Cyber Resilience Act - Entwurf

KAPITEL I - ALLGEMEINE BESTIMMUNGEN

Artikel 1 - Gegenstand

Mit dieser Verordnung wird Folgendes festgelegt:

1. Vorschriften für das Inverkehrbringen von Produkten mit digitalen Elementen, um die Cybersicherheit solcher Produkte zu gewährleisten;
2. grundlegende Anforderungen an die Konzeption, Entwicklung und Herstellung von Produkten mit digitalen Elementen sowie Pflichten der Wirtschaftsakteure in Bezug auf diese Produkte hinsichtlich der Cybersicherheit;
3. grundlegende Anforderungen an die von den Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen, um die Cybersicherheit von Produkten mit digitalen Elementen während ihres gesamten Lebenszyklus zu gewährleisten, sowie Pflichten der Wirtschaftsakteure in Bezug auf diese Verfahren;
4. Vorschriften für die Marktüberwachung und die Durchsetzung der oben genannten Vorschriften und Anforderungen.

Artikel 2 - Anwendungsbereich

1. Diese Verordnung gilt für Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.
2. Diese Verordnung gilt nicht für Produkte mit digitalen Elementen, auf die folgende Rechtsakte der Union Anwendung finden:
   1. Verordnung (EU) 2017/745,
   2. Verordnung (EU) 2017/746,
   3. Verordnung (EU) 2019/2144.
3. Diese Verordnung gilt nicht für Produkte mit digitalen Elementen, die nach der Verordnung (EU) 2018/1139 zertifiziert worden sind.
4. Die Anwendung dieser Verordnung auf Produkte mit digitalen Elementen, die unter andere Rechtsvorschriften der Union mit Anforderungen für alle oder einige der von den grundlegenden Anforderungen in Anhang I abgedeckten Risiken fallen, kann eingeschränkt oder ausgeschlossen werden, wenn
   1. eine solche Einschränkung oder ein solcher Ausschluss mit dem für diese Produkte geltenden allgemeinen Rechtsrahmen vereinbar ist und
   2. mit den sektorspezifischen Vorschriften dasselbe Schutzniveau erreicht wird, wie es diese Verordnung gewährleistet.
   Der Kommission wird die Befugnis übertragen, gemäß Artikel 50 zur Änderung dieser Verordnung delegierte Rechtsakte zu erlassen, in denen sie die Notwendigkeit einer solchen Einschränkung oder eines solchen Ausschlusses feststellt und gegebenenfalls die betreffenden Produkte und Vorschriften sowie den Umfang der Einschränkung festlegt.
5. Diese Verordnung gilt nicht für Produkte mit digitalen Elementen, die ausschließlich für Zwecke der nationalen Sicherheit oder für militärische Zwecke entwickelt wurden, und auch nicht für Produkte, die speziell für die Verarbeitung von Verschlusssachen konzipiert sind.

Artikel 3 - Begriffsbestimmungen

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck

1. „Produkt mit digitalen Elementen“ ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in Verkehr gebracht werden sollen;
2. „Datenfernverarbeitung“ jede entfernt stattfindende Datenverarbeitung, für die eine Software vom Hersteller selbst oder unter dessen Verantwortung konzipiert und entwickelt wird und ohne die das Produkt mit digitalen Elementen eine seiner Funktionen nicht erfüllen könnte;
3. „kritisches Produkt mit digitalen Elementen“ ein Produkt mit digitalen Elementen, das nach den in Artikel 6 Absatz 2 festgelegten Kriterien ein Cybersicherheitsrisiko birgt und dessen Kernfunktionen in Anhang III aufgeführt sind;
4. „hochkritisches Produkt mit digitalen Elementen“ ein Produkt mit digitalen Elementen, das nach den in Artikel 6 Absatz 5 festgelegten Kriterien ein Cybersicherheitsrisiko birgt;
5. „operative Technik“ programmierbare digitale Systeme oder Geräte, die mit der physischen Umgebung interagieren oder Geräte verwalten, die mit der physischen Umgebung interagieren;
6. „Software“ den Teil eines elektronischen Informationssystems, der aus Computercode besteht;
7. „Hardware“ ein physisches elektronisches Informationssystem, das digitale Daten verarbeiten, speichern oder übertragen kann, oder Teile eines solchen Systems;
8. „Komponente“ Software oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist;
9. „elektronisches Informationssystem“ ein System, einschließlich elektrischer oder elektronischer Ausrüstung, das digitale Daten verarbeiten, speichern oder übertragen kann;
10. „logische Verbindung“ eine virtuelle Darstellung einer Datenverbindung, die über eine Softwareschnittstelle hergestellt wird;
11. „physische Verbindung“ eine Verbindung zwischen elektronischen Informationssystemen oder Komponenten, die mit physikalischen Mitteln wie elektrischen oder mechanischen Schnittstellen, Drähten oder Funkwellen hergestellt wird;
12. „indirekte Verbindung“ eine Verbindung zu einem Gerät oder Netz, die nicht direkt erfolgt, sondern als Teil eines größeren Systems, das seinerseits direkt mit diesem Gerät oder Netz verbunden werden kann;
13. „Privileg“ ein Zugangsrecht, das bestimmten Nutzern oder Programmen zur Durchführung sicherheitsrelevanter Vorgänge in einem elektronischen Informationssystem gewährt wird;
14. „erhöhtes Privileg“ ein Zugangsrecht, das bestimmten Nutzern oder Programmen zur Durchführung einer erweiterten Reihe sicherheitsrelevanter Vorgänge in einem elektronischen Informationssystem gewährt wird und im Falle des Missbrauchs oder der Kompromittierung einem böswilligen Akteur einen breiteren Zugang zu den Ressourcen eines Systems oder einer Organisation ermöglichen könnte;
15. „Endpunkt“ ein Gerät, das an ein Netz angeschlossen ist und als Zugangspunkt zu diesem Netz dient;
16. „Netz- oder Rechenressourcen“ Daten oder Hardware- oder Softwarefunktionen, die entweder lokal oder über ein Netz oder ein anderes verbundenes Gerät zugänglich sind;
17. „Wirtschaftsakteur“ den Hersteller, den Bevollmächtigten, den Einführer, den Händler oder jede andere natürliche oder juristische Person, die den in dieser Verordnung festgelegten Pflichten unterliegt;
18. „Hersteller“ eine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter eigenen Namen oder eigener Marke vermarktet, sei es entgeltlich oder unentgeltlich;
19. „Bevollmächtigter“ eine in der Union ansässige oder niedergelassene natürliche oder juristische Person, die von einem Hersteller schriftlich beauftragt wurde, in seinem Namen bestimmte Aufgaben wahrzunehmen;
20. „Einführer“ eine in der Union ansässige oder niedergelassene natürliche oder juristische Person, die ein Produkt mit digitalen Elementen unter dem Namen oder der Marke einer außerhalb der Union ansässigen oder niedergelassenen natürlichen oder juristischen Person in der Union in Verkehr bringt;
21. „Händler“ eine natürliche oder juristische Person in der Lieferkette, die ein Produkt mit digitalen Elementen ohne Änderung seiner Eigenschaften auf dem Unionsmarkt bereitstellt, mit Ausnahme des Herstellers oder des Einführers;
22. „Inverkehrbringen“ die erstmalige Bereitstellung eines Produkts mit digitalen Elementen auf dem Unionsmarkt;
23. „Bereitstellung auf dem Markt“ jede entgeltliche oder unentgeltliche Abgabe eines Produkts mit digitalen Elementen zum Vertrieb oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit;
24. „Zweckbestimmung“ die Verwendung, für die ein Produkt mit digitalen Elementen laut Hersteller bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Herstellers in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in diesbezüglichen Erklärungen sowie in der technischen Dokumentation;
25. „vernünftigerweise vorhersehbare Verwendung“ eine Verwendung, die nicht unbedingt der vom Hersteller in der Gebrauchsanleitung, im Werbe- oder Verkaufsmaterial und in Erklärungen und der technischen Dokumentation angegebenen Zweckbestimmung entspricht, die sich aber aus einem vernünftigerweise vorhersehbaren menschlichen Verhalten oder aus technischen Vorgängen oder Wechselwirkungen wahrscheinlich ergibt;
26. „vernünftigerweise vorhersehbare Fehlanwendung“ die Verwendung eines Produkts mit digitalen Elementen in einer Weise, die nicht seiner Zweckbestimmung entspricht, die sich aber aus einem vernünftigerweise vorhersehbaren menschlichen Verhalten oder einer vernünftigerweise vorhersehbaren Interaktion mit anderen Systemen ergeben kann;
27. „notifizierende Behörde“ die nationale Behörde, die für die Einrichtung und Durchführung der erforderlichen Verfahren für die Bewertung, Benennung und Notifizierung von Konformitätsbewertungsstellen und für deren Überwachung zuständig ist;
28. „Konformitätsbewertung“ das Verfahren, mit dem überprüft wird, ob die grundlegenden Anforderungen in Anhang I erfüllt werden;
29. „Konformitätsbewertungsstelle“ eine Stelle gemäß der Begriffsbestimmung in Artikel 2 Nummer 13 der Verordnung (EG) Nr. 765/2008;
30. „notifizierte Stelle“ eine Konformitätsbewertungsstelle, die nach Artikel 33 dieser Verordnung und anderen einschlägigen Harmonisierungsrechtsvorschriften der Union benannt wurde;
31. „wesentliche Änderung“ eine Änderung des Produkts mit digitalen Elementen nach dessen Inverkehrbringen, die sich auf die Konformität des Produkts mit den grundlegenden Anforderungen in Anhang I Abschnitt 1 auswirkt oder zu einer Änderung der bestimmungsgemäßen Verwendung, für die das Produkt geprüft wurde, führt;
32. „CE-Kennzeichnung“ eine Kennzeichnung, durch die ein Hersteller erklärt, dass ein Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren den grundlegenden Anforderungen in Anhang I und anderen geltenden Rechtsvorschriften der Union zur Harmonisierung der Bedingungen für die Vermarktung von Produkten (im Folgenden „Harmonisierungsrechtsvorschriften der Union“) über ihre Anbringung genügen;
33. „Marktüberwachungsbehörde“ die Behörde gemäß der Begriffsbestimmung in Artikel 3 Nummer 4 der Verordnung (EU) 2019/1020;
34. „harmonisierte Norm“ eine Norm gemäß der Begriffsbestimmung in Artikel 2 Nummer 1 Buchstabe c der Verordnung (EU) Nr. 1025/2012;
35. „Cybersicherheitsrisiko“ das Risiko gemäß der Begriffsbestimmung in Artikel [Artikel X] der Richtlinie [Richtlinie XXX/XXXX (NIS2)];
36. „erhebliches Cybersicherheitsrisiko“ ein Cybersicherheitsrisiko, bei dem aufgrund seiner technischen Merkmale davon auszugehen ist, dass es mit hoher Wahrscheinlichkeit zu einem Sicherheitsvorfall führen wird, der schwerwiegende negative Auswirkungen haben und erhebliche materielle oder immaterielle Verluste oder Störungen verursachen könnte;
37. „Software-Stückliste“ eine formale Aufzeichnung der Einzelheiten und Lieferkettenbeziehungen der Komponenten, die in den Softwareelementen eines Produkts mit digitalen Elementen enthalten sind;
38. „Schwachstelle“ eine Sicherheitslücke gemäß der Begriffsbestimmung in Artikel [Artikel X] der Richtlinie [Richtlinie XXX/XXXX (NIS2)];
39. „aktiv ausgenutzte Schwachstelle“ eine Schwachstelle zu der verlässliche Nachweise dafür vorliegen, dass ein Akteur ohne Zustimmung des Systemeigners schädlichen Programmcode in einem System ausgeführt hat;
40. „personenbezogene Daten“ Daten gemäß der Begriffsbestimmung in Artikel 4 Nummer 1 der Verordnung (EU) 2016/679.

Artikel 4 - Freier Verkehr

1. Die Mitgliedstaaten behindern in den von dieser Verordnung erfassten Aspekten nicht die Bereitstellung auf dem Markt von Produkten mit digitalen Elementen, die dieser Verordnung entsprechen.
2. Die Mitgliedstaaten verhindern nicht die Präsentation und Verwendung eines Produkts mit digitalen Elementen, das dieser Verordnung nicht entspricht, bei Messen, Ausstellungen und Vorführungen oder ähnlichen Veranstaltungen.
3. Die Mitgliedstaaten verhindern nicht die Bereitstellung unfertiger Software, die dieser Verordnung nicht entspricht, sofern die Software nur für einen begrenzten Zeitraum zur Verfügung gestellt wird, der für Testzwecke erforderlich ist, und eine sichtbare Kennzeichnung deutlich darauf hinweist, dass sie dieser Verordnung nicht entspricht und außer zu Testzwecken nicht auf dem Markt bereitgestellt wird.

Artikel 5 - Anforderungen an Produkte mit digitalen Elementen

Produkte mit digitalen Elementen werden nur dann auf dem Markt bereitgestellt, wenn

1. sie den grundlegenden Anforderungen in Anhang I Abschnitt 1 genügen und unter der Bedingung, dass sie ordnungsgemäß installiert, gewartet und bestimmungsgemäß oder unter vernünftigerweise vorhersehbaren Umständen verwendet sowie gegebenenfalls aktualisiert werden, und
2. die vom Hersteller festgelegten Verfahren den grundlegenden Anforderungen in Anhang I Abschnitt 2 entsprechen.

Artikel 6 - Kritische Produkte mit digitalen Elementen

1. Produkte mit digitalen Elementen, die zu einer in Anhang III aufgeführten Kategorie gehören, gelten als kritische Produkte mit digitalen Elementen. Produkte, die die Kernfunktionen einer in Anhang III dieser Verordnung aufgeführten Kategorie aufweisen, gelten als Produkte, die unter diese Kategorie fallen. Die Kategorien kritischer Produkte mit digitalen Elementen werden gemäß Anhang III unter Berücksichtigung des mit diesen Produkten verbundenen Cybersicherheitsrisikos in die Klassen I und II unterteilt.
2. Der Kommission wird die Befugnis übertragen, gemäß Artikel 50 delegierte Rechtsakte zur Änderung des Anhangs III zu erlassen, um eine neue Kategorie in die Liste der Kategorien kritischer Produkte mit digitalen Elementen aufzunehmen oder eine bestehende Kategorie von dieser Liste zu streichen. Bei der Bewertung der Notwendigkeit einer Änderung der Liste in Anhang III berücksichtigt die Kommission die Höhe des Cybersicherheitsrisikos, das mit der Kategorie von Produkten mit digitalen Elementen verbunden ist. Die Bestimmung der Höhe des Cybersicherheitsrisikos erfolgt anhand eines oder mehrerer der folgenden Kriterien:
   1. die Cybersicherheitsfunktion des Produkts mit digitalen Elementen und ob das Produkt mit digitalen Elementen mindestens eines der folgenden Merkmale aufweist:
      1. Es ist für den Betrieb mit erhöhten Privilegien oder für die Verwaltung von Privilegien konzipiert;
      2. es hat direkten oder privilegierten Zugang zu Netz- oder Rechenressourcen;
      3. es ist für die Kontrolle des Zugangs zu Daten oder zu operativer Technik bestimmt;
      4. es erfüllt eine Funktion, die für das Vertrauen von entscheidender Bedeutung ist, insbesondere eine Sicherheitsfunktion wie Netzsteuerung, Endpunktsicherheit und Schutz des Netzes;
   2. die bestimmungsgemäße Verwendung in sensiblen Umgebungen, auch in industriellen Umfeldern oder durch wesentliche Einrichtungen der im Anhang [Anhang I] der Richtlinie [Richtlinie XXX/XXXX (NIS2)] genannten Art;
   3. die bestimmungsgemäße Verwendung kritischer oder sensibler Funktionen, wie der Verarbeitung personenbezogener Daten;
   4. das potenzielle Ausmaß nachteiliger Auswirkungen, insbesondere hinsichtlich ihrer Intensität und ihrer Eignung, eine Vielzahl von Personen zu beeinträchtigen;
   5. das Ausmaß, in dem die Verwendung von Produkten mit digitalen Elementen bereits zu materiellen oder immateriellen Verlusten oder Störungen geführt hat oder Anlass zu erheblichen Bedenken hinsichtlich des Eintretens nachteiliger Auswirkungen gegeben hat.
3. Der Kommission wird die Befugnis übertragen, gemäß Artikel 50 einen delegierten Rechtsakt zur Ergänzung dieser Verordnung zu erlassen, in dem sie die Definitionen der nach Anhang III zur Klasse I und Klasse II gehörigen Produktkategorien festlegt. Der delegierte Rechtsakt wird bis zum [12 Monate nach Inkrafttreten dieser Verordnung] erlassen.
4. Kritische Produkte mit digitalen Elementen unterliegen den Konformitätsbewertungsverfahren nach Artikel 24 Absätze 2 und 3.
5. Der Kommission wird die Befugnis übertragen, gemäß Artikel 50 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, um Kategorien hochkritischer Produkte mit digitalen Elementen festzulegen, für die die Hersteller ein europäisches Cybersicherheitszertifikat im Rahmen eines europäischen Systems für die Cybersicherheitszertifizierung gemäß der Verordnung (EU) 2019/881 erlangen müssen, um die Konformität mit den grundlegenden Anforderungen in Anhang I oder Teilen davon nachzuweisen. Bei der Festlegung solcher Kategorien hochkritischer Produkte mit digitalen Elementen berücksichtigt die Kommission das mit der Kategorie der Produkte mit digitalen Elementen verbundene Cybersicherheitsrisiko im Lichte eines oder mehrerer der in Absatz 2 aufgeführten Kriterien sowie im Hinblick auf die Bewertung, ob Produkte dieser Produktkategorie
   1. von wesentlichen Einrichtungen der in Anhang [Anhang I] der Richtlinie [Richtlinie XXX/XXXX (NIS2)] genannten Art verwendet werden oder diese von solchen Produkten abhängen oder solche Produkte möglicherweise künftig für die Tätigkeiten dieser Einrichtungen von Bedeutung sein werden oder
   2. für die Widerstandsfähigkeit der gesamten Lieferkette von Produkten mit digitalen Elementen gegen Störungen von Bedeutung sind.

Artikel 7 - Allgemeine Produktsicherheit

Abweichend von Artikel 2 Absatz 1 Unterabsatz 3 Buchstabe b der Verordnung [Verordnung über die allgemeine Produktsicherheit] gilt: Wenn Produkte mit digitalen Elementen keinen besonderen Anforderungen unterliegen, die in anderen Harmonisierungsrechtsvorschriften der Union im Sinne des [Artikels 3 Nummer 25 der Verordnung über die allgemeine Produktsicherheit] festgelegt sind, so finden in Bezug auf nicht von der vorliegenden Verordnung erfasste Sicherheitsrisiken auf diese Produkte das Kapitel III Abschnitt 1, die Kapitel V und VII sowie die Kapitel IX bis XI der Verordnung [Verordnung über die allgemeine Produktsicherheit] Anwendung.

Artikel 8 - Hochrisiko-KI-Systeme

1. Produkte mit digitalen Elementen, die nach Artikel [Artikel 6] der Verordnung [KI-Verordnung] als Hochrisiko-KI-Systeme eingestuft sind, in den Anwendungsbereich der vorliegenden Verordnung fallen und die grundlegenden Anforderungen in Anhang I Abschnitt 1 der vorliegenden Verordnung erfüllen, gelten – sofern die vom Hersteller festgelegten Verfahren die grundlegenden Anforderungen in Anhang I Abschnitt 2 erfüllen – unbeschadet der anderen in dem genannten Artikel aufgeführten Anforderungen in Bezug auf Genauigkeit und Robustheit als mit den Cybersicherheitsanforderungen gemäß Artikel [Artikel 15] der Verordnung [KI-Verordnung] konform, soweit das Erreichen des nach diesen Anforderungen erforderlichen Schutzniveaus durch die nach der vorliegenden Verordnung ausgestellte EU-Konformitätserklärung nachgewiesen wird.
2. Für die in Absatz 1 genannten Produkte und Cybersicherheitsanforderungen gilt das einschlägige Konformitätsbewertungsverfahren gemäß Artikel [Artikel 43] der Verordnung [KI-Verordnung]. Für die Zwecke dieser Bewertung sind die notifizierten Stellen, die gemäß der Verordnung [KI-Verordnung] berechtigt sind, die Konformität der Hochrisiko-KI-Systeme zu kontrollieren, auch berechtigt, im Rahmen der vorliegenden Verordnung die Konformität der Hochrisiko-KI-Systeme mit den Anforderungen in Anhang I der vorliegenden Verordnung zu kontrollieren, sofern in dem nach der Verordnung [KI-Verordnung] durchgeführten Notifizierungsverfahren geprüft wurde, ob diese notifizierten Stellen die in Artikel 29 der vorliegenden Verordnung festgelegten Anforderungen erfüllen.
3. Abweichend von Absatz 2 unterliegen die in Anhang III der vorliegenden Verordnung aufgeführten kritischen Produkte mit digitalen Elementen, die den Konformitätsbewertungsverfahren gemäß Artikel 24 Absatz 2 Buchstabe a, Artikel 24 Absatz 2 Buchstabe b, Artikel 24 Absatz 3 Buchstabe a und Artikel 24 Absatz 3 Buchstabe b der vorliegenden Verordnung unterliegen und auch nach Artikel [Artikel 6] der Verordnung [KI-Verordnung] als Hochrisiko-KI-Systeme eingestuft sind und für die das Konformitätsbewertungsverfahren auf der Grundlage einer internen Kontrolle gemäß Anhang [Anhang VI] der Verordnung [KI-Verordnung] gilt, den Konformitätsbewertungsverfahren gemäß der vorliegenden Verordnung, soweit dies die grundlegenden Anforderungen der vorliegenden Verordnung betrifft.

Artikel 9 - Maschinenprodukte

Maschinenprodukte, die in den Anwendungsbereich der Verordnung [Vorschlag für eine Maschinenverordnung] fallen, bei denen es sich um Produkte mit digitalen Elementen im Sinne der vorliegenden Verordnung handelt und für die auf der Grundlage der vorliegenden Verordnung eine EU-Konformitätserklärung ausgestellt wurde, gelten in Bezug auf den Schutz vor Korruption und die Sicherheit und Zuverlässigkeit von Steuerungssystemen als konform mit den grundlegenden Gesundheits- und Sicherheitsanforderungen in Anhang [Anhang III Abschnitte 1.1.9 und 1.2.1] der Verordnung [Vorschlag für eine Maschinenverordnung], sofern das Erreichen des nach diesen Anforderungen erforderlichen Schutzniveaus mit der nach der vorliegenden Verordnung ausgestellten EU-Konformitätserklärung nachgewiesen wird.

KAPITEL II - PFLICHTEN DER WIRTSCHAFTSAKTEURE

Artikel 10 - Pflichten der Hersteller

1. Wenn sie ein Produkt mit digitalen Elementen in Verkehr bringen, gewährleisten die Hersteller, dass das Produkt gemäß den grundlegenden Anforderungen in Anhang I Abschnitt 1 konzipiert, entwickelt und hergestellt worden ist.
2. Für die Zwecke der Erfüllung der in Absatz 1 festgelegten Pflicht führen die Hersteller eine Bewertung der Cybersicherheitsrisiken durch, die ein Produkt mit digitalen Elementen birgt, und berücksichtigen das Ergebnis dieser Bewertung in der Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase des Produkts mit digitalen Elementen, um die Cybersicherheitsrisiken zu minimieren, Sicherheitsvorfälle zu verhindern und die Auswirkungen solcher Vorfälle, auch in Bezug auf die Gesundheit und Sicherheit der Nutzer, so gering wie möglich zu halten.
3. Wenn er ein Produkt mit digitalen Elementen in Verkehr bringt, nimmt der Hersteller in die technische Dokumentation gemäß Artikel 23 und Anhang V eine Bewertung der Cybersicherheitsrisiken auf. Bei Produkten mit digitalen Elementen gemäß Artikel 8 und Artikel 24 Absatz 4, die auch anderen Unionsvorschriften unterliegen, kann die Bewertung der Cybersicherheitsrisiken auch Teil der in den betreffenden Unionsvorschriften geforderten Risikobewertungen sein. Sind bestimmte grundlegende Anforderungen nicht auf das in Verkehr gebrachte Produkt mit digitalen Elementen anwendbar, so nimmt der Hersteller eine klare Begründung hierfür in diese Dokumentation auf.
4. Für die Zwecke der Erfüllung der in Absatz 1 festgelegten Pflicht lassen die Hersteller die gebotene Sorgfalt walten, wenn sie von Dritten bezogene Komponenten in ihre Produkte mit digitalen Elementen integrieren. Sie stellen sicher, dass solche Komponenten die Sicherheit des Produkts mit digitalen Elementen nicht beeinträchtigen.
5. Der Hersteller dokumentiert systematisch und in einer der Art der Cybersicherheitsrisiken angemessenen Weise alle relevante Cybersicherheitsaspekte des Produkts mit digitalen Elementen, einschließlich der Schwachstellen, von denen er Kenntnis erlangt, und aller von Dritten bereitgestellten einschlägigen Informationen und aktualisiert gegebenenfalls die Risikobewertung des Produkts.
6. Wenn sie ein Produkt mit digitalen Elementen in Verkehr bringen und während der erwarteten Produktlebensdauer oder während eines Zeitraums von fünf Jahren ab dem Inverkehrbringen des Produkts, je nachdem, welcher Zeitraum kürzer ist, stellen die Hersteller sicher, dass Schwachstellen dieses Produkts wirksam und im Einklang mit den grundlegenden Anforderungen in Anhang I Abschnitt 2 behandelt werden. Die Hersteller haben geeignete Strategien und Verfahren, darunter Konzepte für die koordinierte Offenlegung der in Anhang I Abschnitt 2 Nummer 5 genannten Schwachstellen, um potenzielle Schwachstellen in dem Produkt mit digitalen Elementen, die von internen oder externen Quellen gemeldet werden, zu bearbeiten und zu beheben.
7. Bevor sie ein Produkt mit digitalen Elementen in Verkehr bringen, erstellen die Hersteller die in Artikel 23 genannte technische Dokumentation.

   Sie führen die gewählten Konformitätsbewertungsverfahren gemäß Artikel 24 durch oder lassen sie durchführen.

   Ist mit diesem Konformitätsbewertungsverfahren nachgewiesen worden, dass das Produkt mit digitalen Elementen den grundlegenden Anforderungen in Anhang I Abschnitt 1 genügt und die vom Hersteller festgelegten Verfahren den grundlegenden Anforderungen in Anhang I Abschnitt 2 genügen, so stellen die Hersteller die EU-Konformitätserklärung gemäß Artikel 20 aus und bringen die CE-Kennzeichnung gemäß Artikel 22 an.
8. Die Hersteller bewahren die technische Dokumentation und gegebenenfalls die EU-Konformitätserklärung nach dem Inverkehrbringen des Produkts mit digitalen Elementen zehn Jahre lang für die Marktüberwachungsbehörden auf.
9. Die Hersteller gewährleisten durch geeignete Verfahren, dass die Konformität von Produkten mit digitalen Elementen bei einer Serienherstellung sichergestellt bleibt. Der Hersteller berücksichtigt in angemessener Weise etwaige Änderungen am Entwicklungs- und Herstellungsverfahren oder an der Konzeption oder den Merkmalen des Produkts mit digitalen Elementen sowie Änderungen der harmonisierten Normen, der europäischen Systeme für die Cybersicherheitszertifizierung oder der in Artikel 19 genannten gemeinsamen Spezifikationen, die bei der Erklärung der Konformität des Produkts mit digitalen Elementen zugrunde gelegt oder bei der Überprüfung seiner Konformität angewandt wurden.
10. Die Hersteller gewährleisten, dass den Produkten mit digitalen Elementen die in Anhang II genannten Informationen und Anleitungen in elektronischer Form oder in Papierform beigefügt sind. Diese Informationen und Anleitungen müssen in einer Sprache abgefasst sein, die von den Nutzern leicht verstanden werden kann. Sie müssen klar, verständlich, deutlich und lesbar sein. Sie müssen eine sichere Installation, einen sicheren Betrieb und eine sichere Verwendung der Produkte mit digitalen Elementen ermöglichen.
11. Die Hersteller fügen die EU-Konformitätserklärung entweder dem Produkt mit digitalen Elementen bei oder geben in den Anleitungen und Informationen gemäß Anhang II die Internetadresse an, unter der die EU-Konformitätserklärung eingesehen werden kann.
12. Ab dem Inverkehrbringen und während der erwarteten Produktlebensdauer oder während eines Zeitraums von fünf Jahren ab dem Inverkehrbringen eines Produkts mit digitalen Elementen, je nachdem, welcher Zeitraum kürzer ist, ergreifen die Hersteller, denen bekannt ist oder die Grund zu der Annahme haben, dass das Produkt mit digitalen Elementen oder die vom Hersteller festgelegten Verfahren den grundlegenden Anforderungen in Anhang I nicht genügen, unverzüglich die erforderlichen Korrekturmaßnahmen, um die Konformität dieses Produkts mit digitalen Elementen oder der Prozesse des Herstellers herzustellen oder um gegebenenfalls das Produkt vom Markt zu nehmen oder zurückzurufen.
13. Die Hersteller übermitteln der Marktüberwachungsbehörde auf deren begründetes Verlangen in Papierform oder in elektronischer Form in einer für die Behörde leicht verständlichen Sprache alle Informationen und Unterlagen, die für den Nachweis der Konformität des Produkts mit digitalen Elementen und der vom Hersteller festgelegten Verfahren mit den grundlegenden Anforderungen in Anhang I erforderlich sind. Sie arbeiten mit dieser Behörde auf deren Verlangen bei allen Maßnahmen zur Abwendung der Cybersicherheitsrisiken zusammen, die mit dem von ihnen in Verkehr gebrachten Produkt mit digitalen Elementen verbunden sind.
14. Ein Hersteller, der seine Betriebstätigkeit einstellt und infolgedessen nicht in der Lage ist, die in dieser Verordnung festgelegten Pflichten zu erfüllen, unterrichtet hiervon vor dem Wirksamwerden der Betriebseinstellung die zuständigen Marktüberwachungsbehörden sowie – mit allen verfügbaren Mitteln und soweit möglich – die Nutzer der betroffenen in Verkehr gebrachten Produkte mit digitalen Elementen.
15. Die Kommission kann im Wege von Durchführungsrechtsakten das Format und die Elemente der Software-Stückliste gemäß Anhang I Abschnitt 2 Nummer 1 festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 51 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 11 - Meldepflichten der Hersteller

1. Der Hersteller meldet der ENISA unverzüglich, jedenfalls aber innerhalb von 24 Stunden, nachdem er davon Kenntnis erlangt hat, jede aktiv ausgenutzte Schwachstelle, die in dem Produkt mit digitalen Elementen enthalten ist. Die Meldung enthält Einzelheiten zu dieser Schwachstelle und zu den gegebenenfalls ergriffenen Korrektur- oder Minderungsmaßnahmen. Die ENISA leitet die Meldung nach dem Eingang unverzüglich an das für die Zwecke der koordinierten Offenlegung von Schwachstellen gemäß Artikel [Artikel X] der Richtlinie [Richtlinie XXX/XXXX (NIS2)] benannte CSIRT der betroffenen Mitgliedstaaten weiter und unterrichtet die Marktüberwachungsbehörde von der gemeldeten Schwachstelle, sofern dem keine berechtigten Gründe in Bezug auf das Cybersicherheitsrisiko entgegenstehen.
2. Der Hersteller meldet der ENISA unverzüglich, jedenfalls aber innerhalb von 24 Stunden, nachdem er davon Kenntnis erlangt hat, jeden Vorfall, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt. Die ENISA leitet die Meldungen unverzüglich an die gemäß Artikel [Artikel X] der Richtlinie [Richtlinie XXX/XXXX (NIS2)] benannte zentrale Anlaufstelle der betroffenen Mitgliedstaaten weiter und unterrichtet die Marktüberwachungsbehörde von den gemeldeten Vorfällen, sofern dem keine berechtigten Gründe in Bezug auf das Cybersicherheitsrisiko entgegenstehen. Die Meldung eines Vorfalls enthält Informationen über die Schwere und die Auswirkungen des Vorfalls und gegebenenfalls Angaben dazu, ob der Hersteller den Verdacht hat, dass der Vorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde, oder ob er davon ausgeht, dass der Vorfall grenzüberschreitende Auswirkungen hat.
3. Die ENISA übermittelt dem Europäischen Netzwerk der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe), das durch Artikel [Artikel X] der Richtlinie [Richtlinie XXX/XXXX (NIS2)] eingerichtet wurde, die gemäß den Absätzen 1 und 2 gemeldeten Informationen, sofern diese Informationen für das koordinierte Management massiver Cybersicherheitsvorfälle und -krisen auf operativer Ebene von Bedeutung sind.
4. Der Hersteller informiert die Nutzer des Produkts mit digitalen Elementen unverzüglich, nachdem er Kenntnis davon erlangt hat, über den Vorfall und erforderlichenfalls über Korrekturmaßnahmen, die der Nutzer ergreifen kann, um die Auswirkungen des Vorfalls zu mindern.
5. Die Kommission kann im Wege von Durchführungsrechtsakten die Art der Angaben sowie das Format und Verfahren für die nach den Absätzen 1 und 2 übermittelten Meldungen präzisieren. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 51 Absatz 2 genannten Prüfverfahren erlassen.
6. Die ENISA erstellt auf der Grundlage der nach den Absätzen 1 und 2 eingegangenen Meldungen alle zwei Jahre einen technischen Bericht über aufkommende Trends der Cybersicherheitsrisiken bei Produkten mit digitalen Elementen und legt ihn der in Artikel [X] der Richtlinie [Richtlinie XXX/XXXX (NIS2)] genannten Kooperationsgruppe vor. Der erste solche Bericht wird innerhalb von 24 Monaten nach Beginn der Geltung der in den Absätzen 1 und 2 festgelegten Pflichten vorgelegt.
7. Sobald der Hersteller eine Schwachstelle in einer in das Produkt mit digitalen Elementen integrierten Komponente, einschließlich einer Open-Source-Komponente, feststellt, meldet er die Schwachstelle der Person oder Einrichtung, die diese Komponente wartet.

Artikel 12 - Bevollmächtigte

1. Ein Hersteller kann schriftlich einen Bevollmächtigten benennen.
2. Die in Artikel 10 Absätze 1 bis 7 erster Spiegelstrich und Absatz 9 festgelegten Pflichten sind nicht Teil des Auftrags des Bevollmächtigten.
3. Ein Bevollmächtigter nimmt die Aufgaben wahr, die in dem vom Hersteller erteilten Auftrag festgelegt sind. Der Auftrag muss es dem Bevollmächtigten ermöglichen, mindestens folgende Aufgaben wahrzunehmen:
   1. Bereithaltung der in Artikel 20 genannten EU-Konformitätserklärung und der in Artikel 23 genannten technischen Dokumentation für die Marktüberwachungsbehörden zehn Jahre lang ab dem Inverkehrbringen des Produkts mit digitalen Elementen;
   2. Übermittlung aller zum Nachweis der Konformität des Produkts mit digitalen Elementen erforderlichen Informationen und Unterlagen an eine Marktüberwachungsbehörde auf deren begründetes Verlangen;
   3. Zusammenarbeit mit den Marktüberwachungsbehörden auf deren Verlangen bei allen Maßnahmen zur Abwendung der Risiken, die von einem Produkt mit digitalen Elementen ausgehen, das zum Aufgabenbereich des Bevollmächtigten gehört.

Artikel 13 - Pflichten der Einführer

1. Die Einführer bringen nur Produkte mit digitalen Elementen in Verkehr, die den grundlegenden Anforderungen in Anhang I Abschnitt 1 genügen und bei denen die vom Hersteller festgelegten Verfahren den grundlegenden Anforderungen in Anhang I Abschnitt 2 genügen.
2. Bevor sie ein Produkt mit digitalen Elementen in Verkehr bringen, stellen die Einführer sicher, dass
   1. der Hersteller die geeigneten Konformitätsbewertungsverfahren nach Artikel 24 durchgeführt hat;
   2. der Hersteller die technische Dokumentation erstellt hat;
   3. das Produkt mit digitalen Elementen mit der in Artikel 22 genannten CE-Kennzeichnung versehen ist und ihm die Informationen und Gebrauchsanleitungen gemäß Anhang II beigefügt sind.
3. Ist ein Einführer der Auffassung oder hat er Grund zu der Annahme, dass ein Produkt mit digitalen Elementen oder die vom Hersteller festgelegten Verfahren den grundlegenden Anforderungen in Anhang I nicht genügen, bringt er das Produkt erst dann in Verkehr, wenn die Konformität dieses Produkts und der vom Hersteller festgelegten Verfahren mit den grundlegenden Anforderungen in Anhang I hergestellt ist. Wenn das Produkt mit digitalen Elementen ein erhebliches Cybersicherheitsrisiko birgt, unterrichtet der Einführer zudem den Hersteller und die Marktüberwachungsbehörden hiervon.
4. Die Einführer geben ihren Namen, ihren eingetragenen Handelsnamen oder ihre eingetragene Handelsmarke, ihre Postanschrift und ihre E-Mail-Adresse, unter der sie zu erreichen sind, entweder auf dem Produkt mit digitalen Elementen selbst oder, wenn dies nicht möglich ist, auf der Verpackung oder in den dem Produkt mit digitalen Elementen beigefügten Unterlagen an. Die Kontaktangaben sind in einer Sprache abzufassen, die von den Nutzern und den Marktüberwachungsbehörden leicht verstanden werden kann.
5. Die Einführer stellen sicher, dass dem Produkt mit digitalen Elementen die Anleitungen und Informationen gemäß Anhang II in einer Sprache, die von den Nutzern leicht verstanden werden kann, beigefügt sind.
6. Einführer, denen bekannt ist oder die Grund zu der Annahme haben, dass ein Produkt mit digitalen Elementen, das sie in Verkehr gebracht haben, oder die von dessen Hersteller festgelegten Verfahren den grundlegenden Anforderungen in Anhang I nicht genügen, ergreifen unverzüglich die erforderlichen Korrekturmaßnahmen, um die Konformität dieses Produkts mit digitalen Elementen und der vom Hersteller festgelegten Verfahren mit den grundlegenden Anforderungen in Anhang I herzustellen oder um gegebenenfalls das Produkt vom Markt zu nehmen oder zurückzurufen. Bei Feststellung einer Schwachstelle in dem Produkt mit digitalen Elementen informieren die Einführer den Hersteller unverzüglich über diese Schwachstelle. Wenn das Produkt mit digitalen Elementen ein erhebliches Cybersicherheitsrisiko birgt, unterrichten die Einführer zudem unverzüglich die Marktüberwachungsbehörden der Mitgliedstaaten, in denen sie das Produkt mit digitalen Elementen auf dem Markt bereitgestellt haben, und machen dabei genaue Angaben insbesondere über die Nichtkonformität und ergriffene Korrekturmaßnahmen.
7. Die Einführer halten ab dem Inverkehrbringen des Produkts mit digitalen Elementen zehn Jahre lang ein Exemplar der EU-Konformitätserklärung für die Marktüberwachungsbehörden bereit und sorgen dafür, dass sie diesen die technische Dokumentation auf Verlangen vorlegen können.
8. Die Einführer übermitteln der Marktüberwachungsbehörde auf deren begründetes Verlangen in Papierform oder in elektronischer Form in einer Sprache, die von der Behörde leicht verstanden werden kann, alle Informationen und Unterlagen, die für den Nachweis der Konformität des Produkts mit digitalen Elementen mit den grundlegenden Anforderungen in Anhang I Abschnitt 1 und der vom Hersteller festgelegten Verfahren mit den grundlegenden Anforderungen in Anhang I Abschnitt 2 erforderlich sind. Sie arbeiten mit dieser Behörde auf deren Verlangen bei allen Maßnahmen zur Abwendung der Cybersicherheitsrisiken zusammen, die mit einem von ihnen in Verkehr gebrachten Produkt mit digitalen Elementen verbunden sind.
9. Wird dem Einführer eines Produkts mit digitalen Elementen bekannt, dass der Hersteller dieses Produkts seine Betriebstätigkeit eingestellt hat und infolgedessen nicht in der Lage ist, die in dieser Verordnung festgelegten Pflichten zu erfüllen, unterrichtet er hiervon die zuständigen Marktüberwachungsbehörden sowie – mit

   allen verfügbaren Mitteln und soweit möglich – die Nutzer der in Verkehr gebrachten Produkte mit digitalen Elementen.

Artikel 14 - Pflichten der Händler

1. Wenn sie ein Produkt mit digitalen Elementen auf dem Markt bereitstellen, befolgen die Händler die Vorschriften dieser Verordnung mit der gebührenden Sorgfalt.
2. Bevor sie ein Produkt mit digitalen Elementen auf dem Markt bereitstellen, überprüfen die Händler, ob
   1. das Produkt mit digitalen Elementen mit der CE-Kennzeichnung versehen ist;
   2. der Hersteller und der Einführer die Anforderungen nach Artikel 10 Absatz 10, Artikel 10 Absatz 11 bzw. Artikel 13 Absatz 4 erfüllt haben.
3. Ist ein Händler der Auffassung oder hat er Grund zu der Annahme, dass ein Produkt mit digitalen Elementen oder die vom Hersteller festgelegten Verfahren den grundlegenden Anforderungen in Anhang I nicht genügen, stellt er das Produkt mit digitalen Elementen erst dann auf dem Markt bereit, wenn die Konformität dieses Produkts und der vom Hersteller festgelegten Verfahren hergestellt ist. Wenn das Produkt mit digitalen Elementen ein erhebliches Cybersicherheitsrisiko birgt, unterrichtet der Händler zudem den Hersteller und die Marktüberwachungsbehörden hiervon.
4. Händler, denen bekannt ist oder die Grund zu der Annahme haben, dass ein Produkt mit digitalen Elementen, das sie auf dem Markt bereitgestellt haben, oder die von dessen Hersteller festgelegten Verfahren den grundlegenden Anforderungen in Anhang I nicht genügen, sorgt dafür, dass unverzüglich die erforderlichen Korrekturmaßnahmen ergriffen werden, um die Konformität dieses Produkts mit digitalen Elementen und der vom Hersteller festgelegten Verfahren herzustellen oder um gegebenenfalls das Produkt vom Markt zu nehmen oder zurückzurufen. Bei Feststellung einer Schwachstelle in dem Produkt mit digitalen Elementen informieren die Händler den Hersteller unverzüglich über diese Schwachstelle. Wenn das Produkt mit digitalen Elementen ein erhebliches Cybersicherheitsrisiko birgt, unterrichten die Händler zudem unverzüglich die Marktüberwachungsbehörden der Mitgliedstaaten, in denen sie das Produkt mit digitalen Elementen auf dem Markt bereitgestellt haben, und machen dabei genaue Angaben insbesondere über die Nichtkonformität und ergriffene Korrekturmaßnahmen.
5. Die Händler übermitteln der Marktüberwachungsbehörde auf deren begründetes Verlangen in Papierform oder in elektronischer Form in einer Sprache, die von der Behörde leicht verstanden werden kann, alle Informationen und Unterlagen, die für den Nachweis der Konformität des Produkts mit digitalen Elementen und der vom Hersteller festgelegten Verfahren mit den grundlegenden Anforderungen in Anhang I erforderlich sind. Sie arbeiten mit dieser Behörde auf deren Verlangen bei allen Maßnahmen zur Abwendung der Cybersicherheitsrisiken zusammen, die mit einem von ihnen auf dem Markt bereitgestellten Produkt mit digitalen Elementen verbunden sind.
6. Wird dem Händler eines Produkts mit digitalen Elementen bekannt, dass der Hersteller dieses Produkts seine Betriebstätigkeit eingestellt hat und infolgedessen nicht in der Lage ist, die in dieser Verordnung festgelegten Pflichten zu erfüllen,

   unterrichtet er hiervon die zuständigen Marktüberwachungsbehörden sowie – mit allen verfügbaren Mitteln und soweit möglich – die Nutzer der in Verkehr gebrachten Produkte mit digitalen Elementen.

Artikel 15 - Fälle, in denen die Pflichten der Hersteller auch für Einführer und Händler gelten

Ein Einführer oder Händler gilt für die Zwecke dieser Verordnung als Hersteller und unterliegt den in Artikel 10 und Artikel 11 Absätze 1, 2, 4 und 7 genannten Pflichten des Herstellers, wenn dieser Einführer oder Händler ein Produkt mit digitalen Elementen unter seinem eigenen Namen oder seiner eigenen Marke in Verkehr bringt oder eine wesentliche Änderung an einem bereits in Verkehr gebrachten Produkt mit digitalen Elementen vornimmt.

Artikel 16 - Sonstige Fälle, in denen die Pflichten der Hersteller gelten

Eine natürliche oder juristische Person, bei der es sich nicht um den Hersteller, Einführer oder Händler handelt und die eine wesentliche Änderung an dem Produkt mit digitalen Elementen vornimmt, gilt für die Zwecke dieser Verordnung als Hersteller.

Diese Person unterliegt den Pflichten des Herstellers gemäß Artikel 10 und Artikel 11 Absätze 1, 2, 4 und 7 für den Teil des Produkts, der von der wesentlichen Änderung betroffen ist, oder, wenn sich die wesentliche Änderung auf die Cybersicherheit des Produkts mit digitalen Elementen insgesamt auswirkt, für das gesamte Produkt.

Artikel 17 - Identifizierung der Wirtschaftsakteure

1. Die Wirtschaftsakteure übermitteln den Marktüberwachungsbehörden auf Anfrage folgende Informationen, sofern diese verfügbar sind:
   1. Name und Anschrift aller Wirtschaftsakteure, von denen sie Produkte mit digitalen Elementen bezogen haben,
   2. Name und Anschrift aller Wirtschaftsakteure, an die sie Produkte mit digitalen Elementen abgegeben haben.
2. Die Wirtschaftsakteure müssen diese in Absatz 1 genannten Informationen zehn Jahre nach dem Bezug des Produkts mit digitalen Elementen sowie zehn Jahre nach der Abgabe des Produkts mit digitalen Elementen vorlegen können.

KAPITEL III - Konformität des Produkts mit digitalen Elementen

Artikel 18 - Konformitätsvermutung

1. Bei Produkten mit digitalen Elementen und vom Hersteller festgelegten Verfahren, die mit harmonisierten Normen oder Teilen davon übereinstimmen, deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht worden sind, wird eine Konformität mit den grundlegenden Anforderungen in Anhang I vermutet, soweit diese Anforderungen von den betreffenden Normen oder Teilen davon abgedeckt sind.
2. Bei Produkten mit digitalen Elementen und vom Hersteller festgelegten Verfahren, die mit den in Artikel 19 genannten gemeinsamen Spezifikationen übereinstimmen, wird eine Konformität mit den Anforderungen in Anhang I vermutet, soweit die gemeinsamen Spezifikationen diese Anforderungen abdecken.
3. Bei Produkten mit digitalen Elementen und vom Hersteller festgelegten Verfahren, für die eine EU-Konformitätserklärung oder ein Cybersicherheitszertifikat im Rahmen eines gemäß der Verordnung (EU) 2019/881 angenommenen und gemäß Absatz 4 ausgewiesenen europäischen Systems für die Cybersicherheitszertifizierung ausgestellt wurde, wird eine Konformität mit den grundlegenden Anforderungen in Anhang I vermutet, sofern die EU-Konformitätserklärung oder das Cybersicherheitszertifikat oder Teile davon diese Anforderungen abdecken.
4. Der Kommission wird die Befugnis übertragen, im Wege von Durchführungsrechtsakten die gemäß der Verordnung (EU) 2019/881 angenommenen europäischen Systeme für die Cybersicherheitszertifizierung auszuweisen, die zum Nachweis der Konformität mit den grundlegenden Anforderungen in Anhang I oder Teilen davon verwendet werden können. Darüber hinaus gibt die Kommission gegebenenfalls an, ob mit einem im Rahmen eines solchen Systems ausgestellten Cybersicherheitszertifikat die in Artikel 24 Absatz 2 Buchstaben a und b und Artikel 24 Absatz 3 Buchstaben a und b vorgesehene Pflicht des Herstellers, für die betreffenden Anforderungen eine Konformitätsbewertung durch Dritte durchführen zu lassen, aufgehoben werden kann. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 51 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 19 - Gemeinsame Spezifikationen

Gibt es keine harmonisierten Normen gemäß Artikel 18 oder ist die Kommission der Auffassung, dass die einschlägigen harmonisierten Normen nicht ausreichen, um die Anforderungen dieser Verordnung zu erfüllen oder dem Normungsauftrag der Kommission gerecht zu werden, oder treten unangemessene Verzögerungen im Normungsverfahren auf oder wird der Auftrag der Kommission zur Ausarbeitung harmonisierter Normen von den europäischen Normungsorganisationen nicht angenommen, so wird der Kommission die Befugnis übertragen, im Wege von Durchführungsrechtsakten gemeinsame Spezifikationen für die grundlegenden Anforderungen in Anhang I anzunehmen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 51 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 20 - EU-Konformitätserklärung

1. Die EU-Konformitätserklärung wird vom Hersteller gemäß Artikel 10 Absatz 7 ausgestellt und besagt, dass die Erfüllung der grundlegenden Anforderungen in Anhang I nachgewiesen worden ist.
2. Die EU-Konformitätserklärung entspricht in ihrem Aufbau dem Muster in Anhang IV und enthält die in den einschlägigen Konformitätsbewertungsverfahren gemäß Anhang VI angegebenen Elemente. Eine solche Erklärung wird laufend aktualisiert. Sie wird in der Sprache bzw. den Sprachen abgefasst, die der Mitgliedstaat vorschreibt, in dem das Produkt mit digitalen Elementen in Verkehr gebracht oder auf dem Markt bereitgestellt wird.
3. Unterliegt ein Produkt mit digitalen Elementen mehreren Rechtsvorschriften der Europäischen Union, in denen jeweils eine EU-Konformitätserklärung vorgeschrieben ist, so wird eine einzige EU-Konformitätserklärung für sämtliche Unionsvorschriften ausgestellt. In dieser Erklärung werden die betreffenden Rechtsvorschriften der Union samt ihren Fundstellen im Amtsblatt angegeben.
4. Mit der Ausstellung der EU-Konformitätserklärung übernimmt der Hersteller die Verantwortung für die Konformität des Produkts.
5. Der Kommission wird die Befugnis übertragen, gemäß Artikel 50 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, um angesichts der technischen Entwicklungen zu den in Anhang IV aufgeführten Mindestangaben für die EU-Konformitätserklärung neue Elemente hinzuzufügen.

Artikel 21 - Allgemeine Grundsätze der CE-Kennzeichnung

Für die CE-Kennzeichnung im Sinne des Artikels 3 Nummer 32 gelten die allgemeinen Grundsätze gemäß Artikel 30 der Verordnung (EG) Nr. 765/2008.

Artikel 22 - Vorschriften und Bedingungen für die Anbringung der CE-Kennzeichnung

1. Die CE-Kennzeichnung ist gut sichtbar, leserlich und dauerhaft auf dem Produkt mit digitalen Elementen anzubringen. Falls die Art des Produkts mit digitalen Elementen dies nicht zulässt oder nicht rechtfertigt, wird die CE-Kennzeichnung auf der Verpackung und der dem Produkt mit digitalen Elementen beigefügten EU-Konformitätserklärung gemäß Artikel 20 angebracht. Bei Produkten mit digitalen Elementen in Form von Software wird die CE-Kennzeichnung entweder auf der EU-Konformitätserklärung gemäß Artikel 20 oder auf der das Softwareprodukt begleitenden Website angebracht.
2. Aufgrund der Art des Produkts mit digitalen Elementen kann die Höhe des daran angebrachten CE-Kennzeichens kleiner als 5 mm sein, sofern es weiterhin sichtbar und lesbar ist.
3. Die CE-Kennzeichnung wird vor dem Inverkehrbringen des Produkts mit digitalen Elementen angebracht. Ihr kann ein Piktogramm oder ein anderes Zeichen folgen, das auf ein besonderes Risiko oder eine besondere Verwendung hinweist, die in Durchführungsrechtsakten gemäß Absatz 6 festgelegt werden.
4. Auf die CE-Kennzeichnung folgt die Kennnummer der notifizierten Stelle, sofern diese an dem Konformitätsbewertungsverfahren auf der Grundlage einer umfassenden Qualitätssicherung (auf der Grundlage von Modul H) gemäß Artikel 24 beteiligt ist. Die Kennnummer der notifizierten Stelle wird entweder von der Stelle selbst oder nach ihren Anweisungen vom Hersteller oder seinem Bevollmächtigten angebracht.
5. Die Mitgliedstaaten bauen auf bestehenden Mechanismen auf, um eine ordnungsgemäße Durchführung des Systems der CE-Kennzeichnung sicherzustellen, und leiten im Fall einer missbräuchlichen Verwendung dieser Kennzeichnung angemessene Maßnahmen ein. Falls das Produkt mit digitalen Elementen auch unter andere Rechtsvorschriften der Union fällt, in denen die CE-Kennzeichnung ebenfalls vorgesehen ist, bedeutet die CE-Kennzeichnung, dass das Produkt auch die Anforderungen dieser anderen Rechtsvorschriften erfüllt.
6. Die Kommission kann im Wege von Durchführungsrechtsakten technische Spezifikationen für Piktogramme oder andere Kennzeichen in Bezug auf die Sicherheit von Produkten mit digitalen Elementen sowie Mechanismen zur Förderung ihrer Verwendung festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 51 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 23 - Technische Dokumentation

1. Die technische Dokumentation enthält alle einschlägigen Daten oder Einzelheiten darüber, wie der Hersteller sicherstellt, dass das Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren den grundlegenden Anforderungen in Anhang I genügen. Sie enthält zumindest die in Anhang V genannten Angaben.
2. Die technische Dokumentation wird vor dem Inverkehrbringen des Produkts mit digitalen Elementen erstellt und gegebenenfalls während der erwarteten Produktlebensdauer oder während eines Zeitraums von fünf Jahren ab dem Inverkehrbringen des Produkts mit digitalen Elementen, je nachdem, welcher Zeitraum kürzer ist, laufend aktualisiert.
3. Bei Produkten mit digitalen Elementen gemäß Artikel 8 und Artikel 24 Absatz 4, die auch anderen Unionsvorschriften unterliegen, wird eine einzige technische Dokumentation erstellt, die die in Anhang V dieser Verordnung genannten Informationen sowie die nach den anderen Unionsvorschriften erforderlichen Informationen enthält.
4. Die technische Dokumentation und die Korrespondenz im Zusammenhang mit den Konformitätsbewertungsverfahren werden in einer Amtssprache des Mitgliedstaats, in dem die notifizierte Stelle ansässig ist, oder in einer von dieser Stelle zugelassenen Sprache abgefasst.
5. Der Kommission wird die Befugnis übertragen, gemäß Artikel 50 delegierte Rechtsakte zu erlassen, mit denen diese Verordnung um die Elemente ergänzt wird, die in die technische Dokumentation gemäß Anhang V aufzunehmen sind, um den technischen Entwicklungen und den Entwicklungen bei der Durchführung dieser Verordnung Rechnung zu tragen.

Artikel 24 - Konformitätsbewertungsverfahren für Produkte mit digitalen Elementen

1. Der Hersteller führt eine Konformitätsbewertung des Produkts mit digitalen Elementen und der vom Hersteller festgelegten Verfahren durch, um festzustellen, ob die grundlegenden Anforderungen in Anhang I erfüllt sind. Der Hersteller oder sein Bevollmächtigter erbringt den Nachweis der Konformität mit den grundlegenden Anforderungen anhand eines der folgenden Verfahren:
   1. internes Kontrollverfahren (auf der Grundlage von Modul A) gemäß Anhang VI oder
   2. EU-Baumusterprüfverfahren (auf der Grundlage von Modul B) gemäß Anhang VI und anschließende Konformität mit dem EU-Baumuster auf der Grundlage der internen Fertigungskontrolle (auf der Grundlage von Modul C) gemäß Anhang VI oder
   3. Konformitätsbewertung auf der Grundlage einer umfassenden Qualitätssicherung (auf der Grundlage von Modul H) gemäß Anhang VI.
2. Hat der Hersteller oder sein Bevollmächtigter bei der Bewertung der Konformität eines kritischen Produkts mit digitalen Elementen der Klasse I gemäß Anhang III und der von dessen Hersteller festgelegten Verfahren mit den grundlegenden Anforderungen in Anhang I harmonisierte Normen, gemeinsame Spezifikationen oder europäische Systeme für die Cybersicherheitszertifizierung gemäß Artikel 18 nicht oder nur zum Teil angewandt oder sind solche harmonisierten Normen, gemeinsamen Spezifikationen oder europäischen Systeme für die Cybersicherheitszertifizierung nicht vorhanden, so sind die Produkte mit digitalen Elementen und die vom Hersteller festgelegten Verfahren im Hinblick auf die grundlegenden Anforderungen einem der folgenden Verfahren zu unterziehen:
   1. EU-Baumusterprüfverfahren (auf der Grundlage von Modul B) gemäß Anhang VI und anschließend Konformität mit dem EU-Baumuster auf der Grundlage der internen Fertigungskontrolle (auf der Grundlage von Modul C) gemäß Anhang VI oder
   2. Konformitätsbewertung auf der Grundlage einer umfassenden Qualitätssicherung (auf der Grundlage von Modul H) gemäß Anhang VI.
3. Handelt es sich bei dem Produkt um ein kritisches Produkt mit digitalen Elementen der Klasse II gemäß Anhang III, so erbringt der Hersteller oder sein Bevollmächtigter den Nachweis der Konformität mit den grundlegenden Anforderungen in Anhang I anhand eines der folgenden Verfahren:
   1. EU-Baumusterprüfverfahren (auf der Grundlage von Modul B) gemäß Anhang VI und anschließende Konformität mit dem EU-Baumuster auf der Grundlage der internen Fertigungskontrolle (auf der Grundlage von Modul C) gemäß Anhang VI oder
   2. Konformitätsbewertung auf der Grundlage einer umfassenden Qualitätssicherung (auf der Grundlage von Modul H) gemäß Anhang VI.
4. Hersteller von Produkten mit digitalen Elementen, die als EHR-Systeme gemäß der Verordnung [Verordnung über den europäischen Raum für Gesundheitsdaten] eingestuft sind, erbringen den Nachweis der Konformität mit den grundlegenden Anforderungen in Anhang I der vorliegenden Verordnung anhand des einschlägigen Konformitätsbewertungsverfahrens gemäß der Verordnung [Kapitel III der Verordnung über den europäischen Raum für Gesundheitsdaten].
5. Die notifizierten Stellen berücksichtigen bei der Festsetzung der Gebühren für die Konformitätsbewertung die besonderen Interessen und Bedürfnisse kleiner und mittlerer Unternehmen (KMU) und senken diese Gebühren proportional zu deren besonderen Interessen und Bedürfnissen.

KAPITEL IV - NOTIFIZIERUNG VON KONFORMITÄTSBEWERTUNGSSTELLEN

Artikel 25 - Notifizierung

Die Mitgliedstaaten notifizieren der Kommission und den anderen Mitgliedstaaten die Konformitätsbewertungsstellen, die befugt sind, Konformitätsbewertungen gemäß dieser Verordnung durchzuführen.

Artikel 26 - Notifizierende Behörden

1. Die Mitgliedstaaten benennen eine notifizierende Behörde, die für die Einrichtung und Durchführung der erforderlichen Verfahren für die Bewertung und Notifizierung von Konformitätsbewertungsstellen und für die Überwachung der notifizierten Stellen, einschließlich der Einhaltung des Artikels 31, zuständig ist.
2. Die Mitgliedstaaten können entscheiden, dass die Bewertung und Überwachung nach Absatz 1 von einer nationalen Akkreditierungsstelle im Sinne der und im Einklang mit der Verordnung (EG) Nr. 765/2008 erfolgt.

Artikel 27 - Anforderungen an notifizierende Behörden

1. Notifizierende Behörden werden so eingerichtet, dass es zu keinerlei Interessenkonflikt mit den Konformitätsbewertungsstellen kommt.
2. Notifizierende Behörden gewährleisten durch ihre Organisation und Arbeitsweise, dass bei der Ausübung ihrer Tätigkeit Objektivität und Unparteilichkeit gewahrt sind.
3. Notifizierende Behörden werden so strukturiert, dass jede Entscheidung über die Notifizierung einer Konformitätsbewertungsstelle von kompetenten Personen getroffen wird, die nicht mit den Personen identisch sind, welche die Bewertung durchgeführt haben.
4. Notifizierende Behörden dürfen weder Tätigkeiten, die Konformitätsbewertungsstellen durchführen, noch Beratungsleistungen auf einer gewerblichen oder wettbewerblichen Basis anbieten oder erbringen.
5. Notifizierende Behörden gewährleisten die Vertraulichkeit der von ihnen erlangten Informationen.
6. Einer notifizierenden Behörde stehen kompetente Mitarbeiter in ausreichender Zahl zur Verfügung, sodass sie ihre Aufgaben ordnungsgemäß wahrnehmen kann.

Artikel 28 - Informationspflichten der notifizierenden Behörden

1. Die Mitgliedstaaten unterrichten die Kommission über ihre Verfahren zur Bewertung und Notifizierung von Konformitätsbewertungsstellen und zur Überwachung notifizierter Stellen sowie über diesbezügliche Änderungen.
2. Die Kommission macht diese Information der Öffentlichkeit zugänglich.

Artikel 29 - Anforderungen an notifizierte Stellen

1. Konformitätsbewertungsstellen erfüllen für die Zwecke der Notifizierung die Anforderungen der Absätze 2 bis 12.
2. Eine Konformitätsbewertungsstelle ist nach nationalem Recht gegründet und ist mit Rechtspersönlichkeit ausgestattet.
3. Bei einer Konformitätsbewertungsstelle handelt es sich um einen unabhängigen Dritten, der von der Organisation oder dem Produkt, die bzw. das bewertet wird, unabhängig ist. Eine Stelle, die einem Wirtschaftsverband oder einem Fachverband angehört und Produkte mit digitalen Elementen bewertet, an deren Konzeption, Entwicklung, Herstellung, Bereitstellung, Montage, Verwendung oder Wartung Unternehmen beteiligt sind, die von diesem Verband vertreten werden, kann als solche Stelle gelten, sofern ihre Unabhängigkeit sowie das Fehlen jedweder Interessenskonflikte nachgewiesen sind.
4. Eine Konformitätsbewertungsstelle, ihre oberste Leitungsebene und die für die Erfüllung der Konformitätsbewertungsaufgaben zuständigen Mitarbeiter dürfen nicht Konstrukteur, Entwickler, Hersteller, Lieferant, Installateur, Käufer, Eigentümer, Verwender oder Wartungsbetrieb der zu bewertenden Produkte mit digitalen Elementen oder Bevollmächtigte einer dieser Parteien sein. Dies schließt die Verwendung von bereits einer Konformitätsbewertung unterzogenen Produkten, die für die Tätigkeit der Konformitätsbewertungsstelle erforderlich sind, oder die Verwendung solcher Produkte zum persönlichen Gebrauch nicht aus.

   Eine Konformitätsbewertungsstelle, ihre oberste Leitungsebene und die für die Erfüllung der Konformitätsbewertungsaufgaben zuständigen Mitarbeiter dürfen weder direkt an Konzeption, Entwicklung, Herstellung, Vermarktung, Installation, Verwendung oder Wartung dieser Produkte beteiligt sein, noch die an diesen Tätigkeiten beteiligten Parteien vertreten. Sie dürfen sich nicht mit Tätigkeiten befassen, die ihre Unabhängigkeit bei der Beurteilung oder ihre Integrität im Zusammenhang mit den Konformitätsbewertungstätigkeiten, für die sie notifiziert sind, beeinträchtigen könnten. Dies gilt besonders für Beratungsdienstleistungen.

   Die Konformitätsbewertungsstellen gewährleisten, dass Tätigkeiten ihrer Zweigstellen oder Unterauftragnehmer die Vertraulichkeit, Objektivität oder Unparteilichkeit ihrer Konformitätsbewertungstätigkeiten nicht beeinträchtigen.
5. Die Konformitätsbewertungsstellen und ihre Mitarbeiter führen die Konformitätsbewertungstätigkeiten mit der größtmöglichen Professionalität und der erforderlichen fachlichen Kompetenz in dem betreffenden Bereich durch; sie dürfen keinerlei Einflussnahme, insbesondere finanzieller Art, ausgesetzt sein, die sich auf ihre Beurteilung oder die Ergebnisse ihrer Konformitätsbewertungsarbeit auswirken könnte; dies gilt speziell für Einflussnahmen durch Personen oder Personengruppen, die ein Interesse am Ergebnis dieser Tätigkeiten haben.
6. Eine Konformitätsbewertungsstelle ist in der Lage, alle Konformitätsbewertungsaufgaben zu bewältigen, die ihr nach Anhang VI zufallen

   und für die sie notifiziert wurde, gleichgültig, ob diese Aufgaben von der Stelle selbst, in ihrem Auftrag oder unter ihrer Verantwortung ausgeführt werden.

   Eine Konformitätsbewertungsstelle verfügt jederzeit, für jedes Konformitätsbewertungsverfahren und für jede Art und Kategorie von Produkten mit digitalen Elementen, für die sie notifiziert wurde, über
   1. die erforderlichen Mitarbeiter mit Fachkenntnis und ausreichender einschlägiger Erfahrung, um die bei der Konformitätsbewertung anfallenden Aufgaben zu erfüllen;
   2. Beschreibungen von Verfahren, nach denen die Konformitätsbewertung durchgeführt wird, um die Transparenz und die Wiederholbarkeit dieser Verfahren sicherzustellen. Sie verfügt über angemessene Vorgaben und geeignete Verfahren, bei denen zwischen den Aufgaben, die sie als notifizierte Stelle wahrnimmt, und anderen Tätigkeiten unterschieden wird;
   3. Verfahren zur Durchführung von Tätigkeiten unter gebührender Berücksichtigung der Größe eines Unternehmens, der Branche, in der es tätig ist, seiner Struktur, des Grads der Komplexität der jeweiligen Produkttechnologie und des Massenfertigungs- oder Seriencharakters des Fertigungsprozesses.
   Sie verfügt über die erforderlichen Mittel zur angemessenen Erledigung der technischen und administrativen Aufgaben, die mit den Konformitätsbewertungstätigkeiten verbunden sind, und sie hat Zugang zu allen benötigten Ausrüstungen oder Einrichtungen.
7. Die Mitarbeiter, die für die Durchführung der Konformitätsbewertungstätigkeiten zuständig sind, müssen über Folgendes verfügen:
   1. eine solide Fach- und Berufsausbildung, die alle Konformitätsbewertungstätigkeiten in dem Bereich umfasst, für den die Konformitätsbewertungsstelle notifiziert wurde;
   2. eine ausreichende Kenntnis der Anforderungen, die mit den durchzuführenden Bewertungen verbunden sind, und die entsprechende Befugnis, solche Bewertungen durchzuführen;
   3. angemessene Kenntnisse und Verständnis der wesentlichen Anforderungen, der geltenden harmonisierten Normen und der einschlägigen Harmonisierungsrechtsvorschriften der Union sowie ihrer Durchführungsvorschriften;
   4. die Fähigkeit zur Erstellung von Bescheinigungen, Protokollen und Berichten als Nachweis für durchgeführte Bewertungen.
8. Die Unparteilichkeit der Konformitätsbewertungsstellen, ihrer obersten Leitungsebene und ihres bewertenden Personals muss garantiert sein. Die Entlohnung der obersten Leitungsebene und des bewertenden Personals der Konformitätsbewertungsstelle darf sich nicht nach der Anzahl der durchgeführten Bewertungen oder deren Ergebnissen richten.
9. Die Konformitätsbewertungsstellen schließen eine Haftpflichtversicherung ab, sofern die Haftpflicht nicht aufgrund der nationalen Rechtsvorschriften vom Staat übernommen wird oder der Mitgliedstaat selbst unmittelbar für die Konformitätsbewertung verantwortlich ist.
10. Informationen, welche die Mitarbeiter einer Konformitätsbewertungsstelle bei der Durchführung ihrer Aufgaben gemäß Anhang VI oder einer der einschlägigen nationalen Durchführungsvorschriften erhalten, fallen unter die berufliche Schweigepflicht, außer gegenüber den Marktüberwachungsbehörden des Mitgliedstaats, in dem sie ihre Tätigkeiten ausüben. Eigentumsrechte werden geschützt. Die Konformitätsbewertungsstelle verfügt über dokumentierte Verfahren, mit denen die Einhaltung dieses Absatzes sichergestellt wird.
11. Die Konformitätsbewertungsstellen wirken an den einschlägigen Normungstätigkeiten und den Tätigkeiten der gemäß Artikel 40 eingerichteten Koordinierungsgruppe notifizierter Stellen mit bzw. sorgen dafür, dass ihr bewertendes Personal darüber informiert ist, und wenden die von dieser Gruppe erarbeiteten Verwaltungsentscheidungen und Dokumente als allgemeine Leitlinie an.
12. Konformitätsbewertungsstellen üben ihre Tätigkeiten im Einklang mit einer Reihe kohärenter, gerechter und angemessener Geschäftsbedingungen aus, wobei sie insbesondere in Bezug auf Gebühren die Interessen der KMU berücksichtigen.

Artikel 30 - Konformitätsvermutung bei notifizierten Stellen

Weist eine Konformitätsbewertungsstelle nach, dass sie die Kriterien der einschlägigen harmonisierten Normen, deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht wurden, oder von Teilen davon erfüllt, so wird davon ausgegangen, dass sie die Anforderungen nach Artikel 29 erfüllt, soweit die geltenden Normen diese Anforderungen abdecken.

Artikel 31 - Zweigstellen notifizierter Stellen und Vergabe von Unteraufträgen durch notifizierte Stellen

1. Vergibt eine notifizierte Stelle bestimmte mit der Konformitätsbewertung verbundene Aufgaben an Unterauftragnehmer oder überträgt sie diese einer Zweigstelle, so stellt sie sicher, dass der Unterauftragnehmer oder die Zweigstelle die Anforderungen des Artikels 29 erfüllt, und unterrichtet die notifizierende Behörde hierüber.
2. Die notifizierten Stellen tragen die volle Verantwortung für die Arbeiten, die von Unterauftragnehmern oder Zweigstellen ausgeführt werden, unabhängig davon, wo diese niedergelassen sind.
3. Arbeiten dürfen nur mit Zustimmung des Herstellers an einen Unterauftragnehmer vergeben oder einer Zweigstelle übertragen werden.
4. Die notifizierten Stellen halten für die notifizierende Behörde die einschlägigen Unterlagen über die Bewertung der Qualifikation des Unterauftragnehmers oder der Zweigstelle und die von ihnen gemäß dieser Verordnung ausgeführten Arbeiten bereit.

Artikel 32 - Antrag auf Notifizierung

1. Eine Konformitätsbewertungsstelle beantragt ihre Notifizierung bei der notifizierenden Behörde des Mitgliedstaats, in dem sie niedergelassen ist.
2. Dem Antrag wird eine Beschreibung der Konformitätsbewertungstätigkeiten, des bzw. der Konformitätsbewertungsverfahren und des Produkts oder der Produkte, für die diese Stelle Kompetenz beansprucht, sowie, falls vorhanden, eine Akkreditierungsurkunde beigelegt, die von einer nationalen Akkreditierungsstelle ausgestellt wurde und in der diese bescheinigt, dass die Konformitätsbewertungsstelle die Anforderungen des Artikels 29 erfüllt.
3. Kann die Konformitätsbewertungsstelle keine Akkreditierungsurkunde vorweisen, legt sie der notifizierenden Behörde als Nachweis alle Unterlagen vor, die erforderlich sind, um zu überprüfen, festzustellen und regelmäßig zu überwachen, ob sie die Anforderungen des Artikels 29 erfüllt.

Artikel 33 - Notifizierungsverfahren

1. Die notifizierenden Behörden dürfen nur Konformitätsbewertungsstellen notifizieren, die die Anforderungen des Artikels 29 erfüllen.
2. Die notifizierende Behörde unterrichtet die Kommission und die anderen Mitgliedstaaten mittels des von der Kommission entwickelten und verwalteten NANDO-Informationssystems (New Approach Notified and Designated Organisations, Informationssystem für die nach dem neuen Konzept notifizierten und benannten Organisationen).
3. Die Notifizierung enthält vollständige Angaben zu den Konformitätsbewertungstätigkeiten, dem bzw. den betreffenden Konformitätsbewertungsmodulen und Produkten sowie die betreffende Bestätigung der Kompetenz.
4. Beruht eine Notifizierung nicht auf einer Akkreditierungsurkunde gemäß Artikel 32 Absatz 2, legt die notifizierende Behörde der Kommission und den anderen Mitgliedstaaten Unterlagen vor, mit denen die Kompetenz der Konformitätsbewertungsstelle nachgewiesen wird, sowie die Vereinbarungen, die getroffen wurden, um sicherzustellen, dass die Stelle regelmäßig überwacht wird und stets den Anforderungen des Artikels 29 genügt.
5. Die betreffende Stelle darf die Aufgaben einer notifizierten Stelle nur dann wahrnehmen, wenn weder die Kommission noch die anderen Mitgliedstaaten innerhalb von zwei Wochen nach der Notifizierung, falls eine Akkreditierungsurkunde vorliegt, oder innerhalb von zwei Monaten nach der Notifizierung, falls keine Akkreditierung vorliegt, Einwände erhoben haben. Nur eine solche Stelle gilt für die Zwecke dieser Verordnung als notifizierte Stelle.
6. Die Kommission und die anderen Mitgliedstaaten werden über alle späteren wesentlichen Änderung der Notifizierung informiert.

Artikel 34 - Kennnummern und Verzeichnisse notifizierter Stellen

1. Die Kommission weist jeder notifizierten Stelle eine Kennnummer zu. Selbst wenn eine Stelle nach mehreren Rechtsvorschriften der Union notifiziert ist, erhält sie nur eine einzige Kennnummer.
2. Die Kommission veröffentlicht das Verzeichnis der nach dieser Verordnung notifizierten Stellen samt den ihnen zugewiesenen Kennnummern und den Tätigkeiten, für die sie notifiziert wurden.

   Die Kommission sorgt dafür, dass dieses Verzeichnis stets auf dem neuesten Stand gehalten wird.

Artikel 35 - Änderungen der Notifizierungen

1. Falls eine notifizierende Behörde feststellt oder davon unterrichtet wird, dass eine notifizierte Stelle die Anforderungen des Artikels 29 nicht mehr erfüllt oder dass sie ihren Verpflichtungen nicht nachkommt, schränkt sie die Notifizierung gegebenenfalls ein, setzt sie aus oder widerruft sie, wobei sie das Ausmaß berücksichtigt, in dem diesen Anforderungen nicht genügt oder diesen Verpflichtungen nicht nachgekommen wurde. Sie setzt die Kommission und die anderen Mitgliedstaaten unverzüglich davon in Kenntnis.
2. Bei Einschränkung, Aussetzung oder Widerruf der Notifizierung oder wenn die notifizierte Stelle ihre Tätigkeit einstellt, ergreift der notifizierende Mitgliedstaat die geeigneten Maßnahmen, um zu gewährleisten, dass die Akten dieser Stelle von einer anderen notifizierten Stelle weiter bearbeitet bzw. für die zuständigen notifizierenden Behörden und Marktüberwachungsbehörden auf deren Verlangen bereitgehalten werden.

Artikel 36 - Anfechtung der Kompetenz notifizierter Stellen

1. Die Kommission untersucht alle Fälle, in denen sie die Kompetenz einer notifizierten Stelle oder die dauerhafte Erfüllung der für die Stelle geltenden Anforderungen und Pflichten durch eine notifizierte Stelle anzweifelt oder ihr Zweifel daran zur Kenntnis gebracht werden.
2. Der notifizierende Mitgliedstaat erteilt der Kommission auf Verlangen sämtliche Auskünfte über die Grundlage der Notifizierung oder die Erhaltung der Kompetenz der betreffenden Stelle.
3. Die Kommission stellt sicher, dass alle im Verlauf ihrer Untersuchungen erlangten sensiblen Informationen vertraulich behandelt werden.
4. Stellt die Kommission fest, dass eine notifizierte Stelle die Voraussetzungen für ihre Notifizierung nicht oder nicht mehr erfüllt, setzt sie den notifizierenden Mitgliedstaat davon in Kenntnis und fordert ihn auf, die erforderlichen Korrekturmaßnahmen zu treffen, einschließlich eines Widerrufs der Notifizierung, sofern dies nötig ist.

Artikel 37 - Operative Pflichten der notifizierten Stellen

1. Die notifizierten Stellen führen die Konformitätsbewertungen im Einklang mit den Konformitätsbewertungsverfahren gemäß Artikel 24 und Anhang VI durch.
2. Die Konformitätsbewertungen werden unter Wahrung der Verhältnismäßigkeit durchgeführt, wobei unnötige Belastungen der Wirtschaftsakteure vermieden werden. Die Konformitätsbewertungsstellen üben ihre Tätigkeiten unter gebührender Berücksichtigung der Größe eines Unternehmens, der Branche, in der es tätig ist, seiner Struktur, des Grads der Komplexität der betroffenen Produkttechnologie und des Massenfertigungs- oder Seriencharakters des Fertigungsprozesses aus.
3. Die notifizierten Stellen gehen hierbei jedoch so streng vor und halten ein solches Schutzniveau ein, wie dies für die Konformität des Produkts mit den Bestimmungen dieser Verordnung erforderlich ist.
4. Stellt eine notifizierte Stelle fest, dass ein Hersteller die in Anhang I oder in den entsprechenden harmonisierten Normen oder gemeinsamen Spezifikationen gemäß Artikel 19 festgelegten Anforderungen nicht erfüllt hat, fordert sie den Hersteller auf, angemessene Korrekturmaßnahmen zu ergreifen, und stellt keine Konformitätsbescheinigung aus.
5. Hat eine notifizierte Stelle bereits eine Bescheinigung ausgestellt und stellt im Rahmen der Überwachung der Konformität fest, dass das Produkt die in dieser Verordnung festgelegten Anforderungen nicht mehr erfüllt, fordert sie den Hersteller auf, angemessene Korrekturmaßnahmen zu ergreifen, und setzt die Bescheinigung falls nötig aus oder widerruft sie.
6. Werden keine Korrekturmaßnahmen ergriffen oder zeigen sie nicht die nötige Wirkung, so schränkt die notifizierte Stelle die Bescheinigungen ein, setzt sie aus bzw. widerruft sie, je nachdem, was angemessen ist.

Artikel 38 - Meldepflichten der notifizierten Stellen

1. Die notifizierten Stellen melden der notifizierenden Behörde
   1. alle Verweigerungen, Einschränkungen, Aussetzungen und Widerrufe einer Bescheinigung,
   2. alle Umstände mit Auswirkungen auf den Geltungsbereich und die Bedingungen der Notifizierung,
   3. alle Auskunftsersuchen über Konformitätsbewertungstätigkeiten, die sie von den Marktüberwachungsbehörden erhalten haben,
   4. auf Anfrage, die Konformitätsbewertungstätigkeiten, denen sie im Geltungsbereich ihrer Notifizierung nachgegangen sind, und sonstige Tätigkeiten, einschließlich grenzüberschreitender Tätigkeiten und Vergabe von Unteraufträgen, die sie ausgeführt haben.
2. Die notifizierten Stellen übermitteln den übrigen Stellen, die nach dieser Verordnung notifiziert sind und ähnlichen Konformitätsbewertungstätigkeiten für dieselben Produkte nachgehen, einschlägige Informationen über negative und auf Verlangen auch über positive Ergebnisse von Konformitätsbewertungen.

Artikel 39 - Erfahrungsaustausch

Die Kommission organisiert den Erfahrungsaustausch zwischen den für die Notifizierungspolitik zuständigen nationalen Behörden der Mitgliedstaaten.

Artikel 40 - Koordinierung der notifizierten Stellen

1. Die Kommission sorgt dafür, dass eine angemessene Koordinierung und Zusammenarbeit zwischen notifizierten Stellen in Form einer sektorübergreifenden Gruppe notifizierter Stellen eingerichtet und ordnungsgemäß weitergeführt wird.
2. Die Mitgliedstaaten sorgen dafür, dass sich die von ihnen notifizierten Stellen direkt oder über benannte Vertreter an der Arbeit dieser Gruppe beteiligen.

KAPITEL V - MARKTÜBERWACHUNG UND DURCHSETZUNG

Artikel 41 - Marktüberwachung und Kontrolle von Produkten mit digitalen Elementen auf dem Unionsmarkt

1. Die Verordnung (EU) 2019/1020 gilt für die Produkte mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen.
2. Jeder Mitgliedstaat benennt für die Zwecke der Gewährleistung der wirksamen Durchführung der vorliegenden Verordnung eine oder mehrere Marktüberwachungsbehörden. Die Mitgliedstaaten können eine bestehende oder eine neue Behörde benennen, die im Rahmen der vorliegenden Verordnung als Marktüberwachungsbehörde tätig wird.
3. Die Marktüberwachungsbehörden arbeiten gegebenenfalls mit den nach Artikel 58 der Verordnung (EU) 2019/881 benannten nationalen Behörden für die Cybersicherheitszertifizierung zusammen und tauschen regelmäßig Informationen mit ihnen aus. Bei der Beaufsichtigung der Umsetzung der Meldepflichten nach Artikel 11 der vorliegenden Verordnung arbeiten die benannten Marktüberwachungsbehörden mit der ENISA zusammen.
4. Die Marktüberwachungsbehörden arbeiten gegebenenfalls mit anderen Marktüberwachungsbehörden zusammen, die auf der Grundlage anderer Harmonisierungsrechtsvorschriften der Union für andere Produkte benannt wurden, und tauschen regelmäßig Informationen mit ihnen aus.
5. Die Marktüberwachungsbehörden arbeiten gegebenenfalls mit den Behörden zusammen, die die Anwendung des Datenschutzrechts der Union beaufsichtigen. Diese Zusammenarbeit umfasst die Unterrichtung dieser Behörden über alle Erkenntnisse, die für die Wahrnehmung ihrer Zuständigkeiten von Bedeutung sind, auch bezüglich der Herausgabe von Leitlinien und der Beratung nach Absatz 8 dieses Artikels, soweit solche Leitlinien und Ratschläge die Verarbeitung personenbezogener Daten betreffen. Die Behörden, die die Anwendung des Datenschutzrechts der Union beaufsichtigen, sind befugt, alle im Rahmen dieser Verordnung erstellten oder geführten Unterlagen anzufordern und darauf zuzugreifen, soweit der Zugang zu diesen Unterlagen für die Erfüllung ihrer Aufgaben erforderlich ist. Sie unterrichten die benannten Marktüberwachungsbehörden des betreffenden Mitgliedstaats über jedes solches Ersuchen.
6. Die Mitgliedstaaten sorgen dafür, dass die benannten Marktüberwachungsbehörden mit angemessenen finanziellen und personellen Ressourcen ausgestattet werden, damit sie ihre Aufgaben im Rahmen dieser Verordnung wahrnehmen können.
7. Die Kommission fördert den Erfahrungsaustausch zwischen den benannten Marktüberwachungsbehörden.
8. Die Marktüberwachungsbehörden können den Wirtschaftsakteuren mit Unterstützung der Kommission Leitlinien und Ratschläge für die Durchführung dieser Verordnung geben.
9. Die Marktüberwachungsbehörden erstatten der Kommission jährlich über die Ergebnisse ihrer jeweiligen Marktüberwachungstätigkeiten Bericht. Die benannten Marktüberwachungsbehörden melden der Kommission und den einschlägigen nationalen Wettbewerbsbehörden unverzüglich alle Informationen, die sie im Verlauf ihrer Marktüberwachungstätigkeiten erlangt haben und die für die Anwendung des Wettbewerbsrechts der Union von Interesse sein könnten.
10. Bei Produkten mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen und gemäß Artikel [Artikel 6] der Verordnung [KI-Verordnung] als Hochrisiko-KI-Systeme eingestuft sind, sind die für die Zwecke der Verordnung [KI-Verordnung] benannten Marktüberwachungsbehörden auch für die nach der vorliegenden Verordnung erforderlichen Marktüberwachungstätigkeiten zuständig. Die nach der Verordnung [KI-Verordnung] benannten Marktüberwachungsbehörden arbeiten gegebenenfalls mit den nach der vorliegenden Verordnung benannten Marktüberwachungsbehörden und – bezüglich der Aufsicht über die Umsetzung der Meldepflichten nach Artikel 11 – mit der ENISA zusammen. Die nach der Verordnung [KI-Verordnung] benannten Marktüberwachungsbehörden unterrichten insbesondere die nach der vorliegenden Verordnung benannten Marktüberwachungsbehörden über alle Erkenntnisse, die für die Wahrnehmung ihrer Aufgaben im Zusammenhang mit der Durchführung der vorliegenden Verordnung von Bedeutung sind.
11. Im Hinblick auf die einheitliche Anwendung dieser Verordnung wird gemäß Artikel 30 Absatz 2 der Verordnung (EU) 2019/1020 eine besondere Gruppe zur administrativen Zusammenarbeit (ADCO) eingesetzt. Die ADCO setzt sich aus Vertretern der benannten Marktüberwachungsbehörden und gegebenenfalls Vertretern der zentralen Verbindungsstellen zusammen.

Artikel 42 - Zugang zu Daten und zur Dokumentation

Soweit dies für die Bewertung der Konformität von Produkten mit digitalen Elementen und der von deren Herstellern festgelegten Verfahren mit den grundlegenden Anforderungen in Anhang I erforderlich ist, erhalten die Marktüberwachungsbehörden auf begründeten Antrag Zugang zu den Daten, die für die Bewertung der Konzeption, Entwicklung, Herstellung und die Behandlung von Schwachstellen solcher Produkte erforderlich sind, einschließlich der betreffenden internen Unterlagen des jeweiligen Wirtschaftsakteurs.

Artikel 43 - Nationale Verfahren für Produkte mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisiko bergen

1. Hat die Marktüberwachungsbehörde eines Mitgliedstaats hinreichende Gründe zu der Annahme, dass ein Produkt mit digitalen Elementen, einschließlich der Behandlung von Schwachstellen, ein erhebliches Cybersicherheitsrisiko birgt, so prüft sie das betreffende Produkt mit digitalen Elementen auf die Erfüllung aller in dieser Verordnung festgelegten Anforderungen. Die betroffenen Wirtschaftsakteure arbeiten im erforderlichen Umfang mit der Marktüberwachungsbehörde zusammen.

   Gelangt die Marktüberwachungsbehörde im Verlauf dieser Prüfung zu dem Ergebnis, dass das Produkt mit digitalen Elementen die Anforderungen dieser Verordnung nicht erfüllt, so fordert sie den betroffenen Wirtschaftsakteur unverzüglich dazu auf, innerhalb einer von der Behörde vorgeschriebenen, der Art der Gefahr angemessenen Frist alle geeigneten Korrekturmaßnahmen zu ergreifen, um die Konformität des Produkts mit diesen Anforderungen herzustellen oder um das Produkt vom Markt zu nehmen oder es zurückzurufen.

   Die Marktüberwachungsbehörde unterrichtet die betreffende notifizierte Stelle hierüber. Artikel 18 der Verordnung (EU) 2019/1020 gilt für die geeigneten Korrekturmaßnahmen.
2. Gelangt die Marktüberwachungsbehörde zu der Auffassung, dass die Nichtkonformität nicht auf ihr nationales Hoheitsgebiet beschränkt ist, unterrichtet sie die Kommission und die anderen Mitgliedstaaten über die Ergebnisse der Prüfung und über die Maßnahmen, zu denen sie den Akteur aufgefordert hat.
3. Der Hersteller sorgt dafür, dass alle geeigneten Korrekturmaßnahmen in Bezug auf sämtliche betroffenen Produkte mit digitalen Elementen, die er in der Union auf dem Markt bereitgestellt hat, ergriffen werden.
4. Ergreift der Hersteller eines Produkts mit digitalen Elementen innerhalb der in Absatz 1 Unterabsatz 2 genannten Frist keine angemessenen Korrekturmaßnahmen, so treffen die Marktüberwachungsbehörden alle geeigneten vorläufigen Maßnahmen, um die Bereitstellung des Produkts auf ihrem nationalen Markt zu untersagen oder einzuschränken, das Produkt vom Markt zu nehmen oder es zurückzurufen. Diese Behörde unterrichtet die Kommission und die anderen Mitgliedstaaten unverzüglich über diese Maßnahmen.
5. Die in Absatz 4 genannten Informationen enthalten alle verfügbaren Einzelheiten, insbesondere die notwendigen Daten für die Identifizierung des nichtkonformen Produkts mit digitalen Elementen, die Herkunft des Produkts mit digitalen Elementen, die Art der behaupteten Nichtkonformität und das damit verbundene Risiko sowie die Art und Dauer der getroffenen nationalen Maßnahmen und die Argumente des betreffenden Wirtschaftsakteurs. Die Marktüberwachungsbehörde gibt insbesondere an, ob die Nichtkonformität eine oder mehrere der folgenden Ursachen hat:
   1. Das Produkt oder die vom Hersteller festgelegten Verfahren erfüllen nicht die grundlegenden Anforderungen in Anhang I;
   2. Mängel in den harmonisierten Normen, den Systemen für die Cybersicherheitszertifizierung oder den gemeinsamen Spezifikationen gemäß Artikel 18.
6. Die Marktüberwachungsbehörden der Mitgliedstaaten, außer derjenigen, die das Verfahren eingeleitet hat, unterrichten unverzüglich die Kommission und die anderen Mitgliedstaaten von jeglichen Maßnahmen und ihnen vorliegenden zusätzlichen Erkenntnissen über die Nichtkonformität des betreffenden Produkts sowie über ihre Einwände, falls sie die ihnen mitgeteilte nationale Maßnahme ablehnen.
7. Erhebt weder ein Mitgliedstaat noch die Kommission innerhalb von drei Monaten nach Erhalt der in Absatz 4 genannten Informationen einen Einwand gegen eine vorläufige Maßnahme eines Mitgliedstaats, so gilt diese Maßnahme als gerechtfertigt. Die Verfahrensrechte des betreffenden Akteurs nach Artikel 18 der Verordnung (EU) 2019/1020 bleiben hiervon unberührt.
8. Die Marktüberwachungsbehörden aller Mitgliedstaaten tragen dafür Sorge, dass unverzüglich geeignete einschränkende Maßnahmen in Bezug auf das betreffende Produkt ergriffen werden, indem sie beispielsweise das Produkt von ihrem Markt nehmen.

Artikel 44 - Schutzklauselverfahren der Union

1. Erhebt ein Mitgliedstaat innerhalb von drei Monaten nach Eingang der in Artikel 43 Absatz 4 genannten Unterrichtung Einwände gegen eine von einem anderen Mitgliedstaat getroffene Maßnahme oder ist die Kommission der Ansicht, dass die Maßnahme mit dem Unionsrecht unvereinbar ist, so nimmt die Kommission unverzüglich Konsultationen mit dem betreffenden Mitgliedstaat oder Wirtschaftsakteur auf und prüft die nationale Maßnahme. Anhand der Ergebnisse dieser Prüfung entscheidet die Kommission innerhalb von neun Monaten nach Eingang der in Artikel 43 Absatz 4 genannten Unterrichtung, ob die nationale Maßnahme gerechtfertigt ist oder nicht und teilt dem betreffenden Mitgliedstaat ihre Entscheidung mit.
2. Hält sie die nationale Maßnahme für gerechtfertigt, so ergreifen alle Mitgliedstaaten die erforderlichen Maßnahmen, um zu gewährleisten, dass das nichtkonforme Produkt mit digitalen Elementen von ihrem Markt genommen wird, und unterrichten die Kommission darüber. Hält sie die nationale Maßnahme nicht für gerechtfertigt, so nimmt der betreffende Mitgliedstaat die Maßnahme zurück.
3. Wird die nationale Maßnahme als gerechtfertigt erachtet und wird die Nichtkonformität des Produkts mit digitalen Elementen auf Mängel in den harmonisierten Normen zurückgeführt, so leitet die Kommission das Verfahren nach Artikel 10 der Verordnung (EU) Nr. 1025/2012 ein.
4. Wird die nationale Maßnahme als gerechtfertigt erachtet und wird die Nichtkonformität des Produkts mit digitalen Elementen auf Mängel in einem europäischen System für die Cybersicherheitszertifizierung gemäß Artikel 18 zurückgeführt, so prüft die Kommission, ob der Durchführungsrechtsakt gemäß Artikel 18 Absatz 4, in dem die Konformitätsvermutung in Bezug auf dieses Zertifizierungssystem festgelegt worden ist, zu ändern oder aufzuheben ist.
5. Wird die nationale Maßnahme als gerechtfertigt erachtet und wird die Nichtkonformität des Produkts mit digitalen Elementen auf Mängel in gemeinsamen Spezifikationen gemäß Artikel 19 zurückgeführt, so prüft die Kommission, ob der Durchführungsrechtsakt gemäß Artikel 19, in dem die gemeinsamen Spezifikationen festgelegt worden sind, zu ändern oder aufzuheben ist.

Artikel 45 - EU-Verfahren für Produkte mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisiko bergen

1. Hat die Kommission – auch aufgrund von Informationen der ENISA – hinreichende Gründe zu der Annahme, dass ein Produkt mit digitalen Elementen, das ein erhebliches Cybersicherheitsrisiko birgt, den Anforderungen dieser Verordnung nicht genügt, so kann sie die zuständigen Marktüberwachungsbehörden auffordern, eine Konformitätsbewertung durchzuführen und die in Artikel 43 genannten Verfahren anzuwenden.
2. Unter außergewöhnlichen Umständen, die ein sofortiges Eingreifen rechtfertigen, um das reibungslose Funktionieren des Binnenmarkts zu bewahren, und wenn die Kommission hinreichende Gründe zu der Annahme hat, dass das in Absatz 1 genannte Produkt weiterhin den Anforderungen dieser Verordnung nicht genügt und die zuständigen Marktüberwachungsbehörden keine wirksamen Maßnahmen ergriffen haben, kann die Kommission die ENISA ersuchen, eine Bewertung der Konformität vorzunehmen. Die Kommission unterrichtet die betreffenden Marktüberwachungsbehörden hierüber. Die betroffenen Wirtschaftsakteure arbeiten im erforderlichen Umfang mit der ENISA zusammen.
3. Auf der Grundlage der Bewertung der ENISA kann die Kommission beschließen, dass eine Korrekturmaßnahme oder eine einschränkende Maßnahme auf Unionsebene erforderlich ist. Zu diesem Zweck konsultiert sie unverzüglich die betroffenen Mitgliedstaaten und den bzw. die betroffenen Wirtschaftsakteure.
4. Auf der Grundlage der in Absatz 3 genannten Konsultation kann die Kommission Durchführungsrechtsakte über Korrekturmaßnahmen oder einschränkende Maßnahmen auf Unionsebene erlassen, einschließlich der Anordnung der Rücknahme vom Markt oder des Rückrufs innerhalb einer der Art des Risikos angemessenen Frist. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 51 Absatz 2 genannten Prüfverfahren erlassen.
5. Die Kommission unterrichtet den bzw. die betroffenen Wirtschaftsakteure unverzüglich über den in Absatz 4 genannten Beschluss. Die Mitgliedstaaten führen die Durchführungsrechtsakte nach Absatz 4 unverzüglich durch und unterrichten die Kommission hierüber.
6. Die Absätze 2 bis 5 gelten für die Dauer der außergewöhnlichen Umstände, die das Eingreifen der Kommission gerechtfertigt haben, und solange die Konformität des betreffenden Produkts mit dieser Verordnung nicht hergestellt worden ist.

Artikel 46 - Konforme Produkte mit digitalen Elementen, die ein erhebliches Cybersicherheitsrisiko bergen

1. Stellt die Marktüberwachungsbehörde eines Mitgliedstaats nach einer Bewertung gemäß Artikel 43 fest, dass ein Produkt mit digitalen Elementen und die vom Hersteller festgelegten Verfahren, obwohl sie dieser Verordnung entsprechen, ein erhebliches Cybersicherheitsrisiko bergen und darüber hinaus ein Risiko für die Gesundheit oder Sicherheit von Personen, für die Erfüllung der Pflichten aus dem Unionsrecht oder dem nationalen Recht zum Schutz der Grundrechte, für die Verfügbarkeit, Integrität oder Vertraulichkeit von Diensten, die über ein elektronisches Informationssystem von wesentlichen Einrichtungen der in [Anhang I der Richtlinie XXX/XXXX (NIS2)] genannten Art angeboten werden, oder für andere Aspekte des Schutzes öffentlicher Interessen darstellen, so fordert sie den betroffenen Akteur auf, alle geeigneten Maßnahmen zu treffen, damit das Produkt mit digitalen Elementen und die vom betreffenden Hersteller festgelegten Verfahren bei seinem Inverkehrbringen dieses Risiko nicht mehr bergen, oder um das Produkt mit digitalen Elementen innerhalb einer der Art des Risikos angemessenen Frist vom Markt zu nehmen oder zurückzurufen.
2. Der Hersteller oder andere einschlägige Akteure sorgen dafür, dass in Bezug auf alle betroffenen Produkte mit digitalen Elementen, die sie in der Union auf dem Markt bereitgestellt haben, innerhalb der von der Marktüberwachungsbehörde des in Absatz 1 genannten Mitgliedstaats gesetzten Frist Korrekturmaßnahmen ergriffen werden.
3. Der Mitgliedstaat unterrichtet die Kommission und die anderen Mitgliedstaaten unverzüglich über alle gemäß Absatz 1 ergriffenen Maßnahmen. Aus diesen Informationen gehen alle verfügbaren Einzelheiten hervor, insbesondere die Daten zur Identifizierung des betroffenen Produkts mit digitalen Elementen, dessen Herkunft und Lieferkette, die Art des damit verbundenen Risikos sowie die Art und Dauer der ergriffenen nationalen Maßnahmen.
4. Die Kommission konsultiert unverzüglich die Mitgliedstaaten und den betroffenen Wirtschaftsakteur und nimmt eine Prüfung der ergriffenen nationalen Maßnahmen vor. Anhand der Ergebnisse dieser Prüfung beschließt die Kommission, ob die Maßnahme gerechtfertigt ist oder nicht, und schlägt, falls erforderlich, geeignete Maßnahmen vor.
5. Die Kommission richtet diesen Beschluss an die Mitgliedstaaten.
6. Hat die Kommission – auch aufgrund von Informationen der ENISA – hinreichende Gründe zu der Annahme, dass ein Produkt mit digitalen Elementen, obwohl es dieser Verordnung entspricht, die in Absatz 1 genannten Risiken birgt, so kann sie die betreffende(n) Marktüberwachungsbehörde(n) auffordern, eine Konformitätsbewertung durchzuführen und die in Artikel 43 und in den Absätzen 1, 2 und 3 dieses Artikels genannten Verfahren anzuwenden.
7. Unter außergewöhnlichen Umständen, die ein sofortiges Eingreifen rechtfertigen, um das reibungslose Funktionieren des Binnenmarkts zu bewahren, und wenn die Kommission hinreichende Gründe zu der Annahme hat, dass das in Absatz 6 genannte Produkt weiterhin die in Absatz 1 genannten Risiken birgt und die zuständigen Marktüberwachungsbehörden keine wirksamen Maßnahmen ergriffen haben, kann die Kommission die ENISA ersuchen, eine Bewertung der Risiken, die dieses Produkt birgt, vorzunehmen, und unterrichtet die betreffenden Marktüberwachungsbehörden hierüber. Die betroffenen Wirtschaftsakteure arbeiten im erforderlichen Umfang mit der ENISA zusammen.
8. Auf der Grundlage der Bewertung der ENISA nach Absatz 7 kann die Kommission feststellen, dass eine Korrekturmaßnahme oder eine einschränkende Maßnahme auf Unionsebene erforderlich ist. Zu diesem Zweck konsultiert sie unverzüglich die betroffenen Mitgliedstaaten und den bzw. die betroffenen Akteur(e).
9. Auf der Grundlage der in Absatz 8 genannten Konsultation kann die Kommission Durchführungsrechtsakte über Korrekturmaßnahmen oder einschränkende Maßnahmen auf Unionsebene erlassen, einschließlich der Anordnung der Rücknahme vom Markt oder des Rückrufs innerhalb einer der Art des Risikos angemessenen Frist. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 51 Absatz 2 genannten Prüfverfahren erlassen.
10. Die Kommission unterrichtet den bzw. die betroffenen Akteur(e) unverzüglich über den in Absatz 9 genannten Beschluss. Die Mitgliedstaaten führen diese Durchführungsrechtsakte unverzüglich durch und unterrichten die Kommission hierüber.
11. Die Absätze 6 bis 10 gelten für die Dauer der außergewöhnlichen Umstände, die das Eingreifen der Kommission gerechtfertigt haben, und solange das betroffene Produkt weiterhin die in Absatz 1 genannten Risiken birgt.

Artikel 47 - Formale Nichtkonformität

1. Gelangt die Marktüberwachungsbehörde eines Mitgliedstaats zu einer der folgenden Feststellungen, fordert sie den betroffenen Hersteller auf, die betreffende Nichtkonformität zu beheben:
   1. die Konformitätskennzeichnung wurde unter Nichteinhaltung der Artikel 21 und 22 angebracht;
   2. die Konformitätskennzeichnung wurde nicht angebracht;
   3. die EU-Konformitätserklärung wurde nicht ausgestellt;
   4. die EU-Konformitätserklärung wurde nicht ordnungsgemäß ausgestellt;
   5. die Kennnummer der gegebenenfalls am Konformitätsbewertungsverfahren beteiligten notifizierten Stelle wurde nicht angebracht;
   6. die technische Dokumentation ist entweder nicht verfügbar oder nicht vollständig.
2. Besteht die in Absatz 1 genannte Nichtkonformität weiter, so ergreift der betreffende Mitgliedstaat alle geeigneten Maßnahmen, um die Bereitstellung des Produkts mit digitalen Elementen auf dem Markt einzuschränken oder zu untersagen oder um dafür zu sorgen, dass es zurückgerufen oder vom Markt genommen wird.

Artikel 48 - Gemeinsame Tätigkeiten der Marktüberwachungsbehörden

1. Die Marktüberwachungsbehörden können mit anderen einschlägigen Behörden die Durchführung gemeinsamer Tätigkeiten zur Gewährleistung der Cybersicherheit und des Verbraucherschutzes in Bezug auf bestimmte in Verkehr gebrachte oder auf dem Markt bereitgestellte Produkte mit digitalen Elementen vereinbaren, insbesondere in Bezug auf Produkte, bei denen häufig Cybersicherheitsrisiken festgestellt werden.
2. Die Kommission oder die ENISA können gemeinsame Tätigkeiten zur Überprüfung der Einhaltung dieser Verordnung vorschlagen, die von Marktüberwachungsbehörden auf der Grundlage von Hinweisen oder Informationen, wonach Produkte, die in den Anwendungsbereich dieser Verordnung fallen, möglicherweise in mehreren Mitgliedstaaten den Anforderungen dieser Verordnung nicht entsprechen, durchgeführt werden sollen.
3. Die Marktüberwachungsbehörden und die Kommission tragen dafür Sorge, dass die Vereinbarung über gemeinsame Tätigkeiten weder einen unfairen Wettbewerb zwischen Wirtschaftsakteuren nach sich zieht noch die Objektivität, Unabhängigkeit oder Unparteilichkeit der Parteien der Vereinbarung beeinträchtigt.
4. Eine Marktüberwachungsbehörde kann alle Informationen verwenden, die sie im Rahmen gemeinsamer Tätigkeiten, die Teil einer von ihr durchgeführten Untersuchung waren, erlangt hat.
5. Die betreffende Marktüberwachungsbehörde und die Kommission machen die Vereinbarung über gemeinsame Tätigkeiten einschließlich der Namen der Beteiligten der Öffentlichkeit zugänglich.

Artikel 49 - Koordinierte Kontrollen (Sweeps)

1. Die Marktüberwachungsbehörden können zur Prüfung der Einhaltung dieser Verordnung oder zur Feststellung von Verstößen gegen diese Verordnung beschließen, gleichzeitige koordinierte Kontrollen („Sweeps“) zu bestimmten Produkten mit digitalen Elementen durchzuführen.
2. Sofern die betreffenden Marktüberwachungsbehörden nichts anderes vereinbaren, werden solche Sweeps von der Kommission koordiniert. Der Koordinator des Sweeps kann die aggregierten Ergebnisse gegebenenfalls veröffentlichen.
3. Die ENISA kann in Wahrnehmung ihrer Aufgaben, auch aufgrund der gemäß Artikel 11 Absätze 1 und 2 eingegangenen Meldungen, Produktkategorien bestimmen, zu denen Sweeps organisiert werden können. Der Vorschlag für Sweeps wird dem in Absatz 2 genannten potenziellen Koordinator zur Prüfung durch die Marktüberwachungsbehörden vorgelegt.
4. Bei der Durchführung von Sweeps können die beteiligten Marktüberwachungsbehörden die Ermittlungsbefugnisse nach den Artikeln 41 bis 47 und weitere Befugnisse, die ihnen nach nationalem Recht übertragen wurden, nutzen.
5. Die Marktüberwachungsbehörden können Kommissionsbeamte und weitere von der Kommission autorisierte Begleitpersonen zur Teilnahme an Sweeps einladen.

KAPITEL VI - ÜBERTRAGENE BEFUGNISSE UND AUSSCHUSSVERFAHREN

Artikel 50 - Ausübung der Befugnisübertragung

1. Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.
2. Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 2 Absatz 4, Artikel 6 Absatz 2, Artikel 6 Absatz 3, Artikel 6 Absatz 5, Artikel 20 Absatz 5 und Artikel 23 Absatz 5 wird der Kommission übertragen.
3. Die Befugnisübertragung gemäß Artikel 2 Absatz 4, Artikel 6 Absatz 2, Artikel 6 Absatz 3, Artikel 6 Absatz 5, Artikel 20 Absatz 5 und Artikel 23 Absatz 5 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.
4. Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen im Einklang mit den in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung enthaltenen Grundsätzen.
5. Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.
6. Ein delegierter Rechtsakt, der gemäß Artikel 2 Absatz 4, Artikel 6 Absatz 2, Artikel 6 Absatz 3, Artikel 6 Absatz 5, Artikel 20 Absatz 5 und Artikel 23 Absatz 5 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

Artikel 51 - Ausschussverfahren

1. Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.
2. Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.
3. Wird die Stellungnahme des Ausschusses im schriftlichen Verfahren eingeholt, so wird das Verfahren ohne Ergebnis abgeschlossen, wenn der Vorsitz des Ausschusses dies innerhalb der Frist zur Abgabe der Stellungnahme beschließt oder ein Ausschussmitglied dies verlangt.

KAPITEL VII - VERTRAULICHKEIT UND SANKTIONEN

Artikel 52 - Vertraulichkeit

1. Alle an der Anwendung dieser Verordnung beteiligten Parteien wahren die Vertraulichkeit der Informationen und Daten, von denen sie in Ausübung ihrer Aufgaben und Tätigkeiten Kenntnis erlangen, und schützen dabei insbesondere Folgendes:
   1. Rechte des geistigen Eigentums, vertrauliche Geschäftsinformationen oder Geschäftsgeheimnisse natürlicher oder juristischer Personen, auch Quellcode,

   mit Ausnahme der in Artikel 5 der Richtlinie 2016/943 des Europäischen Parlaments und des Rates24 genannten Fälle,

   24 Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (ABl. L 157 vom 15.6.2016, S. 1).
   2. die wirksame Durchführung dieser Verordnung, insbesondere für die Zwecke von Inspektionen, Untersuchungen oder Audits,
   3. öffentliche und nationale Sicherheitsinteressen,
   4. die Integrität von Straf- oder Verwaltungsverfahren.
2. Unbeschadet des Absatzes 1 werden die Informationen, die die Marktüberwachungsbehörden auf vertraulicher Basis untereinander oder mit der Kommission ausgetauscht haben, nicht ohne die vorherige Zustimmung der Marktüberwachungsbehörde, von der die Informationen stammen, weitergegeben.
3. Die Absätze 1 und 2 dürfen sich weder auf die Rechte und Pflichten der Kommission, der Mitgliedstaaten und notifizierten Stellen in Bezug auf den Informationsaustausch und die Weitergabe von Warnungen noch auf die Pflichten der betroffenen Personen auswirken, Informationen auf der Grundlage des Strafrechts der Mitgliedstaaten bereitzustellen.
4. Die Kommission und die Mitgliedstaaten können mit einschlägigen Behörden von Drittstaaten, mit denen sie bilaterale oder multilaterale Vertraulichkeitsvereinbarungen getroffen haben und die ein angemessenes Schutzniveau gewährleisten, erforderlichenfalls sensible Informationen austauschen.

Artikel 53 - Sanktionen

1. Die Mitgliedstaaten erlassen Vorschriften über Sanktionen, die bei Verstößen der Wirtschaftsakteure gegen diese Verordnung zu verhängen sind, und treffen alle für die Durchsetzung der Sanktionen erforderlichen Maßnahmen. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.
2. Die Mitgliedstaaten teilen der Kommission diese Vorschriften und Maßnahmen unverzüglich mit und melden ihr unverzüglich alle diesbezüglichen Änderungen.
3. Bei Nichteinhaltung der grundlegenden Anforderungen in Anhang I oder Verstößen gegen die in den Artikeln 10 und 11 festgelegten Pflichten, werden Geldbußen von bis zu 15 000 000 EUR oder – im Falle von Unternehmen – von bis zu 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.
4. Bei Verstößen gegen andere Pflichten aus dieser Verordnung werden Geldbußen von bis zu 10 000 000 EUR oder – im Falle von Unternehmen – von bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.
5. Werden gegenüber notifizierten Stellen und Marktüberwachungsbehörden auf deren Auskunftsverlangen hin falsche, unvollständige oder irreführende Angaben gemacht, so werden Geldbußen von bis zu 5 000 000 EUR oder – im Falle von Unternehmen – von bis zu 1 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.
6. Bei der Festsetzung der Geldbuße werden in jedem Einzelfall alle relevanten Umstände der konkreten Situation sowie Folgendes gebührend berücksichtigt:
   1. Art, Schwere und Dauer des Verstoßes und dessen Folgen,
   2. ob bereits andere Marktüberwachungsbehörden demselben Akteur für einen ähnlichen Verstoß Geldbußen auferlegt haben,
   3. Größe und Marktanteil des Akteurs, der den Verstoß begangen hat.
7. Marktüberwachungsbehörden, die Geldbußen verhängen, teilen dies den Marktüberwachungsbehörden der anderen Mitgliedstaaten über das in Artikel 34 der Verordnung (EU) 2019/1020 genannte Informations- und Kommunikationssystem mit.
8. Jeder Mitgliedstaat erlässt Vorschriften darüber, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.
9. In Abhängigkeit vom Rechtssystem des betreffenden Mitgliedstaats können die Vorschriften über Geldbußen je nach den dort geltenden Regeln so angewandt werden, dass die Geldbußen entsprechend der auf nationaler Ebene in den Mitgliedstaaten festgelegten Verteilung der Zuständigkeiten von zuständigen nationalen Gerichten oder von anderen Stellen verhängt werden. Die Anwendung dieser Vorschriften in diesen Mitgliedstaaten muss eine gleichwertige Wirkung haben.
10. Geldbußen können je nach den Umständen des Einzelfalls zusätzlich zu anderen Korrekturmaßnahmen oder einschränkenden Maßnahmen, die Marktüberwachungsbehörden für denselben Verstoß auferlegen, verhängt werden.

KAPITEL VIII - ÜBERGANGS- UND SCHLUSSBESTIMMUNGEN

Artikel 54 - Änderung der Verordnung (EU) 2019/1020

In Anhang I der Verordnung (EU) 2019/1020 wird folgende Nummer angefügt:

„71. [Verordnung XXX][Cyberresilienzgesetz]“.

Artikel 55 - Übergangsbestimmungen

1. EU-Baumusterprüfbescheinigungen und Zulassungen, die in Bezug auf Cybersicherheitsanforderungen für Produkte mit digitalen Elementen erteilt wurden, die anderen Harmonisierungsrechtsvorschriften der Union unterliegen, bleiben bis zum [42 Monate nach dem Inkrafttreten dieser Verordnung] gültig, sofern sie nicht vor diesem Zeitpunkt ablaufen oder sofern in anderen Rechtsvorschriften der Union nichts anderes festgelegt ist; in letzterem Fall bleiben sie gemäß den letztgenannten Rechtsvorschriften der Union gültig.
2. Produkte mit digitalen Elementen, die vor dem [Datum des Geltungsbeginns dieser Verordnung gemäß Artikel 57] in Verkehr gebracht wurden, unterliegen den Anforderungen dieser Verordnung nur dann, wenn nach diesem Zeitpunkt die Konzeption oder Zweckbestimmung dieser Produkte wesentlich geändert wurde.
3. Abweichend von Absatz 2 gelten die in Artikel 11 festgelegten Pflichten für alle Produkte mit digitalen Elementen, die in den Anwendungsbereich dieser Verordnung fallen und vor dem [Datum des Geltungsbeginns dieser Verordnung gemäß Artikel 57] in Verkehr gebracht wurden.

Artikel 56 - Bewertung und Überprüfung

Bis zum [36 Monate nach dem Datum des Geltungsbeginns dieser Verordnung] und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung vor. Die Berichte werden veröffentlicht.

Artikel 57 - Inkrafttreten und Geltungsbeginn

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Sie gilt ab dem [24 Monate nach dem Datum des Inkrafttretens dieser Verordnung]. Artikel 11 gilt jedoch ab dem [12 Monate nach dem Datum des Inkrafttretens dieser Verordnung].

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Brüssel am […]

Im Namen des Europäischen Parlaments Im Namen des Rates