Cyber Resilience Act

Genstand

Ved denne forordning fastsættes:

Anvendelsesområde

1. Denne forordning finder anvendelse på produkter med digitale elementer, der gøres tilgængelige på markedet, hvis tilsigtede formål eller rimeligt forudsigelige anvendelse omfatter en direkte eller indirekte logisk eller fysisk dataforbindelse til en enhed eller et netværk.

2. Denne forordning finder ikke anvendelse på produkter med digitale elementer, som følgende EU-retsakter finder anvendelse på:

3. Denne forordning finder ikke anvendelse på produkter med digitale elementer, der er certificeret i overensstemmelse med forordning (EU) 2018/1139.

4. Denne forordning finder ikke anvendelse på udstyr, der er omfattet af Europa-Parlamentets og Rådets direktiv 2014/90/EU (36).

5. Anvendelsen af denne forordning på produkter med digitale elementer, som er omfattet af andre EU-forskrifter, der fastlægger krav vedrørende alle eller nogle af de risici, som er omfattet af de væsentlige cybersikkerhedskrav i bilag I, kan begrænses eller udelukkes, hvis:

Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 61 til at supplere denne forordning ved at præcisere, hvorvidt en sådan begrænsning eller udelukkelse er nødvendig, de pågældende produkter og regler samt begrænsningens anvendelsesområde, hvis det er relevant.

6. Denne forordning finder ikke anvendelse på reservedele, der gøres tilgængelige på markedet for at udskifte identiske komponenter i produkter med digitale elementer, og som er fremstillet efter de samme specifikationer som de komponenter, de skal udskifte.

7. Denne forordning finder ikke anvendelse på produkter med digitale elementer, der udelukkende udvikles eller ændres til nationale sikkerheds- eller forsvarsformål, eller på produkter, der er specifikt designet til at behandle klassificerede oplysninger.

8. De forpligtelser, der er fastsat i denne forordning, omfatter ikke meddelelse af oplysninger, hvis videregivelse ville stride mod væsentlige interesser med hensyn til medlemsstaternes nationale sikkerhed, offentlige sikkerhed eller forsvar.

Definitioner

I denne forordning forstås ved:

Fri bevægelighed

1. Medlemsstaterne må ikke hindre tilgængeliggørelse på markedet af produkter med digitale elementer, der opfylder kravene i denne forordning, for så vidt angår spørgsmål, der er omfattet af denne forordning.

2. Medlemsstaterne må ikke modsætte sig, at der på messer, udstillinger, demonstrationer eller lignende begivenheder præsenteres eller anvendes et produkt med digitale elementer, der ikke overholder denne forordning, herunder dets prototyper, forudsat at produktet præsenteres med et synligt skilt, hvoraf det tydeligt fremgår, at det ikke overholder denne forordning og ikke må gøres tilgængeligt på markedet, før det overholder denne forordning.

3. Medlemsstaterne må ikke forhindre tilgængeliggørelse på markedet af ufærdig software, der ikke overholder denne forordning, såfremt softwaren kun gøres tilgængelig i et begrænset tidsrum, der er nødvendigt til afprøvningsformål, og med et synligt skilt, hvoraf det tydeligt fremgår, at den ikke overholder denne forordning og ikke vil være tilgængelig på markedet til andre formål end afprøvning.

4. Stk. 3 finder ikke anvendelse på sikkerhedskomponenter som omhandlet i anden EU-harmoniseringslovgivning end denne forordning.

Offentlige indkøb af produkter med digitale elementer

1. Denne forordning er ikke til hinder for, at medlemsstaterne underlægger produkter med digitale elementer yderligere cybersikkerhedskrav med henblik på offentlige indkøb eller anvendelse af disse produkter til specifikke formål, herunder når disse produkter indkøbes eller anvendes til nationale sikkerheds- eller forsvarsformål, forudsat at sådanne krav er i overensstemmelse med medlemsstaternes forpligtelser i henhold til EU-retten, og at de er nødvendige og forholdsmæssige for at opfylde disse formål.

2. Uden at det berører direktiv 2014/24/EU og 2014/25/EU, sikrer medlemsstaterne i forbindelse med indkøb af produkter med digitale elementer, der er omfattet af denne forordnings anvendelsesområde, at der i udbudsprocessen tages hensyn til overholdelsen af de væsentlige cybersikkerhedskrav i bilag I til denne forordning, herunder fabrikanternes evne til at håndtere sårbarheder effektivt.

Krav til produkter med digitale elementer

Produkter med digitale elementer må kun gøres tilgængelige på markedet, hvis:

Vigtige produkter med digitale elementer

1. Produkter med digitale elementer, hvis væsentligste funktionalitet henhører under en produktkategori, der er fastsat i bilag III, anses som vigtige produkter med digitale elementer og er omfattet af de overensstemmelsesvurderingsprocedurer, der er omhandlet i artikel 32, stk. 2 og 3. Integrationen af et produkt med digitale elementer, hvis væsentligste funktionalitet henhører under en produktkategori, der er fastsat i bilag III, gør ikke i sig selv det produkt, som det er integreret i, omfattet af de overensstemmelsesvurderingsprocedurer, der er omhandlet i artikel 32, stk. 2 og 3.

2. De kategorier af produkter med digitale elementer, der er omhandlet i denne artikels stk. 1, opdelt i klasse I og II, som fastsat i bilag III, opfylder mindst ét af følgende kriterier:

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 61 med henblik på at ændre bilag III ved at føje til listen en ny kategori inden for hver klasse af kategorierne af produkter med digitale elementer og præcisere dens definition, flytte en kategori af produkter fra en klasse til den anden eller fjerne en eksisterende kategori fra denne liste. Ved vurderingen af behovet for at ændre listen fastsat i bilag III tager Kommissionen hensyn til de cybersikkerhedsrelaterede funktioner eller den funktion og det niveau af cybersikkerhedsrisiko, som produkter med digitale elementer udgør som fastsat ved de kriterier, der er omhandlet i nærværende artikels stk. 2.

De delegerede retsakter, der er omhandlet i nærværende stykkes første afsnit, fastsætter, hvor det er relevant, en mindste overgangsperiode på 12 måneder, navnlig hvis en ny kategori af vigtige produkter med digitale elementer føjes til klasse I eller II eller flyttes fra klasse I til II som fastsat i bilag III, inden de relevante overensstemmelsesvurderingsprocedurer som omhandlet i artikel 32, stk. 2, og 3, begynder at finde anvendelse, medmindre en kortere overgangsperiode er berettiget i særligt hastende tilfælde.

4. Senest den 11. december 2025 vedtager Kommissionen en gennemførelsesretsakt, der præciserer den tekniske beskrivelse af kategorier af produkter med digitale elementer i klasse I og II som fastsat i bilag III og den tekniske beskrivelse af de kategorier af produkter med digitale elementer som fastsat i bilag IV. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf. artikel 62, stk. 2.

Kritiske produkter med digitale elementer

1. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 61 med henblik på at supplere denne forordning for at fastlægge, hvilke produkter med digitale elementer, hvis væsentligste funktionalitet henhører under en produktkategori fastsat i bilag IV til denne forordning, skal indhente en europæisk cybersikkerhedsattest på et tillidsniveau, der som minimum er »betydeligt« i henhold til en europæisk cybersikkerhedscertificeringsordning vedtaget i henhold til forordning (EU) 2019/881, for at påvise overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I til nærværende forordning eller dele heraf, forudsat at der er vedtaget en europæisk cybersikkerhedscertificeringsordning i henhold til forordning (EU) 2019/881, der dækker disse kategorier af produkter med digitale elementer, og at den er tilgængelig for fabrikanterne. Disse delegerede retsakter præciserer det krævede tillidsniveau, der skal stå i et rimeligt forhold til det cybersikkerhedsrisikoniveau, der er forbundet med produkter med digitale elementer, og skal tage hensyn til deres tilsigtede formål, herunder den kritiske afhængighed af dem hos væsentlige enheder som omhandlet i artikel 3, stk. 1, i direktiv (EU) 2022/2555.

Inden vedtagelsen af sådanne delegerede retsakter foretager Kommissionen en vurdering af de potentielle markedsvirkninger af de påtænkte foranstaltninger og gennemfører høringer af relevante interessenter, herunder den europæiske cybersikkerhedscertificeringsgruppe, der er oprettet i henhold til forordning (EU) 2019/881. Vurderingen skal tage hensyn til medlemsstaternes parathed og kapacitetsniveau med hensyn til gennemførelsen af den relevante europæiske cybersikkerhedscertificeringsordning. Hvis der ikke er vedtaget delegerede retsakter som omhandlet i nærværende stykkes første afsnit, er produkter med digitale elementer, hvis væsentligste funktionalitet henhører under en produktkategori som fastsat i bilag IV, omfattet af de overensstemmelsesvurderingsprocedurer, der er omhandlet i artikel 32, stk. 3.

De delegerede retsakter, der er omhandlet i første afsnit, fastsætter en mindste overgangsperiode på seks måneder, medmindre en kortere overgangsperiode er berettiget i særligt hastende tilfælde.

2. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 61 med henblik på at ændre bilag IV ved at tilføje eller fjerne kategorier af kritiske produkter med digitale elementer. Ved fastlæggelsen af sådanne kategorier af kritiske produkter med digitale elementer og det krævede tillidsniveau i overensstemmelse med nærværende artikels stk. 1 tager Kommissionen hensyn til de kriterier, der er omhandlet i artikel 7, stk. 2, og sikrer, at kategorierne af produkter med digitale elementer opfylder mindst ét af følgende kriterier:

Inden vedtagelsen af sådanne delegerede retsakter foretager Kommissionen en vurdering af den type, der er omhandlet i stk. 1.

De delegerede retsakter, der er omhandlet i første afsnit, fastsætter en mindste overgangsperiode på seks måneder, medmindre en kortere overgangsperiode er berettiget i særligt hastende tilfælde.

Høringer af interesserede parter

1. Ved udarbejdelsen af foranstaltninger til gennemførelse af denne forordning hører og tager Kommissionen hensyn til synspunkter fra relevante interessenter såsom relevante myndigheder i medlemsstaterne, virksomheder i den private sektor, herunder mikrovirksomheder og små og mellemstore virksomheder, open source software-samfundet, forbrugerorganisationer, den akademiske verden og relevante EU-agenturer og -organer samt ekspertgrupper, der er nedsat på EU-plan. Kommissionen skal navnlig, hvor det er relevant, høre og indhente synspunkter fra disse interessenter på en struktureret måde i forbindelse med:

2. Kommissionen afholder regelmæssige hørings- og informationsmøder, mindst én gang om året, for at indhente synspunkter fra de i stk. 1 omhandlede interessenter om gennemførelsen af denne forordning.

Forbedring af færdigheder i et cybermodstandsdygtigt digitalt miljø

Med henblik på denne forordning og for at imødekomme fagfolks behov for støtte til gennemførelsen af denne forordning fremmer medlemsstaterne, hvor det er relevant, med støtte fra Kommissionen, Det Europæiske Kompetencecenter for Cybersikkerhed og ENISA, idet de fuldt ud respekterer medlemsstaternes ansvar på uddannelsesområdet, foranstaltninger og strategier, der har til formål at:

Produktsikkerhed i almindelighed

Uanset artikel 2, stk. 1, tredje afsnit, litra b), i forordning (EU) 2023/988, finder kapitel III, afdeling 1, kapitel V og VII og kapitel IX-XI i nævnte forordning anvendelse på produkter med digitale elementer for så vidt angår aspekter og risici eller kategorier af risici, der ikke er omfattet af nærværende forordning, såfremt disse produkter ikke er omfattet af specifikke sikkerhedskrav i anden »EU-harmoniseringslovgivning« som defineret i artikel 3, nr. 27), i forordning (EU) 2023/988.

Højrisiko-AI-systemer

1. Uden at dette berører de krav til nøjagtighed og robusthed, der er fastsat i artikel 15 i forordning (EU) 2024/1689, anses produkter med digitale elementer, som er omfattet af nærværende forordnings anvendelsesområde, og som er klassificeret som højrisiko-AI-systemer i henhold til nævnte forordnings artikel 6, for at overholde cybersikkerhedskravene i nævnte forordnings artikel 15, når:

2. For de produkter med digitale elementer og cybersikkerhedskrav, der er omhandlet i denne artikels stk. 1, finder den relevante overensstemmelsesvurderingsprocedure i henhold til artikel 43 i forordning (EU) 2024/1689 anvendelse. Med henblik på denne vurdering har bemyndigede organer, der har beføjelse til at kontrollere højrisiko-AI-systemernes overensstemmelse i henhold til forordning (EU) 2024/1689, også beføjelse til at kontrollere, at højrisiko-AI-systemerne, der er omfattet af nærværende forordnings anvendelsesområde, opfylder kravene i bilag I til nærværende forordning, forudsat at disse bemyndigede organers overholdelse af kravene i nærværende forordnings artikel 39 er blevet vurderet i forbindelse med bemyndigelsesproceduren i henhold til forordning (EU) 2024/1689.

3. Uanset denne artikels stk. 2 er vigtige produkter med digitale elementer som opført i bilag III til denne forordning, der er omfattet af overensstemmelsesvurderingsprocedurerne i denne forordnings artikel 32, stk. 2, litra a) og b), og artikel 32, stk. 3, samt kritiske produkter med digitale elementer som opført i bilag IV til denne forordning, som er pålagt at opnå et europæisk cybersikkerhedsattest i henhold til denne forordnings artikel 8, stk. 1, eller, hvis dette ikke er tilfældet, som er genstand for overensstemmelsesvurderingsprocedurerne omhandlet i denne forordnings artikel 32, stk. 3, og som er klassificeret som højrisiko-AI-systemer i henhold til artikel 6 i forordning (EU) 2024/1689, og på hvilke overensstemmelsesvurderingsproceduren baseret på intern kontrol som omhandlet i bilag VI til forordning (EU) 2024/1689 finder anvendelse, omfattet af overensstemmelsesvurderingsprocedurerne fastsat i nærværende forordning for så vidt angår de væsentlige cybersikkerhedskrav i nærværende forordning.

4. Fabrikanter af produkter med digitale elementer som omhandlet i denne artikels stk. 1 kan deltage i de reguleringsmæssige AI-sandkasser, der er omhandlet i artikel 57 i forordning (EU) 2024/1689.

Fabrikantens forpligtelser

1. Når et produkt med digitale elementer bringes i omsætning, sikrer fabrikanten, at det er designet, udviklet og produceret i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, del I.

2. Med henblik på at opfylde stk. 1 foretager fabrikanten en vurdering af de cybersikkerhedsrisici, der er forbundet med et produkt med digitale elementer, og tager resultatet af denne vurdering i betragtning i forbindelse med planlægning, design, udvikling, produktion, levering og vedligeholdelse af produktet med digitale elementer for at minimere cybersikkerhedsrisici, forebygge hændelser og minimere deres virkninger, herunder vedrørende brugernes sundhed og sikkerhed.

3. Cybersikkerhedsrisikovurderingen dokumenteres og ajourføres i relevant omfang i løbet af en supportperiode, der skal fastsættes i overensstemmelse med denne artikels stk. 8. Denne cybersikkerhedsrisikovurdering skal som minimum omfatte en analyse af cybersikkerhedsrisici baseret på det tilsigtede formål og den anvendelse, der med rimelighed kan forudses, samt anvendelsesbetingelserne for produktet med digitale elementer såsom driftsmiljøet eller de aktiver, der skal beskyttes, idet der tages højde for, hvor længe produktet forventes at være i brug. Cybersikkerhedsrisikovurderingen skal angive, om og i givet fald på hvilken måde sikkerhedskravene i bilag I, del I, nr. 2, finder anvendelse på det relevante produkt med digitale elementer, og hvordan disse krav gennemføres i overensstemmelse med cybersikkerhedsrisikovurderingen. Det skal også angives, hvordan fabrikanten skal anvende bilag I, del I, nr. 1, og de krav til håndtering af sårbarheder, der er fastsat i bilag I, del II.

4. Når et produkt med digitale elementer bringes i omsætning, medtager fabrikanten den cybersikkerhedsrisikovurdering, der er omhandlet i denne artikels stk. 3, i den tekniske dokumentation, der kræves i henhold til artikel 31 og bilag VII. For produkter med digitale elementer som omhandlet i artikel 12, der også er omfattet af andre EU-retsakter, kan cybersikkerhedsrisikovurderingen indgå i den risikovurdering, der kræves i henhold til disse EU-retsakter. Hvis visse væsentlige cybersikkerhedskrav ikke er relevante for produktet med digitale elementer, medtager fabrikanten en klar begrundelse herfor i den tekniske dokumentation.

5. Med henblik på at opfylde stk. 1 skal fabrikanter foretage due diligence ved integreringen af komponenter fra tredjeparter, således at disse komponenter ikke bringer cybersikkerheden af produktet med digitale elementer i fare, herunder når der integreres komponenter fra gratis open source-software, der ikke er gjort tilgængelige på markedet som led i en kommerciel aktivitet.

6. Ved identifikation af en sårbarhed i en komponent, herunder i en open source-komponent, som er integreret i produktet med digitale elementer, indberetter fabrikanten sårbarheden til den person eller enhed, der fremstiller eller vedligeholder komponenten, og håndterer og afhjælper sårbarheden i overensstemmelse med de krav til håndtering af sårbarheder, der er fastsat i bilag I, del II. Hvis fabrikanten har udviklet en software- eller hardwareændring for at afhjælpe sårbarheden i den pågældende komponent, skal fabrikanten dele den relevante kode eller dokumentation med den person eller enhed, der fremstiller eller vedligeholder komponenten, hvor det er relevant i et maskinlæsbart format.

7. Fabrikanten dokumenterer på en systematisk måde, der står i et rimeligt forhold til cybersikkerhedsrisicienes karakter, relevante cybersikkerhedsaspekter vedrørende produkterne med digitale elementer, herunder sårbarheder, som fabrikanten bliver bekendt med, og alle relevante oplysninger fra tredjeparter, og ajourfører i påkommende tilfælde cybersikkerhedsrisikovurderingen af produkterne.

8. Fabrikanten sikrer, når et produkt med digitale elementer bringes i omsætning, og i supportperioden, at det pågældende produkts sårbarheder, herunder dets komponenter, håndteres effektivt og i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, del II.

Fabrikanten fastsætter supportperioden således, at denne afspejler det tidsrum, hvori produktet forventes at være i brug, navnlig under hensyntagen til rimelige brugerforventninger, produktets art, herunder dets tilsigtede formål, samt relevant EU-ret, der fastsætter levetiden for produkter med digitale elementer. Ved fastsættelsen af supportperioden kan fabrikanten også tage hensyn til supportperioderne for produkter med digitale elementer, der tilbyder en lignende funktionalitet, og som er bragt i omsætning af andre fabrikanter, og til tilgængeligheden af driftsmiljøet, supportperioderne for integrerede komponenter, der leverer centrale funktioner og stammer fra tredjeparter, samt relevant vejledning fra den særlige administrative samarbejdsgruppe (ADCO), der er oprettet i henhold til artikel 52, stk. 15, og fra Kommissionen. De forhold, der skal tages hensyn til med henblik på at bestemme f supportperioden, skal overvejes på en måde, der sikrer proportionalitet.

Uden at det berører andet afsnit, skal supportperioden være på mindst fem år. Hvis produktet med digitale elementer forventes at være i brug i mindre end fem år, skal supportperioden svare til den forventede anvendelsestid.

Under hensyntagen til ADCO's henstillinger som omhandlet i artikel 52, stk. 16, kan Kommissionen vedtage delegerede retsakter i overensstemmelse med artikel 61 med henblik på at supplere denne forordning ved at præcisere minimumssupportperioden for specifikke produktkategorier, såfremt markedsovervågningsdataene tyder på utilstrækkelige supportperioder.

Fabrikanten medtager i den tekniske dokumentation de oplysninger, der blev taget i betragtning ved fastlæggelsen af supportperioden for et produkt med digitale elementer, jf. bilag VII.

Fabrikanten indfører passende politikker og procedurer, herunder politikker for koordineret offentliggørelse af sårbarheder, jf. bilag I, del II, nr. 5, til håndtering og afhjælpning af potentielle sårbarheder i produktet med digitale elementer indberettet fra interne eller eksterne kilder.

9. Fabrikanten sikrer, at hver sikkerhedsopdatering, jf. bilag I, del II, nr. 8, som er gjort tilgængelig for brugerne i supportperioden, forbliver tilgængelig efter udstedelsen i mindst ti år eller i resten af supportperioden, alt efter hvilket tidsrum der er længst.

10. Hvis en fabrikant har bragt efterfølgende væsentligt ændrede versioner af et softwareprodukt i omsætning, kan denne fabrikant vælge kun at sikre overholdelse af det væsentlige cybersikkerhedskrav i bilag I, del II, nr. 2, for den version, som fabrikanten senest har bragt i omsætning, forudsat at brugerne af de versioner, der tidligere er bragt i omsætning, har gratis adgang til den version, der senest er bragt i omsætning, og ikke pådrager sig yderligere omkostninger ved tilpasningen af det hardware- og softwaremiljø, hvori de anvender den oprindelige version af det pågældende produkt.

11. Fabrikanten kan opretholde offentlige softwarearkiver, der forbedrer brugernes adgang til historiske versioner. I disse tilfælde skal brugerne på en lettilgængelig måde informeres klart om de risici, der er forbundet med brug af ikkeunderstøttet software.

12. Inden et produkt med digitale elementer bringes i omsætning, udarbejder fabrikanten den tekniske dokumentation, der er omhandlet i artikel 31.

Fabrikanten gennemfører eller får gennemført de valgte overensstemmelsesvurderingsprocedurer som omhandlet i artikel 32.

Hvor det ved en af disse overensstemmelsesvurderingsprocedurer er blevet dokumenteret, at produktet med digitale elementer overholder de væsentlige cybersikkerhedskrav i bilag I, del I, og at de processer, som fabrikanten har indført, overholder de væsentlige cybersikkerhedskrav i bilag I, del II, udarbejder fabrikanten EU-overensstemmelseserklæringen i overensstemmelse med artikel 28 og anbringer CE-mærkningen i overensstemmelse med artikel 30.

13. Fabrikanten opbevarer den tekniske dokumentation og EU-overensstemmelseserklæringen, så de i mindst ti år efter, at produktet med digitale elementer er blevet bragt i omsætning, eller i supportperioden, alt efter hvilket tidsrum der er længst, står til rådighed for markedsovervågningsmyndighederne.

14. Fabrikanten sikrer, at der findes procedurer til sikring af, at produkter med digitale elementer, der er del af en produktionsserie, fortsat er i overensstemmelse med denne forordning. Fabrikanten tager behørigt hensyn til ændringer i udviklings- og produktionsprocessen eller i designet eller egenskaberne af produktet med digitale elementer og til ændringer i de harmoniserede standarder, europæiske cybersikkerhedscertificeringsordninger eller fælles specifikationer som omhandlet i artikel 27, som der henvises til for at dokumentere overensstemmelsen af produktet med digitale elementer med de gældende krav, eller som anvendes til at kontrollere produktets overensstemmelse.

15. Fabrikanten sikrer, at dennes produkter med digitale elementer er forsynet med et type-, parti- eller serienummer eller en anden form for angivelse, ved hjælp af hvilken de kan identificeres, eller, hvis dette ikke er muligt, at disse oplysninger fremgår af emballagen eller af et dokument, der ledsager produktet med digitale elementer.

16. Fabrikantens navn, registrerede firmanavn eller registrerede varemærke og postadresse, e-mailadresse eller andre digitale kontaktoplysninger samt, i givet fald, webstedet, hvorpå fabrikanten kan kontaktes, skal fremgå af produktet med digitale elementer, af emballagen eller af et dokument, der ledsager produktet med digitale elementer. Disse oplysninger skal også indgå i de oplysninger og anvisninger til brugeren, der er anført i bilag II. Kontaktoplysningerne gives på et sprog, der er letforståeligt for brugere og markedsovervågningsmyndigheder.

17. Med henblik på denne forordning udpeger fabrikanten et centralt kontaktpunkt, der gør det muligt for brugerne at kommunikere direkte og hurtigt med denne, herunder for at lette indberetningen af sårbarheder i produktet med digitale elementer.

Fabrikanten sikrer, at det centrale kontaktpunkt er let at identificere for brugerne. Oplysninger om det centrale kontaktpunkt skal også indgå i de oplysninger og anvisninger til brugeren, der er anført i bilag II.

Det centrale kontaktpunkt skal give brugerne mulighed for at vælge deres foretrukne kommunikationsmiddel og må ikke begrænse sådanne midler til automatiserede værktøjer.

18. Fabrikanten sikrer, at produkter med digitale elementer ledsages af de oplysninger og anvisninger til brugeren, der er anført i bilag II, i papirform eller i elektronisk form. Sådanne oplysninger og anvisninger skal gives på et sprog, der let kan forstås af brugerne og markedsovervågningsmyndighederne. De skal være klare, forståelige og læselige. De skal muliggøre sikker installation, drift og anvendelse af produkter med digitale elementer. Fabrikanten opbevarer de oplysninger og anvisninger til brugeren, der er anført i bilag II, så de i mindst ti år efter, at produktet med digitale elementer er blevet bragt i omsætning, eller i supportperioden, alt efter hvilket tidsrum der er længst, står til rådighed for de nationale markedsovervågningsmyndigheder. Hvis sådanne oplysninger og anvisninger gives online, sikrer fabrikanten, at de er tilgængelige, brugervenlige og til rådighed online i mindst ti år efter, at produktet med digitale elementer er blevet bragt i omsætning, eller i supportperioden, alt efter hvilket tidsrum der er længst.

19. Fabrikanten sikrer, at slutdatoen for den supportperiode, der er omhandlet i stk. 8, herunder som minimum måneden og året, er klart og forståeligt angivet på købstidspunktet på en lettilgængelig måde og, i givet fald, på produktet med digitale elementer eller dets emballage eller ved hjælp af digitale midler.

Hvis det er teknisk muligt i lyset af arten af produktet med digitale elementer, skal fabrikanten vise en meddelelse til brugerne om, at deres produkt med digitale elementer har nået slutningen af sin supportperiode.

20. Fabrikanten udleverer enten en kopi af EU-overensstemmelseserklæringen eller en forenklet EU-overensstemmelseserklæring sammen med produktet med digitale elementer. Såfremt en forenklet EU-overensstemmelseserklæring udleveres, skal denne indeholde den nøjagtige internetadresse, hvor den fuldstændige EU-overensstemmelseserklæring kan tilgås.

21. Fra tidspunktet hvor et produkt med digitale elementer er bragt i omsætning og i supportperioden, træffer fabrikanten, hvis vedkommende ved eller har grund til at tro, at produktet med digitale elementer eller de processer, som fabrikanten har indført, ikke er i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, omgående de nødvendige korrigerende foranstaltninger til at bringe produktet med digitale elementer eller fabrikantens processer i overensstemmelse eller til at tilbagetrække eller tilbagekalde produktet, c.

22. Efter en markedsovervågningsmyndigheds begrundede anmodning giver fabrikanten denne myndighed alle de oplysninger og al den dokumentation på papir eller elektronisk, som er nødvendig for at dokumentere, at produkterne med digitale elementer og de processer, der er indført af fabrikanten, er i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, på et for denne myndighed letforståeligt sprog. Hvis denne myndighed anmoder herom, samarbejder fabrikanten med myndigheden om foranstaltninger, der træffes for at eliminere de cybersikkerhedsrisici, som det produkt med digitale elementer, fabrikanten har bragt i omsætning, indebærer.

23. En fabrikant, der indstiller driften og derfor ikke er i stand til at opfylde denne forordning, underretter, inden indstillingen af driften får virkning, de relevante markedsovervågningsmyndigheder om denne situation samt på enhver tilgængelig måde og i videst muligt omfang brugerne af de relevante produkter med digitale elementer, der er bragt i omsætning, om den forestående indstilling af driften.

24. Kommissionen kan ved hjælp af gennemførelsesretsakter, der tager hensyn til europæiske eller internationale standarder og bedste praksis, præcisere formatet for og elementerne i den softwarekomponentliste, der er omhandlet i bilag I, del II, nr. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 62, stk. 2.

25. For at vurdere medlemsstaternes og hele Unionens afhængighed af softwarekomponenter og navnlig af komponenter, der kan betegnes som gratis open source-software, kan ADCO beslutte at foretage en EU-dækkende afhængighedsvurdering for specifikke kategorier af produkter med digitale elementer. Med henblik herpå kan markedsovervågningsmyndighederne anmode fabrikanter af sådanne kategorier af produkter med digitale elementer om at udlevere den relevante softwarekomponentliste som omhandlet i bilag I, del II, nr. 1. På grundlag af sådanne oplysninger kan markedsovervågningsmyndighederne give ADCO anonymiserede og aggregerede oplysninger om softwareafhængighed. ADCO forelægger en rapport om resultaterne af afhængighedsvurderingen for den samarbejdsgruppe, der er oprettet i henhold til artikel 14 i direktiv (EU) 2022/2555.

Fabrikantens rapporteringsforpligtelser

1. En fabrikant underretter samtidig den CSIRT, der er udpeget som koordinator i overensstemmelse med denne artikels stk. 7, og ENISA om enhver aktivt udnyttet sårbarhed i produktet med digitale elementer, som fabrikanten får kendskab til. Fabrikanten underretter om den aktivt udnyttede sårbarhed via den fælles indberetningsplatform, der er oprettet i henhold til artikel 16.

2. Med henblik på den underretning, der er omhandlet i stk. 1, indgiver fabrikanten:

3. En fabrikant underretter samtidig den CSIRT, der er udpeget som koordinator i overensstemmelse med denne artikels stk. 7, og ENISA, om enhver alvorlig hændelse, der har indvirkning på sikkerheden af produktet med digitale elementer, som fabrikanten får kendskab til. Fabrikanten underretter om hændelsen via den fælles indberetningsplatform, der er oprettet i henhold til artikel 16.

4. Med henblik på den underretning, der er omhandlet i stk. 3, indgiver fabrikanten:

5. Med henblik på stk. 3 anses en hændelse, der indvirker på sikkerheden af produktet med digitale elementer, for at være alvorlig, hvis:

6. Hvis det er nødvendigt, kan den CSIRT, der er udpeget som koordinator, og som indledningsvist modtager underretningen, anmode fabrikanten om at forelægge en foreløbig rapport om relevante statusopdateringer om den aktivt udnyttede sårbarhed eller alvorlige hændelse, der har indvirkning på sikkerheden af produktet med digitale elementer.

7. De underretninger, der er omhandlet i denne artikels stk. 1 og 3, indgives via den fælles indberetningsplatform, der er omhandlet i artikel 16, ved hjælp af et af de adgangspunkter for elektronisk underretning, der er omhandlet i artikel 16, stk. 1. Underretningen indgives ved hjælp af adgangspunktet for elektronisk underretning i den CSIRT, der er udpeget som koordinator i den medlemsstat, hvor fabrikanten har sit hovedforretningssted i Unionen, og skal samtidig være tilgængelig for ENISA.

Med henblik på denne forordning anses en fabrikant for at have sit hovedforretningssted i Unionen i den medlemsstat, hvor beslutningerne vedrørende cybersikkerheden af fabrikantens produkter med digitale elementer overvejende træffes. Hvis en sådan medlemsstat ikke kan fastslås, anses hovedforretningsstedet for at være i den medlemsstat, hvor den pågældende fabrikant forretningssted med det største antal ansatte i Unionen er beliggende.

Hvis en fabrikant ikke har noget hovedforretningssted i Unionen, indgiver denne de underretninger, der er omhandlet i stk. 1 og 3, ved hjælp af adgangspunktet for elektronisk underretning i den CSIRT, der er udpeget som koordinator i den medlemsstat, der er fastsat i henhold til følgende rækkefølge og på grundlag af de oplysninger, som fabrikanten har til rådighed:

For så vidt angår tredje afsnit, litra d), kan en fabrikant indgive underretninger vedrørende enhver efterfølgende aktivt udnyttet sårbarhed eller alvorlig hændelse, der har indvirkning på sikkerheden af produktet med digitale elementer, til den samme CSIRT, der er udpeget som koordinator, og til hvem fabrikanten indberettede i første omgang.

8. Efter at have fået kendskab til en aktivt udnyttet sårbarhed eller en alvorlig hændelse, der har indvirkning på sikkerheden af produktet med digitale elementer, underretter fabrikanten de berørte brugere af produktet med digitale elementer og, hvor det er relevant, alle brugere om denne sårbarhed eller hændelse, og om nødvendigt om eventuel risikobegrænsning og eventuelle korrigerende foranstaltninger, som brugerne kan træffe for at afbøde virkningen af den pågældende sårbarhed eller hændelse, hvor det er relevant i et struktureret maskinlæsbart format, der er let automatisk bearbejdeligt. Hvis fabrikanten ikke rettidigt oplyser brugerne af produktet med digitale elementer, kan de underrettede CSIRT'er, der er udpeget som koordinatorer, give brugerne sådanne oplysninger, når dette anses for at være forholdsmæssigt og nødvendigt for at forebygge eller afbøde virkningen af den pågældende sårbarhed eller hændelse.

9. Senest den 11. december 2025 vedtager Kommissionen delegerede retsakter i overensstemmelse med denne forordnings artikel 61 med henblik på at supplere denne forordning ved at præcisere vilkårene og betingelserne for anvendelse af de cybersikkerhedsrelaterede grunde i forbindelse med udsættelse af formidlingen af underretninger som omhandlet i denne forordnings artikel 16, stk. 2. Kommissionen samarbejder med CSIRT-netværket oprettet i henhold til artikel 15 i direktiv (EU) 2022/2555 og ENISA om udarbejdelsen af udkastene til delegerede retsakter.

10. Kommissionen kan ved hjælp af gennemførelsesretsakter yderligere præcisere formatet og procedurerne for de underretninger, der er omhandlet i denne artikel samt i artikel 15 og 16. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 62, stk. 2. Kommissionen samarbejder med CSIRT-netværket og ENISA om udarbejdelsen af disse udkast til gennemførelsesretsakter.

Frivillig indberetning

1. Fabrikanter såvel som andre fysiske eller juridiske personer kan på frivillig basis underrette en CSIRT, der er udpeget som koordinator, eller ENISA, om enhver sårbarhed i et produkt med digitale elementer samt om cybertrusler, der kan påvirke risikoprofilen for et produkt med digitale elementer.

2. Fabrikanter såvel som andre fysiske eller juridiske personer kan på frivillig basis underrette en CSIRT, der er udpeget som koordinator, eller ENISA, om enhver hændelse, der har indvirkning på sikkerheden af produktet med digitale elementer, samt nærvedhændelser, som kunne have resulteret i en sådan hændelse.

3. Den CSIRT, der er udpeget som koordinator, eller ENISA behandler de underretninger, der er omhandlet i denne artikels stk. 1 og 2, i overensstemmelse med proceduren i artikel 16.

Den CSIRT, der er udpeget som koordinator, kan prioritere behandlingen af obligatoriske underretninger frem for frivillige underretninger.

4. Hvis en anden fysisk eller juridisk person end fabrikanten indberetter en aktivt udnyttet sårbarhed eller en alvorlig hændelse, der har indvirkning på sikkerheden af et produkt med digitale elementer, i overensstemmelse med stk. 1 eller 2, skal den CSIRT, der er udpeget som koordinator, uden unødigt ophold underrette fabrikanten.

5. De CSIRT'er, der er udpeget som koordinatorer, såvel som ENISA sikrer fortroligheden og den passende beskyttelse af de oplysninger, der afgives af en fysisk eller juridisk person. Uden at det berører forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, må frivillig indberetning ikke medføre, at en underrettende fysisk eller juridisk person pålægges nogen yderligere forpligtelser, som vedkommende ikke ville være underlagt, hvis den ikke havde foretaget underretningen.

Oprettelse af en fælles indberetningsplatform

1. Med henblik på de underretninger, der er omhandlet i artikel 14, stk. 1 og 3, og artikel 15, stk. 1 og 2, og for at forenkle fabrikanters indberetningsforpligtelser, opretter ENISA en fælles indberetningsplatform. Den daglige drift af denne fælles indberetningsplatform forvaltes og vedligeholdes af ENISA. Arkitekturen for den fælles indberetningsplatform skal gøre det muligt for medlemsstaterne og ENISA at indføre deres egne adgangspunkter for elektronisk underretning.

2. Efter at have modtaget en underretning formidler den CSIRT, der er udpeget som koordinator, og som indledningsvist modtager underretningen, straks meddelelsen via den fælles indberetningsplatform til de CSIRT'er, der er udpeget som koordinatorer på det område, hvor fabrikanten har angivet, at produktet med digitale elementer er blevet gjort tilgængeligt.

Under ekstraordinære omstændigheder og navnlig efter anmodning fra fabrikanten og i lyset af følsomhedsgraden af de indberettede oplysninger som angivet af fabrikanten i henhold til denne forordnings artikel 14, stk. 2, litra a), kan formidlingen af underretningen udsættes på grundlag af begrundede cybersikkerhedsrelaterede grunde i en periode, der er strengt nødvendig, herunder hvis en sårbarhed er omfattet af en koordineret procedure for offentliggørelse af sårbarheder som omhandlet i artikel 12, stk. 1, i direktiv (EU) 2022/2555. Hvis en CSIRT beslutter at tilbageholde en underretning, underretter den omgående ENISA om denne beslutning og giver en begrundelse for tilbageholdelsen af underretningen såvel som en angivelse af, hvornår den vil formidle underretningen i overensstemmelse med den formidlingsprocedure, der er fastsat i nærværende stykke. ENISA kan støtte CSIRT'en for så vidt angår anvendelsen af cybersikkerhedsrelaterede grunde i forbindelse med udsættelse af underretningens formidling.

Under særlige ekstraordinære omstændigheder, hvor fabrikanten i den underretning, der er omhandlet i artikel 14, stk. 2, litra b), anfører:

er det kun oplysningerne om, at fabrikanten har foretaget en underretning, de generelle oplysninger om produktet, oplysningerne om den generelle karakter af den udnyttede sårbarhed og oplysninger om, at der blev gjort opmærksom på sikkerhedsrelaterede grunde, som skal stilles til rådighed samtidig for ENISA, indtil den fuldstændige underretning formidles til de pågældende CSIRT'er og til ENISA. Hvis ENISA på grundlag af disse oplysninger finder, at der er tale om en systemisk risiko, der indvirker på sikkerheden i det indre marked, anbefaler ENISA den modtagende CSIRT at formidle den fuldstændige underretning til de andre CSIRT'er, der er udpeget som koordinatorer, og til ENISA selv.

3. Efter at have modtaget en underretning om en aktivt udnyttet sårbarhed i et produkt med digitale elementer eller om en alvorlig hændelse, der har indvirkning på sikkerheden af et produkt med digitale elementer, giver de CSIRT'er, der er udpeget som koordinatorer, markedsovervågningsmyndighederne i deres respektive medlemsstater de indberettede oplysninger, der er nødvendige for, at markedsovervågningsmyndighederne kan opfylde deres forpligtelser i henhold til denne forordning.

4. ENISA træffer passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at håndtere sikkerhedsrisiciene for den fælles indberetningsplatform og de oplysninger, der indgives eller formidles via den fælles indberetningsplatform. Det underretter uden unødigt ophold CSIRT-netværket og Kommissionen om enhver sikkerhedshændelse, der har indvirkning på den fælles indberetningsplatform.

5. ENISA udarbejder og gennemfører i samarbejde med CSIRT-netværket specifikationer for de tekniske, operationelle og organisatoriske foranstaltninger vedrørende oprettelse, vedligeholdelse og sikker drift af den fælles indberetningsplatform, der er omhandlet i stk. 1, herunder som minimum sikkerhedsordningerne vedrørende oprettelse, drift og vedligeholdelse af den fælles indberetningsplatform samt de adgangspunkter for elektronisk underretning, som er oprettet af de CSIRT'er, der er udpeget som koordinatorer på nationalt plan, og ENISA på EU-plan, herunder proceduremæssige aspekter, så det i tilfælde, hvor der for en anmeldt sårbarhed ikke er nogen korrigerende eller afbødende foranstaltninger, sikres, at oplysninger om denne sårbarhed deles i overensstemmelse med strenge sikkerhedsprotokoller og på need-to-know-basis.

6. Hvis en CSIRT, der er udpeget som koordinator, er blevet gjort opmærksom på en aktivt udnyttet sårbarhed som led i en koordineret procedure for offentliggørelse af sårbarheder som omhandlet i artikel 12, stk. 1, i direktiv (EU) 2022/2555, kan den CSIRT, der er udpeget som koordinator, og som indledningsvist modtager underretningen, på grundlag af begrundede cybersikkerhedsrelaterede grunde udsætte formidlingen af den relevante underretning via den fælles indberetningsplatform i en periode, der ikke er længere, end hvad der er strengt nødvendigt, og indtil de involverede parter, der foretager koordineret offentliggørelse af sårbarheder, har givet deres samtykke til offentliggørelse. Dette krav forhindrer ikke fabrikanten i at anmelde en sådan sårbarhed på frivillig basis i overensstemmelse med proceduren i nærværende artikel.

Andre bestemmelser vedrørende indberetning

1. ENISA kan forelægge det europæiske netværk af forbindelsesorganisationer for cyberkriser (EU-CyCLONe), der er oprettet ved artikel 16 i direktiv (EU) 2022/2555, oplysninger, der er meddelt i henhold til denne forordnings artikel 14, stk. 1 og 3, og artikel 15, stk. 1 og 2, hvis sådanne oplysninger er relevante for den koordinerede forvaltning af omfattende cybersikkerhedshændelser og -kriser på operationelt plan. Med henblik på at fastslå en sådan relevans kan ENISA overveje tekniske analyser udført af CSIRT-netværket, hvis sådanne foreligger.

2. Hvor offentlighedens kendskab er nødvendig for at forebygge eller afbøde en alvorlig hændelse, der har indvirkning på sikkerheden af produktet med digitale elementer, eller for at håndtere en igangværende hændelse, eller hvor offentliggørelse af hændelsen på anden vis er i den offentlige interesse, kan den CSIRT, der er udpeget som koordinator i den relevante medlemsstat, efter høring af den pågældende fabrikant og, hvor det er relevant, i samarbejde med ENISA, informere offentligheden om hændelsen eller kræve, at fabrikanten gør det.

3. ENISA udarbejder på grundlag af de underretninger, der er modtaget i henhold til denne forordnings artikel 14, stk. 1 og 3, og artikel 15, stk. 1 og 2, hver 24. måned en teknisk rapport om nye tendenser med hensyn til cybersikkerhedsrisici forbundet med produkter med digitale elementer og forelægger den for den samarbejdsgruppe, der er nedsat i henhold til artikel 14 i direktiv (EU) 2022/2555. Den første rapport forelægges senest 24 måneder efter datoen for anvendelsen af forpligtelserne i denne forordnings artikel 14, stk. 1 og 3. ENISA medtager relevante oplysninger fra sine tekniske rapporter i sin rapport om cybersikkerhedssituationen i Unionen i henhold til artikel 18 i direktiv (EU) 2022/2555.

4. Underretningen i sig selv i henhold til artikel 14, stk. 1 og 3, eller artikel 15, stk. 1 og 2, medfører ikke et øget ansvar for den underrettende fysiske eller juridiske person.

5. Når en sikkerhedsopdatering eller en anden form for korrigerende eller afbødende foranstaltning er tilgængelig, tilføjer ENISA efter aftale med fabrikanten af det pågældende produkt med digitale elementer den offentligt kendte sårbarhed, der er meddelt i henhold til denne forordnings artikel 14, stk. 1, eller artikel 15, stk. 1, til den europæiske sårbarhedsdatabase, der er oprettet i henhold til artikel 12, stk. 2, i direktiv (EU) 2022/2555.

6. De CSIRT'er, der er udpeget som koordinatorer, yder i forbindelse med rapporteringsforpligtelserne i henhold til artikel 14 helpdesk-støtte til fabrikanter, og navnlig til fabrikanter, der er mikrovirksomheder eller små eller mellemstore virksomheder.

Bemyndigede repræsentanter

1. En fabrikant kan via en skriftlig fuldmagt udpege en bemyndiget repræsentant.

2. Forpligtelserne i artikel 13, stk. 1-11, stk. 12, første afsnit, og stk. 14, er ikke en del af den bemyndigede repræsentants fuldmagt.

3. En bemyndiget repræsentant udfører de opgaver, der er angivet i den fuldmagt, denne har modtaget fra fabrikanten. Den bemyndigede repræsentant forelægger på anmodning den kompetente myndighed en kopi af fuldmagten. Fuldmagten skal som minimum sætte den bemyndigede repræsentant i stand til:

Importørens forpligtelser

1. Importøren må kun bringe produkter med digitale elementer, der opfylder de væsentlige cybersikkerhedskrav i bilag I, del I„ og hvor de processer, der er indført af fabrikanten, overholder de væsentlige cybersikkerhedskrav i bilag I, del II, i omsætning.

2. Importøren sikrer, før denne bringer et produkt med digitale elementer i omsætning, at:

Med henblik på dette stykke skal importører kunne fremlægge de nødvendige dokumenter som bevis for, at kravene i denne artikel er opfyldt.

3. Hvis en importør finder eller har grund til at tro, at et produkt med digitale elementer eller de processer, som fabrikanten har indført, ikke er i overensstemmelse med denne forordning, må importøren ikke bringe produktet i omsætning, før produktet eller de processer, som fabrikanten har indført, er blevet bragt i overensstemmelse med denne forordning. Hvis produktet med digitale elementer udgør en væsentlig cybersikkerhedsrisiko, underretter importøren endvidere fabrikanten og markedsovervågningsmyndighederne herom.

Hvis en importør har grund til at tro, at et produkt med digitale elementer kan udgøre en betydelig cybersikkerhedsrisiko i lyset af ikketekniske risikofaktorer, underretter importøren markedsovervågningsmyndighederne herom. Efter modtagelse af sådanne oplysninger følger markedsovervågningsmyndighederne de procedurer, der er omhandlet i artikel 54, stk. 2.

4. Importørens navn, registrerede firmanavn eller registrerede varemærke, postadresse, e-mailadresse eller anden digital kontakt samt, hvor det er relevant, det websted, hvor vedkommende kan kontaktes, skal fremgå af produktet med digitale elementer eller af emballagen eller af et dokument, der ledsager produktet med digitale elementer. Kontaktoplysningerne angives på et for brugere og markedsovervågningsmyndigheder letforståeligt sprog.

5. Hvis importøren ved eller har grund til at tro, at et produkt med digitale elementer, som importøren har bragt i omsætning, ikke er i overensstemmelse med denne forordning, træffer importøren omgående de nødvendige korrigerende foranstaltninger til at sikre, at produktet med digitale elementer bringes i overensstemmelse med denne forordning, eller til at tilbagetrække eller tilbagekalde produktet, hvis det er relevant.

Når importøren bliver bekendt med en sårbarhed i produktet med digitale elementer, underretter importøren uden unødigt ophold fabrikanten om denne sårbarhed. Hvis produktet med digitale elementer udgør en væsentlig cybersikkerhedsrisiko, underretter importøren endvidere omgående markedsovervågningsmyndighederne i de medlemsstater, hvor importøren har gjort produktet med digitale elementer tilgængeligt på markedet, herom og giver nærmere oplysninger, navnlig om den manglende overholdelse og om de trufne afhjælpende foranstaltninger.

6. Importøren opbevarer i mindst ti år efter, at produktet med digitale elementer er blevet bragt i omsætning, eller i supportperioden, alt efter hvilket tidsrum der er længst, en kopi af EU-overensstemmelseserklæringen, så den står til rådighed for markedsovervågningsmyndighederne, og sikrer, at den tekniske dokumentation kan stilles til rådighed for disse myndigheder, hvis de anmoder herom.

7. Efter en markedsovervågningsmyndigheds begrundede anmodning giver importøren denne myndighed alle de oplysninger og al den dokumentation på papir eller elektronisk, som er nødvendig for at dokumentere, at produkterne med digitale elementer er i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, del I, og at de processer, der er indført af fabrikanten, er i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, del II, på et for denne myndighed letforståeligt sprog. Hvis denne myndighed anmoder herom, samarbejder importøren med myndigheden om foranstaltninger, der træffes for at eliminere de cybersikkerhedsrisici, som et produkt med digitale elementer, importøren har bragt i omsætning, indebærer.

8. Hvor importøren af et produkt med digitale elementer bliver bekendt med, at fabrikanten af det pågældende produkt har indstillet driften og derfor ikke er i stand til at opfylde de forpligtelser, der er fastsat i denne forordning, underretter importøren de relevante markedsovervågningsmyndigheder om denne situation samt, på enhver tilgængelig måde og i videst muligt omfang, brugerne af produkterne med digitale elementer, der er bragt i omsætning.

Distributørens forpligtelser

1. Distributøren skal, når denne gør et produkt med digitale elementer tilgængeligt på markedet, handle med fornøden omhu for så vidt angår kravene i denne forordning.

2. Inden et produkt med digitale elementer gøres tilgængeligt på markedet, kontrollerer distributøren, at:

3. Hvis en distributør på baggrund af oplysninger i vedkommendes besiddelse finder eller har grund til at tro, at et produkt med digitale elementer eller de processer, der er indført af fabrikanten, ikke er i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, må distributøren ikke gøre produktet med digitale elementer tilgængeligt på markedet, før det pågældende produkt eller de processer, som fabrikanten har indført, er blevet bragt i overensstemmelse med denne forordning. Hvis produktet med digitale elementer udgør en væsentlig cybersikkerhedsrisiko, underretter distributøren endvidere uden unødigt ophold markedsovervågningsmyndighederne herom.

4. Hvis distributøren på baggrund af oplysninger i vedkommendes besiddelse ved eller har grund til at tro, at et produkt med digitale elementer, som distributøren har gjort tilgængeligt på markedet, eller de processer, der er indført af fabrikanten, ikke er i overensstemmelse med denne forordning, træffer distributøren de nødvendige korrigerende foranstaltninger til at bringe produktet med digitale elementer eller de processer, som fabrikanten har indført, i overensstemmelse eller til at tilbagetrække eller tilbagekalde produktet, hvis det er relevant.

Når distributøren bliver bekendt med en sårbarhed i produktet med digitale elementer, underretter distributøren uden unødigt opholde fabrikanten om denne sårbarhed. Hvis produktet med digitale elementer udgør en væsentlig cybersikkerhedsrisiko, underretter distributøren endvidere omgående markedsovervågningsmyndighederne i de medlemsstater, hvor distributøren har gjort produktet med digitale elementer tilgængeligt på markedet, herom og giver nærmere oplysninger, navnlig om den manglende overholdelse og de trufne afhjælpende foranstaltninger.

5. Efter en markedsovervågningsmyndigheds begrundede anmodning giver distributøren denne myndighed alle de oplysninger og al den dokumentation på papir eller elektronisk, som er nødvendig for at dokumentere, at produkterne med digitale elementer og de processer, der er indført af fabrikanten, er i overensstemmelse med denne forordning, på et for denne myndighed letforståeligt sprog. Hvis denne myndighed anmoder herom, samarbejder distributøren med myndigheden om foranstaltninger, der træffes for at eliminere de cybersikkerhedsrisici, som et produkt med digitale elementer, distributøren har gjort tilgængeligt på markedet, indebærer.

6. Når distributøren af et produkt med digitale elementer på baggrund af oplysninger i vedkommendes besiddelse bliver bekendt med, at fabrikanten af det pågældende produkt har indstillet driften og derfor ikke er i stand til at opfylde de forpligtelser, der er fastsat i denne forordning, underretter distributøren uden unødigt ophold de relevante markedsovervågningsmyndigheder om denne situation samt, på enhver tilgængelig måde og i videst muligt omfang, brugerne af produkterne med digitale elementer, der er bragt i omsætning.

Tilfælde, hvor fabrikantens forpligtelser finder anvendelse på importører og distributører

En importør eller distributør anses for at være fabrikant i denne forordnings forstand og er omfattet af artikel 13 og 14, hvor denne importør eller distributør bringer et produkt med digitale elementer i omsætning under sit navn eller varemærke eller foretager en væsentlig ændring af et produkt med digitale elementer, der allerede er bragt i omsætning.

Andre tilfælde, hvor fabrikantens forpligtelser finder anvendelse

1. En fysisk eller juridisk person, bortset fra fabrikanten, importøren eller distributøren, som foretager en væsentlig ændring af et produkt med digitale elementer og bringer dette produkt i omsætning, anses for at være fabrikant i denne forordnings forstand.

2. Den person, der er omhandlet i denne artikels stk. 1, er underlagt forpligtelserne i artikel 13 og 14 for den del af produktet med digitale elementer, der berøres af den væsentlige ændring, eller, hvis den væsentlige ændring har indvirkning på cybersikkerheden af produktet med digitale elementer som helhed, for hele produktet.

Identifikation af erhvervsdrivende

1. Erhvervsdrivende giver efter anmodning markedsovervågningsmyndighederne følgende oplysninger:

2. Erhvervsdrivende skal i ti år efter, at de har fået leveret eller har leveret produktet med digitale elementer, kunne forelægge de i stk. 1 nævnte oplysninger.

Forpligtelser for open source software-forvaltere

1. Open source software-forvaltere indfører og dokumenterer på en verificerbar måde en cybersikkerhedspolitik med henblik på at fremme udviklingen af et sikkert produkt med digitale elementer samt en effektiv håndtering af sårbarheder hos udviklerne af det pågældende produkt. Denne politik skal også fremme frivillig indberetning af sårbarheder fra udviklerne af det pågældende produkt som fastsat i artikel 15 og tage højde for open source software-forvalterens specifikke karakter og de juridiske og organisatoriske ordninger, som vedkommende er underlagt. Denne politik skal navnlig omfatte aspekter vedrørende dokumentation, håndtering og afhjælpning af sårbarheder og i open source-samfundet fremme udvekslingen af oplysninger om opdagede sårbarheder.

2. Open source software-forvaltere samarbejder på anmodning fra markedsovervågningsmyndighederne med disse med henblik på at afbøde de cybersikkerhedsrisici, der er forbundet med et produkt med digitale elementer, som kan betegnes som gratis open source-software.

På grundlag af en begrundet anmodning fra en markedsovervågningsmyndighed giver open source software-forvaltere denne myndighed den i stk. 1 omhandlede dokumentation på et for denne myndighed letforståeligt sprog, i papirform eller i elektronisk form.

3. Forpligtelserne i artikel 14, stk. 1, finder anvendelse på open source software-forvaltere, i det omfang de er involveret i udviklingen af produkter med digitale elementer. Forpligtelserne i artikel 14, stk. 3 og 8, finder anvendelse på open source software-forvaltere, i det omfang alvorlige hændelser, der har indvirkning på sikkerheden af produkter med digitale elementer, påvirker net- og informationssystemer, der leveres af open source software-forvalterne til udvikling af sådanne produkter.

Sikkerhedscertificering af gratis open source-software

For at lette den due diligence-forpligtelse, der er fastsat i artikel 13, stk. 5, navnlig for så vidt angår fabrikanter, der integrerer gratis open source software-komponenter i deres produkter med digitale elementer, tillægges Kommissionen beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 61 med henblik på at supplere denne forordning ved at indføre frivillige sikkerhedscertificeringsprogrammer, der gør det muligt for udviklere eller brugere af produkter med digitale elementer, der kan betegnes som gratis open source-software, samt andre tredjeparter at vurdere sådanne produkters overensstemmelse med alle eller visse væsentlige cybersikkerhedskrav eller andre forpligtelser, der er fastsat i denne forordning.

Vejledning

1. For at lette gennemførelsen og sikre sammenhæng i en sådan gennemførelse offentliggør Kommissionen vejledning, der skal bistå de økonomiske aktører ved anvendelsen af denne forordning, med særligt fokus på at lette mikrovirksomheders og små og mellemstore virksomheders overholdelse af reglerne.

2. Hvor Kommissionen har til hensigt at yde vejledning som omhandlet i stk. 1, behandler den mindst følgende aspekter:

Kommissionen fører også en lettilgængelig liste over de delegerede retsakter og gennemførelsesretsakter, der vedtages i henhold til denne forordning.

3. Kommissionen hører relevante interessenter, når den udarbejder vejledning i henhold til denne artikel.

Overensstemmelsesformodning

1. Produkter med digitale elementer og processer indført af fabrikanten, som er i overensstemmelse med harmoniserede standarder eller dele deraf, hvis referencer er offentliggjort i Den Europæiske Unions Tidende, formodes at være i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, der er omfattet af disse standarder eller dele deraf.

Kommissionen anmoder i overensstemmelse med artikel 10, stk. 1, i forordning (EU) nr. 1025/2012 en eller flere europæiske standardiseringsorganisationer om at udarbejde harmoniserede standarder for de væsentlige cybersikkerhedskrav i bilag I til nærværende forordning. Ved udarbejdelsen af anmodninger om standardisering for nærværende forordning bestræber Kommissionen sig på at tage højde for eksisterende europæiske og internationale standarder for cybersikkerhed, som er gældende eller under udvikling, med henblik på at forenkle udviklingen af harmoniserede standarder i overensstemmelse med forordning (EU) nr. 1025/2012.

2. Kommissionen kan vedtage gennemførelsesretsakter, der fastlægger fælles specifikationer vedrørende tekniske krav, der giver mulighed for at opfylde de væsentlige cybersikkerhedskrav i bilag I for produkter med digitale elementer, som er omfattet af denne forordnings anvendelsesområde.

Disse gennemførelsesretsakter vedtages kun, når følgende betingelser er opfyldt:

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 62, stk. 2.

3. Inden Kommissionen udarbejder det i denne artikels stk. 2 omhandlede udkast til gennemførelsesretsakt, underretter den det udvalg, der er omhandlet i artikel 22 i forordning (EU) nr. 1025/2012, om, at den anser betingelserne i nærværende artikels stk. 2 for at være opfyldt.

4. Når Kommissionen udarbejder det i stk. 2 omhandlede udkast til gennemførelsesretsakt, tager den synspunkter fra relevante organer i betragtning og hører alle relevante interessenter behørigt.

5. Produkter med digitale elementer og processer indført af fabrikanten, som er i overensstemmelse med de fælles specifikationer, der er fastsat ved gennemførelsesretsakter omhandlet i denne artikels stk. 2, eller dele heraf, formodes at være i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, der er omfattet af disse fælles specifikationer eller dele heraf.

6. Når en europæisk standardiseringsorganisation vedtager en harmoniseret standard og fremlægger denne for Kommissionen med henblik på offentliggørelse af henvisningen hertil i Den Europæiske Unions Tidende, foretager Kommissionen en vurdering af den harmoniserede standard i overensstemmelse med forordning (EU) nr. 1025/2012. Når en henvisning vedrørende en harmoniseret standard offentliggøres i Den Europæiske Unions Tidende, ophæver Kommissionen de i denne forordnings stk. 2 omhandlede gennemførelsesretsakter, eller dele deraf, som omfatter de samme væsentlige cybersikkerhedskrav, der er omfattet af denne harmoniserede standard.

7. Hvor en medlemsstat mener, at en fælles specifikation ikke lever helt op til de væsentlige cybersikkerhedskrav i bilag I, underretter medlemsstaten Kommissionen herom ved at give en udførlig forklaring. Kommissionen vurderer den udførlige forklaring og kan, hvis det er hensigtsmæssigt, ændre den gennemførelsesretsakt, som den pågældende fælles specifikation er oprettet ved.

8. Produkter med digitale elementer og processer indført af fabrikanten, for hvilke der er udstedt en EU-overensstemmelseserklæring eller attest i henhold til en europæisk cybersikkerhedscertificeringsordning vedtaget i medfør af forordning (EU) 2019/881, formodes at være i overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I, i det omfang EU-overensstemmelseserklæringen eller den europæiske cybersikkerhedsattest eller dele heraf dækker disse krav.

9. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med denne forordnings artikel 61 med henblik på at supplere denne forordning ved at præcisere de europæiske cybersikkerhedscertificeringsordninger, der er vedtaget i henhold til forordning (EU) 2019/881, og som kan anvendes til at påvise overensstemmelsen af produkter med digitale elementer med de væsentlige cybersikkerhedskrav eller dele heraf i bilag I til nærværende forordning. Udstedelsen af en europæisk cybersikkerhedsattest i henhold til sådanne ordninger på et tillidsniveau, der som minimum er »betydeligt«, fritager derudover fabrikanten fra forpligtelsen til at lade foretage en tredjepartsoverensstemmelsesvurdering vedrørende de tilsvarende krav, jf. nærværende forordnings artikel 32, stk. 2, litra a) og b) og artikel 32, stk. 3, litra a) og b).

EU-overensstemmelseserklæring

1. EU-overensstemmelseserklæringen skal udfærdiges af fabrikanten i overensstemmelse med artikel 13, stk. 12, og det skal af EU-overensstemmelseserklæringen fremgå, at det er blevet dokumenteret, at de gældende væsentlige cybersikkerhedskrav i bilag I er opfyldt.

2. EU-overensstemmelseserklæringen skal følge den model, der er fastsat i bilag V, og indeholde de elementer, der er angivet i de relevante overensstemmelsesvurderingsprocedurer i bilag VIII. En sådan erklæring skal ajourføres, i det omfang det er relevant. Den stilles til rådighed på de sprog, der kræves af den medlemsstat, hvor produktet med digitale elementer bringes i omsætning eller gøres tilgængeligt på markedet.

Den forenklede EU-overensstemmelseserklæring, der er omhandlet i artikel 13, stk. 20, skal følge den model, der er fastsat i bilag VI. Den stilles til rådighed på de sprog, der kræves af den medlemsstat, hvor produktet med digitale elementer bringes i omsætning eller gøres tilgængeligt på markedet.

3. Hvis et produkt med digitale elementer er omfattet af mere end én EU-retsakt, der kræver en EU-overensstemmelseserklæring, udfærdiges der en enkelt EU-overensstemmelseserklæring for alle sådanne EU-retsakter. Det skal af erklæringen fremgå, hvilke EU-retsakter den vedrører, herunder hvor disse er offentliggjort.

4. Ved at udarbejde EU-overensstemmelseserklæringen påtager fabrikanten sig ansvaret for, at produktet med digitale elementer opfylder de gældende krav.

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 61 med henblik på at supplere denne forordning ved at tilføje elementer til minimumsindholdet af EU-overensstemmelseserklæringen i bilag V for at tage hensyn til den teknologiske udvikling.

Generelle principper for CE-mærkningen

CE-mærkningen er underkastet de generelle principper i artikel 30 i forordning (EF) nr. 765/2008.

Regler og betingelser for anbringelse af CE-mærkning

1. CE-mærkningen anbringes synligt, let læseligt og uudsletteligt på produktet med digitale elementer. Hvis produktet med digitale elementer er af en sådan art, at dette ikke er muligt eller berettiget, anbringes CE-mærkningen på emballagen og på den i artikel 28 omhandlede EU-overensstemmelseserklæring, der ledsager produktet med digitale elementer. For produkter med digitale elementer i form af software anbringes CE-mærkningen enten på den i artikel 28 omhandlede EU-overensstemmelseserklæring eller på webstedet for softwareproduktet. I sidstnævnte tilfælde skal der være nem og direkte adgang for forbrugere til den relevante sektion på webstedet.

2. CE-mærkning på produktet med digitale elementer kan, såfremt arten af produktet med digitale elementer nødvendiggør det, være lavere end 5 mm, forudsat at den fortsat er synlig og læselig.

3. CE-mærkningen anbringes, før produktet med digitale elementer bringes i omsætning. Den kan følges af et piktogram eller en anden form for angivelse vedrørende cybersikkerhedsrisiko- eller brugskategori, der er fastsat i de i stk. 6 omhandlede gennemførelsesretsakter.

4. Efter CE-mærkningen anføres identifikationsnummeret på det bemyndigede organ, hvis dette organ deltager i den i stk. 6 omhandlede overensstemmelsesvurderingsprocedure på grundlag af fuld kvalitetssikring (baseret på modul H).

Det bemyndigede organs identifikationsnummer anbringes af organet selv eller efter dettes anvisninger af fabrikanten eller dennes bemyndigede repræsentant.

5. Medlemsstaterne benytter eksisterende mekanismer til at sikre, at CE-mærkningsordningen anvendes korrekt, og tager passende skridt i tilfælde af uretmæssig anvendelse af mærkningen. Hvis produktet med digitale elementer er omfattet af anden EU-harmoniseringslovgivning end denne forordning, som også indeholder bestemmelser om anbringelse af CE-mærkning, skal CE-mærkningen angive, at produktet ligeledes opfylder kravene i en anden sådan EU-harmoniseringslovgivning.

6. Kommissionen kan ved hjælp af gennemførelsesretsakter fastsætte tekniske specifikationer for etiketter, piktogrammer eller andre mærker vedrørende sikkerheden af produkter med digitale elementer, deres supportperioder og mekanismer til at fremme deres anvendelse og til at øge offentlighedens bevidsthed om sikkerheden ved produkter med digitale elementer. Når Kommissionen udarbejder udkastene til gennemførelsesretsakter, hører den relevante interessenter og, hvis denne allerede er blevet nedsat i henhold til artikel 52, stk. 15, ADCO. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 62, stk. 2.

Teknisk dokumentation

1. Den tekniske dokumentation skal indeholde alle relevante data eller oplysninger om de midler, som fabrikanten anvender for at sikre, at produktet med digitale elementer og de processer, som fabrikanten har indført, opfylder de væsentlige cybersikkerhedskrav i bilag I. Den skal som minimum indeholde de i bilag VII fastsatte elementer.

2. Den tekniske dokumentation udarbejdes, inden produktet med digitale elementer bringes i omsætning, og ajourføres løbende, hvor det er relevant, i det mindste i supportperioden.

3. For produkter med digitale elementer som omhandlet i artikel 12, der også er omfattet af andre EU-retsakter, som indeholder bestemmelser om teknisk dokumentation, udarbejdes der en samlet teknisk dokumentation, som indeholder de oplysninger, der er omhandlet i bilag VII, og de oplysninger, der kræves i henhold til disse EU-retsakter.

4. Den tekniske dokumentation og korrespondance vedrørende overensstemmelsesvurderingsprocedurer udfærdiges på et officielt sprog i den medlemsstat, hvor det bemyndigede organ er etableret, eller på et for dette organ acceptabelt sprog.

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 61 med henblik på at supplere denne forordning ved at tilføje de elementer, der skal indgå i den tekniske dokumentation fastsat jf. bilag VII, for at tage hensyn til den teknologiske udvikling samt udviklingen i forbindelse med gennemførelsen af denne forordning. Med henblik herpå sikrer Kommissionen, at den administrative byrde for mikrovirksomheder og små og mellemstore virksomheder er forholdsmæssig.

Overensstemmelsesvurderingsprocedurer for produkter med digitale elementer

1. Fabrikanten foretager en overensstemmelsesvurdering af produktet med digitale elementer og de processer, som fabrikanten har indført, med henblik på at fastslå, om de væsentlige cybersikkerhedskrav i bilag I er opfyldt. Fabrikanten påviser overensstemmelse med de væsentlige cybersikkerhedskrav ved brug af en af følgende procedurer:

2. Hvis fabrikanten ved vurderingen af, hvorvidt et vigtigt produkt med digitale elementer, der henhører under klasse I som fastsat i bilag III, og de processer, der er indført af fabrikanten, overholder de væsentlige cybersikkerhedskrav i bilag I, ikke har anvendt eller kun delvist har anvendt harmoniserede standarder, fælles specifikationer eller europæiske cybersikkerhedscertificeringsordninger på et tillidsniveau, der som minimum er »betydeligt«, som omhandlet i artikel 27, eller hvis sådanne harmoniserede standarder, fælles specifikationer eller europæiske cybersikkerhedscertificeringsordninger ikke findes, underkastes det pågældende produkt med digitale elementer og de processer, som fabrikanten har indført, for så vidt angår disse væsentlige cybersikkerhedskrav en af følgende procedurer:

3. Hvis produktet er et vigtigt produkt med digitale elementer, der henhører under klasse II som fastsat i bilag III, påviser fabrikanten overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I ved brug af en af følgende procedurer:

4. Kritiske produkter med digitale elementer, der er opført i bilag IV, skal påvise overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I ved hjælp af en af følgende procedurer:

5. Fabrikanter af produkter med digitale elementer, der kan betegnes som gratis open source-software, og som er omfattet af kategorierne i bilag III, skal kunne påvise overensstemmelse med de væsentlige cybersikkerhedskrav i bilag I ved hjælp af en af de procedurer, der er omhandlet i denne artikels stk. 1, forudsat at den tekniske dokumentation, der er omhandlet i artikel 31, gøres tilgængelig for offentligheden på det tidspunkt, hvor de pågældende produkter bringes i omsætning.

6. Der skal tages hensyn til mikrovirksomheders og små og mellemstore virksomheders, herunder nyetablerede virksomheders, særlige interesser og behov ved fastsættelsen af gebyrerne for overensstemmelsesvurderingsprocedurer, og disse gebyrer skal reduceres i forhold til deres særlige interesser og behov.

Støtteforanstaltninger for mikrovirksomheder og små og mellemstore virksomheder, herunder nyetablerede virksomheder

1. Medlemsstaterne iværksætter, hvor det er relevant, følgende tiltag skræddersyet til mikrovirksomheders og små virksomheders behov:

2. Medlemsstaterne kan, hvor det er relevant, oprette reguleringsmæssige sandkasser for cyberrobusthed. Sådanne reguleringsmæssige sandkasser skal sikre kontrollerede afprøvningsmiljøer for innovative produkter med digitale elementer for at lette deres udvikling, design, validering og afprøvning med henblik på at overholde denne forordning i en begrænset periode, inden de bringes i omsætning. Kommissionen og, hvor det er relevant, ENISA kan yde teknisk støtte og rådgivning samt tilvejebringe værktøjer til oprettelse og drift af reguleringsmæssige sandkasser. De reguleringsmæssige sandkasser oprettes under direkte tilsyn, vejledning og støtte fra markedsovervågningsmyndighederne. Medlemsstaterne underretter Kommissionen og de øvrige markedsovervågningsmyndigheder om oprettelsen af en reguleringsmæssig sandkasse gennem ADCO. De reguleringsmæssige sandkasser berører ikke de kompetente myndigheders tilsynsbeføjelser eller korrigerende beføjelser. Medlemsstaterne sikrer åben, retfærdig og gennemsigtig adgang til reguleringsmæssige sandkasser og letter navnlig adgangen for mikrovirksomheder og små virksomheder, herunder nyetablerede virksomheder.

3. I overensstemmelse med artikel 26 yder Kommissionen vejledning til mikrovirksomheder og små og mellemstore virksomheder i forbindelse med gennemførelsen af denne forordning.

4. Kommissionen bekendtgør den finansielle støtte, der er tilgængelig inden for de lovgivningsmæssige rammer for eksisterende EU-programmer, navnlig for at lette den finansielle byrde for mikrovirksomheder og små virksomheder.

5. Mikrovirksomheder og små virksomheder kan tilvejebringe alle elementer af den tekniske dokumentation, der er angivet i bilag VII, ved hjælp af et forenklet format. Med henblik herpå præciserer Kommissionen ved hjælp af gennemførelsesretsakter den forenklede tekniske dokumentationsformular, der er rettet mod mikrovirksomheders og små virksomheders behov, herunder hvordan elementerne i bilag VII skal tilvejebringes. Hvis en mikrovirksomhed eller en lille virksomhed vælger at tilvejebringe de oplysninger, der er fastlagt i bilag VII, på en forenklet måde, skal den anvende den formular, der er omhandlet i dette stykke. Bemyndigede organer accepterer denne formular med henblik på en overensstemmelsesvurdering.

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 62, stk. 2.

Aftaler om gensidig anerkendelse

Unionen kan under hensyntagen til niveauet for teknisk udvikling og tilgangen til overensstemmelsesvurdering i et tredjeland indgå aftaler om gensidig anerkendelse med tredjelande i overensstemmelse med artikel 218 i TEUF med det formål at fremme og lette international handel.

Bemyndigelse og underretning

1. Medlemsstaterne underretter Kommissionen og de øvrige medlemsstater om, hvilke organer der er bemyndiget til at udføre overensstemmelsesvurderingsopgaver i overensstemmelse med denne forordning.

2. Medlemsstaterne bestræber sig på senest den 11. december 2026 at sikre, at der er et tilstrækkeligt antal bemyndigede organer i Unionen til at foretage overensstemmelsesvurderinger, så der undgås flaskehalse og forhindringer for markedsadgang.

Bemyndigende myndigheder

1. Hver medlemsstat udpeger en bemyndigende myndighed, som er ansvarlig for at indføre og gennemføre de nødvendige procedurer for vurdering, udpegning og bemyndigelse af overensstemmelsesvurderingsorganer og for overvågning heraf, herunder overholdelsen af artikel 41.

2. Medlemsstater kan bestemme, at den stk. 1 omhandlede vurdering og overvågning foretages af et nationalt akkrediteringsorgan i den i forordning (EF) nr. 765/2008 anvendte betydning og i overensstemmelse med nævnte forordning.

3. Hvis den bemyndigende myndighed uddelegerer eller på anden måde betror den vurdering, bemyndigelse eller overvågning, der er omhandlet i denne artikels stk. 1, til et organ, der ikke er en statslig enhed, skal dette organ være en juridisk enhed og på tilsvarende vis overholde artikel 37. Derudover skal det have truffet foranstaltninger til dækning af erstatningsansvar i forbindelse med sine aktiviteter.

4. Den bemyndigende myndighed påtager sig det fulde ansvar for de opgaver, der udføres af det i stk. 3 omhandlede organ.

Krav til bemyndigende myndigheder

1. En bemyndigende myndighed skal oprettes på en sådan måde, at der ikke opstår interessekonflikter med overensstemmelsesvurderingsorganer.

2. En bemyndigende myndighed skal være organiseret og arbejde på en sådan måde, at det sikres, at dens aktiviteter udøves objektivt og uvildigt.

3. En bemyndigende myndighed skal være organiseret på en sådan måde, at alle beslutninger om bemyndigelse af overensstemmelsesvurderingsorganet træffes af kompetente personer, der ikke er identiske med dem, der foretog vurderingen.

4. En bemyndigende myndighed må ikke udføre aktiviteter, som udføres af overensstemmelsesvurderingsorganer, eller yde rådgivningsservice på kommercielt eller konkurrencemæssigt grundlag.

5. En bemyndigende myndighed skal sikre, at de oplysninger, som den indhenter, behandles fortroligt.

6. En bemyndigende myndighed skal have et tilstrækkeligt antal kompetente medarbejdere til, at den kan udføre sine opgaver behørigt.

Oplysningskrav for bemyndigende myndigheder

1. Medlemsstaterne underretter Kommissionen om deres procedurer for vurdering og bemyndigelse af overensstemmelsesvurderingsorganer og overvågning af bemyndigede organer og om eventuelle ændringer heraf.

2. Kommissionen gør de i stk. 1 omhandlede oplysninger offentligt tilgængelige.

Krav til bemyndigede organer

1. Med henblik på bemyndigelse skal et overensstemmelsesvurderingsorgan opfylde kravene i stk. 2-12.

2. Et overensstemmelsesvurderingsorgan skal oprettes i henhold til national ret og skal være en juridisk person.

3. Et overensstemmelsesvurderingsorgan skal være et tredjepartsorgan, der er uafhængigt af den organisation eller det produkt med digitale elementer, som det vurderer.

Et organ, der tilhører en erhvervsorganisation eller brancheforening, som repræsenterer virksomheder, der er involveret i design, udvikling, produktion, tilvejebringelse, sammensætning, brug eller vedligeholdelse af produkter med digitale elementer, som det vurderer, kan, forudsat at det er påvist, at det er uafhængigt, og at der ikke foreligger interessekonflikter, anses for at være et sådant tredjepartsorgan.

4. Overensstemmelsesvurderingsorganet, dets øverste ledelse og det personale, der er ansvarligt for at foretage overensstemmelsesvurdering, må ikke være designeren, udvikleren, fabrikanten, leverandøren, importøren, distributøren, montøren, køberen, ejeren, brugeren eller reparatøren af de produkter med digitale elementer, som de vurderer, eller den bemyndigede repræsentant for nogen af disse parter. Dette forhindrer ikke anvendelse af vurderede produkter, der er nødvendige for overensstemmelsesvurderingsorganets aktiviteter, eller anvendelse af sådanne produkter til personlige formål.

Overensstemmelsesvurderingsorganet, dets øverste ledelse og det personale, der er ansvarligt for at foretage overensstemmelsesvurdering, må ikke være direkte involveret i design, udvikling, produktion, import, distribution, markedsføring, montering, anvendelse eller vedligeholdelse af de produkter med digitale elementer, som de vurderer, eller repræsentere parter, der er involveret i disse aktiviteter. De må ikke deltage i aktiviteter, som kan være i strid med deres objektivitet og integritet i forbindelse med de overensstemmelsesvurderingsaktiviteter, de er bemyndiget til. Dette gælder navnlig rådgivningstjenester.

Overensstemmelsesvurderingsorganer skal sikre, at deres dattervirksomheders eller underleverandørers aktiviteter ikke påvirker fortroligheden, objektiviteten eller uvildigheden af deres overensstemmelsesvurderingsaktiviteter.

5. Overensstemmelsesvurderingsorganerne og deres personale skal udføre overensstemmelsesvurderingsaktiviteterne med den størst mulige faglige integritet og den nødvendige tekniske kompetence på det specifikke område og må ikke påvirkes af nogen form for pression eller incitament, navnlig af økonomisk art, som kan have indflydelse på deres afgørelser eller resultaterne af deres overensstemmelsesvurderingsaktiviteter, særlig fra personer eller grupper af personer, som har en interesse i resultaterne af disse aktiviteter.

6. Et overensstemmelsesvurderingsorgan skal være i stand til at gennemføre alle de i bilag VIII omhandlede overensstemmelsesvurderingsopgaver, for hvilke det er blevet notificeret, uanset om disse opgaver udføres af overensstemmelsesvurderingsorganet selv eller på dets vegne og under dets ansvar.

Til enhver tid og for hver overensstemmelsesvurderingsprocedure og type eller kategori af produkter med digitale elementer, for hvilket det er blevet notificeret, skal et overensstemmelsesvurderingsorgan have følgende til rådighed:

Et overensstemmelsesvurderingsorgan skal råde over de fornødne midler til på en passende måde at udføre de tekniske og administrative opgaver, der er forbundet med overensstemmelsesvurderingsarbejdet, og det skal have adgang til alt nødvendigt udstyr og alle nødvendige faciliteter.

7. Det personale, som skal udføre overensstemmelsesvurderingsopgaverne, skal have:

8. Det skal sikres, at overensstemmelsesvurderingsorganerne, den øverste ledelse og det personale, der er ansvarligt for at foretage overensstemmelsesvurdering, arbejder uvildigt.

Aflønningen af den øverste ledelse og vurderingspersonalet må ikke afhænge af, hvor mange vurderinger de udfører eller resultaterne af disse vurderinger.

9. Overensstemmelsesvurderingsorganerne skal tegne en ansvarsforsikring, medmindre deres medlemsstat har overtaget ansvaret efter national ret, eller medmindre medlemsstaten selv er direkte ansvarlig for overensstemmelsesvurderingen.

10. Overensstemmelsesvurderingsorganets personale har tavshedspligt med hensyn til alle oplysninger, det kommer i besiddelse af ved udførelsen af dets opgaver i henhold til bilag VIII eller enhver bestemmelse i national ret til gennemførelse heraf, undtagen over for markedsovervågningsmyndighederne i den medlemsstat, hvor aktiviteterne udføres. Ejendomsrettigheder skal beskyttes. Overensstemmelsesvurderingsorganet skal have dokumenterede procedurer, der sikrer overholdelse af dette stykke.

11. Overensstemmelsesvurderingsorganet skal deltage i, eller sikre at dets vurderingspersonale er orienteret om, de relevante standardiseringsaktiviteter og aktiviteterne i den koordineringsgruppe af bemyndigede organer, der er nedsat i henhold til artikel 51, og skal som generel retningslinje anvende de administrative afgørelser og dokumenter, som arbejdet i denne gruppe udmøntes i.

12. Overensstemmelsesvurderingsorganer skal fungere i henhold til et sæt konsekvente, retfærdige, forholdsmæssige og rimelige vilkår og betingelser, samtidig med at unødvendige byrder undgås for erhvervsdrivende, idet der særlig tages hensyn til mikrovirksomheders og små og mellemstore virksomheders interesser for så vidt angår gebyrer.

Formodning om bemyndigede organers overensstemmelse

Hvis et overensstemmelsesvurderingsorgan dokumenterer, at det opfylder kriterierne i de relevante harmoniserede standarder eller dele heraf, hvortil der er offentliggjort referencer i Den Europæiske Unions Tidende, formodes det at opfylde kravene i artikel 39, for så vidt som de gældende harmoniserede standarder dækker disse krav.

Dattervirksomheder og underleverandører i tilknytning til bemyndigede organer

1. Hvis et bemyndiget organ giver bestemte opgaver i forbindelse med overensstemmelsesvurdering til underleverandører eller anvender en dattervirksomhed, sikrer det bemyndigede organ, at underleverandøren eller dattervirksomheden opfylder kravene i artikel 39, og underretter den bemyndigende myndighed herom.

2. De bemyndigede organer har det fulde ansvar for de opgaver, der udføres af underleverandører eller dattervirksomheder, uanset hvor de er etableret.

3. Aktiviteter må kun gives til underleverandører eller udføres af en dattervirksomhed, hvis fabrikanten har givet sit samtykke.

4. De bemyndigede organer sikrer, at de relevante dokumenter vedrørende vurderingen af underleverandørens eller dattervirksomhedens kvalifikationer og det arbejde, som de har udført i henhold til denne forordning, er til rådighed for den bemyndigende myndighed.

Ansøgning om bemyndigelse

1. Et overensstemmelsesvurderingsorgan indgiver en ansøgning om bemyndigelse til den bemyndigende myndighed i den medlemsstat, hvor det er etableret.

2. Ansøgningen ledsages af en beskrivelse af de overensstemmelsesvurderingsaktiviteter, den eller de overensstemmelsesvurderingsprocedurer og det eller de produkter med digitale elementer, som organet hævder at være kompetent til, samt, i givet fald, af et akkrediteringscertifikat udstedt af et nationalt akkrediteringsorgan, hvor det attesteres, at overensstemmelsesvurderingsorganet opfylder kravene i artikel 39.

3. Hvis det pågældende overensstemmelsesvurderingsorgan ikke kan forelægge et akkrediteringscertifikat, forelægger det den bemyndigende myndighed al den dokumentation, der er nødvendig for at kontrollere, anerkende og regelmæssigt overvåge, at det opfylder kravene i artikel 39.

Bemyndigelsesprocedure

1. De bemyndigende myndigheder må kun bemyndige overensstemmelsesvurderingsorganer, som opfylder kravene i artikel 39.

2. Den bemyndigende myndighed underretter Kommissionen og de øvrige medlemsstater ved hjælp af informationssystemet New Approach Notified and Designated Organisations, der er udviklet og forvaltes af Kommissionen.

3. Underretningen skal indeholde fyldestgørende oplysninger om overensstemmelsesvurderingsaktiviteterne, det pågældende overensstemmelsesvurderingsmodul eller de pågældende overensstemmelsesvurderingsmoduler og det pågældende produkt eller de pågældende produkter med digitale elementer og den relevante dokumentation for kompetencen.

4. Hvis en bemyndigelse ikke er baseret på et akkrediteringscertifikat som anført i artikel 42, stk. 2, forelægger den bemyndigende myndighed Kommissionen og de øvrige medlemsstater dokumentation, der attesterer overensstemmelsesvurderingsorganets kompetence og de ordninger, der er indført til sikring af, at der regelmæssigt føres tilsyn med organet, og at organet også fremover vil opfylde de i artikel 39 fastsatte krav.

5. Det pågældende organ må kun udføre aktiviteter som bemyndiget organ, hvis Kommissionen og de øvrige medlemsstater ikke har gjort indsigelse inden for to uger efter en underretning baseret på et akkrediteringscertifikat eller inden for to måneder efter en underretning, der ikke er baseret på et akkrediteringscertifikat.

Kun et sådant organ anses for at være et bemyndiget organ i denne forordnings forstand.

6. Kommissionen og de øvrige medlemsstater skal underrettes om eventuelle efterfølgende relevante ændringer af bemyndigelsen.

Identifikationsnumre for og lister over bemyndigede organer

1. Kommissionen tildeler et bemyndiget organ et identifikationsnummer.

Hvert bemyndiget organ tildeles kun ét sådant nummer, også selv om organet er notificeret i henhold til flere EU-retsakter.

2. Kommissionen offentliggør listen over organer, der er notificeret i henhold til denne forordning, herunder de identifikationsnumre, de er blevet tildelt, og de aktiviteter, for hvilke de er notificeret.

Kommissionen sikrer, at denne liste holdes ajour.

Ændringer af bemyndigelser

1. Hvis en bemyndigende myndighed har konstateret eller er blevet underrettet om, at et bemyndiget organ ikke længere opfylder kravene i artikel 39, eller at det ikke opfylder sine forpligtelser, begrænser, suspenderer eller inddrager den bemyndigende myndighed bemyndigelsen, alt efter hvad der er relevant, og afhængigt af i hvor høj grad disse krav eller forpligtelser ikke er blevet opfyldt. Den underretter omgående Kommissionen og de øvrige medlemsstater herom.

2. Hvis en bemyndigelse begrænses, suspenderes eller inddrages, eller hvis det bemyndigede organ har indstillet sin virksomhed, træffer den bemyndigende medlemsstat de nødvendige foranstaltninger for at sikre, at dette organs sager enten behandles af et andet bemyndiget organ eller gøres tilgængelige for de ansvarlige bemyndigende myndigheder og markedsovervågningsmyndigheder efter disses anmodning.

Anfægtelse af de bemyndigede organers kompetence

1. Kommissionen undersøger alle tilfælde, hvor den tvivler på et bemyndiget organs kompetence eller på, at et bemyndiget organ fortsat opfylder de krav og forpligtelser, der påhviler det, og tilfælde, hvor den bliver gjort opmærksom på en sådan tvivl.

2. Den bemyndigende medlemsstat forelægger efter anmodning Kommissionen alle oplysninger om grundlaget for bemyndigelsen eller fastholdelsen af det bemyndigede organs kompetence.

3. Kommissionen sikrer, at alle følsomme oplysninger, den indhenter som led i sine undersøgelser, behandles fortroligt.

4. Hvis Kommissionen konstaterer, at et bemyndiget organ ikke eller ikke længere opfylder kravene vedrørende dets bemyndigelse, underretter Kommissionen den bemyndigende medlemsstat herom og anmoder den om at træffe de nødvendige korrigerende foranstaltninger, herunder om nødvendigt inddragelse af bemyndigelsen.

Bemyndigede organers operationelle forpligtelser

1. Bemyndigede organer foretager overensstemmelsesvurdering i overensstemmelse med de overensstemmelsesvurderingsprocedurer, der er fastsat i artikel 32 og bilag VIII.

2. Overensstemmelsesvurderingerne foretages i overensstemmelse med proportionalitetsprincippet, således at de erhvervsdrivende ikke pålægges unødige byrder. Overensstemmelsesvurderingsorganer udfører deres aktiviteter under behørig hensyntagen til virksomhedernes størrelse, især med hensyn til mikrovirksomheder og små og mellemstore virksomheder, den sektor, som de opererer inden for, deres struktur, deres kompleksitet og cybersikkerhedsrisikoniveauet for de pågældende produkter med digitale elementer og den pågældende teknologi, og om produktionsprocessen har karakter af masse- eller serieproduktion.

3. Bemyndigede organer skal dog respektere den grad af strenghed og det beskyttelsesniveau, der kræves for, at produkterne med digitale elementer opfylder denne forordning.

4. Hvis et bemyndiget organ finder, at fabrikanten ikke har opfyldt kravene i bilag I eller i de dertil svarende harmoniserede standarder eller de fælles specifikationer som omhandlet i artikel 27, kræver det, at det fabrikanten træffer afhjælpende foranstaltninger, og det udsteder ikke en overensstemmelsesattest.

5. Hvis et bemyndiget organ i forbindelse med overensstemmelsesovervågning efter udstedelse af en attest finder, at et produkt med digitale elementer ikke længere opfylder kravene i denne forordning, kræver det, at fabrikanten afhjælper dette og suspenderer eller inddrager attesten om nødvendigt.

6. Hvis der ikke træffes afhjælpende foranstaltninger, eller hvis disse ikke har den ønskede virkning, begrænser, suspenderer eller inddrager det bemyndigede organ eventuelle attester, alt efter hvad der er relevant.

Klage over afgørelser truffet af bemyndigede organer

Medlemsstaterne sikrer, at der findes en procedure for klager over de bemyndigede organers afgørelser.

Oplysningspligt for bemyndigede organer

1. De bemyndigede organer oplyser den bemyndigende myndighed om følgende:

2. De bemyndigede organer giver de øvrige organer, der er bemyndiget i henhold til denne forordning, og som udfører lignende overensstemmelsesvurderingsaktiviteter og dækker samme produkter med digitale elementer, relevante oplysninger om spørgsmål vedrørende negative og, efter anmodning, positive overensstemmelsesvurderingsresultater.

Erfaringsudveksling

Kommissionen sørger for, at der tilrettelægges erfaringsudveksling mellem medlemsstaternes nationale myndigheder med ansvar for bemyndigelsespolitik.

Koordinering af bemyndigede organer

1. Kommissionen sikrer, at der etableres passende koordinering og samarbejde mellem bemyndigede organer, og at denne koordinering og dette samarbejde fungerer efter hensigten i form af en tværsektoriel gruppe af bemyndigede organer.

2. Medlemsstaterne sørger for, at de organer, de har bemyndiget, deltager i arbejdet i denne gruppe enten direkte eller gennem udpegede repræsentanter.

Markedsovervågning og kontrol af produkter med digitale elementer på EU-markedet

1. Forordning (EU) 2019/1020 finder anvendelse på produkter med digitale elementer, der er omfattet af nærværende forordnings anvendelsesområde.

2. Hver medlemsstat udpeger med henblik på en virkningsfuld gennemførelse af denne forordning en eller flere markedsovervågningsmyndigheder. Medlemsstaterne kan udpege en eksisterende eller ny myndighed til at virke som markedsovervågningsmyndighed med henblik på denne forordning.

3. De markedsovervågningsmyndigheder, der er udpeget i henhold til denne artikels stk. 2, er også ansvarlige for at gennemføre markedsovervågningsaktiviteter i forbindelse med de forpligtelser for open source software-forvaltere, der er fastsat i artikel 24. Hvis en markedsovervågningsmyndighed finder, at en open source software-forvalter ikke opfylder forpligtelserne i nævnte artikel, skal den kræve, at open source software-forvalteren sikrer, at der træffes alle passende korrigerende tiltag. Open source software-forvaltere sikrer, at der træffes alle passende korrigerende tiltag med hensyn til deres forpligtelser i henhold til denne forordning.

4. Markedsovervågningsmyndighederne samarbejder, hvor det er relevant, med de nationale cybersikkerhedscertificeringsmyndigheder, der er udpeget i henhold til artikel 58 i forordning (EU) 2019/881, og udveksler regelmæssigt oplysninger. De udpegede markedsovervågningsmyndigheder samarbejder og udveksler regelmæssigt oplysninger med de CSIRT'er, der er udpeget som koordinatorer, og ENISA for så vidt angår tilsynet med gennemførelsen af rapporteringsforpligtelserne i henhold til nærværende forordnings artikel 14.

5. Markedsovervågningsmyndighederne kan anmode en CSIRT, der er udpeget som koordinator, eller ENISA om at yde teknisk rådgivning om spørgsmål vedrørende gennemførelsen og håndhævelsen af denne forordning. Markedsovervågningsmyndighederne kan, når de foretager en undersøgelse i henhold til artikel 54, anmode den CSIRT, der er udpeget som koordinator, eller ENISA om at fremlægge en analyse for at understøtte overensstemmelsesvurderinger af produkter med digitale elementer.

6. Markedsovervågningsmyndighederne samarbejder, hvor det er relevant, med andre markedsovervågningsmyndigheder, der er udpeget på grundlag af anden EU-harmoniseringslovgivning end denne forordning, og udveksler regelmæssigt oplysninger.

7. Markedsovervågningsmyndighederne samarbejder, alt efter hvad der er relevant, med de myndigheder, der fører tilsyn med EU- databeskyttelsesretten. Et sådant samarbejde omfatter underretning af disse myndigheder om ethvert resultat, der er relevant for udøvelsen af deres beføjelser, herunder ved ydelse af vejledning og rådgivning i henhold til stk. 10, hvis sådan vejledning og rådgivning vedrører behandling af personoplysninger.

De myndigheder, der fører tilsyn med EU-databeskyttelsesretten, har beføjelse til at anmode om og få adgang til al dokumentation, der er udarbejdet eller opbevares i henhold til denne forordning, når adgang til denne dokumentation er nødvendig for udførelsen af deres opgaver. De underretter de udpegede markedsovervågningsmyndigheder i den berørte medlemsstat om enhver sådan anmodning.

8. Medlemsstaterne sikrer, at de udpegede markedsovervågningsmyndigheder modtager tilstrækkelige finansielle og tekniske ressourcer, herunder, hvor det er relevant, behandlingsautomatiseringsværktøjer, samt menneskelige ressourcer med de cybersikkerhedsfærdigheder, der er nødvendige for at kunne udføre deres opgaver i henhold til denne forordning.

9. Kommissionen tilskynder til og letter udvekslingen af erfaringer mellem udpegede markedsovervågningsmyndigheder.

10. Markedsovervågningsmyndighederne kan yde vejledning og rådgivning til erhvervsdrivende om gennemførelsen af denne forordning med støtte fra Kommissionen og, hvor det er relevant, CSIRT'er og ENISA.

11. Markedsovervågningsmyndighederne oplyser forbrugerne om, hvor der kan indgives klager, der kunne tyde på manglende overholdelse af denne forordning, i overensstemmelse med artikel 11 i forordning (EU) 2019/1020, og giver forbrugerne oplysninger om, hvor og hvordan de kan få adgang til mekanismer, som kan lette indberetningen af sårbarheder, hændelser og cybertrusler, der kan påvirke produkter med digitale elementer.

12. Markedsovervågningsmyndighederne letter, hvor det er relevant, samarbejdet med relevante interessenter, herunder videnskabelige organisationer og forsknings- og forbrugerorganisationer.

13. Markedsovervågningsmyndighederne aflægger årligt rapport til Kommissionen om resultaterne af relevante markedsovervågningsaktiviteter. Den udpegede markedsovervågningsmyndighed indberetter straks alle oplysninger, der er fremskaffet i forbindelse med markedsovervågningsaktiviteter, og som kan være af potentiel interesse for anvendelsen af EU-konkurrenceretten, til Kommissionen og de relevante nationale konkurrencemyndigheder.

14. For produkter med digitale elementer, der er omfattet af denne forordnings anvendelsesområde, og som er klassificeret som højrisiko-AI-systemer i henhold til artikel 6 i forordning (EU) 2024/1689, skal de markedsovervågningsmyndigheder, der udpeges med henblik på nævnte forordning, være de myndigheder, der er ansvarlige for de markedsovervågningsaktiviteter, der kræves i henhold til nærværende forordning. De markedsovervågningsmyndigheder, der er udpeget i henhold til forordning (EU) 2024/1689, samarbejder, hvor det er relevant, med de markedsovervågningsmyndigheder, der er udpeget i henhold til nærværende forordning, og med de CSIRT'er, der er udpeget som koordinatorer, og med ENISA om tilsynet med gennemførelsen af rapporteringsforpligtelserne i henhold til nærværendes forordnings artikel 14. Markedsovervågningsmyndigheder udpeget i henhold til forordning (EU) 2024/1689 underretter navnlig markedsovervågningsmyndigheder udpeget i henhold til nærværende forordning om ethvert resultat, der er relevant for udførelsen af deres opgaver i forbindelse med gennemførelsen af nærværende forordning.

15. ADCO oprettes i henhold til artikel 30, stk. 2, i forordning (EU) 2019/1020 med henblik på ensartet gennemførelse af nærværende forordning. ADCO skal bestå af repræsentanter fra de udpegede markedsovervågningsmyndigheder og, hvis det er relevant, repræsentanter fra centrale forbindelseskontorer. ADCO behandler også specifikke spørgsmål vedrørende markedsovervågningsaktiviteterne i forbindelse med de forpligtelser, der pålægges open source software-forvaltere.

16. Markedsovervågningsmyndighederne overvåger, hvordan fabrikanterne har anvendt de kriterier, der er omhandlet i artikel 13, stk. 8, når de fastsætter supportperioden for deres produkter med digitale elementer.

ADCO offentliggør i en offentligt tilgængelig og brugervenlig form relevante statistikker om kategorier af produkter med digitale elementer, herunder gennemsnitlige supportperioder som fastsat af fabrikanten i henhold til artikel 13, stk. 8, og udstikker retningslinjer, der omfatter vejledende supportperioder for kategorier af produkter med digitale elementer.

Hvis dataene tyder på utilstrækkelige supportperioder for specifikke kategorier af produkter med digitale elementer, kan ADCO udstede henstillinger til markedsovervågningsmyndighederne om at fokusere deres aktiviteter på sådanne kategorier af produkter med digitale elementer.

Adgang til oplysninger og dokumentation

Hvis det er nødvendigt for at vurdere, om produkter med digitale elementer og de processer, som fabrikanten har indført, opfylder de væsentlige cybersikkerhedskrav i bilag I, tildeles markedsovervågningsmyndighederne efter begrundet anmodning adgang til de data på et for dem let forståeligt sprog, som er nødvendige for at vurdere designet, udviklingen, produktionen og sårbarhedshåndteringen af sådanne produkter, herunder den relevante interne dokumentation fra den relevante erhvervsdrivende.

Procedure på nationalt plan vedrørende produkter med digitale elementer, der udgør en væsentlig cybersikkerhedsrisiko

1. Hvis en medlemsstats markedsovervågningsmyndighed har tilstrækkelig grund til at antage, at et produkt med digitale elementer, herunder dets sårbarhedshåndtering, udgør en væsentlig cybersikkerhedsrisiko, foretager den uden unødigt ophold og, hvor det er hensigtsmæssigt, i samarbejde med den relevante CSIRT en evaluering af det pågældende produkt med digitale elementer for så vidt angår dets opfyldelse af alle de krav, der er fastsat i denne forordning. De relevante erhvervsdrivende samarbejder i nødvendigt omfang med markedsovervågningsmyndigheden.

Hvis markedsovervågningsmyndigheden i forbindelse med denne evaluering konstaterer, at produkter med digitale elementer ikke opfylder kravene i denne forordning, pålægger den straks den pågældende erhvervsdrivende at træffe alle fornødne afhjælpende tiltag for at bringe produktet med digitale elementer i overensstemmelse med disse krav, trække produktet med digitale elementer tilbage fra markedet eller tilbagekalde det inden for en rimelig tidsfrist, alt efter hvad markedsovervågningsmyndigheden måtte fastsætte i forhold til cybersikkerhedsrisikoens art.

Markedsovervågningsmyndigheden underretter det relevante bemyndigede organ herom. Artikel 18 i forordning (EU) 2019/1020 finder anvendelse på de afhjælpende tiltag.

2. Ved fastlæggelsen af væsentligheden af en cybersikkerhedsrisiko, der er omhandlet i denne artikels stk. 1, tager markedsovervågningsmyndighederne også hensyn til ikketekniske risikofaktorer, navnlig dem, der er fastsat som følge af koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder på EU-plan, som foretages i overensstemmelse med artikel 22 i direktiv (EU) 2022/2555. Hvor en markedsovervågningsmyndighed har tilstrækkelig grund til at antage, at et produkt med digitale elementer udgør en væsentlig cybersikkerhedsrisiko i lyset af ikketekniske risikofaktorer, underretter den de kompetente myndigheder, der er udpeget eller oprettet i henhold til artikel 8 i direktiv (EU) 2022/2555, og samarbejder i nødvendigt omfang med disse myndigheder.

3. Hvis markedsovervågningsmyndigheden finder, at den manglende overensstemmelse ikke er begrænset til dens nationale område, underretter den Kommissionen og de øvrige medlemsstater om resultaterne af evalueringen og om de tiltag, som den har pålagt den erhvervsdrivende at træffe.

4. Den erhvervsdrivende sikrer, at der træffes alle passende afhjælpende tiltag for så vidt angår alle de produkter med digitale elementer, som den erhvervsdrivende har gjort tilgængelige på EU-markedet.

5. Hvis den erhvervsdrivende ikke træffer tilstrækkelige afhjælpende tiltag inden for den frist, der er omhandlet i stk. 1, andet afsnit, træffer markedsovervågningsmyndigheden de nødvendige foreløbige foranstaltninger for at forbyde eller begrænse tilgængeliggørelsen af produktet med digitale elementer på det nationale marked eller for at trække produktet tilbage fra markedet eller kalde det tilbage.

Myndigheden underretter straks Kommissionen og de øvrige medlemsstater om disse foranstaltninger.

6. De i stk. 5 omhandlede oplysninger skal indeholde alle tilgængelige oplysninger, navnlig de data, der er nødvendige for identifikation af det produkt med digitale elementer, der ikke opfylder kravene, oprindelsesstedet for produktet med digitale elementer, arten af den påståede manglende opfyldelse af kravene og af den pågældende risiko, arten og varigheden af de trufne nationale foranstaltninger samt de synspunkter, som den pågældende erhvervsdrivende har fremsat. Markedsovervågningsmyndighederne oplyser navnlig, om den manglende overensstemmelse med kravene skyldes:

7. De øvrige medlemsstater ud over den medlemsstat, der har indledt proceduren, underretter straks Kommissionen og de øvrige medlemsstater om eventuelt trufne foranstaltninger og om yderligere oplysninger, som de måtte råde over, om, at det pågældende produkt med digitale elementer ikke opfylder kravene, og om deres indsigelser, i fald de ikke er indforstået med den meddelte nationale foranstaltning.

8. Hvis der ikke inden for tre måneder efter modtagelsen af den i stk. 5 i denne artikel omhandlede underretning er blevet gjort indsigelse af en medlemsstat eller Kommissionen mod en foreløbig foranstaltning truffet af en medlemsstat, anses denne foranstaltning for at være berettiget. Dette berører ikke den berørte erhvervsdrivendes procedurerettigheder i henhold til artikel 18 i forordning (EU) 2019/1020.

9. Markedsovervågningsmyndighederne i alle medlemsstaterne sikrer, at der straks træffes de fornødne restriktive foranstaltninger med hensyn til det pågældende produkt med digitale elementer såsom tilbagetrækning af dette produkt fra deres marked.

EU-beskyttelsesprocedure

1. Hvor en medlemsstat inden for tre måneder efter modtagelsen af den i artikel 54, stk. 5, omhandlede underretning gør indsigelse mod en anden medlemsstats foranstaltning, eller hvor Kommissionen finder, at foranstaltningen er i strid med EU-retten, drøfter Kommissionen straks spørgsmålet med den relevante medlemsstat og den eller de relevante erhvervsdrivende og evaluerer den nationale foranstaltning. På grundlag af resultaterne af denne evaluering træffer Kommissionen senest ni måneder efter den i artikel 54, stk. 5, omhandlede underretning afgørelse om, hvorvidt den nationale foranstaltning er berettiget eller ej, og meddeler den pågældende medlemsstat denne afgørelse.

2. Hvis den nationale foranstaltning anses for at være berettiget, træffer alle medlemsstaterne de nødvendige foranstaltninger for at sikre, at produktet med digitale elementer, der ikke er i overensstemmelse med kravene, trækkes tilbage fra deres marked, og underretter Kommissionen herom. Hvis den nationale foranstaltning ikke anses for at være berettiget, trækker den pågældende medlemsstat foranstaltningen tilbage.

3. Hvor den nationale foranstaltning anses for at være berettiget, og produktet med digitale elementer ikke overholder kravene som følge af mangler ved de harmoniserede standarder, anvender Kommissionen proceduren i artikel 11 i forordning (EU) nr. 1025/2012.

4. Hvor den nationale foranstaltning anses for at være berettiget, og produktet med digitale elementer ikke overholder kravene som følge af mangler ved en europæisk cybersikkerhedscertificeringsordning som omhandlet i artikel 27, tager Kommissionen stilling til, om en eventuel delegeret retsakt, der er vedtaget i henhold til artikel 27, stk. 9, og som fastsætter formodningen om overensstemmelse for den pågældende certificeringsordning, skal ændres eller ophæves.

5. Hvor den nationale foranstaltning anses for at være berettiget, og den manglende overensstemmelse for så vidt angår produktet med digitale elementer tilskrives mangler ved de fælles specifikationer som omhandlet i artikel 27, tager Kommissionen stilling til, om en eventuel gennemførelsesretsakt, der er vedtaget i henhold til artikel 27, stk. 2, og som fastsætter disse fælles specifikationer, skal ændres eller ophæves.

Procedure på EU-plan vedrørende produkter med digitale elementer, der udgør en væsentlig cybersikkerhedsrisiko

1. Hvor Kommissionen har tilstrækkelig grund til at antage, herunder på grundlag af oplysninger fra ENISA, at et produkt med digitale elementer, der udgør en væsentlig cybersikkerhedsrisiko, ikke opfylder kravene i denne forordning, underretter den de relevante markedsovervågningsmyndigheder. Hvor markedsovervågningsmyndighederne foretager en evaluering af det pågældende produkt med digitale elementer, der kan udgøre en væsentlig cybersikkerhedsrisiko for så vidt angår dets overholdelse af kravene i denne forordning, finder de procedurer, der er omhandlet i artikel 54 og 55, anvendelse.

2. Hvor Kommissionen har tilstrækkelig grund til at antage, at et produkt med digitale elementer udgør en væsentlig cybersikkerhedsrisiko i lyset af ikketekniske risikofaktorer, underretter den de relevante markedsovervågningsmyndigheder og, hvor det er relevant, de kompetente myndigheder, der er udpeget eller oprettet i henhold til artikel 8 i direktiv (EU) 2022/2555, og samarbejder i nødvendigt omfang med disse myndigheder. Kommissionen tager også hensyn til relevansen af de identificerede risici for det pågældende produkt med digitale elementer i lyset af dens opgaver vedrørende de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder på EU-plan, der er foreskrevet i artikel 22 i direktiv (EU) 2022/2555, og hører i nødvendigt omfang den samarbejdsgruppe, der er nedsat i henhold til artikel 14 i direktiv (EU) 2022/2555, og ENISA.

3. Under omstændigheder, der berettiger et hurtigt indgreb for at bevare et velfungerende indre marked, og hvor Kommissionen har tilstrækkelig grund til at antage, at det i stk. 1 omhandlede produkt med digitale elementer fortsat ikke overholder kravene i denne forordning, og de relevante markedsovervågningsmyndigheder ikke har truffet effektive foranstaltninger, foretager Kommissionen en evaluering af overholdelsen og kan anmode ENISA om at fremlægge en analyse for at understøtte denne. Kommissionen underretter de relevante markedsovervågningsmyndigheder herom. De relevante erhvervsdrivende samarbejder i nødvendigt omfang med ENISA.

4. På grundlag af den evaluering, der er omhandlet i stk. 3, kan Kommissionen beslutte, at en korrigerende eller restriktiv foranstaltning er nødvendig på EU-plan. Med henblik herpå hører den straks de berørte medlemsstater og den eller de relevante erhvervsdrivende.

5. På grundlag af den denne artikels stk. 4 omhandlede høring kan Kommissionen vedtage gennemførelsesretsakter med henblik på at træffe korrigerende eller restriktive foranstaltninger på EU-plan, herunder krav om, at de pågældende produkter med digitale elementer skal trækkes tilbage fra markedet eller tilbagekaldes inden for en rimelig tidsfrist, alt efter risikoens art. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, artikel 62, stk. 2.

6. Kommissionen meddeler omgående de i stk. 5 omhandlede gennemførelsesretsakter til den eller de relevante erhvervsdrivende. Medlemsstaterne gennemfører disse gennemførelsesretsakter straks og underretter Kommissionen herom.

7. Stk. 3-6 finder anvendelse, så længe den ekstraordinære situation, der begrundede Kommissionens indgreb, gør sig gældende, forudsat at produktet med digitale elementer ikke er bragt til at overholde denne forordning.

Produkter med digitale elementer, der overholder kravene og udgør en væsentlig cybersikkerhedsrisiko

1. En medlemsstats markedsovervågningsmyndighed pålægger en erhvervsdrivende at træffe alle passende foranstaltninger, hvor den efter at have foretaget en evaluering i henhold til artikel 54 finder, at et produkt med digitale elementer og de processer, som fabrikanten har indført, overholder denne forordning, men at de udgør en væsentlig cybersikkerhedsrisiko og en risiko for:

De foranstaltninger, der er omhandlet i første afsnit, kan omfatte foranstaltninger til at sikre, at det pågældende produkt med digitale elementer og de processer, som fabrikanten har indført, ikke længere udgør de relevante risici, når det gøres tilgængeligt på markedet, tilbagetrækning fra markedet af det pågældende produkt med digitale elementer eller tilbagekaldelse af det, og de skal stå i et rimeligt forhold til arten af disse risici.

2. Fabrikanten eller andre relevante erhvervsdrivende sikrer, at der træffes korrigerende foranstaltninger med hensyn til de produkter med digitale elementer, som de har gjort tilgængelige på markedet i hele Unionen, inden for den tidsfrist, der er fastsat af medlemsstatens i stk. 1 omhandlede markedsovervågningsmyndighed.

3. Medlemsstaten underretter omgående Kommissionen og de øvrige medlemsstater om de foranstaltninger, der er truffet i henhold til stk. 1. Denne underretning skal omfatte alle tilgængelige oplysninger, særlig de data, der er nødvendige til identifikation af de pågældende produkter med digitale elementer, disse produkters oprindelse og forsyningskæde, arten af den pågældende risiko og arten og varigheden af de trufne nationale foranstaltninger.

4. Kommissionen drøfter straks spørgsmålet med medlemsstaterne og den relevante erhvervsdrivende og evaluerer de trufne nationale foranstaltninger. På grundlag af resultaterne af denne evaluering træffer Kommissionen afgørelse om, hvorvidt foranstaltningen er berettiget eller ej, og foreslår om nødvendigt passende foranstaltninger.

5. Kommissionen retter den i stk. 4 omhandlede afgørelse til medlemsstaterne.

6. Hvor Kommissionen har tilstrækkelig grund til at antage, herunder på grundlag af oplysninger fra ENISA, at et produkt med digitale elementer, selv om det overholder denne forordning, udgør de i denne artikels stk. 1 omhandlede risici, skal den informere den relevante markedsovervågningsmyndighed eller de relevante markedsovervågningsmyndigheder og kan anmode den eller dem om at foretage en evaluering og følge de procedurer, der er omhandlet i artikel 54 og i nærværende artikels stk. 1, 2 og 3.

7. Under omstændigheder, der berettiger et hurtigt indgreb for at bevare et velfungerende indre marked, og hvor Kommissionen har tilstrækkelig grund til at antage, at det i stk. 6 omhandlede produkt med digitale elementer fortsat udgør de i stk. 1 omhandlede risici, og de relevante nationale markedsovervågningsmyndigheder ikke har truffet effektive foranstaltninger, foretager Kommissionen en evaluering af risiciene forbundet med det pågældende produkt med digitale elementer og kan anmode ENISA om at fremlægge en analyse for at understøtte denne evaluering, og Kommissionen underretter de relevante markedsovervågningsmyndigheder herom. De relevante erhvervsdrivende samarbejder i nødvendigt omfang med ENISA.

8. På grundlag af den evaluering, der er omhandlet i stk. 7, kan Kommissionen beslutte, at der skal træffes en korrigerende eller restriktiv foranstaltning på EU-plan. Med henblik herpå hører den straks de berørte medlemsstater og den eller de relevante erhvervsdrivende.

9. På grundlag af den i denne artikels stk. 8 omhandlede høring kan Kommissionen vedtage gennemførelsesretsakter med henblik på at træffe afgørelse om korrigerende eller restriktive foranstaltninger på EU-plan, herunder krav om, at de pågældende produkter med digitale elementer skal trækkes tilbage fra markedet eller tilbagekaldes inden for en rimelig tidsfrist, alt efter risikoens art. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 62, stk. 2.

10. Kommissionen meddeler omgående de i stk. 9 omhandlede gennemførelsesretsakter til den eller de relevante erhvervsdrivende. Medlemsstaterne gennemfører disse gennemførelsesretsakter straks og underretter Kommissionen herom.

11. Stk. 6-10 finder anvendelse, indtil den ekstraordinære situation, der begrundede Kommissionens indgreb, ikke længere er til stede, og så længe det pågældende produkt med digitale elementer fortsat udgør de i stk. 1 omhandlede risici.

Formel manglende overholdelse

1. Hvor en medlemsstats markedsovervågningsmyndighed konstaterer et af følgende forhold, pålægger myndigheden den pågældende fabrikant at bringe den manglende overholdelse til ophør:

2. Hvis den i stk. 1 omhandlede manglende overholdelse varer ved, træffer den pågældende medlemsstat alle nødvendige foranstaltninger til at begrænse eller forbyde tilgængeliggørelsen af produktet med digitale elementer på markedet eller sikre, at det tilbagekaldes eller trækkes tilbage fra markedet.

Markedsovervågningsmyndighedernes fælles aktiviteter

1. Markedsovervågningsmyndighederne kan aftale med andre relevante myndigheder at gennemføre fælles aktiviteter, der har til formål at sikre cybersikkerhed og forbrugerbeskyttelse for så vidt angår specifikke produkter med digitale elementer, der bringes i omsætning eller gøres tilgængelige på markedet, navnlig produkter med digitale elementer, der ofte viser sig at udgøre en cybersikkerhedsrisiko.

2. Kommissionen eller ENISA foreslår fælles aktiviteter til kontrol af overholdelsen af denne forordning, der skal udføres af markedsovervågningsmyndighederne på grundlag af tegn på eller oplysninger om, at kravene i denne forordning til produkter med digitale elementer, der falder inden for denne forordnings anvendelsesområde, muligvis ikke overholdes i flere medlemsstater.

3. Markedsovervågningsmyndighederne og, i givet fald, Kommissionen sikrer, at aftalen om at udføre fælles aktiviteter ikke medfører illoyal konkurrence mellem de erhvervsdrivende og ikke påvirker aftaleparternes objektivitet, uafhængighed og uvildighed negativt.

4. En markedsovervågningsmyndighed kan anvende alle oplysninger, der er opnået som resultat af de fælles aktiviteter, der gennemføres som led i en undersøgelse, som den iværksætter.

5. Den pågældende markedsovervågningsmyndighed og, i givet fald, Kommissionen gør aftalen om fælles aktiviteter, herunder de involverede parters navne, tilgængelig for offentligheden.

Kontrolaktioner

1. Markedsovervågningsmyndighederne gennemfører samtidige, koordinerede kontrolaktioner af bestemte produkter med digitale elementer eller kategorier heraf for at kontrollere overholdelse eller afsløre overtrædelser af denne forordning. Disse kontrolaktioner kan omfatte inspektioner af produkter med digitale elementer, der er erhvervet under en dækidentitet.

2. Medmindre andet aftales af de involverede markedsovervågningsmyndigheder, koordinerer Kommissionen kontrolaktionerne. Kontrolaktionens koordinator gør, hvor det er hensigtsmæssigt, de samlede resultater offentligt tilgængelige.

3. Hvor ENISA i forbindelse med udførelsen af sine opgaver, herunder på grundlag af underretningerne modtaget i henhold til artikel 14, stk. 1 og 3, identificerer kategorier af produkter med digitale elementer, for hvilke der kan tilrettelægges kontrolaktioner, forelægger ENISA et forslag til kontrolaktion for den koordinator, der er omhandlet i nærværende artikels stk. 2, med henblik på markedsovervågningsmyndighedernes vurdering.

4. Ved gennemførelsen af kontrolaktioner kan de involverede kontrolovervågningsmyndigheder gøre brug af undersøgelsesbeføjelserne i artikel 52-58 og eventuelle andre beføjelser, som de er tillagt i henhold til national ret.

5. Markedsovervågningsmyndighederne kan opfordre tjenestemænd i Kommissionen og andre ledsagende personer, der er bemyndiget af Kommissionen, til at deltage i kontrolaktioner.

Udøvelse af de delegerede beføjelser

1. Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.

2. Beføjelsen til at vedtage delegerede retsakter, jf. artikel 2, stk. 5, andet afsnit, artikel 7, stk. 3, artikel 8, stk. 1 og 2, artikel 13, stk. 8, fjerde afsnit, artikel 14, stk. 9, artikel 25, artikel 27, stk. 9, artikel 28, stk. 5, og artikel 31, stk. 5, tillægges Kommissionen for en periode på fem år fra den 10. december 2024. Kommissionen udarbejder en rapport vedrørende delegationen af beføjelser senest ni måneder inden udløbet af femårsperioden. Delegationen af beføjelser forlænges stiltiende for perioder af samme varighed, medmindre Europa-Parlamentet eller Rådet modsætter sig en sådan forlængelse senest tre måneder inden udløbet af hver periode.

3. Den i artikel 2, stk. 5, andet afsnit, artikel 7, stk. 3, artikel 8, stk. 1 og 2, artikel 13, stk. 8, fjerde afsnit, artikel 14, stk. 9, artikel 25, artikel 27, stk. 9, artikel 28, stk. 5, og artikel 31, stk. 5, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.

4. Inden vedtagelse af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning.

5. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse herom.

6. En delegeret retsakt vedtaget i henhold til artikel 2, stk. 5, andet afsnit, artikel 7, stk. 3, artikel 8, stk. 1 eller 2, artikel 13, stk. 8, fjerde afsnit, artikel 14, stk. 9, artikel 25, artikel 27, stk. 9, artikel 28, stk. 5, eller artikel 31, stk. 5, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har underrettet Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med to måneder på Europa-Parlamentets eller Rådets initiativ.

Udvalgsprocedure

1. Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.

3. Når udvalgets udtalelse indhentes efter en skriftlig procedure, afsluttes proceduren uden noget resultat, hvis formanden for udvalget træffer beslutning herom, eller et udvalgsmedlem anmoder herom inden fristen for afgivelse af udtalelsen.

Fortrolighed

1. Alle parter, der involveret i anvendelsen af denne forordning, skal overholde tavshedspligten for oplysninger og data, der indhentes under udførelsen af deres opgaver og arbejde, på en sådan måde, at de navnlig beskytter:

2. Uden at det berører stk. 1, må oplysninger, der udveksles på fortrolig basis mellem markedsovervågningsmyndighederne og mellem markedsovervågningsmyndighederne og Kommissionen, ikke videregives uden forudgående tilladelse fra den oprindelige markedsmyndighed.

3. Stk. 1 og 2 berører ikke Kommissionens, medlemsstaternes og de bemyndigede organers rettigheder og forpligtelser med hensyn til udveksling af oplysninger og udsendelse af advarsler eller de berørte personers forpligtelse til at afgive oplysninger inden for rammerne af medlemsstaternes strafferet.

4. Kommissionen og medlemsstaterne kan om nødvendigt udveksle følsomme oplysninger med relevante myndigheder i tredjelande, med hvilke de har indgået bilaterale eller multilaterale aftaler om fortrolighed, der garanterer en tilstrækkelig grad af beskyttelse.

Sanktioner

1. Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af bestemmelserne i denne forordning, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Medlemsstaterne giver straks Kommissionen meddelelse om disse regler og foranstaltninger og underretter den straks om senere ændringer, der berører dem.

2. Manglende opfyldelse af de væsentlige cybersikkerhedskrav i bilag I og forpligtelserne i artikel 13 og 14 straffes med administrative bøder på op til 15 000 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 2,5 % af dens samlede globale årsomsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.

3. Manglende opfyldelse af forpligtelserne i artikel 18-23, artikel 28, artikel 30, stk. 1-4, artikel 31, stk. 1-4, artikel 32, stk. 1, 2 og 3, artikel 33, stk. 5, og artikel 39, 41, 47, 49 og 53, straffes med administrative bøder på op til 10 000 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 2 % af dens samlede globale årsomsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.

4. Afgivelse af ukorrekte, ufuldstændige eller vildledende oplysninger til bemyndigede organer og markedsovervågningsmyndigheder som svar på en anmodning straffes med administrative bøder på op til 5 000 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 1 % af dens samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.

5. Ved fastsættelsen af den administrative bødes størrelse tages der i hvert enkelt tilfælde hensyn til alle relevante omstændigheder i den specifikke situation, og der tages behørigt hensyn til følgende:

6. Markedsovervågningsmyndigheder, der pålægger administrative bøder, underretter markedsovervågningsmyndighederne i andre medlemsstater om denne pålæggelse gennem det informations- og kommunikationssystem, der er omhandlet i artikel 34 i forordning (EU) 2019/1020.

7. Hver medlemsstat fastsætter regler om, hvorvidt og i hvilket omfang administrative bøder må pålægges offentlige myndigheder og offentlige organer, der er etableret i den pågældende medlemsstat.

8. Afhængigt af medlemsstaternes retssystem kan reglerne om administrative bøder anvendes på en sådan måde, at bøderne pålægges af kompetente nationale domstole eller andre organer i overensstemmelse med de kompetencer, der er fastlagt på nationalt plan i de pågældende medlemsstater. Anvendelsen af sådanne regler i disse medlemsstater har tilsvarende virkning.

9. Afhængigt af omstændighederne i hver enkelt sag kan der pålægges administrative bøder i tillæg til eventuelle andre korrigerende eller restriktive foranstaltninger, som markedsovervågningsmyndighederne anvender for den samme overtrædelse.

10. Uanset stk. 3-9 finder de administrative bøder, der er omhandlet i disse stykker, ikke anvendelse på følgende:

Gruppesøgsmål

Direktiv (EU) 2020/1828 finder anvendelse på gruppesøgsmål, som anlægges som følge af erhvervsdrivendes overtrædelser af bestemmelser i denne forordning, som skader eller kan skade forbrugernes kollektive interesser.

Ændring af forordning (EU) 2019/1020

I bilag I til forordning (EU) 2019/1020 indsættes følgende punkt:

»72.

Europa-Parlamentets og Rådets forordning (EU) 2024/2847 (*1).

Ændring af direktiv (EU) 2020/1828

I bilag I til direktiv (EU) 2020/1828 tilføjes følgende punkt:

»69.

Europa-Parlamentets og Rådets forordning (EU) 2024/2847 (*2).

Ændring af forordning (EU) nr. 168/2013

I tabellen i del C i bilag II til Europa-Parlamentets og Rådets forordning (EU) nr. 168/2013 (38) tilføjes følgende punkt:

»

«

Overgangsbestemmelser

1. Udstedte EU-typeafprøvningsattester og afgørelser om godkendelse vedrørende cybersikkerhedskrav til produkter med digitale elementer, der er omfattet af anden EU-harmoniseringslovgivning end denne forordning, forbliver gyldige indtil 11. juni 2028, medmindre de udløber inden denne dato, eller medmindre andet er angivet i sådan anden EU-harmoniseringslovgivning, i hvilket tilfælde de forbliver gyldige som omhandlet i den pågældende lovgivning.

2. Produkter med digitale elementer, der er bragt i omsætning inden den 11. december 2027, er kun omfattet af kravene i denne forordning, hvis disse produkter fra denne dato er genstand for væsentlige ændringer.

3. Uanset denne artikels stk. 2 finder de forpligtelser, der er fastsat i artikel 14, anvendelse på alle produkter med digitale elementer, der er omfattet af denne forordnings anvendelsesområde, og som er bragt i omsætning inden den 11. december 2027.

Evaluering og revision

1. Senest den 11. december 2030 og hvert fjerde år derefter forelægger Kommissionen Europa-Parlamentet og Rådet en rapport om evaluering og revision af denne forordning. Disse rapporter offentliggøres.

2. Senest den 11. september 2028 forelægger Kommissionen efter høring af ENISA og CSIRT-netværket en rapport for Europa-Parlamentet og Rådet med en vurdering af effektiviteten af den fælles indberetningsplatform, der er fastsat i artikel 16, og indvirkningen af anvendelsen af de cybersikkerhedsrelaterede grunde, der er omhandlet i artikel 16, stk. 2, af de CSIRT'er, der er udpeget som koordinatorer, på effektiviteten af den fælles indberetningsplatform for så vidt angår rettidig formidling af modtagne underretninger til andre relevante CSIRT'er.

Ikrafttræden og anvendelse

1. Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

2. Denne forordning finder anvendelse fra den 11. december 2027.

Artikel 14 finder dog anvendelse fra den 11. september 2026, og kapitel IV (artikel 35 til 51) finder anvendelse fra den 11. juni 2026.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Strasbourg, den 23. oktober 2024.