Akt o kybernetické odolnosti

Předmět

Tímto nařízením se stanovují:

Oblast působnosti

1. Toto nařízení se vztahuje na produkty s digitálními prvky dodané na trh, jejichž zamýšlený účel nebo rozumně předvídatelné použití zahrnuje přímé nebo nepřímé logické nebo fyzické datové připojení k zařízení nebo síti.

2. Toto nařízení se nevztahuje na produkty s digitálními prvky, na něž se vztahují tyto právní akty Unie:

3. Toto nařízení se nevztahuje na výrobky s digitálními prvky, které byly certifikovány v souladu s nařízením (EU) 2018/1139.

4. Toto nařízení se nevztahuje na výstroj spadající do oblasti působnosti směrnice Evropského parlamentu a Rady 2014/90/EU (36).

5. Použití tohoto nařízení na produkty s digitálními prvky, na něž se vztahují jiná pravidla Unie stanovující požadavky, které se týkají všech nebo některých rizik, pro které platí základní požadavky na kybernetickou bezpečnost stanovené v příloze I, může být omezeno nebo vyloučeno, pokud:

Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 61 za účelem doplnění tohoto nařízení upřesněním, zda je toto omezení nebo vyloučení nezbytné, a specifikací dotčených produktů a pravidel a případně i rozsahu omezení.

6. Toto nařízení se nevztahuje na náhradní díly, které jsou dodávány na trh za účelem nahrazení totožných komponent v produktech s digitálními prvky a které jsou vyrobeny podle stejných specifikací jako komponent, které mají nahradit.

7. Toto nařízení se nevztahuje na produkty s digitálními prvky vyvinuté nebo upravené výlučně pro účely národní bezpečnosti nebo obrany, ani na produkty speciálně určené ke zpracování utajovaných informací.

8. Povinnosti stanovené v tomto nařízení nezahrnují poskytování informací, jejichž zpřístupnění by bylo v rozporu se zásadními zájmy členských států v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany.

Definice

Pro účely tohoto nařízení se rozumí:

Volný pohyb

1. Členské státy nesmějí v záležitostech, na něž se vztahuje toto nařízení, bránit tomu, aby byly na trh dodávány produkty s digitálními prvky, které jsou v souladu s tímto nařízením.

2. Na veletrzích, výstavách, předváděcích nebo podobných akcích nesmějí členské státy bránit prezentaci ani používání produktu s digitálními prvky, který není v souladu s tímto nařízením, včetně jeho prototypů, za předpokladu, že je produkt prezentován s viditelným označením, které jasně ukazuje, že produkt není v souladu s tímto nařízením a nemá být dodáván na trh, dokud s ním nebude v souladu.

3. Členské státy nebrání dodávání nedokončeného softwaru, který není v souladu s tímto nařízením, na trh, za předpokladu, že software bude zpřístupněn pouze po omezenou dobu nezbytnou pro účely testování s viditelným označením jasně uvádějícím, že není v souladu s tímto nařízením a nebude dodáván na trh k jiným účelům než k testování.

4. Odstavec 3 se nevztahuje na bezpečnostní komponenty, které jsou uvedeny v jiných harmonizačních právních předpisech Unie než v tomto nařízení.

Zadávání zakázek na produkty s digitálními prvky nebo používání těchto produktů

1. Toto nařízení nebrání členským státům v tom, aby při zadávání zakázek na produkty s digitálními prvky nebo při jejich používání pro konkrétní účely, mimo jiné v případech, kdy jsou tyto produkty pořizovány či používány pro účely národní bezpečnosti nebo obrany, vyžadovaly, aby se na tyto produkty vztahovaly dodatečné požadavky na kybernetickou bezpečnost, a to za předpokladu, že takové požadavky jsou v souladu s povinnostmi členských států stanovenými v právu Unie a jsou nezbytné a přiměřené z hlediska dosažení těchto účelů.

2. Aniž jsou dotčeny směrnice 2014/24/EU a 2014/25/EU, v případech, kdy jsou pořizovány produkty s digitálními prvky, které spadají do oblasti působnosti tohoto nařízení, členské státy zajistí, aby byl při zadávání příslušných zakázek zohledněn soulad se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I tohoto nařízení, včetně schopnosti výrobců účinně řešit zranitelnosti.

Požadavky na produkty s digitálními prvky

Produkty s digitálními prvky se na trh dodávají pouze tehdy, pokud:

Důležité produkty s digitálními prvky

1. Produkty s digitálními prvky, jejichž klíčová funkce spadá do produktové kategorie stanovené v příloze III, se považují za důležité produkty s digitálními prvky a podléhají postupům posuzování shody uvedeným v čl. 32 odst. 2 a 3. Začlenění produktu s digitálními prvky, který má klíčovou funkci spadající do produktové kategorie stanovené v příloze III, samo o sobě neznamená, že produkt, do něhož je začleněn produkt s klíčovou funkci spadající do produktové kategorie stanovené v příloze III, podléhá postupům posuzování shody uvedeným v čl. 32 odst. 2 a 3.

2. Kategorie produktů s digitálními prvky uvedené v odstavci 1 tohoto článku, rozdělené do třídy I a II, jak jsou stanoveny v příloze III, splňují alespoň jedno z těchto kritérií:

3. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 61 za účelem změny přílohy III zařazením nové kategorie do každé třídy kategorií produktů s digitálními prvky na příslušném seznamu, upřesněním její definice, přesunutím kategorie produktů do jiné třídy nebo vynětím stávající kategorie z tohoto seznamu. Při posuzování potřeby změnit seznam uvedený v příloze III Komise zohlední funkcionalitu nebo funkci související s kybernetickou bezpečností a úroveň kybernetického bezpečnostního rizika, které s sebou nesou produkty s digitálními prvky, jak je stanoveno v kritériích uvedených v odstavci 2 tohoto článku.

V aktech v přenesené pravomoci uvedených v prvním pododstavci tohoto odstavce je případně stanoveno minimální přechodné období v délce 12 měsíců, zejména pokud je do třídy I nebo II doplněna nová kategorie důležitých produktů s digitálními prvky nebo pokud je přesunuta z třídy I do třídy II, jak jsou stanoveny v příloze III, před tím, než se začnou uplatňovat příslušné postupy posuzování shody uvedené v čl. 32 odst. 2 a 3, jestliže není ze závažných naléhavých důvodů opodstatněno stanovení kratšího přechodného období.

4. Do 11. prosince 2025 přijme Komise prováděcí akt, kterým upřesní technický popis kategorií produktů s digitálními prvky třídy I a II jak jsou stanoveny v příloze III a technický popis kategorií produktů s digitálními prvky jak jsou stanoveny v příloze IV. Tento prováděcí akt se přijme přezkumným postupem podle čl. 62 odst. 2.

Kritické produkty s digitálními prvky

1. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 61 za účelem doplnění tohoto nařízení tím, že určí, které produkty s digitálními prvky, jež mají klíčovou funkci produktové kategorie stanovené v příloze IV tohoto nařízení, musejí získat v rámci evropského schématu certifikace kybernetické bezpečnosti přijatého podle nařízení (EU) 2019/881 evropský certifikát kybernetické bezpečnosti alespoň na úrovni záruky „významná“, aby prokázaly shodu se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I tohoto nařízení nebo jejich částmi, pokud bylo v souladu s nařízením (EU) 2019/881 přijato evropské schéma certifikace kybernetické bezpečnosti zahrnující tyto kategorie produktů s digitálními prvky a je k dispozici výrobcům. Tyto akty v přenesené pravomoci stanoví požadovanou úroveň záruky, která je úměrná úrovni kybernetického bezpečnostního rizika spojeného s produkty s digitálními prvky, a zohlední jejich zamýšlený účel, včetně kritické závislosti základních subjektů uvedených v čl. 3 odst. 1 směrnice (EU) 2022/2555 na daných produktech s digitálními prvky.

Před přijetím těchto aktů v přenesené pravomoci posoudí Komise potenciální dopad plánovaných opatření na trh a uspořádá konzultace s příslušnými zúčastněnými stranami, mimo jiné s Evropskou skupinou pro certifikaci kybernetické bezpečnosti zřízenou nařízením (EU) 2019/881. Při tomto posuzování zohlední připravenost a kapacitu členských států pro uplatňování příslušných evropských schémat certifikace kybernetické bezpečnosti. Pokud nebyl přijat žádný akt v přenesené pravomoci uvedený v prvním pododstavci tohoto odstavce, vztahují se na produkty s digitálními prvky, které mají klíčovou funkci produktové kategorie, jak jsou stanoveny v příloze IV, postupy posuzování shody uvedené v čl. 32 odst. 3.

V aktech v přenesené pravomoci uvedených v prvním pododstavci je stanoveno minimální přechodné šestiměsíční období, není-li ze závažných naléhavých důvodů opodstatněno stanovení kratšího přechodného období.

2. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 61 za účelem změny přílohy IV doplněním nebo vynětím kategorií kritických produktů s digitálními prvky. Při určování těchto kategorií kritických produktů s digitálními prvky a požadované úrovně záruky v souladu s odstavcem 1 tohoto článku Komise zohlední kritéria uvedená v čl. 7 odst. 2 a rovněž to, do jaké míry platí alespoň jedno z těchto kritérií:

Před přijetím těchto aktů v přenesené pravomoci provede Komise posouzení typu uvedené v odstavci 1.

V aktech v přenesené pravomoci uvedených v prvním pododstavci je stanoveno minimální přechodné šestiměsíční období, není-li ze závažných naléhavých důvodů opodstatněno stanovení kratšího přechodného období.

Konzultace se zúčastněnými stranami

1. Při přípravě opatření pro uplatňování tohoto nařízení Komise vede konzultace s příslušnými zúčastněnými stranami, jako jsou příslušné orgány členských států, podniky ze soukromého sektoru, včetně mikropodniků a malých a středních podniků, komunita zabývající se softwarem s otevřeným zdrojovým kódem, sdružení spotřebitelů, akademická obec a příslušné agentury a subjekty Unie a také odborné skupiny zřízené na úrovni Unie, a zohledňuje jejich názory. Komise případně konzultuje strukturovaným způsobem zejména s těmito zúčastněnými stranami a vyžádá si jejich názory:

2. Komise pořádá pravidelné konzultační a informační schůzky, a to nejméně jednou ročně, s cílem získat názory zúčastněných stran uvedených v odstavci 1 na uplatňování tohoto nařízení.

Prohloubení dovedností v oblasti kyberneticky odolného digitálního prostředí

Členské státy, pro účely tohoto nařízení a s cílem reagovat na potřeby odborníků při podpoře uplatňování tohoto nařízení, ve vhodných případech za podpory Komise, Evropského centra kompetencí pro kybernetickou bezpečnost a agentury ENISA a za plného respektování odpovědnosti členských států v oblasti vzdělávání, prosazují opatření a strategie zaměřené na:

Obecná bezpečnost produktů

Odchylně od čl. 2 odst. 1 třetího pododstavce písm. b) nařízení (EU) 2023/988 se na produkty s digitálními prvky s ohledem na aspekty a rizika nebo kategorie rizik neupravené tímto nařízením použije oddíl 1 kapitoly III, kapitola V a VII a kapitola IX až XI uvedeného nařízení, pokud se na tyto produkty nevztahují zvláštní požadavky na bezpečnost stanovené v jiných „harmonizačních právních předpisech Unie“ ve smyslu čl. 3 bodu 27 nařízení (EU) 2023/988.

Vysoce rizikové systémy umělé inteligence

1. Aniž jsou dotčeny požadavky na přesnost a spolehlivost stanovené v článku 15 nařízení (EU) 2024/1689, považují se produkty s digitálními prvky, které spadají do oblasti působnosti tohoto nařízení a jsou klasifikovány jako vysoce rizikové systémy umělé inteligence podle článku 6 uvedeného nařízení, za produkty, které jsou v souladu s požadavky na kybernetickou bezpečnost stanovenými v článku 15 uvedeného nařízení, pokud:

2. U produktů s digitálními prvky a požadavků na kybernetickou bezpečnost podle odstavce 1 tohoto článku se použije příslušný postup posuzování shody stanovený v článku 43 nařízení (EU) 2024/1689. Pro účely tohoto posouzení jsou oznámené subjekty, které jsou příslušné ke kontrole shody vysoce rizikových systémů umělé inteligence podle nařízení (EU) 2024/1689, příslušné rovněž ke kontrole shody vysoce rizikových systémů umělé inteligence, které spadají do oblasti působnosti tohoto nařízení, s požadavky stanovenými v příloze I tohoto nařízení, pokud byl soulad těchto oznámených subjektů s požadavky stanovenými v článku 39 tohoto nařízení posouzen v rámci postupu oznamování podle nařízení (EU) 2024/1689.

3. Odchylně od odstavce 2 tohoto článku, se na důležité produkty s digitálními prvky uvedené v příloze III tohoto nařízení, na něž se vztahují postupy posuzování shody podle čl. 32 odst. 2 písm. a) a b) a čl. 32 odst. 3 tohoto nařízení, a na kritické produkty s digitálními prvky, jak jsou uvedeny v příloze IV tohoto nařízení, které musejí získat evropský certifikát kybernetické bezpečnosti podle čl. 8 odst. 1 tohoto nařízení, nebo na něž se v opačném případě vztahují postupy posuzování shody uvedené v čl. 32 odst. 3 tohoto nařízení, a které jsou klasifikovány jako vysoce rizikové systémy umělé inteligence podle článku 6 nařízení (EU) 2024/1689 a na něž se vztahuje postup posuzování shody založený na interní kontrole, jak je uvedeno v příloze VI nařízení (EU) 2024/1689, vztahují postupy posuzování shody stanovené v tomto nařízení, pokud jde o základní požadavky na kybernetickou bezpečnost stanovené v tomto nařízení.

4. Výrobci produktů s digitálními prvky uvedených v odst. 1 tohoto článku se mohou účastnit regulačních sandboxů pro umělou inteligenci, která jsou uvedena v článku 57 nařízení (EU) 2024/1689.

Povinnosti výrobců

1. Při uvádění produktu s digitálními prvky na trh výrobci zajistí, aby byl produkt navržen, vyvinut a vyroben v souladu se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I části I.

2. Pro účely splnění povinnosti stanovené v odstavci 1 provedou výrobci posouzení kybernetických bezpečnostních rizik spojených s produktem s digitálními prvky a výsledek tohoto posouzení zohlední během fáze plánování, navrhování, vývoje, výroby, dodání a údržby produktu s digitálními prvky s cílem minimalizovat kybernetická bezpečnostní rizika, předcházet incidentům a co nejvíce omezit jejich dopady, a to i v souvislosti se zdravím a bezpečností uživatelů.

3. Posouzení kybernetických bezpečnostních rizik se během doby podpory stanoveného v souladu s odstavcem 8 tohoto článku zdokumentuje a podle potřeby aktualizuje. Toto posouzení kybernetických bezpečnostních rizik zahrnuje alespoň analýzu kybernetických bezpečnostních rizik založenou na zamýšleném účelu a rozumně předvídatelném použití produktu s digitálními prvky a také na podmínkách jeho použití, jako je provozní prostředí nebo aktiva, která mají být ochráněna, s přihlédnutím k očekávané době používání produktu. Při posuzování kybernetických bezpečnostních rizik se zjistí, zda a pokud ano, jakým způsobem se bezpečnostní požadavky stanovené v příloze I části I bodě 2 vztahují na příslušný produkt s digitálními prvky a jak jsou tyto požadavky na základě posuzování kybernetických bezpečnostních rizik uplatňovány. Uvede se rovněž, jak má výrobce uplatňovat přílohu I část I bod 1 a požadavky na řešení zranitelností stanovené v příloze I části II.

4. Při uvádění produktu s digitálními prvky na trh zahrne výrobce posouzení kybernetických bezpečnostních rizik uvedené v odstavci 3 tohoto článku do technické dokumentace, jak vyžadují ustanovení článku 31 a přílohy VII. U produktů s digitálními prvky podle článku 12, který se řídí i jinými právními akty Unie, může být posouzení kybernetických bezpečnostních rizik součástí posouzení rizik vyžadovaného těmito právními akty Unie. Pokud se na produkt s digitálními prvky nevztahují určité základní požadavky na kybernetickou bezpečnost, výrobce do této technické dokumentace zahrne jasné odůvodnění.

5. Pro účely splnění povinnosti stanovené v odstavci 1 musejí výrobci při začleňování komponent pocházejících od třetích stran postupovat s náležitou péčí, aby tyto komponenty nenarušovaly kybernetickou bezpečnost produktu s digitálními prvky, včetně případů začleňování komponent svobodného softwaru s otevřeným zdrojovým kódem, které nebyly dodány na trh v rámci obchodní činnosti.

6. Po zjištění zranitelnosti v určité komponenty, včetně komponenty s otevřeným zdrojovým kódem, která je začleněna do produktu s digitálními prvky, oznámí výrobci zranitelnost osobě nebo subjektu, který komponentu vyrábí nebo provádí její údržbu, a tuto zranitelnost řeší a sjednají nápravu v souladu s požadavky na řešení zranitelností uvedenými v příloze I části II. Pokud výrobci vyvinuli změnu softwaru nebo hardwaru s cílem řešit zranitelnost této komponenty, poskytnou příslušný kód nebo dokumentaci osobě nebo subjektu, který komponentu vyrábí nebo provádí její údržbu, a to případně ve strojově čitelném formátu.

7. Výrobci systematicky dokumentují relevantní aspekty kybernetické bezpečnosti týkající se produktů s digitálními prvky, a to způsobem, který je přiměřený povaze a kybernetickým bezpečnostním rizikům, včetně zranitelností, o nichž se dozvědí, a veškerých relevantních informací poskytnutých třetími stranami, a případně aktualizují posouzení kybernetického bezpečnostního rizika produktů.

8. Při uvádění produktu s digitálními prvky na trh a během doby podpory výrobci zajistí, aby se zranitelnostmi tohoto produktu, včetně zranitelností jeho komponent, bylo nakládáno účinně a v souladu se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I části II.

Výrobci stanoví dobu podpory tak, aby odrážela dobu, po kterou se očekává používání produktu, zejména s přihlédnutím k přiměřeným očekáváním uživatelů, k povaze produktu, včetně jeho zamýšleného účelu, a k příslušnému právu Unie, které určuje životnost produktů s digitálními prvky. Při stanovování doby podpory mohou výrobci rovněž zohlednit dobu podpory produktů s digitálními prvky, které nabízejí podobnou funkci a byly uvedeny na trh jinými výrobci, dostupnost provozního prostředí, dobu podpory začleněných komponent, které zajišťují klíčové funkce a pocházejí od třetích stran, stejně jako příslušné pokyny, které poskytla specializovaná skupina pro správní spolupráci zřízená podle čl. 52 odst. 15 a Komise. Záležitosti, které je třeba vzít v úvahu při stanovován doby podpory, se zohledňují tak, aby byla zajištěna proporcionalita.

Aniž je dotčen druhý pododstavec, trvá doba podpory nejméně pět let. Pokud se očekává, že produkt s digitálními prvky bude používán méně než pět let, odpovídá doba podpory očekávané době použití.

S přihlédnutím k doporučením specializované skupiny pro správní spolupráci podle čl. 52 odst. 16 může Komise přijmout akty v přenesené pravomoci v souladu s článkem 61 za účelem doplnění tohoto nařízení upřesněním minimální doby podpory pro konkrétní kategorie produktů, u nichž údaje v oblasti dozoru nad trhem naznačují, že jejich doby podpory nejsou dostatečné.

Výrobci uvedou informace, které byly zohledněny při stanovování doby podpory produktu s digitálními prvky, v technické dokumentaci, jak je stanovena v příloze VII.

Výrobci mají vhodnou politiku a postupy, včetně politiky koordinovaného zveřejňování zranitelností podle přílohy I části II bodu 5, pro zpracování a nápravu možných zranitelností v produktu s digitálními prvky hlášených z interních nebo externích zdrojů.

9. Výrobci zajistí, aby každá bezpečnostní aktualizace uvedená v příloze I části II bodě 8, která byla zpřístupněna uživatelům během doby podpory, byla po vydání dále k dispozici po dobu nejméně deseti let, nebo po zbytek doby podpory, podle toho, které z těchto časových období je delší.

10. Pokud výrobce uvedl na trh další podstatně změněné verze softwarového produktu, může soulad se základním požadavkem na kybernetickou bezpečnost stanoveným v příloze I části II bodě 2 zajistit pouze pro verzi, kterou uvedl na trh jako poslední, za předpokladu, že uživatelé verzí, jež byly uvedeny na trh dříve, mají bezplatný přístup k verzi, která byla uvedena na trh jako poslední, a že jim nevznikají dodatečné náklady na úpravu hardwarového a softwarového prostředí, v němž používají původní verzi tohoto výrobku.

11. Výrobci mohou vést veřejné softwarové archivy, které rozšiřují přístup uživatelů k předchozím verzím. V takových případech jsou uživatelé snadno přístupným způsobem jasně informováni o rizicích spojených s používáním nepodporovaného softwaru.

12. Před uvedením produktu s digitálními prvky na trh vypracují výrobci technickou dokumentaci podle článku 31.

Výrobci provedou nebo nechají provést zvolené postupy posuzování shody podle článku 32.

Pokud byl v rámci postupu posuzování shody prokázán soulad produktu s digitálními prvky se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I části I a soulad postupů zavedených výrobcem se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I části II, vypracují výrobci EU prohlášení o shodě v souladu s článkem 28 a umístí označení CE v souladu s článkem 30.

13. Výrobci technickou dokumentaci a EU prohlášení o shodě uchovávají pro potřebu orgánů dozoru nad trhem po dobu nejméně deseti let od uvedení produktu s digitálními prvky na trh nebo po dobu trvání doby podpory, podle toho, které z těchto časových období je delší.

14. Výrobci zajistí, aby byly zavedeny postupy, díky nimž produkty s digitálními prvky, které jsou součástí sériové výroby, zůstanou ve shodě s tímto nařízením. Výrobci náležitě přihlédnou ke změnám ve vývoji a výrobním postupu nebo v návrhu či vlastnostech produktu s digitálními prvky a změnám harmonizovaných norem, evropských schémat certifikace kybernetické bezpečnosti nebo společných specifikací uvedených v článku 27, na jejichž základě se prohlašuje nebo ověřuje shoda produktu s digitálními prvky.

15. Výrobci zajistí, aby bylo na jejich produktech s digitálními prvky uvedeno číslo typu, šarže nebo série či jiný prvek umožňující jejich identifikaci, nebo pokud to není možné, aby byla tato informace uvedena na obalu nebo v dokumentu přiloženém k produktu s digitálními prvky.

16. Výrobci na produktu s digitálními prvky, na jeho obalu nebo v dokumentu přiloženém k tomuto produktu uvedou své jméno, zapsaný obchodní název nebo zapsanou ochrannou známku výrobce a poštovní adresu, e-mailovou adresu nebo jiné digitální kontaktní údaje, a případně internetovou stránku, na níž lze výrobce kontaktovat. Tyto údaje jsou obsaženy rovněž v informacích a pokynech pro uživatele stanovených v příloze II. Kontaktní údaje se uvádějí v jazyce snadno srozumitelném uživatelům a orgánům dozoru nad trhem.

17. Pro účely tohoto nařízení určí výrobci jednotné kontaktní místo, které uživatelům umožní s nimi přímo a rychle komunikovat, mimo jiné s cílem usnadnit oznamování zranitelností produktu s digitálními prvky.

Výrobci zajistí, aby bylo jednotné kontaktní místo pro uživatele snadno identifikovatelné. Jednotné kontaktní místo uvedou také v informacích a pokynech pro uživatele stanovených v příloze II.

Jednotné kontaktní místo uživatelům umožní zvolit si upřednostňované komunikační prostředky a neomezí tyto prostředky na automatizované nástroje.

18. Výrobci zajistí, aby k produktům s digitálními prvky byly v papírové nebo elektronické podobě přiloženy informace a pokyny pro uživatele stanovené v příloze II. Tyto informace a pokyny jsou poskytnuty v jazyce snadno srozumitelném uživatelům a orgánům dozoru nad trhem. Jsou jasné, srozumitelné, snadno pochopitelné a čitelné. Umožňují bezpečnou instalaci, provoz a používání produktů s digitálními prvky. Výrobci tyto informace a pokyny pro uživatele stanovené v příloze II uchovávají pro potřebu uživatelů a orgánů dozoru nad trhem po dobu nejméně deseti let od uvedení produktu s digitálními prvky na trh nebo po dobu trvání doby podpory, podle toho, které z těchto časových období je delší. Pokud jsou tyto informace a pokyny poskytovány online, výrobci zajistí, aby byly přístupné, uživatelsky přívětivé a dostupné online po dobu nejméně deseti let od uvedení produktu s digitálními prvky na trh nebo po dobu trvání doby podpory, podle toho, které z těchto časových období je delší.

19. Výrobci zajistí, aby byl v době nákupu jasně a srozumitelně uveden alespoň měsíc a rok skončení doby podpory stanovené v odstavci 8, snadno přístupným způsobem, a to na produktu s digitálními prvky, případně na jeho obalu nebo digitálními prostředky.

Je-li to s ohledem na povahu produktu s digitálními prvky technicky proveditelné, zobrazí výrobci uživatelům oznámení, kterým je informují o tom, že jejich produktu s digitálními prvky končí doba podpory.

20. Výrobci k produktu s digitálními prvky přiloží buď kopii EU prohlášení o shodě, nebo zjednodušené EU prohlášení o shodě. Je-li poskytnuto zjednodušené EU prohlášení o shodě, musí obsahovat přesnou internetovou adresu, kde je přístupné celé EU prohlášení o shodě.

21. Od uvedení na trh a po dobu podpory výrobci, kteří vědí nebo mají důvod se domnívat, že produkt s digitálními prvky nebo postupy zavedené výrobcem nejsou ve shodě se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I, přijmou okamžitě nápravná opatření nezbytná k dosažení shody produktu s digitálními prvky nebo postupů výrobce nebo případně ke stažení produktu z trhu či z oběhu.

22. Výrobci poskytnou orgánu dozoru nad trhem na základě jeho odůvodněné žádosti v jazyce, kterému tento orgán snadno rozumí, všechny informace a dokumentaci v papírové nebo elektronické podobě nezbytnou k prokázání shody produktu s digitálními prvky a postupů zavedených výrobcem se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I. Na žádost tohoto orgánu s ním výrobci spolupracují na veškerých opatřeních přijatých k odstranění kybernetických bezpečnostních rizik představovaných produktem s digitálními prvky, který uvedli na trh.

23. Výrobce, který ukončí svou činnost, a v důsledku toho není schopen dodržovat toto nařízení, informuje před tím, než ukončení činnosti nabude účinku, příslušné orgány dozoru nad trhem a v co největší míře také uživatele příslušných produktů s digitálními prvky uvedené na trh o nadcházejícím ukončení činnosti.

24. Komise může prostřednictvím prováděcích aktů zohledňujících evropské nebo mezinárodní normy a osvědčené postupy stanovit formát a prvky softwarového kusovníku uvedeného v příloze I části II bodě 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 62 odst. 2.

25. Za účelem posouzení závislosti členských států a Unie jako celku na softwarových komponentách, a zejména na komponentách, které jsou považovány za svobodný software s otevřeným zdrojovým kódem, se může specializovaná skupina pro správní spolupráci rozhodnout provést celounijní posouzení závislosti u konkrétních kategorií produktů s digitálními prvky. Za tímto účelem mohou orgány dozoru nad trhem požádat výrobce těchto kategorií produktů s digitálními prvky, aby poskytli příslušné softwarové kusovníky uvedené v příloze I části II bodě 1. Na základě těchto informací mohou orgány dozoru nad trhem poskytnout specializované skupině pro správní spolupráci anonymizované souhrnné informace o závislosti na softwaru. Specializovaná skupina pro správní spolupráci předloží zprávu o výsledcích posouzení závislosti skupině pro spolupráci zřízené podle článku 14 směrnice (EU) 2022/2555.

Povinnosti výrobců podávat zprávy

1. Výrobce každou aktivně zneužívanou zranitelnost obsaženou v produktu s digitálními prvky, o níž se dozví, oznámí současně týmu CSIRT určenému jako koordinátor a agentuře ENISA v souladu s odstavcem 7 tohoto článku. Výrobce tuto aktivně zneužívanou zranitelnost oznámí prostřednictvím jednotné platformy pro podávání zpráv zřízené podle článku 16.

2. Pro účely oznamování ve smyslu odstavce 1 výrobce předloží:

3. Výrobce každý závažný incident, který má dopad na bezpečnost produktu s digitálními prvky, o němž se dozví, oznámí v souladu s odstavcem 7 tohoto článku současně týmu CSIRT určenému jako koordinátor a agentuře ENISA. Výrobce tento incident oznámí prostřednictvím jednotné platformy pro podávání zpráv zřízené podle článku 16.

4. Pro účely oznamování ve smyslu odstavce 3 předloží výrobce:

5. Pro účely odstavce 3 se incident, který má dopad na bezpečnost produktu s digitálními prvky, považuje za závažný, pokud:

6. V případě potřeby může tým CSIRT určený jako koordinátor, který obdržel oznámení jako první, výrobce požádat, aby mu poskytli průběžnou zprávu o relevantním vývoji týkajícím se aktivně zneužívané zranitelnosti nebo závažného incidentu, které mají dopad na bezpečnost produktu s digitálními prvky.

7. Oznámení uvedená v odstavcích 1 a 3 tohoto článku se podávají prostřednictvím jednotné platformy pro podávání zpráv uvedené v článku 16 za použití jednoho z koncových bodů elektronického oznamování uvedených v čl. 16 odst. 1. Oznámení se podává prostřednictvím koncového bodu elektronického oznamování týmu CSIRT určeného jako koordinátor toho členského státu, v němž mají výrobci hlavní provozovnu v Unii, a je současně přístupné agentuře ENISA.

Pro účely tohoto nařízení se má za to, že hlavní provozovnu má výrobce v Unii v tom členském státě, v němž jsou nejčastěji přijímána rozhodnutí týkající se kybernetické bezpečnosti jeho produktů s digitálními prvky. Nelze-li takový členský stát určit, má se za to, že dotčený výrobce má hlavní provozovnu v tom členském státě, v němž má provozovnu s nejvyšším počtem zaměstnanců v Unii.

Pokud výrobce v Unii nemá hlavní provozovnu, podává oznámení uvedená v odstavcích 1 a 3 prostřednictvím koncového bodu elektronického oznamování týmu CSIRT určenému jako koordinátor v členském státě, který je stanoven na základě informací, jež má výrobce k dispozici, a v tomto pořadí:

V souvislosti s třetím pododstavcem písm. d) může výrobce podávat oznámení týkající se jakékoli následné aktivně zneužívané zranitelnosti nebo závažného incidentu, které mají dopad na bezpečnost produktu s digitálními prvky, témuž týmu CSIRT určenému jako koordinátor, jemuž podal prvotní oznámení.

8. Poté, co se dozví o aktivně zneužívané zranitelnosti nebo závažném incidentu, které mají dopad na bezpečnost produktu s digitálními prvky, výrobce informuje zasažené uživatele produktu s digitálními prvky, a případně všechny uživatele, o této zranitelnosti nebo incidentu; v případě potřeby informuje také o veškerých opatřeních na zmírnění rizik a nápravných opatřeních, která mohou uživatelé zavést ke zmírnění dopadu této zranitelnosti nebo incidentu, a to pokud možno ve strukturovaném, strojově čitelném a snadno automaticky zpracovatelném formátu. Pokud výrobce uživatele produktu s digitálními prvky neinformuje včas, mohou týmy CSIRT určené jako koordinátoři, které obdržely oznámení, tyto informace uživatelům poskytnout, je-li to považováno za přiměřené a nezbytné k předejití nebo zmírnění dopadu této zranitelnosti či incidentu.

9. Do 11. prosince 2025 přijme Komise akty v přenesené pravomoci v souladu s článkem 61 tohoto nařízení za účelem doplnění tohoto nařízení stanovením podmínek pro uplatňování důvodů souvisejících s kybernetickou bezpečností, pokud jde o odklad rozesílání oznámení podle čl. 16 odst. 2 tohoto nařízení. Komise při vypracovávání návrhu aktů v přenesené pravomoci spolupracuje se sítí CSIRT zřízenou podle článku 15 směrnice (EU) 2022/2555 a s agenturou ENISA.

10. Komise může prostřednictvím prováděcích aktů dále upřesnit formát a postupy oznamování uvedené v tomto článku a článcích 15 a 16. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 62 odst. 2. Komise při vypracovávání návrhů těchto prováděcích aktů spolupracuje se sítí CSIRT a s agenturou ENISA.

Dobrovolné podávání zpráv

1. Výrobci i jiné fyzické nebo právnické osoby mohou jakoukoliv zranitelnost produktu s digitálními prvky a rovněž kybernetické hrozby, které by mohly ovlivnit rizikový profil tohoto produktu, dobrovolně oznámit týmu CSIRT určenému jako koordinátor nebo agentuře ENISA.

2. Výrobci i jiné fyzické nebo právnické osoby mohou týmu CSIRT určenému jako koordinátor nebo agentuře ENISA dobrovolně oznámit každý incident, který má dopad na bezpečnost produktu s digitálními prvky, jakož i významné události, které k takovému incidentu téměř vedly.

3. Tým CSIRT určený jako koordinátor nebo agentura ENISA zpracuje oznámení uvedená v odstavcích 1 a 2 tohoto článku v souladu s postupem stanoveným v článku 16.

Tým CSIRT určený jako koordinátor může před zpracováním dobrovolných oznámení upřednostnit zpracování povinných oznámení.

4. Pokud aktivně zneužívanou zranitelnost nebo závažný incident, který má dopad na bezpečnost produktu s digitálními prvky, oznámí v souladu s odstavcem 1 nebo 2 fyzická nebo právnická osoba jiná než výrobce, informuje o tom tým CSIRT určený jako koordinátor bez zbytečného odkladu výrobce.

5. Tým CSIRT určený jako koordinátor a agentura ENISA zajistí důvěrnost a odpovídající ochranu informací poskytnutých oznamující fyzickou nebo právnickou osobou. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí vést dobrovolné oznámení vést k tomu, aby oznamující právnické nebo fyzické osobě byly uloženy další povinnosti, které by neměla, pokud by dané oznámení nepodala.

Zřízení jednotné platformy pro podávání zpráv

1. Pro účely oznámení uvedených v čl. 14 odst. 1 a 3 a čl. 15 odst. 1 a 2 a s cílem zjednodušit povinnosti výrobců podávat zprávy zřídí agentura ENISA jednotnou platformu pro podávání zpráv. Každodenní provoz této platformy řídí a udržuje agentura ENISA. Struktura jednotné platformy pro podávání zpráv umožní členským státům a agentuře ENISA zavést vlastní koncové body elektronického oznamování.

2. Tým CSIRT určený jako koordinátor, který obdrží oznámení jako první, jej prostřednictvím jednotné platformy pro podávání zpráv neprodleně rozešle týmům CSIRT určeným jako koordinátoři, na jejichž území byl podle informací výrobce produkt s digitálními prvky zpřístupněn.

Za výjimečných okolností, a zejména na žádost výrobce a s ohledem na úroveň citlivosti oznámených informací uvedenou výrobcem podle čl. 14 odst. 2 písm. a) tohoto nařízení, může být rozesílání oznámení z opodstatněných důvodů souvisejících s kybernetickou bezpečností po nezbytně nutnou dobu odloženo, a to i tehdy, když se na zranitelnost vztahuje postup koordinovaného zveřejňování zranitelností podle čl. 12 odst. 1 směrnice (EU) 2022/2555. Pokud se tým CSIRT rozhodne rozesílání oznámení odložit, neprodleně o tomto rozhodnutí informuje agenturu ENISA, odklad zdůvodní a zároveň uvede, kdy bude v souladu s postupem pro rozesílání informací stanoveným v tomto odstavci oznámení rozesílat. Při uplatňování důvodů souvisejících s kybernetickou bezpečností v souvislosti s odkladem rozesílání uvedených oznámení může být týmu CSIRT nápomocna agentura ENISA.

Za zvláště výjimečných okolností, pokud výrobce v oznámení podle čl. 14 odst. 2 písm. b) uvede, že:

jsou agentuře ENISA souběžně zpřístupněny pouze informace o tom, že výrobce podal oznámení, obecné informace o produktu, informace o obecné povaze zneužívání a informace o tom, že byly uvedeny důvody související s bezpečností, a to až do chvíle, než bude dotčeným týmům CSIRT a agentuře ENISA rozesláno úplné oznámení. Pokud se agentura ENISA na základě těchto informací domnívá, že existuje systémové riziko ovlivňující bezpečnost na vnitřním trhu, doporučí týmu CSIRT, který získal oznámení jako první, aby ostatním týmům CSIRT určeným jako koordinátoři i samotné agentuře ENISA zaslal úplné oznámení.

3. Po obdržení oznámení o aktivně zneužívané zranitelnosti produktu s digitálními prvky nebo o závažném incidentu, který má dopad na bezpečnost produktu s digitálními prvky, poskytnou týmy CSIRT určené jako koordinátoři orgánům dozoru nad trhem ve svých příslušných členských státech oznámené informace nezbytné k tomu, aby orgány dozoru nad trhem mohly plnit své povinnosti podle tohoto nařízení.

4. Agentura ENISA přijme vhodná a přiměřená technická, provozní a organizační opatření k řízení rizik ohrožujících bezpečnost jednotné platformy pro podávání zpráv a informací předkládaných nebo rozesílaných prostřednictvím jednotné platformy pro podávání zpráv. Každý bezpečnostní incident, který má dopad na jednotnou platformu pro podávání zpráv, oznámí bez zbytečného odkladu síti CSIRT a Komisi.

5. Agentura ENISA ve spolupráci se sítí CSIRT poskytuje a uplatňuje specifikace technických, provozních a organizačních opatření týkajících se zřízení, údržby a bezpečného provozu jednotné platformy pro podávání zpráv uvedené v odstavci 1, a to včetně alespoň bezpečnostních opatření týkajících se zřízení, provozu a údržby jednotné platformy pro podávání zpráv, jakož i koncových bodů elektronického oznamování zřízených na úrovni členských států týmy CSIRT určenými jako koordinátoři a na úrovni Unie agenturou ENISA, včetně procesních aspektů, a sice s cílem zajistit, aby v případě, že pro oznámenou zranitelnost nejsou k dispozici žádná nápravná ani zmírňující opatření, byly informace o této zranitelnosti poskytovány v souladu s přísnými bezpečnostními protokoly a na základě zásady „vědět jen to nejnutnější“ (need to know).

6. Pokud byl tým CSIRT určený jako koordinátor upozorněn na aktivně zneužívanou zranitelnost v rámci postupu koordinovaného zveřejňování zranitelností podle čl. 12 odst. 1 směrnice (EU) 2022/2555, může tým CSIRT určený jako koordinátor, který obdržel oznámení jako první, odložit rozesílání příslušného oznámení prostřednictvím jednotné platformy pro podávání zpráv na základě oprávněných důvodů souvisejících s kybernetickou bezpečností na nezbytně nutnou dobu, a to až do okamžiku, než získá souhlas stran zapojených do koordinovaného zveřejňování zranitelností. Tento požadavek nebrání výrobcům v dobrovolném oznamování dané zranitelnosti v souladu s postupem stanoveným v tomto článku.

Další ustanovení týkající se podávání zpráv

1. Agentura ENISA může Evropské síti styčných organizací pro řešení kybernetických krizí (EU-CyCLONe) zřízené článkem 16 směrnice (EU) 2022/2555 poskytovat informace oznámené podle čl. 14 odst. 1 a 3 a čl. 15 odst. 1 a 2 tohoto nařízení, pokud jsou tyto informace relevantní z hlediska koordinovaného řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí na operativní úrovni. Při určování toho, zda jsou tyto informace relevantní, může agentura ENISA zohlednit technické analýzy provedené sítí CSIRT, jsou-li k dispozici.

2. Je-li k prevenci nebo ke zmírnění závažného incidentu, který má dopad na bezpečnost produktu s digitálními prvky, nebo k řešení probíhajícího incidentu nezbytná informovanost veřejnosti, nebo pokud je zveřejnění incidentu jinak ve veřejném zájmu, může tým CSIRT určený jako koordinátor v příslušném členském státě po konzultaci s dotčeným výrobcem a případně ve spolupráci s agenturou ENISA o incidentu informovat veřejnost nebo požádat výrobce, aby tak učinil.

3. Agentura ENISA na základě oznámení obdržených podle čl. 14 odst. 1 a 3 a čl. 15 odst. 1 a 2 tohoto nařízení vypracuje každých 24 měsíců odbornou zprávu o nových trendech týkajících se kybernetických bezpečnostních rizik u produktů s digitálními prvky a předloží ji skupině pro spolupráci zřízené podle článku 14 směrnice (EU) 2022/2555. První z těchto zpráv je nutné předložit do 24 měsíců ode dne, kdy se začaly uplatňovat povinnosti stanovené v čl. 14 odst. 1 a 3. Agentura ENISA zahrne příslušné informace ze svých odborných zpráv do své zprávy o stavu kybernetické bezpečnosti v Unii podle článku 18 směrnice (EU) 2022/2555.

4. Pouhé oznámení podle čl. 14 odst. 1 a 3 nebo čl. 15 odst. 1 a 2 nepředstavuje pro oznamující subjekt vyšší míru právní odpovědnosti oznamujícího subjektu..

5. Poté, co je k dispozici bezpečnostní aktualizace nebo jiná forma nápravného či zmírňujícího opatření, přidá agentura ENISA po dohodě s výrobcem dotčeného produktu s digitálními prvky veřejně známou zranitelnost oznámenou podle čl. 14 odst. 1 nebo čl. 15 odst. 1 tohoto nařízení do evropské databáze zranitelností zřízené podle čl. 12 odst. 2 směrnice (EU) 2022/2555.

6. Týmy CSIRT určené jako koordinátoři poskytují v souvislosti s povinností podávat zprávy podle článku 14 helpdesk podporu výrobcům, a to především těm, kteří naplňují definici mikropodniků nebo malých či středních podniků.

Zplnomocnění zástupci

1. Výrobce může písemným pověřením jmenovat zplnomocněného zástupce.

2. Povinnosti stanovené v čl. 13 odst. 1 až 11, čl. 13 odst. 12 prvním pododstavci a čl. 13 odst. 14 nejsou součástí pověření zplnomocněného zástupce.

3. Zplnomocněný zástupce plní úkoly stanovené v pověření, které obdržel od výrobce. Na vyžádání poskytne kopii pověření orgánům dozoru nad trhem. Pověření musí zplnomocněnému zástupci umožňovat alespoň:

Povinnosti dovozců

1. Dovozci uvádějí na trh pouze produkty s digitálními prvky, které splňují základní požadavky na kybernetickou bezpečnost stanovené v příloze I části I a u nichž jsou postupy zavedené výrobcem v souladu se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I části II.

2. Před uvedením produktu s digitálními prvky na trh dovozci zajistí, aby:

Pro účely tohoto odstavce musí být dovozci schopni poskytnout nezbytné dokumenty prokazující splnění požadavků stanovených v tomto článku.

3. Jestliže se dovozce domnívá nebo má důvod se domnívat, že produkt s digitálními prvky nebo postupy zavedené výrobcem nejsou ve shodě s tímto nařízením, neuvede dovozce produkt na trh, dokud u tohoto produktu nebo u postupů zavedených výrobcem nebude dosaženo shody s tímto nařízením. Pokud navíc produkt s digitálními prvky představuje významné kybernetické bezpečnostní riziko, informuje o tom dovozce výrobce a orgány dozoru nad trhem.

Pokud má dovozce důvod se domnívat, že určitý produkt s digitálními prvky může představovat významné kybernetické bezpečnostní riziko s ohledem na rizikové faktory jiné než technické povahy, informuje o tom orgány dozoru nad trhem. Po obdržení takovýchto informací se orgány dozoru nad trhem řídí postupy uvedenými v čl. 54 odst. 2.

4. Dovozci uvedou na produktu s digitálními prvky nebo na jeho obalu či v dokumentu přiloženém k tomuto produktu své jméno, zapsaný obchodní název nebo zapsanou ochrannou známku, poštovní adresu, e-mailovou adresu nebo jiné digitální kontaktní údaje, a případně internetovou stránku, na níž je lze kontaktovat. Kontaktní údaje se uvádějí v jazyce snadno srozumitelném uživatelům a orgánům dozoru nad trhem.

5. Dovozci, kteří vědí nebo mají důvod se domnívat, že produkt s digitálními prvky, který uvedli na trh, není v souladu s tímto nařízením, přijmou okamžitě nápravná opatření nezbytná k zajištění toho, aby byl produkt s digitálními prvky uveden do souladu s tímto nařízením, nebo aby byl v případě potřeby stažen z trhu či z oběhu.

Poté, co se dovozci dozvědí o zranitelnosti produktu s digitálními prvky, informují o této zranitelnosti bez zbytečného odkladu výrobce. Dále, pokud produkt s digitálními prvky představuje významné kybernetické bezpečnostní riziko, informují o tom dovozci neprodleně orgány dozoru nad trhem v členských státech, v nichž produkt s digitálními prvky dodali na trh, a uvedou podrobnosti, zejména o nesouladu a o přijatých nápravných opatřeních.

6. Dovozci po dobu alespoň deseti let od uvedení produktu s digitálními prvky na trh nebo po dobu trvání doby podpory, podle toho, které z těchto časových období je delší, uchovávají kopii EU prohlášení o shodě pro potřebu orgánů dozoru nad trhem a zajišťují, aby těmto orgánům mohla být na žádost předložena technická dokumentace.

7. Dovozci poskytnou orgánu dozoru nad trhem na základě jeho odůvodněné žádosti všechny informace a dokumentaci v tištěné nebo elektronické podobě, které jsou nezbytné k prokázání shody produktu s digitálními prvky se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I části I, jakož i shody postupů zavedených výrobcem se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I části II, a to v jazyce snadno srozumitelném tomuto orgánu. Spolupracují s tímto orgánem na jeho žádost na veškerých opatřeních přijatých k odstranění kybernetických bezpečnostních rizik představovaných produktem s digitálními prvky, který uvedli na trh.

8. Pokud se dovozce produktu s digitálními prvky dozví, že výrobce tohoto produktu ukončil svou činnost, a v důsledku toho není schopen splnit povinnosti stanovené v tomto nařízení, informuje o této situaci příslušné orgány dozoru nad trhem a jakýmikoli dostupnými prostředky a v co největší míře také uživatele produktů s digitálními prvky uváděných na trh.

Povinnosti distributorů

1. Při dodávání produktu s digitálními prvky na trh distributoři jednají s řádnou péčí, pokud jde o požadavky stanovené v tomto nařízení.

2. Před dodáním produktu s digitálními prvky na trh dovozci ověří, že:

3. Jestliže se distributor na základě informací, které má k dispozici, domnívá nebo má důvod se domnívat, že produkt s digitálními prvky nebo postupy zavedené výrobcem nejsou ve shodě se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I, nesmí dodat produkt s digitálními prvky na trh, dokud tento produkt nebo postupy zavedené výrobcem nedosáhnou shody s tímto nařízením. Pokud navíc produkt s digitálními prvky představuje významné kybernetické bezpečnostní riziko, informuje o tom distributor bez zbytečného odkladu výrobce a orgány dozoru nad trhem.

4. Distributoři, kteří na základě informací, jež mají k dispozici, vědí nebo mají důvod se domnívat, že produkt s digitálními prvky, který dodali na trh, nebo postupy zavedené jeho výrobcem nejsou ve shodě s tímto nařízením, zajistí, aby byla přijata nápravná opatření nezbytná k tomu, aby produkt s digitálními prvky nebo postupy zavedené jeho výrobcem dosáhly shody, nebo případně ke stažení tohoto produktu z trhu nebo z oběhu.

Poté, co se dozvědí o zranitelnosti produktu s digitálními prvky, informují distributoři o této zranitelnosti bez zbytečného odkladu výrobce. Dále, pokud produkt s digitálními prvky představuje významné kybernetické bezpečnostní riziko, informují o tom distributoři neprodleně orgány dozoru nad trhem členských států, v nichž produkt s digitálními prvky dodali na trh, a uvedou podrobnosti, zejména o nesouladu a o přijatých nápravných opatřeních.

5. Distributoři poskytnou orgánu dozoru nad trhem na základě jeho odůvodněné žádosti všechny informace a dokumentaci v tištěné nebo elektronické podobě, které jsou nezbytné k prokázání shody produktu s digitálními prvky a postupů zavedených jeho výrobcem s tímto nařízením, a to v jazyce snadno srozumitelném tomuto orgánu. Spolupracují s tímto orgánem na jeho žádost na veškerých opatřeních přijatých k odstranění kybernetických bezpečnostních rizik představovaných produktem s digitálními prvky, který dodali na trh.

6. Pokud distributor produktu s digitálními prvky na základě informací, které má k dispozici, zjistí, že výrobce tohoto produktu ukončil svou činnost, a v důsledku toho není schopen splnit povinnosti stanovené v tomto nařízení, informuje o této situaci bez zbytečného odkladu příslušné orgány dozoru nad trhem a jakýmikoli dostupnými prostředky a v co největší míře také uživatele produktů s digitálními prvky uváděných na trh.

Případy, kdy se povinnosti výrobců vztahují na dovozce a distributory

Dovozce nebo distributor je pro účely tohoto nařízení považován za výrobce a vztahují se na něj ustanovení článku 13 a 14, pokud tento dovozce nebo distributor uvede na trh produkt s digitálními prvky pod svým jménem nebo pod svou ochrannou známkou nebo provede podstatnou změnu produktu s digitálními prvky, který již byl na trh uveden.

Ostatní případy, na něž se vztahují povinnosti výrobců

1. Fyzická nebo právnická osoba jiná než výrobce, dovozce nebo distributor, která provádí podstatnou změnu produktu s digitálními prvky a dodává tento produkt na trh, se pro účely tohoto nařízení považuje za výrobce.

2. Na osobu uvedenou v odstavci 1 tohoto článku se vztahují povinnosti stanovené v článku 13 a 14, ohledně části produktu s digitálními prvky, která je touto podstatnou změnou ovlivněna, nebo jestliže má tato podstatná změna dopad na kybernetickou bezpečnost produktu s digitálními prvky jako celku, ohledně celého produktu.

Identifikace hospodářských subjektů

1. Hospodářské subjekty poskytnou orgánům dozoru nad trhem na žádost následující informace:

2. Hospodářské subjekty musejí být schopny poskytnout informace uvedené v odstavci 1 po dobu deseti let poté, co jim byl produkt s digitálními prvky dodán, a po dobu deseti let poté, co produkt s digitálními prvky dodaly.

Povinnosti správců softwaru s otevřeným zdrojovým kódem

1. Správci softwaru s otevřeným zdrojovým kódem zavedou a ověřitelným způsobem zdokumentují politiku kybernetické bezpečnosti, která podporuje vývoj bezpečného produktu s digitálními prvky a efektivní řešení zranitelností vývojáři daného produktu. Tato politika podporuje také dobrovolné hlášení zranitelností vývojáři daného produktu, jak je stanoveno v článku 15, a zohledňuje specifickou povahu správce softwaru s otevřeným zdrojovým kódem a právní a organizační opatření, která se na něj vztahují. Tato politika zahrnuje především aspekty související s dokumentací, řešením a odstraňováním zranitelností a podporuje sdílení informací týkajících se zjištěných zranitelností v rámci komunity zabývající se vývojem softwaru s otevřeným zdrojovým kódem.

2. Správci softwaru s otevřeným zdrojovým kódem spolupracují, jsou-li o to požádáni, s orgány dozoru nad trhem na zmírnění kybernetických bezpečnostních rizik, která představuje produkt s digitálními prvky považovaný za svobodný software s otevřeným zdrojovým kódem.

Na základě odůvodněné žádosti orgánu dozoru nad trhem poskytnou správci softwaru s otevřeným zdrojovým kódem tomuto orgánu dokumentaci uvedenou v odstavci 1, a to v tištěné nebo elektronické podobě a v jazyce, který je pro něj snadno srozumitelný.

3. Povinnosti stanovené v čl. 14 odst. 1 se na správce softwaru s otevřeným zdrojovým kódem uplatní do té míry, do jaké jsou zapojeni do vývoje produktů s digitálními prvky. Povinnosti stanovené v čl. 14 odst. 3 a 8 se na správce softwaru s otevřeným zdrojovým kódem uplatní do té míry, do jaké závažné incidenty s dopadem na bezpečnost produktů s digitálními prvky ovlivňují síť a informační systémy poskytované správci softwaru s otevřeným zdrojovým kódem k vývoji takových produktů.

Potvrzení o bezpečnosti svobodného softwaru s otevřeným zdrojovým kódem

S cílem usnadnit plnění povinnosti náležité péče stanovené v čl. 13 odst. 5, zejména pokud jde o výrobce, kteří do svých produktů s digitálními prvky začleňují komponenty sestávající ze svobodného softwaru s otevřeným zdrojovým kódem, je Komisi svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 61 za účelem doplnění tohoto nařízení zavedením programů dobrovolného potvrzení o bezpečnosti, které vývojářům nebo uživatelům produktů s digitálními prvky považovaných za svobodný software s otevřeným zdrojovým kódem a dalším třetím stranám umožní posoudit shodu těchto produktů se všemi nebo některými základními požadavky na kybernetickou bezpečnost či jinými povinnostmi stanovenými v tomto nařízení.

Pokyny

1. S cílem usnadnit důsledné uplatňování tohoto nařízení zveřejní Komise doporučující pokyny, které hospodářským subjektům pomohou s jeho uplatňováním, a to zejména s důrazem na usnadnění jeho dodržování mikropodnikům a malým a středním podnikům.

2. Pokud má Komise v úmyslu poskytnout pokyny podle odstavce 1, bude se zabývat přinejmenším následujícími aspekty:

Komise rovněž vede snadno přístupný seznam aktů v přenesené pravomoci a prováděcích aktů přijatých podle tohoto nařízení.

3. Při přípravě pokynů podle tohoto článku Komise vede konzultace s příslušnými zúčastněnými stranami.

Předpoklad shody

1. Předpokládá se, že produkty s digitálními prvky a postupy zavedené výrobcem, které jsou ve shodě s harmonizovanými normami nebo jejich částmi, na něž byly zveřejněny odkazy v Úředním věstníku Evropské unie, jsou ve shodě se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I, na které se tyto normy nebo jejich části vztahují.

Komise v souladu s čl. 10 odst. 1 nařízení (EU) č. 1025/2012 požádá jednu nebo více evropských normalizačních organizací o vypracování harmonizovaných norem pro základní požadavky na kybernetickou bezpečnost stanovené v příloze I tohoto nařízení. Při přípravě žádosti o normalizaci pro účely tohoto nařízení usiluje Komise o zohlednění stávajících evropských nebo mezinárodních norem pro kybernetickou bezpečnost, které byly zavedeny nebo jsou vyvíjeny, s cílem zjednodušit vypracování harmonizovaných norem, v souladu s nařízením (EU) č. 1025/2012.

2. Komise může přijmout prováděcí akty, jimiž stanoví společné specifikace týkající se technických požadavků, které představují prostředek ke splnění základních požadavků na kybernetickou bezpečnost stanovených v příloze I u produktů s digitálními prvky spadajících do oblasti působnosti tohoto nařízení.

Tyto prováděcí akty se přijmou, pouze pokud jsou splněny tyto podmínky:

Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 62 odst. 2.

3. Před vypracováním návrhu prováděcího aktu podle odstavce 2 tohoto článku informuje Komise výbor uvedený v článku 22 nařízení (EU) č. 1025/2012 o tom, že se domnívá, že podmínky uvedené v odstavci 2 tohoto článku byly splněny.

4. Při vypracovávání návrhu prováděcího aktu podle odstavce 2 zohlední Komise stanoviska příslušných subjektů a vede řádné konzultace se všemi příslušnými zúčastněnými stranami.

5. Předpokládá se, že produkty s digitálními prvky a postupy zavedené výrobcem, které jsou ve shodě se společnými specifikacemi stanovenými v prováděcích aktech uvedených v odstavci 2 tohoto článku, nebo s jejich částmi, splňují základní požadavky na kybernetickou bezpečnost stanovené v příloze I, na které se vztahují tyto společné specifikace nebo jejich části.

6. Pokud je harmonizovaná norma přijata evropskou normalizační organizací a předložena Komisi ke zveřejnění odkazu na ni v Úředním věstníku Evropské unie, posoudí Komise tuto harmonizovanou normu v souladu s nařízením (EU) č. 1025/2012. Je-li odkaz na harmonizovanou normu zveřejněn v Úředním věstníku Evropské unie, Komise zruší prováděcí akty uvedené v odstavci 2 tohoto článku nebo jejich části, které se týkají stejných základních požadavků na kybernetickou bezpečnost jako požadavky uvedené v této harmonizované normě.

7. Pokud se členský stát domnívá, že společná specifikace zcela nesplňuje základní požadavky na kybernetickou bezpečnost stanovené v příloze I, uvědomí o tom Komisi prostřednictvím podrobného vysvětlení. Komise toto podrobné vysvětlení posoudí a v odůvodněném případě může prováděcí akt, kterým se daná společná specifikace stanovuje, změnit.

8. Předpokládá se, že produkty s digitálními prvky a postupy zavedené výrobcem, pro něž bylo vydáno EU prohlášení o shodě nebo certifikát v rámci evropského schématu certifikace kybernetické bezpečnosti přijatého podle nařízení (EU) 2019/881, jsou ve shodě se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I, pokud se na tyto požadavky vztahuje EU prohlášení o shodě nebo evropský certifikát kybernetické bezpečnosti či jeho části.

9. Komisi je za účelem doplnění tohoto nařízení svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 61 tohoto nařízení, jimiž upřesní evropská schémata certifikace kybernetické bezpečnosti přijatá podle nařízení (EU) 2019/881, která lze použít k prokázání shody produktů s digitálními prvky se základními požadavky na kybernetickou bezpečnost nebo jejich částmi stanovenými v příloze I tohoto nařízení. Vydání evropského certifikátu kybernetické bezpečnosti vydaného v rámci těchto schémat alespoň na úrovni záruky „významná“ dále ruší povinnost výrobce nechat provést posouzení shody třetí stranou pro účely příslušných požadavků, jak je stanoveno v čl. 32 odst. 2 písm. a) a b) a čl. 32 odst. 3 písm. a) a b) tohoto nařízení.

EU prohlášení o shodě

1. EU prohlášení o shodě vypracují výrobci v souladu s čl. 13 odst. 12 a je v něm uvedeno, že bylo prokázáno splnění příslušných základních požadavků na kybernetickou bezpečnost stanovených v příloze I.

2. EU prohlášení o shodě je vypracováno podle vzoru uvedeného v příloze V a obsahuje prvky stanovené v příslušných postupech posuzování shody stanovených v příloze VIII. Toto prohlášení je podle potřeby aktualizováno. Prohlášení je k dispozici v jazycích požadovaných členským státem, v němž je produkt s digitálními prvky uváděn nebo dodáván na trh.

Zjednodušené EU prohlášení o shodě podle čl. 13 odst. 20 se vypracuje podle vzoru uvedeného v příloze VI. Je k dispozici v jazycích požadovaných členským státem, v němž je produkt s digitálními prvky uváděn nebo dodáván na trh.

3. Pokud se na produkt s digitálními prvky vztahuje více než jeden právní akt Unie vyžadující EU prohlášení o shodě, vypracuje se pro všechny tyto právní akty Unie jediné EU prohlášení o shodě. V prohlášení se uvedou dotčené právní akty Unie, včetně odkazů na jejich zveřejnění.

4. Vypracováním EU prohlášení o shodě přebírá výrobce odpovědnost za soulad produktu s digitálními prvky s příslušnými požadavky.

5. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 61 za účelem doplnění tohoto nařízení přidáním dalších prvků k minimálnímu obsahu EU prohlášení o shodě stanoveného v příloze V s cílem zohlednit technický vývoj.

Obecné zásady, kterými se řídí označení CE

Označení CE podléhá obecným zásadám uvedeným v článku 30 nařízení (ES) č. 765/2008.

Pravidla a podmínky pro umístění označení CE

1. Označení CE se umístí viditelně, čitelně a nesmazatelně na produkt s digitálními prvky. Pokud to vzhledem k povaze produktu s digitálními prvky není možné nebo opodstatněné, umístí se označení CE na obal a na EU prohlášení o shodě podle článku 28, které je přiloženo k produktu s digitálními prvky. U produktů s digitálními prvky, které jsou ve formě softwaru, se označení CE umístí buď na EU prohlášení o shodě podle článku 28, nebo na internetové stránky doprovázející softwarový produkt. V druhém případě musí být příslušná část internetové stránky snadno a přímo přístupná spotřebitelům.

2. Vzhledem k povaze produktu s digitálními prvky může být výška označení CE umístěného na produkt s digitálními prvky menší než 5 mm za předpokladu, že označení zůstane viditelné a čitelné.

3. Označení CE se umístí před uvedením produktu s digitálními prvky na trh. Za označením může následovat piktogram nebo jakákoli jiná značka označující zvláštní kybernetické bezpečnostní riziko nebo použití stanovené v prováděcích aktech podle odstavce 6.

4. Za označením CE následuje identifikační číslo oznámeného subjektu, je-li tento subjekt zapojen do postupu posuzování shody založeného na komplexním zabezpečování kvality (na základě modulu H) podle článku 32.

Identifikační číslo oznámeného subjektu umístí sám subjekt, nebo jej umístí podle jeho pokynů výrobce či zplnomocněný zástupce výrobce.

5. Členské státy vycházejí ze stávajících mechanismů, aby zajistily řádné uplatňování režimu označování CE, a přijmou vhodná opatření v případě nesprávného použití tohoto označení. Pokud se na produkt s digitálními prvky vztahují jiné harmonizační právní předpisy Unie, než je toto nařízení, které rovněž stanovují umístění označení CE, pak se v tomto označení uvede, že produkt splňuje také požadavky stanovené v těchto jiných harmonizačních právních předpisech Unie.

6. Komise může prostřednictvím prováděcích aktů stanovit technické specifikace pro označování, piktogramy nebo jakékoli jiné značky týkající se bezpečnosti produktů s digitálními prvky, dobu jejich podpory a mechanismy na podporu jejich používání a na zvýšení informovanosti veřejnosti o bezpečnosti produktů s digitálními prvky. Při vypracovávání návrhů prováděcích aktů vede Komise konzultace s příslušnými zúčastněnými stranami a se specializovanou skupinou pro správní spolupráci, pokud již byla zřízena podle čl. 52 odst. 15. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 62 odst. 2.

Technická dokumentace

1. Technická dokumentace musí obsahovat všechny příslušné údaje nebo podrobné informace o prostředcích, které výrobce použil k zajištění toho, aby produkt s digitálními prvky a postupy zavedené výrobcem byly v souladu se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I. Technická dokumentace obsahuje alespoň prvky stanovené v příloze VII.

2. Technická dokumentace se vypracuje před uvedením produktu s digitálními prvky na trh a ve vhodných případech je průběžně aktualizována přinejmenším během doby podpory.

3. Pro produkty s digitálními prvky podle článku 12, které se řídí i jinými právními akty Unie, které se zabývají technickou dokumentaci, se vypracuje jediný soubor technické dokumentace obsahující informace podle přílohy VII a informace požadované těmito právními akty Unie.

4. Technická dokumentace a korespondence týkající se jakéhokoli postupu posuzování shody se vypracuje v úředním jazyce členského státu, v němž je oznámený subjekt usazen, nebo v jazyce pro tento subjekt přijatelném.

5. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 61 za účelem doplnění tohoto nařízení přidáním prvků, které mají být zahrnuty do technické dokumentace stanovené v příloze VII, s cílem zohlednit technický vývoj i vývoj při uplatňování tohoto nařízení. Komise se za tímto účelem snaží zajistit, aby byla administrativní zátěž pro mikropodniky a malé a střední podniky přiměřená.

Postupy posuzování shody u produktů s digitálními prvky

1. Výrobce provede posouzení shody produktu s digitálními prvky a postupů, které zavedl, s cílem určit, zda jsou splněny základní požadavky na kybernetickou bezpečnost stanovené v příloze I. Výrobce prokazuje shodu se základními požadavky na kybernetickou bezpečnost v rámci některého z těchto postupů:

2. Pokud při posuzování souladu důležitého produktu s digitálními prvky, který spadá do třídy I podle přílohy III, a postupů zavedených jeho výrobcem se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I výrobce nepoužil harmonizované normy, společné specifikace nebo evropská schémata certifikace kybernetické bezpečnosti alespoň na úrovni záruky „významná“ podle článku 27, nebo je použil pouze částečně, nebo jestliže takové harmonizované normy, společné specifikace nebo evropská schémata certifikace kybernetické bezpečnosti neexistují, použije se na dotčený produkt s digitálními prvky a na postupy zavedené výrobcem s ohledem na tyto základní požadavky na kybernetickou bezpečnost kterýkoliv z těchto postupů:

3. Pokud je produkt důležitým produktem s digitálními prvky, který spadá do třídy II podle přílohy III, výrobce prokáže shodu se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I v rámci některého z těchto postupů:

4. U kritických produktů s digitálními prvky uvedených v příloze IV se prokazuje shoda se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I v rámci jednoho z těchto postupů:

5. Výrobci produktů s digitálními prvky považovaných za svobodný software s otevřeným zdrojovým kódem, které patři do kategorií uvedených v příloze III, mají možnost prokázat shodu se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I v rámci jednoho z postupů uvedených v odst. 1 tohoto článku za předpokladu, že je v okamžiku uvedení těchto produktů na trh zpřístupněna veřejnosti technická dokumentace uvedená v článku 31.

6. Při stanovování poplatků za posuzování shody se vezmou v úvahu specifické zájmy a potřeby mikropodniků a malých a středních podniků, včetně začínajících podniků, a tyto poplatky se přiměřeně k jejich specifickým zájmům a potřebám sníží.

Podpůrná opatření pro mikropodniky a malé a střední podniky, včetně začínajících podniků

1. Členské státy ve vhodných případech přijmou opatření upravená pro potřeby mikropodniků a malých podniků, kterými:

2. Členské státy mohou případně vytvořit regulační sandboxy pro kybernetickou odolnost. Tyto regulační sandboxy představují kontrolované testovací prostředí pro inovativní produkty s digitálními prvky, které by mělo usnadnit jejich vývoj, návrh, validaci a testování pro účely souladu s tímto nařízením po omezenou dobu před jejich uvedením na trh. Komise a případně agentura ENISA může poskytnout technickou podporu, poradenství a nástroje k vytvoření a provozování regulačních sandboxů. Regulační sandboxy se zřizují pod přímým dohledem orgánů dozoru nad trhem, podle jejich pokynů a s jejich podporou. Členské státy informují Komisi a ostatní orgány dozoru nad trhem o zřízení regulačního sandboxu prostřednictvím specializované skupiny pro správní spolupráci. Regulační sandboxy nesmějí mít vliv na pravomoci příslušných orgánů v oblasti dozoru a nápravy. Členské státy zajistí otevřený, spravedlivý a transparentní přístup k regulačním sandboxům, zejména snadnější přístup mikropodniků a malých podniků, včetně začínajících podniků.

3. V souladu s článkem 26 poskytne Komise doporučující pokyny mikropodnikům a malým a středním podnikům v oblasti uplatňování tohoto nařízení.

4. Komise bude informovat o dostupné finanční podpoře v regulačním rámci stávajících programů Unie, zejména s cílem snížit finanční zátěž mikropodniků a malých podniků.

5. Mikropodniky a malé podniky mohou poskytnout veškeré prvky technické dokumentace uvedené v příloze VII ve zjednodušeném formátu. Pro tento účel Komise prostřednictvím prováděcích aktů upřesní zjednodušený formulář technické dokumentace zaměřený na potřeby mikropodniků a malých podniků, včetně toho, jak mají být poskytnuty prvky uvedené v příloze VII. V případě, že se mikropodnik nebo malý podnik rozhodne poskytnout informace stanovené v příloze VII ve zjednodušeném formátu, použije formulář uvedený v tomto odstavci. Oznámené subjekty tento formulář přijmou pro účely posouzení shody.

Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 62 odst. 2.

Dohody o vzájemném uznávání

S ohledem na úroveň technického vývoje a na přístup k posuzování shody v případě třetích zemí může Unie v zájmu podpory a usnadnění mezinárodního obchodu uzavřít se třetími zeměmi dohody o vzájemném uznávání podle článku 218 Smlouvy o fungování EU.

Oznámení

1. Členské státy oznámí Komisi a ostatním členským státům subjekty, které jsou oprávněny vykonávat posuzování shody podle tohoto nařízení.

2. Členské státy usilují o zajištění toho, aby do 11. prosince 2026 existoval v Unii dostatečný počet oznámených subjektů k provádění posuzování shody, aby nedocházelo překážkám a problémům, které by bránily vstupu na trh.

Oznamující orgány

1. Každý členský stát jmenuje oznamující orgán odpovědný za stanovení a provádění postupů nezbytných pro posuzování, jmenování a oznamování subjektů posuzování shody a za jejich monitorování, včetně souladu s článkem 41.

2. Členské státy mohou rozhodnout, že posuzování a kontrolu podle odstavce 1 provádí vnitrostátní akreditační orgán ve smyslu nařízení (ES) č. 765/2008 a v souladu s ním.

3. Pokud oznamující orgán přenese posuzování, oznamování nebo kontrolu podle odstavce 1 tohoto článku na subjekt, který není orgánem veřejné správy, nebo tomuto subjektu svěří plnění uvedených úkolů jiným způsobem, musí být tento subjekt právnickou osobou a musí splňovat požadavky článku 37 obdobně. Tento subjekt musí dále přijmout opatření, aby byla pokryta odpovědnost vyplývající z jeho činnosti.

4. Oznamující orgán nese za úkoly vykonávané subjektem uvedeným v odstavci 3 plnou odpovědnost.

Požadavky týkající se oznamujících orgánů

1. Oznamující orgán musí být zřízen takovým způsobem, aby nedošlo ke střetu zájmů se subjekty posuzování shody.

2. Oznamující orgán je organizován a funguje tak, aby byla chráněna objektivita a nestrannost jeho činnosti.

3. Oznamující orgán je organizován takovým způsobem, aby každé rozhodnutí týkající se oznámení subjektu posuzování shody bylo přijato odborně způsobilými osobami jinými než osobami, které provedly posouzení.

4. Oznamující orgán nenabízí ani nezajišťuje žádnou činnost, kterou provádějí subjekty posuzování shody, ani neposkytuje poradenské služby na komerčním či konkurenčním základě.

5. Oznamující orgán chrání důvěrnost informací, které obdržel.

6. Oznamující orgán má k dispozici dostatečný počet odborně způsobilých pracovníků, aby mohl řádně vykonávat své úkoly.

Informační povinnost oznamujících orgánů

1. Členské státy informují Komisi o svých postupech pro posuzování a oznamování subjektů posuzování shody a kontrolu oznámených subjektů a o veškerých změnách týkajících se těchto postupů.

2. Komise informace uvedené v odstavci 1 zveřejní.

Požadavky týkající se oznámených subjektů

1. Pro účely oznámení musí subjekt posuzování shody splňovat požadavky stanovené v odstavcích 2 až 12.

2. Subjekt posuzování shody musí být zřízen podle vnitrostátního práva a mít právní subjektivitu.

3. Subjekt posuzování shody musí být třetí stranou nezávislou na organizaci nebo produktu s digitálními prvky, které posuzuje.

Za subjekt, který je třetí stranou, může být považován subjekt patřící k hospodářskému sdružení nebo profesnímu svazu, které zastupují podniky zapojené do projektování, vývoje, výroby, dodávání, montáže, používání nebo údržby produktů s digitálními prvky, které tento subjekt posuzuje, pokud je prokázána jeho nezávislost a neexistence jakéhokoli střetu zájmů.

4. Subjekt posuzování shody, jeho nejvyšší vedení a pracovníci odpovědní za vykonávání úkolů posuzování shody nesmějí být osobami, které projektují, vyvíjejí, vyrábějí, dodávají, dovážejí, distribuují, instalují, nakupují, vlastní, používají nebo udržují produkty s digitálními prvky, které posuzují, ani zplnomocněnými zástupci kterékoli z těchto stran. To nevylučuje používání posuzovaných produktů, které jsou nezbytné pro činnost subjektu posuzování shody, ani používání takových produktů k osobním účelům.

Subjekt posuzování shody, jeho nejvyšší vedení a pracovníci odpovědní za vykonávání úkolů posuzování shody se nesmějí přímo podílet na projektování, vývoji, výrobě, dovozu, distribuci, nabízení, instalaci, používání ani údržbě produktů s digitálními prvky, které posuzují, ani nesmějí zastupovat strany, které se těmito činnostmi zabývají. Nesmějí vykonávat žádnou činnost, která by mohla ohrozit jejich nezávislý úsudek nebo integritu ve vztahu k činnostem při posuzování shody, k jejímuž vykonávání jsou oznámeni. To platí zejména pro poradenské služby.

Subjekty posuzování shody musí zajistit, aby činnosti jejich dceřiných společností nebo subdodavatelů neohrožovaly důvěrnost, objektivitu a nestrannost jejich činnosti při posuzování shody.

5. Subjekty posuzování shody a jejich pracovníci vykonávají činnost při posuzování shody na nejvyšší úrovni profesní integritu a požadované odborné způsobilosti v konkrétní oblasti a nesmějí být vystaveni žádným tlakům a podnětům, zejména finančním, které by mohly ovlivnit jejich úsudek nebo výsledky jejich činnosti při posuzování shody, zejména ze strany osob nebo skupin osob, které mají na výsledcích této činnosti zájem.

6. Subjekt posuzování shody musí být schopen plnit všechny úkoly spojené s posuzováním shody podle přílohy VIII, v souvislosti s nímž byl oznámen, bez ohledu na to, zda tyto úkoly plní subjekt posuzování shody sám, nebo jsou plněny jeho jménem a na jeho odpovědnost.

Subjekt posuzování shody musí mít vždy a pro každý postup posuzování shody a každý druh nebo kategorii produktů s digitálními prvky, v souvislosti s nímž byl oznámen, k dispozici nezbytné:

Subjekt posuzování shody musí mít prostředky nezbytné k řádnému plnění technických a administrativních úkolů spojených s činností při posuzování shody a musí mít přístup k veškerému potřebnému vybavení nebo zařízením.

7. Pracovníci odpovědní za provádění činnosti při posuzování shody musí:

8. Musí být zaručena nestrannost subjektů posuzování shody, jejich nejvyššího vedení a pracovníků, kteří posuzování provádějí.

Odměňování nejvyššího vedení a pracovníků subjektu posuzování shody, kteří posuzování provádějí, nesmí záviset na počtu provedených posouzení ani na jejich výsledcích.

9. Subjekty posuzování shody uzavřou pojištění odpovědnosti za škodu, pokud tuto odpovědnost nepřevzal jejich členský stát v souladu s vnitrostátním právem nebo pokud není za posuzování shody přímo odpovědný sám členský stát.

10. Pracovníci subjektu posuzování shody zachovávají služební tajemství, pokud jde o veškeré informace, které obdrželi při plnění svých úkolů podle přílohy VIII nebo podle jakéhokoli ustanovení vnitrostátního práva, kterými se provádí, s výjimkou styku s příslušnými orgány dozoru nad trhem členského státu, v němž vykonávají svou činnost. Vlastnická práva jsou chráněna. Subjekt posuzování shody musí mít dokumentované postupy zajišťující soulad s tímto odstavcem.

11. Subjekty posuzování shody se podílejí na příslušné normalizační činnosti a na činnosti koordinační skupiny oznámených subjektů zřízené podle článku 51 nebo zajistí, aby byli jejich pracovníci o této činnosti informováni, a obecně se řídí správními rozhodnutími a jinými dokumenty, které jsou výsledkem práce této skupiny.

12. Subjekty posuzování shody fungují v souladu se souborem důsledných, spravedlivých, přiměřených a opodstatněných podmínek a zároveň brání zbytečnému zatěžování hospodářských subjektů, zejména s přihlédnutím k zájmům mikropodniků a malých a středních podniků, co se týče poplatků.

Předpoklad shody oznámených subjektů

Pokud subjekt posuzování shody prokáže svou shodu s kritérii stanovenými v příslušných harmonizovaných normách nebo jejich částech, na něž byly zveřejněny odkazy v Úředním věstníku Evropské unie, předpokládá se, že splňuje požadavky stanovené v článku 39 v rozsahu, v němž se harmonizované normy na tyto požadavky vztahují.

Dceřiné společnosti oznámených subjektů a zadávání subdodávek

1. Pokud oznámený subjekt zadá konkrétní úkoly týkající se posuzování shody subdodavateli nebo dceřiné společnosti, zajistí, aby subdodavatel nebo dceřiná společnost splňovali požadavky stanovené v článku 39, a informuje o tom oznamující orgán.

2. Oznámené subjekty nesou plnou odpovědnost za úkoly provedené subdodavateli nebo dceřinými společnostmi bez ohledu na to, kde jsou tito subdodavatelé nebo dceřiné společnosti usazeni.

3. Činnost lze zadat subdodavateli nebo dceřiné společnosti pouze se souhlasem výrobce.

4. Oznámený subjekt uchovává pro potřebu oznamujícího orgánu příslušné doklady týkající se posouzení kvalifikace subdodavatele nebo dceřiné společnosti a práce provedené subdodavatelem nebo dceřinou společností podle tohoto nařízení.

Žádost o oznámení

1. Subjekt posuzování shody podává žádost o oznámení oznamujícímu orgánu členského státu, v němž je usazen.

2. Součástí žádosti je popis činnosti při posuzování shody, postupu nebo postupů posuzování shody a produktu nebo produktů s digitálními prvky, pro něž se subjekt prohlašuje za způsobilý, jakož i případné osvědčení o akreditaci vydané vnitrostátním akreditačním orgánem, které potvrzuje, že subjekt posuzování shody splňuje požadavky stanovené v článku 39.

3. Nemůže-li dotčený subjekt posuzování shody předložit osvědčení o akreditaci, poskytne oznamujícímu orgánu veškeré doklady nezbytné k ověření, uznání a pravidelné kontrole svého souladu s požadavky stanovenými v článku 39.

Postup oznamování

1. Oznamující orgány oznámí pouze subjekty posuzování shody, které splňují požadavky stanovené v článku 39.

2. Oznamující orgán uvědomí Komisi a ostatní členské státy prostřednictvím informačního systému oznámených a jmenovaných organizací podle nového přístupu, který vyvinula a spravuje Komise.

3. Oznámení obsahuje veškeré podrobné informace o činnosti při posuzování shody, modulu nebo modulech posuzování shody, dotčeném produktu nebo produktech s digitálními prvky a příslušné osvědčení o akreditaci.

4. Pokud se oznámení nezakládá na osvědčení o akreditaci uvedeném v čl. 42 odst. 2, poskytne oznamující orgán Komisi a ostatním členským státům podklady, které dokládají způsobilost subjektu posuzování shody, a informuje je o opatřeních, jež zajišťují, aby byl subjekt pravidelně kontrolován a i v budoucnu splňoval požadavky uvedené v článku 39.

5. Dotčený subjekt může vykonávat činnost oznámeného subjektu, pouze pokud proti tomu Komise ani ostatní členské státy nevznesly námitky do dvou týdnů po oznámení v případě, že se použije osvědčení o akreditaci, nebo do dvou měsíců po oznámení, jestliže se akreditace nepoužije.

Pouze takový subjekt se považuje za oznámený subjekt pro účely tohoto nařízení.

6. Komisi a ostatním členským státům je třeba oznámit veškeré následné významné změny týkající se oznamování.

Identifikační čísla a seznamy oznámených subjektů

1. Komise oznámenému subjektu přidělí identifikační číslo.

Komise subjektu přidělí jediné číslo i v případě, že je subjekt oznámen podle několika právních aktů Unie.

2. Komise zveřejní seznam subjektů oznámených podle tohoto nařízení, včetně identifikačních čísel, která jim byla přidělena, a činností, pro něž byly oznámeny.

Komise zajistí, aby byl tento seznam průběžně aktualizován.

Změny v oznámeních

1. Pokud oznamující orgán zjistí nebo je upozorněn na to, že oznámený subjekt již nesplňuje požadavky stanovené v článku 39 nebo neplní své povinnosti, omezí, pozastaví nebo případně zruší oznámení podle toho, nakolik je neplnění těchto požadavků nebo povinností závažné. Informuje o tom neprodleně Komisi a ostatní členské státy.

2. V případě omezení, pozastavení nebo zrušení oznámení nebo v případě, že oznámený subjekt ukončil svou činnost, oznamující členský stát přijme příslušné kroky k zajištění toho, aby byly spisy tohoto subjektu buď zpracovány jiným oznámeným subjektem, nebo byly na vyžádání k dispozici příslušným oznamujícím orgánům a orgánům dozoru nad trhem.

Zpochybnění způsobilosti oznámených subjektů

1. Komise vyšetří všechny případy, kdy má pochybnosti nebo kdy je upozorněna na pochybnosti o způsobilosti oznámeného subjektu plnit požadavky a povinnosti, které jsou mu uloženy, nebo o tom, zda je oznámený subjekt nadále plní.

2. Oznamující členský stát předloží Komisi na vyžádání všechny informace týkající se podkladů pro oznámení nebo zachování způsobilosti dotčeného subjektu.

3. Komise zajistí, aby se se všemi citlivými informacemi získanými v průběhu tohoto šetření nakládalo jako s důvěrnými.

4. Pokud Komise zjistí, že oznámený subjekt nesplňuje nebo přestal splňovat požadavky na své oznámení, informuje o tom oznamující členský stát a vyzve ho, aby přijal nezbytná nápravná opatření, včetně případného zrušení oznámení.

Povinnosti týkající se činnosti oznámených subjektů

1. Oznámené subjekty provádějí posuzování shody v souladu s postupy posuzování shody stanovenými v článku 32 a příloze VIII.

2. Posuzování shody se provádí přiměřeným způsobem, aby se zabránilo zbytečné zátěži hospodářských subjektů. Subjekty posuzování shody při výkonu své činnosti řádně zohlední velikost podniků, zejména pokud jde o mikropodniky a malé a střední podniky, odvětví, v němž působí, jejich strukturu, míru složitosti a míru kybernetického rizika produktů s digitálními prvky a dané technologie a hromadnou nebo sériovou povahu výrobního procesu.

3. Oznámený subjekt však musí zachovávat míru přísnosti a úroveň ochrany, jež jsou vyžadovány, aby byly produkty s digitálními prvky v souladu s tímto nařízením.

4. Pokud oznámený subjekt zjistí, že výrobce nesplnil požadavky stanovené v příloze I nebo v odpovídajících harmonizovaných normách či ve společných specifikacích podle článku 27, vyzve výrobce, aby přijal vhodná nápravná opatření, a nevydá certifikát shody.

5. Pokud v průběhu kontroly shody po vydání certifikátu oznámený subjekt zjistí, že produkt s digitálními prvky již nesplňuje požadavky stanovené v tomto nařízení, vyzve výrobce, aby přijal vhodná nápravná opatření, a v případě nutnosti platnost certifikátu pozastaví nebo zruší.

6. Pokud nejsou nápravná opatření přijata nebo pokud nemají požadovaný účinek, oznámený subjekt podle potřeby omezí, pozastaví nebo zruší platnost příslušných certifikátů.

Odvolání proti rozhodnutí oznámených subjektů

Členské státy zajistí, aby bylo možné se proti rozhodnutí oznámených subjektů odvolat.

Informační povinnost oznámených subjektů

1. Oznámené subjekty informují oznamující orgán:

2. Oznámené subjekty poskytnou ostatním subjektům oznámeným podle tohoto nařízení, které vykonávají obdobnou činnost při posuzování shody a zabývají se stejnými produkty s digitálními prvky, příslušné informace o otázkách týkajících se negativních a, na vyžádání, pozitivních výsledků posuzování shody.

Výměna zkušeností

Komise organizačně zabezpečuje výměnu zkušeností mezi vnitrostátními orgány členských států, které jsou odpovědné za politiku oznamování.

Koordinace oznámených subjektů

1. Komise zajistí zavedení a řádné provádění vhodné koordinace a spolupráce mezi oznámenými subjekty ve formě meziodvětvové skupiny oznámených subjektů.

2. Členské státy zajistí, aby se jimi oznámené subjekty účastnily práce této skupiny, a to přímo nebo prostřednictvím určených zástupců.

Dozor nad trhem a kontrola produktů s digitálními prvky na trhu Unie

1. Na produkty s digitálními prvky spadající do oblasti působnosti tohoto nařízení se použije nařízení (EU) 2019/1020.

2. Pro účely zajištění účinného uplatňování tohoto nařízení každý členský stát určí jeden nebo více orgánů dozoru nad trhem. Členské státy mohou určit stávající nebo nový orgán, který bude působit jako orgán dozoru nad trhem pro účely tohoto nařízení.

3. Orgány dozoru nad trhem určené podle odstavce 2 tohoto článku odpovídají rovněž za provádění dozoru nad trhem v souvislosti s povinnostmi správců softwaru s otevřeným zdrojovým kódem stanovenými v článku 24. Pokud orgán dozoru nad trhem zjistí, že správce softwaru s otevřeným zdrojovým kódem neplní povinnosti stanovené v uvedeném článku, vyzve jej, aby zajistil přijetí veškerých vhodných nápravných opatření. Správci softwaru s otevřeným zdrojovým kódem zajistí, aby byla přijata veškerá vhodná nápravná opatření s ohledem na jejich povinnosti podle tohoto nařízení.

4. Orgány dozoru nad trhem případně spolupracují s vnitrostátními orgány certifikace kybernetické bezpečnosti určenými v souladu s článkem 58 nařízení (EU) 2019/881 a vyměňují si pravidelně informace. Pokud jde o dohled nad plněním povinností podávat zprávy podle článku 14 tohoto nařízení, určené orgány dozoru nad trhem spolupracují s týmy CSIRT určenými jako koordinátoři a s agenturou ENISA a pravidelně si s nimi vyměňují informace.

5. Orgány dozoru nad trhem mohou tým CSIRT určený jako koordinátor nebo agenturu ENISA požádat o poskytnutí technického poradenství v záležitostech souvisejících s uplatňováním a prosazováním tohoto nařízení. Při provádění šetření podle článku 54 mohou orgány dozoru nad trhem požádat tým CSIRT určený jako koordinátor nebo agenturu ENISA, aby vypracovaly analýzu na podporu hodnocení souladu produktů s digitálními prvky.

6. Orgány dozoru nad trhem případně spolupracují s dalšími orgány dozoru nad trhem určenými na základě harmonizačních právních předpisů Unie jiných než toto nařízení a pravidelně si vyměňují informace.

7. Orgány dozoru nad trhem případně spolupracují s orgány dohledu nad právem Unie v oblasti ochrany údajů. Tato spolupráce zahrnuje informování těchto orgánů o veškerých zjištěních relevantních z hlediska plnění jejich pravomocí, a to i při vydávání pokynů a poskytování poradenství podle odstavce 10, pokud se tyto pokyny a poradenství týkají zpracování osobních údajů.

Orgány vykonávající dohled nad právem Unie v oblasti ochrany údajů mají pravomoc požadovat jakoukoli dokumentaci vytvořenou nebo vedenou podle tohoto nařízení a přístup k ní, pokud je přístup k této dokumentaci nezbytný pro plnění jejich úkolů. O každé takové žádosti informují určené orgány dozoru nad trhem dotčeného členského státu.

8. Členské státy zajistí, aby určeným orgánům dozoru nad trhem byly poskytnuty odpovídající finanční a technické zdroje, včetně nástrojů pro automatické zpracování dat tam, kde je to vhodné, jakož i lidské zdroje s potřebnými dovednostmi v oblasti kybernetické bezpečnosti, které jim umožní plnit úkoly podle tohoto nařízení.

9. Komise podporuje a usnadňuje výměnu zkušeností mezi určenými orgány dozoru nad trhem.

10. Orgány dozoru nad trhem mohou s podporou Komise a případně týmů CSIRT a agentury ENISA poskytovat hospodářským subjektům pokyny a poradenství ohledně uplatňování tohoto nařízení.

11. Orgány dozoru nad trhem informují spotřebitele o tom, kde se podávají stížnosti, které by mohly v souladu s článkem 11 nařízení (EU) 2019/1020 poukazovat na nesoulad s tímto nařízením, a poskytnou spotřebitelům informace o tom, kde a jak získat přístup k mechanismům usnadňujícím oznamování zranitelností, incidentů a kybernetických hrozeb, které mohou ovlivnit produkty s digitálními prvky.

12. Orgány dozoru nad trhem případně usnadňují spolupráci s příslušnými zúčastněnými stranami, včetně vědeckých, výzkumných a spotřebitelských organizací.

13. Orgány dozoru nad trhem každoročně podávají Komisi zprávy o výsledcích příslušné činnosti v oblasti dozoru nad trhem. Určené orgány dozoru nad trhem neprodleně ohlásí Komisi a příslušným vnitrostátním orgánům pro hospodářskou soutěž veškeré informace zjištěné v průběhu činnosti v oblasti dozoru nad trhem, které by mohly mít potenciální význam pro uplatňování práva Unie v oblasti hospodářské soutěže.

14. V případě produktů s digitálními prvky spadajících do oblasti působnosti tohoto nařízení, které jsou klasifikovány jako vysoce rizikové systémy umělé inteligence podle článku 6 nařízení (EU) 2024/1689, jsou orgány odpovědnými za činnost v oblasti dozoru nad trhem požadovanou tímto nařízením orgány dozoru nad trhem určené pro účely nařízení (EU) 2024/1689. Orgány dozoru nad trhem určené podle uvedeného nařízení spolupracují podle potřeby s orgány dozoru nad trhem určenými podle tohoto nařízení, s týmy CSIRT určenými jako koordinátoři a s agenturou ENISA, pokud jde o dohled nad plněním povinností podávat zprávy podle článku 14 tohoto nařízení. Orgány dozoru nad trhem určené podle nařízení (EU) 2024/1689 zejména informují orgány dozoru nad trhem určené podle tohoto nařízení o veškerých zjištěních, která jsou relevantní pro plnění jejich úkolů v souvislosti s uplatňováním tohoto nařízení.

15. Pro jednotné uplatňování tohoto nařízení se zřizuje specializovaná skupina pro správní spolupráci podle čl. 30 odst. 2 nařízení (EU) 2019/1020. Tato skupina se skládá ze zástupců určených orgánů dozoru nad trhem a případně i ze zástupců ústředních styčných úřadů. Zabývá se rovněž konkrétními záležitostmi souvisejícími s činností v oblasti dozoru nad trhem, pokud jde o povinnosti uložené správcům softwaru s otevřeným zdrojovým kódem.

16. Orgány dozoru nad trhem monitorují, jak výrobci při určování doby podpory svých produktů s digitálními prvky uplatňují kritéria uvedená v čl. 13 odst. 8.

Skupina pro správní spolupráci zveřejní ve veřejně přístupné a uživatelsky vstřícné podobě příslušné statistiky o kategoriích produktů s digitálními prvky, včetně průměrných dob podpory, jak je uvedl výrobce podle čl. 13 odst. 8, a poskytne pokyny, které zahrnují orientační doby podpory pro kategorie produktů s digitálními prvky.

Pokud z těchto údajů vyplývá, že doba podpory pro konkrétní kategorie produktů s digitálními prvky není dostatečná, může specializovaná skupina pro správní spolupráci vydat orgánům dozoru nad trhem doporučení, aby svou činnost zaměřily na tyto kategorie produktů s digitálními prvky.

Přístup k údajům a dokumentaci

Je-li to nezbytné k posouzení shody produktů s digitálními prvky a postupů zavedených jejich výrobci se základními požadavky na kybernetickou bezpečnost stanovenými v příloze I, udělí se orgánům dozoru nad trhem na základě odůvodněné žádosti přístup k údajům požadovaným pro posouzení návrhu, vývoje, výroby a řešení zranitelnosti těchto produktů, včetně související interní dokumentace příslušného hospodářského subjektu, a to v jazyce, kterému snadno porozumí.

Postup na vnitrostátní úrovni týkající se produktů s digitálními prvky představujících významné kybernetické bezpečnostní riziko

1. Pokud má orgán dozoru nad trhem členského státu dostatečný důvod domnívat se, že produkt s digitálními prvky, včetně řešení jeho zranitelnosti, představuje významné kybernetické bezpečnostní riziko, provede bez zbytečného odkladu a případně ve spolupráci s příslušným týmem CSIRT hodnocení dotčeného produktu s digitálními prvky z hlediska jeho souladu se všemi požadavky stanovenými v tomto nařízení. Příslušné hospodářské subjekty s orgánem dozoru nad trhem podle potřeby spolupracují.

Pokud v průběhu tohoto hodnocení orgán dozoru nad trhem zjistí, že produkt s digitálními prvky nesplňuje požadavky stanovené v tomto nařízení, neprodleně vyzve příslušný hospodářský subjekt, aby přijal veškerá vhodná nápravná opatření k uvedení produktu s digitálními prvky do souladu s těmito požadavky nebo k jeho stažení z trhu či z oběhu v přiměřené lhůtě úměrné povaze kybernetického bezpečnostního rizika, kterou může stanovit orgán dozoru nad trhem.

Orgán dozoru nad trhem o tom informuje příslušný oznámený subjekt. Na nápravná opatření se použije článek 18 nařízení (EU) 2019/1020.

2. Při určování významu kybernetického bezpečnostního rizika uvedeného v odstavci 1 tohoto článku zohlední orgány dozoru nad trhem rovněž rizikové faktory jiné než technické povahy, zejména ty, které byly stanoveny na základě koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců na úrovni Unie provedeného v souladu s článkem 22 směrnice (EU) 2022/2555. Pokud má orgán dozoru nad trhem dostatečný důvod se domnívat, že určitý produkt s digitálními prvky představuje s ohledem na rizikové faktory jiné než technické povahy významné kybernetické bezpečnostní riziko, vyrozumí příslušné orgány určené nebo zřízené podle článku 8 směrnice (EU) 2022/2555 a podle potřeby s těmito orgány spolupracuje.

3. Domnívá-li se orgán dozoru nad trhem, že se nesoulad netýká pouze území jeho členského státu, informuje Komisi a ostatní členské státy o výsledcích hodnocení a o opatřeních, která má hospodářský subjekt na jeho žádost přijmout.

4. Hospodářský subjekt zajistí, aby byla přijata veškerá vhodná nápravná opatření ohledně všech dotčených produktů s digitálními prvky, které dodal na trh v celé Unii.

5. Pokud hospodářský subjekt ve lhůtě uvedené ve druhém pododstavci odstavce 1 nepřijme přiměřená nápravná opatření, přijme orgán dozoru nad trhem veškerá vhodná dočasná opatření k zákazu nebo omezení dodávání tohoto produktu s digitálními prvky na trh svého členského státu nebo k zajištění toho, aby byl stažen z trhu či z oběhu.

O takových opatřeních tento orgán neprodleně vyrozumí Komisi a ostatní členské státy.

6. Součástí informací uvedených v odstavci 5 jsou všechny dostupné podrobné informace, zejména údaje nezbytné pro identifikaci nevyhovujícího produktu s digitálními prvky, údaje o původu dotčeného produktu s digitálními prvky, povaze údajného nesouladu a souvisejícího rizika, povaze a době trvání opatření přijatých na vnitrostátní úrovni a údaje o stanovisku příslušného hospodářského subjektu. Orgán dozoru nad trhem zejména uvede, zda je důvodem nesouladu jeden nebo více těchto nedostatků:

7. Orgány dozoru nad trhem členských států jiné než orgán dozoru nad trhem členského státu, který zahájil tento postup, neprodleně informují Komisi a ostatní členské státy o veškerých opatřeních, která přijaly, a o všech doplňujících údajích týkajících se nesouladu dotčeného produktu s digitálními prvky, které mají k dispozici, a v případě nesouhlasu s oznámeným vnitrostátním opatřením o svých námitkách.

8. Jestliže do tří měsíců od přijetí oznámení uvedeného v odstavci 5 tohoto článku nevznese žádný členský stát ani Komise proti předběžnému opatření přijatému členským státem námitku, považuje se opatření za důvodné. Tím nejsou dotčena procesní práva dotčeného hospodářského subjektu v souladu s článkem 18 nařízení (EU) 2019/1020.

9. Orgány dozoru nad trhem všech členských států zajistí, aby byla v souvislosti s dotčeným produktem s digitálními prvky bezodkladně přijata náležitá restriktivní opatření, například stažení daného produktu z jejich trhu.

Ochranný postup Unie

1. Pokud do tří měsíců od obdržení oznámení uvedeného v čl. 54 odst. 5 vznese některý členský stát proti opatření přijatému jiným členským státem námitku nebo pokud se Komise domnívá, že je dané opatření v rozporu s právem Unie, zahájí Komise neprodleně konzultaci s dotčeným členským státem a hospodářským subjektem nebo subjekty a provede hodnocení tohoto vnitrostátního opatření. Na základě výsledků tohoto hodnocení Komise do devíti měsíců od oznámení uvedeného v čl. 54 odst. 5 rozhodne, zda je dané vnitrostátní opatření důvodné či nikoli, a toto rozhodnutí oznámí dotčenému členskému státu.

2. Pokud je vnitrostátní opatření považováno za důvodné, přijmou všechny členské státy nezbytná opatření k zajištění toho, aby byl nevyhovující produkt s digitálními prvky stažen z jejich trhu, a informují o tom Komisi. Pokud vnitrostátní opatření není považováno za důvodné, dotčený členský stát toto opatření zruší.

3. Pokud je vnitrostátní opatření považováno za důvodné a je-li nesoulad produktu s digitálními prvky přisuzován nedostatkům v harmonizovaných normách, použije Komise postup stanovený v článku 11 nařízení (EU) č. 1025/2012.

4. Pokud je vnitrostátní opatření považováno za důvodné a je-li nesoulad produktu s digitálními prvky přisuzován nedostatkům v evropském schématu certifikace kybernetické bezpečnosti podle článku 27, Komise zváží, zda změnit nebo zrušit akt v přenesené pravomoci přijatý podle čl. 27 odst. 9, v němž je stanoven předpoklad shody týkající se daného schématu certifikace.

5. Pokud je vnitrostátní opatření považováno za důvodné a je-li nesoulad produktu s digitálními prvky přisuzován nedostatkům ve společných specifikacích podle článku 27, Komise zváží, zda změnit nebo zrušit některý prováděcí akt přijatý podle čl. 27 odst. 2, v němž jsou stanoveny tyto společné specifikace.

Postup na úrovni Unie týkající se produktů s digitálními prvky představujících významné kybernetické bezpečnostní riziko

1. Pokud má Komise dostatečný důvod se domnívat, a to i na základě informací poskytnutých agenturou ENISA, že produkt s digitálními prvky, který představuje významné kybernetické bezpečnostní riziko, není v souladu s požadavky stanovenými v tomto nařízení, informuje o tom příslušné orgány dozoru nad trhem. Jestliže orgány dozoru nad trhem provádějí hodnocení produktu s digitálními prvky, který by mohl představovat významné kybernetické bezpečnostní riziko, pokud jde o jeho soulad s požadavky stanovenými v tomto nařízení, použijí se postupy uvedené v článcích 54 a 55.

2. Pokud má Komise dostatečný důvod se domnívat, že produkt s digitálními prvky představuje významné kybernetické bezpečnostní riziko s ohledem na rizikové faktory jiné než technické povahy, informuje o tom příslušné orgány dozoru nad trhem, případně příslušné orgány určené nebo zřízené podle článku 8 směrnice (EU) 2022/2555, a podle potřeby s těmito orgány spolupracuje. Komise rovněž zváží v rámci svých úkolů týkajících se koordinovaného posuzování bezpečnostních rizik kritických dodavatelských řetězců na úrovni Unie podle článku 22 směrnice (EU) 2022/2555 význam zjištěných rizik pro daný produkt s digitálními prvky a v případě potřeby konzultuje se skupinou pro spolupráci zřízenou podle článku 14 směrnice (EU) 2022/2555 a s agenturou ENISA.

3. Za okolností, které odůvodňují okamžitý zásah za účelem zachování řádného fungování vnitřního trhu, a pokud má Komise dostatečný důvod domnívat se, že produkt s digitálními prvky uvedený v odstavci 1 nadále nesplňuje požadavky stanovené v tomto nařízení a příslušné orgány dozoru nad trhem nepřijaly účinná opatření, provede Komise hodnocení souladu a může požádat agenturu ENISA, aby vypracovala analýzu na podporu tohoto hodnocení. Komise odpovídajícím způsobem informuje příslušné orgány dozoru nad trhem. Příslušné hospodářské subjekty s agenturou ENISA podle potřeby spolupracují.

4. Na základě hodnocení podle odstavce 3 může Komise rozhodnout, že je třeba nápravné nebo omezující opatření na úrovni Unie. Za tímto účelem neprodleně konzultuje dotčené členské státy a příslušný hospodářský subjekt nebo subjekty.

5. Na základě konzultace uvedené v odstavci 4 tohoto článku může Komise přijmout prováděcí akty, v nichž stanoví nápravná nebo omezující opatření na úrovni Unie, včetně požadavku, aby byly dotčené produkty s digitálními prvky staženy z trhu nebo z oběhu, a to v přiměřené lhůtě úměrné povaze rizika. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 62 odst. 2.

6. Komise o prováděcích aktech podle odstavce 5 neprodleně uvědomí příslušný hospodářský subjekt či subjekty. Členské státy tyto prováděcí akty neodkladně uplatňují a odpovídajícím způsobem informují Komisi.

7. Odstavce 3 až 6 se použijí po dobu trvání výjimečné situace, která odůvodňovala zásah Komise, za předpokladu, že dotčený produkt s digitálními prvky není uveden do souladu s tímto nařízením.

Vyhovující produkty s digitálními prvky, které představují významné kybernetické bezpečnostní riziko

1. Orgán dozoru nad trhem členského státu vyzve hospodářský subjekt, aby přijal veškerá vhodná opatření, pokud po provedení hodnocení podle článku 54 zjistí, že ačkoli jsou produkt s digitálními prvky a postupy zavedené výrobcem v souladu s tímto nařízením, představují významné kybernetické bezpečnostní riziko, jakož i riziko pro:

Opatření uvedená v prvním pododstavci mohou zahrnovat opatření k zajištění toho, aby dotčený produkt s digitálními prvky a postupy zavedené výrobcem v době dodání na trh již toto riziko nepředstavovaly, a ke stažení dotčeného produktu s digitálními prvky z trhu nebo z oběhu, přičemž tato opatření jsou přiměřená povaze daných rizik.

2. Výrobce nebo jiné příslušné hospodářské subjekty zajistí, aby bylo přijato nápravné opatření ve vztahu k dotčeným produktům s digitálními prvky, které dodali na trh v rámci celé Unie, ve lhůtě stanovené orgánem dozoru nad trhem členského státu uvedeným v odstavci 1.

3. Členský stát neprodleně informuje Komisi a ostatní členské státy o opatřeních přijatých podle odstavce 1. Tyto informace musejí obsahovat všechny dostupné podrobné informace, zejména údaje nezbytné k identifikaci dotčeného produktu s digitálními prvky, údaje o původu a dodavatelském řetězci těchto produktů s digitálními prvky, údaje o povaze souvisejícího rizika a údaje o povaze a době trvání opatření přijatých na vnitrostátní úrovni.

4. Komise neprodleně zahájí konzultaci s členskými státy a příslušným hospodářským subjektem a vyhodnotí přijatá vnitrostátní opatření. Na základě výsledků tohoto hodnocení Komise rozhodne, zda je opatření důvodné či nikoli, a pokud je to nutné, navrhne vhodná opatření.

5. Rozhodnutí Komise uvedené v odstavci 4 je určeno všem členským státům.

6. Pokud má Komise dostatečný důvod se domnívat, a to i na základě informací poskytnutých agenturou ENISA, že ačkoli je produkt s digitálními prvky v souladu s tímto nařízením, představuje rizika uvedená v odstavci 1 tohoto článku, informuje o tom příslušný orgán nebo orgány dozoru nad trhem a může je požádat, aby provedly hodnocení a řídily se postupy uvedenými v článku 54 a v odstavcích 1, 2 a 3 tohoto článku.

7. Za okolností, které odůvodňují okamžitý zásah za účelem zachování řádného fungování vnitřního trhu, a pokud má Komise dostatečný důvod se domnívat, že produkt s digitálními prvky uvedený v odstavci 6 nadále představuje rizika podle odstavce 1 a příslušné vnitrostátní orgány dozoru nad trhem nepřijaly účinná opatření, provede Komise hodnocení rizik, která tento produkt s digitálními prvky představuje, a může požádat agenturu ENISA, aby vypracovala analýzu na podporu tohoto hodnocení, a informuje o tom příslušné orgány dozoru nad trhem. Příslušné hospodářské subjekty s agenturou ENISA podle potřeby spolupracují.

8. Na základě hodnocení podle odstavce 7 může Komise stanovit, že je zapotřebí nápravného nebo omezujícího opatření na úrovni Unie. Za tímto účelem neprodleně konzultuje s dotčenými členskými státy a s příslušným hospodářským subjektem nebo subjekty.

9. Na základě konzultace uvedené v odstavci 8 tohoto článku může Komise přijmout prováděcí akty s cílem rozhodnout o nápravných nebo omezujících opatřeních na úrovni Unie, včetně požadavku, aby byly dotčené produkty s digitálními prvky staženy z trhu nebo z oběhu, a to v přiměřené lhůtě úměrné povaze rizika. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 62 odst. 2.

10. Komise o prováděcích aktech podle odstavce 9 neprodleně uvědomí příslušný hospodářský subjekt či subjekty. Členské státy tyto prováděcí akty neodkladně uplatňují a odpovídajícím způsobem informují Komisi.

11. Odstavce 6 až 10 se použijí po dobu trvání výjimečné situace, která odůvodňovala zásah Komise, a po dobu, po kterou dotčený produkt s digitálními prvky nadále představuje rizika uvedená v odstavci 1.

Formální nesoulad

1. Orgán dozoru nad trhem daného členského státu vyzve příslušného výrobce, aby odstranil nesoulad spočívající v některé z těchto skutečností::

2. Pokud nesoulad uvedený v odstavci 1 trvá i nadále, přijme dotčený členský stát veškerá vhodná opatření s cílem omezit nebo zakázat dodávání produktu s digitálními prvky na trh, nebo zajistit, aby byl stažen z oběhu či z trhu.

Společné činnosti orgánů dozoru nad trhem

1. Orgány dozoru nad trhem se mohou dohodnout s dalšími příslušnými orgány na provádění společných činností zaměřených na zajištění kybernetické bezpečnosti a ochrany spotřebitelů, pokud jde o konkrétní produkty s digitálními prvky uváděné nebo dodávané na trh, zejména produkty s digitálními prvky, u nichž se často zjišťuje, že představují kybernetické bezpečnostní riziko.

2. Komise nebo agentura ENISA navrhne společné činnosti pro kontrolu souladu s tímto nařízením, které budou provádět orgány dozoru nad trhem na základě údajů nebo informací o možném nesouladu produktů s digitálními prvky, které spadají do oblasti působnosti tohoto nařízení, v několika členských státech s požadavky stanovenými v tomto nařízení.

3. Orgány dozoru nad trhem a případně Komise zajistí, aby dohoda o provádění společných činností nevedla k nekalé soutěži mezi hospodářskými subjekty a nepříznivě nenarušovala objektivitu, nezávislost a nestrannost stran dohody.

4. Orgán dozoru nad trhem může použít jakékoli informace získané při společných činnostech vykonávaných v rámci jakéhokoli jeho šetření, které provádí.

5. Dotčený orgán dozoru nad trhem a případně Komise zveřejní dohodu o společných činnostech, včetně názvů zúčastněných stran.

Společné kontrolní akce

1. Orgány dozoru nad trhem provádějí souběžné koordinované kontrolní akce (dále jen „společné kontrolní akce“) u konkrétních produktů s digitálními prvky nebo jejich kategorií za účelem kontroly souladu s tímto nařízením nebo odhalení jeho porušení. Tyto společné kontrolní akce mohou zahrnovat kontroly produktů s digitálními prvky pořízených pod krycí identitou.

2. Pokud se zapojené příslušné orgány dozoru nad trhem nedohodnou jinak, koordinuje společné kontrolní akce Komise. Koordinátor společné kontrolní akce zveřejní dle potřeby souhrnné výsledky.

3. Pokud agentura ENISA při plnění svých úkolů, mimo jiné na základě oznámení obdržených podle čl. 14 odst. 1 a 3, určí kategorie produktů s digitálními prvky, u nichž mohou být organizovány společné kontrolní akce, předloží koordinátorovi návrh na společnou kontrolní akci podle odstavce 2 tohoto článku k posouzení orgány dozoru nad trhem.

4. Zapojené orgány dozoru nad trhem mohou při provádění společných kontrolních akcí využívat vyšetřovací pravomoci stanovené v článcích 52 až 58 a jakékoli další pravomoci, které jim svěřuje vnitrostátní právo.

5. Orgány dozoru nad trhem mohou k účasti na společných kontrolních akcích přizvat úředníky Komise a další doprovázející osoby pověřené Komisí.

Výkon přenesení pravomoci

1. Pravomoc přijímat akty v přenesené pravomoci je svěřena Komisi za podmínek stanovených v tomto článku.

2. Pravomoc přijímat akty v přenesené pravomoci uvedená v čl. 2 odst. 5 druhém pododstavci, čl. 7 odst. 3, čl. 8 odst. 1 a 2, čl. 13 odst. 8 čtvrtém pododstavci, čl. 14 odst. 9, článku 25, čl. 27 odst. 9, čl. 28 odst. 5 a čl. 31 odst. 5 je svěřena Komisi na dobu pěti let ode dne 10. prosince 2024. Komise vypracuje zprávu o přenesení pravomoci nejpozději devět měsíců před koncem tohoto pětiletého období. Přenesení pravomoci se automaticky prodlužuje o stejně dlouhá období, pokud Evropský parlament nebo Rada nevysloví proti tomuto prodloužení námitku nejpozději tři měsíce před koncem každého z těchto období.

3. Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 2 odst. 5 druhém pododstavci, čl. 7 odst. 3, čl. 8 odst. 1 a 2, čl. 13 odst. 8 čtvrtém pododstavci, čl. 14 odst. 9, článku 25, čl. 27 odst. 9, čl. 28 odst. 5 a čl. 31 odst. 5 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.

4. Před přijetím aktu v přenesené pravomoci Komise vede konzultace s odborníky jmenovanými jednotlivými členskými státy v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů.

5. Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě.

6. Akt v přenesené pravomoci přijatý podle čl. 2 odst. 5 druhého pododstavce, čl. 7 odst. 3, čl. 8 odst. 1 nebo 2, čl. 13 odst. 8 čtvrtého pododstavce, čl. 14 odst. 9, článku 25, čl. 27 odst. 9, čl. 28 odst. 5 nebo čl. 31 odst. 5 vstoupí v platnost pouze tehdy, pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce.

Postup projednávání ve výboru

1. Komisi je nápomocen výbor. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.

2. Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.

3. Má-li být stanovisko výboru získáno písemným postupem, ukončuje se tento postup bez výsledku, pokud o tom ve lhůtě pro vydání stanoviska rozhodne předseda výboru nebo pokud o to požádá člen výboru.

Zachování důvěrnosti

1. Všechny strany, které se podílejí na uplatňování tohoto nařízení, zachovávají důvěrnost informací a údajů, které získají při provádění svých úkolů a činnosti, takovým způsobem, aby chránily zejména:

2. Aniž je dotčen odstavec 1, informace vyměňované důvěrně mezi orgány dozoru nad trhem a mezi orgány dozoru nad trhem a Komisí se nezpřístupní bez předchozí dohody s orgánem dozoru nad trhem, od kterého informace pocházejí.

3. Ustanoveními odstavců 1 a 2 nejsou dotčena práva a povinnosti Komise, členských států a oznámených subjektů ohledně vzájemného informování a šíření výstrah ani povinnosti dotčených osob poskytovat informace podle trestního práva členských států.

4. Komise a členské státy si mohou v případě potřeby vyměňovat citlivé informace s relevantními orgány třetích zemí, s nimiž uzavřely dvoustranná nebo vícestranná ujednání o ochraně důvěrnosti zaručující přiměřenou úroveň ochrany.

Sankce

1. Členské státy stanoví pravidla pro ukládání sankcí za porušení tohoto nařízení a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Tyto sankce musejí být účinné, přiměřené a odrazující. Členské státy bez prodlení uvědomí o takových pravidlech a opatřeních Komisi a neprodleně ji informují o veškerých pozdějších změnách těchto pravidel nebo opatření.

2. Za nedodržení základních požadavků na kybernetickou bezpečnost stanovených v příloze I a povinností stanovených v článcích 13 a 14 se uloží správní pokuty až do výše 15 000 000 EUR, nebo dopustí-li se porušení podnik, až do výše 2,5 % jeho celkového ročního obratu celosvětově za předchozí finanční rok podle toho, která hodnota je vyšší.

3. Za nedodržení povinností stanovených v článcích 18 až 23, článku 28, čl. 30 odst. 1 až 4, čl. 31 odst. 1 až 4, čl. 32 odst. 1, 2 a 3, čl. 33 odst. 5 a v článcích 39, 41, 47, 49 a 53 se uloží správní pokuty až do výše 10 000 000 EUR, nebo dopustí-li se porušení podnik, až do výše 2 % jeho celkového ročního obratu celosvětově za předchozí finanční rok podle toho, která hodnota je vyšší.

4. Za poskytnutí nesprávných, neúplných nebo zavádějících informací oznámeným subjektům a orgánům dozoru nad trhem v reakci na žádost se uloží správní pokuty až do výše 5 000 000 EUR, nebo dopustí-li se porušení podnik, až do výše 1 % jeho celkového ročního obratu celosvětově za předchozí finanční rok podle toho, která hodnota je vyšší.

5. Při rozhodování o výši správní pokuty se v jednotlivých případech zohlední všechny relevantní okolnosti konkrétní situace a náležitě se přihlédne k následujícím okolnostem:

6. Orgány dozoru nad trhem, které ukládají správní pokuty, informují o uložení pokut orgány dozoru nad trhem jiných členských států prostřednictvím informačního a komunikačního systému podle článku 34 nařízení (EU) 2019/1020.

7. Každý členský stát stanovuje pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě.

8. V závislosti na právním systému členských států lze pravidla pro správní pokuty uplatňovat tak, aby pokuty byly ukládány příslušnými vnitrostátními soudy nebo jinými orgány v souladu s pravomocemi stanovenými na vnitrostátní úrovni v těchto členských státech. Uplatňování těchto pravidel v uvedených členských státech má rovnocenný účinek.

9. Správní pokuty mohou být uloženy v závislosti na okolnostech každého jednotlivého případu spolu s jakýmikoli dalšími nápravnými nebo omezujícími opatřeními, které uplatní orgány dozoru nad trhem v souvislosti se stejným porušením.

10. Odchylně od odstavců 3 až 9 se správní pokuty uvedené v těchto odstavcích nevztahují na:

Zástupné žaloby

Na zástupné žaloby podané proti hospodářským subjektům ve věci porušení ustanovení tohoto nařízení, které poškozuje nebo může poškodit kolektivní zájmy spotřebitelů, se vztahuje směrnice (EU) 2020/1828.

Změna nařízení (EU) 2019/1020

V příloze I nařízení (EU) 2019/1020 se doplňuje nový bod, který zní:

„72.

Nařízení Evropského parlamentu a Rady (EU) 2024/2847 (*1).

Změna směrnice (EU) 2020/1828

V příloze I směrnice (EU) 2020/1828 se doplňuje nový bod, který zní:

„69.

Nařízení Evropského parlamentu a Rady (EU) 2024/2847 (*2).

Změna nařízení (EU) č. 168/2013

V části C1 v tabulce v příloze II nařízení Evropského parlamentu a Rady (EU) č. 168/2013 (38) se doplňuje nová položka, která zní:

„

“

Přechodná ustanovení

1. Certifikáty EU přezkoušení typu a rozhodnutí o schválení vydané v souvislosti s požadavky na kybernetickou bezpečnost produktů s digitálními prvky, které podléhají jiným harmonizačním právním předpisům Unie než tomuto nařízení, zůstávají v platnosti do 11. června 2028, pokud jejich platnost neskončí před tímto datem nebo pokud není stanoveno jinak v těchto jiných harmonizačních právních předpisech Unie, přičemž v takovém případě zůstávají v platnosti podle uvedených právních předpisů.

2. Produkty s digitálními prvky, které byly uvedeny na trh před 11. prosincem 2027, se řídí požadavky tohoto nařízení pouze tehdy, pokud po uvedeném datu procházejí tyto produkty podstatnou změnou.

3. Odchylně od odstavce 2 tohoto článku se povinnosti stanovené v článku 14 vztahují na všechny produkty s digitálními prvky spadající do oblasti působnosti tohoto nařízení, které byly uvedeny na trh před 11. prosincem 2027.

Hodnocení a přezkum

1. Do 11. prosince 2030 a poté každé čtyři roky předloží Komise Evropskému parlamentu a Radě zprávu o hodnocení a přezkumu tohoto nařízení. Tyto zprávy se zveřejní.

2. Do 11. září 2028 předloží Komise po konzultaci s agenturou ENISA a sítí CSIRT Evropskému parlamentu a Radě zprávu, ve které posoudí účinnost jednotné platformy pro podávání zpráv stanovené v článku 16 a dopad uplatňování důvodů souvisejících s kybernetickou bezpečností uvedených v čl. 16 odst. 2 týmy CSIRT určenými jako koordinátoři na účinnost jednotné platformy pro podávání zpráv, pokud jde o včasné rozesílání obdržených oznámení dalším příslušným týmům CSIRT.

Vstup v platnost a použitelnost

1. Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

2. Toto nařízení se použije ode dne 11. prosince 2027.

Článek 14 se však použije se ode dne 11. září 2026 a kapitola IV (články 35 až 51) se použije ode dne 11. června 2026.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

Ve Štrasburku dne 23. října 2024.