Erwägungsgrund 38

Damit Produkte mit digitalen Elementen beim Inverkehrbringen keine Cybersicherheitsrisiken für Personen und Organisationen darstellen, sollten für solche Produkte grundlegende Cybersicherheitsanforderungen festgelegt werden. Diese grundlegenden Cybersicherheitsanforderungen, einschließlich der Anforderungen an das Schwachstellenmanagement, gelten für jedes einzelne Produkt mit digitalen Elementen, wenn es in den Verkehr gebracht wird, unabhängig davon, ob das Produkt mit digitalen Elementen als Einzelstück oder in Serie hergestellt wird. So sollte beispielsweise bei einer Produktart jedes einzelne Produkt mit digitalen Elementen alle verfügbaren Sicherheits-Patches oder Aktualisierungen zur Behebung relevanter Sicherheitsprobleme erhalten haben, wenn es in den Verkehr gebracht wird. Werden solche Produkte mit digitalen Elementen nachträglich physisch oder digital in einer Weise verändert, die vom Hersteller in der ursprünglichen Risikobewertung nicht vorgesehen ist und die dazu führen kann, dass sie die einschlägigen grundlegenden Cybersicherheitsanforderungen nicht mehr erfüllen, sollte die Veränderung als wesentlich betrachtet werden. Beispielsweise könnten Reparaturen den Wartungsarbeiten gleichgestellt werden, sofern sie ein bereits in den Verkehr gebrachtes Produkt mit digitalen Elementen nicht so verändern, dass die Konformität mit den geltenden Anforderungen beeinträchtigt oder die Zweckbestimmung, für die das Produkt geprüft wurde, verändert werden kann.