen dem Produkt mit digitalen Elementen entweder eine Kopie der EU-Konformitätserklärung oder eine vereinfachte EU-Konformitätserklärung bei. Wird nur eine vereinfachte EU-Konformitätserklärung bereitgestellt, muss darin die genaue Internetadresse angegeben sein, unter der die vollständige EU-Konformitätserklärung eingesehen werden kann.

(21) Ab dem Inverkehrbringen und während des Unterstützungszeitraums ergreifen die Hersteller, denen bekannt ist oder die Grund zu der Annahme haben, dass das Produkt mit digitalen Elementen oder die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I nicht genügen, unverzüglich die erforderlichen Korrekturmaßnahmen, um die Konformität dieses Produkts mit digitalen Elementen oder der Prozesse des Herstellers herzustellen oder um gegebenenfalls das Produkt vom Markt zu nehmen oder zurückzurufen.

(22) Die Hersteller übermitteln der Marktüberwachungsbehörde auf deren begründetes Verlangen in Papierform oder in elektronischer Form in einer für diese Behörde leicht verständlichen Sprache alle Informationen und Unterlagen, die für den Nachweis der Konformität des Produkts mit digitalen Elementen und der vom Hersteller festgelegten Verfahren mit den grundlegenden Cybersicherheitsanforderungen in Anhang I erforderlich sind. Die Hersteller arbeiten mit dieser Behörde auf deren Verlangen bei allen Maßnahmen zur Abwendung der Cybersicherheitsrisiken zusammen, die mit dem von ihnen in den Verkehr gebrachten Produkt mit digitalen Elementen verbunden sind.

(23) Ein Hersteller, der seine Betriebstätigkeit einstellt und infolgedessen nicht in der Lage ist, diese Verordnung zu erfüllen, unterrichtet vor dem Wirksamwerden der Betriebseinstellung die einschlägigen Marktüberwachungsbehörden sowie — mit allen verfügbaren Mitteln und soweit möglich — die Nutzer der einschlägigen in den Verkehr gebrachten Produkte mit digitalen Elementen über die bevorstehende Einstellung der Betriebstätigkeit.

(24) Die Kommission kann im Wege von Durchführungsrechtsakten unter Berücksichtigung europäischer oder internationaler Normen und bewährter Verfahren das Format und die Elemente der Software-Stückliste gemäß Anhang I Teil II Nummer 1 festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 62 Absatz 2 genannten Prüfverfahren erlassen.

(25) Um die Abhängigkeit der Mitgliedstaaten und der Union insgesamt von Softwarekomponenten und insbesondere von Komponenten, die als freie und quelloffene Software gelten, zu bewerten, kann die ADCO beschließen, für bestimmte Kategorien von Produkten mit digitalen Elementen eine unionsweite Bewertung der Abhängigkeit durchzuführen. Zu diesem Zweck können die Marktüberwachungsbehörden die Hersteller solcher Kategorien von Produkten mit digitalen Elementen auffordern, die entsprechenden Software-Stücklisten gemäß Anhang I Teil II Nummer 1 vorzulegen. Auf der Grundlage dieser Informationen können die Marktüberwachungsbehörden der ADCO anonymisierte und aggregierte Informationen über Softwareabhängigkeiten zur Verfügung stellen. Die ADCO legt der gemäß Artikel 14 der Richtlinie (EU) 2022/2555 eingesetzten Kooperationsgruppe einen Bericht über die Ergebnisse der Abhängigkeitsbewertung vor.

Meldepflichten der Hersteller

(1) Ein Hersteller meldet jede aktiv ausgenutzte Schwachstelle, die in dem Produkt mit digitalen Elementen enthalten ist und von der er Kenntnis erlangt, gleichzeitig dem gemäß Absatz 7 als Koordinator benannten CSIRT und der ENISA. Der Hersteller meldet diese aktiv ausgenutzte Schwachstelle über die gemäß Artikel 16 eingerichtete einheitliche Meldeplattform.

(2) Für die Zwecke der Mitteilung gemäß Absatz 1 legt der Hersteller Folgendes vor:

(3) Ein Hersteller meldet jeden schwerwiegenden Sicherheitsvorfall, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt und von der er Kenntnis erlangt, gleichzeitig dem gemäß Absatz 7 als Koordinator benannten CSIRT und der ENISA. Der Hersteller meldet diesen Sicherheitsvorfall über die gemäß Artikel 16 eingerichtete einheitliche Meldeplattform.

(4) Für die Zwecke der Mitteilung gemäß Absatz 3 legt der Hersteller Folgendes vor:

(5) Für die Zwecke von Absatz 3 gilt ein Sicherheitsvorfall, der Auswirkungen auf die Sicherheit des Produkts mit digitalen Elementen hat, als schwerwiegend, wenn

(6) Erforderlichenfalls kann das als Koordinator benannte CSIRT, dass ursprünglich die Meldung erhält, die Hersteller auffordern, einen Zwischenbericht über relevante Statusaktualisierungen über die aktiv genutzte Schwachstelle oder den schwerwiegenden Sicherheitsvorfall, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt, vorzulegen.

(7) Die Meldungen gemäß den Absätzen 1 und 3 des vorliegenden Artikels werden über die in Artikel 16 genannte einheitliche Meldeplattform unter Verwendung eines der in Artikel 16 Absatz 1 genannten Endpunkte für die elektronische Meldung übermittelt. Die Meldung wird über den Endpunkt für die elektronische Meldung des CSIRT übermittelt, der als Koordinator des Mitgliedstaats benannt wurde, in dem die Hersteller ihre Hauptniederlassung in der Union haben, und ist gleichzeitig für die ENISA zugänglich.

Für die Zwecke dieser Verordnung wird davon ausgegangen, dass ein Hersteller seine Hauptniederlassung in der Union in dem Mitgliedstaat hat, in dem die Entscheidungen im Zusammenhang mit der Cybersicherheit seiner Produkte mit digitalen Elementen überwiegend getroffen werden. Kann ein solcher Mitgliedstaat nicht bestimmt werden, so gilt als Mitgliedstaat der Hauptniederlassung der Mitgliedstaat, in dem der betreffende Hersteller die Niederlassung mit der höchsten Beschäftigtenzahl in der Union hat.

Hat ein Hersteller keine Hauptniederlassung in der Union, so übermittelt er die in den Absätzen 1 und 3 genannten Meldungen unter Verwendung des Endpunkts für die elektronische Meldung des in dem Mitgliedstaat als Koordinator benannten CSIRT, der gemäß folgender Reihenfolge und auf der Grundlage der dem Hersteller zur Verfügung stehenden Informationen bestimmt wurde:

In Bezug auf Unterabsatz 3 Buchstabe d kann ein Hersteller Meldungen im Zusammenhang mit späteren aktiv ausgenutzten Schwachstellen oder schwerwiegenden Sicherheitsvorfällen, die sich auf die Sicherheit des Produkts mit digitalen Elementen auswirken, an dasselbe CSIRT richten, das als Koordinator benannt wurde und dem er zuerst Meldung erstattet hat.

(8) Nachdem der Hersteller Kenntnis von einer aktiv ausgenutzten Schwachstelle oder einem schwerwiegenden Sicherheitsvorfall, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt, erlangt hat, informiert er die betroffenen Nutzer des Produkts mit digitalen Elementen und gegebenenfalls alle Nutzer über diese Schwachstelle oder diesen schwerwiegenden Sicherheitsvorfall und erforderlichenfalls über jegliche Risikominderungsmaßnahmen und Korrekturmaßnahmen, die die Nutzer ergreifen können, um die Auswirkungen dieser Schwachstellen oder Sicherheitsvorfälle zu mindern, gegebenenfalls in einem strukturierten, maschinenlesbaren Format, das leicht automatisch zu verarbeiten ist. Versäumt es der Hersteller, die Nutzer des Produkts mit digitalen Elementen rechtzeitig zu informieren, können die als Koordinatoren benannten CSIRTs diese Informationen den Nutzern zur Verfügung stellen, wenn sie dies für verhältnismäßig und erforderlich halten, um die Auswirkungen dieser Schwachstellen oder Sicherheitsvorfälle zu verhindern oder abzumildern.

(9) Bis zum 11. Dezember 2025 erlässt die Kommission einen delegierten Rechtsakt gemäß Artikel 61 der vorliegenden Verordnung zur Ergänzung dieser Verordnung durch Festlegung der Modalitäten und Bedingungen für die Anwendung der Cybersicherheitsgründe im Zusammenhang mit der Verzögerung der Verbreitung von Meldungen gemäß Artikel 16 Absatz 2 der vorliegenden Verordnung. Die Kommission arbeitet bei der Ausarbeitung des Entwurfs des delegierten Rechtsakts mit dem gemäß Artikel 15 der Richtlinie (EU) 2022/2555 eingerichteten CSIRTs-Netzwerk und der ENISA zusammen.

(10) Die Kommission kann im Wege von Durchführungsrechtsakten das Format und die Verfahren für die in diesem Artikel sowie in den Artikeln 15 und 16 genannten Meldungen präzisieren. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 62 Absatz 2 genannten Prüfverfahren erlassen. Die Kommission arbeitet bei der Ausarbeitung der Entwürfe von Durchführungsrechtsakten mit dem CSIRTs-Netzwerk und der ENISA zusammen.

Freiwillige Meldungen

(1) Hersteller sowie andere natürliche oder juristische Personen können jede in einem Produkt mit digitalen Elementen enthaltene Schwachstelle sowie Cyberbedrohungen, die sich auf das Risikoprofil eines Produkts mit digitalen Elementen auswirken könnten, freiwillig einem als Koordinator benannten CSIRT oder der ENISA melden.

(2) Hersteller sowie andere natürliche oder juristische Personen können jeden Sicherheitsvorfall, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt, sowie Beinahe-Vorfälle, die zu einem solchen Sicherheitsvorfall hätten führen können, auf freiwilliger Basis einem als Koordinator benannten CSIRT oder der ENISA melden.

(3) Das als Koordinator benannte CSIRT oder die ENISA bearbeitet die in den Absätze 1 und 2 genannten Meldungen nach dem in Artikel 16 vorgesehenen Verfahren.

Das als Koordinator benannte CSIRT kann verpflichtende Meldungen vorrangig vor freiwilligen Meldungen bearbeiten.

(4) Meldet eine andere natürliche oder juristische Person als der Hersteller gemäß Absatz 1 oder 2 eine aktiv ausgenutzte Schwachstelle oder einen schwerwiegenden Sicherheitsvorfall mit Auswirkungen auf die Sicherheit eines Produkts mit digitalen Elementen, so unterrichtet das als Koordinator benannte CSIRT den Hersteller unverzüglich.

(5) Die als Koordinator benannten CSIRTs und die ENISA stellen die Vertraulichkeit und den angemessenen Schutz der von einer meldenden natürlichen oder juristischen Person übermittelten Informationen sicher. Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten dürfen die freiwilligen Meldungen nicht dazu führen, dass der meldenden natürlichen oder juristischen Person zusätzliche Pflichten auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte.

Einrichtung einer einheitlichen Meldeplattform

(1) Für die Zwecke der Meldungen gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze1 und 2 und zur Vereinfachung der Meldepflichten der Hersteller richtet die ENISA eine einheitliche Meldeplattform ein. Der laufende Betrieb dieser einheitlichen Meldeplattform wird von der ENISA gesteuert und aufrechterhalten. Die Architektur der einheitlichen Meldeplattform muss es den Mitgliedstaaten und der ENISA ermöglichen, ihre eigenen Endpunkte für die elektronische Meldung einzurichten.

(2) Nach Erhalt einer Meldung leitet das als Koordinator benannte CSIRT, das die Meldung ursprünglich erhält, die Meldung über die einheitliche Meldeplattform unverzüglich an die als Koordinatoren benannten CSIRT weiter, in deren Hoheitsgebiet das Produkt mit digitalen Elementen nach Angaben des Herstellers bereitgestellt wurde.

Unter außergewöhnlichen Umständen und insbesondere auf Antrag des Herstellers und angesichts des vom Hersteller gemäß Artikel 14 Absatz 2 Buchstabe a der vorliegenden Verordnung angegebenen Grades der Sensibilität der gemeldeten Informationen kann die Verbreitung der Meldung aus berechtigten Gründen im Zusammenhang mit der Cybersicherheit so lange, wie unbedingt erforderlich, hinausgeschoben werden, auch wenn eine Schwachstelle einem koordinierten Verfahren zur Offenlegung von Schwachstellen gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 unterliegt. Beschließt ein CSIRT, eine Meldung zurückzuhalten, so unterrichtet es die ENISA unverzüglich über die Entscheidung und legt sowohl eine Begründung für die Zurückhaltung der Meldung als auch eine Angabe dazu vor, wann es die Meldung gemäß dem in diesem Absatz festgelegten Verfahren verbreiten wird. Die ENISA kann das CSIRT bei der Anwendung von Cybersicherheitsgründen im Zusammenhang mit der Verzögerung der Verbreitung der Meldung unterstützen.

Unter besonderen außergewöhnlichen Umständen, wenn der Hersteller in der Mitteilung gemäß Artikel 14 Absatz 2 Buchstabe b Folgendes angibt:

werden nur die Informationen darüber, dass der Hersteller eine Meldung vorgenommen hat, die allgemeinen Informationen über das Produkt, die Informationen über die allgemeine Art der Ausnutzung und die Informationen, dass Sicherheitsgründe geltend gemacht wurden, gleichzeitig der ENISA zur Verfügung gestellt, bis die vollständige Meldung an die betreffenden CSIRTs und die ENISA weitergeleitet wird. Ist die ENISA auf der Grundlage dieser Informationen der Auffassung, dass ein Systemrisiko für die Sicherheit des Binnenmarkts besteht, empfiehlt sie dem CSIRT, bei dem die Meldung eingegangen ist, die vollständige Meldung an die anderen als Koordinatoren benannten CSIRTs und an die ENISA selbst weiterzuleiten.

(3) Nach Erhalt einer Meldung über eine aktiv ausgenutzte Schwachstelle in einem Produkt mit digitalen Elementen oder über einen schwerwiegenden Sicherheitsvorfall, der sich auf die Sicherheit eines Produkts mit digitalen Elementen auswirkt, stellen die als Koordinatoren benannten CSIRTs den Marktüberwachungsbehörden ihres jeweiligen Mitgliedstaats die gemeldeten Informationen zur Verfügung, die diese benötigen, damit sie ihren Verpflichtungen gemäß dieser Verordnung nachkommen können.

(4) Die ENISA ergreift geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen, um die Risiken für die Sicherheit der einheitlichen Meldeplattform und der über die einheitliche Meldeplattform übermittelten oder verbreiteten Informationen zu bewältigen. Sie meldet dem CSIRTs-Netzwerk und der Kommission unverzüglich jeden Sicherheitsvorfall, der die einheitliche Meldeplattform betrifft.

(5) Die ENISA stellt in Zusammenarbeit mit dem CSIRTs-Netzwerk Spezifikationen für die technischen, operativen und organisatorischen Maßnahmen für die Einrichtung, die Pflege und den sicheren Betrieb der einheitlichen Meldeplattform gemäß Absatz 1bereit und setzt sie um, einschließlich zumindest der Sicherheitsvorkehrungen im Zusammenhang mit der Einrichtung, dem Betrieb und der Wartung der einheitlichen Meldeplattform sowie der von den als Koordinatoren auf nationaler Ebene benannten CSIRTs und der ENISA auf Unionsebene eingerichteten Endpunkte für die elektronische Meldung, einschließlich Verfahrensaspekten, um sicherzustellen, dass Informationen über diese Schwachstellen im Einklang mit strengen Sicherheitsprotokollen und nach dem Grundsatz „Kenntnis nur, wenn nötig“ weitergegeben werden, wenn für eine gemeldete Schwachstelle keine Korrektur- oder Risikominderungsmaßnahmen verfügbar sind.

(6) Wurde ein CSIRT, das als Koordinator benannt wurde, im Rahmen eines koordinierten Verfahrens zur Offenlegung von Schwachstellen gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 auf eine aktiv ausgenutzte Schwachstelle aufmerksam gemacht, so kann das als Koordinator benannte CSIRT, das die Meldung ursprünglich erhalten hat, die Verbreitung der betreffenden Meldung über die einheitliche Meldeplattform aus berechtigten Gründen im Zusammenhang mit der Cybersicherheit um einen Zeitraum aufschieben, der nicht länger als unbedingt erforderlich ist, bis die beteiligten Parteien der koordinierten Offenlegung von Schwachstellen ihre Zustimmung zur Offenlegung erteilt haben. Diese Anforderung hindert die Hersteller nicht daran, eine solche Schwachstelle freiwillig nach dem in diesem Artikel festgelegten Verfahren zu melden.

Sonstige Bestimmungen im Zusammenhang mit der Berichterstattung

(1) Die ENISA kann dem Europäischen Netzwerk der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe), das durch Artikel 16 der Richtlinie (EU) 2022/2555 eingerichtet wurde, die gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der vorliegenden Verordnung gemeldeten Informationen, sofern diese Informationen für das koordinierte Management massiver Cybersicherheitsvorfälle und -krisen auf operativer Ebene von Bedeutung sind. Für die Zwecke der Bestimmung dieser Bedeutung kann die ENISA gegebenenfalls technische Analysen des CSIRTs-Netzwerks berücksichtigen.

(2) Ist eine Sensibilisierung der Öffentlichkeit erforderlich, um einen schwerwiegenden Sicherheitsvorfall mit Auswirkungen auf die Sicherheit des Produkts mit digitalen Elementen zu verhindern oder zu mindern oder um einen laufenden Sicherheitsvorfall zu bewältigen, oder liegt die Offenlegung des Sicherheitsvorfalls anderweitig im öffentlichen Interesse, so kann das als Koordinator des betreffenden Mitgliedstaats benannte CSIRT nach Konsultation des betreffenden Herstellers und gegebenenfalls in Zusammenarbeit mit der ENISA die Öffentlichkeit über den Sicherheitsvorfall informieren oder den Hersteller auffordern, dies zu tun.

(3) Die ENISA erstellt auf der Grundlage der nach Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der vorliegenden Verordnung eingegangenen Meldungen alle 24 Monate einen technischen Bericht über aufkommende Trends der Cybersicherheitsrisiken bei Produkten mit digitalen Elementen und legt ihn der gemäß Artikel 14 der Richtlinie (EU) 2022/2555 eingerichteten Kooperationsgruppe vor. Der erste solche Bericht wird innerhalb von 24 Monaten nach Beginn der Geltung der in Artikel 14 Absätze 1 und 3 festgelegten Pflichten vorgelegt. Die ENISA nimmt einschlägige Informationen aus ihren technischen Berichten in ihren Bericht über den Stand der Cybersicherheit in der Union gemäß Artikel 18 der Richtlinie (EU) 2022/2555 auf.

(4) Die bloße Meldung gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 begründet keine höhere Haftung der meldenden natürlichen oder juristischen Person.

(5) Sobald eine Sicherheitsaktualisierung oder eine andere Form von Korrektur- oder Risikominderungsmaßnahme verfügbar ist, nimmt die ENISA im Einvernehmen mit dem Hersteller des betreffenden Produkts mit digitalen Elementen die gemäß Artikel 14 Absatz 1 oder Artikel 15 Absatz 1 der vorliegenden Verordnung gemeldete öffentlich bekannte Schwachstelle in die gemäß Artikel 12 Absatz 2 der Richtlinie (EU) 2022/2555 eingerichtete europäische Schwachstellendatenbank auf.

(6) Die als Koordinatoren benannten CSIRTs bieten Helpdesk-Unterstützung für Hersteller und insbesondere Hersteller, die als Kleinstunternehmen oder als kleine oder mittlere Unternehmen gelten, in Bezug auf die Meldepflichten gemäß Artikel 14.

Bevollmächtigte

(1) Ein Hersteller kann schriftlich einen Bevollmächtigten benennen.

(2) Die in Artikel 13 Absatz 1 bis Absatz 11, Artikel 13 Absatz 12 Unterabsatz 1 und Artikel 13 Absatz 14 festgelegten Pflichten sind nicht Teil des Auftrags des Bevollmächtigten.

(3) Ein Bevollmächtigter nimmt die Aufgaben wahr, die in dem vom Hersteller erteilten Auftrag festgelegt sind. Der Bevollmächtigte legt den Marktüberwachungsbehörden auf Verlangen eine Kopie des Auftrags vor. Der Auftrag muss es dem Bevollmächtigten ermöglichen, mindestens folgende Aufgaben wahrzunehmen:

Pflichten der Einführer

(1) Die Einführer bringen nur Produkte mit digitalen Elementen in den Verkehr, die den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I genügen und bei denen die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II genügen.

(2) Bevor sie ein Produkt mit digitalen Elementen in den Verkehr bringen, stellen die Einführer sicher, dass

Für die Zwecke dieses Absatzes müssen die Einführer in der Lage sein, die erforderlichen Unterlagen zum Nachweis der Erfüllung der in diesem Artikel festgelegten Anforderungen vorzulegen.

(3) Ist ein Einführer der Auffassung oder hat er Grund zu der Annahme, dass ein Produkt mit digitalen Elementen oder die vom Hersteller festgelegten Verfahren dieser Verordnung nicht genügen, bringt er das Produkt erst dann in den Verkehr, wenn die Konformität dieses Produkts und der vom Hersteller festgelegten Verfahren mit dieser Verordnung hergestellt ist. Wenn das Produkt mit digitalen Elementen ein erhebliches Cybersicherheitsrisiko birgt, unterrichtet der Einführer zudem den Hersteller und die Marktüberwachungsbehörden hiervon.

Hat ein Einführer Grund zu der Annahme, dass ein Produkt mit digitalen Elementen angesichts nichttechnischer Risikofaktoren ein erhebliches Cybersicherheitsrisiko darstellen könnte, so unterrichtet er die Marktüberwachungsbehörden hiervon. Nach Erhalt dieser Informationen befolgen die Marktüberwachungsbehörden die in Artikel 54 Absatz 2 genannten Verfahren.

(4) Die Einführer geben ihren Namen, ihren eingetragenen Handelsnamen oder ihre eingetragene Handelsmarke, ihre Postanschrift, ihre E-Mail-Adresse oder andere digitale Kontaktmöglichkeiten sowie gegebenenfalls die Website, unter der sie zu erreichen sind, entweder auf dem Produkt mit digitalen Elementen selbst oder auf der Verpackung oder in den dem Produkt mit digitalen Elementen beigefügten Unterlagen an. Die Kontaktangaben sind in einer Sprache abzufassen, die von den Nutzern und den Marktüberwachungsbehörden leicht verstanden werden kann.

(5) Einführer, denen bekannt ist oder die Grund zu der Annahme haben, dass ein Produkt mit digitalen Elementen, das sie in den Verkehr gebracht haben, dieser Verordnung nicht entspricht, ergreifen unverzüglich die erforderlichen Korrekturmaßnahmen, um sicherzustellen, dass die Konformität dieses Produkts mit digitalen Elementen mit dieser Verordnung hergestellt wird oder um gegebenenfalls das Produkt vom Markt zu nehmen oder zurückzurufen

Sobald die Einführer von einer Schwachstelle in dem Produkt mit digitalen Elementen Kenntnis erhalten, informieren sie den Hersteller unverzüglich über diese Schwachstelle. Wenn das Produkt mit digitalen Elementen ein erhebliches Cybersicherheitsrisiko birgt, unterrichten die Einführer zudem unverzüglich die Marktüberwachungsbehörden der Mitgliedstaaten, in denen sie das Produkt mit digitalen Elementen auf dem Markt bereitgestellt haben, und machen dabei genaue Angaben insbesondere über die Nichtkonformität und ergriffene Korrekturmaßnahmen.

(6) Die Einführer halten ab dem Inverkehrbringen des Produkts mit digitalen Elementen mindestens zehn Jahre lang oder für den Unterstützungszeitraum, je nachdem, welcher Zeitraum länger ist, ein Exemplar der EU-Konformitätserklärung für die Marktüberwachungsbehörden bereit und sorgen dafür, dass sie diesen die technische Dokumentation auf Verlangen vorlegen können.

(7) Die Einführer übermitteln der Marktüberwachungsbehörde auf deren begründetes Verlangen in Papierform oder in elektronischer Form in einer Sprache, die von der Behörde leicht verstanden werden kann, alle Informationen und Unterlagen, die für den Nachweis der Konformität des Produkts mit digitalen Elementen mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I und der vom Hersteller festgelegten Verfahren mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II erforderlich sind. Sie arbeiten mit dieser Behörde auf deren Verlangen bei allen Maßnahmen zur Abwendung der Cybersicherheitsrisiken zusammen, die mit einem von ihnen in den Verkehr gebrachten Produkt mit digitalen Elementen verbunden sind.

(8) Wird dem Einführer eines Produkts mit digitalen Elementen bekannt, dass der Hersteller dieses Produkts seine Betriebstätigkeit eingestellt hat und infolgedessen nicht in der Lage ist, die in dieser Verordnung festgelegten Pflichten zu erfüllen, unterrichtet er hiervon die einschlägigen Marktüberwachungsbehörden sowie — mit allen verfügbaren Mitteln und soweit möglich — die Nutzer der in den Verkehr gebrachten Produkte mit digitalen Elementen.

Pflichten der Händler

(1) Wenn sie ein Produkt mit digitalen Elementen auf dem Markt bereitstellen, befolgen die Händler die Vorschriften dieser Verordnung mit der gebührenden Sorgfalt.

(2) Bevor sie ein Produkt mit digitalen Elementen auf dem Markt bereitstellen, überprüfen die Händler, ob

(3) Ist ein Händler der Auffassung oder hat er ausgehend von den ihm vorliegenden Informationen Grund zu der Annahme, dass ein Produkt mit digitalen Elementen oder die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I nicht genügen, stellt er das Produkt mit digitalen Elementen erst dann auf dem Markt bereit, wenn die Konformität dieses Produkts und der vom Hersteller festgelegten Verfahren mit dieser Verordnung hergestellt ist. Wenn das Produkt mit digitalen Elementen ein erhebliches Cybersicherheitsrisiko birgt, unterrichtet der Händler zudem unverzüglich den Hersteller und die Marktüberwachungsbehörden hiervon.

(4) Händler, denen bekannt ist oder die ausgehend von den ihnen vorliegenden Informationen Grund zu der Annahme haben, dass ein Produkt mit digitalen Elementen, das sie auf dem Markt bereitgestellt haben, oder die von dessen Hersteller festgelegten Verfahren dieser Verordnung nicht entsprechen, sorgen dafür, dass die erforderlichen Korrekturmaßnahmen ergriffen werden, um die Konformität dieses Produkts mit digitalen Elementen und der vom Hersteller festgelegten Verfahren herzustellen oder um gegebenenfalls das Produkt vom Markt zu nehmen oder zurückzurufen.

Sobald die Händler von einer Schwachstelle in dem Produkt mit digitalen Elementen Kenntnis erhalten, informieren sie den Hersteller unverzüglich über diese Schwachstelle. Wenn das Produkt mit digitalen Elementen ein erhebliches Cybersicherheitsrisiko birgt, unterrichten die Händler zudem unverzüglich die Marktüberwachungsbehörden der Mitgliedstaaten, in denen sie das Produkt mit digitalen Elementen auf dem Markt bereitgestellt haben, und machen dabei genaue Angaben insbesondere über die Nichtkonformität und ergriffene Korrekturmaßnahmen.

(5) Die Händler übermitteln der Marktüberwachungsbehörde auf deren begründetes Verlangen in Papierform oder in elektronischer Form in einer Sprache, die von der Behörde leicht verstanden werden kann, alle Informationen und Unterlagen, die für den Nachweis der Konformität des Produkts mit digitalen Elementen und der vom Hersteller festgelegten Verfahren dieser Verordnung erforderlich sind. Sie arbeiten mit dieser Behörde auf deren Verlangen bei allen Maßnahmen zur Abwendung der Cybersicherheitsrisiken zusammen, die mit einem von ihnen auf dem Markt bereitgestellten Produkt mit digitalen Elementen verbunden sind.

(6) Wird dem Händler eines Produkts mit digitalen Elementen ausgehend von den ihm vorliegenden Informationenbekannt, dass der Hersteller dieses Produkts seine Betriebstätigkeit eingestellt hat und infolgedessen nicht in der Lage ist, die in dieser Verordnung festgelegten Pflichten zu erfüllen, unterrichtet er hiervon unverzüglich die einschlägigen Marktüberwachungsbehörden sowie — mit allen verfügbaren Mitteln und soweit möglich — die Nutzer der in den Verkehr gebrachten Produkte mit digitalen Elementen.

Fälle, in denen die Pflichten der Hersteller auch für Einführer und Händler gelten

Ein Einführer oder Händler gilt für die Zwecke dieser Verordnung als Hersteller und unterliegt den in den Artikeln 13 und 14 genannten Pflichten, wenn dieser Einführer oder Händler ein Produkt mit digitalen Elementen unter seinem eigenen Namen oder seiner eigenen Marke in den Verkehr bringt oder eine wesentliche Änderung an einem bereits in den Verkehr gebrachten Produkt mit digitalen Elementen vornimmt.

Sonstige Fälle, in denen die Pflichten der Hersteller gelten

(1) Eine natürliche oder juristische Person, bei der es sich nicht um den Hersteller, Einführer oder Händler handelt und die eine wesentliche Änderung an dem Produkt mit digitalen Elementen vornimmt und dieses Produkt auf dem Markt bereitstellt, gilt für die Zwecke dieser Verordnung als Hersteller.

(2) Die in Absatz 1 des vorliegenden Artikels genannte Person unterliegt den in den Artikeln 13 und 14 festgelegten Pflichten für den Teil des Produkts mit digitalen Elementen, der von der wesentlichen Änderung betroffen ist, oder, wenn sich die wesentliche Änderung auf die Cybersicherheit des Produkts mit digitalen Elementen insgesamt auswirkt, für das gesamte Produkt.

Identifizierung der Wirtschaftsakteure

(1) Die Wirtschaftsakteure übermitteln den Marktüberwachungsbehörden auf Anfrage folgende Informationen:

(2) Die Wirtschaftsakteure müssen diese in Absatz 1 genannten Informationen zehn Jahre nach dem Bezug des Produkts mit digitalen Elementen sowie zehn Jahre nach der Abgabe des Produkts mit digitalen Elementen vorlegen können.

Pflichten der Verwalter quelloffener Software

(1) Verwalter quelloffener Software entwickeln und dokumentieren auf überprüfbare Weise eine Cybersicherheitsstrategie, um die Entwicklung eines sicheren Produkts mit digitalen Elementen sowie einen wirksamen Umgang mit Schwachstellen durch die Entwickler dieses Produkts zu fördern. Diese Strategie fördert auch die freiwillige Meldung von Schwachstellen gemäß Artikel 15 durch die Entwickler dieses Produkts und trägt den Besonderheiten des Verwalters quelloffener Software und den rechtlichen und organisatorischen Vorkehrungen, denen er unterliegt, Rechnung. Diese Strategie umfasst insbesondere Aspekte im Zusammenhang mit der Dokumentation, Behebung und Beseitigung von Schwachstellen und fördert den Austausch von Informationen über aufgedeckte Schwachstellen innerhalb der Open-Source-Gemeinschaft.

(2) Verwalter quelloffener Software arbeiten auf deren Verlangen mit den Marktüberwachungsbehörden zusammen, um die Cybersicherheitsrisiken zu mindern, die von einem Produkt mit digitalen Elementen ausgehen, das als freie und quelloffene Software gilt.

Auf begründetes Verlangen einer Marktüberwachungsbehörde übermitteln Verwalter quelloffener Software dieser Behörde in einer für diese Behörde leicht verständlichen Sprache die in Absatz 1 genannten Unterlagen in Papierform oder in elektronischer Form.

(3) Die in Artikel 14 Absatz 1 festgelegten Verpflichtungen gelten für Verwalter quelloffener Software, soweit sie an der Entwicklung der Produkte mit digitalen Elementen beteiligt sind. Die in Artikel 14 Absätze 3 und 8 festgelegten Verpflichtungen gelten für Verwalter quelloffener Software, soweit schwerwiegende Sicherheitsvorfälle, die sich auf die Sicherheit von Produkten mit digitalen Elementen auswirken, Netz- und Informationssysteme beeinträchtigen, die von den Verwaltern quelloffener Software für die Entwicklung solcher Produkte bereitgestellt werden.

Sicherheitsbescheinigung für freie und quelloffene Software

Um die in Artikel 13 Absatz 5 festgelegte Sorgfaltspflicht zu erleichtern, insbesondere in Bezug auf Hersteller, die freie und quelloffene Softwarekomponenten in ihre Produkte mit digitalen Elementen integrieren, wird der Kommission die Befugnis übertragen, gemäß Artikel 61 delegierte Rechtsakte zu erlassen, um diese Verordnung durch die Einführung freiwilliger Programme zur Bescheinigung der Sicherheit zu ergänzen, die es den Entwicklern oder Nutzern von Produkten mit digitalen Elementen, die als freie und quelloffene Software gelten, sowie anderen Dritten ermöglichen, die Konformität dieser Produkte mit allen oder bestimmten grundlegenden Cybersicherheitsanforderungen oder sonstigen in dieser Verordnung festgelegten Verpflichtungen zu bewerten.

Leitlinien

(1) Um die Durchführung zu erleichtern und ihre Kohärenz sicherzustellen, veröffentlicht die Kommission Leitlinien, um die Wirtschaftsakteure bei der Anwendung dieser Verordnung zu unterstützen, wobei ein besonderer Schwerpunkt auf der Erleichterung der Einhaltung durch Kleinstunternehmen und kleine und mittlere Unternehmen liegt.

(2) Beabsichtigt die Kommission, Leitlinien gemäß Absatz 1 bereitzustellen, so geht sie mindestens auf folgende Aspekte ein:

Die Kommission führt ferner eine leicht zugängliche Liste der gemäß dieser Verordnung erlassenen delegierten Rechtsakte und Durchführungsrechtsakte.

(3) Bei der Ausarbeitung der Leitlinien gemäß diesem Artikel konsultiert die Kommission die einschlägigen Interessenträger.

Konformitätsvermutung

(1) Bei Produkten mit digitalen Elementen und vom Hersteller festgelegten Verfahren, die mit harmonisierten Normen oder Teilen davon übereinstimmen, deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht worden sind, wird eine Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I vermutet, soweit diese Anforderungen von den betreffenden Normen oder Teilen davon abgedeckt sind.

Die Kommission fordert gemäß Artikel 10 Absatz 1 der Verordnung (EU) Nr. 1025/2012 eine oder mehrere europäische Normungsorganisationen auf, harmonisierte Normen für die in Anhang I dieser Verordnung aufgeführten grundlegenden Cybersicherheitsanforderungen auszuarbeiten. Bei der Ausarbeitung von Normungsanträgen für diese Verordnung bemüht sich die Kommission, bestehende europäische und internationale Normen für Cybersicherheit zu berücksichtigen, die in Kraft sind oder gerade entwickelt werden, um die Entwicklung harmonisierter Normen im Einklang mit der Verordnung (EU) Nr. 1025/2012 zu vereinfachen.

(2) Die Kommission kann Durchführungsrechtsakte annehmen, durch die gemeinsame Spezifikationen zu technischen Anforderungen festgelegt werden, deren Befolgung es ermöglicht, die in Anhang I festgelegten grundlegenden Cybersicherheitsanforderungen an Produkte mit digitalen Elementen im Anwendungsbereich dieser Verordnung zu erfüllen.

Diese Durchführungsrechtsakte dürfen nur erlassen werden, wenn die folgenden Bedingungen erfüllt sind:

Diese Durchführungsrechtsakte werden gemäß dem in Artikel 62 Absatz 2 genannten Prüfverfahren erlassen.

(3) Vor der Ausarbeitung eines Entwurfs des in Absatz 2 des vorliegenden Artikels genannten Durchführungsrechtsakts teilt die Kommission dem in Artikel 22 der Verordnung (EU) Nr. 1025/2012 genannten Ausschuss mit, dass sie die Bedingungen nach Absatz 2 des vorliegenden Artikels als erfüllt erachtet.

(4) Bei der Ausarbeitung eines Entwurfs des in Absatz 2 genannten Durchführungsrechtsakt berücksichtigt die Kommission die Standpunkte der einschlägigen Gremien und konsultiert alle einschlägigen Interessenträger ordnungsgemäß.

(5) Bei Produkten mit digitalen Elementen und vom Hersteller festgelegten Verfahren, die mit den gemeinsamen Spezifikationen übereinstimmen, die durch den in Absatz 2 dieses Artikels genannten Durchführungsrechtsakt festgelegt wurden, wird eine Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I vermutet, soweit die gemeinsamen Spezifikationen oder Teile davon diese Anforderungen abdecken.

(6) Wird eine harmonisierte Norm von einer europäischen Normungsorganisation angenommen und der Kommission zur Veröffentlichung ihrer Fundstelle im Amtsblatt der Europäischen Union vorgeschlagen, so bewertet die Kommission diese harmonisierte Norm gemäß der Verordnung (EU) Nr. 1025/2012. Wenn eine Fundstelle einer harmonisierten Norm im Amtsblatt der Europäischen Union der Europäischen Union veröffentlicht wird, hebt die Kommission die in Absatz 2 des vorliegenden Artikels genannten Durchführungsrechtsakte oder Teile davon auf, die dieselben grundlegenden Cybersicherheitsanforderungen wie die harmonisierte Norm regeln.

(7) Ist ein Mitgliedstaat der Auffassung, dass eine gemeinsame Spezifikation den grundlegenden Cybersicherheitsanforderungen nach Anhang I nicht vollständig entspricht, so setzt er die Kommission mittels einer ausführlichen Erläuterung davon in Kenntnis. Die Kommission bewertet die ausführliche Erläuterung und kann gegebenenfalls den Durchführungsrechtsakt, durch den die betreffende gemeinsame Spezifikation festgelegt wurde, ändern.

(8) Bei Produkten mit digitalen Elementen und vom Hersteller festgelegten Verfahren, für die eine EU-Konformitätserklärung oder ein Cybersicherheitszertifikat im Rahmen eines gemäß der Verordnung (EU) 2019/881 angenommenen europäischen Schemas für die Cybersicherheitszertifizierung ausgestellt wurde, wird eine Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I vermutet, sofern die EU-Konformitätserklärung oder das europäische Cybersicherheitszertifikat oder Teile davon diese Anforderungen abdecken.

(9) Der Kommission wird die Befugnis übertragen, delegierte Rechtsakte gemäß Artikel 61 zu erlassen, um diese Verordnung durch die Ausweisung der gemäß der Verordnung (EU) 2019/881 angenommenen europäischen Schemata für die Cybersicherheitszertifizierung zu ergänzen, die zum Nachweis der Konformität von Produkten mit digitalen Elementen mit den grundlegenden Cybersicherheitsanforderungen in Anhang I oder Teilen davon verwendet werden können. Darüber hinaus wird durch die Ausstellung eines im Rahmen eines solchen Schemas ausgestellten europäischen Cybersicherheitszertifikats mindestens der Vertrauenswürdigkeitsstufe „mittel“ die in Artikel 32 Absatz 2 Buchstaben a und b und Artikel 32 Absatz 3 Buchstaben a und b vorgesehene Pflicht des Herstellers, für die betreffenden Anforderungen eine Konformitätsbewertung durch Dritte durchführen zu lassen, aufgehoben.

EU-Konformitätserklärung

(1) Die EU-Konformitätserklärung wird vom Hersteller gemäß Artikel 13 Absatz 12 ausgestellt und besagt, dass die Erfüllung der grundlegenden Cybersicherheitsanforderungen in Anhang I nachgewiesen worden ist.

(2) Die EU-Konformitätserklärung entspricht in ihrem Aufbau dem Muster in Anhang V und enthält die in den einschlägigen Konformitätsbewertungsverfahren gemäß Anhang VIII angegebenen Elemente. Eine solche Erklärung wird nach Bedarf aktualisiert. Sie wird in den Sprachen abgefasst, die der Mitgliedstaat vorschreibt, in dem das Produkt mit digitalen Elementen in den Verkehr gebracht oder auf dem Markt bereitgestellt wird.

Die vereinfachte EU-Konformitätserklärung nach Artikel 13 Absatz 20 entspricht in ihrem Aufbau dem Muster in Anhang VI. Sie wird in den Sprachen abgefasst, die der Mitgliedstaat vorschreibt, in dem das Produkt mit digitalen Elementen in den Verkehr gebracht oder auf dem Markt bereitgestellt wird.

(3) Unterliegt ein Produkt mit digitalen Elementen mehreren Rechtsvorschriften der Europäischen Union, in denen jeweils eine EU-Konformitätserklärung vorgeschrieben ist, so wird eine einzige EU-Konformitätserklärung für sämtliche Unionsrechtsvorschriften ausgestellt. In dieser Erklärung sind die betreffenden Rechtsakte der Union samt ihren Fundstellen im Amtsblatt anzugeben.

(4) Mit der Ausstellung der EU-Konformitätserklärung übernimmt der Hersteller die Verantwortung für die Konformität des Produkts mit digitalen Elementen.

(5) Der Kommission wird die Befugnis übertragen, gemäß Artikel 61 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, um angesichts der technischen Entwicklungen zu den in Anhang V aufgeführten Mindestangaben für die EU-Konformitätserklärung neue Elemente hinzuzufügen.

Allgemeine Grundsätze der CE-Kennzeichnung

Für die CE-Kennzeichnung gelten die allgemeinen Grundsätze gemäß Artikel 30 der Verordnung (EG) Nr. 765/2008.

Vorschriften und Bedingungen für die Anbringung der CE-Kennzeichnung

(1) Die CE-Kennzeichnung ist gut sichtbar, leserlich und dauerhaft auf dem Produkt mit digitalen Elementen anzubringen. Falls die Art des Produkts mit digitalen Elementen dies nicht zulässt oder nicht rechtfertigt, wird die CE-Kennzeichnung auf der Verpackung und der dem Produkt mit digitalen Elementen beigefügten EU-Konformitätserklärung gemäß Artikel 28 angebracht. Bei Produkten mit digitalen Elementen in Form von Software wird die CE-Kennzeichnung entweder auf der EU-Konformitätserklärung gemäß Artikel 28 oder auf der das Softwareprodukt begleitenden Website angebracht. Im letzteren Fall muss der relevante Abschnitt der Website für Verbraucher leicht und direkt zugänglich sein.

(2) Aufgrund der Art des Produkts mit digitalen Elementen kann die Höhe des daran angebrachten CE-Kennzeichens kleiner als 5 mm sein, sofern es weiterhin sichtbar und lesbar ist.

(3) Die CE-Kennzeichnung wird vor dem Inverkehrbringen des Produkts mit digitalen Elementen angebracht. Ihr kann ein Piktogramm oder ein anderes Zeichen folgen, das auf ein besonderes Cybersicherheitsrisiko oder eine besondere Verwendung hinweist, die in den Durchführungsrechtsakten gemäß Absatz 6 festgelegt werden.

(4) Auf die CE-Kennzeichnung folgt die Kennnummer der notifizierten Stelle, sofern diese an dem Konformitätsbewertungsverfahren auf der Grundlage einer umfassenden Qualitätssicherung (auf der Grundlage von Modul H) gemäß Artikel 32 beteiligt ist.

Die Kennnummer der notifizierten Stelle wird entweder von der Stelle selbst oder nach ihren Anweisungen vom Hersteller oder seinem Bevollmächtigten angebracht.

(5) Die Mitgliedstaaten bauen auf bestehenden Mechanismen auf, um eine ordnungsgemäße Durchführung des Systems der CE-Kennzeichnung sicherzustellen, und leiten im Fall einer missbräuchlichen Verwendung dieser Kennzeichnung angemessene Maßnahmen ein. Falls das Produkt mit digitalen Elementen auch unter andere Harmonisierungsrechtsvorschriften der Union als diese Verordnung fällt, in denen die CE-Kennzeichnung ebenfalls vorgesehen ist, bedeutet die CE-Kennzeichnung, dass das Produkt auch die Anforderungen dieser anderen Harmonisierungsrechtsvorschriften der Union erfüllt.

(6) Die Kommission kann im Wege von Durchführungsrechtsakten technische Spezifikationen für Etiketten, Piktogramme oder andere Kennzeichen in Bezug auf die Sicherheit von Produkten mit digitalen Elementen, deren Unterstützungszeiträume sowie Mechanismen zur Förderung ihrer Verwendung und zur Sensibilisierung der Öffentlichkeit für die Sicherheit von Produkten mit digitalen Elementen festlegen. Bei der Ausarbeitung der Entwürfe von Durchführungsrechtsakten konsultiert die Kommission die einschlägigen Interessenträger und, falls sie bereits gemäß Artikel 52 Absatz 15 eingerichtet wurde, die ADCO. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 62 Absatz 2 genannten Prüfverfahren erlassen.

Technische Dokumentation

(1) Die technische Dokumentation enthält alle einschlägigen Daten oder Einzelheiten darüber, wie der Hersteller sicherstellt, dass das Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I genügen. Sie enthält zumindest die in Anhang VII genannten Angaben.

(2) Die technische Dokumentation wird vor dem Inverkehrbringen des Produkts mit digitalen Elementen erstellt und gegebenenfalls, zumindest während des Unterstützungszeitraums, laufend aktualisiert.

(3) Bei Produkten mit digitalen Elementen gemäß Artikel 12, die auch anderen Rechtsakten der Union unterliegen, in denen eine technische Dokumentation vorgesehen ist, wird eine einzige technische Dokumentation erstellt, die die in Anhang VII genannten Informationen sowie die nach den anderen Rechtsakten der Union erforderlichen Informationen enthält.

(4) Die technische Dokumentation und die Korrespondenz im Zusammenhang mit den Konformitätsbewertungsverfahren werden in einer Amtssprache des Mitgliedstaats, in dem die notifizierte Stelle ansässig ist, oder in einer von dieser Stelle zugelassenen Sprache abgefasst.

(5) Der Kommission wird die Befugnis übertragen, gemäß Artikel 61 delegierte Rechtsakte zu erlassen, mit denen diese Verordnung durch Hinzufügung von Elementen ergänzt wird, die in die technische Dokumentation gemäß Anhang VII aufzunehmen sind, um den technischen Entwicklungen und den Entwicklungen bei der Durchführung dieser Verordnung Rechnung zu tragen. Zu diesem Zweck bemüht sich die Kommission, sicherzustellen, dass der Verwaltungsaufwand für Kleinstunternehmen sowie kleine und mittlere Unternehmen verhältnismäßig ist.

Konformitätsbewertungsverfahren für Produkte mit digitalen Elementen

(1) Der Hersteller führt eine Konformitätsbewertung des Produkts mit digitalen Elementen und der vom Hersteller festgelegten Verfahren durch, um festzustellen, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt sind. Der Hersteller erbringt den Nachweis der Konformität mit den grundlegenden Cybersicherheitsanforderungen anhand eines der folgenden Verfahren:

(2) Hat der Hersteller bei der Bewertung der Konformität eines wichtigen Produkts mit digitalen Elementen, das in Klasse I gemäß Anhang III fällt, und der von dessen Hersteller festgelegten Verfahren mit den grundlegenden Cybersicherheitsanforderungen in Anhang I harmonisierte Normen, gemeinsame Spezifikationen oder europäische Systeme für die Cybersicherheitszertifizierung mindestens der Vertrauenswürdigkeitsstufe „mittel“ gemäß Artikel 27 nicht oder nur zum Teil angewandt oder sind solche harmonisierten Normen, gemeinsamen Spezifikationen oder europäischen Schemata für die Cybersicherheitszertifizierung nicht vorhanden, so sind die Produkte mit digitalen Elementen und die vom Hersteller festgelegten Verfahren im Hinblick auf die grundlegenden Cybersicherheitsanforderungen einem der folgenden Verfahren zu unterziehen:

(3) Handelt es sich bei dem Produkt um ein wichtiges Produkt mit digitalen Elementen, das in Klasse II gemäß Anhang III fällt, so erbringt der Hersteller den Nachweis der Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I anhand eines der folgenden Verfahren:

(4) Bei in Anhang IV aufgeführten kritischen Produkten mit digitalen Elementen wird der Nachweis der Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I anhand eines der folgenden Verfahren erbracht:

(5) Hersteller von Produkten mit digitalen Elementen, die als freie und quelloffene Software gelten und in die in Anhang III aufgeführten Kategorien fallen, können die Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I anhand eines der in Absatz 1 dieses Artikels genannten Verfahren nachweisen, sofern die in Artikel 31 genannte technische Dokumentation zum Zeitpunkt des Inverkehrbringens dieser Produkte der Öffentlichkeit zugänglich gemacht wird.

(6) Bei der Festlegung der Gebühren für die Konformitätsbewertung werden die besonderen Interessen und Bedürfnisse von Kleinstunternehmen und kleinen und mittleren Unternehmen, einschließlich Start-up-Unternehmen, berücksichtigt, und diese Gebühren werden proportional zu deren besonderen Interessen und Bedürfnissen gesenkt.

Unterstützungsmaßnahmen für Kleinstunternehmen sowie kleine und mittlere Unternehmen, einschließlich Start-up-Unternehmen

(1) Die Mitgliedstaaten ergreifen gegebenenfalls die folgenden Maßnahmen, die auf die Bedürfnisse von Kleinst- und Kleinunternehmen zugeschnitten sind:

(2) Die Mitgliedstaaten können, soweit erforderlich, Reallabore für Cyberresilienz einrichten. In solchen Reallaboren sind kontrollierte Prüfumgebungen für innovative Produkte mit digitalen Elementen vorgesehen, um deren Entwicklung, Entwurf, Validierung und Erprobung zum Zwecke der Einhaltung dieser Verordnung für einen begrenzten Zeitraum vor dem Inverkehrbringen zu erleichtern. Die Kommission und gegebenenfalls die ENISA können technische Unterstützung, Beratung und Instrumente für die Einrichtung und den Betrieb von Reallaboren bereitstellen. Die Reallabore werden unter direkter Aufsicht, Leitung und Unterstützung durch die Marktüberwachungsbehörden eingerichtet. Die Mitgliedstaaten unterrichten die Kommission und die anderen Marktüberwachungsbehörden über die Einrichtung eines Reallabors über die ADCO. Die Reallabore lassen die Aufsichts- und Abhilfebefugnisse der zuständigen Behörden unberührt. Die Mitgliedstaaten stellen einen offenen, fairen und transparenten Zugang zu Reallaboren sicher und erleichtern insbesondere Kleinst- und Kleinunternehmen, einschließlich Start-up-Unternehmen, den Zugang.

(3) Im Einklang mit Artikel 26 stellt die Kommission Leitlinien für Kleinstunternehmen sowie kleine und mittlere Unternehmen in Bezug auf die Durchführung dieser Verordnung bereit.

(4) Die Kommission informiert über verfügbare finanzielle Unterstützung im Rechtsrahmen bestehender Unionsprogramme, um insbesondere Kleinst- und Kleinunternehmen finanziell zu entlasten.

(5) Kleinst- und Kleinunternehmen können alle in Anhang VII genannten Elemente der technischen Dokumentation in einem vereinfachten Format vorlegen. Zu diesem Zweck legt die Kommission im Wege von Durchführungsrechtsakten das vereinfachte Formular für die technische Dokumentation fest, das auf die Bedürfnisse von Kleinst- und Kleinunternehmen zugeschnitten ist, einschließlich der Art und Weise, wie die in Anhang VII aufgeführten Elemente vorzulegen sind. Entscheidet sich ein Kleinst- oder ein Kleinunternehmen für eine vereinfachte Bereitstellung der in Anhang VII vorgeschriebenen Informationen, so verwendet es das in diesem Absatz genannte Formular. Die notifizierten Stellen akzeptieren dieses Formular für die Zwecke der Konformitätsbewertung.

Diese Durchführungsrechtsakte werden gemäß dem in Artikel 62 Absatz 2 genannten Prüfverfahren erlassen.

Abkommen über die gegenseitige Anerkennung

Unter Berücksichtigung des Niveaus der technischen Entwicklung und des Konzepts für die Konformitätsbewertung eines Drittlands kann die Union im Einklang mit Artikel 218 AEUV Abkommen über die gegenseitige Anerkennung mit Drittländern schließen, um den internationalen Handel zu fördern und zu erleichtern.

Notifizierung

(1) Die Mitgliedstaaten notifizieren der Kommission und den anderen Mitgliedstaaten die Stellen, die befugt sind, Konformitätsbewertungen gemäß dieser Verordnung durchzuführen.

(2) Die Mitgliedstaaten sorgen bis zum 11. Dezember 2026 dafür, dass es in der Union eine ausreichende Zahl notifizierter Stellen gibt, die Konformitätsbewertungen durchführen können, um Engpässe und Hindernisse mit Blick auf den Marktzugang zu verhindern.

Notifizierende Behörden

(1) Jeder Mitgliedstaat benennt eine notifizierende Behörde, die für die Einrichtung und Durchführung der erforderlichen Verfahren für die Bewertung, Benennung und Notifizierung von Konformitätsbewertungsstellen und für deren Überwachung, einschließlich der Einhaltung des Artikels 41, zuständig ist.

(2) Die Mitgliedstaaten können entscheiden, dass die Bewertung und Überwachung nach Absatz 1 dieses Artikels von einer nationalen Akkreditierungsstelle im Sinne der und im Einklang mit der Verordnung (EG) Nr. 765/2008 erfolgt.

(3) Falls die notifizierende Behörde die in Absatz 1 dieses Artikels genannte Bewertung, Notifizierung oder Überwachung an eine nichtstaatliche Stelle delegiert oder ihr auf andere Weise überträgt, so muss diese Stelle eine juristische Person sein und Artikel 37 entsprechend genügen. Außerdem muss diese Stelle Vorsorge zur Deckung von aus ihrer Tätigkeit entstehenden Haftungsansprüchen treffen.

(4) Die notifizierende Behörde trägt die volle Verantwortung für die von der in Absatz 3 genannten Stelle durchgeführten Tätigkeiten.

Anforderungen an notifizierende Behörden

(1) Notifizierende Behörden werden so eingerichtet, dass es zu keinerlei Interessenkonflikt mit den Konformitätsbewertungsstellen kommt.

(2) Notifizierende Behörden gewährleisten durch ihre Organisation und Arbeitsweise, dass bei der Ausübung ihrer Tätigkeit Objektivität und Unparteilichkeit gewahrt sind.

(3) Notifizierende Behörden werden so strukturiert, dass jede Entscheidung über die Notifizierung einer Konformitätsbewertungsstelle von kompetenten Personen getroffen wird, die nicht mit den Personen identisch sind, welche die Bewertung durchgeführt haben.

(4) Notifizierende Behörden dürfen weder Tätigkeiten, die Konformitätsbewertungsstellen durchführen, noch Beratungsleistungen auf einer gewerblichen oder wettbewerblichen Basis anbieten oder erbringen.

(5) Notifizierende Behörden gewährleisten die Vertraulichkeit der von ihnen erlangten Informationen.

(6) Einer notifizierenden Behörde stehen kompetente Mitarbeiter in ausreichender Zahl zur Verfügung, sodass sie ihre Aufgaben ordnungsgemäß wahrnehmen kann.

Informationspflichten der notifizierenden Behörden

(1) Die Mitgliedstaaten unterrichten die Kommission über ihre Verfahren zur Bewertung und Notifizierung von Konformitätsbewertungsstellen und zur Überwachung notifizierter Stellen sowie über diesbezügliche Änderungen.

(2) Die Kommission macht die in Absatz 1 genannte Information der Öffentlichkeit zugänglich.

Anforderungen an notifizierte Stellen

(1) Konformitätsbewertungsstellen erfüllen für die Zwecke der Notifizierung die Anforderungen der Absätze 2 bis 12.

(2) Eine Konformitätsbewertungsstelle ist nach nationalem Recht gegründet und ist mit Rechtspersönlichkeit ausgestattet.

(3) Bei einer Konformitätsbewertungsstelle handelt es sich um einen unabhängigen Dritten, der von der Organisation oder dem Produkt mit digitalen Elementen, die bzw. das bewertet wird, unabhängig ist.

Eine Stelle, die einem Wirtschaftsverband oder einem Fachverband angehört und Produkte mit digitalen Elementen bewertet, an deren Konzeption, Entwicklung, Herstellung, Bereitstellung, Montage, Verwendung oder Wartung Unternehmen beteiligt sind, die von diesem Verband vertreten werden, kann als ein solcher unabhängiger Dritter gelten, sofern ihre Unabhängigkeit sowie das Fehlen jedweder Interessenkonflikte nachgewiesen sind.

(4) Eine Konformitätsbewertungsstelle, ihre oberste Leitungsebene und die für die Erfüllung der Konformitätsbewertungsaufgaben zuständigen Mitarbeiter dürfen nicht Konstrukteur, Entwickler, Hersteller, Lieferant, Einführer, Händler, Installateur, Käufer, Eigentümer, Verwender oder Wartungsbetrieb der zu bewertenden Produkte mit digitalen Elementen oder Bevollmächtigte einer dieser Parteien sein. Dies schließt die Verwendung von bereits einer Konformitätsbewertung unterzogenen Produkten, die für die Tätigkeit der Konformitätsbewertungsstelle erforderlich sind, oder die Verwendung solcher Produkte zum persönlichen Gebrauch nicht aus.

Eine Konformitätsbewertungsstelle, ihre oberste Leitungsebene und die für die Erfüllung der Konformitätsbewertungsaufgaben zuständigen Mitarbeiter dürfen weder direkt an Konzeption, Entwicklung, Herstellung, Einfuhr, Vertrieb, Vermarktung, Installation, Verwendung oder Wartung dieser Produkte mit digitalen Elementen, die sie bewerten, beteiligt sein, noch die an diesen Tätigkeiten beteiligten Parteien vertreten. Sie dürfen sich nicht mit Tätigkeiten befassen, die ihre Unabhängigkeit bei der Beurteilung oder ihre Integrität im Zusammenhang mit den Konformitätsbewertungstätigkeiten, für die sie notifiziert sind, beeinträchtigen könnten. Dies gilt besonders für Beratungsdienstleistungen.

Die Konformitätsbewertungsstellen stellen sicher, dass Tätigkeiten ihrer Zweigstellen oder Unterauftragnehmer die Vertraulichkeit, Objektivität oder Unparteilichkeit ihrer Konformitätsbewertungstätigkeiten nicht beeinträchtigen.

(5) Die Konformitätsbewertungsstellen und ihre Mitarbeiter führen die Konformitätsbewertungstätigkeiten mit der größtmöglichen Professionalität und der erforderlichen fachlichen Kompetenz in dem betreffenden Bereich durch; sie dürfen keinerlei Einflussnahme, insbesondere finanzieller Art, ausgesetzt sein, die sich auf ihre Beurteilung oder die Ergebnisse ihrer Konformitätsbewertungsarbeit auswirken könnte; dies gilt speziell für Einflussnahmen durch Personen oder Personengruppen, die ein Interesse am Ergebnis dieser Tätigkeiten haben.

(6) Eine Konformitätsbewertungsstelle ist in der Lage, alle Konformitätsbewertungsaufgaben zu bewältigen, die ihr nach Anhang VIII zufallen und für die sie notifiziert wurde, gleichgültig, ob diese Aufgaben von der Stelle selbst, in ihrem Auftrag oder unter ihrer Verantwortung ausgeführt werden.

Eine Konformitätsbewertungsstelle verfügt jederzeit, für jedes Konformitätsbewertungsverfahren und für jede Art und Kategorie von Produkten mit digitalen Elementen, für die sie notifiziert wurde, über

Eine Konformitätsbewertungsstelle verfügt über die erforderlichen Mittel zur angemessenen Erledigung der technischen und administrativen Aufgaben, die mit den Konformitätsbewertungstätigkeiten verbunden sind, und sie hat Zugang zu allen benötigten Ausrüstungen oder Einrichtungen.

(7) Die Mitarbeiter, die für die Durchführung der Konformitätsbewertungstätigkeiten zuständig sind, müssen über Folgendes verfügen:

(8) Die Unparteilichkeit der Konformitätsbewertungsstellen, ihrer obersten Leitungsebene und ihres bewertenden Personals muss garantiert sein.

Die Entlohnung der obersten Leitungsebene und des bewertenden Personals der Konformitätsbewertungsstelle darf sich nicht nach der Anzahl der durchgeführten Bewertungen oder deren Ergebnissen richten.

(9) Die Konformitätsbewertungsstellen schließen eine Haftpflichtversicherung ab, sofern die Haftpflicht nicht aufgrund der nationalen Rechtsvorschriften ihres Mitgliedstaats übernommen wird oder der Mitgliedstaat selbst unmittelbar für die Konformitätsbewertung verantwortlich ist.

(10) Informationen, welche die Mitarbeiter einer Konformitätsbewertungsstelle bei der Durchführung ihrer Aufgaben gemäß Anhang VIII oder einer der einschlägigen nationalen Durchführungsvorschriften erhalten, fallen unter die berufliche Schweigepflicht, außer gegenüber den Marktüberwachungsbehörden des Mitgliedstaats, in dem sie ihre Tätigkeiten ausüben. Eigentumsrechte werden geschützt. Die Konformitätsbewertungsstelle verfügt über dokumentierte Verfahren, mit denen die Einhaltung dieses Absatzes sichergestellt wird.

(11) Die Konformitätsbewertungsstellen wirken an den einschlägigen Normungstätigkeiten und den Tätigkeiten der gemäß Artikel 51 eingerichteten Koordinierungsgruppe notifizierter Stellen mit bzw. sorgen dafür, dass ihr bewertendes Personal darüber informiert ist, und wenden die von dieser Gruppe erarbeiteten Verwaltungsentscheidungen und Dokumente als allgemeine Leitlinie an.

(12) Die Konformitätsbewertungsstellen üben ihre Tätigkeiten im Einklang mit einer Reihe kohärenter, gerechter, verhältnismäßiger und angemessener Geschäftsbedingungen aus, wobei sie unnötige Belastungen der Wirtschaftsakteure vermeiden und insbesondere in Bezug auf Gebühren die Interessen von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen berücksichtigen.

Vermutung der Konformität von notifizierten Stellen

Weist eine Konformitätsbewertungsstelle nach, dass sie die Kriterien der einschlägigen harmonisierten Normen, deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht wurden, oder von Teilen davon erfüllt, so wird davon ausgegangen, dass sie die Anforderungen nach Artikel 39 erfüllt, soweit die geltenden Normen diese Anforderungen abdecken.

Zweigstellen notifizierter Stellen und Vergabe von Unteraufträgen durch notifizierte Stellen

(1) Vergibt eine notifizierte Stelle bestimmte mit der Konformitätsbewertung verbundene Aufgaben an Unterauftragnehmer oder überträgt sie diese einer Zweigstelle, so stellt sie sicher, dass der Unterauftragnehmer oder die Zweigstelle die Anforderungen des Artikels 39 erfüllt, und unterrichtet die notifizierende Behörde hierüber.

(2) Die notifizierten Stellen tragen die volle Verantwortung für die Arbeiten, die von Unterauftragnehmern oder Zweigstellen ausgeführt werden, unabhängig davon, wo diese niedergelassen sind.

(3) Arbeiten dürfen nur mit Zustimmung des Herstellers an einen Unterauftragnehmer vergeben oder einer Zweigstelle übertragen werden.

(4) Die notifizierten Stellen halten für die notifizierende Behörde die einschlägigen Unterlagen über die Bewertung der Qualifikation des Unterauftragnehmers oder der Zweigstelle und die von ihnen gemäß dieser Verordnung ausgeführten Arbeiten bereit.

Antrag auf Notifizierung

(1) Eine Konformitätsbewertungsstelle beantragt ihre Notifizierung bei der notifizierenden Behörde des Mitgliedstaats, in dem sie niedergelassen ist.

(2) Dem Antrag werden eine Beschreibung der Konformitätsbewertungstätigkeiten, des Konformitätsbewertungsverfahrens bzw. der Konformitätsbewertungsverfahren und des Produkts oder der Produkte mit digitalen Elementen, für die diese Stelle Kompetenz beansprucht, sowie, falls zutreffend, eine Akkreditierungsurkunde beigelegt, die von einer nationalen Akkreditierungsstelle ausgestellt wurde und in der diese bescheinigt, dass die Konformitätsbewertungsstelle die Anforderungen in Artikel 39 erfüllt.

(3) Kann die Konformitätsbewertungsstelle keine Akkreditierungsurkunde vorweisen, legt sie der notifizierenden Behörde als Nachweis alle Unterlagen vor, die erforderlich sind, um zu überprüfen, festzustellen und regelmäßig zu überwachen, ob sie die Anforderungen in Artikel 39 erfüllt.

Notifizierungsverfahren

(1) Die notifizierenden Behörden notifizieren nur Konformitätsbewertungsstellen, die die Anforderungen in Artikel 39 erfüllen.

(2) Die notifizierende Behörde unterrichtet die Kommission und die anderen Mitgliedstaaten mittels des von der Kommission entwickelten und verwalteten Informationssystems für die nach dem neuen Konzept notifizierten und benannten Organisationen.

(3) Die Notifizierung enthält vollständige Angaben zu den Konformitätsbewertungstätigkeiten, dem bzw. den betreffenden Konformitätsbewertungsmodulen und Produkten mit digitalen Elementen sowie die einschlägige Bestätigung der Kompetenz.

(4) Beruht eine Notifizierung nicht auf einer Akkreditierungsurkunde gemäß Artikel 42 Absatz 2, legt die notifizierende Behörde der Kommission und den anderen Mitgliedstaaten Unterlagen vor, mit denen die Kompetenz der Konformitätsbewertungsstelle nachgewiesen wird, sowie die Vereinbarungen, die getroffen wurden, um sicherzustellen, dass die Stelle regelmäßig überwacht wird und stets den Anforderungen in Artikel 39 genügt.

(5) Die betreffende Stelle darf die Aufgaben einer notifizierten Stelle nur dann wahrnehmen, wenn weder die Kommission noch die anderen Mitgliedstaaten innerhalb von zwei Wochen nach der Notifizierung, falls eine Akkreditierungsurkunde vorliegt, oder innerhalb von zwei Monaten nach der Notifizierung, falls keine Akkreditierung vorliegt, Einwände erhoben haben.

Nur eine solche Stelle gilt für die Zwecke dieser Verordnung als notifizierte Stelle.

(6) Die Kommission und die anderen Mitgliedstaaten werden über alle späteren relevanten Änderungen der Notifizierung informiert.

Kennnummern und Verzeichnisse notifizierter Stellen

(1) Die Kommission weist jeder notifizierten Stelle eine Kennnummer zu.

Selbst wenn eine Stelle gemäß mehreren Rechtsakten der Union notifiziert ist, erhält sie nur eine einzige Kennnummer.

(2) Die Kommission veröffentlicht das Verzeichnis der nach dieser Verordnung notifizierten Stellen samt den ihnen zugewiesenen Kennnummern und den Tätigkeiten, für die sie notifiziert wurden.

Die Kommission sorgt dafür, dass dieses Verzeichnis stets auf dem neuesten Stand gehalten wird.

Änderungen der Notifizierungen

(1) Falls eine notifizierende Behörde feststellt oder davon unterrichtet wird, dass eine notifizierte Stelle die Anforderungen in Artikel 39 nicht mehr erfüllt oder dass sie ihren Verpflichtungen nicht nachkommt, schränkt sie die Notifizierung gegebenenfalls ein, setzt sie aus oder widerruft sie, wobei sie das Ausmaß berücksichtigt, in dem diesen Anforderungen nicht genügt oder diesen Verpflichtungen nicht nachgekommen wurde. Sie setzt die Kommission und die anderen Mitgliedstaaten unverzüglich davon in Kenntnis.

(2) Bei Einschränkung, Aussetzung oder Aufhebung der Notifizierung oder wenn die notifizierte Stelle ihre Tätigkeit einstellt, ergreift der notifizierende Mitgliedstaat die geeigneten Maßnahmen, um zu gewährleisten, dass die Akten dieser Stelle von einer anderen notifizierten Stelle weiter bearbeitet bzw. für die zuständigen notifizierenden Behörden und Marktüberwachungsbehörden auf deren Verlangen bereitgehalten werden.

Anfechtung der Kompetenz notifizierter Stellen

(1) Die Kommission untersucht alle Fälle, in denen sie die Kompetenz einer notifizierten Stelle oder die dauerhafte Erfüllung der für die Stelle geltenden Anforderungen und Pflichten durch eine notifizierte Stelle anzweifelt oder ihr Zweifel daran zur Kenntnis gebracht werden.

(2) Der notifizierende Mitgliedstaat erteilt der Kommission auf Verlangen sämtliche Auskünfte über die Grundlage der Notifizierung oder die Erhaltung der Kompetenz der betreffenden Stelle.

(3) Die Kommission stellt sicher, dass alle im Verlauf ihrer Untersuchungen erlangten sensiblen Informationen vertraulich behandelt werden.

(4) Stellt die Kommission fest, dass eine notifizierte Stelle die Voraussetzungen für ihre Notifizierung nicht oder nicht mehr erfüllt, setzt sie den notifizierenden Mitgliedstaat davon in Kenntnis und fordert ihn auf, die erforderlichen Korrekturmaßnahmen zu treffen, einschließlich eines Widerrufs der Notifizierung, sofern dies nötig ist.

Operative Pflichten der notifizierten Stellen

(1) Die notifizierten Stellen führen die Konformitätsbewertungen im Einklang mit den Konformitätsbewertungsverfahren gemäß Artikel 32 und Anhang VIII durch.

(2) Die Konformitätsbewertungen werden unter Wahrung der Verhältnismäßigkeit durchgeführt, wobei unnötige Belastungen der Wirtschaftsakteure vermieden werden. Die Konformitätsbewertungsstellen üben ihre Tätigkeiten unter gebührender Berücksichtigung der Größe der Unternehmen, insbesondere in Bezug auf Kleinstunternehmen sowie kleine und mittlere Unternehmen, der Branche, in der sie tätig sind, ihrer Struktur, ihres Grads der Komplexität und des Cybersicherheitsrisikos der betroffenen Produkte mit digitalen Elementen und Technologien und des Massenfertigungs- oder Seriencharakters des Fertigungsprozesses aus.

(3) Die notifizierten Stellen gehen hierbei jedoch so streng vor und halten ein solches Schutzniveau ein, wie dies für die Konformität der Produkte mit digitalen Elementen mit dieser Verordnung erforderlich ist.

(4) Stellt eine notifizierte Stelle fest, dass ein Hersteller die in Anhang I oder in den entsprechenden harmonisierten Normen oder gemeinsamen Spezifikationen gemäß Artikel 27 festgelegten Anforderungen nicht erfüllt hat, fordert sie den Hersteller auf, angemessene Korrekturmaßnahmen zu ergreifen, und stellt keine Konformitätsbescheinigung aus.

(5) Hat eine notifizierte Stelle bereits eine Bescheinigung ausgestellt und stellt im Rahmen der Überwachung der Konformität fest, dass das Produkt mit digitalen Elementen die in dieser Verordnung festgelegten Anforderungen nicht mehr erfüllt, fordert sie den Hersteller auf, angemessene Korrekturmaßnahmen zu ergreifen, und setzt die Bescheinigung falls nötig aus oder widerruft sie.

(6) Werden keine Korrekturmaßnahmen ergriffen oder zeigen sie nicht die nötige Wirkung, so schränkt die notifizierte Stelle die Bescheinigungen ein, setzt sie aus bzw. widerruft sie, je nachdem, was angemessen ist.

Einspruch gegen Entscheidungen notifizierter Stellen

Die Mitgliedstaaten stellen sicher, dass ein Einspruchsverfahren gegen die Entscheidungen der notifizierten Stellen vorgesehen ist.

Meldepflichten der notifizierten Stellen

(1) Die notifizierten Stellen melden der notifizierenden Behörde

(2) Die notifizierten Stellen übermitteln den übrigen Stellen, die nach dieser Verordnung notifiziert sind und ähnlichen Konformitätsbewertungstätigkeiten für dieselben Produkte mit digitalen Elementen nachgehen, einschlägige Informationen über negative und auf Verlangen auch über positive Ergebnisse von Konformitätsbewertungen.

Erfahrungsaustausch

Die Kommission organisiert den Erfahrungsaustausch zwischen den für die Notifizierungspolitik zuständigen nationalen Behörden der Mitgliedstaaten.

Koordinierung der notifizierten Stellen

(1) Die Kommission sorgt dafür, dass eine angemessene Koordinierung und Zusammenarbeit zwischen notifizierten Stellen in Form einer sektorübergreifenden Gruppe notifizierter Stellen eingerichtet und ordnungsgemäß weitergeführt wird.

(2) Die Mitgliedstaaten sorgen dafür, dass sich die von ihnen notifizierten Stellen direkt oder über benannte Vertreter an der Arbeit dieser Gruppe beteiligen.

Marktüberwachung und Kontrolle von Produkten mit digitalen Elementen auf dem Unionsmarkt

(1) Die Verordnung (EU) 2019/1020 gilt für die Produkte mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen.

(2) Jeder Mitgliedstaat benennt für die Zwecke der Gewährleistung der wirksamen Durchführung der vorliegenden Verordnung eine oder mehrere Marktüberwachungsbehörden. Die Mitgliedstaaten können eine bestehende oder eine neue Behörde benennen, die im Rahmen der vorliegenden Verordnung als Marktüberwachungsbehörde tätig wird.

(3) Die gemäß Absatz 2 dieses Artikels benannten Marktüberwachungsbehörden sind auch für die Durchführung von Marktüberwachungstätigkeiten im Zusammenhang mit den in Artikel 24 genannten Verpflichtungen für Verwalter quelloffener Software zuständig. Stellt eine Marktüberwachungsbehörde fest, dass ein Verwalter quelloffener Software die in dem genannten Artikel festgelegten Verpflichtungen nicht erfüllt, so fordert sie den Verwalter quelloffener Software auf, sicherzustellen, dass alle geeigneten Korrekturmaßnahmen ergriffen werden. Die Verwalter quelloffener Software stellen im Rahmen ihrer Verpflichtungen gemäß dieser Verordnung sicher, dass alle geeigneten Korrekturmaßnahmen ergriffen werden.

(4) Die Marktüberwachungsbehörden arbeiten gegebenenfalls mit den nach Artikel 58 der Verordnung (EU) 2019/881 benannten nationalen Behörden für die Cybersicherheitszertifizierung zusammen und tauschen regelmäßig Informationen mit ihnen aus. Bei der Beaufsichtigung der Umsetzung der Meldepflichten nach Artikel 14 der vorliegenden Verordnung arbeiten die benannten Marktüberwachungsbehörden mit den als Koordinatoren benannten CSIRTs und der ENISA zusammen und tauschen mit ihnen regelmäßig Informationen aus.

(5) Die Marktaufsichtsbehörden können den als Koordinator benannten CSIRT oder die ENISA um technische Beratung in Fragen der Durchführung und Durchsetzung dieser Verordnung ersuchen. Bei der Durchführung einer Untersuchung gemäß Artikel 54 können die Marktüberwachungsbehörden den als Koordinator benannten CSIRT oder die ENISA um eine Analyse zur Untermauerung der Konformitätsbewertung von Produkten mit digitalen Elementen ersuchen.

(6) Die Marktüberwachungsbehörden arbeiten gegebenenfalls mit anderen Marktüberwachungsbehörden zusammen, die auf der Grundlage anderer Harmonisierungsrechtsvorschriften der Union als jener dieser Verordnung für andere Produkte benannt wurden, und tauschen regelmäßig Informationen mit ihnen aus.

(7) Die Marktüberwachungsbehörden arbeiten gegebenenfalls mit den Behörden zusammen, die die Anwendung des Datenschutzrechts der Union beaufsichtigen. Diese Zusammenarbeit umfasst die Unterrichtung dieser Behörden über alle Erkenntnisse, die für die Wahrnehmung ihrer Zuständigkeiten von Bedeutung sind, auch bezüglich der Herausgabe von Leitlinien und der Beratung nach Absatz 10, soweit solche Leitlinien und Ratschläge die Verarbeitung personenbezogener Daten betreffen.

Die Behörden, die die Anwendung des Datenschutzrechts der Union beaufsichtigen, sind befugt, alle im Rahmen dieser Verordnung erstellten oder geführten Unterlagen anzufordern und darauf zuzugreifen, soweit der Zugang zu diesen Unterlagen für die Erfüllung ihrer Aufgaben erforderlich ist. Sie unterrichten die benannten Marktüberwachungsbehörden des betreffenden Mitgliedstaats über jedes solches Ersuchen.

(8) Die Mitgliedstaaten sorgen dafür, dass die benannten Marktüberwachungsbehörden mit angemessenen finanziellen und technischen Ressourcen, gegebenenfalls auch mit Tools zur Prozessautomatisierung, sowie mit personellen Ressourcen, die über die notwendigen Cybersicherheitskompetenzen verfügen, ausgestattet werden, damit sie ihre Aufgaben im Rahmen dieser Verordnung wahrnehmen können.

(9) Die Kommission fördert und erleichtert den Erfahrungsaustausch zwischen den benannten Marktüberwachungsbehörden.

(10) Die Marktüberwachungsbehörden können den Wirtschaftsakteuren mit Unterstützung der Kommission und gegebenenfalls der CSIRTs und der ENISA Leitlinien und Ratschläge für die Durchführung dieser Verordnung geben.

(11) Die Marktüberwachungsbehörden informieren die Verbraucher gemäß Artikel 11 der Verordnung (EU) 2019/1020 darüber, wo Beschwerden einzureichen sind, die auf eine Nichteinhaltung dieser Verordnung hindeuten könnten, und stellen den Verbrauchern Informationen darüber zur Verfügung, wo und wie sie Zugang zu Mechanismen haben, um die Meldung von Schwachstellen, Sicherheitsvorfällen und Cyberbedrohungen, die Produkte mit digitalen Elementen betreffen können, zu erleichtern.

(12) Die Marktüberwachungsbehörden müssen gegebenenfalls die Zusammenarbeit mit einschlägigen Interessenträgern, darunter Wissenschafts-, Forschungs- und Verbraucherorganisationen, erleichtern.

(13) Die Marktüberwachungsbehörden erstatten der Kommission jährlich über die Ergebnisse ihrer jeweiligen Marktüberwachungstätigkeiten Bericht. Die benannten Marktüberwachungsbehörden melden der Kommission und den einschlägigen nationalen Wettbewerbsbehörden unverzüglich alle Informationen, die sie im Verlauf ihrer Marktüberwachungstätigkeiten erlangt haben und die für die Anwendung des Wettbewerbsrechts der Union von Interesse sein könnten.

(14) Bei Produkten mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen und gemäß Artikel 6 der Verordnung (EU) 2024/1689 als Hochrisiko-KI-Systeme eingestuft sind, sind die für die Zwecke der genannten Verordnung benannten Marktüberwachungsbehörden auch für die nach der vorliegenden Verordnung erforderlichen Marktüberwachungstätigkeiten zuständig. Die nach der Verordnung (EU) 2024/1689 benannten Marktüberwachungsbehörden arbeiten gegebenenfalls mit den nach der vorliegenden Verordnung benannten Marktüberwachungsbehörden und — bezüglich der Aufsicht über die Umsetzung der Meldepflichten nach Artikel 14 der vorliegenden Verordnung — mit den als Koordinatoren benannten CSIRTs und der ENISA zusammen. Die nach der Verordnung (EU) 2024/1689 benannten Marktüberwachungsbehörden unterrichten insbesondere die nach der vorliegenden Verordnung benannten Marktüberwachungsbehörden über alle Erkenntnisse, die für die Wahrnehmung ihrer Aufgaben im Zusammenhang mit der Durchführung der vorliegenden Verordnung von Bedeutung sind.

(15) Im Hinblick auf die einheitliche Anwendung dieser Verordnung wird gemäß Artikel 30 Absatz 2 der Verordnung (EU) 2019/1020 die ADCO eingesetzt. Die ADCO setzt sich aus Vertretern der benannten Marktüberwachungsbehörden und gegebenenfalls Vertretern der zentralen Verbindungsstellen zusammen. Die ADCO befasst sich auch mit spezifischen Fragen zu den Marktüberwachungstätigkeiten im Zusammenhang mit den Verpflichtungen für Verwalter quelloffener Software.

(16) Die Marktüberwachungsbehörden überwachen, wie die Hersteller bei der Festlegung des Unterstützungszeitraums für ihre Produkte mit digitalen Elementen die in Artikel 13 Absatz 8 genannten Kriterien angewandt haben.

Die ADCO veröffentlicht in öffentlich zugänglicher und benutzerfreundlicher Form einschlägige Statistiken über Kategorien von Produkten mit digitalen Elementen, einschließlich der vom Hersteller gemäß Artikel 13 Absatz 8 festgelegten durchschnittlichen Unterstützungszeiträume, und stellt Leitlinien bereit, die indikative Unterstützungszeiträume für Kategorien von Produkten mit digitalen Elementen enthalten.

Wenn die Daten auf unzureichende Unterstützungszeiträume für bestimmte Kategorien von Produkten mit digitalen Elementen hindeuten, kann die ADCO den Marktüberwachungsbehörden empfehlen, ihre Tätigkeiten auf solche Kategorien von Produkten mit digitalen Elementen zu konzentrieren.

Zugang zu Daten und zur Dokumentation

Soweit dies für die Bewertung der Konformität von Produkten mit digitalen Elementen und der von deren Herstellern festgelegten Verfahren mit den grundlegenden Cybersicherheitsanforderungen in Anhang I erforderlich ist, erhalten die Marktüberwachungsbehörden auf begründeten Antrag in einer für sie leicht verständlichen Sprache Zugang zu den Daten, die für die Bewertung der Konzeption, Entwicklung, Herstellung und die Behandlung von Schwachstellen solcher Produkte erforderlich sind, einschließlich der betreffenden internen Unterlagen des betroffenen Wirtschaftsakteurs.

Nationale Verfahren für Produkte mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisiko bergen

(1) Hat die Marktüberwachungsbehörde eines Mitgliedstaats hinreichenden Grund zu der Annahme, dass ein Produkt mit digitalen Elementen, einschließlich der Behandlung von Schwachstellen, ein erhebliches Cybersicherheitsrisiko birgt, so führt sie unverzüglich, gegebenenfalls in Zusammenarbeit mit dem einschlägigen CSIRT, eine Konformitätsbewertung des betreffenden Produkts im Hinblick auf die in dieser Verordnung festgelegten Anforderungen durch. Die betroffenen Wirtschaftsakteure arbeiten im erforderlichen Umfang mit der Marktüberwachungsbehörde zusammen.

Gelangt die Marktüberwachungsbehörde im Verlauf dieser Bewertung zu dem Ergebnis, dass das Produkt mit digitalen Elementen die Anforderungen dieser Verordnung nicht erfüllt, so fordert sie den betroffenen Wirtschaftsakteur unverzüglich dazu auf, innerhalb einer von der Marktüberwachungsbehörde vorgeschriebenen, der Art des Cybersicherheitsrisikos angemessenen Frist alle geeigneten Korrekturmaßnahmen zu ergreifen, um die Konformität des Produkts mit digitalen Elementen mit diesen Anforderungen herzustellen oder um das Produkt vom Markt zu nehmen oder es zurückzurufen.

Die Marktüberwachungsbehörde unterrichtet die einschlägige notifizierte Stelle hierüber. Artikel 18 der Verordnung (EU) 2019/1020 gilt für die Korrekturmaßnahmen.

(2) Bei der Bestimmung der Erheblichkeit eines Cybersicherheitsrisikos gemäß Absatz 1 berücksichtigen die Marktüberwachungsbehörden auch nichttechnische Risikofaktoren, insbesondere solche, die infolge koordinierter Risikobewertungen in Bezug auf die Sicherheit der Lieferketten auf Unionsebene gemäß Artikel 22 der Richtlinie (EU) 2022/2555 festgelegt wurden. Hat eine Marktüberwachungsbehörde hinreichenden Grund zu der Annahme, dass ein Produkt mit digitalen Elementen angesichts nichttechnischer Risikofaktoren ein erhebliches Cybersicherheitsrisiko birgt, unterrichtet sie die gemäß Artikel 8 der Richtlinie (EU) 2022/2555 benannten oder eingerichteten zuständigen Behörden und arbeitet mit diesen Behörden bei Bedarf zusammen.

(3) Gelangt die Marktüberwachungsbehörde zu der Auffassung, dass die Nichtkonformität nicht auf ihr nationales Hoheitsgebiet beschränkt ist, unterrichtet sie die Kommission und die anderen Mitgliedstaaten über die Ergebnisse der Prüfung und über die Maßnahmen, zu denen sie den Wirtschaftsakteur aufgefordert hat.

(4) Der Wirtschaftsakteur sorgt dafür, dass alle geeigneten Korrekturmaßnahmen in Bezug auf sämtliche betroffenen Produkte mit digitalen Elementen, die er in der Union auf dem Markt bereitgestellt hat, ergriffen werden.

(5) Ergreift der Wirtschaftsakteur innerhalb der in Absatz 1 Unterabsatz 2 genannten Frist keine angemessenen Korrekturmaßnahmen, so treffen die Marktüberwachungsbehörden alle geeigneten vorläufigen Maßnahmen, um die Bereitstellung des Produkts mit digitalen Elementen auf ihrem nationalen Markt zu untersagen oder einzuschränken, das Produkt vom Markt zu nehmen oder es zurückzurufen.

Diese Behörde notifiziert die Kommission und die anderen Mitgliedstaaten unverzüglich über diese Maßnahmen.

(6) Die in Absatz 5 genannten Informationen enthalten alle verfügbaren Einzelheiten, insbesondere die notwendigen Daten für die Identifizierung des nichtkonformen Produkts mit digitalen Elementen, die Herkunft dieses Produkts mit digitalen Elementen, die Art der behaupteten Nichtkonformität und das damit verbundene Risiko sowie die Art und Dauer der getroffenen nationalen Maßnahmen und die Argumente des betreffenden Wirtschaftsakteurs. Die Marktüberwachungsbehörde gibt insbesondere an, ob die Nichtkonformität eine oder mehrere der folgenden Ursachen hat:

(7) Die Marktüberwachungsbehörden der Mitgliedstaaten, außer derjenigen, die das Verfahren eingeleitet hat, unterrichten unverzüglich die Kommission und die anderen Mitgliedstaaten von jeglichen Maßnahmen und ihnen vorliegenden zusätzlichen Erkenntnissen über die Nichtkonformität des betreffenden Produkts mit digitalen Elementen sowie über ihre Einwände, falls sie die ihnen mitgeteilte nationale Maßnahme ablehnen.

(8) Erhebt weder ein Mitgliedstaat noch die Kommission innerhalb von drei Monaten nach Eingang der in Absatz 5 dieses Artikels genannten Notifizierung einen Einwand gegen eine vorläufige Maßnahme eines Mitgliedstaats, so gilt diese Maßnahme als gerechtfertigt. Die Verfahrensrechte des betreffenden Wirtschaftsakteurs nach Artikel 18 der Verordnung (EU) 2019/1020 bleiben hiervon unberührt.

(9) Die Marktüberwachungsbehörden aller Mitgliedstaaten tragen dafür Sorge, dass unverzüglich geeignete einschränkende Maßnahmen in Bezug auf das betreffende Produkt mit digitalen Elementen ergriffen werden, indem sie beispielsweise dieses Produkt von ihrem Markt rücknehmen.

Schutzklauselverfahren der Union

(1) Erhebt ein Mitgliedstaat innerhalb von drei Monaten nach Eingang der in Artikel 54 Absatz 5 genannten Unterrichtung Einwände gegen eine von einem anderen Mitgliedstaat getroffene Maßnahme oder ist die Kommission der Ansicht, dass die Maßnahme mit dem Unionsrecht unvereinbar ist, so nimmt die Kommission unverzüglich Konsultationen mit dem betreffenden Mitgliedstaat oder Wirtschaftsakteur auf und prüft die nationale Maßnahme. Anhand der Ergebnisse dieser Prüfung entscheidet die Kommission innerhalb von neun Monaten nach Eingang der in Artikel 54 Absatz 5 genannten Unterrichtung, ob die nationale Maßnahme gerechtfertigt ist oder nicht und teilt dem betreffenden Mitgliedstaat diese Entscheidung mit.

(2) Hält sie die nationale Maßnahme für gerechtfertigt, so ergreifen alle Mitgliedstaaten die erforderlichen Maßnahmen, um zu gewährleisten, dass das nichtkonforme Produkt mit digitalen Elementen von ihrem Markt genommen wird, und unterrichten die Kommission darüber. Wird die nationale Maßnahme als nicht gerechtfertigt erachtet, so muss der betreffende Mitgliedstaat sie zurücknehmen.

(3) Wird die nationale Maßnahme als gerechtfertigt erachtet und wird die Nichtkonformität des Produkts mit digitalen Elementen auf Mängel in den harmonisierten Normen zurückgeführt, so leitet die Kommission das Verfahren nach Artikel 11 der Verordnung (EU) Nr. 1025/2012 ein.

(4) Wird die nationale Maßnahme als gerechtfertigt erachtet und wird die Nichtkonformität des Produkts mit digitalen Elementen auf Mängel in einem europäischen Schema für die Cybersicherheitszertifizierung gemäß Artikel 27 zurückgeführt, so prüft die Kommission, ob ein gemäß Artikel 27 Absatz 9 angenommener delegierter Rechtsakt, in dem die Konformitätsvermutung in Bezug auf dieses Zertifizierungsschemas festgelegt worden ist, zu ändern oder aufzuheben ist.

(5) Wird die nationale Maßnahme als gerechtfertigt erachtet und wird die Nichtkonformität des Produkts mit digitalen Elementen auf Mängel in gemeinsamen Spezifikationen gemäß Artikel 27 zurückgeführt, so prüft die Kommission, ob ein gemäß Artikel 27 Absatz 2 angenommener Durchführungsrechtsakt, in dem die gemeinsamen Spezifikationen festgelegt worden sind, zu ändern oder aufzuheben ist.

Verfahren auf Unionsebene für Produkte mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisiko bergen

(1) Hat die Kommission — auch aufgrund von Informationen der ENISA — hinreichenden Grund zu der Annahme, dass ein Produkt mit digitalen Elementen, das ein erhebliches Cybersicherheitsrisiko birgt, den Anforderungen dieser Verordnung nicht genügt, so informiert sie die einschlägigen Marktüberwachungsbehörden. Führen die Marktüberwachungsbehörden eine Konformitätsbewertung dieses Produkts mit digitalen Elementen, das hinsichtlich seiner Konformität mit den Anforderungen dieser Verordnung ein erhebliches Cybersicherheitsrisiko bergen kann, durch, so finden die in den Artikeln 54 und 55 genannten Verfahren Anwendung.

(2) Hat die Kommission hinreichenden Grund zu der Annahme, dass ein Produkt mit digitalen Elementen angesichts nichttechnischer Risikofaktoren ein erhebliches Cybersicherheitsrisiko birgt, unterrichtet sie die einschlägigen Marktüberwachungsbehörden und gegebenenfalls die gemäß Artikel 8 der Richtlinie (EU) 2022/2555 benannten oder eingerichteten zuständigen Behörden und arbeitet mit diesen Behörden bei Bedarf zusammen. Die Kommission prüft auch die Relevanz der ermittelten Risiken für dieses Produkt mit digitalen Elementen im Hinblick auf ihre Aufgaben im Zusammenhang mit den koordinierten Risikobewertungen in Bezug auf die Sicherheit der Lieferketten auf Unionsebene gemäß Artikel 22 der Richtlinie (EU) 2022/2555 und konsultiert erforderlichenfalls die gemäß Artikel 14 der Richtlinie (EU) 2022/2555 eingesetzte Kooperationsgruppe und die ENISA.

(3) Unter Umständen, die ein sofortiges Eingreifen rechtfertigen, um das reibungslose Funktionieren des Binnenmarkts zu bewahren, und wenn die Kommission hinreichenden Grund zu der Annahme hat, dass das in Absatz 1 genannte Produkt mit digitalen Elementen weiterhin den Anforderungen dieser Verordnung nicht genügt und die einschlägigen Marktüberwachungsbehörden keine wirksamen Maßnahmen ergriffen haben, nimmt die Kommission eine Bewertung der Konformität vor und kann die ENISA um eine Analyse zur Untermauerung der Bewertung ersuchen. Die Kommission unterrichtet die einschlägigen Marktüberwachungsbehörden hierüber. Die betroffenen Wirtschaftsakteure arbeiten im erforderlichen Umfang mit der ENISA zusammen.

(4) Auf der Grundlage der Bewertung nach Absatz 3 kann die Kommission feststellen, dass eine Korrekturmaßnahme oder eine einschränkende Maßnahme auf Unionsebene erforderlich ist. Zu diesem Zweck konsultiert sie unverzüglich die betroffenen Mitgliedstaaten und den bzw. die betroffenen Wirtschaftsakteure.

(5) Auf der Grundlage der in Absatz 4 dieses Artikels genannten Konsultation kann die Kommission Durchführungsrechtsakte über Korrekturmaßnahmen oder einschränkende Maßnahmen auf Unionsebene erlassen, einschließlich der Forderung der Rücknahme vom Markt oder des Rückrufs der betreffenden Produkte mit digitalen Elementen innerhalb einer der Art des Risikos angemessenen Frist. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 62 Absatz 2 genannten Prüfverfahren erlassen.

(6) Die Kommission unterrichtet den bzw. die betroffenen Wirtschaftsakteure unverzüglich über die in Absatz 5 genannten Durchführungsrechtsakte. Die Mitgliedstaaten führen diese Durchführungsrechtsakte unverzüglich durch und unterrichten die Kommission hierüber.

(7) Die Absätze 3 bis 6 gelten für die Dauer der außergewöhnlichen Umstände, die das Eingreifen der Kommission gerechtfertigt haben, solange die Konformität des betreffenden Produkts mit digitalen Elementen mit dieser Verordnung nicht hergestellt worden ist.

Konforme Produkte mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisiko bergen

(1) Die Marktüberwachungsbehörde eines Mitgliedstaats fordert einen Wirtschaftsakteur auf, alle geeigneten Maßnahmen zu ergreifen, wenn sie nach einer Bewertung gemäß Artikel 54 feststellt, dass ein Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren zwar dieser Verordnung entsprechen, jedoch ein erhebliches Cybersicherheitsrisiko sowie folgende Risiken bergen:

Die in Unterabsatz 1 genannten Maßnahmen können Maßnahmen umfassen, mit denen sichergestellt wird, dass das betreffende Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren die relevanten Risiken nicht mehr bergen, wenn das betreffende Produkt mit digitalen Elementen auf dem Markt bereitgestellt, vom Markt rückgenommen oder zurückgerufen wird, und müssen der Art dieser Risiken angemessen sein.

(2) Der Hersteller oder andere betreffende Wirtschaftsakteure sorgen dafür, dass in Bezug auf alle betroffenen Produkte mit digitalen Elementen, die sie in der Union auf dem Markt bereitgestellt haben, innerhalb der von der Marktüberwachungsbehörde des in Absatz 1 genannten Mitgliedstaats gesetzten Frist Korrekturmaßnahmen ergriffen werden.

(3) Der Mitgliedstaat unterrichtet die Kommission und die anderen Mitgliedstaaten unverzüglich über alle gemäß Absatz 1 ergriffenen Maßnahmen. Aus diesen Informationen gehen alle verfügbaren Einzelheiten hervor, insbesondere die Daten zur Identifizierung des betroffenen Produkts mit digitalen Elementen, dessen Herkunft und Lieferkette, die Art des damit verbundenen Risikos sowie die Art und Dauer der ergriffenen nationalen Maßnahmen.

(4) Die Kommission konsultiert unverzüglich die Mitgliedstaaten und den betroffenen Wirtschaftsakteur und nimmt eine Prüfung der ergriffenen nationalen Maßnahmen vor. Anhand der Ergebnisse dieser Prüfung beschließt die Kommission, ob die Maßnahme gerechtfertigt ist oder nicht, und schlägt, falls erforderlich, geeignete Maßnahmen vor.

(5) Die Kommission richtet den in Absatz 4 genannten Beschluss an die Mitgliedstaaten.

(6) Hat die Kommission — auch aufgrund von Informationen der ENISA — hinreichenden Grund zu der Annahme, dass ein Produkt mit digitalen Elementen, obwohl es dieser Verordnung entspricht, die in Absatz 1 dieses Artikels genannten Risiken birgt, so unterrichtet sie die einschlägige(n) Marktüberwachungsbehörde(n) und kann sie auffordern, eine Bewertung durchzuführen und die in Artikel 54 und in den Absätzen 1, 2 und 3 dieses Artikels genannten Verfahren anzuwenden.

(7) Unter Umständen, die ein sofortiges Eingreifen rechtfertigen, um das reibungslose Funktionieren des Binnenmarkts zu bewahren, und wenn die Kommission hinreichenden Grund zu der Annahme hat, dass das in Absatz 6 genannte Produkt mit digitalen Elementen weiterhin die in Absatz 1 genannten Risiken birgt und die einschlägigen Marktüberwachungsbehörden keine wirksamen Maßnahmen ergriffen haben, nimmt die Kommission eine Bewertung der Risiken, die dieses Produkt mit digitalen Elementen birgt, vor und kann die ENISA um eine Analyse zur Untermauerung dieser Bewertung ersuchen und unterrichtet die einschlägigen Marktüberwachungsbehörden hierüber. Die betroffenen Wirtschaftsakteure arbeiten im erforderlichen Umfang mit der ENISA zusammen.

(8) Auf der Grundlage der Bewertung nach Absatz 7 kann die Kommission feststellen, dass eine Korrekturmaßnahme oder eine einschränkende Maßnahme auf Unionsebene erforderlich ist. Zu diesem Zweck konsultiert sie unverzüglich die betroffenen Mitgliedstaaten und den bzw. die betroffenen Wirtschaftsakteure.

(9) Auf der Grundlage der in Absatz 8 des vorliegenden Artikels genannten Konsultation kann die Kommission Durchführungsrechtsakte über Korrekturmaßnahmen oder einschränkende Maßnahmen auf Unionsebene erlassen, einschließlich der Forderung der Rücknahme vom Markt oder des Rückrufs der betreffenden Produkte mit digitalen Elementen innerhalb einer der Art des Risikos angemessenen Frist. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 62 Absatz 2 genannten Prüfverfahren erlassen.

(10) Die Kommission unterrichtet den bzw. die betroffenen Wirtschaftsakteure unverzüglich über die in Absatz 9 genannten Durchführungsrechtsakte. Die Mitgliedstaaten führen diese Durchführungsrechtsakte unverzüglich durch und unterrichten die Kommission hierüber.

(11) Die Absätze 6 bis 10 gelten für die Dauer der außergewöhnlichen Umstände, die das Eingreifen der Kommission gerechtfertigt haben, und solange das betroffene Produkt mit digitalen Elementen weiterhin die in Absatz 1 genannten Risiken birgt.

Formale Nichtkonformität

(1) Gelangt die Marktüberwachungsbehörde eines Mitgliedstaats zu einer der folgenden Feststellungen, fordert sie den betroffenen Hersteller auf, die betreffende Nichtkonformität zu beheben:

(2) Besteht die in Absatz 1 genannte Nichtkonformität weiter, so ergreift der betreffende Mitgliedstaat alle geeigneten Maßnahmen, um die Bereitstellung des Produkts mit digitalen Elementen auf dem Markt einzuschränken oder zu untersagen oder um dafür zu sorgen, dass es zurückgerufen oder vom Markt genommen wird.

Gemeinsame Tätigkeiten der Marktüberwachungsbehörden

(1) Die Marktüberwachungsbehörden können mit anderen einschlägigen Behörden die Durchführung gemeinsamer Tätigkeiten zur Gewährleistung der Cybersicherheit und des Verbraucherschutzes in Bezug auf bestimmte in den Verkehr gebrachte oder auf dem Markt bereitgestellte Produkte mit digitalen Elementen vereinbaren, insbesondere in Bezug auf Produkte mit digitalen Elementen, bei denen häufig Cybersicherheitsrisiken festgestellt werden.

(2) Die Kommission oder die ENISA schlagen gemeinsame Tätigkeiten zur Überprüfung der Einhaltung dieser Verordnung vor, die von Marktüberwachungsbehörden auf der Grundlage von Hinweisen oder Informationen, wonach Produkte mit digitalen Elementen, die in den Anwendungsbereich dieser Verordnung fallen, möglicherweise in mehreren Mitgliedstaaten den Anforderungen dieser Verordnung nicht entsprechen, durchgeführt werden sollen.

(3) Die Marktüberwachungsbehörden und gegebenenfalls die Kommission tragen dafür Sorge, dass die Vereinbarung über gemeinsame Tätigkeiten weder einen unfairen Wettbewerb zwischen Wirtschaftsakteuren nach sich zieht noch die Objektivität, Unabhängigkeit oder Unparteilichkeit der Parteien der Vereinbarung beeinträchtigt.

(4) Eine Marktüberwachungsbehörde kann alle Informationen verwenden, die sie im Rahmen gemeinsamer Tätigkeiten, die Teil einer von ihr durchgeführten Untersuchung waren, erlangt hat.

(5) Die betreffende Marktüberwachungsbehörde und gegebenenfalls die Kommission machen die Vereinbarung über gemeinsame Tätigkeiten einschließlich der Namen der Beteiligten der Öffentlichkeit zugänglich.

Koordinierte Kontrollen (Sweeps)

(1) Die Marktüberwachungsbehörden führen zur Prüfung der Einhaltung dieser Verordnung oder zur Feststellung von Verstößen gegen diese Verordnung gleichzeitige koordinierte Kontrollen („Sweeps“) zu bestimmten Produkten mit digitalen Elementen durch. Diese Sweeps können auch die Inspektion von Produkten mit digitalen Elementen umfassen, die unter einer falschen Identität erworben wurden.

(2) Sofern die betreffenden Marktüberwachungsbehörden nichts anderes vereinbaren, werden solche Sweeps von der Kommission koordiniert. Der Koordinator des Sweeps veröffentlicht die aggregierten Ergebnisse gegebenenfalls.

(3) Bestimmt die ENISA in Wahrnehmung ihrer Aufgaben, auch aufgrund der gemäß Artikel 14 Absätze 1 und 3 eingegangenen Meldungen, Kategorien von Produkten mit digitalen Elementen, zu denen Sweeps organisiert werden können, so legt sie dem in Absatz 2 dieses Artikels genannten Koordinator einen Vorschlag für Sweeps zur Prüfung durch die Marktüberwachungsbehörden vor.

(4) Bei der Durchführung von Sweeps können die beteiligten Marktüberwachungsbehörden die Ermittlungsbefugnisse nach den Artikeln 52 bis 58 und weitere Befugnisse, die ihnen nach nationalem Recht übertragen wurden, nutzen.

(5) Die Marktüberwachungsbehörden können Kommissionsbeamte und weitere von der Kommission autorisierte Begleitpersonen zur Teilnahme an Sweeps einladen.

Ausübung der Befugnisübertragung

(1) Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

(2) Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 2 Absatz 5 Unterabsatz 2, Artikel 7 Absatz 3, Artikel 8 Absätze 1 und 2, Artikel 13 Absatz 8 Unterabsatz 4, Artikel 14 Absatz 9, Artikel 25, Artikel 27 Absatz 9, Artikel 28 Absatz 5 und Artikel 31 Absatz 5 wird der Kommission für einen Zeitraum von fünf Jahren ab dem 10. Dezember 2024 übertragen. Die Kommission erstellt spätestens neun Monate vor Ablauf des Zeitraums von fünf Jahren einen Bericht über die Befugnisübertragung. Die Befugnisübertragung verlängert sich stillschweigend um Zeiträume gleicher Länge, es sei denn, das Europäische Parlament oder der Rat widersprechen einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.

(3) Die Befugnisübertragung gemäß Artikel 2 Absatz 5 Unterabsatz 2, Artikel 7 Absatz 3, Artikel 8 Absätze 1 und 2, Artikel 13 Absatz 8 Unterabsatz 4, Artikel 14 Absatz 9, Artikel 25, Artikel 27 Absatz 9, Artikel 28 Absatz 5 und Artikel 31 Absatz 5 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.

(4) Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen im Einklang mit den in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung enthaltenen Grundsätzen.

(5) Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

(6) Ein delegierter Rechtsakt, der gemäß Artikel 2 Absatz 5 Unterabsatz 2, Artikel 7 Absatz 3, Artikel 8 Absätze 1 oder 2, Artikel 13 Absatz 8 Unterabsatz 4, Artikel 14 Absatz 9, Artikel 25, Artikel 27 Absatz 9, Artikel 28 Absatz 5 oder Artikel 31 Absatz 5 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

Ausschussverfahren

(1) Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

(3) Wird die Stellungnahme des Ausschusses im schriftlichen Verfahren eingeholt, so wird das Verfahren ohne Ergebnis abgeschlossen, wenn der Vorsitz des Ausschusses dies innerhalb der Frist zur Abgabe der Stellungnahme beschließt oder ein Ausschussmitglied dies verlangt.

Vertraulichkeit

(1) Alle an der Anwendung dieser Verordnung beteiligten Parteien wahren die Vertraulichkeit der Informationen und Daten, von denen sie in Ausübung ihrer Aufgaben und Tätigkeiten Kenntnis erlangen, und schützen dabei insbesondere Folgendes:

(2) Unbeschadet des Absatzes 1 werden die Informationen, die die Marktüberwachungsbehörden auf vertraulicher Basis untereinander oder mit der Kommission ausgetauscht haben, nicht ohne die vorherige Zustimmung der Marktüberwachungsbehörde, von der die Informationen stammen, weitergegeben.

(3) Die Absätze 1 und 2 dürfen sich weder auf die Rechte und Pflichten der Kommission, der Mitgliedstaaten und notifizierten Stellen in Bezug auf den Informationsaustausch und die Weitergabe von Warnungen noch auf die Pflichten der betroffenen Personen auswirken, Informationen auf der Grundlage des Strafrechts der Mitgliedstaaten bereitzustellen.

(4) Die Kommission und die Mitgliedstaaten können mit einschlägigen Behörden von Drittstaaten, mit denen sie bilaterale oder multilaterale Vertraulichkeitsvereinbarungen getroffen haben und die ein angemessenes Schutzniveau gewährleisten, erforderlichenfalls sensible Informationen austauschen.

Sanktionen

(1) Die Mitgliedstaaten erlassen Vorschriften über Sanktionen, die bei Verstößen gegen diese Verordnung zu verhängen sind, und treffen alle für die Umsetzung der Sanktionen erforderlichen Maßnahmen. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Die Mitgliedstaaten teilen der Kommission diese Vorschriften und Maßnahmen unverzüglich mit und melden ihr unverzüglich alle diesbezüglichen Änderungen.

(2) Bei Nichteinhaltung der in Anhang I festgelegten grundlegenden Cybersicherheitsanforderungen oder Verstößen gegen die in den Artikeln 13 und 14 festgelegten Pflichten werden Geldbußen von bis zu 15 000 000 EUR oder — im Falle von Unternehmen — von bis zu 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.

(3) Bei Verstößen gegen die in den Artikeln 18 bis 23, Artikel 28, Artikel 30 Absätze 1 bis 4, Artikel 31 Absätze 1 bis 4, Artikel 32 Absätze 1, 2 und 3, Artikel 33 Absatz 5 und Artikeln 39, 41, 47, 49 und 53 festgelegten Pflichten werden Geldbußen von bis zu 10 000 000 EUR oder — im Falle von Unternehmen — von bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.

(4) Werden gegenüber notifizierten Stellen und Marktüberwachungsbehörden auf deren Auskunftsverlangen hin falsche, unvollständige oder irreführende Angaben gemacht, so werden Geldbußen von bis zu 5 000 000 EUR oder — im Falle von Unternehmen — von bis zu 1 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.

(5) Bei der Festsetzung der Geldbuße werden in jedem Einzelfall alle relevanten Umstände der konkreten Situation sowie Folgendes gebührend berücksichtigt:

(6) Marktüberwachungsbehörden, die Geldbußen verhängen, teilen die Verhängung einer Geldbuße den Marktüberwachungsbehörden der anderen Mitgliedstaaten über das in Artikel 34 der Verordnung (EU) 2019/1020 genannte Informations- und Kommunikationssystem mit.

(7) Jeder Mitgliedstaat erlässt Vorschriften darüber, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.

(8) In Abhängigkeit vom Rechtssystem des betreffenden Mitgliedstaats können die Vorschriften über Geldbußen je nach den dort geltenden Regeln so angewandt werden, dass die Geldbußen entsprechend der auf nationaler Ebene in den Mitgliedstaaten festgelegten Verteilung der Zuständigkeiten von zuständigen nationalen Gerichten oder von anderen Stellen verhängt werden. Die Anwendung dieser Vorschriften in diesen Mitgliedstaaten muss eine gleichwertige Wirkung haben.

(9) Geldbußen können je nach den Umständen des Einzelfalls zusätzlich zu anderen Korrekturmaßnahmen oder einschränkenden Maßnahmen, die Marktüberwachungsbehörden für denselben Verstoß auferlegen, verhängt werden.

(10) Abweichend von den Absätzen 3 bis 9 gelten die in diesen Absätzen genannten Geldbußen nicht für

Verbandsklagen

Richtlinie (EU) 2020/1828 findet Anwendung auf Verbandsklagen gegen Zuwiderhandlungen durch Wirtschaftsakteure gegen Bestimmungen dieser Verordnung, die die Kollektivinteressen der Verbraucher beeinträchtigen oder zu beeinträchtigen drohen.

Änderung der Verordnung (EU) 2019/1020

In Anhang I der Verordnung (EU) 2019/1020 wird folgende Nummer angefügt:

„72.

Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates (*1).

Änderung der Richtlinie (EU) 2020/1828

In Anhang I der Richtlinie (EU) 2020/1828 wird folgende Nummer angefügt:

„(69)

Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates (*2).

Änderungen der Verordnung (EU) Nr. 168/2013

In Anhang II Teil C1 der Verordnung (EU) Nr. 168/2013 des Europäischen Parlaments und des Rates (38) wird in der Tabelle folgender Eintrag angefügt:

„

“

Übergangsbestimmungen

(1) EU-Baumusterprüfbescheinigungen und Zulassungen, die in Bezug auf Cybersicherheitsanforderungen für Produkte mit digitalen Elementen erteilt wurden, die anderen Harmonisierungsrechtsvorschriften der Union als der vorliegenden Verordnung unterliegen, bleiben bis zum 11. Juni 2028 gültig, sofern sie nicht vor diesem Zeitpunkt ablaufen oder sofern in anderen Harmonisierungsrechtsvorschriften der Union nichts anderes festgelegt ist; in letzterem Fall bleiben sie gemäß den letztgenannten Rechtsvorschriften gültig.

(2) Produkte mit digitalen Elementen, die vor dem 11. Dezember 2027 in den Verkehr gebracht wurden, unterliegen den in dieser Verordnung festgelegten Anforderungen nur dann, wenn nach diesem Zeitpunkt diese Produkte einer wesentlichen Änderung unterliegen.

(3) Abweichend von Absatz 2 des vorliegenden Artikels gelten die in Artikel 14 festgelegten Pflichten für alle Produkte mit digitalen Elementen, die in den Anwendungsbereich dieser Verordnung fallen und vor dem 11. Dezember 2027 in den Verkehr gebracht wurden.

Bewertung und Überprüfung

(1) Bis zum 11. Dezember 2030 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung vor. Die Berichte werden veröffentlicht.

(2) Bis zum 11. September 2028 legt die Kommission nach Konsultation der ENISA und des CSIRT-Netzes dem Europäischen Parlament und dem Rat einen Bericht vor, in dem sie die Wirksamkeit der einheitlichen Meldeplattform gemäß Artikel 16 sowie die Auswirkungen der Geltendmachung der in Artikel 16 Absatz 2 genannten Gründen der Cybersicherheit durch die als Koordinatoren benannten CSIRTs auf die Wirksamkeit der einheitlichen Meldeplattform im Hinblick auf die rechtzeitige Übermittlung eingegangener Meldungen an andere einschlägige CSIRTs bewertet.

Inkrafttreten und Geltungsbeginn

(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2) Diese Verordnung gilt ab dem 11. Dezember 2027.

Artikel 14 gilt jedoch ab dem 11. September 2026, und Kapitel IV (Artikel 35 bis 51) gilt ab dem 11. Juni 2026.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Straßburg am 23. Oktober 2024.