Cyber Resilience Act Verordnung (EU) 2024/2847

Teil II

EU-Baumusterprüfung (auf der Grundlage von Modul B)

  1. 1. Bei der EU-Baumusterprüfung handelt es sich um den Teil eines Konformitätsbewertungsverfahrens, bei dem eine notifizierte Stelle die technische Konzeption und Entwicklung eines Produkts mit digitalen Elementen und die vom Hersteller festgelegten Verfahren zur Behandlung von Schwachstellen untersucht und prüft und sodann bescheinigt, dass ein Produkt mit digitalen Elementen den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I genügt und dass der Hersteller die grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II erfüllt.
  2. 2. Die EU-Baumusterprüfung erfolgt als Bewertung der Eignung der technischen Konzeption und Entwicklung des Produkts mit digitalen Elementen anhand der Prüfung der in Nummer 3 genannten technischen Dokumentation und zusätzlichen Nachweise sowie der Prüfung von Mustern eines oder mehrerer wichtiger Teile des Produkts (Kombination aus Bau- und Konzeptionsmuster).
  3. 3. Der Antrag auf EU-Baumusterprüfung wird vom Hersteller bei einer einzigen benannten Stelle seiner Wahl eingereicht.
    Der Antrag enthält
    3.1. den Namen und die Anschrift des Herstellers sowie, wenn der Antrag vom Bevollmächtigten eingereicht wird, den Namen und die Anschrift des Bevollmächtigten;
    3.2. eine schriftliche Erklärung, dass derselbe Antrag bei keiner anderen notifizierten Stelle eingereicht worden ist;
    3.3. die technische Dokumentation, anhand deren die Konformität des Produkts mit digitalen Elementen mit den geltenden grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I und die Verfahren des Herstellers zur Behandlung von Schwachstellen gemäß Anhang I Teil II bewertet werden können; sie muss auch eine angemessene Risikoanalyse und -bewertung enthalten. In der technischen Dokumentation sind die geltenden Anforderungen aufzuführen und die Konzeption, die Herstellung und die Arbeitsweise des Produkts mit digitalen Elementen zu erfassen, soweit sie für die Bewertung von Bedeutung sind. Die technische Dokumentation enthält gegebenenfalls zumindest die in Anhang VII aufgeführten Elemente;
    3.4. zusätzliche Nachweise für die Eignung der Lösungen für die technische Konzeption und Entwicklung und der Verfahren zur Behandlung von Schwachstellen. In diesen zusätzlichen Nachweisen müssen alle Unterlagen vermerkt sein, nach denen vorgegangen wurde, insbesondere wenn die einschlägigen harmonisierten Normen oder technischen Spezifikationen nicht in vollem Umfang angewandt worden sind. Die Nachweise umfassen erforderlichenfalls die Ergebnisse von Prüfungen, die von einem geeigneten Labor des Herstellers oder von einem anderen Prüflabor in seinem Auftrag und unter seiner Verantwortung durchgeführt wurden.
  4. 4. Die notifizierte Stelle
    4.1. prüft die technische Dokumentation und die zusätzlichen Nachweise, um die Übereinstimmung der technischen Konzeption und Entwicklung des Produkts mit digitalen Elementen mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I und der vom Hersteller festgelegten Verfahren zur Behandlung von Schwachstellen mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II zu bewerten;
    4.2. überprüft, ob die Muster in Übereinstimmung mit der technischen Dokumentation entwickelt oder hergestellt wurde/n, welche Elemente nach den geltenden Vorschriften der einschlägigen harmonisierten Normen oder technischen Spezifikationen konzipiert und entwickelt wurden und welche Elemente ohne Anwendung der einschlägigen Vorschriften dieser Normen konzipiert und entwickelt wurden;
    4.3. führt geeignete Untersuchungen und Prüfungen durch bzw. veranlasst diese, um festzustellen, ob die Lösungen aus den einschlägigen harmonisierten Normen oder technischen Spezifikationen im Hinblick auf die Anforderungen in Anhang I korrekt angewandt worden sind, sofern sich der Hersteller für ihre Anwendung entschieden hat;
    4.4. führt geeignete Untersuchungen und Prüfungen durch bzw. veranlasst diese, um festzustellen, ob die vom Hersteller gewählten Lösungen die entsprechenden grundlegenden Cybersicherheitsanforderungen erfüllen, falls der Hersteller die Lösungen aus den einschlägigen harmonisierten Normen oder den technischen Spezifikationen für die Anforderungen in Anhang I nicht angewandt hat;
    4.5. vereinbart mit dem Hersteller, wo die Untersuchungen und Prüfungen durchgeführt werden.
  5. 5. Die notifizierte Stelle erstellt einen Bericht über die Beurteilung der nach Nummer 4 ausgeführten Tätigkeiten und deren Ergebnisse. Unbeschadet ihrer Pflichten gegenüber den notifizierenden Behörden veröffentlicht die notifizierte Stelle den Inhalt dieses Berichts oder Teile davon nur mit Zustimmung des Herstellers.
  6. 6. Entsprechen das Baumuster und die Verfahren zur Behandlung von Schwachstellen den grundlegenden Cybersicherheitsanforderungen in Anhang I, so stellt die notifizierte Stelle dem Hersteller eine EU-Baumusterprüfbescheinigung aus. Die Bescheinigung enthält den Namen und die Anschrift des Herstellers, die Ergebnisse der Prüfung, etwaige Bedingungen für ihre Gültigkeit und die erforderlichen Daten für die Identifizierung des zugelassenen Baumusters und des Verfahrens zur Behandlung von Schwachstellen. Der Bescheinigung können ein oder mehrere Anhänge beigefügt werden.
    Die Bescheinigung und ihre Anhänge enthalten alle einschlägigen Informationen, anhand deren sich die Konformität der hergestellten oder entwickelten Produkte mit digitalen Elementen mit dem geprüften Baumuster und die Konformität der Verfahren zur Behandlung von Schwachstellen beurteilen und gegebenenfalls eine Kontrolle nach ihrer Inbetriebnahme durchführen lassen.
    Entsprechen das Baumuster und die Verfahren zur Behandlung von Schwachstellen nicht den anwendbaren grundlegenden Cybersicherheitsanforderungen in Anhang I, so verweigert die notifizierte Stelle die Ausstellung einer EU-Baumusterprüfbescheinigung und unterrichtet den Antragsteller darüber, wobei sie ihre Weigerung ausführlich begründet.
  7. 7. Die notifizierte Stelle hält sich über alle Änderungen des allgemein anerkannten Stands der Technik auf dem Laufenden; deuten diese darauf hin, dass das zugelassene Baumuster und die Verfahren zur Behandlung von Schwachstellen nicht mehr den geltenden grundlegenden Cybersicherheitsanforderungen in Anhang I entsprechen, so entscheidet sie, ob derartige Änderungen weitere Untersuchungen nötig machen. Ist dies der Fall, so setzt die notifizierte Stelle den Hersteller davon in Kenntnis.
    Der Hersteller unterrichtet die notifizierte Stelle, der die technische Dokumentation zur EU-Baumusterprüfbescheinigung vorliegt, über alle Änderungen an dem zugelassenen Baumuster und dem Verfahren zur Behandlung von Schwachstellen, die die Übereinstimmung mit den grundlegenden Cybersicherheitsanforderungen in Anhang I oder mit den Bedingungen für die Gültigkeit der Bescheinigung beeinträchtigen könnten. Derartige Änderungen erfordern eine Zusatzgenehmigung in Form einer Ergänzung der ursprünglichen EU-Baumusterprüfbescheinigung.
  8. 8. Die notifizierte Stelle führt regelmäßig Audits durch, um sicherzustellen, dass die in Anhang I Teil II aufgeführten Verfahren zur Behandlung von Schwachstellen angemessen umgesetzt werden.
  9. 9. Jede notifizierte Stelle unterrichtet ihre notifizierenden Behörden über die EU-Baumusterprüfbescheinigungen und etwaige Ergänzungen dazu, die sie ausgestellt oder zurückgenommen hat, und übermittelt ihren notifizierenden Behörden in regelmäßigen Abständen oder auf Verlangen eine Aufstellung aller Bescheinigungen und Ergänzungen dazu, die sie verweigert, ausgesetzt oder auf andere Art eingeschränkt hat.
    Jede notifizierte Stelle unterrichtet die übrigen notifizierten Stellen über die EU-Baumusterprüfbescheinigungen und etwaige Ergänzungen dazu, die sie verweigert, zurückgenommen, ausgesetzt oder auf andere Weise eingeschränkt hat, und auf Verlangen über die Bescheinigungen und Ergänzungen dazu, die sie ausgestellt hat.
    Auf Verlangen erhalten die Kommission, die Mitgliedstaaten und die anderen notifizierten Stellen ein Exemplar der EU-Baumusterprüfbescheinigungen und jeglicher Ergänzungen. Die Kommission und die Mitgliedstaaten erhalten auf Verlangen ein Exemplar der technischen Dokumentation und der Ergebnisse der durch die notifizierte Stelle vorgenommenen Prüfungen. Die notifizierte Stelle bewahrt ein Exemplar der EU-Baumusterprüfbescheinigung samt Anhängen und Ergänzungen sowie des technischen Dossiers einschließlich der vom Hersteller eingereichten Unterlagen so lange auf, bis die Gültigkeitsdauer der Bescheinigung endet.
  10. 10. Der Hersteller hält ein Exemplar der EU-Baumusterprüfbescheinigung samt Anhängen und Ergänzungen zusammen mit der technischen Dokumentation zehn Jahre lang nach dem Inverkehrbringen des Produkts mit digitalen Elementen oder während des Unterstützungszeitraums je nachdem, welcher Zeitraum länger ist, für die nationalen Behörden bereit.
  11. 11. Der Bevollmächtigte des Herstellers kann den in Nummer 3 genannten Antrag einreichen und die in den Nummern 7 und 10 genannten Pflichten erfüllen, falls die einschlägigen Verpflichtungen in dem Auftrag festgelegt sind.