Cyber Resilience Act Verordnung (EU) 2024/2847

Artikel 32

Konformitätsbewertungsverfahren für Produkte mit digitalen Elementen

  1. 1. Der Hersteller führt eine Konformitätsbewertung des Produkts mit digitalen Elementen und der vom Hersteller festgelegten Verfahren durch, um festzustellen, ob die grundlegenden Cybersicherheitsanforderungen in Anhang I erfüllt sind.
    Der Hersteller erbringt den Nachweis der Konformität mit den grundlegenden Cybersicherheitsanforderungen anhand eines der folgenden Verfahren:
    1. internes Kontrollverfahren (auf der Grundlage von Modul A) gemäß Anhang VIII
    2. EU-Baumusterprüfverfahren (auf der Grundlage von Modul B) gemäß Anhang VIII und anschließend Konformität mit dem EU-Baumuster auf der Grundlage der internen Fertigungskontrolle (auf der Grundlage von Modul C) gemäß Anhang VIII
    3. Konformitätsbewertung auf der Grundlage einer umfassenden Qualitätssicherung (auf der Grundlage von Modul H) gemäß Anhang VIII; oder
    4. sofern verfügbar und anwendbar, ein europäisches Schema für die Cybersicherheitszertifizierung gemäß Artikel 27 Absatz 9.
  2. 2. Hat der Hersteller bei der Bewertung der Konformität eines wichtigen Produkts mit digitalen Elementen, das in Klasse I gemäß Anhang III fällt, und der von dessen Hersteller festgelegten Verfahren mit den grundlegenden Cybersicherheitsanforderungen in Anhang I harmonisierte Normen, gemeinsame Spezifikationen oder europäische Systeme für die Cybersicherheitszertifizierung mindestens der Vertrauenswürdigkeitsstufe „mittel“ gemäß Artikel 27 nicht oder nur zum Teil angewandt oder sind solche harmonisierten Normen, gemeinsamen Spezifikationen oder europäischen Schemata für die Cybersicherheitszertifizierung nicht vorhanden, so sind die Produkte mit digitalen Elementen und die vom Hersteller festgelegten Verfahren im Hinblick auf die grundlegenden Cybersicherheitsanforderungen einem der folgenden Verfahren zu unterziehen:
    1. EU-Baumusterprüfverfahren (auf der Grundlage von Modul B) gemäß Anhang VIII und anschließend Konformität mit dem EU-Baumuster auf der Grundlage der internen Fertigungskontrolle (auf der Grundlage von Modul C) gemäß Anhang VIII oder
    2. eine Konformitätsbewertung auf der Grundlage einer umfassenden Qualitätssicherung (auf der Grundlage von Modul H) gemäß Anhang VIII.
  3. 3. Handelt es sich bei dem Produkt um ein wichtiges Produkt mit digitalen Elementen, das in Klasse II gemäß Anhang III fällt, so erbringt der Hersteller den Nachweis der Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I anhand eines der folgenden Verfahren:
    1. EU-Baumusterprüfverfahren (auf der Grundlage von Modul B) gemäß Anhang VIII und anschließend Konformität mit dem EU-Baumuster auf der Grundlage der internen Fertigungskontrolle (auf der Grundlage von Modul C) gemäß Anhang VIII;
    2. eine Konformitätsbewertung auf der Grundlage einer umfassenden Qualitätssicherung (auf der Grundlage von Modul H) gemäß Anhang VIII, oder
    3. sofern verfügbar und anwendbar, ein europäisches Schema für die Cybersicherheitszertifizierung gemäß Artikel 27 Absatz 9 der vorliegenden Verordnung mindestens auf der Vertrauenswürdigkeitsstufe „mittel“ gemäß der Verordnung (EU) 2019/881.
  4. 4. Bei in Anhang IV aufgeführten kritischen Produkten mit digitalen Elementen wird der Nachweis der Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I anhand eines der folgenden Verfahren erbracht:
    1. ein europäisches Schema für die Cybersicherheitszertifizierung gemäß Artikel 8 Absatz 1 oder
    2. wenn die Bedingungen des Artikels 8 Absatz 1 nicht erfüllt sind, eines der in Absatz 3 genannten Verfahren.
  5. 5. Hersteller von Produkten mit digitalen Elementen, die als freie und quelloffene Software gelten und in die in Anhang III aufgeführten Kategorien fallen, können die Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I anhand eines der in Absatz 1 dieses Artikels genannten Verfahren nachweisen, sofern die in Artikel 31 genannte technische Dokumentation zum Zeitpunkt des Inverkehrbringens dieser Produkte der Öffentlichkeit zugänglich gemacht wird.
  6. 6. Bei der Festlegung der Gebühren für die Konformitätsbewertung werden die besonderen Interessen und Bedürfnisse von Kleinstunternehmen und kleinen und mittleren Unternehmen, einschließlich Start-up-Unternehmen, berücksichtigt, und diese Gebühren werden proportional zu deren besonderen Interessen und Bedürfnissen gesenkt.