(117)
1Damit der Rechtsrahmen erforderlichenfalls angepasst werden kann, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) Rechtsakte hinsichtlich der Aktualisierung der Liste wichtiger Produkte mit digitalen Elementen und deren Aufnahme in den Anhang der vorliegenden Verordnung zu erlassen. 2Der Kommission sollte die Befugnis übertragen werden, gemäß dem genannten Artikel Rechtsakte zu erlassen, um Produkte mit digitalen Elementen festzulegen, die unter andere Unionsvorschriften fallen, mit denen dasselbe Schutzniveau wie mit dieser Verordnung erreicht wird, und um festzustellen, ob eine Einschränkung oder ein Ausschluss vom Anwendungsbereich dieser Verordnung notwendig wäre, und gegebenenfalls den Umfang dieser Einschränkung festzulegen. 3Der Kommission sollte auch die Befugnis übertragen werden, gemäß dem genannten Artikel Rechtsakte zu erlassen, um möglichweise die Zertifizierung von in einem Anhang der vorliegenden Verordnung dargelegten kritischen Produkten mit digitalen Elementen im Rahmen eines europäischen Schemas für die Cybersicherheitszertifizierung vorzuschreiben, um die Liste kritischer Produkte mit digitalen Elementen auf der Grundlage der in dieser Verordnung festgelegten Kritikalitätskriterien zu aktualisieren und um die gemäß der Verordnung (EU) 2019/881 erlassenen europäischen Systeme für die Cybersicherheitszertifizierung festzulegen, die zum Nachweis der Konformität mit den grundlegenden Cybersicherheitsanforderungen oder Teilen davon gemäß einem Anhang der vorliegenden Verordnung verwendet werden können. 4Der Kommission sollte auch die Befugnis übertragen werden, Rechtsakte zu erlassen, um für bestimmte Produktkategorien den Mindestzeitraum für die Unterstützung zu bestimmen, wenn die Marktüberwachungsdaten auf unzureichende Unterstützungszeiträume hindeuten, und um die Geschäftsbedingungen für die Anwendung der Gründe in Bezug auf das Cybersicherheitsrisiko festzulegen, wenn Meldungen über aktiv ausgenutzte Schwachstellen nur verzögert weitergegeben werden. 5Darüber hinaus sollte der Kommission die Befugnis übertragen werden, Rechtsakte zu erlassen, um freiwillige Programme zur Bescheinigung der Sicherheit zwecks Bewertung der Konformität von Produkten mit digitalen Elementen, die als freie und quelloffene Software gelten, mit allen oder bestimmten grundlegenden Cybersicherheitsanforderungen oder anderweitigen in dieser Verordnung aufgeführten Pflichten festzulegen sowie um die Mindestangaben für die EU-Konformitätserklärung vorzuschreiben und die in die technische Dokumentation aufzunehmenden Elemente zu ergänzen. 6Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen in Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung festgelegt wurden. 7Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind. 8Die Befugnis zum Erlass delegierter Rechtsakte gemäß dieser Verordnung wird der Kommission für einen Zeitraum von fünf Jahren ab dem 10. Dezember 2024 übertragen. 9Die Kommission sollte spätestens neun Monate vor Ablauf des Zeitraums von fünf Jahren einen Bericht über die Befugnisübertragung erstellen. 10Die Befugnisübertragung sollte sich stillschweigend um Zeiträume gleicher Länge verlängern, es sei denn, das Europäische Parlament oder der Rat widersprechen einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.