Im Einklang mit dem Ziel dieser Verordnung, Hindernisse für den freien Verkehr von Produkten mit digitalen Elementen auszuräumen, sollten die Mitgliedstaaten in den von dieser Verordnung erfassten Aspekten nicht die Bereitstellung auf dem Markt von Produkten mit digitalen Elementen, die dieser Verordnung entsprechen, behindern. In den durch diese Verordnung harmonisierten Bereichen können die Mitgliedstaaten daher keine zusätzlichen Cybersicherheitsanforderungen für die Bereitstellung von Produkten mit digitalen Elementen auf dem Markt vorschreiben. Jede öffentliche oder private Einrichtung kann jedoch über die in dieser Verordnung festgelegten Anforderungen hinaus zusätzliche Anforderungen für die Beschaffung oder Verwendung von Produkten mit digitalen Elementen für ihre spezifischen Zwecke festlegen und sich daher für die Verwendung von Produkten mit digitalen Elementen entscheiden, die strengere oder spezifischere Cybersicherheitsanforderungen erfüllen als die, die für die Bereitstellung auf dem Markt gemäß dieser Verordnung gelten. Unbeschadet der Richtlinien 2014/24/EU1 und 2014/25/EU2 des Europäischen Parlaments und des Rates sollten die Mitgliedstaaten bei der Beschaffung von Produkten mit digitalen Elementen, die den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen, einschließlich jener für den Umgang mit Sicherheitsrisiken, entsprechen müssen, sicherstellen, dass diese Anforderungen im Beschaffungsprozess berücksichtigt werden und auch die Fähigkeit der Hersteller zur wirksamen Anwendung von Cybersicherheitsmaßnahmen und zur Bewältigung von Cyberbedrohungen betrachtet wird. Darüber hinaus sind in der Richtlinie (EU) 2022/2555 Risikomanagementmaßnahmen im Bereich der Cybersicherheit für die wesentlichen und wichtigen Einrichtungen im Sinne von Artikel 3 der genannten Richtlinie festgelegt, die Maßnahmen zur Sicherheit der Lieferkette umfassen könnten, die erfordern, dass diese Einrichtungen Produkte mit digitalen Elementen verwenden, die strengeren als den in dieser Verordnung festgelegten Cybersicherheitsanforderungen genügen. Gemäß der Richtlinie (EU) 2022/2555 und ihrem Grundsatz der Mindestharmonisierung können die Mitgliedstaaten daher zusätzliche Cybersicherheitsanforderungen für die Verwendung von Produkten der Informations- und Kommunikationstechnologie (IKT-Produkte) durch wesentliche oder wichtige Einrichtungen gemäß der genannten Richtlinie festlegen, um für ein höheres Cybersicherheitsniveau zu sorgen, sofern diese Anforderungen mit den im Unionsrecht festgelegten Verpflichtungen der Mitgliedstaaten im Einklang stehen. Zu den von dieser Verordnung nicht erfassten Aspekten können auch nichttechnische Faktoren im Zusammenhang mit Produkten mit digitalen Elementen und deren Herstellern gehören. Die Mitgliedstaaten können daher nationale Maßnahmen festlegen, einschließlich Beschränkungen für Produkte mit digitalen Elementen oder für Anbieter solcher Produkte, die nichttechnischen Faktoren Rechnung tragen. Die nationalen Maßnahmen in Bezug auf solche Faktoren müssen mit dem Unionsrecht vereinbar sein.
- Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die öffentliche Auftragsvergabe und zur Aufhebung der Richtlinie 2004/18/EG (ABl. L 94 vom 28.3.2014, S. 65). ↩︎
- Richtlinie 2014/25/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die Vergabe von Aufträgen durch Auftraggeber im Bereich der Wasser-, Energie- und Verkehrsversorgung sowie der Postdienste und zur Aufhebung der Richtlinie 2004/17/EG (ABl. L 94 vom 28.3.2014, S. 243). ↩︎