Source: OJ L 2024/2847, 20.11.2024Current language: DE
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Artikel 5 Beschaffung oder Nutzung von Produkten mit digitalen Elementen
Summary What does Article 5 of the Cyber Resilience Act say?
This article addresses the relationship between the Regulation and the powers of Member States, making clear that the Regulation does not act as a ceiling on cybersecurity requirements.
Member States retain the freedom to impose additional cybersecurity conditions on products with digital elements when procuring or using them for specific purposes, such as national security or defence, as long as those additional requirements are consistent with Union law and are necessary and proportionate.
The article also touches on public procurement, directing Member States to factor in compliance with the essential cybersecurity requirements of the Regulation — including a manufacturer's ability to handle vulnerabilities — when procuring products with digital elements covered by the Regulation.
Important points:
- Member States may impose additional cybersecurity requirements beyond this Regulation for specific procurement or use purposes, including national security and defence, provided those requirements are consistent with Union law and are necessary and proportionate.
- Member States are required to ensure that compliance with the essential cybersecurity requirements of Annex I is taken into consideration during public procurement processes.
- The procurement obligation explicitly includes assessing manufacturers' ability to handle vulnerabilities effectively.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Diese Verordnung hindert die Mitgliedstaaten nicht daran, Produkte mit digitalen Elementen bei der Beschaffung oder Verwendung dieser Produkte für bestimmte Zwecke zusätzlichen Cybersicherheitsanforderungen zu unterwerfen, auch wenn diese Produkte für Zwecke der nationalen Sicherheit oder Verteidigung beschafft oder verwendet werden, sofern diese Anforderungen mit den im Unionsrecht festgelegten Verpflichtungen der Mitgliedstaaten im Einklang stehen und für die Erreichung dieser Zwecke notwendig und verhältnismäßig sind.
Unbeschadet der Richtlinien 2014/24/EU und 2014/25/EU stellen die Mitgliedstaaten bei der Beschaffung von Produkten mit digitalen Elementen, die in den Anwendungsbereich dieser Verordnung fallen, sicher, dass die Einhaltung der grundlegenden Cybersicherheitsanforderungen gemäß Anhang I dieser Verordnung, einschließlich der Fähigkeit der Hersteller, Schwachstellen wirksam zu bewältigen, im Vergabeverfahren berücksichtigt wird.
Relevant recitals
Erwägungsgrund 13 Member states' ability to impose additional requirements
Im Einklang mit dem Ziel dieser Verordnung, Hindernisse für den freien Verkehr von Produkten mit digitalen Elementen auszuräumen, sollten die Mitgliedstaaten in den von dieser Verordnung erfassten Aspekten nicht die Bereitstellung auf dem Markt von Produkten mit digitalen Elementen, die dieser Verordnung entsprechen, behindern. In den durch diese Verordnung harmonisierten Bereichen können die Mitgliedstaaten daher keine zusätzlichen Cybersicherheitsanforderungen für die Bereitstellung von Produkten mit digitalen Elementen auf dem Markt vorschreiben. Jede öffentliche oder private Einrichtung kann jedoch über die in dieser Verordnung festgelegten Anforderungen hinaus zusätzliche Anforderungen für die Beschaffung oder Verwendung von Produkten mit digitalen Elementen für ihre spezifischen Zwecke festlegen und sich daher für die Verwendung von Produkten mit digitalen Elementen entscheiden, die strengere oder spezifischere Cybersicherheitsanforderungen erfüllen als die, die für die Bereitstellung auf dem Markt gemäß dieser Verordnung gelten. Unbeschadet der Richtlinien 2014/24/EU(7) und 2014/25/EU(8) des Europäischen Parlaments und des Rates sollten die Mitgliedstaaten bei der Beschaffung von Produkten mit digitalen Elementen, die den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen, einschließlich jener für den Umgang mit Sicherheitsrisiken, entsprechen müssen, sicherstellen, dass diese Anforderungen im Beschaffungsprozess berücksichtigt werden und auch die Fähigkeit der Hersteller zur wirksamen Anwendung von Cybersicherheitsmaßnahmen und zur Bewältigung von Cyberbedrohungen betrachtet wird. Darüber hinaus sind in der Richtlinie (EU) 2022/2555 Risikomanagementmaßnahmen im Bereich der Cybersicherheit für die wesentlichen und wichtigen Einrichtungen im Sinne von Artikel 3 der genannten Richtlinie festgelegt, die Maßnahmen zur Sicherheit der Lieferkette umfassen könnten, die erfordern, dass diese Einrichtungen Produkte mit digitalen Elementen verwenden, die strengeren als den in dieser Verordnung festgelegten Cybersicherheitsanforderungen genügen. Gemäß der Richtlinie (EU) 2022/2555 und ihrem Grundsatz der Mindestharmonisierung können die Mitgliedstaaten daher zusätzliche Cybersicherheitsanforderungen für die Verwendung von Produkten der Informations- und Kommunikationstechnologie (IKT-Produkte) durch wesentliche oder wichtige Einrichtungen gemäß der genannten Richtlinie festlegen, um für ein höheres Cybersicherheitsniveau zu sorgen, sofern diese Anforderungen mit den im Unionsrecht festgelegten Verpflichtungen der Mitgliedstaaten im Einklang stehen. Zu den von dieser Verordnung nicht erfassten Aspekten können auch nichttechnische Faktoren im Zusammenhang mit Produkten mit digitalen Elementen und deren Herstellern gehören. Die Mitgliedstaaten können daher nationale Maßnahmen festlegen, einschließlich Beschränkungen für Produkte mit digitalen Elementen oder für Anbieter solcher Produkte, die nichttechnischen Faktoren Rechnung tragen. Die nationalen Maßnahmen in Bezug auf solche Faktoren müssen mit dem Unionsrecht vereinbar sein.
Erwägungsgrund 14 Without prejudice to national security
Diese Verordnung sollte im Einklang mit dem Unionsrecht die Verantwortung der Mitgliedstaaten für die Gewährleistung der nationalen Sicherheit unberührt lassen. Die Mitgliedstaaten sollten Produkte mit digitalen Elementen, die für Zwecke der nationalen Sicherheit oder Verteidigung beschafft oder verwendet werden, zusätzlichen Vorgaben unterwerfen können, sofern diese Vorgaben mit den im Unionsrecht festgelegten Verpflichtungen der Mitgliedstaaten im Einklang stehen.
Erwägungsgrund 26 Exemptions for national security
Produkte mit digitalen Elementen, die ausschließlich für Zwecke der nationalen Sicherheit oder für Verteidigungszwecke entwickelt oder verändert werden, oder Produkte, die speziell für die Verarbeitung von Verschlusssachen konzipiert sind, fallen nicht in den Anwendungsbereich dieser Verordnung. Die Mitgliedstaaten sind aufgefordert, mit Blick auf diese Produkte für das gleiche oder ein höheres Schutzniveau als für die Produkte zu sorgen, die in den Anwendungsbereich dieser Verordnung fallen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Hersteller
(En. manufacturer)
Definition
Cybersicherheit
(En. cybersecurity)
Definition
Cyberbedrohung
(En. cyber threat)
Definition
Produkt mit digitalen Elementen
(En. product with digital elements)
Definition
Bereitstellung auf dem Markt
(En. making available on the market)
Definition
Schwachstelle
(En. vulnerability)
Footnote 7
Footnote 8