Sind bestimmte grundlegende Cybersicherheitsanforderungen auf ein Produkt mit digitalen Elementen nicht anwendbar, sollte der Hersteller dies in der Risikobewertung für die Cybersicherheit eindeutig begründen, die der technischen Dokumentation beigefügt ist. Dies könnte der Fall sein, wenn eine grundlegende Cybersicherheitsanforderung mit der Art eines Produkts mit digitalen Elementen unvereinbar ist. So kann es beispielsweise aufgrund der Zweckbestimmung eines Produkts mit digitalen Elementen erforderlich sein, dass der Hersteller weithin anerkannte Interoperabilitätsnormen befolgt, selbst wenn seine Sicherheitsmerkmale nicht mehr dem Stand der Technik entsprechen. Auch andere Rechtsvorschriften der Union verlangen, dass die Hersteller spezifischen Interoperabilitätsanforderungen genügen. Wenn eine grundlegende Cybersicherheitsanforderungen nicht für ein Produkt mit digitalen Elementen anwendbar ist, der Hersteller jedoch Cybersicherheitsrisiken im Zusammenhang mit dieser grundlegenden Cybersicherheitsanforderung ermittelt hat, sollte er Maßnahmen ergreifen, um diesen Risiken mit anderen Mitteln zu begegnen, beispielsweise indem er die Zweckbestimmung des Produkts auf vertrauenswürdige Umgebungen beschränkt oder die Nutzer über diese Risiken informiert.
Erwägungsgrund 55
Verordnung (EU) 2024/2847 — veröffentlicht 10. Dezember 2024 · Letzte Prüfung durch Kunnus: März 2026
Schnellantwort für Hersteller
Erwägungsgrund 55 erlaubt es Herstellern, bestimmte Anhang-I-Anforderungen als nicht anwendbar zu deklarieren — vorausgesetzt, dies wird in der Risikobewertung in der Technischen Dokumentation begründet. Beispiel: Ein Produkt ohne Authentifizierungsfunktion benötigt keine Authentifizierungs-Sicherheitsmaßnahme.
Diese Schnellantwort + FAQ ergänzen den Original-Rechtstext mit praxisorientierter Auslegung. Rechtsverbindlich ist allein der Originaltext.
Häufige Hersteller-Fragen
Kann ich Anhang-I-Anforderungen einfach ignorieren?
Nein. „Nicht anwendbar“ ist nur zulässig, wenn die Anforderung der Funktion des Produkts widerspricht oder dem Schutzziel des Produkts nicht dient. Die Begründung muss in der Risikobewertung dokumentiert sein.
Wer prüft die Nicht-Anwendbarkeits-Begründung?
Bei Selbstbewertung der Hersteller selbst — mit Risiko bei Marktüberwachungs-Audit. Bei notifizierter-Stelle-Verfahren prüft diese die Begründung mit. Eine schwache Begründung ist ein Compliance-Risiko.
Beispiel für eine zulässige Nicht-Anwendbarkeit?
Ein Sensor ohne Authentifizierungsfunktion, der nur Daten an die Steuerung sendet, braucht keine Anhang-I-Authentifizierungsanforderung umzusetzen. Aber: Die Risikobewertung muss erklären, dass keine sensiblen Daten gehandhabt werden und kein Manipulationsrisiko besteht.
Verwandte Artikel
(1)Dieser Text wurde aus der Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 übernommen. Die Darstellung dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Maßgeblich ist allein der im Amtsblatt der Europäischen Union veröffentlichte Wortlaut. Originaltext auf EUR-Lex