Wie bei physischen Reparaturen oder Änderungen sollte ein Produkt mit digitalen Elementen als durch eine Softwareänderung wesentlich geändert gelten, wenn die Softwareaktualisierung die Zweckbestimmung des Produkts ändert und diese Änderungen vom Hersteller in der ursprünglichen Risikobewertung nicht vorhergesehen wurden, oder wenn sich die Art der Gefahr geändert oder sich das Cybersicherheitsrisiko aufgrund der Softwareaktualisierung erhöht hat und die aktualisierte Version des Produkts auf dem Markt bereitgestellt wird. Wenn eine Sicherheitsaktualisierung, mit der das Cybersicherheitsrisiko eines Produkts mit digitalen Elementen verringert werden soll, die Zweckbestimmung eines Produkts mit digitalen Elementen nicht verändert, gilt sie nicht als wesentliche Änderung. Dies schließt in der Regel Fälle ein, in denen eine Sicherheitsaktualisierung nur geringfügige Anpassungen des Quellcodes nach sich zieht. Dies könnte zum Beispiel der Fall sein, wenn mit einer Sicherheitsaktualisierung eine bekannte Schwachstelle behoben wird, auch durch Änderung der Funktionen oder der Leistung eines Produkts mit digitalen Elementen zu dem alleinigen Zweck, das Cybersicherheitsrisiko zu senken. Ebenso sollte eine geringfügige Aktualisierung der Funktionalitäten, etwa eine visuelle Verbesserung oder die Hinzufügung neuer Sprachen oder neuer Piktogramme zur Benutzeroberfläche, im Allgemeinen nicht als wesentliche Änderungen betrachtet werden. Umgekehrt sollte eine Funktionsaktualisierung die die ursprünglich beabsichtigten Funktionen oder die Art oder Leistung eines Produkts mit digitalen Elementen verändert und die oben genannten Kriterien erfüllt, als wesentliche Änderung betrachtet werden, da das Hinzufügen neuer Funktionen in der Regel zu einer größeren Angriffsfläche führt und damit das Cybersicherheitsrisiko erhöht. Dies könnte zum Beispiel der Fall sein, wenn einer Anwendung ein neues Eingabeelement hinzugefügt wird, sodass der Hersteller für eine adäquate Eingabevalidierung sorgen muss. Bei der Beurteilung, ob eine Funktionsaktualisierung als wesentliche Änderung anzusehen ist, spielt es keine Rolle, ob sie als separate Aktualisierung oder in Kombination mit einer Sicherheitsaktualisierung bereitgestellt wird. Die Kommission sollte Leitlinien zur Bestimmung dessen herausgeben, was eine wesentliche Änderung ist.