Konformität auf der Grundlage einer umfassenden Qualitätssicherung (auf der Grundlage von Modul H)

1. Bei der Konformität auf der Grundlage einer umfassenden Qualitätssicherung handelt es sich um das Konformitätsbewertungsverfahren, mit dem der Hersteller die in den Nummern 2 und 5 festgelegten Pflichten erfüllt sowie gewährleistet und auf eigene Verantwortung erklärt, dass die betreffenden Produkte mit digitalen Elementen oder Produktkategorien den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I und die vom Hersteller festgelegten Verfahren zur Behandlung von Schwachstellen den grundlegenden Anforderungen in Anhang I Teil II genügen.
2. Konzeption, Entwicklung, Herstellung und Behandlung von Schwachstellen bei Produkten mit digitalen Elementen
Der Hersteller betreibt ein zugelassenes Qualitätssicherungssystem nach Nummer 3 für die Konzeption, Entwicklung und Endabnahme und Prüfung der betreffenden Produkte mit digitalen Elementen und für die Behandlung von Schwachstellen, erhält dessen Wirksamkeit während des Unterstützungszeitraums und unterliegt der Überwachung nach Nummer 4.
3. Qualitätssicherungssystem
3.1. Der Hersteller beantragt bei einer notifizierten Stelle seiner Wahl die Bewertung seines Qualitätssicherungssystems für die betreffenden Produkte mit digitalen Elementen.
Der Antrag enthält
1. den Namen und die Anschrift des Herstellers sowie, wenn der Antrag vom Bevollmächtigten eingereicht wird, den Namen und die Anschrift des Bevollmächtigten;
2. die technische Dokumentation jeweils für ein Modell jeder herzustellenden oder zu entwickelnden Kategorie von Produkten mit digitalen Elementen; die technische Dokumentation enthält gegebenenfalls zumindest die in Anhang VII aufgeführten Elemente;
3. die Dokumentation zum Qualitätssicherungssystem;
4. eine schriftliche Erklärung, dass derselbe Antrag bei keiner anderen notifizierten Stelle eingereicht worden ist.
3.2. Das Qualitätssicherungssystem gewährleistet die Konformität des Produkts mit digitalen Elementen mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I und die Konformität der vom Hersteller festgelegten Verfahren zur Behandlung von Schwachstellen mit den grundlegenden Anforderungen in Anhang I Teil II.
Alle vom Hersteller berücksichtigten Grundlagen, Anforderungen und Vorschriften sind systematisch und ordnungsgemäß in Form schriftlicher Grundsätze, Verfahren und Anweisungen zusammenzustellen. Diese Unterlagen über das Qualitätssicherungssystem gewährleisen, dass die Qualitätssicherungsprogramme, -pläne, -handbücher und qualitätsbezogene Aufzeichnungen einheitlich ausgelegt werden.
Sie enthalten insbesondere eine angemessene Beschreibung folgender Punkte:
1. Qualitätsziele sowie organisatorischer Aufbau, Zuständigkeiten und Befugnisse des Managements in Bezug auf Konzeption, Entwicklung, Produktqualität und Behandlung von Schwachstellen;
2. technische Spezifikationen für die Konzeption und Entwicklung, einschließlich der angewandten Normen, sowie bei nicht vollständiger Anwendung der einschlägigen harmonisierten Normen bzw. technischen Spezifikationen die Mittel, mit denen gewährleistet werden soll, dass die für die Produkte mit digitalen Elementen geltenden grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I erfüllt werden;
3. verfahrenstechnische Spezifikationen, einschließlich der angewandten Normen, sowie bei nicht vollständiger Anwendung der einschlägigen harmonisierten Normen oder technischen Spezifikationen die Mittel, mit denen gewährleistet werden soll, dass die für den Hersteller geltenden grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II erfüllt werden;
4. Techniken zur Steuerung der Konzeption und Entwicklung sowie Techniken zur Überprüfung der Konzeptions- und Entwicklungsergebnisse, Verfahren und systematische Maßnahmen, die bei der Konzeption und Entwicklung der zur betreffenden Produktkategorie gehörenden Produkte mit digitalen Elementen angewandt werden;
5. entsprechende angewandte Techniken, Verfahren und systematische Maßnahmen für die Herstellung, Qualitätskontrolle und Qualitätssicherung;
6. Prüfungen und Erprobungen, die vor, während und nach der Herstellung durchgeführt werden, sowie deren Häufigkeit;
7. qualitätsbezogene Aufzeichnungen wie Kontrollberichte, Prüf- und Kalibrierungsdaten und Berichte über die Qualifikation der in diesem Bereich beschäftigten Mitarbeiter;
8. Mittel, mit denen die Verwirklichung der angestrebten Konzeptions- und Produktqualität und die wirksame Arbeitsweise des Qualitätssicherungssystems überwacht werden können.
3.3. Die notifizierte Stelle bewertet das Qualitätssicherungssystem, um festzustellen, ob es den Anforderungen nach Nummer 3.2 genügt.
Bei den Bestandteilen des Qualitätssicherungssystems, die den entsprechenden Spezifikationen der nationalen Norm zur Umsetzung der einschlägigen harmonisierten Norm oder einschlägigen technischen Spezifikationen entsprechen, geht sie von einer Konformität mit diesen Anforderungen aus.
Zusätzlich zur Erfahrung mit Qualitätsmanagementsystemen verfügt mindestens ein Mitglied des Auditteams über Erfahrungen mit der Bewertung in dem einschlägigen Bereich und der betreffenden Technologie des Produkts und verfügt über Kenntnisse der in dieser Verordnung festgelegten geltenden Anforderungen. Das Audit umfasst auch einen Kontrollbesuch in den Räumlichkeiten des Herstellers, falls es solche gibt. Das Auditteam überprüft die in Nummer 3.1 Buchstabe b genannte technische Dokumentation, um sich zu vergewissern, dass der Hersteller in der Lage ist, die in dieser Verordnung festgelegten anwendbaren Anforderungen zu erkennen und die erforderlichen Prüfungen durchzuführen, damit die Übereinstimmung des Produkts mit digitalen Elementen mit diesen Anforderungen gewährleistet ist.
Die Entscheidung wird dem Hersteller oder seinem Bevollmächtigten mitgeteilt.
Die Mitteilung enthält die Ergebnisse des Audits und die Begründung der Bewertungsentscheidung.

3.4. Der Hersteller verpflichtet sich, die mit dem zugelassenen Qualitätssicherungssystem verbundenen Pflichten zu erfüllen und dafür zu sorgen, dass das System stets sachgemäß und effizient angewandt wird.

3.5. Der Hersteller unterrichtet die notifizierte Stelle, die das Qualitätssicherungssystem zugelassen hat, über alle geplanten Änderungen des Qualitätssicherungssystems.
Die notifizierte Stelle prüft die geplanten Änderungen und entscheidet, ob das geänderte Qualitätssicherungssystem noch den in Nummer 3.2 genannten Anforderungen entspricht oder ob eine erneute Bewertung erforderlich ist.
Sie gibt dem Hersteller ihre Entscheidung bekannt. Die Mitteilung enthält die Ergebnisse der Prüfung und die Begründung der Bewertungsentscheidung.
4. Überwachung unter der Verantwortung der notifizierten Stelle
4.1. Die Überwachung soll gewährleisten, dass der Hersteller die mit dem zugelassenen Qualitätssicherungssystem verbundenen Pflichten vorschriftsmäßig erfüllt.
4.2. Der Hersteller gewährt der notifizierten Stelle zu Bewertungszwecken Zugang zu den Konzeptions-, Herstellungs-, Abnahme-, Prüf- und Lagereinrichtungen und stellt ihr alle erforderlichen Unterlagen zur Verfügung, insbesondere
1. die Unterlagen über das Qualitätssicherungssystem,
2. die im Qualitätssicherungssystem für den Konzeptionsteil vorgesehenen Qualitätsberichte wie Ergebnisse von Analysen, Berechnungen und Prüfungen,
3. die im Qualitätssicherungssystem für den Fertigungsteil vorgesehenen Qualitätsberichte wie Kontrollberichte, Prüf- und Kalibrierungsdaten und Berichte über die Qualifikation der in diesem Bereich beschäftigten Mitarbeiter.
4.3. Die notifizierte Stelle führt regelmäßig Audits durch, um sicherzustellen, dass der Hersteller das Qualitätssicherungssystem aufrechterhält und anwendet, und übergibt ihm einen entsprechenden Prüfbericht.
5. Konformitätskennzeichnung und Konformitätserklärung
5.1. Der Hersteller bringt an jedem einzelnen Produkt mit digitalen Elementen, das den Anforderungen in Anhang I Teil I genügt, die CE-Kennzeichnung und unter der Verantwortung der in Absatz 3.1 genannten notifizierten Stelle deren Kennnummer an.

5.2. Der Hersteller stellt für jedes Produktmodell eine schriftliche Konformitätserklärung aus und hält sie zehn Jahre lang nach dem Inverkehrbringen des Produkts mit digitalen Elementen oder während des Unterstützungszeitraums, je nachdem, welcher Zeitraum länger ist, für die nationalen Behörden bereit. Aus der Konformitätserklärung muss hervorgehen, für welches Produktmodell sie ausgestellt wurde.
Ein Exemplar der Konformitätserklärung wird den einschlägigen Behörden auf Verlangen zur Verfügung gestellt.
6. Der Hersteller hält für einen Zeitraum von mindestens zehn Jahren nach dem Inverkehrbringen des Produkts mit digitalen Elementen oder während des Unterstützungszeitraums, je nachdem, welcher Zeitraum länger ist, folgende Unterlagen für die nationalen Behörden bereit:
1. die technische Dokumentation nach Nummer 3.1,
2. die Unterlagen über das Qualitätssicherungssystem nach Nummer 3.1,
3. die Änderung nach Nummer 3.5 in ihrer genehmigten Form,
4. die Entscheidungen und Berichte der notifizierten Stelle nach den Nummern 3.5 und 4.3.
7. Jede notifizierte Stelle unterrichtet ihre notifizierenden Behörden über Zulassungen von Qualitätssicherungssystemen, die sie ausgestellt oder zurückgenommen hat, und übermittelt ihnen in regelmäßigen Abständen oder auf Verlangen eine Aufstellung aller Zulassungen von Qualitätssicherungssystemen, die sie verweigert, ausgesetzt oder auf andere Art eingeschränkt hat.
Jede notifizierte Stelle unterrichtet die anderen notifizierten Stellen über Zulassungen von Qualitätssicherungssystemen, die sie verweigert, ausgesetzt oder zurückgenommen hat, und auf Verlangen über Zulassungen von Qualitätssicherungssystemen, die sie erteilt hat.
8. Bevollmächtigter
Die in den Nummern 3.1, 3.5, 5 und 6 genannten Verpflichtungen des Herstellers können von seinem Bevollmächtigten in seinem Auftrag und unter seiner Verantwortung erfüllt werden, sofern die einschlägigen Verpflichtungen im Auftrag festgelegt sind.