Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung). Direkt anwendbar in jedem Mitgliedstaat. Enthält die Definition des „Verwalters quelloffener Software" (Open Source Steward). Nur relevante Artikel.
Die nachfolgenden Auszüge zeigen, welche CRA-Bestimmungen unmittelbar Auswirkungen auf den Umgang mit Open-Source-Software in der Lieferkette haben. Jeder Abschnitt ist thematisch gegliedert und mit einer kurzen Einordnung versehen, damit der Zusammenhang zwischen gesetzlicher Pflicht und praktischer Umsetzung erkennbar wird. Grundlage ist der amtliche deutsche Wortlaut der Verordnung.
Die Erwägungsgründe (EWG) des CRA sind nicht unmittelbar rechtsverbindlich, dienen aber der Auslegung der Gesetzesartikel. Die folgenden Erwägungsgründe sind für Open-Source-Software und die Steward-Rolle besonders relevant: EWG 18 definiert den FOSS-Begriff und grenzt kommerzielle Tätigkeit ab, EWG 19 führt die Verwalter quelloffener Software ein und schließt sie von der CE-Kennzeichnung aus, EWG 20 klärt den Status von Paketverwaltungsdiensten, EWG 34 konkretisiert die Sorgfaltspflicht bei der Integration von Drittkomponenten, und EWG 120 begründet die Ausnahme von Geldbußen für Stewards.
(18) Unter freier und quelloffener Software ist eine Software zu verstehen, deren Quellcode offen geteilt wird und in deren Lizenz alle erforderlichen Rechte vorgesehen sind, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen. Freie und quelloffene Software wird offen entwickelt, gepflegt und verteilt, auch über Online-Plattformen. In Bezug auf Wirtschaftsakteure, die in den Anwendungsbereich dieser Verordnung fallen, sollte nur freie und quelloffene Software, die auf dem Markt bereitgestellt und somit zum Vertrieb oder zur Nutzung im Rahmen einer Geschäftstätigkeit verfügbar gemacht wird, in den Anwendungsbereich dieser Verordnung fallen. Die bloßen Umstände, unter denen das Produkt mit digitalen Elementen entwickelt wurde, oder die Art und Weise, wie die Entwicklung finanziert wurde, sollten daher bei der Bestimmung des kommerziellen oder nichtkommerziellen Charakters der entsprechenden Tätigkeit nicht berücksichtigt werden. Insbesondere sollte für die Zwecke dieser Verordnung und in Bezug auf die Wirtschaftsakteure, die in ihren Anwendungsbereich fallen, die Bereitstellung von Produkten mit digitalen Elementen, die als freie und quelloffene Software eingestuft und von ihren Herstellern nicht zu Geld gemacht werden, nicht als Geschäftstätigkeit betrachtet werden, damit sichergestellt ist, dass klar zwischen der Entwicklungs- und der Lieferphase unterschieden wird. Darüber hinaus sollte die Lieferung von Produkten mit digitalen Elementen, die als freie und quelloffene Softwarekomponenten eingestuft werden und zur Integration durch andere Hersteller in ihre eigenen Produkte mit digitalen Elementen bestimmt sind, nur dann als Bereitstellung auf dem Markt betrachtet werden, wenn die Komponente von ihrem ursprünglichen Hersteller zu Geld gemacht wird. Beispielsweise sollte allein der Umstand, dass ein Produkt quelloffener Software mit digitalen Elementen von den Herstellern finanziell unterstützt wird oder dass Hersteller zur Entwicklung eines solchen Produkts beitragen, für sich genommen nicht ausschlaggebend für die Feststellung sein, dass die Tätigkeit kommerzieller Art ist. Fernerhin sollte das bloße Vorhandensein regelmäßiger Veröffentlichungen von Versionen für sich genommen nicht zu der Schlussfolgerung führen, dass ein Produkt mit digitalen Elementen im Rahmen einer Geschäftstätigkeit geliefert wird. Schließlich sollte für die Zwecke dieser Verordnung die Entwicklung von Produkten mit digitalen Elementen, die als freie und quelloffene Software eingestuft werden, durch gemeinnützige Organisationen nicht als kommerzielle Tätigkeit betrachtet werden, sofern die Organisation so angelegt ist, dass sichergestellt ist, dass alle Einnahmen nach Abzug der Kosten zur Verwirklichung gemeinnütziger Ziele verwendet werden. Diese Verordnung gilt nicht für natürliche oder juristische Personen, die mit Quellcode zu Produkten mit digitalen Elementen beitragen, die als freie und quelloffene Software eingestuft sind und nicht ihrer Verantwortung unterliegen.
(19) Angesichts der Bedeutung für die Cybersicherheit, die vielen Produkten mit digitalen Elementen zukommt, die als freie und quelloffene Software eingestuft sind und im Sinne dieser Verordnung veröffentlicht, aber nicht auf dem Markt bereitgestellt werden, sollten juristische Personen, die die Entwicklung solcher für kommerzielle Tätigkeiten bestimmte Produkte dauerhaft unterstützen und eine wichtige Rolle bei der Sicherstellung der Brauchbarkeit dieser Produkte spielen (Verwalter quelloffener Software), einer vereinfachten und maßgeschneiderten Regulierungsregelung unterworfen werden. Zu den Verwaltern quelloffener Software gehören bestimmte Stiftungen sowie Einrichtungen, die freie und quelloffene Software im wirtschaftlichen Kontext entwickeln und veröffentlichen, einschließlich gemeinnütziger Einrichtungen. Bei der Regulierung sollten ihre Besonderheiten und die Vereinbarkeit mit der Art der auferlegten Verpflichtungen berücksichtigt werden. Es sollten nur Produkte mit digitalen Elementen abgedeckt sein, die als freie und quelloffene Software gelten und letztlich für kommerzielle Tätigkeiten wie die Integration in kommerzielle Dienste oder kostenpflichtige Produkte mit digitalen Elementen bestimmt sind. Für die Zwecke dieser Regulierungsregelung umfasst die beabsichtigte Integration in kostenpflichtige Produkte mit digitalen Elementen Fälle, in denen die Hersteller, die eine Komponente in ihre eigenen Produkte mit digitalen Elementen integrieren, entweder regelmäßig zur Entwicklung dieser Komponente beitragen oder regelmäßige finanzielle Unterstützung leisten, um die Kontinuität eines Softwareprodukts sicherzustellen. Die dauerhafte Unterstützung der Entwicklung eines Produkts mit digitalen Elementen umfasst unter anderem das Hosting und die Verwaltung von Plattformen für die Zusammenarbeit bei der Softwareentwicklung, das Hosting von Quellcode oder Software, das Verwalten oder Administrieren von Produkten mit digitalen Elementen, die als freie und quelloffene Software eingestuft sind, sowie die Steuerung der Entwicklung solcher Produkte. Da in der vereinfachten und maßgeschneiderten Regulierungsregelung für Verwalter quelloffener Software nicht dieselben Verpflichtungen wie für Hersteller im Rahmen dieser Verordnung vorgesehen sind, sollte es ihnen nicht gestattet sein, die CE-Kennzeichnung auf Produkten mit digitalen Elementen, deren Entwicklung sie unterstützen, anzubringen.
(20) Die bloße Bereitstellung von Produkten mit digitalen Elementen in offenen Archiven, darunter über Paketverwaltung oder auf Plattformen für die Zusammenarbeit, stellt an sich noch keine Bereitstellung eines Produkts mit digitalen Elementen auf dem Markt dar. Die Anbieter solcher Dienste sollten nur dann als Händler betrachtet werden, wenn sie diese Software auf dem Markt bereitstellen und sie somit im Rahmen einer Geschäftstätigkeit zum Vertrieb oder zur Verwendung auf dem Unionsmarkt liefern.
(34) Wenn die Hersteller in der Entwurfs- und Entwicklungsphase von Dritten bezogene Komponenten in Produkte mit digitalen Elementen integrieren, sollten sie in Bezug auf diese Komponenten, einschließlich freier und quelloffener Softwarekomponenten, die nicht auf dem Markt bereitgestellt wurden, die gebotene Sorgfalt walten lassen, um sicherzustellen, dass die Produkte im Einklang mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen konzipiert, entwickelt und hergestellt werden. Der angemessene Umfang der Sorgfaltspflicht richtet sich nach der Art und dem Ausmaß des Cybersicherheitsrisikos, das mit einer bestimmten Komponente verbunden ist; dabei sollten zu diesem Zweck eine oder mehrere der folgenden Maßnahmen Berücksichtigung finden: gegebenenfalls Überprüfung, ob der Hersteller einer Komponente die Konformität mit dieser Verordnung nachgewiesen hat, einschließlich einer Kontrolle der Frage, ob die Komponente bereits mit der CE-Kennzeichnung versehen ist; Überprüfung, ob für eine Komponente regelmäßig Sicherheitsaktualisierungen vorgenommen werden, etwa durch Kontrolle der bisherigen Sicherheitsaktualisierungen; Überprüfung, ob eine Komponente frei von den Schwachstellen ist, die in der gemäß Artikel 12 Absatz 2 der Richtlinie (EU) 2022/2555 eingerichteten europäischen Schwachstellendatenbank oder anderen öffentlich zugänglichen Schwachstellendatenbanken registriert sind, oder Durchführung zusätzlicher Sicherheitsprüfungen. Die in dieser Verordnung festgelegten Pflichten zum Umgang mit Schwachstellen, die die Hersteller beim Inverkehrbringen eines Produkts mit digitalen Elementen und während des Unterstützungszeitraums erfüllen müssen, gelten für Produkte mit digitalen Elementen in ihrer Gesamtheit, einschließlich aller integrierten Komponenten. Stellt der Hersteller des Produkts mit digitalen Elementen im Rahmen seiner Sorgfaltspflicht eine Schwachstelle in einer Komponente, auch in einer freien und quelloffenen Komponente, fest, sollte er die Person oder die Einrichtung, die die Komponente hergestellt hat bzw. wartet, informieren, die Schwachstelle beheben und der Person oder der Einrichtung gegebenenfalls den eingesetzten Sicherheits-Patch zur Verfügung stellen.
(120) Um die wirksame Durchsetzung der in dieser Verordnung festgelegten Pflichten zu gewährleisten, sollte jede Marktüberwachungsbehörde befugt sein, Geldbußen aufzuerlegen oder ihre Auferlegung zu beantragen. Daher sollten auch Obergrenzen für Geldbußen festgelegt werden, die im einzelstaatlichen Recht für Verstöße gegen die in dieser Verordnung festgelegten Pflichten vorzusehen sind. Bei der Entscheidung über die Höhe der Geldbuße sollten in jedem Einzelfall alle relevanten Umstände der konkreten Situation und zumindest die in dieser Verordnung ausdrücklich festgelegten Umstände berücksichtigt werden, einschließlich der Frage, ob es sich bei dem Hersteller um ein Kleinstunternehmen oder um ein kleines oder mittleres Unternehmen, einschließlich eines Start-up-Unternehmens, handelt und ob bereits dieselbe Marktüberwachungsbehörde oder andere Marktüberwachungsbehörden demselben Wirtschaftsakteur für einen ähnlichen Verstoß Geldbußen auferlegt haben. Solche Umstände könnten entweder erschwerend wirken, falls der Verstoß desselben Wirtschaftsakteurs im Hoheitsgebiet eines anderen Mitgliedstaats als desjenigen, in dem bereits eine Geldbuße verhängt wurde, weiter andauert, oder aber mildernd, indem sichergestellt wird, dass in anderen Mitgliedstaaten verhängte Sanktionen und deren Höhe sowie andere einschlägige konkrete Umstände berücksichtigt werden, wenn eine andere Marktüberwachungsbehörde für denselben Wirtschaftsakteur oder dieselbe Art von Verstoß eine weitere Geldbuße in Betracht zieht. Jedenfalls sollte der Gesamtbetrag der Geldbußen, die die Marktüberwachungsbehörden mehrerer Mitgliedstaaten wegen derselben Art von Verstößen gegen denselben Wirtschaftsakteur verhängen könnten, dem Grundsatz der Verhältnismäßigkeit entsprechen. Da Geldbußen weder gegen Kleinstunternehmen oder kleine Unternehmen wegen einer Nichteinhaltung der 24-Stunden-Frist für die Frühmeldung bei aktiv ausgenutzten Schwachstellen oder schwerwiegenden Sicherheitsvorfällen, die sich auf die Sicherheit des Produkts mit digitalen Elementen auswirken, noch gegen Verwalter quelloffener Software bei Verstößen gegen diese Verordnung verhängt werden und vorbehaltlich des Grundsatzes, dass Sanktionen wirksam, verhältnismäßig und abschreckend sein sollten, sollten die Mitgliedstaaten gegen diese Einrichtungen keine anderweitigen finanziellen Sanktionen verhängen.
Der Anwendungsbereich bestimmt, welche Produkte unter den CRA fallen. Entscheidend ist die Netzwerkverbindung: Jedes Produkt, das eine direkte oder indirekte Daten- oder Netzwerkverbindung einschließt, ist betroffen. Das umfasst auch reine Softwareprodukte und deren einzeln bereitgestellte Komponenten.
(1) Diese Verordnung gilt für auf dem Markt bereitgestellte Produkte mit digitalen Elementen, deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.
Die folgenden Begriffsbestimmungen sind zentral für das Verständnis der Steward-Rolle und der SBOM-Anforderungen. Insbesondere die Definition des „Verwalters quelloffener Software" (Nr. 14) schafft eine neue Rechtskategorie, die es vor dem CRA nicht gab.
1. „Produkt mit digitalen Elementen" ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;
14. „Verwalter quelloffener Software" eine juristische Person, bei der es sich nicht um einen Hersteller handelt, die den Zweck oder das Ziel hat, die Entwicklung spezifischer Produkte mit digitalen Elementen, die als freie und quelloffene Software gelten und für kommerzielle Tätigkeiten bestimmt sind, systematisch und nachhaltig zu unterstützen, und die die Brauchbarkeit dieser Produkte sicherstellt;
39. „Software-Stückliste" eine formale Aufzeichnung der Einzelheiten und Lieferkettenbeziehungen der Komponenten, die in den Softwareelementen eines Produkts mit digitalen Elementen enthalten sind;
48. „freie und quelloffene Software" eine Software, deren Quellcode offen geteilt wird und die im Rahmen einer kostenlosen Open-Source-Lizenz zur Verfügung gestellt wird, die alle Rechte vorsieht, um sie frei zugänglich, nutzbar, veränderbar und weiterverteilbar zu machen;
Die Herstellerpflichten bilden das Kernstück des CRA. Für Unternehmen, die Open-Source-Komponenten integrieren, sind insbesondere die Sorgfaltspflicht bei der Integration (Abs. 5), die Meldepflicht bei Schwachstellen in Drittkomponenten (Abs. 6) sowie die Pflicht zum langfristigen Schwachstellenmanagement (Abs. 8) relevant. Die Meldepflichten nach Art. 14 gelten bereits ab dem 11. September 2026.
(2) Für die Zwecke der Erfüllung von Absatz 1 führen die Hersteller eine Bewertung der Cybersicherheitsrisiken durch, die ein Produkt mit digitalen Elementen birgt, und berücksichtigen das Ergebnis dieser Bewertung in der Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase des Produkts mit digitalen Elementen, um die Cybersicherheitsrisiken zu minimieren, Sicherheitsvorfälle zu verhindern und die Auswirkungen solcher Sicherheitsvorfälle, auch in Bezug auf die Gesundheit und Sicherheit der Nutzer, so gering wie möglich zu halten.
(5) Für die Zwecke der Erfüllung der in Absatz 1 festgelegten Pflicht lassen die Hersteller die gebotene Sorgfalt walten, wenn sie von Dritten bezogene Komponenten in ihre Produkte mit digitalen Elementen integrieren, sodass solche Komponenten die Cybersicherheit des Produkts mit digitalen Elementen nicht beeinträchtigen, auch nicht bei der Integration von freier und quelloffener Software, die nicht im Rahmen einer Geschäftstätigkeit auf dem Markt bereitgestellt wurde.
(6) Sobald der Hersteller eine Schwachstelle in einer in das Produkt mit digitalen Elementen integrierten Komponente, einschließlich einer quelloffenen Komponente, feststellt, meldet er die Schwachstelle der Person oder Einrichtung, die diese Komponente herstellt oder wartet, und behandelt und behebt die Schwachstelle gemäß den in Anhang I Teil II festgelegten Anforderungen an die Behandlung von Schwachstellen. Haben Hersteller eine Software- oder Hardware-Änderung entwickelt, um die Schwachstelle in dieser Komponente zu beheben, teilen sie den betreffenden Code oder die einschlägigen Unterlagen der Person oder Stelle, die die Komponente herstellt oder wartet, gegebenenfalls in einem maschinenlesbaren Format mit.
(8) Wenn sie ein Produkt mit digitalen Elementen in den Verkehr bringen und während der erwarteten Produktlebensdauer und des Unterstützungszeitraums stellen die Hersteller sicher, dass Schwachstellen dieses Produkts, einschließlich seiner Komponenten, wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden. Die Hersteller legen den Unterstützungszeitraum so fest, dass er die Dauer der voraussichtlichen Nutzung des Produkts widerspiegelt, wobei sie insbesondere angemessenen Erwartungen der Nutzer, der Art des Produkts, einschließlich seiner Zweckbestimmung, sowie den einschlägigen Rechtsvorschriften der Union zur Festlegung der Lebensdauer von Produkten mit digitalen Elementen Rechnung tragen. Bei der Festlegung des Unterstützungszeitraums können die Hersteller auch die Unterstützungszeiträume für Produkte mit digitalen Elementen mit einer ähnlichen Funktion, die von anderen Herstellern in den Verkehr gebracht werden, die Verfügbarkeit der Betriebsumgebung, die Unterstützungszeiträume für integrierte Komponenten, die Kernfunktionen erbringen und von Dritten bezogen werden, sowie die einschlägigen Leitlinien der gemäß Artikel 52 Absatz 15 eingesetzten besondere Gruppe zur administrativen Zusammenarbeit (ADCO) und der Kommission berücksichtigen. Die zur Bestimmung des Unterstützungszeitraums zu berücksichtigenden Aspekte werden in einer Weise berücksichtigt, die die Verhältnismäßigkeit gewährleistet. Unbeschadet Unterabsatz 2 beträgt der Unterstützungszeitraum mindestens fünf Jahre. Wird davon ausgegangen, dass das Produkt mit digitalen Elementen weniger als fünf Jahre im Betrieb ist, muss der Unterstützungszeitraum der voraussichtlichen Nutzungsdauer entsprechen. Unter Berücksichtigung der ADCO-Empfehlungen gemäß Artikel 52 Absatz 16 kann die Kommission gemäß Artikel 61 delegierte Rechtsakte erlassen, um diese Verordnung durch die Festlegung des Mindestunterstützungszeitraums für bestimmte Produktkategorien zu ergänzen, wenn die Marktüberwachungsdaten auf unangemessene Unterstützungszeiträume hindeuten. Die Hersteller nehmen die Informationen, die bei der Bestimmung des Unterstützungszeitraums eines Produkts mit digitalen Elementen berücksichtigt wurden, in die technische Dokumentation gemäß Anhang VII auf. Die Hersteller haben geeignete Strategien und Verfahren, darunter eine Strategie für die koordinierte Offenlegung von Schwachstellen gemäß Anhang I Teil II Nummer 5, um potenzielle Schwachstellen in dem Produkt mit digitalen Elementen, die von internen oder externen Quellen gemeldet werden, zu bearbeiten und zu beheben.
(21) Ab dem Inverkehrbringen und während des Unterstützungszeitraums ergreifen die Hersteller, denen bekannt ist oder die Grund zu der Annahme haben, dass das Produkt mit digitalen Elementen oder die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I nicht genügen, unverzüglich die erforderlichen Korrekturmaßnahmen, um die Konformität dieses Produkts mit digitalen Elementen oder der Prozesse des Herstellers herzustellen oder um gegebenenfalls das Produkt vom Markt zu nehmen oder zurückzurufen.
(24) Die Kommission kann im Wege von Durchführungsrechtsakten unter Berücksichtigung europäischer oder internationaler Normen und bewährter Verfahren das Format und die Elemente der Software-Stückliste gemäß Anhang I Teil II Nummer 1 festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 62 Absatz 2 genannten Prüfverfahren erlassen.
(25) Um die Abhängigkeit der Mitgliedstaaten und der Union insgesamt von Softwarekomponenten und insbesondere von Komponenten, die als freie und quelloffene Software gelten, zu bewerten, kann die ADCO beschließen, für bestimmte Kategorien von Produkten mit digitalen Elementen eine unionsweite Bewertung der Abhängigkeit durchzuführen. Zu diesem Zweck können die Marktüberwachungsbehörden die Hersteller solcher Kategorien von Produkten mit digitalen Elementen auffordern, die entsprechenden Software-Stücklisten gemäß Anhang I Teil II Nummer 1 vorzulegen. Auf der Grundlage dieser Informationen können die Marktüberwachungsbehörden der ADCO anonymisierte und aggregierte Informationen über Softwareabhängigkeiten zur Verfügung stellen. Die ADCO legt der gemäß Artikel 14 der Richtlinie (EU) 2022/2555 eingesetzten Kooperationsgruppe einen Bericht über die Ergebnisse der Abhängigkeitsbewertung vor.
(1) Ein Hersteller meldet jede aktiv ausgenutzte Schwachstelle, die in dem Produkt mit digitalen Elementen enthalten ist und von der er Kenntnis erlangt, gleichzeitig dem gemäß Absatz 7 als Koordinator benannten CSIRT und der ENISA. Der Hersteller meldet diese aktiv ausgenutzte Schwachstelle über die gemäß Artikel 16 eingerichtete einheitliche Meldeplattform.
(2) Für die Zwecke der Mitteilung gemäß Absatz 1 legt der Hersteller Folgendes vor: a) unverzüglich, in jedem Fall aber innerhalb von 24 Stunden, nachdem der Hersteller davon Kenntnis erlangt hat, eine Frühwarnung über eine aktiv ausgenutzte Schwachstelle unter Angabe der Mitgliedstaaten, in deren Hoheitsgebiet das Produkt mit digitalen Elementen des Herstellers seiner Kenntnis nach bereitgestellt wurde; b) sofern die einschlägigen Informationen nicht bereits vorgelegt wurden, unverzüglich, in jedem Fall aber innerhalb von 72 Stunden, nachdem der Hersteller Kenntnis von der aktiv ausgenutzten Schwachstelle erlangt hat, eine Meldung von Schwachstellen, die allgemeine Informationen, soweit verfügbar, über das betreffende Produkt mit digitalen Elementen, über die allgemeine Art der Ausnutzung und der betreffenden Schwachstelle sowie über alle ergriffenen Korrektur- oder Risikominderungsmaßnahmen sowie Korrektur- oder Abhilfemaßnahmen, die Nutzer ergreifen können, enthält und in der gegebenenfalls auch angegeben wird, als wie sensibel der Hersteller die gemeldeten Informationen ansieht; c) sofern die einschlägigen Informationen nicht bereits vorgelegt wurden, spätestens 14 Tage, nachdem eine Korrektur- oder Risikominderungsmaßnahme zur Verfügung steht, einen Abschlussbericht, der mindestens Folgendes enthält: i) eine Beschreibung der Schwachstelle, einschließlich ihres Schweregrads und ihrer Auswirkungen, ii) falls verfügbar, Informationen über jeden böswilligen Akteur, der die Schwachstelle ausgenutzt hat oder ausnutzt, iii) Informationen über die Sicherheitsaktualisierung oder andere Korrekturmaßnahmen, die zur Behebung der Schwachstelle zur Verfügung gestellt wurden.
(3) Ein Hersteller meldet jeden schwerwiegenden Sicherheitsvorfall, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt und von der er Kenntnis erlangt, gleichzeitig dem gemäß Absatz 7 als Koordinator benannten CSIRT und der ENISA. Der Hersteller meldet diesen Sicherheitsvorfall über die gemäß Artikel 16 eingerichtete einheitliche Meldeplattform.
(4) Für die Zwecke der Mitteilung gemäß Absatz 3 legt der Hersteller Folgendes vor: a) unverzüglich und in jedem Fall innerhalb von 24 Stunden, nachdem der Hersteller davon Kenntnis erlangt hat, eine Frühwarnung über einen schwerwiegenden Sicherheitsvorfall, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt, wobei zumindest anzugeben ist, ob der Verdacht besteht, dass der Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist, wobei gegebenenfalls auch die Mitgliedstaaten anzugeben sind, in deren Hoheitsgebiet das Produkt mit digitalen Elementen des Herstellers seiner Kenntnis nach bereitgestellt wurde; b) sofern die einschlägigen Informationen nicht bereits übermittelt wurden, unverzüglich, in jedem Fall aber innerhalb von 72 Stunden, nachdem der Hersteller von dem Sicherheitsvorfall Kenntnis erlangt hat, eine Meldung des Sicherheitsvorfalls, die allgemeine Informationen, soweit verfügbar, über die Art des Sicherheitsvorfalls, eine erste Bewertung des Sicherheitsvorfalls sowie ergriffene Korrektur- oder Risikominderungsmaßnahmen und Korrektur- oder Abhilfemaßnahmen, die Nutzer ergreifen können, enthält und in der gegebenenfalls auch angegeben wird, als wie sensibel der Hersteller die gemeldeten Informationen ansieht; c) sofern die einschlägigen Informationen nicht bereits übermittelt wurden, innerhalb eines Monats nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Buchstabe b einen Abschlussbericht, der mindestens Folgendes enthält: i) eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen; ii) Angaben zur Art der Bedrohung bzw. zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat; iii) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen.
(8) Nachdem der Hersteller Kenntnis von einer aktiv ausgenutzten Schwachstelle oder einem schwerwiegenden Sicherheitsvorfall, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt, erlangt hat, informiert er die betroffenen Nutzer des Produkts mit digitalen Elementen und gegebenenfalls alle Nutzer über diese Schwachstelle oder diesen schwerwiegenden Sicherheitsvorfall und erforderlichenfalls über jegliche Risikominderungsmaßnahmen und Korrekturmaßnahmen, die die Nutzer ergreifen können, um die Auswirkungen dieser Schwachstellen oder Sicherheitsvorfälle zu mindern, gegebenenfalls in einem strukturierten, maschinenlesbaren Format, das leicht automatisch zu verarbeiten ist. Versäumt es der Hersteller, die Nutzer des Produkts mit digitalen Elementen rechtzeitig zu informieren, können die als Koordinatoren benannten CSIRTs diese Informationen den Nutzern zur Verfügung stellen, wenn sie dies für verhältnismäßig und erforderlich halten, um die Auswirkungen dieser Schwachstellen oder Sicherheitsvorfälle zu verhindern oder abzumildern.
Art. 15 eröffnet einen freiwilligen Meldekanal für Hersteller und Dritte. Er wird von Art. 24 referenziert: Verwalter quelloffener Software fördern die freiwillige Meldung von Schwachstellen gemäß Art. 15.
(1) Hersteller sowie andere natürliche oder juristische Personen können jede in einem Produkt mit digitalen Elementen enthaltene Schwachstelle sowie Cyberbedrohungen, die sich auf das Risikoprofil eines Produkts mit digitalen Elementen auswirken könnten, freiwillig einem als Koordinator benannten CSIRT oder der ENISA melden.
(2) Hersteller sowie andere natürliche oder juristische Personen können jeden Sicherheitsvorfall, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt, sowie Beinahe-Vorfälle, die zu einem solchen Sicherheitsvorfall hätten führen können, auf freiwilliger Basis einem als Koordinator benannten CSIRT oder der ENISA melden.
Art. 18 regelt die schriftliche Benennung eines Bevollmächtigten durch den Hersteller. Für die Open-Source-Lieferkette ist der Artikel relevant, weil er festlegt, welche Herstellerpflichten NICHT delegierbar sind — die technischen Konformitäts- und Meldepflichten bleiben beim Hersteller. Der Bevollmächtigte übernimmt primär Dokumentationsaufgaben gegenüber den Marktüberwachungsbehörden.
(1) Ein Hersteller kann schriftlich einen Bevollmächtigten benennen.
(2) Die in Artikel 13 Absatz 1 bis Absatz 11, Artikel 13 Absatz 12 Unterabsatz 1 und Artikel 13 Absatz 14 festgelegten Pflichten sind nicht Teil des Auftrags des Bevollmächtigten.
(3) Ein Bevollmächtigter nimmt die Aufgaben wahr, die in dem vom Hersteller erteilten Auftrag festgelegt sind. Der Bevollmächtigte legt den Marktüberwachungsbehörden auf Verlangen eine Kopie des Auftrags vor. Der Auftrag muss es dem Bevollmächtigten ermöglichen, mindestens folgende Aufgaben wahrzunehmen: a) Bereithaltung der in Artikel 28 genannten EU-Konformitätserklärung und der in Artikel 31 genannten technischen Dokumentation für die Marktüberwachungsbehörden mindestens zehn Jahre lang ab dem Inverkehrbringen des Produkts mit digitalen Elementen oder für den Unterstützungszeitraum, je nachdem, welcher Zeitraum länger ist; b) Übermittlung aller zum Nachweis der Konformität des Produkts mit digitalen Elementen erforderlichen Informationen und Unterlagen an eine Marktüberwachungsbehörde auf deren begründetes Verlangen; c) Zusammenarbeit mit den Marktüberwachungsbehörden auf deren Verlangen bei allen Maßnahmen zur Abwendung der Risiken, die von einem Produkt mit digitalen Elementen ausgehen, das zum Aufgabenbereich des Bevollmächtigten gehört.
Die Artikel 24 und 25 definieren die Pflichten und Möglichkeiten des Open Source Stewards. Die Pflichten sind bewusst geringer als die eines Herstellers, erfordern aber eine systematische Cybersicherheitsstrategie, aktives Schwachstellenmanagement und die Zusammenarbeit mit Behörden. Art. 25 sieht die Möglichkeit freiwilliger Sicherheitsbescheinigungen vor, die Herstellern die Integration von Open-Source-Komponenten erleichtern.
(1) Verwalter quelloffener Software entwickeln und dokumentieren auf überprüfbare Weise eine Cybersicherheitsstrategie, um die Entwicklung eines sicheren Produkts mit digitalen Elementen sowie einen wirksamen Umgang mit Schwachstellen durch die Entwickler dieses Produkts zu fördern. Diese Strategie fördert auch die freiwillige Meldung von Schwachstellen gemäß Artikel 15 durch die Entwickler dieses Produkts und trägt den Besonderheiten des Verwalters quelloffener Software und den rechtlichen und organisatorischen Vorkehrungen, denen er unterliegt, Rechnung. Diese Strategie umfasst insbesondere Aspekte im Zusammenhang mit der Dokumentation, Behebung und Beseitigung von Schwachstellen und fördert den Austausch von Informationen über aufgedeckte Schwachstellen innerhalb der Open-Source-Gemeinschaft.
(2) Verwalter quelloffener Software arbeiten auf deren Verlangen mit den Marktüberwachungsbehörden zusammen, um die Cybersicherheitsrisiken zu mindern, die von einem Produkt mit digitalen Elementen ausgehen, das als freie und quelloffene Software gilt. Auf begründetes Verlangen einer Marktüberwachungsbehörde übermitteln Verwalter quelloffener Software dieser Behörde in einer für diese Behörde leicht verständlichen Sprache die in Absatz 1 genannten Unterlagen in Papierform oder in elektronischer Form.
(3) Die in Artikel 14 Absatz 1 festgelegten Verpflichtungen gelten für Verwalter quelloffener Software, soweit sie an der Entwicklung der Produkte mit digitalen Elementen beteiligt sind. Die in Artikel 14 Absätze 3 und 8 festgelegten Verpflichtungen gelten für Verwalter quelloffener Software, soweit schwerwiegende Sicherheitsvorfälle, die sich auf die Sicherheit von Produkten mit digitalen Elementen auswirken, Netz- und Informationssysteme beeinträchtigen, die von den Verwaltern quelloffener Software für die Entwicklung solcher Produkte bereitgestellt werden.
Um die in Artikel 13 Absatz 5 festgelegte Sorgfaltspflicht zu erleichtern, insbesondere in Bezug auf Hersteller, die freie und quelloffene Softwarekomponenten in ihre Produkte mit digitalen Elementen integrieren, wird der Kommission die Befugnis übertragen, gemäß Artikel 61 delegierte Rechtsakte zu erlassen, um diese Verordnung durch die Einführung freiwilliger Programme zur Bescheinigung der Sicherheit zu ergänzen, die es den Entwicklern oder Nutzern von Produkten mit digitalen Elementen, die als freie und quelloffene Software gelten, sowie anderen Dritten ermöglichen, die Konformität dieser Produkte mit allen oder bestimmten grundlegenden Cybersicherheitsanforderungen oder sonstigen in dieser Verordnung festgelegten Verpflichtungen zu bewerten.
Die CE-Kennzeichnung wird erstmals auf Software angewendet. Die EU-Konformitätserklärung nach Art. 28 ist die formelle Zusicherung des Herstellers, dass die grundlegenden Anforderungen in Anhang I erfüllt sind. Für Open-Source-Produkte sieht Art. 32 Abs. 5 ein vereinfachtes Konformitätsverfahren vor, sofern die technische Dokumentation öffentlich zugänglich ist. Die CE-Kennzeichnung ist eine Herstellerpflicht; Stewards sind davon ausdrücklich ausgenommen.
(1) Die EU-Konformitätserklärung wird vom Hersteller gemäß Artikel 13 Absatz 12 ausgestellt und besagt, dass die Erfüllung der grundlegenden Cybersicherheitsanforderungen in Anhang I nachgewiesen worden ist.
(2) Die EU-Konformitätserklärung entspricht in ihrem Aufbau dem Muster in Anhang V und enthält die in den einschlägigen Konformitätsbewertungsverfahren gemäß Anhang VIII angegebenen Elemente. Eine solche Erklärung wird nach Bedarf aktualisiert. Sie wird in den Sprachen abgefasst, die der Mitgliedstaat vorschreibt, in dem das Produkt mit digitalen Elementen in den Verkehr gebracht oder auf dem Markt bereitgestellt wird. Die vereinfachte EU-Konformitätserklärung nach Artikel 13 Absatz 20 entspricht in ihrem Aufbau dem Muster in Anhang VI. Sie wird in den Sprachen abgefasst, die der Mitgliedstaat vorschreibt, in dem das Produkt mit digitalen Elementen in den Verkehr gebracht oder auf dem Markt bereitgestellt wird.
(3) Unterliegt ein Produkt mit digitalen Elementen mehreren Rechtsvorschriften der Europäischen Union, in denen jeweils eine EU-Konformitätserklärung vorgeschrieben ist, so wird eine einzige EU-Konformitätserklärung für sämtliche Unionsrechtsvorschriften ausgestellt. In dieser Erklärung sind die betreffenden Rechtsakte der Union samt ihren Fundstellen im Amtsblatt anzugeben.
(4) Mit der Ausstellung der EU-Konformitätserklärung übernimmt der Hersteller die Verantwortung für die Konformität des Produkts mit digitalen Elementen.
(5) Der Kommission wird die Befugnis übertragen, gemäß Artikel 61 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, um angesichts der technischen Entwicklungen zu den in Anhang V aufgeführten Mindestangaben für die EU-Konformitätserklärung neue Elemente hinzuzufügen.
Für die CE-Kennzeichnung gelten die allgemeinen Grundsätze gemäß Artikel 30 der Verordnung (EG) Nr. 765/2008.
(1) Die CE-Kennzeichnung ist gut sichtbar, leserlich und dauerhaft auf dem Produkt mit digitalen Elementen anzubringen. Falls die Art des Produkts mit digitalen Elementen dies nicht zulässt oder nicht rechtfertigt, wird die CE-Kennzeichnung auf der Verpackung und der dem Produkt mit digitalen Elementen beigefügten EU-Konformitätserklärung gemäß Artikel 28 angebracht. Bei Produkten mit digitalen Elementen in Form von Software wird die CE-Kennzeichnung entweder auf der EU-Konformitätserklärung gemäß Artikel 28 oder auf der das Softwareprodukt begleitenden Website angebracht. Im letzteren Fall muss der relevante Abschnitt der Website für Verbraucher leicht und direkt zugänglich sein.
(2) Aufgrund der Art des Produkts mit digitalen Elementen kann die Höhe des daran angebrachten CE-Kennzeichens kleiner als 5 mm sein, sofern es weiterhin sichtbar und lesbar ist.
(3) Die CE-Kennzeichnung wird vor dem Inverkehrbringen des Produkts mit digitalen Elementen angebracht. Ihr kann ein Piktogramm oder ein anderes Zeichen folgen, das auf ein besonderes Cybersicherheitsrisiko oder eine besondere Verwendung hinweist, die in den Durchführungsrechtsakten gemäß Absatz 6 festgelegt werden.
(4) Auf die CE-Kennzeichnung folgt die Kennnummer der notifizierten Stelle, sofern diese an dem Konformitätsbewertungsverfahren auf der Grundlage einer umfassenden Qualitätssicherung (auf der Grundlage von Modul H) gemäß Artikel 32 beteiligt ist. Die Kennnummer der notifizierten Stelle wird entweder von der Stelle selbst oder nach ihren Anweisungen vom Hersteller oder seinem Bevollmächtigten angebracht.
(5) Die Mitgliedstaaten bauen auf bestehenden Mechanismen auf, um eine ordnungsgemäße Durchführung des Systems der CE-Kennzeichnung sicherzustellen, und leiten im Fall einer missbräuchlichen Verwendung dieser Kennzeichnung angemessene Maßnahmen ein. Falls das Produkt mit digitalen Elementen auch unter andere Harmonisierungsrechtsvorschriften der Union als diese Verordnung fällt, in denen die CE-Kennzeichnung ebenfalls vorgesehen ist, bedeutet die CE-Kennzeichnung, dass das Produkt auch die Anforderungen dieser anderen Harmonisierungsrechtsvorschriften der Union erfüllt.
(6) Die Kommission kann im Wege von Durchführungsrechtsakten technische Spezifikationen für Etiketten, Piktogramme oder andere Kennzeichen in Bezug auf die Sicherheit von Produkten mit digitalen Elementen, deren Unterstützungszeiträume sowie Mechanismen zur Förderung ihrer Verwendung und zur Sensibilisierung der Öffentlichkeit für die Sicherheit von Produkten mit digitalen Elementen festlegen. Bei der Ausarbeitung der Entwürfe von Durchführungsrechtsakten konsultiert die Kommission die einschlägigen Interessenträger und, falls sie bereits gemäß Artikel 52 Absatz 15 eingerichtet wurde, die ADCO. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 62 Absatz 2 genannten Prüfverfahren erlassen.
(5) Hersteller von Produkten mit digitalen Elementen, die als freie und quelloffene Software gelten und in die in Anhang III aufgeführten Kategorien fallen, können die Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I anhand eines der in Absatz 1 dieses Artikels genannten Verfahren nachweisen, sofern die in Artikel 31 genannte technische Dokumentation zum Zeitpunkt des Inverkehrbringens dieser Produkte der Öffentlichkeit zugänglich gemacht wird.
Art. 52 Abs. 3 regelt die Marktaufsicht speziell für Stewards. Behörden können Korrekturmaßnahmen verlangen, die Prüfung beschränkt sich aber auf die Einhaltung der Art. 24-Pflichten. Art. 54 regelt die nationalen Verfahren für Produkte, die ein erhebliches Cybersicherheitsrisiko bergen — einschließlich Marktrücknahme und Rückruf. Art. 56 erlaubt darüber hinaus unionsweite Korrektur- oder Rückrufanordnungen durch die Europäische Kommission.
(3) Die gemäß Absatz 2 dieses Artikels benannten Marktüberwachungsbehörden sind auch für die Durchführung von Marktüberwachungstätigkeiten im Zusammenhang mit den in Artikel 24 genannten Verpflichtungen für Verwalter quelloffener Software zuständig. Stellt eine Marktüberwachungsbehörde fest, dass ein Verwalter quelloffener Software die in dem genannten Artikel festgelegten Verpflichtungen nicht erfüllt, so fordert sie den Verwalter quelloffener Software auf, sicherzustellen, dass alle geeigneten Korrekturmaßnahmen ergriffen werden. Die Verwalter quelloffener Software stellen im Rahmen ihrer Verpflichtungen gemäß dieser Verordnung sicher, dass alle geeigneten Korrekturmaßnahmen ergriffen werden.
(1) Hat die Marktüberwachungsbehörde eines Mitgliedstaats hinreichenden Grund zu der Annahme, dass ein Produkt mit digitalen Elementen, einschließlich der Behandlung von Schwachstellen, ein erhebliches Cybersicherheitsrisiko birgt, so führt sie unverzüglich, gegebenenfalls in Zusammenarbeit mit dem einschlägigen CSIRT, eine Konformitätsbewertung des betreffenden Produkts im Hinblick auf die in dieser Verordnung festgelegten Anforderungen durch. Die betroffenen Wirtschaftsakteure arbeiten im erforderlichen Umfang mit der Marktüberwachungsbehörde zusammen. Gelangt die Marktüberwachungsbehörde im Verlauf dieser Bewertung zu dem Ergebnis, dass das Produkt mit digitalen Elementen die Anforderungen dieser Verordnung nicht erfüllt, so fordert sie den betroffenen Wirtschaftsakteur unverzüglich dazu auf, innerhalb einer von der Marktüberwachungsbehörde vorgeschriebenen, der Art des Cybersicherheitsrisikos angemessenen Frist alle geeigneten Korrekturmaßnahmen zu ergreifen, um die Konformität des Produkts mit digitalen Elementen mit diesen Anforderungen herzustellen oder um das Produkt vom Markt zu nehmen oder es zurückzurufen.
(5) Ergreift der Wirtschaftsakteur innerhalb der in Absatz 1 Unterabsatz 2 genannten Frist keine angemessenen Korrekturmaßnahmen, so treffen die Marktüberwachungsbehörden alle geeigneten vorläufigen Maßnahmen, um die Bereitstellung des Produkts mit digitalen Elementen auf ihrem nationalen Markt zu untersagen oder einzuschränken, das Produkt vom Markt zu nehmen oder es zurückzurufen. Diese Behörde notifiziert die Kommission und die anderen Mitgliedstaaten unverzüglich über diese Maßnahmen.
(1) Hat die Kommission — auch aufgrund von Informationen der ENISA — hinreichenden Grund zu der Annahme, dass ein Produkt mit digitalen Elementen, das ein erhebliches Cybersicherheitsrisiko birgt, den Anforderungen dieser Verordnung nicht genügt, so informiert sie die einschlägigen Marktüberwachungsbehörden. Führen die Marktüberwachungsbehörden eine Konformitätsbewertung dieses Produkts mit digitalen Elementen, das hinsichtlich seiner Konformität mit den Anforderungen dieser Verordnung ein erhebliches Cybersicherheitsrisiko bergen kann, durch, so finden die in den Artikeln 54 und 55 genannten Verfahren Anwendung.
(4) Auf der Grundlage der Bewertung nach Absatz 3 kann die Kommission feststellen, dass eine Korrekturmaßnahme oder eine einschränkende Maßnahme auf Unionsebene erforderlich ist. Zu diesem Zweck konsultiert sie unverzüglich die betroffenen Mitgliedstaaten und den bzw. die betroffenen Wirtschaftsakteure.
(5) Auf der Grundlage der in Absatz 4 dieses Artikels genannten Konsultation kann die Kommission Durchführungsrechtsakte über Korrekturmaßnahmen oder einschränkende Maßnahmen auf Unionsebene erlassen, einschließlich der Forderung der Rücknahme vom Markt oder des Rückrufs der betreffenden Produkte mit digitalen Elementen innerhalb einer der Art des Risikos angemessenen Frist. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 62 Absatz 2 genannten Prüfverfahren erlassen.
Die Sanktionsregelungen zeigen die Abstufung des CRA: Hersteller können mit bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes belangt werden. Für Stewards gilt eine ausdrückliche Ausnahme von Geldbußen (Art. 64 Abs. 10b). Die Verbandsklagemöglichkeit nach Art. 65 erfasst allerdings alle Wirtschaftsakteure.
(2) Bei Nichteinhaltung der in Anhang I festgelegten grundlegenden Cybersicherheitsanforderungen oder Verstößen gegen die in den Artikeln 13 und 14 festgelegten Pflichten werden Geldbußen von bis zu 15 000 000 EUR oder — im Falle von Unternehmen — von bis zu 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.
(3) Bei Verstößen gegen die in den Artikeln 18 bis 23, Artikel 28, Artikel 30 Absätze 1 bis 4, Artikel 31 Absätze 1 bis 4, Artikel 32 Absätze 1, 2 und 3, Artikel 33 Absatz 5 und Artikeln 39, 41, 47, 49 und 53 festgelegten Pflichten werden Geldbußen von bis zu 10 000 000 EUR oder — im Falle von Unternehmen — von bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.
(4) Werden gegenüber notifizierten Stellen und Marktüberwachungsbehörden auf deren Auskunftsverlangen hin falsche, unvollständige oder irreführende Angaben gemacht, so werden Geldbußen von bis zu 5 000 000 EUR oder — im Falle von Unternehmen — von bis zu 1 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.
(5) Bei der Festsetzung der Geldbuße werden in jedem Einzelfall alle relevanten Umstände der konkreten Situation sowie Folgendes gebührend berücksichtigt: a) Art, Schwere und Dauer des Verstoßes und dessen Folgen, b) ob bereits dieselben oder andere Marktüberwachungsbehörden demselben Wirtschaftsakteur für einen ähnlichen Verstoß Geldbußen auferlegt haben, c) Größe, insbesondere im Hinblick auf Kleinstunternehmen sowie kleine und mittlere Unternehmen, einschließlich Start-up-Unternehmen, und Marktanteil des Wirtschaftsakteurs, der den Verstoß begangen hat.
(10) Abweichend von den Absätzen 3 bis 9 gelten die in diesen Absätzen genannten Geldbußen nicht für a) Hersteller, die als Kleinst- oder Kleinunternehmen gelten, und zwar in Bezug auf die Nichteinhaltung der in Artikel 14 Absatz 2 Buchstabe a oder Artikel 14 Absatz 4 Buchstabe a genannten Frist, b) Verwalter quelloffener Software bei jedem Verstoß gegen diese Verordnung.
Richtlinie (EU) 2020/1828 findet Anwendung auf Verbandsklagen gegen Zuwiderhandlungen durch Wirtschaftsakteure gegen Bestimmungen dieser Verordnung, die die Kollektivinteressen der Verbraucher beeinträchtigen oder zu beeinträchtigen drohen.
Die Übergangsfristen sind für die Praxis entscheidend: Die Meldepflichten nach Art. 14 gelten bereits ab dem 11. September 2026, und zwar auch rückwirkend für Bestandsprodukte. Die vollständige Geltung aller Bestimmungen beginnt am 11. Dezember 2027.
(2) Produkte mit digitalen Elementen, die vor dem 11. Dezember 2027 in den Verkehr gebracht wurden, unterliegen den in dieser Verordnung festgelegten Anforderungen nur dann, wenn nach diesem Zeitpunkt diese Produkte einer wesentlichen Änderung unterliegen.
(3) Abweichend von Absatz 2 des vorliegenden Artikels gelten die in Artikel 14 festgelegten Pflichten für alle Produkte mit digitalen Elementen, die in den Anwendungsbereich dieser Verordnung fallen und vor dem 11. Dezember 2027 in den Verkehr gebracht wurden.
(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
(2) Diese Verordnung gilt ab dem 11. Dezember 2027. Artikel 14 gilt jedoch ab dem 11. September 2026, und Kapitel IV (Artikel 35 bis 51) gilt ab dem 11. Juni 2026.
Anhang I definiert die konkreten technischen Anforderungen, die jedes Produkt mit digitalen Elementen erfüllen muss. Teil I betrifft die Produkteigenschaften (keine bekannten ausnutzbaren Schwachstellen), Teil II die Prozesse zur Behandlung von Schwachstellen, einschließlich der SBOM-Pflicht und der koordinierten Offenlegung.
(2) Auf der Grundlage der Bewertung der Cybersicherheitsrisiken gemäß Artikel 13 Absatz 2 müssen Produkte mit digitalen Elementen, soweit zutreffend, a) ohne bekannte ausnutzbare Schwachstellen auf dem Markt bereitgestellt werden,
Die Hersteller von Produkten mit digitalen Elementen müssen (1) Schwachstellen und Komponenten der Produkte mit digitalen Elementen ermitteln und dokumentieren, u. a. durch Erstellung einer Software-Stückliste in einem gängigen maschinenlesbaren Format, aus der zumindest die obersten Abhängigkeiten der Produkte hervorgehen; (2) im Hinblick auf die Risiken im Zusammenhang mit den Produkten mit digitalen Elementen unverzüglich Schwachstellen behandeln und beheben, unter anderem durch Bereitstellung von Sicherheitsaktualisierungen; soweit technisch machbar, müssen neue Sicherheitsaktualisierungen getrennt von den Funktionsaktualisierungen bereitgestellt werden; (3) die Sicherheit des Produkts mit digitalen Elementen regelmäßig und wirksam testen und überprüfen; (4) sobald eine Sicherheitsaktualisierung bereitgestellt worden ist, Informationen über beseitigte Schwachstellen teilen und veröffentlichen, einschließlich einer Beschreibung der Schwachstellen mit Angaben, anhand deren die Nutzer das betroffene Produkt mit digitalen Elementen, die Auswirkungen der Schwachstellen und ihre Schwere erkennen können, sowie eindeutige und verständliche Informationen, die den Nutzern helfen, die Schwachstellen zu beheben; in hinreichend begründeten Fällen, in denen die Hersteller der Auffassung sind, dass die Risiken der Veröffentlichung die Vorteile in Bezug auf die Sicherheit überwiegen, können sie die Veröffentlichung von Informationen über eine behobene Schwachstelle so lange aufschieben, bis den Nutzern die Möglichkeit gegeben wurde, den entsprechenden Patch anzuwenden; (5) eine Strategie für die koordinierte Offenlegung von Schwachstellen aufstellen und umsetzen; (6) Maßnahmen ergreifen, um den Austausch von Informationen über mögliche Schwachstellen in ihrem Produkt mit digitalen Elementen und darin enthaltenen Komponenten Dritter zu erleichtern, und dazu u. a. eine Kontaktadresse für die Meldung der in dem Produkt mit digitalen Elementen entdeckten Schwachstellen angeben; (7) Mechanismen für die sichere Verbreitung von Aktualisierungen für Produkte mit digitalen Elementen bereitstellen, damit Schwachstellen rechtzeitig und im Falle von Sicherheitsaktualisierungen gegebenenfalls automatisch behoben oder eingedämmt werden; (8) dafür sorgen, dass Sicherheitsaktualisierungen, die zur Bewältigung festgestellter Sicherheitsprobleme zur Verfügung stehen, unverzüglich und — sofern zwischen dem Hersteller und dem gewerblichen Nutzer in Bezug auf ein maßgeschneidertes Produkt mit digitalen Elementen nichts anderes vereinbart wurde — kostenlos verbreitet werden, zusammen mit Hinweisen und einschlägigen Informationen, auch über zu treffende mögliche Maßnahmen.
Amtsblatt der Europäischen Union - Verordnung (EU) 2024/2847