Mit dieser Verordnung soll ein hohes Niveau an Cybersicherheit von Produkten mit digitalen Elementen und ihren integrierten Datenfernverarbeitungslösungen sichergestellt werden. Solche Datenfernverarbeitungslösungen sollten als entfernt stattfindende Datenverarbeitung definiert werden, für die eine Software vom Hersteller des Produkts mit digitalen Elementen selbst oder unter dessen Verantwortung konzipiert und entwickelt wird und ohne die das Produkt mit digitalen Elementen eine seiner Funktionen nicht erfüllen könnte. Damit wird sichergestellt, dass solche Produkte in ihrer Gesamtheit von ihren Herstellern angemessen gesichert werden, unabhängig davon, ob die Daten lokal auf dem Gerät des Nutzers oder aus der Ferne durch den Hersteller verarbeitet oder gespeichert werden. Gleichzeitig fällt die Fernverarbeitung oder -speicherung nur insoweit in den Anwendungsbereich dieser Verordnung, als sie notwendig ist, damit ein Produkt mit digitalen Elementen seine Funktionen erfüllen kann. Eine solche Fernverarbeitung oder -speicherung liegt vor, wenn eine mobile Anwendung den Zugang zu einer Anwendungsprogrammierschnittstelle oder zu einer Datenbank erfordert, die über einen vom Hersteller entwickelten Dienst bereitgestellt wird. In diesem Fall fällt der Dienst als Datenfernverarbeitungslösung in den Anwendungsbereich dieser Verordnung. Die Anforderungen an Datenfernverarbeitungslösungen, die in den Anwendungsbereich dieser Verordnung fallen, beinhalten daher keine technischen, betrieblichen oder organisatorischen Maßnahmen zur Beherrschung der Risiken für die Sicherheit der Netz- und Informationssysteme des Herstellers insgesamt.