ÜLDSÄTTED
Reguleerimisese
Käesoleva määrusega nähakse ette:
õigusnormid, mis reguleerivad digielemente sisaldavate toodete turul kättesaadavaks tegemist, et tagada selliste toodete küberturvalisus;
digielemente sisaldavate toodete projekteerimise, arendamise ja tootmise olulised küberturvalisuse nõuded ning kohustused, mida ettevõtjad peavad selliste toodete puhul seoses küberturvalisusega täitma;
selliste protsesside olulised küberturvalisuse nõuded, mille tootjad on kehtestanud nõrkuste käsitlemiseks, et tagada digielemente sisaldavate toodete küberturvalisus toodete kogu eeldatava kasutamise ajal, ning ettevõtjate kohustused seoses nende protsessidega;
õigusnormid turujärelevalve, sealhulgas seire ning käesolevas artiklis osutatud õigusnormide ja nõuete täitmise tagamise kohta.
Kohaldamisala
Kui teie tootel on digielemendid ja see jõuab ELi turule, on see tõenäoliselt hõlmatud; välja arvatud juhul, kui kohaldub juba valdkondlik õigusakt (meditsiiniseadmed, mootorsõidukid, tsiviillennundus).
1. Käesolevat määrust kohaldatakse turul kättesaadavaks tehtud digielemente sisaldavate toodete suhtes, mille sihtotstarve või mõistlikult prognoositav kasutamine hõlmab otsest või kaudset loogilist või füüsilist ühendust seadme või võrguga andmeside eesmärgil.
2. Käesolevat määrust ei kohaldata digielemente sisaldavate toodete suhtes, mille suhtes kohaldatakse järgmisi liidu õigusakte:
määrus (EL) 2017/745;
määrus (EL) 2017/746;
määrus (EL) 2019/2144.
3. Käesolevat määrust ei kohaldata digielemente sisaldavate toodete suhtes, mis on sertifitseeritud vastavalt määrusele (EL) 2018/1139.
4. Käesolevat määrust ei kohaldata seadmete suhtes, mis kuuluvad Euroopa Parlamendi ja nõukogu direktiivi 2014/90/EL (36) kohaldamisalasse.
5. Käesoleva määruse kohaldamist digielemente sisaldavate toodete suhtes, mis kuuluvad ka muude selliste liidu õigusnormide kohaldamisalasse, millega on kehtestatud nõuded, mis käsitlevad kõiki I lisas sätestatud oluliste küberturvalisuse nõuetega hõlmatud riske või mõnda neist, võib piirata või selle välistada, kui:
piiramine või välistamine on kooskõlas nende toodete suhtes kohaldatava üldise õigusraamistikuga ning
valdkondlike normidega saavutatakse samasugune või kõrgem kaitsetase kui käesoleva määrusega.
Komisjonil on õigus võtta kooskõlas artikliga 61 vastu delegeeritud õigusakte, et täiendada käesolevat määrust ja täpsustada asjakohasel juhul, kas selline piiramine või välistamine on vajalik, milliseid tooteid ja õigusnorme see puudutab ning milline on piirangu ulatus.
6. Käesolevat määrust ei kohaldata varuosade suhtes, mis tehakse turul kättesaadavaks digielemente sisaldavate toodete identsete komponentide asendamiseks ja mis on toodetud samade spetsifikatsioonide kohaselt kui komponendid, mille asendamiseks need on ette nähtud.
7. Käesolevat määrust ei kohaldata digielemente sisaldavate toodete suhtes, mis on välja töötatud või mida on muudetud üksnes riikliku julgeoleku või riigikaitse otstarbel, ega toodete suhtes, mis on spetsiaalselt projekteeritud salastatud teabe töötlemiseks.
8. Käesolevas määruses sätestatud kohustused ei hõlma sellise teabe edastamist, mille avalikustamine oleks vastuolus liikmesriikide oluliste riikliku julgeoleku, avaliku julgeoleku või riigikaitse huvidega.
Mõisted
Artikkel 3 määratleb kogu määruses kasutatavad mõisted; „digielementidega toode“, „toetusperiood“ ja „aktiivselt ärakasutatav nõrkus“ pärinevad kõik siit.
Käesolevas määruses kasutatakse järgmisi mõisteid:
„digielemente sisaldav toode“ – tarkvara- või riistvaratoode ja selle andmete kaugtöötluslahendused, kaasa arvatud tarkvara- ja riistvarakomponendid, mis lastakse turule eraldi;
„andmete kaugtöötlus“ – andmetöötlus, mis toimub distantsilt ja mille jaoks tootja on projekteerinud ja välja töötanud tarkvara või mille jaoks on selline tarkvara projekteeritud ja välja töötatud tootja vastutusel ning mille puudumine ei laseks digielemente sisaldaval tootel täita üht oma funktsiooni;
„küberturvalisus“ – määruse (EL) 2019/881 artikli 2 punktis 1 määratletud küberturvalisus;
„tarkvara“ – elektroonilise infosüsteemi osa, mis koosneb arvutikoodist;
„riistvara“ – füüsiline elektrooniline infosüsteem või selle osa, mis suudab digitaalandmeid töödelda, talletada või edastada;
„komponent“ – tarkvara või riistvara, mis on ette nähtud integreerimiseks elektroonilisse infosüsteemi;
„elektrooniline infosüsteem“ – süsteem, sealhulgas elektri- või elektroonikaseade, mis suudab töödelda, talletada või edastada digitaalandmeid;
„loogiline ühendus“ – tarkvaraliidese kaudu teostatav andmesideühenduse virtuaalesitus;
„füüsiline ühendus“ – elektrooniliste infosüsteemide või komponentidevaheline ühendus, mis realiseeritakse füüsiliste vahenditega, muu hulgas elektrilise, optilise või mehaanilise liidese, traadi või raadiolainete kaudu;
„kaudne ühendus“ – selline ühendus seadme või võrguga, mis ei toimu otse, vaid sellise seadme või võrguga otse ühendatava suurema süsteemi raames;
„lõppseade“ – seade, mis on võrku ühendatud ja toimib selle võrgu sisendpunktina;
„ettevõtja“ – tootja, volitatud esindaja, importija, turustaja või muu füüsiline või juriidiline isik, kes peab kooskõlas käesoleva määrusega täitma kohustusi, mis on seotud digielemente sisaldava toote tootmisega või digielemente sisaldava toote turul kättesaadavaks tegemisega;
„tootja“ – füüsiline või juriidiline isik, kes arendab või toodab digielemente sisaldavat toodet või kes laseb digielemente sisaldavat toodet projekteerida, arendada või toota ja turustab seda tasu eest, tulu teenimise eesmärgil või tasuta oma nime või kaubamärgi all;
„avatud lähtekoodiga tarkvara korraldaja“ – juriidiline isik, kes ei ole tootja ja kelle eesmärk on süstemaatiliselt ja püsivalt toetada selliste teatavate digielemente sisaldavate toodete arendamist, mis kvalifitseeruvad vabaks ja avatud lähtekoodiga tarkvaraks ning on ette nähtud kaubandustegevuseks, ning kes tagab nende toodete elujõulisuse;
„volitatud esindaja“ – liidus asuv füüsiline või juriidiline isik, kes on saanud tootjalt kirjaliku volituse tegutseda tema nimel seoses kindlaksmääratud ülesannetega;
„importija“ – liidus asuv füüsiline või juriidiline isik, kes laseb turule väljaspool liitu asuva füüsilise või juriidilise isiku nime või kaubamärki kandva digielemente sisaldava toote;
„turustaja“ – tarneahelas osalev füüsiline või juriidiline isik, kes ei ole tootja ega importija ja kes teeb digielemente sisaldava toote liidu turul kättesaadavaks ilma toote omadusi mõjutamata;
„tarbija“ – füüsiline isik, kes tegutseb eesmärgil, mis ei ole seotud tema kaubandus-, majandus-, ametialase või kutsetegevusega;
„mikro-, väikesed ja keskmise suurusega ettevõtjad“ – soovituse 2003/361/EÜ lisas määratletud mikro-, väikesed ja keskmise suurusega ettevõtjad;
„toe kestus“ – ajavahemik, mille ajal tootja peab tagama digielemente sisaldava toote nõrkuste tulemusliku käsitlemise kooskõlas I lisa II osas sätestatud oluliste küberturvalisuse nõuetega;
„turule laskmine“ – digielemente sisaldava toote esmakordne liidu turul kättesaadavaks tegemine;
„turul kättesaadavaks tegemine“ – kaubandustegevuse käigus digielemente sisaldava toote tasu eest või tasuta tarnimine liidu turule kas turustamiseks või kasutamiseks;
„sihtotstarve“ – kasutamine, kaasa arvatud kasutamise konkreetne kontekst ja tingimused, mille jaoks tootja on digielemente sisaldava toote kasutusjuhendis, reklaam- või müügimaterjalides või avaldustes ning tehnilises dokumentatsioonis esitatud teabe kohaselt ette näinud;
„mõistlikult prognoositav kasutamine“ – kasutamine, mis ei toimu ilmtingimata tootja poolt kasutusjuhendis, reklaam- või müügimaterjalides või avaldustes ning tehnilises dokumentatsioonis ette nähtud sihtotstarbel, kuid mis võib tõenäoliselt tuleneda mõistlikult prognoositavast inimkäitumisest või tehnilisest toimingust või interaktsioonist;
„mõistlikult prognoositav väärkasutamine“ – digielemente sisaldava toote kasutamine viisil, mis ei ole kooskõlas selle sihtotstarbega, kuid mis võib tuleneda mõistlikult prognoositavast inimkäitumisest või interaktsioonist muude süsteemidega;
„teavitav asutus“ – riigi ametiasutus, kes vastutab vastavushindamisasutuste hindamise, määramise ja neist teada andmise ning nende järelevalve jaoks vajalike menetluste väljatöötamise ja läbiviimise eest;
„vastavushindamine“ – protsess, mille käigus kontrollitakse, kas I lisas sätestatud olulised küberturvalisuse nõuded on täidetud;
„vastavushindamisasutus“ – määruse (EÜ) nr 765/2008 artikli 2 punktis 13 määratletud vastavushindamisasutus;
„teada antud asutus“ – artikli 43 ja liidu asjakohaste ühtlustamisõigusaktide kohaselt määratud vastavushindamisasutus;
„oluline muudatus“ – digielemente sisaldavas tootes pärast selle turule laskmist tehtud muudatus, mis mõjutab digielemente sisaldava toote vastavust I lisa I osas sätestatud olulistele nõuetele või mille tõttu muutub sihtotstarve, mida silmas pidades on digielemente sisaldavat toodet hinnatud;
„CE-vastavusmärgis“ – märgis, millega tootja annab teada, et digielemente sisaldav toode ja tootja rakendatud protsessid vastavad I lisas ja kohaldatavates liidu ühtlustamisõigusaktides sätestatud märgise paigaldamist käsitlevatele olulistele küberturvalisuse nõuetele;
„liidu ühtlustamisõigusaktid“ – määruse (EL) 2019/1020 I lisas loetletud liidu õigusaktid ja muud liidu õigusaktid, millega ühtlustatakse nende toodete turustamise tingimusi, mille suhtes nimetatud määrust kohaldatakse;
„turujärelevalveasutus“ – määruse (EL) 2019/1020 artikli 3 punktis 4 määratletud turujärelevalveasutus;
„rahvusvaheline standard“ – määruse (EL) nr 1025/2012 artikli 2 punkti 1 alapunktis a määratletud rahvusvaheline standard;
„Euroopa standard“ – määruse (EL) nr 1025/2012 artikli 2 punkti 1 alapunktis b määratletud Euroopa standard;
„harmoneeritud standard“ – määruse (EL) nr 1025/2012 artikli 2 punkti 1 alapunktis c määratletud harmoneeritud standard;
„küberrisk“ – intsidendist tingitud kahju või häire võimalus, mida väljendatakse sellise kahju või häire ulatust ja intsidendi esinemise tõenäosust kajastava kombineeritud näitajana;
„oluline küberrisk“ – küberrisk, mille tehniliste omaduste põhjal võib eeldada suurt tõenäosust sellise intsidendi tekkeks, mis võib põhjustada tõsist negatiivset mõju, muu hulgas olulist varalist või mittevaralist kahju või häiret;
„tarkvara koostenimekiri“ – ametlik kirje, milles esitatakse digielemente sisaldava toote tarkvaraelementides sisalduvate komponentide üksikasjad ja tarneahela seosed;
„nõrkus“ – digielemente sisaldava toote nõrkus, tundlikkus või viga, mida küberohu tekitaja võib ära kasutada;
„ärakasutatav nõrkus“ – nõrkus, mida vastaspool võib praktilistes käitamistingimustes tulemuslikult ära kasutada;
„aktiivselt ärakasutatav nõrkus“ – nõrkus, mille kohta on usaldusväärseid tõendeid, et kuritahtlik isik on seda süsteemi omaniku loata süsteemis ära kasutanud;
„intsident“ – direktiivi (EL) 2022/2555 artikli 6 punktis 6 määratletud intsident;
„digielemente sisaldava toote turvalisust mõjutav intsident“ – intsident, mis mõjutab või võib mõjutada negatiivselt digielemente sisaldava toote võimet kaitsta andmete või funktsioonide kättesaadavust, autentsust, terviklust või konfidentsiaalsust;
„napilt ära hoitud intsident“ – direktiivi (EL) 2022/2555 artikli 6 punktis 5 määratletud napilt ära hoitud intsident;
„küberoht“ – määruse (EL) 2019/881 artikli 2 punktis 8 määratletud küberoht;
„isikuandmed“ – määruse (EL) 2016/679 artikli 4 punktis 1 määratletud isikuandmed;
„vaba ja avatud lähtekoodiga tarkvara“ – tarkvara, mille lähtekoodi jagatakse avalikult ja mis tehakse kättesaadavaks vaba ja avatud lähtekoodi litsentsi alusel, mis annab kõik õigused teha see vabalt kättesaadavaks, kasutatavaks, muudetavaks ja turustatavaks;
„tagasivõtmine“ – määruse (EL) 2019/1020 artikli 3 punktis 22 määratletud tagasivõtmine;
„turult kõrvaldamine“ – määruse (EL) 2019/1020 artikli 3 punktis 23 määratletud turult kõrvaldamine;
„koordinaatoriks määratud CSIRT“ – direktiivi (EL) 2022/2555 artikli 12 lõike 1 kohaselt koordinaatoriks määratud CSIRT.
Vaba liikumine
1. Liikmesriigid ei takista käesoleva määrusega hõlmatud küsimustes käesoleva määruse nõuetele vastavate digielemente sisaldavate toodete turul kättesaadavaks tegemist.
2. Liikmesriigid ei takista käesolevale määrusele mittevastavate digielemente sisaldavate toodete, sealhulgas selle prototüüpide esitlemist ega kasutamist messidel, näitustel ja esitlustel või muudel samalaadsetel üritustel, kui toodet esitletakse nähtava sildiga, millel on selgelt märgitud, et see ei vasta käesolevale määrusele ning seda ei tehta turul kättesaadavaks enne, kui see sellele vastab.
3. Liikmesriigid ei takista käesolevale määrusele mittevastava poolelioleva tarkvara turul kättesaadavaks tegemist, kui tarkvara tehakse kättesaadavaks üksnes testimiseks vajaliku piiratud aja jooksul ning tootel nähtaval sildil on selgelt märgitud, et tarkvara ei vasta käesolevale määrusele ega ole turul kättesaadav muul eesmärgil kui testimiseks.
4. Lõiget 3 ei kohaldata ohutusseadiste suhtes, millele on osutatud muudes liidu ühtlustamisõigusaktides kui käesolev määrus.
Digielemente sisaldavate toodete hankimine ja kasutamine
1. Käesoleva määrusega ei takistata liikmesriike kehtestamast digielemente sisaldavate toodete suhtes täiendavaid küberturvalisuse nõudeid nende toodete hankimiseks või kasutamiseks teatavatel eesmärkidel, sealhulgas juhul, kui neid tooteid hangitakse või kasutatakse riikliku julgeoleku või riigikaitse eesmärgil, tingimusel, et need nõuded on kooskõlas liidu õiguses sätestatud liikmesriikide kohustustega ning on nende eesmärkide saavutamiseks vajalikud ja proportsionaalsed.
2. Ilma et see piiraks direktiivide 2014/24/EL ja 2014/25/EL kohaldamist, tagavad liikmesriigid käesoleva määruse kohaldamisalasse kuuluvate digielemente sisaldavate toodete hankimisel, et hankemenetluses võetakse arvesse vastavust käesoleva määruse I lisas sätestatud olulistele küberturvalisuse nõuetele, sealhulgas tootja suutlikkust nõrkusi tulemuslikult käsitleda.
Digielemente sisaldavate toodete suhtes kehtivad nõuded
Digielemente sisaldavad tooted tehakse turul kättesaadavaks üksnes juhul, kui:
need vastavad I lisa I osas sätestatud olulistele küberturvalisuse nõuetele, tingimusel et nad on nõuetekohaselt paigaldatud ja hooldatud, neid kasutatakse sihtotstarbeliselt või tingimustes, mida võib mõistlikult prognoosida, ja neile on paigaldatud vajalikud turvauuendused, kui see on kohaldatav, ning
tootja rakendatud protsessid vastavad I lisa II osas sätestatud olulistele küberturvalisuse nõuetele.
Digielemente sisaldavad olulised tooted
1. Digielemente sisaldavaid tooteid, millel on mõne III lisas sätestatud tootekategooria põhifunktsioon, käsitatakse digielemente sisaldavate oluliste toodetena ning nende suhtes kohaldatakse artikli 32 lõigetes 2 ja 3 osutatud vastavushindamismenetlusi. Kui tootesse integreeritakse digielemente sisaldav toode, millel on mõne III lisas sätestatud tootekategooria põhifunktsioon, ei tähenda see iseenesest, et selle toote suhtes tuleb kohaldada artikli 32 lõigetes 2 ja 3 osutatud vastavushindamismenetlusi.
2. Käesoleva artikli lõikes 1 osutatud digielemente sisaldavate toodete kategooriad, mis on jaotatud I ja II klassi vastavalt III lisale, vastavad vähemalt ühele järgmistest kriteeriumidest:
digielemente sisaldav toode täidab peamiselt funktsioone, mis on kriitilise tähtsusega muude toodete, võrkude või teenuste küberturvalisuse seisukohast, sealhulgas autentimise ja juurdepääsu, sissetungitõrje ja -tuvastuse, lõppseadme turvalisuse või võrgu kaitsmise tagamine;
digielemente sisaldav toode täidab funktsiooni, millega kaasneb märkimisväärne kahjuliku mõju risk seoses selle intensiivsuse ja võimega häirida, kontrollida või kahjustada suurt hulka muid tooteid või kasutajate tervist, turvalisust või ohutust otsese manipuleerimise teel, näiteks kesksüsteemi funktsiooni, sealhulgas võrguhaldus, konfiguratsiooni kontroll, virtualiseerimine või isikuandmete töötlemine.
3. Komisjonil on õigus võtta kooskõlas artikliga 61 vastu delegeeritud õigusakte, et muuta III lisa ning lisada digielemente sisaldavate toodete kategooriate mõlema klassi loetellu uus kategooria ja see määratleda, viia kategooriaid üle ühest klassist teise või jätta olemasolev kategooria sellest loetelust välja. III lisas sätestatud loetelu muutmise vajadust hinnates võtab komisjon arvesse küberturvalisusega seotud funktsioone või digielemente sisaldavast tootest tuleneva küberriski funktsiooni ja taset, nagu on sätestatud käesoleva artikli lõikes 2 osutatud kriteeriumides.
Käesoleva lõike esimeses lõigus osutatud delegeeritud õigusaktidega nähakse asjakohasel juhul ette vähemalt 12-kuuline üleminekuperiood, enne kui hakatakse kohaldama artikli 32 lõigetes 2 ja 3 osutatud asjakohaseid vastavushindamismenetlusi, eelkõige juhul, kui III lisas sätestatud I või II klassi lisatakse uus digielemente sisaldavate oluliste toodete kategooria või kui mõni kategooria viiakse I klassist üle II klassi, välja arvatud juhul, kui lühem üleminekuperiood on põhjendatud tungiva kiireloomulisuse tõttu.
4. Komisjon võtab hiljemalt 11. detsembriks 2025 vastu rakendusakti, milles määratakse kindlaks III lisas sätestatud I ja II klassi digielemente sisaldavate toodete kategooriate tehniline kirjeldus ning IV lisas sätestatud digielemente sisaldavate toodete kategooriate tehniline kirjeldus. Nimetatud rakendusakt võetakse vastu kooskõlas artikli 62 lõikes 2 osutatud kontrollimenetlusega.
Digielemente sisaldavad kriitilise tähtsusega tooted
1. Komisjonil on õigus võtta kooskõlas artikliga 61 vastu delegeeritud õigusakte, et täiendada käesolevat määrust ja määrata kindlaks, milliste digielemente sisaldavate toodete puhul, millel on mõne käesoleva määruse IV lisas sätestatud tootekategooria põhifunktsioon, on määruse (EL) 2019/881 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kava alusel nõutav vähemalt märkimisväärsele usaldusväärsuse tasemele osutav Euroopa küberturvalisuse sertifikaat, et tõendada vastavust käesoleva määruse I lisas sätestatud olulistele küberturvalisuse nõuetele või osale neist, kui neid digielemente sisaldavate toodete kategooriaid hõlmav Euroopa küberturvalisuse sertifitseerimise kava on vastu võetud määruse (EL) 2019/881 kohaselt ja see on tootjatele kättesaadav. Kõnealustes delegeeritud õigusaktides määratakse kindlaks nõutav usaldusväärsuse tase, mis on proportsionaalne digielemente sisaldava toodetega seotud küberriski tasemega ning mille puhul võetakse arvesse nende sihtotstarvet, sealhulgas direktiivi (EL) 2022/2555 artikli 3 lõikes 1 osutatud elutähtsate üksuste kriitilise tähtsusega sõltuvust nendest.
Enne kõnealuste delegeeritud õigusaktide vastuvõtmist hindab komisjon kavandatud meetmete võimalikku turumõju ja konsulteerib asjaomaste sidusrühmadega, sealhulgas määruse (EL) 2019/881 kohaselt moodustatud Euroopa küberturvalisuse sertifitseerimise rühmaga. Hindamisel võetakse arvesse liikmesriikide valmisolekut ja suutlikkust asjakohase Euroopa küberturvalisuse sertifitseerimise kava rakendamiseks. Kui käesoleva lõike esimeses lõigus osutatud delegeeritud õigusakte ei ole vastu võetud, kohaldatakse digielemente sisaldavate toodete suhtes, millel on mõne IV lisas sätestatud tootekategooria põhifunktsioon, artikli 32 lõikes 3 osutatud vastavushindamismenetlusi.
Esimeses lõigus osutatud delegeeritud õigusaktides nähakse nende kohaldamiseks ette vähemalt kuuekuuline üleminekuperiood, välja arvatud juhul, kui lühem üleminekuperiood on põhjendatud tungiva kiireloomulisuse tõttu.
2. Komisjonil on õigus võtta kooskõlas artikliga 61 vastu delegeeritud õigusakte, et muuta IV lisa ja lisada või jätta välja digielemente sisaldavate kriitilise tähtsusega toodete kategooriaid. Digielemente sisaldavate kriitilise tähtsusega toodete kategooriate ja nõutava usaldusväärsuse taseme kindlaksmääramisel kooskõlas käesoleva artikli lõikega 1 võtab komisjon arvesse artikli 7 lõikes 2 osutatud kriteeriume ja tagab, et digielemente sisaldavate toodete kategooriad vastavad vähemalt ühele järgmistest kriteeriumidest:
direktiivi (EL) 2022/2555 artiklis 3 osutatud elutähtsad üksustel on kriitilise tähtsusega sõltuvus asjakohasesse kategooriasse kuuluvatest digielemente sisaldavatest toodetest;
asjakohase kategooria digielemente sisaldavate toodetega seotud intsidendid ja ärakasutatavad nõrkused võivad põhjustada tõsiseid häireid kriitilise tähtsusega tarneahelates kogu siseturul.
Enne delegeeritud õigusaktide vastuvõtmist viib komisjon läbi lõikes 1 osutatud liiki hindamise.
Esimeses lõigus osutatud delegeeritud õigusaktides nähakse ette vähemalt kuuekuuline üleminekuperiood, välja arvatud juhul, kui lühem üleminekuperiood on põhjendatud tungiva kiireloomulisuse tõttu.
Sidusrühmadega konsulteerimine
1. Käesoleva määruse rakendamise meetmete ettevalmistamisel konsulteerib komisjon asjaomaste sidusrühmadega, näiteks asjaomaste liikmesriikide ametiasutuste, erasektori ettevõtjate, sealhulgas mikro- ning väikeste ja keskmise suurusega ettevõtjate, avatud lähtekoodiga tarkvara kogukonna, tarbijaühenduste, akadeemiliste ringkondade, asjaomaste liidu asutuste ja organite ning liidu tasandil loodud eksperdirühmadega, ning võtab arvesse nende seisukohti. Eelkõige konsulteerib komisjon asjakohasel juhul struktureeritud viisil kõnealuste sidusrühmadega ja küsib nende arvamust järgmistel juhtudel:
artiklis 26 osutatud suuniste koostamisel;
III lisas sätestatud tootekategooriate tehniliste kirjelduste koostamisel kooskõlas artikli 7 lõikega 4, hinnates vajadust tootekategooriate loetelu võimaliku ajakohastamise järele vastavalt artikli 7 lõikele 3 ja artikli 8 lõikele 2, või viies läbi artikli 8 lõikes 1 osutatud võimaliku turumõju hindamise, ilma et see piiraks artikli 61 kohaldamist;
käesoleva määruse hindamiseks ja läbivaatamiseks ettevalmistuste tegemisel.
2. Komisjon korraldab korrapäraselt, vähemalt kord aastas konsultatsioone ja teabeüritusi, et koguda lõikes 1 osutatud sidusrühmade seisukohti käesoleva määruse rakendamise kohta.
Oskuste parandamine küberkerkses digikeskkonnas
Käesoleva määruse kohaldamisel ja selleks, et reageerida spetsialistide vajadustele käesoleva määruse rakendamise toetamiseks, edendavad liikmesriigid asjakohasel juhul komisjoni, küberturvalisuse valdkonna tööstuse, tehnoloogia ja teadusuuringute Euroopa pädevuskeskuse ja ENISA toetusel, järgides täielikult liikmesriikide kohustusi hariduse valdkonnas, meetmeid ja strateegiaid, mille eesmärk on:
arendada küberturvalisuse alaseid oskusi ning luua korralduslikud ja tehnoloogilised vahendid, et tagada kvalifitseeritud spetsialistide piisav kättesaadavus turujärelevalveasutuste ja vastavushindamisasutuste tegevuse toetamiseks;
suurendada koostööd erasektori, ettevõtjate (sealhulgas tootjate töötajate ümber- või täiendusõppe kaudu), tarbijate, koolitajate ning haldusasutuste vahel, suurendades seeläbi noorte võimalusi asuda tööle küberturvalisuse sektoris.
Üldine tooteohutus
Erandina määruse (EL) 2023/988 artikli 2 lõike 1 kolmanda lõigu punktist b kohaldatakse digielemente sisaldavate toodete suhtes seoses aspektide ja riskide või riskikategooriatega, mida käesolev määrus ei hõlma, kõnealuse määruse III peatüki 1. jagu ning V ja VII ning IX–XI peatükki, kui nende toodete suhtes ei kohaldata määruse (EL) 2023/988 artikli 3 punktis 27 määratletud muudes liidu ühtlustamisõigusaktides sätestatud spetsiifilisi ohutusnõudeid.
Suure riskiga tehisintellektisüsteemid
1. Ilma et see piiraks määruse (EL) 2024/1689 artiklis 15 sätestatud täpsust ja stabiilsust käsitlevate nõuete kohaldamist, loetakse digielemente sisaldavad tooted, mis kuuluvad käesoleva määruse kohaldamisalasse ja mis on liigitatud kõnealuse määruse artikli 6 kohaselt suure riskiga tehisintellektisüsteemideks, kõnealuse määruse artiklis 15 sätestatud küberturvalisuse nõuetele vastavaks, kui:
kõnealused tooted vastavad I lisa I osas sätestatud olulistele küberturvalisuse nõuetele;
tootja rakendatud protsessid vastavad I lisa II osas sätestatud olulistele küberturvalisuse nõuetele ning
määruse (EL) 2024/1689 artikli 15 kohaselt nõutava küberturvalisuse kaitse taseme saavutamist tõendab käesoleva määruse alusel välja antud ELi vastavusdeklaratsioon.
2. Käesoleva artikli lõikes 1 osutatud digielemente sisaldavate toodete ja küberturvalisuse nõuete suhtes kohaldatakse määruse (EL) 2024/1689 artiklis 43 ette nähtud vastavushindamismenetlust. Teada antud asutused, kelle pädevuses on kontrollida suure riskiga tehisintellektisüsteemide vastavust määrusele (EL) 2024/1689, on sellise hindamise käigus ühtlasi pädevad kontrollima, kas käesoleva määruse kohaldamisalasse kuuluvad suure riskiga tehisintellektisüsteemid vastavad käesoleva määruse I lisa nõuetele, tingimusel et nende teada antud asutuste vastavust käesoleva määruse artikli 39 nõuetele on hinnatud määruse (EL) 2024/1689 kohase teavitamise korra raames.
3. Erandina käesoleva artikli lõikest 2 kohaldatakse käesoleva määruse III lisas loetletud digielemente sisaldavate oluliste toodete suhtes, millele kohaldatakse käesoleva määruse artikli 32 lõike 2 punktides a ja b ning artikli 32 lõikes 3 osutatud vastavushindamismenetlusi, ning käesoleva määruse IV lisas loetletud digielemente sisaldavate kriitilise tähtsusega toodete suhtes, mille suhtes on kooskõlas käesoleva määruse artikli 8 lõikega 1 nõutav Euroopa küberturvalisuse sertifikaat või millele selle puudumisel kohaldatakse käesoleva määruse artikli 32 lõikes 3 osutatud vastavushindamismenetlusi ning mis on vastavalt määruse (EL) 2024/1689 artiklile 6 liigitatud suure riskiga tehisintellektisüsteemideks ja mille suhtes kohaldatakse määruse (EL) 2024/1689 VI lisas osutatud sisekontrollil põhinevat vastavushindamismenetlust, käesolevas määruses sätestatud vastavushindamismenetlusi, kui tegemist on käesoleva määruse oluliste küberturvalisuse nõuetega.
4. Käesoleva artikli lõikes 1 osutatud digielemente sisaldavate toodete tootjad võivad osaleda määruse (EL) 2024/1689 artiklis 57 osutatud tehisintellekti regulatiivliivakastides.
ETTEVÕTJATE KOHUSTUSED NING VABA JA AVATUD LÄHTEKOODIGA TARKVARA KÄSITLEVAD NORMID
Tootjate kohustused
Tootjate jaoks on see keskne artikkel: küberturvalisuse riskihindamine, I lisa nõuded, määratletud toetusperiood, tasuta turvavärskendused ja avaldatud nõrkuste avalikustamise kontakt.
1. Tootja tagab digielemente sisaldava toote turule laskmisel, et see on projekteeritud, arendatud ja toodetud vastavalt I lisa I osas sätestatud olulistele küberturvalisuse nõuetele.
2. Lõikes 1 sätestatud kohustuse täitmiseks hindab tootja digielemente sisaldava tootega seotud küberriske ja võtab hindamise tulemusi arvesse digielemente sisaldava toote kavandamis-, projekteerimis-, arendus-, tootmis-, tarne- ja hooldusetapis, et minimeerida küberriske, ennetada intsidente ja minimeerida nende mõju, sealhulgas seoses kasutajate tervise ja ohutusega.
3. Küberriskide hindamine dokumenteeritakse ja seda ajakohastatakse asjakohasel juhul toe kestuse ajal, mis määratakse kindlaks kooskõlas käesoleva artikli lõikega 8. Küberriskide hindamine hõlmab vähemalt küberriskide analüüsi, mille aluseks on digielemente sisaldava toote sihtotstarve ja mõistlikult prognoositav kasutamine, aga ka kasutustingimused, näiteks kasutuskeskkond või kaitstavad varad, võttes arvesse toote eeldatavat kasutusaega. Küberriskide hindamisel märgitakse, kas ja millisel viisil kohaldatakse asjakohase digielemente sisaldava toote suhtes I lisa I osa punktis 2 sätestatud turvanõudeid ning kuidas neid nõudeid rakendatakse, arvestades küberriskide hindamises esitatud teavet. Samuti märgitakse, kuidas tootja kohaldab I lisa I osa punkti 1 ja I lisa II osas sätestatud nõrkuste käsitlemise nõudeid.
4. Digielemente sisaldava toote turule laskmisel lisab tootja käesoleva artikli lõikes 3 osutatud küberriskide hindamise artikli 31 ja VII lisa kohaselt nõutavasse tehnilisse dokumentatsiooni. Artiklis 12 osutatud digielemente sisaldavate toodete puhul, mille suhtes kohaldatakse ka muid liidu õigusakte, võib küberriskide hindamine olla osa nende liidu õigusaktidega nõutavast riskihindamisest. Kui digielemente sisaldava toote suhtes ei ole teatavad olulised küberturvalisuse nõuded kohaldatavad, lisab tootja kõnealusesse tehnilisse dokumentatsiooni selge põhjenduse.
5. Lõikes 1 sätestatud kohustuse täitmiseks peab tootja täitma kolmandatelt isikutelt hangitud komponentide integreerimisel hoolsuskohustust, et need komponendid ei ohustaks digielemente sisaldava toote küberturvalisust, kaasa arvatud juhul, kui integreeritakse vaba ja avatud lähtekoodiga tarkvara komponente, mida ei ole kaubandustegevuse käigus turul kättesaadavaks tehtud.
6. Digielemente sisaldavasse tootesse integreeritud komponendi, sealhulgas avatud lähtekoodiga komponendi nõrkuse avastamisel teatab tootja sellest komponenti tootvale või hooldavale isikule või üksusele ning tegeleb nõrkusega ja kõrvaldab selle kooskõlas I lisa II osas sätestatud nõrkuste käsitlemise nõuetega. Kui tootja on komponendi nõrkusega tegelemiseks välja töötanud tarkvara või riistvara muudatuse, jagab ta asjakohast koodi või dokumentatsiooni komponenti tootva või hooldava isiku või üksusega, tehes seda asjakohasel juhul masinloetavas vormingus.
7. Tootja dokumenteerib süstemaatiliselt ning toote olemuse ja küberriskidega proportsionaalsel viisil digielemente sisaldava toote asjakohased küberturvalisuse aspektid, sealhulgas nõrkused, millest ta on teada saanud, ja kolmandatelt isikutelt saadud asjakohase teabe, ning ajakohastab toote küberriskide hindamist, kui see on kohaldatav.
8. Tootja tagab digielemente sisaldava toote turule laskmisel ja toe kestuse ajal, et kõnealuse toote, sealhulgas selle komponentide nõrkusi käsitletakse tulemuslikult ja kooskõlas I lisa II osas sätestatud oluliste küberturvalisuse nõuetega.
Tootja määrab toe kestuse kindlaks nii, et see kajastaks ajavahemikku, mil toodet eeldatavasti kasutatakse, võttes eelkõige arvesse kasutajate mõistlikke ootusi, toote olemust, sealhulgas selle sihtotstarvet, ning asjakohaseid liidu õigusnorme, millega määratakse kindlaks digielemente sisaldavate toodete kasutusiga. Toe kestuse kindlaksmääramisel võivad tootjad võtta arvesse ka teiste tootjate poolt turule lastud sarnase funktsiooniga digielemente sisaldavate toodete toe kestust, kasutuskeskkonna kättesaadavust, põhifunktsioone täitvate ja kolmandatelt isikutelt hangitud integreeritud komponentide toe kestust ning artikli 52 lõike 15 kohaselt loodud spetsiaalse halduskoostöörühma (ADCO rühm) ja komisjoni antud asjakohaseid suuniseid. Toe kestuse kindlaksmääramisel arvessevõetavaid asjaolusid kaalutakse viisil, mis tagab proportsionaalsuse.
Ilma et see piiraks teise lõigu kohaldamist, on toe kestus vähemalt viis aastat. Kui digielemente sisaldavat toodet kasutatakse eeldatavasti vähem kui viis aastat, vastab toe kestus eeldatavale kasutusajale.
Võttes arvesse artikli 52 lõikes 16 osutatud ADCO rühma soovitusi, võib komisjon võtta kooskõlas artikliga 61 vastu delegeeritud õigusakte, et täiendada käesolevat määrust ja määrata kindlaks minimaalne toe kestus spetsiifiliste tootekategooriate puhul, kui turujärelevalve andmete kohaselt on toe kestus ebapiisav.
Tootja lisab VII lisas sätestatud tehnilisse dokumentatsiooni teabe, mida võeti arvesse digielemente sisaldava toote toe kestuse kindlaksmääramisel.
Tootjal peavad olema kehtestatud asjakohased põhimõtted ja kord, sealhulgas I lisa II osa punktis 5 osutatud nõrkuste koordineeritud avalikustamise põhimõtted, et käsitleda ja kõrvaldada digielemente sisaldava toote võimalikke sisemiste või väliste allikate teatatud nõrkusi.
9. Tootja tagab, et kõik I lisa II osa punktis 8 osutatud turvauuendused, mis on kasutajatele toe kestuse ajal kättesaadavaks tehtud, jäävad pärast nende väljastamist kättesaadavaks vähemalt kümme aastat või ülejäänud toe kestuse ajal, olenevalt sellest, kumb on pikem.
10. Kui tootja on turule lasknud tarkvaratoote hilisemad oluliselt muudetud versioonid, võib ta tagada vastavuse I lisa II osa punktis 2 sätestatud olulisele küberturvalisuse nõudele ainult selle versiooni puhul, mille tootja viimati turule laskis, kui varem turule lastud versioonide kasutajatel on tasuta juurdepääs viimasele turule lastud versioonile ja neile ei teki lisakulusid seoses riist- ja tarkvarakeskkonna kohandamisega, kus nad toote algversiooni kasutavad.
11. Tootja võib pidada avalikke tarkvaraarhiive, et kasutajatel oleks parem juurdepääs varasematele versioonidele. Sellistel juhtudel teavitatakse kasutajaid selgelt ja kergesti kättesaadaval viisil riskidest, mis kaasnevad sellise tarkvara kasutamisega, millele tuge ei pakuta.
12. Enne digielemente sisaldava toote turule laskmist koostab tootja artiklis 31 osutatud tehnilise dokumentatsiooni.
Tootja teeb või laseb teha artiklis 32 osutatud vajalikud vastavushindamismenetlused.
Kui vastavushindamismenetluse käigus tõendatakse, et digielemente sisaldav toode vastab I lisa I osas sätestatud olulistele küberturvalisuse nõuetele ja tootja rakendatud protsessid vastavad I lisa II osas sätestatud olulistele küberturvalisuse nõuetele, koostab tootja artikli 28 kohase ELi vastavusdeklaratsiooni ja kinnitab tootele artikli 30 kohaselt CE-vastavusmärgise.
13. Tootja hoiab tehnilist dokumentatsiooni ja ELi vastavusdeklaratsiooni turujärelevalveasutustele esitamiseks alles vähemalt kümme aastat alates digielemente sisaldava toote turule laskmisest või toe kestuse ajal, olenevalt sellest, kumb on pikem.
14. Tootja tagab, et on kehtestatud kord, mille kohaselt seeriatoodanguna toodetav digielemente sisaldav toode vastab ka hilisemas etapis käesoleva määruse nõuetele. Tootja võtab nõuetekohaselt arvesse muudatusi arendus- ja tootmisprotsessis või digielemente sisaldava toote konstruktsioonis või omadustes ning muudatusi harmoneeritud standardites, Euroopa küberturvalisuse sertifitseerimise kavades või artiklis 27 osutatud ühtses spetsifikatsioonis, mille alusel digielemente sisaldava toote vastavust nõuetele deklareeritakse või kontrollitakse.
15. Tootja tagab, et tema digielemente sisaldavale tootele on kantud tüübi-, partii- või seerianumber või muu märge, mille alusel saab toodet tuvastada, või kui see ei ole võimalik, siis tagab, et see teave esitatakse pakendil või digielemente sisaldava tootega kaasas olevas dokumendis.
16. Tootja märgib digielemente sisaldavale tootele, selle pakendile või sellega kaasas olevasse dokumenti oma nime, registreeritud kaubanime või registreeritud kaubamärgi ja postiaadressi, e-posti aadressi või muud digitaalsed kontaktandmed, ja kui see on kohaldatav, veebisaidi, mille kaudu tootjaga saab ühendust võtta. See teave peab olema esitatud ka II lisas esitatud kasutajale mõeldud teabes ja juhistes. Kontaktandmed esitatakse kasutajale ja turujärelevalveasutustele kergesti arusaadavas keeles.
17. Käesoleva määruse kohaldamisel määrab tootja ühtse kontaktpunkti, mis võimaldab kasutajal temaga otse ja kiiresti suhelda, sealhulgas selleks, et hõlbustada digielemente sisaldava toote nõrkustest teatamist.
Tootja tagab, et ühtne kontaktpunkt on kasutajatele kergesti tuvastatav. Ta lisab II lisas sätestatud kasutajale mõeldud teabesse ja juhistesse ka ühtse kontaktpunkti andmed.
Ühtne kontaktpunkt võimaldab kasutajal valida tema eelistatud sidevahendid ega piira selliseid vahendeid automatiseeritud vahenditega.
18. Tootja tagab, et digielemente sisaldava tootega on kaasas II lisas sätestatud kasutajale mõeldud teave ja juhised paberil või elektrooniliselt. See teave ja juhised esitatakse kasutajale ja turujärelevalveasutustele kergesti arusaadavas keeles. Nii juhised kui ka teave peavad olema selged, arusaadavad, loogilised ja loetavad. Need peavad võimaldama digielemente sisaldavat toodet turvaliselt paigaldada, käitada ja kasutada. Tootja hoiab II lisas sätestatud kasutajale mõeldud teavet ja juhiseid kasutajale ja turujärelevalveasutustele kättesaadavana vähemalt kümme aastat alates digielemente sisaldava toote turule laskmisest või toe kestuse ajal, olenevalt sellest, kumb on pikem. Kui teave ja juhised esitatakse veebis, tagab tootja, et need on juurdepääsetavad, kasutusmugavad ja veebis kättesaadavad vähemalt kümme aastat pärast digielemente sisaldava toote turule laskmist või toe kestuse ajal, olenevalt sellest, kumb on pikem.
19. Tootja tagab, et lõikes 8 osutatud toe kestuse lõppkuupäev, sealhulgas vähemalt kuu ja aasta, on ostu ajal, ja kohaldataval juhul digielemente sisaldaval tootel, selle pakendil või digivahendite abil, selgelt ja arusaadavalt kindlaks määratud ning kergesti kättesaadav.
Kui see on digielemente sisaldava toote olemust arvestades tehniliselt teostatav, kuvab tootja kasutajale teate selle kohta, et tema digielemente sisaldava toote toe kestus on lõppenud.
20. Tootja annab digielemente sisaldava tootega kaasa ELi vastavusdeklaratsiooni koopia või lihtsustatud ELi vastavusdeklaratsiooni. Kui esitatakse lihtsustatud ELi vastavusdeklaratsioon, sisaldab see täpset veebiaadressi, kus on ELi vastavusdeklaratsiooni täistekst.
21. Alates digielemente sisaldava toote turule laskmisest ja toe kestuse ajal võtavad tootjad, kes teavad või kellel on põhjust uskuda, et digielemente sisaldav toode või tootja rakendatud protsessid ei vasta I lisas sätestatud olulistele küberturvalisuse nõuetele, viivitamata parandusmeetmed, mis on vajalikud, et viia digielemente sisaldav toode või tootja protsessid nõuetega vastavusse või asjakohasel juhul toode turult kõrvaldada või tagasi võtta.
22. Turujärelevalveasutuse põhjendatud taotluse korral esitab tootja kõnealusele asutusele sellele kergesti arusaadavas keeles kas paberil või elektrooniliselt kogu teabe ja dokumentatsiooni, mida on vaja digielemente sisaldava toote ning tootja rakendatud protsesside vastavuse tõendamiseks I lisas sätestatud olulistele küberturvalisuse nõuetele. Kui kõnealune asutus seda taotleb, teeb tootja temaga koostööd kõigi meetme korral, mis on võetud tema poolt turule lastud digielemente sisaldavast tootest tulenevate küberriskide kõrvaldamiseks.
23. Tootja, kes lõpetab tegevuse ja ei ole seetõttu võimeline järgima käesolevat määrust, teatab enne tegevuse lõpetamise jõustumist tegevuse eelseisvast lõpetamisest asjaomastele turujärelevalveasutustele ning kättesaadavate vahendite ja võimaluste piires ka asjakohaste turule lastud digielemente sisaldavate toodete kasutajatele.
24. Komisjon võib rakendusaktidega, võttes arvesse Euroopa ja rahvusvahelisi standardeid ning parimaid tavasid, täpsustada I lisa II osa punktis 1 osutatud tarkvara koostenimekirja vormi ja elemente. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 62 lõikes 2 osutatud kontrollimenetlusega.
25. Selleks et hinnata liikmesriikide ja kogu liidu sõltuvust tarkvarakomponentidest ning eelkõige vabaks ja avatud lähtekoodiga tarkvaraks liigitatavatest komponentidest, võib ADCO rühm otsustada teha teatavate digielemente sisaldavate toodete kategooriate kohta kogu liitu hõlmava sõltuvuse hindamise. Selleks võivad turujärelevalveasutused nõuda selliste kategooriate digielemente sisaldavate toodete tootjatelt, et nad esitaksid I lisa II osa punktis 1 osutatud asjakohased tarkvara koostenimekirjad. Kõnealuse teabe põhjal võivad turujärelevalveasutused esitada ADCO rühmale anonüümitud koondteabe tarkvarast sõltumise kohta. ADCO rühm esitab sõltuvuse hindamise tulemuste aruande direktiivi (EL) 2022/2555 artikli 14 kohaselt loodud koostöörühmale.
Tootjate teatamiskohustused
Aktiivselt ärakasutatavatest nõrkustest ja tõsistest intsidentidest tuleb teatada ENISAle ja riiklikule CSIRTile; varajane hoiatus 24 tunni jooksul. Neid kohustusi kohaldatakse alates 11. septembrist 2026.
1. Tootja teavitab kõigist digielemente sisaldava toote aktiivselt ärakasutatavatest nõrkustest, millest ta on teada saanud, samal ajal vastavalt käesoleva artikli lõikele 7 koordinaatoriks määratud CSIRTi ja ENISAt. Tootja teavitab igast aktiivselt ärakasutatavast nõrkusest artikli 16 kohaselt loodud ühtse teatamisplatvormi kaudu.
2. Lõikes 1 osutatud teavitamise eesmärgil esitab tootja:
põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul alates sellest, kui tootja sai aktiivselt ärakasutatavast nõrkusest teada, eelhoiatuse teavituse, milles märgib kohaldataval juhul liikmesriigid, kus tootja teada tema digielemente sisaldav toode on kättesaadavaks tehtud;
juhul, kui asjakohast teavet ei ole juba esitatud, põhjendamatu viivituseta, ent igal juhul 72 tunni jooksul alates sellest, kui tootja sai aktiivselt ärakasutatavast nõrkusest teada, nõrkuste teavituse, milles esitatakse kättesaadav üldteave asjakohase digielemente sisaldava toote, ärakasutamise üldise olemuse ja asjakohase nõrkuse, võetud parandus- või leevendusmeetmete ning nende parandus- või leevendusmeetmete kohta, mida kasutajad saavad võtta; teavituses märgitakse kohaldataval juhul ka see, kui tundlikuks tootja esitatud teavet peab;
juhul, kui asjakohast teavet ei ole juba esitatud, hiljemalt 14 päeva pärast parandus- või leevendusmeetme kättesaadavaks tegemist lõpparuande, mis sisaldab vähemalt järgmist:
nõrkuse, sealhulgas selle raskusastme ja mõju kirjeldus;
teave kõigi kuritahtlike isikute kohta, kes on nõrkust ära kasutanud või kasutavad, kui see teave on kättesaadav;
üksikasjad turvauuenduste ja muude parandusmeetmete kohta, mis on nõrkuse kõrvaldamiseks kättesaadavaks tehtud.
3. Tootja teavitab kõigist digielemente sisaldava toote turvalisust mõjutavatest tõsistest intsidentidest, millest ta on saanud teada, samal ajal vastavalt käesoleva artikli lõikele 7 koordinaatoriks määratud CSIRTi ja ENISAt. Tootja teavitab igast intsidendist artikli 16 kohaselt loodud ühtse teatamisplatvormi kaudu.
4. Lõikes 3 osutatud teavitamise eesmärgil esitab tootja:
põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul alates sellest, kui tootja sai digielemente sisaldava toote turvalisust mõjutavast tõsisest intsidendist teada, eelhoiatuse teavituse, milles märgib muu hulgas vähemalt teabe selle kohta, kas intsidendi on kahtluste kohaselt põhjustanud ebaseaduslik või kuritahtlik tegevus, ning kohaldataval juhul ka liikmesriigid, kus tootja teada tema digielemente sisaldav toode on kättesaadavaks tehtud;
juhul, kui asjakohast teavet ei ole juba esitatud, põhjendamatu viivituseta, ent igal juhul 72 tunni jooksul alates sellest, kui tootja sai intsidendist teada, intsidendi teavituse, milles esitatakse kättesaadav üldteave intsidendi olemuse kohta, intsidendi esialgne hinnang, võetud parandus- või leevendusmeetmed ning teave parandus- või leevendusmeetmete kohta, mida kasutajad saavad võtta; teavituses märgitakse kohaldataval juhul ka see, kui tundlikuks tootja esitatud teavet peab;
juhul, kui asjakohast teavet ei ole juba esitatud, ühe kuu jooksul pärast punktis b osutatud intsidendi teavituse esitamist lõpparuande, mis sisaldab vähemalt järgmist:
intsidendi, sealhulgas selle raskusastme ja mõju üksikasjalik kirjeldus;
ohu liik või algpõhjus, mis intsidendi tõenäoliselt põhjustas;
kohaldatud ja kohaldamisel olevad leevendusmeetmed.
5. Lõike 3 kohaldamisel loetakse digielemente sisaldava toote turvalisust mõjutav intsident tõsiseks, kui:
see mõjutab või võib mõjutada negatiivselt digielemente sisaldava toote võimet kaitsta tundlike või oluliste andmete või funktsioonide kättesaadavust, autentsust, terviklust või konfidentsiaalsust või
sellega on kaasnenud või võib kaasneda ründekoodi sisestamine digielemente sisaldavasse tootesse või digielemente sisaldava toote kasutaja võrgu- ja infosüsteemidesse või ründekoodi käivitamine nendes.
6. Vajaduse korral võib koordinaatoriks määratud CSIRT, kes algselt teavituse saab, nõuda, et tootja esitaks vahearuande aktiivselt ärakasutatava nõrkuse või digielemente sisaldava toote turvalisust mõjutava tõsise intsidendi seisu kohta.
7. Käesoleva artikli lõigetes 1 ja 3 osutatud teavitused esitatakse artiklis 16 osutatud ühtse teatamisplatvormi kaudu, kasutades ühte artikli 16 lõikes 1 osutatud teavitusahela lõpp-punkti. Teavitus esitatakse selle liikmesriigi koordinaatoriks määratud CSIRTi teavitusahela lõpp-punkti kaudu, kus on liidus tootja peamine tegevuskoht, ja teavitus on samal ajal kättesaadav ka ENISA-le.
Käesoleva määruse kohaldamisel käsitatakse tootja peamise tegevuskohana liidus liikmesriiki, kus tema digielemente sisaldava toote küberturvalisusega seotud otsused valdavalt tehakse. Kui sellist liikmesriiki ei ole võimalik kindlaks määrata, käsitatakse peamise tegevuskohana seda liikmesriiki, kus on asjaomase tootja kõige suurema arvu töötajatega tegevuskoht liidus.
Kui tootjal ei ole liidus peamist tegevuskohta, esitab ta lõigetes 1 ja 3 osutatud teavitused selle liikmesriigi koordinaatoriks määratud CSIRTi teavitusahela lõpp-punkti kaudu, mis määratakse kindlaks vastavalt järgmisele järjestusele ja tootjale kättesaadavale teabele:
liikmesriik, kus asub volitatud esindaja, kes tegutseb tootja nimel suurima arvu digielemente sisaldavate toodete puhul;
liikmesriik, kus asub importija, kes laseb turule kõige rohkem selle tootja digielemente sisaldavaid tooteid;
liikmesriik, kus asub turustaja, kes on teinud turul kättesaadavaks kõige rohkem selle tootja digielemente sisaldavaid tooteid;
liikmesriik, kus asub kõige rohkem selle tootja digielemente sisaldavate toodete kasutajaid.
Seoses kolmanda lõigu punktiga d võib tootja esitada samale koordinaatoriks määratud CSIRTile, keda ta esimesena teavitas, teavitused ka kõigi järgmiste aktiivselt ärakasutatavate nõrkuste või digielemente sisaldava toote turvalisust mõjutavate tõsiste intsidentide kohta.
8. Kui tootja on saanud teada aktiivselt ärakasutatavast nõrkusest või tõsisest intsidendist, mis mõjutab digielemente sisaldava toote turvalisust, teavitab ta asjakohasel juhul struktureeritud kergesti automaattöödeldavas masinloetavas vormingus digielemente sisaldava toote kasutajaid, keda see mõjutab, ja asjakohasel juhul kõiki kasutajaid kõnealusest nõrkusest või intsidendist ning vajaduse korral riskimaandamis- ja parandusmeetmetest, mida kasutajad saavad võtta selle nõrkuse või intsidendi mõju leevendamiseks. Kui tootja ei teavita digielemente sisaldava toote kasutajaid piisavalt kiiresti, võivad koordinaatoriks määratud CSIRTid, keda nõrkusest või intsidendist teavitati, edastada kasutajatele seda teavet, kui seda peetakse proportsionaalseks ja vajalikuks kõnealuse nõrkuse või intsidendi mõju ennetamiseks või leevendamiseks.
9. Hiljemalt 11. detsembriks 2025 võtab komisjon kooskõlas käesoleva määruse artikliga 61 vastu delegeeritud õigusaktid, et täiendada käesolevat määrust ja määrata kindlaks tingimused küberturvalisusega seotud aluste kohaldamiseks seoses teavituste edastamise edasilükkamisega, nagu on osutatud käesoleva määruse artikli 16 lõikes 2. Komisjon teeb delegeeritud õigusakti eelnõu väljatöötamisel koostööd direktiivi (EL) 2022/2555 artikli 15 kohaselt loodud CSIRTide võrgustiku ja ENISAga.
10. Komisjon võib rakendusaktidega täpsustada käesolevas artiklis ning artiklites 15 ja 16 osutatud teavituste vormingut ja esitamise korda. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 62 lõikes 2 osutatud kontrollimenetlusega. Komisjon teeb nende rakendusaktide eelnõude väljatöötamisel koostööd CSIRTide võrgustiku ja ENISAga.
Vabatahtlik teatamine
1. Tootjad ning muud füüsilised või juriidilised isikud võivad koordinaatoriks määratud CSIRTi või ENISAt vabatahtlikult teavitada digielemente sisaldava toote nõrkustest ja küberohtudest, mis võivad digielemente sisaldava toote riskiprofiili mõjutada.
2. Tootjad ning muud füüsilised või juriidilised isikud võivad koordinaatoriks määratud CSIRTi või ENISAt vabatahtlikult teavitada digielemente sisaldava toote turvalisust mõjutavast intsidendist ja napilt ära hoitud intsidendist, mis oleks võinud sellise intsidendi põhjustada.
3. Koordinaatoriks määratud CSIRT või ENISA menetleb käesoleva artikli lõigetes 1 ja 2 osutatud teavitusi artiklis 16 sätestatud korra kohaselt.
Koordinaatoriks määratud CSIRT võib kohustuslike teavituste menetlemise seada vabatahtlike teavituste menetlemisest tähtsamale kohale.
4. Kui füüsiline või juriidiline isik, kes ei ole tootja, teavitab kooskõlas lõikega 1 või 2 aktiivselt ärakasutatavast nõrkusest või digielemente sisaldava toote turvalisust mõjutavast tõsisest intsidendist, teavitab koordinaatoriks määratud CSIRT sellest põhjendamatu viivituseta tootjat.
5. Koordinaatoriks määratud CSIRT ja ENISA tagavad teavitava füüsilise või juriidilise isiku esitatud teabe konfidentsiaalsuse ja asjakohase kaitse. Ilma et see piiraks kuritegude ennetamist, uurimist, avastamist ja nende eest vastutusele võtmist, ei kaasne vabatahtliku teatamisega teavitavale füüsilisele või juriidilisele isikule lisakohustusi, mida tal ei oleks olnud, kui ta ei oleks teavitust esitanud.
Ühtse teatamisplatvormi loomine
1. Artikli 14 lõigetes 1 ja 3 ning artikli 15 lõigetes 1 ja 2 osutatud teavituste jaoks ning tootjate teatamiskohustuste lihtsustamiseks loob ENISA ühtse teatamisplatvormi. Ühtse teatamisplatvormi igapäevast tegevust haldab ja seda hoiab töökorras ENISA. Ühtse teatamisplatvormi ülesehitus võimaldab liikmesriikidel ja ENISA-l võtta kasutusele oma teavitusahela lõpp-punktid.
2. Pärast teavituse saamist edastab algselt teavituse saanud koordinaatoriks määratud CSIRT teavituse viivitamata ühtse teatamisplatvormi kaudu koordinaatoriteks määratud CSIRTidele, kelle territooriumil tootja teavituse kohaselt digielemente sisaldav toode on kättesaadavaks tehtud.
Erandlikel asjaoludel ja eelkõige tootja taotlusel ning võttes arvesse esitatud teabe tundlikkuse taset, nagu tootja on käesoleva määruse artikli 14 lõike 2 punkti a kohaselt märkinud, võib teavituse edastamist küberturvalisusega seotud põhjendatud alustel rangelt vajaliku ajavahemiku võrra edasi lükata, sealhulgas juhul, kui nõrkuse suhtes kohaldatakse nõrkuste koordineeritud avalikustamise menetlust, nagu on osutatud direktiivi (EL) 2022/2555 artikli 12 lõikes 1. Kui CSIRT otsustab teavituse edastamise edasi lükata, teatab ta otsusest viivitamata ENISA-le ning annab teada nii edasilükkamise põhjuse kui ka selle, millal ta teavituse edastab vastavalt käesolevas lõikes sätestatud edastamiskorrale. ENISA võib toetada CSIRTi küberturvalisusega seotud aluste kohaldamisel seoses teavituse edastamise edasilükkamisega.
Eelkõige on väga erandlikud asjaolud, kui tootja märgib artikli 14 lõike 2 punktis b osutatud teavituses järgmist:
kuritahtlik osaleja on teavitatud nõrkust aktiivselt ära kasutanud ja kättesaadava teabe kohaselt ei ole seda ära kasutatud üheski teises liikmesriigis kui selle koordinaatoriks määratud CSIRTi liikmesriik, keda tootja on nõrkusest teavitanud;
teavitatud nõrkust käsitleva teabe viivitamatu edastamisega antaks tõenäoliselt teavet, mille avalikustamine oleks vastuolus selle liikmesriigi oluliste huvidega; või
teavitatud nõrkus kujutab endast otsest suurt küberriski, mis tuleneb teabe edastamisest.
ENISA-le tehakse samal ajal kättesaadavaks ainult teave selle kohta, et tootja on esitanud teavituse, toote üldteave, teave ärakasutamise üldise laadi kohta ja teave selle kohta, et kohaldatud on turvalisusega seotud aluseid, kuni asjaomastele CSIRTidele ja ENISA-le on edastatud teavituse täisversioon. Kui ENISA leiab selle teabe põhjal, et esineb süsteemne risk, mis mõjutab turvalisust siseturul, soovitab ta teavituse saanud CSIRTil edastada teavituse täisversiooni teistele koordinaatoriteks määratud CSIRTidele ja ENISA-le endale.
3. Pärast teavituse saamist digielemente sisaldava toote aktiivselt ärakasutatava nõrkuse või digielemente sisaldava toote turvalisust mõjutava tõsise intsidendi kohta esitavad koordinaatoriteks määratud CSIRTid oma liikmesriigi turujärelevalveasutustele teavituse teabe, mida turujärelevalveasutused vajavad käesolevast määrusest tulenevate kohustuste täitmiseks.
4. ENISA võtab asjakohaseid ja proportsionaalseid tehnilisi, tegevuslikke ja korralduslikke meetmeid, et juhtida riske, mis ohustavad ühtse teatamisplatvormi turvalisust ning ühtse teatamisplatvormi kaudu esitatud või edastatud teavet. Ta teavitab CSIRTide võrgustikku ja komisjoni põhjendamatu viivituseta igast turvaintsidendist, mis mõjutab ühtset teatamisplatvormi.
5. ENISA töötab koostöös CSIRTide võrgustikuga välja tehnilised spetsifikatsioonid tehniliste, tegevuslike ja korralduslike meetmete kohta, mis on seotud lõikes 1 osutatud ühtse teatamisplatvormi loomise, hoolduse ja turvalise toimimisega, sealhulgas vähemalt ühtse teatamisplatvormi loomise, toimimise ja hoolduse turbemeetmed, samuti teavitusahela lõpp-punktidega, mille võtavad kasutusele riigi tasandil koordinaatoriteks määratud CSIRTid ja liidu tasandil ENISA, sealhulgas menetluslikud aspektid, millega tagatakse, et kui teavitatud nõrkuse suhtes parandus- või leevendusmeetmed puuduvad, jagatakse teavet selle nõrkuse kohta kooskõlas rangete turvaprotokollidega ja teadmisvajaduse alusel, ning rakendab neid spetsifikatsioone.
6. Kui koordinaatoriks määratud CSIRTile on direktiivi (EL) 2022/2555 artikli 12 lõikes 1 osutatud nõrkuste koordineeritud avalikustamise menetluse raames teatatud aktiivselt ärakasutatavast nõrkusest, võib algselt teavituse saanud koordinaatoriks määratud CSIRT lükata asjakohase teavituse ühtse teatamisplatvormi kaudu edastamise küberturvalisusega seotud põhjendatud alustel edasi ajavahemiku võrra, mis ei ole pikem kui rangelt vajalik, ja seni, kuni asjaomased nõrkuste koordineeritud avalikustamise osalised on andnud avalikustamiseks nõusoleku. See nõue ei takista tootjaid teavitamast sellisest nõrkusest vabatahtlikult käesolevas artiklis sätestatud korras.
Muud teatamisega seotud normid
1. ENISA võib edastada kooskõlas direktiivi (EL) 2022/2555 artikliga 16 loodud Euroopa küberkriisiga tegelevate kontaktasutuste võrgustikule (EU-CyCLONe) käesoleva määruse artikli 14 lõigete 1 ja 3 ning artikli 15 lõigete 1 ja 2 kohaselt teavitatud teabe, kui selline teave on asjakohane tegevustasandil ulatuslike küberintsidentide ja kriiside kooskõlastatud juhtimiseks. Sellise asjakohasuse kindlakstegemiseks võib ENISA võtta arvesse CSIRTide võrgustiku tehtud tehnilisi analüüse, kui need on olemas.
2. Kui üldsuse teavitamine on vajalik digielemente sisaldava toote turvalisust mõjutava tõsise intsidendi ennetamiseks või leevendamiseks või poolelioleva intsidendi käsitlemiseks või kui intsidendi avalikustamine on muul viisil avalikes huvides, võib asjaomase liikmesriigi koordinaatoriks määratud CSIRT pärast asjaomase tootjaga konsulteerimist ja asjakohasel juhul koostöös ENISAga üldsusele intsidendist teada anda või nõuda, et tootja seda teeks.
3. ENISA koostab käesoleva määruse artikli 14 lõigete 1 ja 3 ning artikli 15 lõigete 1 ja 2 kohaselt saadud teavituste põhjal iga 24 kuu tagant tehnilise aruande digielemente sisaldavate toodete küberriskidega seotud uute suundumuste kohta ja esitab selle direktiivi (EL) 2022/2555 artikli 14 kohaselt loodud koostöörühmale. Esimene aruanne esitatakse 24 kuu jooksul pärast artikli 14 lõigetes 1 ja 3 sätestatud kohustuste kohaldamise algust. ENISA lisab oma tehnilistes aruannetes sisalduva asjakohase teabe oma direktiivi (EL) 2022/2555 artikli 18 kohaselt esitatavasse aruandesse, mis käsitleb küberturvalisuse olukorda liidus.
4. Pelgalt teavitamise tõttu artikli 14 lõigete 1 ja 3 või artikli 15 lõigete 1 ja 2 kohaselt ei kaasne teavituse esitavale füüsilisele või juriidilisele isikule suuremat vastutust.
5. Kui turvauuendus või muu parandus- või leevendusmeede on kättesaadav, lisab ENISA kokkuleppel asjaomase digielemente sisaldava toote tootjaga käesoleva määruse artikli 14 lõike 1 või artikli 15 lõike 1 kohaselt teavitatud ja üldsusele teadaoleva nõrkuse direktiivi (EL) 2022/2555 artikli 12 lõike 2 kohaselt loodud Euroopa nõrkuste andmebaasi.
6. Koordinaatoriks määratud CSIRTid pakuvad tootjatele, eelkõige mikro-, väike- või keskmise suurusega ettevõtjaks liigituvatele tootjatele seoses artikli 14 kohaste teatamiskohustustega kasutajatuge.
Volitatud esindajad
1. Tootja võib kirjaliku volituse alusel määrata volitatud esindaja.
2. Artikli 13 lõikest 1 kuni lõikeni 11, lõike 12 esimese lõiguni ja lõikes 14 sätestatud kohustused ei kuulu volitatud esindaja ülesannete hulka.
3. Volitatud esindaja täidab ülesandeid tootjalt saadud volituste piires. Volitatud esindaja esitab volituse koopia nõudmise korral turujärelevalveasutusele. Volitus võimaldab volitatud esindajal teha vähemalt järgmist:
hoida artiklis 28 osutatud ELi vastavusdeklaratsiooni ja artiklis 31 osutatud tehnilist dokumentatsiooni turujärelevalveasutustele esitamiseks alles vähemalt kümme aastat alates digielemente sisaldava toote turule laskmisest või toe kestuse ajal, olenevalt sellest, kumb on pikem;
esitada turujärelevalveasutuse põhjendatud taotluse korral talle kogu teave ja dokumentatsioon digielemente sisaldava toote nõuetele vastavuse tõendamiseks;
teha turujärelevalveasutustega nende taotluse korral koostööd seoses meetmetega, mis on võetud sellisest digielemente sisaldavast tootest tulenevate riskide kõrvaldamiseks, mida volitatud esindaja volitused hõlmavad.
Importijate kohustused
1. Importijad lasevad turule üksnes selliseid digielemente sisaldavaid tooteid, mis vastavad I lisa I osas sätestatud olulistele küberturvalisuse nõuetele ja mille tootja rakendatud protsessid vastavad I lisa II osas sätestatud olulistele küberturvalisuse nõuetele.
2. Enne digielemente sisaldava toote turule laskmist peab importija tagama, et:
tootja on läbi viinud artiklis 32 osutatud asjakohased vastavushindamismenetlused;
tootja on koostanud tehnilise dokumentatsiooni;
digielemente sisaldaval tootel on artiklis 30 osutatud CE-märgis ja sellega on kaasas artikli 13 lõikes 20 osutatud ELi vastavusdeklaratsioon ning II lisas sätestatud kasutajale mõeldud teave ja juhised, mis on kasutajatele ja turujärelevalveasutustele kergesti arusaadavas keeles;
tootja on täitnud artikli 13 lõigetes 15, 16 ja 19 sätestatud nõuded.
Käesoleva lõike kohaldamisel peab importija suutma esitada vajalikud dokumendid, mis tõendavad käesolevas artiklis sätestatud nõuete täitmist.
3. Kui importija arvab või tal on põhjust uskuda, et digielemente sisaldav toode või tootja rakendatud protsessid ei vasta käesolevale määrusele, ei lase importija toodet turule enne, kui toode või tootja rakendatud protsessid on viidud käesoleva määrusega vastavusse. Lisaks teavitab importija tootjat ja turujärelevalveasutusi, kui digielemente sisaldav toode kujutab endast olulist küberriski.
Kui importijal on põhjust uskuda, et digielemente sisaldav toode võib mittetehnilisi riskitegureid arvestades põhjustada olulist küberriski, teavitab importija sellest turujärelevalveasutusi. Sellise teabe saamisel järgivad turujärelevalveasutused artikli 54 lõikes 2 osutatud menetlusi.
4. Importija märgib digielemente sisaldavale tootele, selle pakendile või sellega kaasas olevasse dokumenti oma nime, registreeritud kaubanime või registreeritud kaubamärgi, postiaadressi, e-posti aadressi või muud digitaalsed kontaktandmed, ja kui see on kohaldatav, veebisaidi, mille kaudu importijaga saab ühendust võtta. Kontaktandmed esitatakse kasutajale ja turujärelevalveasutustele kergesti arusaadavas keeles.
5. Kui importija teab või tal on põhjust uskuda, et digielemente sisaldav toode, mille ta on turule lasknud, ei vasta käesolevale määrusele, võtab ta viivitamata vajalikud parandusmeetmed, et tagada digielemente sisaldava toote viimine käesoleva määrusega vastavusse või asjakohasel juhul kõrvaldada see turult või võtta see tagasi.
Digielemente sisaldava toote nõrkusest teada saamisel teavitavad importijad tootjat sellest nõrkusest põhjendamatu viivituseta. Kui digielemente sisaldav toode põhjustab olulist küberriski, teatab importija sellest viivitamata nende liikmesriikide turujärelevalveasutustele, kus ta digielemente sisaldava toote turul kättesaadavaks on teinud, esitades eelkõige andmed mittevastavuse ja võetud parandusmeetmete kohta.
6. Importija hoiab ELi vastavusdeklaratsiooni koopiat turujärelevalveasutustele esitamiseks alles vähemalt kümme aastat alates digielemente sisaldava toote turule laskmisest või toe kestuse ajal, olenevalt sellest, kumb on pikem, ja tagab, et tehniline dokumentatsioon on kõnealustele asutustele taotluse alusel kättesaadav.
7. Turujärelevalveasutuse põhjendatud taotluse korral esitab importija kõnealusele asutusele sellele kergesti arusaadavas keeles kas paberil või elektrooniliselt kogu teabe ja dokumentatsiooni, mida on vaja digielemente sisaldava toote I lisa I osas sätestatud olulistele küberturvalisuse nõuetele vastavuse tõendamiseks, ning tootja rakendatud protsesside I lisa II osas sätestatud olulistele küberturvalisuse nõuetele vastavuse tõendamiseks. Kui kõnealune asutus seda taotleb, teeb importija temaga koostööd kõigi meetme korral, mis on võetud tema poolt turule lastud digielemente sisaldavast tootest tulenevate küberriskide kõrvaldamiseks.
8. Kui digielemente sisaldava toote importija saab teada, et selle toote tootja on lõpetanud oma tegevuse ega suuda seetõttu täita käesolevas määruses sätestatud kohustusi, teatab importija sellest olukorrast asjaomastele turujärelevalveasutustele ning kättesaadavate vahendite ja võimaluste piires ka turule lastud digielemente sisaldavate toodete kasutajatele.
Turustajate kohustused
1. Digielemente sisaldavat toodet turul kättesaadavaks tehes peab turustaja vajaliku hoolikusega järgima käesolevas määruses sätestatud nõudeid.
2. Enne digielemente sisaldava toote turul kättesaadavaks tegemist kontrollib turustaja, et:
digielemente sisaldaval tootel on CE-vastavusmärgis;
tootja ja importija on täitnud artikli 13 lõigetes 15, 16, 18, 19 ja 20 ning artikli 19 lõikes 4 esitatud kohustused ning edastanud turustajale kõik vajalikud dokumendid.
3. Turustaja, kes arvab või kellel on tema käsutuses oleva teabe alusel põhjust uskuda, et digielemente sisaldav toode või tootja rakendatud protsessid ei vasta I lisas sätestatud olulistele küberturvalisuse nõuetele, ei tee digielemente sisaldavat toodet turul kättesaadavaks enne, kui see toode või tootja rakendatud protsessid on viidud vastavusse käesoleva määrusega. Kui digielemente sisaldav toode kujutab endast olulist küberriski, teatab turustaja sellest põhjendamatu viivituseta tootjale ja turujärelevalveasutustele.
4. Turustaja, kes teab või kellel on tema käsutuses oleva teabe alusel põhjust uskuda, et tema poolt turul kättesaadavaks tehtud digielemente sisaldav toode või tootja rakendatud protsessid ei ole kooskõlas käesoleva määrusega, veendub, et kõnealuse digielemente sisaldava toote või tootja rakendatud protsesside vastavusse viimiseks vajalikud parandusmeetmed on võetud, või kõrvaldab toote vajaduse korral turult või võtab tagasi.
Digielemente sisaldava toote nõrkusest teada saamisel teavitab turustaja tootjat põhjendamatu viivituseta kõnealusest nõrkusest. Kui digielemente sisaldav toode põhjustab olulist küberriski, teatab turustaja sellest viivitamata nende liikmesriikide turujärelevalveasutustele, kus ta digielemente sisaldava toote turul kättesaadavaks tegi, esitades eelkõige andmed nõuetele mittevastavuse ja võetud parandusmeetmete kohta.
5. Turujärelevalveasutuse põhjendatud taotluse korral esitab turustaja kõnealusele asutusele kergesti arusaadavas keeles kas paberil või elektrooniliselt kogu teabe ja dokumentatsiooni, mida on vaja digielemente sisaldava toote ja tootja rakendatud protsesside käesolevale direktiivile vastavuse tõendamiseks. Kui kõnealune asutus seda taotleb, teeb ta sellega koostööd kõigi meetmete korral, mis on võetud tema poolt turul kättesaadavaks tehtud digielemente sisaldavast tootest tulenevate küberriskide kõrvaldamiseks.
6. Kui digielemente sisaldava toote turustaja saab tema käsutuses oleva teabe põhjal teada, et selle toote tootja on lõpetanud tegevuse ega suuda seetõttu täita käesolevas määruses sätestatud kohustusi, teatab turustaja sellest olukorrast põhjendamatu viivituseta asjaomastele turujärelevalveasutustele ning kättesaadavate vahendite ja võimaluste piires ka turule lastud digielemente sisaldavate toodete kasutajatele.
Juhtumid, mil importijad ja turustajad täidavad tootjate kohustusi
Kui importija või turustaja laseb digielemente sisaldava toote turule oma nime või kaubamärgi all või muudab oluliselt juba turule lastud digielemente sisaldavat toodet, loetakse see importija või tarnija käesoleva määruse kohaldamisel tootjaks ja tema suhtes kohaldatakse artikleid 13 ja 14.
Muud juhtumid, mil kohaldatakse tootjate kohustusi
1. Käesoleva määruse kohaldamisel käsitatakse tootjana füüsilist või juriidilist isikut, kes ei ole tootja, importija ega turustaja, kes muudab oluliselt digielemente sisaldavat toodet ja teeb selle toote turul kättesaadavaks.
2. Käesoleva artikli lõikes 1 osutatud isiku suhtes kohaldatakse artiklites 13 ja 14 sätestatud kohustusi digielemente sisaldava toote selles osas, mida on oluliselt muudetud, või juhul kui oluline muudatus mõjutab digielemente sisaldava toote kui terviku küberturvalisust, kogu toote ulatuses.
Ettevõtjate identifitseerimine
1. Ettevõtjad esitavad turujärelevalveasutusele taotluse alusel järgmise teabe:
iga sellise ettevõtja nimi ja aadress, kes on neile digielemente sisaldava toote tarninud;
iga sellise ettevõtja nimi ja aadress, kellele nad on digielemente sisaldava toote tarninud, kui see on kättesaadav.
2. Ettevõtjad peavad hoidma lõikes 1 osutatud teabe esitamiseks alles kümme aastat alates sellest, kui neile digielemente sisaldav toode tarniti või kui nad ise digielemente sisaldava toote tarnisid.
Avatud lähtekoodiga tarkvara korraldaja kohustused
1. Avatud lähtekoodiga tarkvara korraldajad koostavad küberturvalisuse põhimõtted ja dokumenteerivad neid kontrollitavalt, selleks et edendada digielemente sisaldava turvalise toote väljatöötamist ja nõrkuste tulemuslikku käsitlemist selle toote arendajate poolt. Kõnealuste põhimõtetega edendatakse ka artiklis 15 sätestatud vabatahtlikku nõrkustest teatamist selle toote arendajate poolt ning võetakse arvesse avatud lähtekoodiga tarkvara korraldamise eripära ning selle suhtes kohaldatavat õiguslikku ja organisatsioonilist korda. Need põhimõtted peavad eelkõige hõlmama nõrkuste dokumenteerimise, nendega tegelemise ja nende kõrvaldamisega seotud aspekte ning edendama avastatud nõrkusi käsitleva teabe jagamist avatud lähtekoodi kogukonnas.
2. Avatud lähtekoodiga tarkvara korraldajad teevad turujärelevalveasutustega nende taotluse korral koostööd, et leevendada küberriske, mis tulenevad digielemente sisaldavast vabaks ja avatud lähtekoodiga tarkvaraks kvalifitseeruvast tootest.
Turujärelevalveasutuse põhjendatud taotluse korral esitavad avatud lähtekoodiga tarkvara korraldajad kõnealusele asutusele kergesti arusaadavas keeles kas paberil või elektrooniliselt lõikes 1 osutatud dokumendid.
3. Artikli 14 lõikes 1 sätestatud kohustusi kohaldatakse avatud lähtekoodiga tarkvara korraldajate suhtes niivõrd, kuivõrd nad on seotud digielemente sisaldavate toodete arendamisega. Artikli 14 lõigetes 3 ja 8 sätestatud kohustusi kohaldatakse avatud lähtekoodiga tarkvara korraldajate suhtes niivõrd, kuivõrd digielemente sisaldavate toodete turvalisust mõjutavad tõsised intsidendid avaldavad mõju võrgu- ja infosüsteemidele, mida avatud lähtekoodiga tarkvara korraldajad selliste toodete arendamiseks pakuvad.
Vaba ja avatud lähtekoodiga tarkvara turvalisuse tõendamine
Selleks et hõlbustada artikli 13 lõikes 5 sätestatud hoolsuskohustuse täitmist, eelkõige tootjate puhul, kes integreerivad oma digielemente sisaldavatesse toodetesse vaba ja avatud lähtekoodiga tarkvara komponente, on komisjonil õigus võtta kooskõlas artikliga 61 vastu delegeeritud õigusakte käesoleva määruse täiendamiseks, kehtestades vabatahtlikud turvalisuse tõendamise programmid, mis võimaldavad vaba ja avatud lähtekoodiga tarkvaraks kvalifitseeruvate digielemente sisaldavate toodete arendajatel või kasutajatel ning muudel kolmandatel isikutel hinnata selliste toodete vastavust kõigile või teatavatele olulistele küberturvalisuse nõuetele või muudele käesolevas määruses sätestatud kohustustele.
Suunised
1. Rakendamise hõlbustamiseks ja selle järjepidevuse tagamiseks avaldab komisjon suunised, et aidata ettevõtjatel käesolevat määrust kohaldada, pöörates erilist tähelepanu nõuete täitmise lihtsustamisele mikro- ning väikeste ja keskmise suurusega ettevõtjate jaoks.
2. Kui komisjon kavatseb anda välja lõikes 1 osutatud suuniseid, käsitleb ta vähemalt järgmisi aspekte:
käesoleva määruse kohaldamisala, pöörates erilist tähelepanu andmete kaugtöötluslahendustele ning vaba ja avatud lähtekoodiga tarkvarale;
toe kestuse kohaldamine digielemente sisaldavate toodete teatavate kategooriate suhtes;
suunised käesoleva määruse kohaldamisalasse kuuluvatele tootjatele, kelle suhtes kohaldatakse ka muid liidu ühtlustamisõigusakte kui käesolev määrus või muid seotud liidu õigusakte;
olulise muudatuse mõiste.
Komisjon peab ka kergesti kättesaadavat loetelu käesoleva määruse kohaselt vastu võetud delegeeritud õigusaktidest ja rakendusaktidest.
3. Käesoleva artikli kohaste suuniste ettevalmistamisel konsulteerib komisjon asjaomaste sidusrühmaga.
DIGIELEMENTE SISALDAVA TOOTE VASTAVUS NÕUETELE
Nõuetele vastavuse eeldamine
1. Digielemente sisaldavad tooted ja tootja rakendatud protsessid, mis on vastavuses selliste harmoneeritud standardite või nende osadega, mille viited on avaldatud Euroopa Liidu Teatajas, eeldatakse olevat vastavuses I lisas sätestatud oluliste küberturvalisuse nõuetega, mida nimetatud standardid või nende osad käsitlevad.
Kooskõlas määruse (EL) nr 1025/2012 artikli 10 lõikega 1 esitab komisjon ühele või mitmele Euroopa standardiorganisatsioonile taotluse koostada käesoleva määruse I lisas sätestatud oluliste küberturvalisuse nõuete kohta harmoneeritud standardid. Komisjon püüab käesoleva määrusega seotud standardimistaotluste ettevalmistamisel võtta arvesse olemasolevaid või väljatöötamisel olevaid Euroopa ja rahvusvahelisi küberturvalisuse standardeid, et lihtsustada harmoneeritud standardite väljatöötamist kooskõlas määrusega (EL) nr 1025/2012.
2. Komisjon võib võtta vastu rakendusakte, millega kehtestatakse ühtsed spetsifikatsioonid, mis hõlmavad tehnilisi nõudeid, mille abil on võimalik tagada käesoleva määruse kohaldamisalasse kuuluvate digielemente sisaldavate toodete vastavus I lisas sätestatud olulistele küberturvalisuse nõuetele.
Kõnealused rakendusaktid võetakse vastu üksnes juhul, kui on täidetud järgmised tingimused:
komisjon on määruse (EL) nr 1025/2012 artikli 10 lõike 1 kohaselt esitanud ühele või mitmele Euroopa standardiorganisatsioonile taotluse koostada I lisas sätestatud oluliste küberturvalisuse nõuete kohta harmoneeritud standard ning:
taotlust ei ole vastu võetud;
kõnealust taotlust käsitlevaid harmoneeritud standardeid ei esitatud määruse (EL) nr 1025/2012 artikli 10 lõikes 1 sätestatud tähtaja jooksul või
harmoneeritud standardid ei vasta taotlusele ning
Euroopa Liidu Teatajas ei ole avaldatud ühtegi määruse (EL) nr 1025/2012 kohast viidet harmoneeritud standarditele, mis kataks käesoleva määruse I lisas sätestatud asjakohaseid olulisi küberturvalisuse nõudeid, ning mõistliku aja jooksul ei ole sellist viidet kavas avaldada.
Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 62 lõikes 2 osutatud kontrollimenetlusega.
3. Enne käesoleva artikli lõikes 2 osutatud rakendusakti eelnõu koostamist teavitab komisjon määruse (EL) nr 1025/2012 artiklis 22 osutatud komiteed sellest, et tema hinnangul on käesoleva artikli lõikes 2 osutatud tingimused täidetud.
4. Lõikes 2 osutatud rakendusakti eelnõu ettevalmistamisel võtab komisjon arvesse asjaomaste asutuste seisukohti ning konsulteerib nõuetekohaselt kõigi asjaomaste sidusrühmadega.
5. Eeldatakse, et digielemente sisaldavad tooted ja tootja rakendatud protsessid, mis on vastavuses käesoleva artikli lõikes 2 osutatud rakendusaktide või nende osadega kehtestatud ühtsete spetsifikatsioonidega, on vastavuses I lisas sätestatud oluliste küberturvalisuse nõuete või nende osadega, mida nimetatud ühtsed spetsifikatsioonid käsitlevad.
6. Kui Euroopa standardiorganisatsioon võtab harmoneeritud standardi vastu ja esitab selle komisjonile, et avaldada selle viide Euroopa Liidu Teatajas, annab komisjon harmoneeritud standardile kooskõlas määrusega (EL) nr 1025/2012 hinnangu. Kui harmoneeritud standardi viide avaldatakse Euroopa Liidu Teatajas, tunnistab komisjon kehtetuks käesoleva artikli lõikes 2 osutatud rakendusaktid või nende osad, mis katavad samu olulisi küberturvalisuse nõudeid mis see harmoneeritud standard.
7. Kui liikmesriik on seisukohal, et ühtsed spetsifikatsioonid ei vasta täielikult I lisas sätestatud olulistele küberturvalisuse nõuetele, teatab ta sellest komisjonile ning esitab üksikasjaliku selgituse. Komisjon annab üksikasjalikule selgitusele hinnangu ja võib rakendusakti, millega kõnealused ühtsed spetsifikatsioonid kehtestatakse, asjakohasel juhul muuta.
8. Eeldatakse, et digielemente sisaldavad tooted ja tootja rakendatud protsessid, mille kohta on määruse (EL) 2019/881 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kava alusel välja antud ELi vastavusdeklaratsioon või sertifikaat, on vastavuses I lisas sätestatud oluliste küberturvalisuse nõuetega, kui ELi vastavusdeklaratsioon või Euroopa küberturvalisuse sertifikaat või nende osad hõlmavad neid nõudeid.
9. Komisjonil on õigus võtta kooskõlas käesoleva määruse artikliga 61 vastu delegeeritud õigusakte käesoleva määruse täiendamiseks, et määratleda määruse (EL) 2019/881 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavad, mille alusel tõendada digielemente sisaldavate toodete vastavust I lisas sätestatud olulistele küberturvalisuse nõuetele või nende osadele. Selliste kavade alusel vähemalt märkimisväärsel usaldusväärsuse tasemel välja antud Euroopa küberturvalisuse sertifikaat vabastab tootja ühtlasi kolmanda isiku tehtava vastavushindamise kohustusest kõnealuste nõuete osas, nagu on sätestatud käesoleva määruse artikli 32 lõike 2 punktides a ja b ning artikli 32 lõike 3 punktides a ja b.
ELi vastavusdeklaratsioon
1. Tootja koostab artikli 13 lõike 12 kohaselt ELi vastavusdeklaratsiooni ning kinnitab, et I lisas sätestatud kohaldatavate oluliste küberturvalisuse nõuete täitmine on tõendatud.
2. ELi vastavusdeklaratsioon peab vastama V lisas sätestatud näidisele ning sisaldama VIII lisa asjakohastes vastavushindamismenetlustes kindlaks määratud elemente. Sellist deklaratsiooni tuleb asjakohasel juhul ajakohastada. See tõlgitakse keeltesse, mida nõuab liikmesriik, kus digielemente sisaldav toode turule lastakse või turul kättesaadavaks tehakse.
Artikli 13 lõikes 20 osutatud lihtsustatud ELi vastavusdeklaratsioon peab vastama VI lisas sätestatud näidisele. See tõlgitakse keeltesse, mida nõuab liikmesriik, kus digielemente sisaldav toode turule lastakse või turul kättesaadavaks tehakse.
3. Kui digielemente sisaldava toote suhtes kohaldatakse rohkem kui üht liidu õigusakti, millega nõutakse ELi vastavusdeklaratsiooni, siis koostatakse kõigi nende liidu õigusaktide kohta üks ühine ELi vastavusdeklaratsioon. Kõnealuses deklaratsioonis nimetatakse asjaomased liidu õigusaktid, sealhulgas avaldamisviited.
4. ELi vastavusdeklaratsiooni koostamisega võtab tootja endale vastutuse digielemente sisaldava toote nõuetele vastavuse eest.
5. Komisjonil on õigus võtta kooskõlas artikliga 61 vastu delegeeritud õigusakte, millega täiendatakse käesolevat määrust, lisades V lisas sätestatud ELi vastavusdeklaratsioonis minimaalselt esitatavate andmete loetellu elemente, et võtta arvesse tehnika arengut.
CE-vastavusmärgise üldpõhimõtted
CE-vastavusmärgise suhtes kohaldatakse määruse (EÜ) nr 765/2008 artiklis 30 sätestatud üldpõhimõtteid.
CE-vastavusmärgise kinnitamise nõuded ja tingimused
1. CE-vastavusmärgis kinnitatakse digielemente sisaldavale tootele nii, et see on nähtav, loetav ja kustumatu. Kui nii ei ole digielemente sisaldava toote laadi tõttu võimalik või otstarbekas märgist kinnitada, pannakse see digielemente sisaldava toote pakendile ja tootega kaasasolevale artiklis 28 osutatud ELi vastavusdeklaratsioonile. Tarkvaraliste digielemente sisaldavate toodete puhul pannakse CE-vastavusmärgis kas artiklis 28 osutatud ELi vastavusdeklaratsioonile või tarkvaratoote juurde kuuluvale veebisaidile. Viimasel juhul peab veebisaidi asjakohane osa olema tarbijatele hõlpsalt ja otseselt ligipääsetav.
2. Digielemente sisaldavale tootele kinnitatava CE-vastavusmärgise kõrgus võib toote omadustest tulenevalt olla alla 5 mm, tingimusel et märgis on nähtav ja loetav.
3. CE-vastavusmärgis kinnitatakse digielemente sisaldavale tootele enne selle turule laskmist. Lisaks võib märgisele järgneda piktogramm või muu märgis, mis osutab erilisele küberriskile või kasutusviisile, millele on osutatud lõike 6 kohastes rakendusaktides.
4. CE-vastavusmärgisele järgneb teada antud asutuse identifitseerimisnumber, kui kõnealune asutus on kaasatud artiklis 32 osutatud täielikul kvaliteedi tagamisel põhinevasse (põhineb moodulil H) vastavushindamismenetlusse.
Teada antud asutuse identifitseerimisnumbri kinnitab kas asutus ise või tema juhiste järgi tootja või tootja volitatud esindaja.
5. Liikmesriigid tuginevad olemasolevatele mehhanismidele, et tagada CE-vastavusmärgise kasutamise korra nõuetekohane rakendamine, ja võtavad märgise vale kasutamise korral asjakohaseid meetmeid. Kui digielemente sisaldavate toodete suhtes kohaldatakse muid liidu ühtlustamisõigusakte kui käesolev määrus, milles nähakse samuti ette CE-vastavusmärgise kinnitamine, näitab CE-vastavusmärgis, et tooted vastavad ka nende muudes liidu ühtlustamisõigusaktides sätestatud nõuetele.
6. Komisjon võib rakendusaktidega kehtestada tehnilised spetsifikatsioonid märgistusele, piktogrammidele või muudele märgistele, mis on seotud digielemente sisaldavate toodete turvalisusega, nende toe kestuse ja mehhanismid nende kasutuse edendamiseks ning üldsuse teadlikkuse suurendamiseks digielemente sisaldavate toodete turvalisuse kohta. Rakendusaktide eelnõude ettevalmistamisel konsulteerib komisjon asjaomaste sidusrühmadega ja ADCO rühmaga, kui see on artikli 52 lõike 15 kohaselt juba loodud. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 62 lõikes 2 osutatud kontrollimenetlusega.
Tehniline dokumentatsioon
1. Tehniline dokumentatsioon peab sisaldama kõiki asjakohaseid andmeid või üksikasju vahendite kohta, mida tootja on kasutanud selleks, et tagada digielemente sisaldavate toodete ja tootja rakendatud protsesside vastavus I lisas sätestatud olulistele küberturvalisuse nõuetele. Dokumentatsioon peab sisaldama vähemalt VII lisas esitatud elemente.
2. Tehniline dokumentatsioon koostatakse enne digielemente sisaldava toote turule laskmist ja seda ajakohastatakse asjakohasel juhul pidevalt, vähemalt toe kestuse vältel.
3. Artiklis 12 osutatud digielemente sisaldavate toodete puhul, mille suhtes kohaldatakse ka muid liidu õigusakte, millega nähakse ette tehniline dokumentatsioon, koostatakse üksainus tehniline dokumentatsioon, mis sisaldab VII lisas osutatud teavet ja kõnealuste liidu õigusaktidega nõutavat teavet.
4. Vastavushindamismenetlusega seotud tehniline dokumentatsioon ja kirjavahetus on selle liikmesriigi ametlikus keeles, kus teada antud asutus asub, või mõnes muus sellele asutusele vastuvõetavas keeles.
5. Komisjonil on õigus võtta kooskõlas artikliga 61 vastu delegeeritud õigusakte, et täiendada käesolevat määrust elementidega, mis lisatakse VII lisas sätestatud tehnilisse dokumentatsiooni, et võtta arvesse tehnika arengut ja käesoleva määruse rakendamisprotsessis toimunut. Selleks püüab komisjon tagada mikro-, väikeste ja keskmise suurusega ettevõtjatele proportsionaalse halduskoormuse.
Digielemente sisaldavate toodete vastavushindamismenetlused
1. Selleks et teha kindlaks digielemente sisaldava toote ja tootja rakendatud protsesside vastavus I lisas sätestatud olulistele küberturvalisuse nõuetele, teeb tootja vastavushindamise. Tootja tõendab vastavust olulistele küberturvalisuse nõuetele, kohaldades mis tahes järgmistest menetlustest:
VIII lisas sätestatud sisekontrollimenetlus (põhineb moodulil A);
VIII lisas sätestatud ELi tüübihindamismenetlus (põhineb moodulil B), millele järgneb VIII lisas sätestatud tootmise sisekontrollil põhinev ELi tüübivastavuse hindamine (põhineb moodulil C);
VIII lisas sätestatud täielikul kvaliteedi tagamisel põhinev vastavuse hindamine (põhineb moodulil H) või
kui see on kättesaadav ja kohaldatav, siis artikli 27 lõike 9 kohane Euroopa küberturvalisuse sertifitseerimise kava.
2. Kui tootja hindab III lisa kohaselt I klassi kuuluva digielemente sisaldava olulise toote ja tootja rakendatud protsesside vastavust I lisas sätestatud olulistele küberturvalisuse nõuetele ning ta ei ole või on ainult osaliselt kohaldanud harmoneeritud standardeid, ühtseid spetsifikatsioone või artiklis 27 osutatud märkimisväärse usaldusväärsuse tasemega Euroopa küberturvalisuse sertifitseerimise kavasid või kui sellised harmoneeritud standardid, ühtsed spetsifikatsioonid või Euroopa küberturvalisuse sertifitseerimise kavad puuduvad, siis kohaldatakse asjaomase digielemente sisaldava toote ja tootja rakendatud protsesside suhtes üht järgmistest menetlustest seoses nende oluliste küberturvalisuse nõuetega:
VIII lisas sätestatud ELi tüübihindamismenetlus (põhineb moodulil B), millele järgneb VIII lisas sätestatud tootmise sisekontrollil põhinev tüübivastavuse hindamine (põhineb moodulil C), või
VIII lisas sätestatud täielikul kvaliteedi tagamisel põhinev vastavuse hindamine (põhineb moodulil H).
3. Kui toode on III lisa kohaselt II klassi kuuluv digielemente sisaldav oluline toode, tõendab tootja vastavust I lisas sätestatud olulistele küberturvalisuse nõuetele, kasutades mis tahes järgmistest menetlustest:
VIII lisas sätestatud ELi tüübihindamismenetlus (põhineb moodulil B), millele järgneb VIII lisas sätestatud tootmise sisekontrollil põhinev tüübivastavuse hindamine (põhineb moodulil C);
VIII lisas sätestatud täielikul kvaliteedi tagamisel põhinev vastavuse hindamine (põhineb moodulil H) või
kui see on kättesaadav ja kohaldatav, käesoleva määruse artikli 27 lõike 9 kohane Euroopa küberturvalisuse sertifitseerimise kava vähemalt märkimisväärsel usaldusväärsuse tasemel vastavalt määrusele (EL) 2019/881.
4. IV lisas loetletud digielemente sisaldava kriitilise tähtsusega toote puhul tõendatakse vastavust I lisas sätestatud olulistele küberturvalisuse nõuetele, kasutades ühte järgmistest menetlustest:
artikli 8 lõike 1 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kava või
kui artikli 8 lõike 1 tingimused ei ole täidetud, siis mõni käesoleva artikli lõikes 3 osutatud menetlustest.
5. III lisas sätestatud kategooriatesse kuuluvate vaba ja avatud lähtekoodiga tarkvaraks kvalifitseeruvate digielemente sisaldavate toodete tootjad peavad suutma tõendada vastavust I lisas sätestatud olulistele küberturvalisuse nõuetele, kohaldades üht käesoleva artikli lõikes 1 osutatud menetlustest, tingimusel et nende toodete turule laskmise ajal tehakse üldsusele kättesaadavaks artiklis 31 osutatud tehniline dokumentatsioon.
6. Vastavushindamismenetluste tasude kehtestamisel võetakse arvesse mikro-, väikeste ja keskmise suurusega ettevõtjate, sealhulgas idufirmade konkreetseid huve ja vajadusi ning neid tasusid vähendatakse proportsionaalselt nende konkreetsete huvide ja vajadustega.
Mikro-, väikeste ja keskmise suurusega ettevõtjate, sealhulgas idufirmade tugimeetmed
1. Liikmesriigid võtavad vajaduse korral järgmisi mikro- ja väikeettevõtjate vajadustele kohandatud meetmeid:
korraldavad konkreetset teadlikkuse suurendamise ja koolitustegevust käesoleva määruse kohaldamise kohta;
seavad sisse sihtotstarbelised kanalid kommunikatsiooniks mikro- ja väikeettevõtjatega ning asjakohasel juhul kohalike avaliku sektori asutustega, et anda nõu ja vastata päringutele käesoleva määruse rakendamise kohta;
toetavad testimis- ja vastavushindamise toiminguid, sealhulgas asjakohasel juhul Euroopa küberturvalisuse pädevuskeskuse toel.
2. Liikmesriigid võivad asjakohasel juhul luua küberkerksuse regulatiivliivakastid. Sellised regulatiivliivakastid toimivad digielemente sisaldavate uuenduslike toodete kontrollitud testkeskkonnana, mis aitab kaasa nende toodete väljatöötamisele, projekteerimisele, valideerimisele ja testimisele käesoleva määruse nõuete täitmise eesmärgil piiratud aja jooksul enne turule laskmist. Komisjon ja asjakohasel juhul ENISA võivad pakkuda tehnilist tuge, nõu ja vahendeid regulatiivliivakastide loomiseks ja tegevuses hoidmiseks. Regulatiivliivakastid luuakse turujärelevalveasutuste otsese järelevalve ja juhendamise all ning nende toel. Liikmesriigid teavitavad komisjoni ja teisi turujärelevalveasutusi ADCO rühma kaudu regulatiivliivakasti loomisest. Regulatiivliivakastid ei mõjuta pädevate asutuste järelevalve- ja parandusvolitusi. Liikmesriigid tagavad regulatiivliivakastidele avatud, õiglase ja läbipaistva juurdepääsu ning hõlbustavad eelkõige mikro- ja väikeettevõtjate, sealhulgas idufirmade juurdepääsu.
3. Komisjon annab kooskõlas artikliga 26 mikro-, väikestele ja keskmise suurusega ettevõtjatele suuniseid käesoleva määruse rakendamiseks.
4. Komisjon annab teada, millist rahalist toetust on võimalik saada olemasolevate liidu programmide õigusraamistikus, eelkõige selleks, et vähendada mikro- ja väikeettevõtjate finantskoormust.
5. Mikro- ja väikeettevõtjad võivad esitada kõik VII lisas määratletud tehnilise dokumentatsiooni elemendid lihtsustatud vormis. Selleks määrab komisjon rakendusaktidega kindlaks mikro- ja väikeettevõtjate vajadusi arvestava lihtsustatud tehnilise dokumentatsiooni vormi, milles nähakse ka ette VII lisas sätestatud elementide esitamise viis. Kui mikro- või väikeettevõtja otsustab esitada VII lisas sätestatud teabe lihtsustatud korras, kasutab ta käesolevas lõikes osutatud vormi. Teada antud asutused peavad seda vormi vastavushindamise tegemisel arvestama.
Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 62 lõikes 2 osutatud kontrollimenetlusega.
Vastastikuse tunnustamise lepingud
Liit võib kooskõlas ELi toimimise lepingu artikliga 218 sõlmida rahvusvahelise kaubanduse edendamiseks ja lihtsustamiseks vastastikuse tunnustamise lepinguid kolmandate riikidega, võttes arvesse kolmanda riigi tehnilise arengu taset ja vastavushindamise põhimõtteid.
VASTAVUSHINDAMISASUTUSTEST TEATAMINE
Teatamine
1. Liikmesriigid teatavad komisjonile ja teistele liikmesriikidele, missugused asutused on volitatud tegema käesoleva määruse alusel vastavushindamisi.
2. Liikmesriigid püüavad tagada hiljemalt 11. detsembriks 2026, et liidus on vastavushindamiste tegemiseks piisav arv teada antud asutusi, et hoida ära kitsaskohad ja takistused turule sisenemisel.
Teavitavad asutused
1. Iga liikmesriik määrab teavitava asutuse, kes vastutab vastavushindamisasutuste hindamise, määramise ja nendest teatamise ning nende järelevalveks vajalike menetluste kasutuselevõtmise ja rakendamise eest, sealhulgas artikli 41 järgimise eest.
2. Liikmesriigid võivad otsustada, et lõikes 1 osutatud hindamist ja järelevalvet teeb määruse (EÜ) nr 765/2008 tähenduses ja sellega kooskõlas riiklik akrediteerimisasutus.
3. Kui teavitav asutus delegeerib või teeb käesoleva artikli lõikes 1 osutatud hindamise, teatamise või järelevalve muul viisil ülesandeks asutusele, mis ei ole valitsusasutus, siis peab see asutus olema juriidiline isik ja järgima mutatis mutandis artiklit 37. Lisaks peab sel asutusel olema kord oma tegevusest tulenevate kohustuste katmiseks.
4. Teavitav asutus vastutab täielikult lõikes 3 osutatud asutuse täidetavate ülesannete eest.
Nõuded teavitava asutuse kohta
1. Teavitav asutus määratakse nii, et ei tekiks huvide konflikti vastavushindamisasutustega.
2. Teavitava asutuse tööd korraldatakse ja see toimub nii, et on tagatud tema tegevuse objektiivsus ja erapooletus.
3. Teavitava asutuse töö korraldatakse nii, et kõiki vastavushindamisasutusest teatamisega seotud otsuseid teevad sellised pädevad isikud, kes ei ole teinud hindamist.
4. Teavitav asutus ei paku ega osuta neid teenuseid, mida osutavad vastavushindamisasutused, ega ärieesmärgiga või konkureerivaid nõustamisteenuseid.
5. Teavitav asutus tagab saadud teabe konfidentsiaalsuse.
6. Teavitaval asutusel peab tööülesannete nõuetekohaseks täitmiseks olema piisav arv pädevaid töötajaid.
Teavitavate asutuste kohta teatamise kohustus
1. Liikmesriigid annavad komisjonile teada vastavushindamisasutuste hindamiseks ja nendest teatamiseks ning teada antud asutuste järelevalveks läbiviidud menetlustest ning nendes menetlustes tehtud muudatustest.
2. Komisjon teeb lõikes 1 osutatud teabe avalikult kättesaadavaks.
Nõuded seoses teada antud asutustega
1. Teada andmise eesmärgil peab vastavushindamisasutus vastama lõigete 2–12 nõuetele.
2. Vastavushindamisasutus peab olema asutatud riigisisese õiguse kohaselt ning olema juriidiline isik.
3. Vastavushindamisasutus peab olema kolmandast isikust asutus, mis on sõltumatu organisatsioonist või digielemente sisaldavast tootest, mida ta hindab.
Asutust, mis kuulub ettevõtjate ühendusse või kutseliitu, mis esindab ettevõtjaid, kes on seotud hinnatavate digielemente sisaldavate toodete projekteerimise, arendamise, tootmise, tarnimise, monteerimise, kasutamise või hooldamisega, võib käsitada sellise kolmandast isikust asutusena tingimusel, et on tõendatud selle sõltumatus ja huvide konflikti puudumine.
4. Vastavushindamisasutus, selle kõrgem juhtkond ja ükski vastavushindamisülesannete täitmise eest vastutav töötaja ei tohi olla hinnatava digielemente sisaldava toote projekteerija, arendaja, tootja, tarnija, importija, turustaja, paigaldaja, ostja, omanik, kasutaja, hooldaja ega ühegi nimetatud isiku esindaja. See ei välista vastavushindamisasutuse tegevuseks vajalike hinnatavate toodete kasutamist või selliste toodete kasutamist isiklikul otstarbel.
Vastavushindamisasutus, selle kõrgem juhtkond ja vastavushindamisülesannete täitmise eest vastutavad töötajad ei tohi olla otseselt seotud nende poolt hinnatavate digielemente sisaldavate toodete projekteerimise, arendamise, tootmise, impordi, turustamise, turundamise, paigaldamise, kasutamise või hooldamisega ega esindada nimetatud tegevustega seotud osalist. Nad ei tohi osaleda üheski tegevuses, mis võib olla vastuolus tehtavate otsuste sõltumatusega või ausameelsusega vastavushindamistoimingutes, mille tegemiseks neist on teada antud. See kehtib eelkõige nõustamisteenuste kohta.
Vastavushindamisasutus tagab, et tema tütarettevõtjate või alltöövõtjate tegevus ei mõjuta vastavushindamistoimingute konfidentsiaalsust, objektiivsust ega erapooletust.
5. Vastavushindamisasutus ja selle töötajad teevad vastavushindamistoiminguid suurima erialase kohusetunde ja konkreetses valdkonnas nõutava tehnilise pädevusega, laskmata end mõjutada mis tahes surveavaldustel ja ahvatlustel (eelkõige rahalistel), millel võib olla mõju nende otsustele või vastavushindamise tulemustele, eriti isikute või isikute rühmade poolt, kes on huvitatud nimetatud toimingute tulemustest.
6. Vastavushindamisasutus peab olema võimeline tegema kõiki VIII lisas nimetatud vastavushindamistoiminguid, millega seoses on temast teada antud, olenemata sellest, kas vastavushindamisasutus täidab neid ülesandeid ise või täidetakse neid tema nimel ja tema vastutusel.
Vastavushindamisasutusel peavad iga vastavushindamismenetluse ja iga digielemente sisaldava toote tüübi jaoks, millega seoses on temast teada antud, alati olema:
tehniliste teadmistega töötajad, kellel on vastavushindamisülesannete tegemiseks piisavad ja asjakohased kogemused;
menetluste kirjeldused, mille kohaselt vastavushindamist tuleb teha ning mis tagavad läbipaistvuse ja võimaluse neid menetlusi korrata; asjakohased tegevuspõhimõtted ja kord vahe tegemiseks teada antud asutusena tehtavate ja muude tegevuste vahel;
menetlused selliste toimingute tegemiseks, milles võetakse asjakohaselt arvesse ettevõtja suurust, tegevusvaldkonda, struktuuri, käsitletava tootetehnoloogia keerukusastet ning seda, kas tegemist on mass- või seeriatootmisega.
Vastavushindamisasutusel peavad olema vajalikud vahendid vastavushindamistoimingute nõuetekohase teostamisega seotud tehniliste ja haldusülesannete täitmiseks ning juurdepääs vajalikule varustusele ja vahenditele.
7. Vastavushindamisülesannete täitmise eest vastutavad töötajad peavad:
omama head tehnilist ja kutsealast ettevalmistust kõigi vastavushindamistoimingute tegemiseks, millega seoses on asjaomasest vastavushindamisasutusest teada antud;
omama piisavaid teadmisi tehtavate hindamiste nõuete kohta ja ettenähtud volitusi nende hindamiste tegemiseks;
tundma ja mõistma I lisas sätestatud olulisi küberturvalisuse nõudeid, kohaldatavaid harmoneeritud standardeid ja ühtseid spetsifikatsioone ning liidu ühtlustamisõigusaktide ja nende rakendusaktide asjakohaseid sätteid;
oskama koostada sertifikaate, protokolle ja aruandeid, mis tõendavad vastavushindamise tegemist.
8. Tagatakse vastavushindamisasutuste, nende kõrgema juhtkonna ja hindamise eest vastutavate töötajate erapooletus.
Vastavushindamisasutuse kõrgema juhtkonna ja hindamise eest vastutavate töötajate tasu suurus ei tohi sõltuda tehtud vastavushindamiste hulgast ega nende hindamiste tulemustest.
9. Kui vastutus ei kuulu riigisisese õiguse alusel liikmesriigile või kui liikmesriik ise ei ole vastavushindamise eest otseselt vastutav, siis võtab vastavushindamisasutus endale vastutuskindlustuse.
10. Vastavushindamisasutuse töötajad hoiavad ametisaladust kogu teabe kohta, mis on saadud VIII lisa või selle rakendamiseks kehtestatud riigisisese õiguse sätte kohaste toimingute käigus, välja arvatud teabevahetus selle liikmesriigi turujärelevalveasutustega, kus asutus tegutseb. Tagada tuleb omandiõiguste kaitse. Vastavushindamisasutus rakendab dokumenteeritud menetlusi, mis tagavad vastavuse käesoleva lõikega.
11. Vastavushindamisasutus võtab osa asjakohastest standardimistegevustest ja artikli 51 alusel loodud teada antud asutuste koordineerimisrühma tegevusest või tagab, et tema hindamise eest vastutavaid töötajaid on sellest teavitatud ning kohaldab nimetatud rühma töö tulemusel koostatud haldusotsuseid ja -dokumente üldiste suunistena.
12. Vastavushindamisasutus tegutseb vastavalt sidusatele, õiglastele, proportsionaalsetele ja mõistlikele tingimustele, vältides ettevõtjate liigset koormamist, eelkõige võttes tasude puhul arvesse mikro-, väikeste ja keskmise suurusega ettevõtjate huve.
Nõuetele vastavuse eeldamine teada antud asutuste korral
Kui vastavushindamisasutus tõendab, et ta vastab sellistes asjakohastes harmoneeritud standardites või nende osades sätestatud kriteeriumidele, mille viited on avaldatud Euroopa Liidu Teatajas, siis eeldatakse, et ta vastab artikli 39 nõuetele, kui kohaldatavad harmoneeritud standardid hõlmavad neid nõudeid.
Teada antud asutuste tütarettevõtjad ja alltöövõtjad
1. Kui teada antud asutus kasutab vastavushindamisega seotud ülesannete täitmiseks alltöövõtjat või tütarettevõtjat, siis tagab ta, et alltöövõtja või tütarettevõtja vastab artiklis 39 sätestatud nõuetele, ning teatab sellest teavitavale asutusele.
2. Teada antud asutus vastutab täielikult ülesannete eest, mida täidavad tema alltöövõtjad ja tütarettevõtjad, olenemata nende asukohast.
3. Alltöövõtjat või tütarettevõtjat võib kasutada ainult tootja nõusolekul.
4. Teada antud asutus hoiab teavitavale asutusele esitamiseks alles dokumente alltöövõtja või tütarettevõtja kvalifikatsiooni hindamise kohta ja nende poolt käesoleva määruse kohaselt tehtud tööde kohta.
Teada andmise taotlus
1. Vastavushindamisasutus esitab teada andmise taotluse oma asukohaks oleva liikmesriigi teavitavale asutusele.
2. Taotlusega koos esitatakse vastavushindamistoimingute, vastavushindamismenetluse või -menetluste ja digielemente sisaldava toote või toodete kirjeldus, millega tegelemist asutus oma pädevusena taotleb, ning riikliku akrediteerimisasutuse väljastatud akrediteerimistunnistus, kui see on olemas, mis tõendab, et vastavushindamisasutus vastab artikli 39 nõuetele.
3. Kui vastavushindamisasutus ei saa akrediteerimistunnistust esitada, esitab ta teavitavale asutusele kõik dokumentaalsed tõendid, mida on vaja, et kontrollida, kinnitada ja regulaarselt jälgida tema vastavust artiklis 39 esitatud nõuetele.
Teada andmise kord
1. Teavitav asutus annab teada ainult nendest vastavushindamisasutustest, mis vastavad artiklis 39 esitatud nõuetele.
2. Teavitav asutus teavitab komisjoni ja teisi liikmesriike teada antud ja määratud organisatsioonide uue teabesüsteemi kaudu, mille on välja töötanud ja mida haldab komisjon.
3. Teavitus sisaldab täielikku ülevaadet vastavushindamistoimingutest, vastavushindamismoodulist või -moodulitest ja digielemente sisaldavast tootest või toodetest ning asjakohast pädevuse kinnitust.
4. Kui teavitus ei põhine artikli 42 lõikes 2 osutatud akrediteerimistunnistusel, siis esitab teavitav asutus komisjonile ja teistele liikmesriikidele dokumentaalsed tõendid, mis kinnitavad vastavushindamisasutuse pädevust ja kehtivat korda, millega tagatakse asutuse regulaarne järelevalve ja selle jätkuv vastavus artikli 39 nõuetele.
5. Asjaomane asutus võib teada antud asutuse toiminguid teha üksnes juhul, kui komisjon või teised liikmesriigid ei esita vastuväiteid kahe nädala jooksul pärast teavituse saamist, kui teavitamine põhines akrediteerimistunnistusel, või kahe kuu jooksul pärast teavituse saamist, kui akrediteerimist ei kasutatud.
Ainult sellist asutust peetakse käesoleva määruse kohaldamisel teada antud asutuseks.
6. Komisjoni ja teisi liikmesriike teavitatakse kõigist edaspidistest asjakohastest muudatustest nimetatud teavituses.
Teada antud asutuste identifitseerimisnumbrid ja loetelud
1. Komisjon määrab teada antud asutusele identifitseerimisnumbri.
Ta määrab üheainsa identifitseerimisnumbri, isegi kui asutusest antakse teada mitme liidu õigusakti alusel.
2. Komisjon teeb üldsusele kättesaadavaks käesoleva määruse alusel teada antud asutuste loetelu, mis sisaldab asutustele antud identifitseerimisnumbreid ja toiminguid, millega seoses neist on teada antud.
Komisjon tagab loetelu ajakohastamise.
Teavituse muudatused
1. Kui teavitav asutus on kindlaks teinud või talle on teatatud, et teada antud asutus ei vasta enam artikli 39 nõuetele või ei ole täitnud ettenähtud kohustusi, siis kitsendab teavitav asutus teavitust, peatab teavituse või tühistab selle, lähtudes sellest, kui suur on nõuetele mittevastavus või kohustuste täitmata jätmine. Ta teatab sellest viivitamata komisjonile ja teistele liikmesriikidele.
2. Kui teavitust kitsendatakse või kui selle kehtivus peatatakse või tühistatakse või kui teada antud asutus on lõpetanud tegevuse, siis on teavitava liikmesriigi ülesanne tagada, et selle asutuse dokumente menetleb mõni teine teada antud asutus või et need oleksid taotluse korral kättesaadavad teavitavale asutusele turujärelevalveasutustele.
Teada antud asutuse pädevuse vaidlustamine
1. Komisjon uurib iga juhtumit, mil tal tekib kahtlus, või kui tema tähelepanu juhitakse kahtlusele seoses teada antud asutuse pädevusega täita või jätkuvalt täita talle esitatud nõudeid ja talle pandud kohustusi.
2. Komisjoni taotluse korral esitab teavitav liikmesriik talle kogu teabe selle kohta, mille alusel konkreetsest asutusest teada anti, või mis näitab, et see asutus on endiselt pädev.
3. Komisjon tagab, et kogu tundlikku teavet, mis uurimise käigus saadi, käsitletakse konfidentsiaalsena.
4. Kui komisjon teeb kindlaks, et teada antud asutus ei täida või enam ei täida temast teada andmise aluseks olevaid nõudeid, teavitab ta sellest teavitavat liikmesriiki ja nõuab temalt vajalike parandusmeetmete võtmist, sealhulgas vajaduse korral teada andmise tühistamist.
Teada antud asutuse tegevuskohustused
1. Teada antud asutus teeb vastavushindamist kooskõlas artiklis 32 ja VIII lisas esitatud vastavushindamismenetlustega.
2. Vastavushindamisi tehakse proportsionaalsel viisil, vältides ettevõtjate liigset koormamist. Vastavushindamisasutus võtab oma tegevuse käigus asjakohaselt arvesse ettevõtja suurust, eelkõige mikro- ning väikeste ja keskmise suurusega ettevõtjate puhul, tegevusvaldkonda, struktuuri, keerukusastet ning digielemente sisaldavate toodete ja kõnealuse tehnoloogia küberriski taset ning seda, kas tegemist on mass- või seeriatootmisega.
3. Seejuures arvestab teada antud asutus, millist rangust ja kaitset on vaja, et digielemente sisaldav toode vastaks käesolevale määrusele.
4. Kui teada antud asutus leiab, et tootja ei ole kinni pidanud I lisas või vastavates harmoneeritud standardites või artikli 27 kohastes ühtsetes spetsifikatsioonides sätestatud nõuetest, nõuab ta kõnealuselt tootjalt nõuetekohaste parandusmeetmete võtmist ja ei väljasta vastavussertifikaati.
5. Kui pärast sertifikaadi väljastamist avastab teada antud asutus nõuetele vastavuse jälgimisel, et digielemente sisaldav toode ei vasta enam käesoleva määruse nõuetele, nõuab ta tootjalt asjakohaste parandusmeetmete võtmist ja vajaduse korral peatab sertifikaadi või tunnistab selle kehtetuks.
6. Kui parandusmeetmeid ei võeta või neil ei ole soovitud tulemust, siis teada antud asutus vastavalt vajadusele kas kitsendab asjaomast sertifikaati või peatab sertifikaadi või tunnistab selle kehtetuks.
Teada antud asutuste otsuste vaidlustamine
Liikmesriigid tagavad, et teada antud asutuste otsuste vaidlustamiseks on olemas asjakohane menetlus.
Teada antud asutuse teabekohustus
1. Teada antud asutus annab teavitavale asutusele teada järgmisest:
kõik juhtumid, kui sertifikaat jäetakse andmata, seda kitsendatakse, see peatatakse või tunnistatakse kehtetuks;
teavitamise valdkonda ja tingimusi mõjutavad asjaolud;
kõik turujärelevalveasutustelt saadud teabetaotlused vastavushindamistoimingute kohta;
(taotluse korral) vastavushindamistoimingud, mida teada antud asutus on teavitusvaldkonnas teinud, ja muu tegevus, sealhulgas piiriülene tegevus ja alltöövõtt.
2. Teada antud asutused esitavad teistele käesoleva määruse alusel teada antud samalaadsete vastavushindamistoimingute ja samade digielemente sisaldavate toodetega tegelevatele asutustele asjakohase teabe negatiivsete ja taotluse korral ka positiivsete vastavushindamistulemuste kohta.
Kogemuste vahetamine
Komisjon korraldab kogemuste vahetamise liikmesriikides teavituspoliitika eest vastutavate ametiasutuste vahel.
Teada antud asutuste tegevuse koordineerimine
1. Komisjon tagab teada antud asutuste vahel sobiva koordineerimise ja koostöö, mida ettenähtud viisil korraldab teada antud asutuste valdkonnaülene rühm.
2. Liikmesriigid tagavad oma teada antud asutuste osalemise nimetatud rühma töös otseselt või määratud esindajate vahendusel.
TURUJÄRELEVALVE JA TÄITMISE TAGAMINE
Digielemente sisaldavate toodete turujärelevalve ja kontroll liidu turul
1. Käesoleva määruse kohaldamisalasse kuuluvate digielemente sisaldavate toodete suhtes kohaldatakse määrust (EL) 2019/1020.
2. Käesoleva määruse tulemuslikuks kohaldamiseks määrab iga liikmesriik ühe või mitu turujärelevalveasutust. Liikmesriigid võivad määrata käesoleva määruse kohaseks turujärelevalveasutuseks olemasoleva või uue asutuse.
3. Käesoleva artikli lõike 2 kohaselt määratud turujärelevalveasutused vastutavad ka turujärelevalvetoimingute tegemise eest seoses artiklis 24 sätestatud avatud lähtekoodiga tarkvara korraldajate kohustustega. Kui turujärelevalveasutus leiab, et avatud lähtekoodiga tarkvara korraldaja ei täida kõnealuses artiklis sätestatud kohustusi, nõuab ta avatud lähtekoodiga tarkvara korraldajalt kõigi asjakohaste parandusmeetmete võtmise tagamist. Avatud lähtekoodiga tarkvara korraldajad tagavad, et nende käesolevast määrusest tulenevate kohustuste täitmiseks võetakse kõik asjakohased parandusmeetmed.
4. Vajaduse korral teevad turujärelevalveasutused koostööd määruse (EL) 2019/881 artikli 58 kohaselt määratud riiklike küberturvalisuse sertifitseerimise asutustega ja vahetavad korrapäraselt teavet. Käesoleva määruse artikli 14 kohaste teatamiskohustuste täitmise järelevalvel teevad määratud turujärelevalveasutused koostööd ja vahetavad korrapäraselt teavet koordinaatoriks määratud CSIRTide ja ENISAga.
5. Turujärelevalveasutused võivad taotleda koordinaatoriks määratud CSIRTilt või ENISA-lt tehnilist nõu küsimustes, mis on seotud käesoleva määruse rakendamise ja täitmise tagamisega. Artikli 54 kohase uurimise tegemisel võivad turujärelevalveasutused taotleda koordinaatoriks määratud CSIRTilt või ENISA-lt analüüsi tegemist digielemente sisaldavate toodete vastavuse hindamise toetamiseks.
6. Vajaduse korral teevad turujärelevalveasutused koostööd teiste turujärelevalveasutustega, kes on määratud käesolevast määrusest erinevate liidu ühtlustamisõigusaktide alusel muude toodete jaoks, ning vahetavad korrapäraselt teavet.
7. Turujärelevalveasutused teevad vajaduse korral koostööd liidu andmekaitseõiguse üle järelevalvet tegevate asutustega. Selline koostöö hõlmab nende asutuste teavitamist kõigist järeldustest, mis on nende pädevuste jaoks asjakohased, sealhulgas lõike 10 kohaste suuniste ja nõuannete andmisel, kui sellised suunised ja nõuanded on seotud isikuandmete töötlemisega.
Liidu andmekaitseõiguse üle järelevalvet tegevatel asutustel on õigus taotleda ja juurde pääseda käesoleva määruse alusel loodud või säilitatavatele dokumentidele, kui juurdepääs nendele dokumentidele on vajalik nende ülesannete täitmiseks. Nad teavitavad asjaomase liikmesriigi määratud turujärelevalveasutusi igast sellisest taotlusest.
8. Liikmesriigid tagavad, et määratud turujärelevalveasutustel on käesolevast määrusest tulenevate ülesannete täitmiseks piisavad rahalised ja tehnilised vahendid, sh asjakohasel juhul töötlemise automatiseerimise vahendid, ja vajalike küberturbeoskustega inimressursid.
9. Komisjon julgustab ja hõlbustab määratud turujärelevalveasutuste vahelist kogemuste vahetamist.
10. Turujärelevalveasutused võivad komisjoni ja asjakohasel juhul CSIRTide ja ENISA toetusel anda ettevõtjatele suuniseid ja nõu käesoleva määruse rakendamise kohta.
11. Turujärelevalveasutused teavitavad tarbijaid kooskõlas määruse (EL) 2019/1020 artikliga 11 sellest, kuhu esitada kaebusi, mis võivad osutada mittevastavusele käesoleva määruse nõuetele, ning annavad tarbijatele teavet selle kohta, kus ja kuidas on võimalik kasutada mehhanisme, et hõlbustada digielemente sisaldavaid tooteid mõjutada võivatest nõrkustest, intsidentidest ja küberohtudest teatamist.
12. Turujärelevalveasutused hõlbustavad vajaduse korral koostööd asjaomaste sidusrühmadega, sealhulgas teadus-, uurimis- ja tarbijaorganisatsioonidega.
13. Turujärelevalveasutused esitavad komisjonile iga-aastasi aruandeid asjakohaste turujärelevalvetoimingute tulemuste kohta. Määratud turujärelevalveasutused esitavad komisjonile ja asjaomastele riiklikele konkurentsiasutustele viivitamata kogu turujärelevalvetoimingute käigus kindlaks tehtud teabe, mis võib pakkuda huvi liidu konkurentsiõiguse kohaldamise seisukohast.
14. Käesoleva määruse kohaldamisalasse kuuluvate digielemente sisaldavate toodete puhul, mis on määruse (EL) 2024/1689 artikli 6 kohaselt liigitatud suure riskiga tehisintellektisüsteemideks, on nimetatud määruse kohaselt määratud turujärelevalveasutused need asutused, kes vastutavad käesoleva määrusega nõutava turujärelevalve eest. Määruse (EL) 2024/1689 kohaselt määratud turujärelevalveasutused teevad asjakohasel juhul koostööd käesoleva määruse kohaselt määratud turujärelevalveasutustega ning käesoleva määruse artikli 14 kohaste teatamiskohustuste täitmise järelevalve puhul koordinaatoriks määratud CSIRTide ja ENISAga. Määruse (EL) 2024/1689 kohaselt määratud turujärelevalveasutused teavitavad käesoleva määruse kohaselt määratud turujärelevalveasutusi eelkõige järeldustest, mis on asjakohased nende käesoleva määruse rakendamisega seotud ülesannete täitmiseks.
15. Käesoleva määruse ühetaoliseks kohaldamiseks luuakse ADCO rühm vastavalt määruse (EL) 2019/1020 artikli 30 lõikele 2. ADCO rühm koosneb määratud turujärelevalveasutuste esindajatest ning asjakohasel juhul ühtsete kontaktasutuste esindajatest. ADCO rühm käsitleb ka konkreetseid küsimusi, mis on seotud turujärelevalvetoimingutega seoses avatud lähtekoodiga tarkvara korraldajatele pandud kohustustega.
16. Turujärelevalveasutused jälgivad, kuidas tootjad on oma digielemente sisaldavate toodete toe kestuse kindlaksmääramisel kohaldanud artikli 13 lõikes 8 osutatud kriteeriume.
ADCO rühm avaldab avalikult kättesaadaval ja kasutajasõbralikul moel asjakohase statistika digielemente sisaldavate toodete kategooriate kohta, sealhulgas toe keskmise kestuse, mille tootja on kindlaks määranud vastavalt artikli 13 lõikele 8, ning annab suuniseid, mis sisaldavad toe soovituslikku kestust digielemente sisaldavate toodete kategooriate jaoks.
Kui andmed osutavad digielemente sisaldavate toodete teatavate kategooriate toe ebapiisavale kestusele, võib ADCO rühm anda turujärelevalveasutustele soovitusi keskenduda oma tegevuses sellistele digielemente sisaldavate toodete kategooriatele.
Juurdepääs andmetele ja dokumentatsioonile
Kui see on vajalik, et hinnata digielemente sisaldavate toodete ja tootjate rakendatud protsesside vastavust I lisas sätestatud olulistele küberturvalisuse nõuetele, antakse turujärelevalveasutustele põhjendatud taotluse korral juurdepääs neile kergesti arusaadavas keeles esitatud andmetele, mida on vaja selliste toodete projekteerimise, arendamise, tootmise ja nõrkuste käsitlemise hindamiseks, sealhulgas asjaomase ettevõtja sisedokumentidele.
Olulist küberriski põhjustava digielemente sisaldava toote riikliku tasandi menetlus
1. Kui liikmesriigi turujärelevalveasutusel on piisavalt põhjust arvata, et digielemente sisaldav toode, sh selle nõrkuste käsitlemine, põhjustab olulist küberriski, korraldab ta viivitamata ning asjakohasel juhul koostöös asjaomase CSIRTiga asjaomase digielemente sisaldava toote hindamise, et selgitada välja, kas toode vastab käesolevas määruses sätestatud nõuetele. Asjaomased ettevõtjad teevad turujärelevalveasutustega sel eesmärgil vajaduse korral koostööd.
Kui turujärelevalveasutus leiab hindamise tegemisel, et digielemente sisaldav toode ei vasta käesoleva määruse nõuetele, nõuab ta viivitamata, et asjaomane ettevõtja kas võtaks kõik vajalikud parandusmeetmed digielemente sisaldava toote vastavusse viimiseks nende nõuetega või kõrvaldaks selle turult või võtaks selle tagasi turujärelevalveasutuse poolt määratud mõistliku aja jooksul, mis vastab küberriski laadile.
Turujärelevalveasutus teatab sellest asjakohasele teada antud asutusele. Parandusmeetmete suhtes kehtib määruse (EL) 2019/1020 artikkel 18.
2. Käesoleva artikli lõikes 1 osutatud küberriski olulisuse kindlaksmääramisel võtavad turujärelevalveasutused arvesse ka mittetehnilisi riskitegureid, eelkõige neid, mis on tehtud kindlaks direktiivi (EL) 2022/2555 artikli 22 kohaselt tehtud liidu tasandi kriitilise tähtsusega tarneahelate koordineeritud turberiski hindamise tulemusel. Kui turujärelevalveasutusel on piisavalt põhjust arvata, et digielemente sisaldav toode kujutab endast mittetehnilisi riskitegureid arvestades olulist küberriski, teavitab ta sellest direktiivi (EL) 2022/2555 artikli 8 kohaselt määratud või asutatud pädevaid asutusi ning teeb vajaduse korral nende asutustega koostööd.
3. Kui turujärelevalveasutus on seisukohal, et mittevastavus ei piirdu üksnes nende liikmesriigiga, siis teavitab ta komisjoni ja teisi liikmesriike hindamise tulemustest ja meetmetest, mille võtmist ta on ettevõtjalt nõudnud.
4. Ettevõtja tagab, et kõik vajalikud parandusmeetmed võetakse kõigi asjakohaste digielemente sisaldavate toodete korral, mille ta on liidu turul kättesaadavaks teinud.
5. Kui ettevõtja ei võta lõike 1 teises lõigus osutatud aja jooksul piisavaid parandusmeetmeid, siis rakendab turujärelevalveasutus kõiki asjakohaseid ajutisi meetmeid, et kõnealuse digielemente sisaldava toote kättesaadavaks tegemine siseturul keelata või seda piirata, digielemente sisaldav toode turult kõrvaldada või see tagasi võtta.
Turujärelevalveasutus teavitab komisjoni ja teisi liikmesriike nimetatud meetmetest viivitamata.
6. Lõikes 5 osutatud teave hõlmab kõiki kättesaadavaid andmeid: eelkõige nõuetele mittevastava digielemente sisaldava toote identifitseerimisandmed, selle digielemente sisaldava toote päritolu, väidetava mittevastavuse ja kaasneva riski laad, liikmesriigis võetud meetmete laad ja kestus ning asjaomase ettevõtja esitatud seisukohad. Turujärelevalveasutus näitab eelkõige, kas mittevastavus on seotud mõnega järgmistest põhjustest:
digielemente sisaldav toode või tootja rakendatud protsessid ei vasta I lisas sätestatud olulistele küberturvalisuse nõuetele;
puudused artiklis 27 osutatud harmoneeritud standardites, Euroopa küberturvalisuse sertifitseerimise kavades või ühtsetes spetsifikatsioonides.
7. Teiste liikmesriikide turujärelevalveasutused, kes ei ole menetluse algatajad, teatavad viivitamata komisjonile ja teistele liikmesriikidele nende võetud meetmetest ja mis tahes muust nende käsutuses olevast asjaomase digielemente sisaldava toote mittevastavusega seotud teabest ning kui nad ei ole teada antud riigisisese meetmega nõus, siis ka oma vastuväidetest.
8. Kui kolme kuu jooksul alates käesoleva artikli lõikes 5 osutatud teate kättesaamisest ei ole teised liikmesriigid ega komisjon esitanud vastuväiteid liikmesriigi ajutise meetme suhtes, loetakse meede põhjendatuks. See ei piira asjaomase ettevõtja määruse (EL) 2019/1020 artikli 18 kohaseid menetlusõigusi.
9. Kõigi liikmesriikide turujärelevalveasutused tagavad, et asjaomase digielemente sisaldava toote suhtes võetakse viivitamata asjakohaseid piiravaid meetmeid, näiteks kõrvaldatakse toode liikmesriigi turult.
Liidu kaitsemeetmete menetlus
1. Kui kolme kuu jooksul alates artikli 54 lõikes 5 osutatud teate kättesaamisest esitab mõni liikmesriik teise liikmesriigi võetud meetmele vastuväiteid või kui komisjon arvab, et meede on liidu õigusega vastuolus, siis algatab komisjon liikmesriigi meetme hindamiseks viivitamata konsulteerimise asjaomase liikmesriigiga ja asjaomase ettevõtja või asjaomaste ettevõtjatega. Selle hindamise tulemuste põhjal otsustab komisjon üheksa kuu jooksul alates artikli 54 lõikes 5 osutatud teate saamisest, kas riiklik meede on põhjendatud või mitte, ning teatab selle otsuse asjaomasele liikmesriigile.
2. Kui liikmesriigi meede loetakse põhjendatuks, siis võtavad kõik liikmesriigid vajalikke meetmeid, et tagada nõuetele mittevastava digielemente sisaldava toote kõrvaldamine oma turult, ja teatavad sellest komisjonile. Kui riiklikku meedet peetakse põhjendamatuks, tunnistab asjaomane liikmesriik selle kehtetuks.
3. Kui liikmesriigi meede loetakse põhjendatuks ja digielemente sisaldava toote nõuetele mittevastavus loetakse tulenevat puudustest harmoneeritud standardites, kohaldab komisjon määruse (EL) nr 1025/2012 artikliga 11 ettenähtud menetlust.
4. Kui riiklik meede loetakse põhjendatuks ja digielemente sisaldava toote mittevastavus loetakse tulenevat puudustest artiklis 27 osutatud Euroopa küberturvalisuse sertifitseerimise kavas, kaalub komisjon, kas muuta vastavalt artikli 27 lõikele 9 vastu võetud delegeeritud õigusakti, milles on sätestatud kõnealusele sertifitseerimiskavale vastavuse eeldus, või tunnistada see kehtetuks.
5. Kui riiklik meede loetakse põhjendatuks ja digielemente sisaldava toote mittevastavus loetakse tulenevat puudustest artiklis 27 osutatud ühtsetes spetsifikatsioonides, kaalub komisjon, kas muuta ühtseid spetsifikatsioone käsitlevat artikli 27 lõike 2 kohaselt vastu võetud rakendusakti või tunnistada see kehtetuks.
Olulist küberriski põhjustava digielemente sisaldava toote liidu tasandi menetlus
1. Kui komisjonil on piisavalt põhjust arvata, muu hulgas ENISA-lt saadud teabe põhjal, et olulise küberriskiga digielemente sisaldav toode ei vasta käesolevas määruses sätestatud nõuetele, teavitab ta asjaomaseid turujärelevalveasutusi. Kui turujärelevalveasutused hindavad seda digielemente sisaldavat toodet, mis võib kujutada endast olulist küberriski seoses käesolevas määruses sätestatud nõuetele vastavusega, kohaldatakse artiklites 54 ja 55 osutatud menetlusi.
2. Kui komisjonil on piisavalt põhjust arvata, et digielemente sisaldav toode kujutab endast mittetehnilisi riskitegureid arvestades olulist küberriski, teavitab ta sellest asjaomast turujärelevalveasutust ja asjakohasel juhul direktiivi (EL) 2022/2555 artikli 8 kohaselt määratud või asutatud pädevaid asutusi ning teeb vajaduse korral nende asutustega koostööd. Komisjon võtab arvesse ka tuvastatud riskide tähtsust digielemente sisaldava toote seisukohalt, pidades silmas oma ülesandeid, mis on seotud direktiivi (EL) 2022/2555 artiklis 22 sätestatud liidu tasandi kriitilise tähtsusega tarneahelate koordineeritud turberiski hindamistega, ning konsulteerib vajaduse korral direktiivi (EL) 2022/2555 artikli 14 kohaselt loodud koostöörühma ja ENISAga.
3. Asjaoludel, mis õigustavad viivitamatut sekkumist siseturu nõuetekohase toimimise jätkumiseks, ning kui komisjonil on piisavalt põhjust arvata, et lõikes 1 osutatud digielemente sisaldav toode ei vasta endiselt käesoleva määruse nõuetele ja asjaomased turujärelevalveasutused ei ole võtnud tulemuslikke meetmeid, teeb komisjon vastavushindamise ning võib paluda ENISA-l teha hindamist toetava analüüsi. Komisjon teavitab sellest asjaomaseid turujärelevalveasutusi. Asjaomased ettevõtjad teevad ENISAga vajalikul viisil koostööd.
4. Lõikes 3 osutatud hinnangu põhjal võib komisjon otsustada, et liidu tasandil on vaja võtta parandusmeede või piirav meede. Selleks konsulteerib komisjon viivitamata asjaomaste liikmesriikidega ja asjaomase ettevõtja või asjaomaste ettevõtjatega.
5. Käesoleva artikli lõikes 4 osutatud konsulteerimise põhjal võib komisjon võtta vastu rakendusakte, et näha ette liidu tasandi parandusmeetmed või piiravad meetmed, sealhulgas nõuda asjaomaste digielemente sisaldavate toodete turult kõrvaldamist või tagasivõtmist mõistliku aja jooksul, mis vastab riski laadile. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 62 lõikes 2 osutatud kontrollimenetlusega.
6. Komisjon teavitab lõikes 5 osutatud rakendusaktidest viivitamata asjaomast ettevõtjat või asjaomaseid ettevõtjaid. Liikmesriigid rakendavad neid rakendusakte viivitamata ja teatavad sellest komisjonile.
7. Lõikeid 3–6 kohaldatakse komisjoni sekkumist õigustanud erakorralise olukorra ajal, eeldusel et asjaomast digielemente sisaldavat toodet ei ole viidud vastavusse käesoleva määrusega.
Nõuetele vastavad digielemente sisaldavad tooted, mis kujutavad endast olulist küberriski
1. Liikmesriigi turujärelevalveasutus nõuab, et ettevõtja võtaks kõik asjakohased meetmed, kui ta leiab pärast artikli 54 kohast hindamist, et kuigi digielemente sisaldav toode ja tootja rakendatud protsessid on käesoleva määrusega kooskõlas, kujutavad need endast olulist küberriski ning ühtlasi riski järgmisele:
inimeste tervisele või ohutusele;
põhiõiguste kaitseks ette nähtud liidu või riigisisesest õigusest tulenevate kohustuste täitmisele;
direktiivi (EL) 2022/2555 artikli 3 lõikes 1 osutatud elutähtsate üksuste poolt elektroonilise infosüsteemi kaudu pakutavate teenuste kättesaadavusele, autentsusele, terviklusele või konfidentsiaalsusele või
muudele avaliku huvi kaitse aspektidele.
Esimeses lõigus osutatud meetmed võivad sisaldada meetmeid tagamaks, et asjaomase digielemente sisaldava toote ja tootja rakendatud protsessidega ei kaasne turul kättesaadavaks tegemisel enam asjaomaseid riske, asjaomase digielemente sisaldava toote turult kõrvaldamist või selle tagasivõtmist, ning need meetmed peavad vastama kõnealuste riskide laadile.
2. Tootja või muud asjaomased ettevõtjad tagavad, et parandusmeetmeid võetakse kõigi asjaomaste digielemente sisaldavate toodete suhtes, mille nad on liidu turul kättesaadavaks teinud, lõikes 1 osutatud liikmesriigi turujärelevalveasutuse kehtestatud tähtaja jooksul.
3. Liikmesriik teavitab komisjoni ja teisi liikmesriike viivitamata lõike 1 kohaselt võetud meetmetest. Kõnealune teave peab sisaldama kõiki teadaolevaid üksikasju, eelkõige asjaomaste digielemente sisaldavate toodete tuvastamiseks vajalikke andmeid, kõnealuste digielemente sisaldavate toodete päritolu ja tarneahelat, kaasneva riski laadi ning liikmesriigis võetud meetmete laadi ja kestust.
4. Komisjon alustab viivitamata konsultatsioone liikmesriikidega ja asjaomase ettevõtjaga ning hindab võetud riiklikke meetmeid. Selle hindamise tulemuste põhjal otsustab komisjon, kas meede on põhjendatud või ei ole, ning teeb vajaduse korral ettepaneku sobivate meetmete kohta.
5. Komisjon adresseerib lõikes 4 osutatud otsuse liikmesriikidele.
6. Kui komisjonil on piisavalt põhjust arvata, muu hulgas ENISA-lt saadud teabe põhjal, et digielemente sisaldava tootega, mis küll vastab käesoleva määruse nõuetele, kaasnevad käesoleva artikli lõikes 1 osutatud riskid, teavitab ta sellest asjaomast turujärelevalveasutust või asjaomaseid turujärelevalveasutusi ning võib paluda tal/neil teha hindamise ja järgida artiklis 54 ning käesoleva artikli lõigetes 1, 2 ja 3 osutatud menetlusi.
7. Asjaoludel, mis õigustavad viivitamatut sekkumist siseturu nõuetekohase toimimise jätkumiseks ja kui komisjonil on piisavalt põhjust arvata, et lõikes 6 osutatud digielemente sisaldav toode kujutab endast jätkuvalt lõikes 1 osutatud riske ja asjaomased riiklikud turujärelevalveasutused ei ole võtnud tulemuslikke meetmeid, hindab komisjon kõnealusest digielemente sisaldavast tootest tulenevaid riske ning võib paluda ENISA-l esitada analüüsi, et kõnealust hinnangut toetada, ja teavitab sellest asjaomaseid turujärelevalveasutusi. Asjaomased ettevõtjad teevad ENISAga vajalikul viisil koostööd.
8. Lõikes 7 osutatud hinnangu põhjal võib komisjon teha kindlaks, et liidu tasandil on vaja võtta parandusmeede või piirav meede. Selleks konsulteerib komisjon viivitamata asjaomaste liikmesriikidega ja asjaomas(t)e ettevõtja(te)ga.
9. Käesoleva artikli lõikes 8 osutatud konsulteerimise põhjal võib komisjon võtta vastu rakendusakte, et teha otsus liidu tasandi parandusmeetmete või piiravate meetmete kohta, sealhulgas nõuda asjaomaste digielemente sisaldavate toodete turult kõrvaldamist või tagasivõtmist mõistliku aja jooksul, mis vastab riski laadile. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 62 lõikes 2 osutatud kontrollimenetlusega.
10. Komisjon edastab lõikes 9 osutatud rakendusaktid viivitamata asjaomas(t)ele ettevõtja(te)le. Liikmesriigid rakendavad neid rakendusakte viivitamata ja teavitavad sellest komisjoni.
11. Lõikeid 6–10 kohaldatakse komisjoni sekkumist õigustanud erakorralise olukorra ajal ja seni, kuni asjaomane digielemente sisaldav toode kujutab endast jätkuvalt lõikes 1 osutatud riske.
Vormiline nõuetele mittevastavus
1. Kui mõne liikmesriigi turujärelevalveasutus on avastanud ühe järgmistest asjaoludest, nõuab ta, et asjaomane tootja lõpetaks asjaomase nõuetele mittevastavuse:
CE-vastavusmärgise kinnitamisel ei ole järgitud artiklite 29 ja 30 nõudeid;
CE-vastavusmärgist ei ole kinnitatud;
ELi vastavusdeklaratsiooni ei ole koostatud;
ELi vastavusdeklaratsioon ei ole koostatud nõuetekohaselt;
vastavushindamises osaleva teada antud asutuse identifitseerimisnumbrit ei ole kinnitatud, kui see on asjakohane;
tehniline dokumentatsioon ei ole kättesaadav või ei ole täielik.
2. Kui lõikes 1 osutatud nõuetele mittevastavust ei kõrvaldata, võtab asjaomane liikmesriik kõik vajalikud meetmed digielemente sisaldava toote turul kättesaadavaks tegemise piiramiseks või keelamiseks või tagab toote turult tagasivõtmise või kõrvaldamise.
Turujärelevalveasutuste ühismeetmed
1. Turujärelevalveasutused võivad leppida teiste asjaomaste asutustega kokku ühismeetmetes, mille eesmärk on tagada küberturvalisus ja tarbijate kaitse seoses konkreetsete turule lastud või turul kättesaadavaks tehtud digielemente sisaldavate toodetega, eelkõige digielemente sisaldavate toodetega, millega sageli kaasnevad küberriskid.
2. Komisjon või ENISA teeb ettepaneku ühismeetmete kohta, mida turujärelevalveasutused võtavad käesoleva määruse nõuete täitmise kontrollimiseks, võttes aluseks andmed või teabe selle kohta, et käesoleva määruse kohaldamisalasse kuuluvad digielemente sisaldavad tooted tõenäoliselt ei vasta mitmes liikmesriigis käesolevas määruses sätestatud nõuetele.
3. Turujärelevalveasutused ja asjakohasel juhul komisjon tagavad, et ühismeetmete kokkulepe ei põhjusta ettevõtjate vahelist ebaausat konkurentsi ega kahjusta kokkuleppe osaliste objektiivsust, sõltumatust ja erapooletust.
4. Turujärelevalveasutus võib mis tahes uurimise käigus võetud ühismeetmete tulemusel saadud teavet kasutada.
5. Asjaomane turujärelevalveasutus ja asjakohasel juhul komisjon teevad ühismeetmete kokkuleppe, sealhulgas selle osaliste nimed, üldsusele kättesaadavaks.
Lauskontrollid
1. Turujärelevalveasutused võtavad teatavate digielemente sisaldavate toodete või nende kategooriate suhtes samaaegseid koordineeritud kontrollimeetmeid (lauskontrollid), et kontrollida nende vastavust käesolevale määrusele või avastada määruse rikkumisi. Need lauskontrollid võivad hõlmata variisikuna soetatud digielemente sisaldavate toodete kontrollimist.
2. Kui asjaomased turujärelevalveasutused ei ole kokku leppinud teisiti, koordineerib lauskontrolle komisjon. Lauskontrolli koordinaator teeb asjakohasel juhul koondtulemused üldsusele kättesaadavaks.
3. Kui ENISA määrab oma ülesannete täitmisel, sealhulgas artikli 14 lõigete 1 ja 3 kohaselt saadud teavituste põhjal kindlaks digielemente sisaldavate toodete kategooriad, mille puhul võib korraldada lauskontrolle, esitab ta lauskontrolli ettepaneku käesoleva artikli lõikes 2 osutatud koordinaatorile, et turujärelevalveasutused selle läbi vaataksid.
4. Lauskontrolle tehes võivad asjaomased turujärelevalveasutused kasutada artiklites 52–58 sätestatud uurimisõigusi ja kõiki muid neile riigisisese õigusega antud õigusi.
5. Turujärelevalveasutused võivad kutsuda lauskontrollidel osalema komisjoni ametnikke ja teisi komisjoni volitatud isikuid.
DELEGEERITUD VOLITUSED JA KOMITEEMENETLUS
Delegeeritud volituste rakendamine
1. Komisjonile antakse õigus võtta vastu delegeeritud õigusakte käesolevas artiklis sätestatud tingimustel.
2. Artikli 2 lõike 5 teises lõigus, artikli 7 lõikes 3, artikli 8 lõigetes 1 ja 2, artikli 13 lõike 8 neljandas lõigus, artikli 14 lõikes 9, artiklis 25, artikli 27 lõikes 9, artikli 28 lõikes 5 ja artikli 31 lõikes 5 osutatud õigus võtta vastu delegeeritud õigusakte antakse komisjonile viieks aastaks alates 10. detsembrist 2024. Komisjon esitab delegeeritud volituste kohta aruande hiljemalt üheksa kuud enne viieaastase tähtaja möödumist. Volituste delegeerimist pikendatakse automaatselt samaks ajavahemikuks, välja arvatud juhul, kui Euroopa Parlament või nõukogu esitab selle suhtes vastuväite hiljemalt kolm kuud enne iga ajavahemiku lõppemist.
3. Euroopa Parlament ja nõukogu võivad artikli 2 lõike 5 teises lõigus, artikli 7 lõikes 3, artikli 8 lõigetes 1 ja 2, artikli 13 lõike 8 neljandas lõigus, artikli 14 lõikes 9, artiklis 25, artikli 27 lõikes 9, artikli 28 lõikes 5 ja artikli 31 lõikes 5 osutatud volituste delegeerimise igal ajal tagasi võtta. Tagasivõtmise otsusega lõpetatakse otsuses nimetatud volituste delegeerimine. Otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas või otsuses nimetatud hilisemal kuupäeval. See ei mõjuta juba jõustunud delegeeritud õigusaktide kehtivust.
4. Enne delegeeritud õigusakti vastuvõtmist konsulteerib komisjon kooskõlas 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes sätestatud põhimõtetega iga liikmesriigi määratud ekspertidega.
5. Niipea kui komisjon on delegeeritud õigusakti vastu võtnud, teeb ta selle samal ajal teatavaks Euroopa Parlamendile ja nõukogule.
6. Artikli 2 lõike 5 teise lõigu, artikli 7 lõike 3, artikli 8 lõike 1 või 2, artikli 13 lõike 8 neljanda lõigu, artikli 14 lõike 9, artikli 25, artikli 27 lõike 9, artikli 28 lõike 5 ja artikli 31 lõike 5 alusel vastu võetud delegeeritud õigusakt jõustub üksnes juhul, kui Euroopa Parlament ega nõukogu ei ole kahe kuu jooksul pärast õigusakti teatavakstegemist Euroopa Parlamendile ja nõukogule esitanud selle suhtes vastuväidet või kui Euroopa Parlament ja nõukogu on enne selle tähtaja möödumist komisjonile teatanud, et nad ei esita vastuväidet. Euroopa Parlamendi või nõukogu algatusel pikendatakse seda tähtaega kahe kuu võrra.
Komiteemenetlus
1. Komisjoni abistab komitee. Nimetatud komitee on komitee määruse (EL) nr 182/2011 tähenduses.
2. Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5.
3. Kui komitee arvamus saadakse kirjaliku menetlusega, lõpetatakse nimetatud menetlus ilma tulemust saavutamata, kui arvamuse esitamiseks ettenähtud tähtaja jooksul komitee eesistuja nii otsustab või kui komitee liige seda taotleb.
KONFIDENTSIAALSUS JA KARISTUSED
Konfidentsiaalsus
1. Kõik käesoleva määruse kohaldamises osalejad austavad oma ülesannete täitmisel ja tegevuse käigus saadud teabe ja andmete konfidentsiaalsust, et kaitsta eeskätt järgmist:
intellektuaalomandiõigused ning füüsilise või juriidilise isiku konfidentsiaalne äriteave või ärisaladused, kaasa arvatud lähtekood, välja arvatud juhtudel, millele on viidatud Euroopa Parlamendi ja nõukogu direktiivi (EL) 2016/943 (37) artiklis 5;
käesoleva määruse tulemuslik rakendamine, eelkõige inspekteerimise, uurimise ja auditite eesmärgil;
avaliku ja riigi julgeolekuga seotud huvid;
kriminaal- või haldusmenetluste usaldusväärsus.
2. Ilma et see piiraks lõike 1 kohaldamist, ei avaldata turujärelevalveasutuste vahel ning turujärelevalveasutuste ja komisjoni vahel konfidentsiaalsena vahetatud teavet enne, kui selleks on andnud nõusoleku turujärelevalveasutus, kust teave pärineb.
3. Lõiked 1 ja 2 ei mõjuta komisjoni, liikmesriikide ja teada antud asutuste õigust ja kohustust vahetada teavet ja edastada hoiatusi ega asjaomaste isikute kohustust anda teavet liikmesriikide kriminaalõiguse alusel.
4. Komisjon ja liikmesriigid võivad vajaduse korral vahetada tundlikku teavet nende kolmandate riikide asutustega, kellega nad on sõlminud kahe- või mitmepoolsed konfidentsiaalsuse kokkulepped, mis tagavad piisava kaitsetaseme.
Karistused
Oluliste nõuete rikkumine võib kaasa tuua trahvi kuni 15 miljonit € või 2,5% kogu ülemaailmsest aastakäibest, olenevalt sellest, kumb on suurem.
1. Liikmesriigid kehtestavad käesoleva määruse rikkumise korral kohaldatavad karistusnormid ja võtavad kõik vajalikud meetmed nende rakendamise tagamiseks. Kehtestatud karistused peavad olema mõjusad, proportsionaalsed ja hoiatavad. Liikmesriigid teavitavad komisjoni viivitamata nimetatud normidest ja meetmetest ning teavitavad teda viivitamata nende hilisematest muudatustest.
2. Kui toode ei vasta I lisas sätestatud olulistele küberturvalisuse nõuetele ning artiklites 13 ja 14 nimetatud kohustustele, kohaldatakse haldustrahvi kuni 15 000 000 eurot või, kui rikkuja on ettevõtja, kuni 2,5 % tema eelmise majandusaasta ülemaailmsest kogukäibest, olenevalt sellest, kumb on suurem.
3. Artiklites 18–23, artiklis 28, artikli 30 lõigetes 1–4, artikli 31 lõigetes 1–4, artikli 32 lõigetes 1, 2 ja 3, artikli 33 lõikes 5 ning artiklites 39, 41, 47, 49 ja 53 sätestatud kohustuste täitmatajätmise korral kohaldatakse haldustrahvi kuni 10 000 000 eurot või, kui rikkuja on ettevõtja, kuni 2 % tema eelmise majandusaasta ülemaailmsest kogukäibest, olenevalt sellest, kumb on suurem.
4. Kui teada antud asutustele ja turujärelevalveasutustele on taotluse peale esitatud vale, ebatäielikku või eksitavat teavet, kohaldatakse haldustrahvi kuni 5 000 000 eurot või, kui rikkuja on ettevõtja, kuni 1 % tema eelmise majandusaasta ülemaailmsest kogukäibest, olenevalt sellest, kumb on suurem.
5. Igal konkreetsel juhul kohaldatava haldustrahvi suuruse üle otsustamisel võetakse arvesse konkreetse olukorra kõiki asjaomaseid asjaolusid ning pööratakse asjakohast tähelepanu järgmisele:
rikkumise olemus, raskusaste ja kestus ning selle tagajärjed;
kas samad või muud turujärelevalveasutused on juba kohaldanud sama ettevõtja suhtes sarnase rikkumise eest haldustrahve;
rikkumise toime pannud ettevõtja suurus, eelkõige mikroettevõtjate ning väikeste ja keskmise suurusega ettevõtjate, sealhulgas idufirmade puhul, ja turuosa.
6. Haldustrahve kohaldavad turujärelevalveasutused teavitavad sellest kohaldamisest teiste liikmesriikide turujärelevalveasutusi määruse (EL) 2019/1020 artiklis 34 osutatud info- ja teavitussüsteemi kaudu.
7. Iga liikmesriik kehtestab õigusnormid selle kohta, kas ja millisel määral võib haldustrahve määrata selles liikmesriigis asuvatele avaliku sektori asutustele ja organitele.
8. Olenevalt liikmesriikide õigussüsteemidest võib haldustrahve käsitlevaid õigusnorme kohaldada selliselt, et trahve määravad riigi pädevad kohtud või muud asutused vastavalt neis liikmesriikides riiklikul tasandil kehtestatud pädevustele. Selliste õigusnormide kohaldamisel neis liikmesriikides on samaväärne mõju.
9. Haldustrahve võib sõltuvalt iga üksikjuhtumi asjaoludest määrata lisaks muudele parandusmeetmetele või piiravatele meetmetele, mida turujärelevalveasutused sama rikkumise eest kohaldavad.
10. Erandina lõigetest 3–9 ei kohaldata nendes lõigetes osutatud haldustrahve:
mikro- või väikeettevõtjaks liigituvate tootjate suhtes seoses artikli 14 lõike 2 punktis a või artikli 14 lõike 4 punktis a osutatud tähtajast kinni pidamata jätmisega;
käesoleva määruse rikkumise korral avatud lähtekoodiga tarkvara korraldajate poolt.
Esindushagid
Esindushagide suhtes, mis on esitatud seoses ettevõtjapoolse käesoleva määruse sätete rikkumisega, mis kahjustab või võib kahjustada tarbijate kollektiivseid huve, kohaldatakse direktiivi (EL) 2020/1828.
ÜLEMINEKU- JA LÕPPSÄTTED
Määruse (EL) 2019/1020 muutmine
Määruse (EL) 2019/1020 I lisasse lisatakse järgmine punkt:
„72.
Euroopa Parlamendi ja nõukogu määrus (EL) 2024/2847 (*1).
Direktiivi (EL) 2020/1828 muutmine
Direktiivi (EL) 2020/1828 I lisasse lisatakse järgmine punkt:
„69)
Euroopa Parlamendi ja nõukogu määrus (EL) 2024/2847 (*2).
Määruse (EL) nr 168/2013 muutmine
Euroopa Parlamendi ja nõukogu määruse (EL) nr 168/2013 (38) II lisa C1 osa tabelisse lisatakse järgmine kanne:
„
“
Üleminekusätted
1. ELi tüübihindamissertifikaadid ja tüübikinnitusotsused, mis on välja antud seoses küberturvalisuse nõuetega digielemente sisaldavatele toodetele, mille suhtes kohaldatakse muid liidu ühtlustamisõigusakte kui käesolevat määrust, kehtivad kuni 11. juunini 2028, välja arvatud juhul, kui need aeguvad enne seda kuupäeva või kui sellistes muudes liidu ühtlustamisõigusaktides on sätestatud teisiti; sel juhul jäävad need kehtima kõnealuste õigusaktide kohaselt.
2. Digielemente sisaldavate toodete suhtes, mis on turule lastud enne 11. detsembrit 2027, kohaldatakse käesolevas määruses sätestatud nõudeid üksnes juhul, kui alates nimetatud kuupäevast on neid tooteid oluliselt muudetud.
3. Erandina käesoleva artikli lõikest 2 kohaldatakse artiklis 14 sätestatud kohustusi kõigi käesoleva määruse kohaldamisalasse kuuluvate digielemente sisaldavate toodete suhtes, mis on turule lastud enne 11. detsembrit 2027.
Hindamine ja läbivaatamine
1. Hiljemalt 11. detsembriks 2030 ja seejärel iga nelja aasta tagant esitab komisjon Euroopa Parlamendile ja nõukogule aruande käesoleva määruse hindamise ja läbivaatamise kohta. Kõnealused aruanded avalikustatakse.
2. Hiljemalt 11. septembriks 2028 esitab komisjon pärast ENISA ja CSIRTide võrgustikuga konsulteerimist Euroopa Parlamendile ja nõukogule aruande, milles hinnatakse artiklis 16 sätestatud ühtse teatamisplatvormi tulemuslikkust ning koordinaatoriteks määratud CSIRTide poolt artikli 16 lõikes 2 osutatud küberturvalisusega seotud aluste kohaldamise mõju ühtse teatamisplatvormi tulemuslikkusele seoses saadud teavituste piisavalt kiire edastamisega teistele asjaomastele CSIRTidele.
Jõustumine ja kohaldamine
Jõustunud 10. detsembril 2024 · teavitamiskohustused alates 11. septembrist 2026 · täielik kohaldamine alates 11. detsembrist 2027.
1. Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.
2. Käesolevat määrust kohaldatakse alates 11. detsembrist 2027.
Artiklit 14 kohaldatakse siiski alates 11. septembrist 2026 ja IV peatükki (artiklid 35–51) kohaldatakse alates 11. juunist 2026.
Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.
Strasbourg, 23. oktoober 2024