Artikel 8 Kritische Produkte mit digitalen Elementen

Summary What does Article 8 of the CRA regulation say?

This article deals specifically with the highest-risk tier of products with digital elements — those classified as "critical" and listed in Annex IV.

It builds directly on Article 7, which establishes the broader category of "important" products, by going a step further and granting the Commission the power to require that certain critical products obtain a formal European cybersecurity certificate (at assurance level "substantial" or above) rather than simply going through the standard conformity assessment procedures.

The Commission is also empowered to update Annex IV itself, adding or removing product categories as circumstances change.

Crucially, if no such delegated acts are adopted, the products in question fall back on the third-party conformity assessment procedures set out in Article 32(3).

Important points:

The Commission is empowered to determine which critical products (Annex IV) must obtain a European cybersecurity certificate, but only where a relevant certification scheme under Regulation (EU) 2019/881 already exists and is available to manufacturers.
Before acting, the Commission must assess potential market impact and consult relevant stakeholders, including the European Cybersecurity Certification Group, and account for Member States' readiness to implement the relevant scheme.
Any delegated acts adopted under this article must include a minimum transitional period of six months, unless imperative urgency justifies a shorter period.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Der Kommission wird die Befugnis übertragen, gemäß Artikel 61 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, um festzulegen, welche Produkte mit digitalen Elementen, die die Kernfunktionen einer in Anhang IV dieser Verordnung aufgeführten Produktkategorie aufweisen, ein europäisches Cybersicherheitszertifikat mindestens der Vertrauenswürdigkeitsstufe „mittel“ im Rahmen eines gemäß der Verordnung (EU) 2019/881 erlassenen europäischen Schemas für die Cybersicherheitszertifizierung erhalten müssen, um die Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I der vorliegenden Verordnung oder Teilen davon nachzuweisen, sofern ein europäisches Schema für die Cybersicherheitszertifizierung für diese Produktkategorien mit digitalen Elementen gemäß der Verordnung (EU) 2019/881 angenommen wurde und den Herstellern zur Verfügung steht. In diesen delegierten Rechtsakten wird die erforderliche Vertrauenswürdigkeitsstufe festgelegt, die in einem angemessenen Verhältnis zum Niveau des Cybersicherheitsrisikos stehen muss, das mit Produkten mit digitalen Elementen verbunden ist, und deren Zweckbestimmung, einschließlich der kritischen Abhängigkeit davon seitens wesentlicher Einrichtungen gemäß Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555, berücksichtigen muss.
2. Vor dem Erlass solcher delegierten Rechtsakte führt die Kommission eine Bewertung der potenziellen Auswirkungen der geplanten Maßnahmen auf den Markt durch und konsultiert die einschlägigen Interessenträger, einschließlich der mit der Verordnung (EU) 2019/881 eingerichteten Europäischen Gruppe für die Cybersicherheitszertifizierung. Bei der Bewertung werden die Bereitschaft und die Kapazität der Mitgliedstaaten für die Umsetzung des einschlägigen europäischen Schemas für die Cybersicherheitszertifizierung berücksichtigt. Wurden keine delegierten Rechtsakte gemäß Unterabsatz 1 erlassen, so unterliegen Produkte mit digitalen Elementen, die Kernfunktionen einer Produktkategorie gemäß Anhang IV aufweisen, den Konformitätsbewertungsverfahren gemäß Artikel 32 Absatz 3.
3. Die in Unterabsatz 1 genannten delegierten Rechtsakte müssen einen Übergangszeitraum von mindestens sechs Monaten vorsehen, es sei denn, ein kürzerer Übergangszeitraum ist aus Gründen äußerster Dringlichkeit gerechtfertigt.
1. Der Kommission wird die Befugnis übertragen, gemäß Artikel 61 delegierte Rechtsakte zur Änderung von Anhang IV zu erlassen, um Kategorien kritischer Produkte mit digitalen Elementen hinzuzufügen oder zu streichen. Bei der Festlegung solcher Kategorien kritischer Produkte mit digitalen Elementen und der erforderlichen Vertrauenswürdigkeitsstufe gemäß Absatz 1 berücksichtigt die Kommission die in Artikel 7 Absatz 2 genannten Kriterien und stellt sicher, dass die Kategorie von Produkten mit digitalen Elementen mindestens einem der folgenden Kriterien entspricht:
  1. Es besteht eine kritische Abhängigkeit wesentlicher Einrichtungen gemäß Artikel 3 der Richtlinie (EU) 2022/2555 von der Kategorie der Produkte mit digitalen Elementen;
  2. Sicherheitsvorfälle und ausgenutzte Schwachstellen in Bezug auf die Kategorie von Produkten mit digitalen Elementen könnten zu schwerwiegenden Störungen kritischer Lieferketten im gesamten Binnenmarkt führen.
2. Vor dem Erlass solcher delegierten Rechtsakte führt die Kommission eine Bewertung der in Absatz 1 genannten Art durch.
3. Die in Unterabsatz 1 genannten delegierten Rechtsakte müssen einen Übergangszeitraum von mindestens sechs Monaten vorsehen, es sei denn, ein kürzerer Übergangszeitraum ist aus Gründen äußerster Dringlichkeit gerechtfertigt.

Relevant recitals

Erwägungsgrund 10 Important and critical products

Mit der Festlegung von Cybersicherheitsanforderungen für das Inverkehrbringen von Produkten mit digitalen Elementen soll die Cybersicherheit dieser Produkte sowohl für Verbraucher als auch für Unternehmen verbessert werden. Durch diese Anforderungen wird auch sichergestellt, dass die Cybersicherheit in der gesamten Lieferkette berücksichtigt wird, sodass Endprodukte mit digitalen Elementen und ihre Komponenten sicherer gemacht werden. Dies betrifft auch Anforderungen für das Inverkehrbringen von Verbraucherprodukten mit digitalen Elementen, die für schutzbedürftige Verbraucher bestimmt sind, wie z. B. Spielzeug und Babyphone-Systeme. Die Verbraucherprodukte mit digitalen Elementen, die in dieser Verordnung als wichtige Produkte mit digitalen Elementen eingestuft werden, sind mit einem höheren Cybersicherheitsrisiko behaftet, da ihre Funktionen ein erhebliches Risiko nachteiliger Auswirkungen in Bezug auf ihre Tragweite und ihre mögliche Beeinträchtigung der Gesundheit, Sicherheit oder Unversehrtheit der Nutzer solcher Produkte bergen, und sollten einem strengeren Konformitätsbewertungsverfahren unterzogen werden. Das gilt für Produkte wie intelligente Haushaltsgeräte mit Sicherheitsfunktionen, einschließlich intelligenter Türschlösser, Babyphone-Systemen und Alarmanlagen, vernetztes Spielzeug und am Körper tragbare medizinische Geräte (Wearables). Darüber hinaus werden die strengeren Konformitätsbewertungsverfahren, denen sonstige Produkte mit digitalen Elementen, die in dieser Verordnung als wichtige oder kritische Produkte mit digitalen Elementen eingestuft werden, unterzogen werden müssen, dazu beitragen, etwaige negative Auswirkungen auf die Verbraucher zu verhindern, die sich aus der Ausnutzung von Schwachstellen ergeben könnten.

Erwägungsgrund 46 Critical products

Die in dieser Verordnung festgelegten Kategorien kritischer Produkte mit digitalen Elementen sind mit einer Cybersicherheitsfunktion verbunden und werden für eine Funktion verwendet, die ein beträchtliches Risiko nachteiliger Auswirkungen birgt, was ihre Tragweite und ihre Möglichkeit anbelangt, eine große Zahl anderer Produkte mit digitalen Elementen zu stören, zu kontrollieren oder zu schädigen, indem sie direkt manipuliert wird. Darüber hinaus gelten diese Kategorien von Produkten mit digitalen Elementen als kritische Abhängigkeiten für die in Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 genannten wesentlichen Einrichtungen. Die Kategorien kritischer Produkte mit digitalen Elementen, die aufgrund ihrer Kritikalität in einem Anhang dieser Verordnung aufgeführt sind, nutzen bereits häufig verschiedene Formen der Zertifizierung und fallen auch unter das auf gemeinsamen Kriterien beruhende europäische System für die Cybersicherheitszertifizierung (EUCC), das in der Durchführungsverordnung (EU) 2024/482(²⁰) festgelegt ist. Um einen gemeinsamen angemessenen Schutz der Cybersicherheit kritischer Produkte mit digitalen Elementen in der Union sicherzustellen, könnte es daher angemessen und verhältnismäßig sein, solche Produktkategorien im Wege eines delegierten Rechtsakts der obligatorischen europäischen Cybersicherheitszertifizierung zu unterwerfen, wenn bereits ein einschlägiges europäisches Schema für die Cybersicherheitszertifizierung für diese Produkte besteht und die Kommission eine Bewertung der potenziellen Auswirkungen der geplanten obligatorischen Zertifizierung auf den Markt vorgenommen hat. Bei dieser Bewertung sollten sowohl die Angebots- als auch die Nachfrageseite berücksichtigt werden, einschließlich der Frage, ob eine ausreichende Nachfrage nach den betreffenden Produkten mit digitalen Elementen sowohl bei den Mitgliedstaaten als auch bei den Nutzern besteht, sodass eine europäische Cybersicherheitszertifizierung erforderlich ist, sowie die Zwecke, für die die Produkte mit digitalen Elementen verwendet werden sollen, einschließlich der kritischen Abhängigkeiten davon seitens der in Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 genannten wesentlichen Einrichtungen. Bei der Bewertung sollten auch die potenziellen Auswirkungen der obligatorischen Zertifizierung auf die Verfügbarkeit dieser Produkte auf dem Binnenmarkt sowie die Fähigkeiten und die Bereitschaft der Mitgliedstaaten mit Blick auf die Umsetzung der einschlägigen europäischen Schemata für die Cybersicherheitszertifizierung analysiert werden.

Erwägungsgrund 47 Mandatory European cybersecurity certification

In delegierten Rechtsakten, mit denen eine verpflichtende europäische Cybersicherheitszertifizierung vorgeschrieben wird, sollten die Produkte mit digitalen Elementen bestimmt werden, die die Kernfunktionen einer in dieser Verordnung festgelegten Kategorie kritischer Produkte mit digitalen Elementen, die einer obligatorischen Zertifizierung unterworfen werden sollen, sowie die erforderliche Vertrauenswürdigkeitsstufe, die mindestens „mittel“ sein sollte, aufweisen. Die erforderliche Vertrauenswürdigkeitsstufe sollte in einem angemessenen Verhältnis zum Niveau des Cybersicherheitsrisikos stehen, das mit dem Produkt mit digitalen Elementen verbunden ist. Wenn beispielsweise das Produkt mit digitalen Elementen die Kernfunktion einer in dieser Verordnung festgelegten Kategorie kritischer Produkte mit digitalen Elementen aufweist und für die Verwendung in einer empfindlichen oder kritischen Umgebung vorgesehen ist, wie Produkte, die für die Verwendung durch die in Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 genannten wesentlichen Einrichtungen bestimmt sind, ist unter Umständen die höchste Vertrauenswürdigkeitsstufe erforderlich.

Erwägungsgrund 48 Updates to categories of critical products

Um für einen gemeinsamen, angemessenen Schutz der Cybersicherheit von Produkten mit digitalen Elementen in der Union zu sorgen, die die Kernfunktion einer in dieser Verordnung festgelegten Kategorie kritischer Produkte mit digitalen Elementen aufweisen, sollte der Kommission auch die Befugnis übertragen werden, delegierte Rechtsakte zur Änderung dieser Verordnung zu erlassen, indem Kategorien kritischer Produkte mit digitalen Elementen hinzugefügt oder gestrichen werden, für die von den Herstellern verlangt werden könnte, im Rahmen eines europäischen Schemas für die Cybersicherheitszertifizierung gemäß der Verordnung (EU) 2019/881 ein europäisches Cybersicherheitszertifikat einzuholen, um die Konformität mit der vorliegenden Verordnung nachzuweisen. Eine neue Kategorie kritischer Produkte mit digitalen Elementen kann zu diesen Kategorien hinzugefügt werden, wenn eine kritische Abhängigkeit der in Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 genannten wesentlichen Einrichtungen von diesen Produkten besteht oder wenn sie von Sicherheitsvorfällen betroffen sind oder ausgenutzte Schwachstellen enthalten und dies zu Unterbrechungen kritischer Lieferketten führen könnte. Bei der Bewertung der Frage, ob es notwendig ist, mittels eines delegierten Rechtsakts Kategorien kritischer Produkte mit digitalen Bestandteilen hinzuzufügen oder zu streichen, sollte die Kommission berücksichtigen können, ob die Mitgliedstaaten auf nationaler Ebene Produkte mit digitalen Elementen ermittelt haben, die für die Resilienz wesentlicher Einrichtungen im Sinne von Artikel 3 Absatz 1 der Richtlinie (EU) 2022/2555 von maßgeblicher Bedeutung sind und die zunehmend mit Cyberangriffen auf die Lieferkette zu kämpfen haben, was schwerwiegende Beeinträchtigungen zur Folge haben könnte. Darüber hinaus sollte die Kommission die Möglichkeit haben, das Ergebnis der koordinierten Risikobewertungen in Bezug auf die Sicherheit kritischer Lieferketten auf Ebene der Union, die gemäß Artikel 22 der Richtlinie (EU) 2022/2555 durchgeführt werden, zu berücksichtigen.

Erwägungsgrund 81 Voluntary European cybersecurity certification framework

Mit der Verordnung (EU) 2019/881 ist ein freiwilliger europäischer Rahmen für die Cybersicherheitszertifizierung von IKT-Produkten, -Prozessen und -Diensten geschaffen worden. Die europäischen Schemata für die Cybersicherheitszertifizierung schaffen einen gemeinsamen Rahmen für das Vertrauen der Nutzer in die Verwendung von Produkten mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen. Die vorliegende Verordnung sollte folglich Synergieeffekte mit der Verordnung (EU) 2019/881 schaffen. Um die Bewertung der Konformität mit den in der vorliegenden Verordnung festgelegten Anforderungen zu erleichtern, wird bei Produkten mit digitalen Elementen, die im Rahmen eines von der Kommission in einem Durchführungsrechtsakt festgelegten europäischen Cybersicherheitsschemas gemäß der Verordnung (EU) 2019/881 zertifiziert worden sind oder für die im Rahmen eines solchen Schemas eine Konformitätserklärung ausgestellt wurde, davon ausgegangen, dass sie den in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen genügen, sofern das europäische Cybersicherheitszertifikat oder die Konformitätserklärung oder Teile davon diese Anforderungen abdecken. Die Notwendigkeit neuer europäischer Schemata für die Cybersicherheitszertifizierung von Produkten mit digitalen Elementen sollte im Lichte der vorliegenden Verordnung geprüft werden, auch bei der Ausarbeitung des fortlaufenden Arbeitsprogramms der Union gemäß der Verordnung (EU) 2019/881. Wenn ein neues Schema für Produkte mit digitalen Elementen erforderlich ist, um etwa die Einhaltung dieser Verordnung zu erleichtern, kann die Kommission die ENISA gemäß Artikel 48 der Verordnung (EU) 2019/881 ersuchen, mögliche Schemata auszuarbeiten. Solche künftigen europäischen Schemata für die Cybersicherheitszertifizierung von Produkten mit digitalen Elementen sollten den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen und Konformitätsbewertungsverfahren Rechnung tragen und die Einhaltung dieser Verordnung erleichtern. Für europäische Schemata für die Cybersicherheitszertifizierung, die vor dem Inkrafttreten dieser Verordnung in Kraft treten, können weitere Spezifikationen zu detaillierten Aspekten bezüglich der Anwendung einer Konformitätsvermutung erforderlich sein. Der Kommission sollte die Befugnis übertragen werden, im Wege von delegierten Rechtsakten festzulegen, unter welchen Bedingungen die europäischen Schemata für die Cybersicherheitszertifizierung zum Nachweis der Konformität mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen verwendet werden können. Um einen übermäßigen Verwaltungsaufwand zu vermeiden, sollten die Hersteller darüber hinaus nicht verpflichtet sein, für die betreffenden Anforderungen eine Konformitätsbewertung durch Dritte, wie in dieser Verordnung vorgesehen, durchzuführen zu lassen, wenn im Rahmen solcher europäischen Schemata für die Cybersicherheitszertifizierung ein europäisches Cybersicherheitszertifikat mindestens für die Stufe „mittel“ ausgestellt wurde.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.