Erwägungsgrund 34

Wenn die Hersteller in der Entwurfs- und Entwicklungsphase von Dritten bezogene Komponenten in Produkte mit digitalen Elementen integrieren, sollten sie in Bezug auf diese Komponenten, einschließlich freier und quelloffener Softwarekomponenten, die nicht auf dem Markt bereitgestellt wurden, die gebotene Sorgfalt walten lassen, um sicherzustellen, dass die Produkte im Einklang mit den in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen konzipiert, entwickelt und hergestellt werden. Der angemessene Umfang der Sorgfaltspflicht richtet sich nach der Art und dem Ausmaß des Cybersicherheitsrisikos, das mit einer bestimmten Komponente verbunden ist; dabei sollten zu diesem Zweck eine oder mehrere der folgenden Maßnahmen Berücksichtigung finden: gegebenenfalls Überprüfung, ob der Hersteller einer Komponente die Konformität mit dieser Verordnung nachgewiesen hat, einschließlich einer Kontrolle der Frage, ob die Komponente bereits mit der CE-Kennzeichnung versehen ist; Überprüfung, ob für eine Komponente regelmäßig Sicherheitsaktualisierungen vorgenommen werden, etwa durch Kontrolle der bisherigen Sicherheitsaktualisierungen; Überprüfung, ob eine Komponente frei von den Schwachstellen ist, die in der gemäß Artikel 12 Absatz 2 der Richtlinie (EU) 2022/2555 eingerichteten europäischen Schwachstellendatenbank oder anderen öffentlich zugänglichen Schwachstellendatenbanken registriert sind, oder Durchführung zusätzlicher Sicherheitsprüfungen. Die in dieser Verordnung festgelegten Pflichten zum Umgang mit Schwachstellen, die die Hersteller beim Inverkehrbringen eines Produkts mit digitalen Elementen und während des Unterstützungszeitraums erfüllen müssen, gelten für Produkte mit digitalen Elementen in ihrer Gesamtheit, einschließlich aller integrierten Komponenten. Stellt der Hersteller des Produkts mit digitalen Elementen im Rahmen seiner Sorgfaltspflicht eine Schwachstelle in einer Komponente, auch in einer freien und quelloffenen Komponente, fest, sollte er die Person oder die Einrichtung, die die Komponente hergestellt hat bzw. wartet, informieren, die Schwachstelle beheben und der Person oder der Einrichtung gegebenenfalls den eingesetzten Sicherheits-Patch zur Verfügung stellen.