Kyberkestävyyssäädös

Kohde

Tässä asetuksessa vahvistetaan

Soveltamisala

1. Tätä asetusta sovelletaan kaikkiin markkinoilla saataville asetettuihin digitaalisia elementtejä sisältäviin tuotteisiin, joiden käyttötarkoitus tai kohtuudella ennakoitavissa oleva käyttö sisältää suoran tai välillisen loogisen tai fyysisen datayhteyden johonkin laitteeseen tai verkkoon.

2. Tätä asetusta ei sovelleta digitaalisia elementtejä sisältäviin tuotteisiin, joihin sovelletaan seuraavia unionin säädöksiä:

3. Tätä asetusta ei sovelleta digitaalisia elementtejä sisältäviin tuotteisiin, jotka on sertifioitu asetuksen (EU) 2018/1139 mukaisesti.

4. Tätä asetusta ei sovelleta Euroopan parlamentin ja neuvoston direktiivin 2014/90/EU (36) soveltamisalaan kuuluviin varusteisiin.

5. Tämän asetuksen soveltamista sellaisiin digitaalisia elementtejä sisältäviin tuotteisiin, joihin sovellettavien muiden unionin sääntöjen vaatimuksilla puututaan kaikkiin tai osaan liitteessä I vahvistettujen olennaisten kyberturvallisuusvaatimusten kattamista riskeistä, voidaan rajoittaa tai se voidaan sulkea pois, jos

Siirretään komissiolle valta antaa 61 artiklan mukaisesti delegoituja säädöksiä, joilla täydennetään tätä asetusta täsmentämällä, onko tällainen rajoitus tai poissulkeminen tarpeen, sekä asianomaiset tuotteet ja säännöt ja tarvittaessa rajoituksen soveltamisala.

6. Tätä asetusta ei sovelleta varaosiin, jotka asetetaan saataville markkinoilla samanlaisten komponenttien korvaamiseksi digitaalisia elementtejä sisältävissä tuotteissa ja jotka valmistetaan samojen eritelmien mukaisesti kuin komponentit, jotka niillä on tarkoitus korvata.

7. Tätä asetusta ei sovelleta digitaalisia elementtejä sisältäviin tuotteisiin, jotka on kehitetty tai joita on muutettu yksinomaan kansalliseen turvallisuuteen tai puolustukseen liittyviin tarkoituksiin, eikä tuotteisiin, jotka on erityisesti suunniteltu turvallisuusluokiteltujen tietojen käsittelyä varten.

8. Tässä direktiivissä säädettyihin velvoitteisiin ei kuulu sellaisten tietojen toimittaminen, joiden ilmaiseminen olisi vastoin jäsenvaltion keskeisiä kansalliseen turvallisuuteen, yleiseen turvallisuuteen tai puolustukseen liittyviä etuja.

Määritelmät

Tässä asetuksessa tarkoitetaan:

Vapaa liikkuvuus

1. Jäsenvaltiot eivät saa tämän asetuksen soveltamisalaan kuuluvien seikkojen osalta estää tämän asetuksen mukaisten digitaalisia elementtejä sisältävien tuotteiden asettamista saataville markkinoilla.

2. Jäsenvaltiot eivät saa estää esittelemästä tai käyttämästä messuilla, näyttelyissä, esittelytilaisuuksissa tai vastaavissa tapahtumissa digitaalisia elementtejä sisältäviä tuotteita, jotka eivät ole tämän asetuksen mukaisia, mukaan lukien tuotteiden prototyypit, edellyttäen, että tuotteet esitellään sellaisella näkyvällä merkinnällä varustettuna, josta käy selvästi ilmi, että tuote ei ole tämän asetuksen mukainen ja että sitä ei saa asettaa saataville markkinoilla ennen kuin se on sitä.

3. Jäsenvaltiot eivät saa estää sellaisten keskeneräisten ohjelmistojen asettamista saataville markkinoilla, jotka eivät ole tämän asetuksen mukaisia, edellyttäen, että ohjelmisto asetetaan saataville vain rajoitetuksi ajaksi, joka on tarpeen testausta varten, ja että sillä on näkyvä merkintä, josta käy selvästi ilmi, että ohjelmisto ei ole tämän asetuksen mukainen ja että se ei ole saatavilla markkinoilla muita tarkoituksia kuin testausta varten.

4. Edellä olevaa 3 kohtaa ei sovelleta muussa unionin yhdenmukaistamislainsäädännössä kuin tässä asetuksessa tarkoitettuihin turvakomponentteihin.

Digitaalisia elementtejä sisältävien tuotteiden hankinnat tai käyttö

1. Tämä asetus ei estä jäsenvaltioita asettamasta tiettyihin tarkoituksiin hankittaville tai käytettäville digitaalisia elementtejä sisältäville tuotteille muita kyberturvallisuusvaatimuksia, myös silloin, kun kyseisiä tuotteita hankitaan tai käytetään kansalliseen turvallisuuteen tai puolustukseen liittyviin tarkoituksiin, edellyttäen, että tällaiset vaatimukset ovat yhdenmukaisia unionin oikeudessa vahvistettujen jäsenvaltioiden velvoitteiden kanssa ja että ne ovat tarpeen ja oikeasuhteisia kyseisten tarkoitusten saavuttamiseksi.

2. Kun hankitaan tämän asetuksen soveltamisalaan kuuluvia digitaalisia elementtejä sisältäviä tuotteita, jäsenvaltioiden on varmistettava, että hankintaprosessissa otetaan huomioon tämän asetuksen liitteessä I vahvistettujen olennaisten kyberturvallisuusvaatimusten noudattaminen, mukaan lukien valmistajien kyky käsitellä tehokkaasti haavoittuvuuksia, sanotun kuitenkaan rajoittamatta direktiivien 2014/24/EU ja 2014/25/EU soveltamista.

Digitaalisia elementtejä sisältäviä tuotteita koskevat vaatimukset

Digitaalisia elementtejä sisältäviä tuotteita saa asettaa saataville markkinoilla ainoastaan, jos:

Digitaalisia elementtejä sisältävät tärkeät tuotteet

1. Digitaalisia elementtejä sisältävät tuotteet, joilla on liitteessä III vahvistetun tuoteryhmän ydintoiminto, katsotaan digitaalisia elementtejä sisältäviksi tärkeiksi tuotteiksi, ja niihin on sovellettava 32 artiklan 2 ja 3 kohdassa tarkoitettuja vaatimustenmukaisuuden arviointimenettelyjä. Sellaisen digitaalisia elementtejä sisältävän tuotteen, jolla on liitteessä III vahvistetun tuoteryhmän ydintoiminto, integrointi toiseen tuotteeseen ei itsessään saa johtaa siihen, että tuotteeseen, johon se on integroitu, sovelletaan 32 artiklan 2 ja 3 kohdassa tarkoitettuja vaatimustenmukaisuuden arviointimenettelyjä.

2. Tämän artiklan 1 kohdassa tarkoitetut digitaalisia elementtejä sisältävien tuotteiden ryhmät, jotka on jaettu liitteessä III vahvistettuihin luokkiin I ja II, täyttävät vähintään yhden seuraavista kriteereistä:

3. Siirretään komissiolle valta antaa 61 artiklan mukaisesti delegoituja säädöksiä, joilla muutetaan liitettä III sisällyttämällä luetteloon kuhunkin digitaalisia elementtejä sisältävien tuoteryhmien luokkaan uusi tuoteryhmä ja esittämällä sen määritelmä, siirtämällä tuoteryhmä yhdestä luokasta toiseen tai poistamalla luettelosta olemassa oleva tuoteryhmä. Arvioidessaan tarvetta muuttaa liitteessä III vahvistettua luetteloa komissio ottaa huomioon tämän artiklan 2 kohdassa tarkoitetuissa kriteereissä vahvistetut digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuuteen liittyvät toiminnot tai tehtävän ja niiden aiheuttaman kyberturvallisuusriskin tason.

Tämän kohdan ensimmäisessä alakohdassa tarkoitetuissa delegoiduissa säädöksissä säädetään tarvittaessa vähintään 12 kuukauden siirtymäkaudesta erityisesti, jos liitteessä III vahvistettuun luokkaan I tai II lisätään uusi digitaalisia elementtejä sisältävien tärkeiden tuotteiden ryhmä tai jos tuoteryhmä siirretään luokasta I luokkaan II ennen kuin 32 artiklan 2 ja 3 kohdassa tarkoitettuja asiaankuuluvia vaatimustenmukaisuuden arviointimenettelyjä aletaan soveltaa, paitsi jos lyhyempi siirtymäkausi on perusteltu pakottavasta kiireellisestä syystä.

4. Komissio hyväksyy viimeistään 11 päivänä joulukuuta 2025 täytäntöönpanosäädöksen, jossa täsmennetään liitteessä III vahvistettuihin luokkiin I ja II kuuluvien digitaalisia elementtejä sisältävien tuotteiden ryhmien tekninen kuvaus ja liitteessä IV vahvistettuihin digitaalisia elementtejä sisältävien tuotteiden ryhmien tekninen kuvaus. Kyseinen täytäntöönpanosäädös hyväksytään 62 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Digitaalisia elementtejä sisältävät kriittiset tuotteet

1. Siirretään komissiolle valta antaa 61 artiklan mukaisesti delegoituja säädöksiä, joilla täydennetään tätä asetusta määrittämällä ne digitaalisia elementtejä sisältävät tuotteet, joilla on tämän asetuksen liitteessä IV vahvistetun tuoteryhmän ydintoiminto ja joille on hankittava asetuksen (EU) 2019/881 nojalla hyväksytyn eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukainen, vähintään varmuustason ”korotettu” eurooppalainen kyberturvallisuussertifikaatti sen osoittamiseksi, että ne ovat tämän asetuksen liitteessä I vahvistettujen olennaisten kyberturvallisuusvaatimusten tai niiden osien mukaisia, edellyttäen, että asetuksen (EU) 2019/881 nojalla on hyväksytty eurooppalainen kyberturvallisuuden sertifiointijärjestelmä, joka kattaa kyseiset digitaalisia elementtejä sisältävien tuotteiden ryhmät ja on valmistajien käytettävissä. Näissä delegoiduissa säädöksissä on täsmennettävä vaadittu varmuustaso, jonka on oltava oikeassa suhteessa digitaalisia elementtejä sisältäviin tuotteisiin liittyvän kyberturvallisuusriskin tasoon ja jossa on otettava huomioon niiden käyttötarkoitus, mukaan lukien direktiivin (EU) 2022/2555 3 artiklan 1 kohdassa tarkoitettujen keskeisten toimijoiden kriittinen riippuvuus niistä.

Ennen tällaisten delegoitujen säädösten antamista komissio arvioi suunniteltujen toimenpiteiden mahdollisia markkinavaikutuksia ja kuulee asiaankuuluvia sidosryhmiä, myös asetuksella (EU) 2019/881 perustettua Euroopan kyberturvallisuuden sertifiointiryhmää. Arvioinnissa on otettava huomioon jäsenvaltioiden valmius ja kapasiteetti panna täytäntöön asiaankuuluva eurooppalainen kyberturvallisuuden sertifiointijärjestelmä. Jos tämän kohdan ensimmäisessä alakohdassa tarkoitettuja delegoituja säädöksiä ei ole annettu, digitaalisia elementtejä sisältäviin tuotteisiin, joilla on liitteessä IV vahvistetun tuoteryhmän ydintoiminto, sovelletaan 32 artiklan 3 kohdassa tarkoitettuja vaatimustenmukaisuuden arviointimenettelyjä.

Ensimmäisessä alakohdassa tarkoitetuissa delegoiduissa säädöksissä säädetään vähintään kuuden kuukauden siirtymäkaudesta, paitsi jos lyhyempi siirtymäkausi on perusteltu pakottavasta kiireellisestä syystä.

2. Siirretään komissiolle valta antaa 61 artiklan mukaisesti delegoituja säädöksiä, joilla muutetaan liitettä IV lisäämällä tai poistamalla digitaalisia elementtejä sisältävien kriittisten tuotteiden ryhmiä. Määrittäessään tällaisia digitaalisia elementtejä sisältävien kriittisten tuotteiden ryhmiä ja vaadittua varmuustasoa tämän artiklan 1 kohdan mukaisesti komissio ottaa huomioon 7 artiklan 2 kohdassa tarkoitetut kriteerit ja varmistaa, että digitaalisia elementtejä sisältävien tuotteiden ryhmät täyttävät vähintään yhden seuraavista kriteereistä:

Ennen tällaisten delegoitujen säädösten antamista komissio tekee 1 kohdassa tarkoitetun tyyppisen arvioinnin.

Ensimmäisessä alakohdassa tarkoitetuissa delegoiduissa säädöksissä säädetään vähintään kuuden kuukauden siirtymäkaudesta, paitsi jos lyhyempi siirtymäkausi on perusteltu pakottavasta kiireellisestä syystä.

Sidosryhmien kuuleminen

1. Valmistellessaan toimenpiteitä tämän asetuksen täytäntöönpanemiseksi komissio kuulee asiaankuuluvia sidosryhmiä, kuten asiaankuuluvia jäsenvaltioiden viranomaisia, yksityisen sektorin yrityksiä, mukaan lukien mikroyritykset ja pienet ja keskisuuret yritykset, avoimen lähdekoodin ohjelmistoyhteisöä, kuluttajajärjestöjä, tiedeyhteisöä sekä asiaankuuluvia unionin laitoksia ja elimiä ja unionin tasolla perustettuja asiantuntijaryhmiä, ja ottaa niiden näkemykset huomioon. Komissio kuulee tarvittaessa jäsennellysti kyseisiä sidosryhmiä ja pyytää niiltä näkemyksiä erityisesti silloin, kun se

2. Komissio järjestää vähintään kerran vuodessa säännöllisiä kuulemis- ja tiedotustilaisuuksia 1 kohdassa tarkoitettujen sidosryhmien näkemysten keräämiseksi tämän asetuksen täytäntöönpanosta.

Osaamisen vahvistaminen kyberkestävässä digitaalisessa ympäristössä

Tätä asetusta sovellettaessa ja jotta voidaan vastata ammattihenkilöiden tarpeisiin ja antaa tukea tämän asetuksen täytäntöönpanossa, jäsenvaltioiden on tarvittaessa komission, Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja ENISAn tuella edistettävä toimenpiteitä ja strategioita, joilla pyritään

Yleinen tuoteturvallisuus

Poiketen siitä, mitä asetuksen (EU) 2023/988 2 artiklan 1 kohdan kolmannen alakohdan b alakohdassa säädetään, kyseisen asetuksen III luvun 1 jaksoa, V ja VII lukua sekä IX–XI lukua sovelletaan digitaalisia elementtejä sisältäviin tuotteisiin tämän asetuksen soveltamisalaan kuulumattomien näkökohtien ja riskien tai riskiluokkien osalta, jos kyseisiin tuotteisiin ei sovelleta muussa asetuksen (EU) 2023/988 3 artiklan 27 alakohdassa määritellyssä ”unionin yhdenmukaistamislainsäädännössä” säädettyjä erityisiä turvallisuusvaatimuksia.

Suuririskiset tekoälyjärjestelmät

1. Rajoittamatta asetuksen (EU) 2024/1689 15 artiklassa säädettyjen tarkkuuteen ja luotettavuuteen liittyvien vaatimusten soveltamista digitaalisia elementtejä sisältävien tuotteiden, jotka kuuluvat tämän asetuksen soveltamisalaan ja jotka luokitellaan suuririskisiksi tekoälyjärjestelmiksi kyseisen asetuksen 6 artiklan nojalla, katsotaan täyttävän kyseisen asetuksen 15 artiklassa säädetyt kyberturvallisuusvaatimukset, jos

2. Tämän artiklan 1 kohdassa tarkoitettuihin digitaalisia elementtejä sisältäviin tuotteisiin ja kyberturvallisuusvaatimuksiin sovelletaan asetuksen (EU) 2024/1689 43 artiklassa säädettyä asiaankuuluvaa vaatimustenmukaisuuden arviointimenettelyä. Kyseistä arviointia varten niiden ilmoitettujen laitosten, jotka ovat toimivaltaisia valvomaan suuririskisten tekoälyjärjestelmien vaatimustenmukaisuutta asetuksen (EU) 2024/1689 nojalla, on oltava myös toimivaltaisia valvomaan, että tämän asetuksen soveltamisalaan kuuluvat suuririskiset tekoälyjärjestelmät täyttävät tämän asetuksen liitteessä I vahvistetut vaatimukset edellyttäen, että se, täyttävätkö kyseiset ilmoitetut laitokset tämän asetuksen 39 artiklassa säädetyt vaatimukset, on arvioitu asetuksen (EU) 2024/1689 mukaisen ilmoitusmenettelyn yhteydessä.

3. Poiketen siitä, mitä tämän artiklan 2 kohdassa säädetään, tämän asetuksen liitteessä III lueteltuihin digitaalisia elementtejä sisältäviin tärkeisiin tuotteisiin, joihin sovelletaan tämän asetuksen 32 artiklan 2 kohdan a ja b alakohdassa ja 32 artiklan 3 kohdassa tarkoitettuja vaatimustenmukaisuuden arviointimenettelyjä, ja tämän asetuksen liitteessä IV lueteltuihin digitaalisia elementtejä sisältäviin kriittisiin tuotteisiin, joille on hankittava eurooppalainen kyberturvallisuussertifikaatti tämän asetuksen 8 artiklan 1 kohdan nojalla tai joihin sertifikaatin puuttuessa sovelletaan tämän asetuksen 32 artiklan 3 kohdassa tarkoitettuja vaatimuksenmukaisuuden arviointimenettelyjä ja jotka luokitellaan asetuksen (EU) 2024/1689 6 artiklan nojalla suuririskisiksi tekoälyjärjestelmiksi ja joihin sovelletaan asetuksen (EU) 2024/1689 liitteessä VI tarkoitettua sisäiseen valvontaan perustuvaa vaatimustenmukaisuuden arviointimenettelyä, sovelletaan tässä asetuksessa säädettyjä vaatimustenmukaisuuden arviointimenettelyjä siltä osin kuin on kyse tässä asetuksessa vahvistettujen olennaisten kyberturvallisuusvaatimusten täyttymisestä.

4. Tämän artiklan 1 kohdassa tarkoitettujen digitaalisia elementtejä sisältävien tuotteiden valmistajat voivat osallistua asetuksen (EU) 2024/1689 57 artiklassa tarkoitettuihin tekoälyn sääntelyn testiympäristöihin.

Valmistajien velvollisuudet

1. Saattaessaan digitaalisia elementtejä sisältävää tuotetta markkinoille valmistajien on varmistettava, että se on suunniteltu, kehitetty ja tuotettu liitteessä I olevassa I osassa vahvistettujen olennaisten kyberturvallisuusvaatimusten mukaisesti.

2. Edellä olevan 1 kohdan noudattamiseksi valmistajien on arvioitava digitaalisia elementtejä sisältävään tuotteeseen liittyvät kyberturvallisuusriskit ja otettava arvioinnin tulokset huomioon digitaalisia elementtejä sisältävän tuotteen suunnittelu-, kehitys-, tuotanto-, toimitus- ja ylläpitovaiheissa kyberturvallisuusriskien minimoimiseksi, poikkeamien ehkäisemiseksi ja niiden vaikutusten minimoimiseksi, myös käyttäjien terveyden ja turvallisuuden osalta.

3. Kyberturvallisuusriskien arviointi on dokumentoitava ja sitä on päivitettävä tarvittaessa tämän artiklan 8 kohdan mukaisesti määritettävän tukiajan ajan. Kyseiseen kyberturvallisuusriskien arviointiin on sisällyttävä vähintään kyberturvallisuusriskien analyysi, joka perustuu digitaalisia elementtejä sisältävän tuotteen käyttötarkoitukseen ja kohtuudella ennakoitavissa olevaan käyttöön sekä käyttöolosuhteisiin, kuten toimintaympäristöön tai suojattavaan omaisuuteen, ottaen huomioon aika, jonka tuotteen odotetaan olevan käytössä. Kyberturvallisuusriskien arvioinnissa on ilmoitettava, sovelletaanko asiaankuuluvaan digitaalisia elementtejä sisältävään tuotteeseen liitteessä I olevan I osan 2 kohdassa vahvistettuja turvallisuusvaatimuksia, ja jos sovelletaan, millä tavalla, ja miten kyseiset vaatimukset pannaan täytäntöön kyberturvallisuusriskien arvioinnin perusteella. Siinä on myös ilmoitettava, miten valmistajan on sovellettava liitteessä I olevan I osan 1 kohtaa ja liitteessä I olevassa II osassa vahvistettuja haavoittuvuuksien käsittelyä koskevia vaatimuksia.

4. Saattaessaan markkinoille digitaalisia elementtejä sisältävää tuotetta valmistajan on sisällytettävä 31 artiklan ja liitteen VII nojalla vaadittuihin teknisiin asiakirjoihin tämän artiklan 3 kohdassa tarkoitettu kyberturvallisuusriskien arviointi. Kun kyseessä ovat 12 artiklassa tarkoitetut digitaalisia elementtejä sisältävät tuotteet, joihin sovelletaan myös muita unionin säädöksiä, kyberturvallisuusriskien arviointi voi olla osa kyseisissä unionin säädöksissä edellytettyä riskinarviointia. Jos tietyt olennaiset kyberturvallisuusvaatimukset eivät sovellu tiettyyn digitaalisia elementtejä sisältävään tuotteeseen, valmistajan on perusteltava tämä selkeästi kyseisissä teknisissä asiakirjoissa.

5. Edellä olevan 1 kohdan noudattamiseksi valmistajien on noudatettava asianmukaista huolellisuutta, kun ne integroivat tuotteeseensa kolmansilta osapuolilta hankittuja komponentteja, jotta kyseiset komponentit eivät vaaranna digitaalisia elementtejä sisältävän tuotteen kyberturvallisuutta, myös silloin, kun tuotteeseen integroidaan vapaiden ja avoimen lähdekoodin ohjelmistojen komponentteja, joita ei ole asetettu saataville markkinoilla kaupallisen toiminnan yhteydessä.

6. Valmistajien on digitaalisia elementtejä sisältävään tuotteeseen integroidun komponentin, myös avoimen lähdekoodin komponentin, haavoittuvuuden todettuaan ilmoitettava haavoittuvuudesta komponenttia valmistavalle tai ylläpitävälle henkilölle tai yhteisölle ja puututtava haavoittuvuuteen ja korjattava se liitteessä I olevassa II osassa vahvistettujen haavoittuvuuksien käsittelyä koskevien vaatimusten mukaisesti. Jos valmistajat ovat kehittäneet ohjelmiston tai laitteiston muutoksen, jolla puututaan kyseisen komponentin haavoittuvuuteen, niiden on jaettava asiaankuuluvat koodit tai asiakirjat komponenttia valmistavan tai ylläpitävän henkilön tai yhteisön kanssa tarvittaessa koneellisesti luettavassa muodossa.

7. Valmistajien on oikeassa suhteessa kyberturvallisuusriskien luonteeseen nähden järjestelmällisesti dokumentoitava digitaalisia elementtejä sisältävien tuotteiden asiaankuuluvat kyberturvallisuuteen liittyvät seikat, mukaan lukien niiden tietoon tulleet haavoittuvuudet ja kaikki kolmansien osapuolten toimittamat merkitykselliset tiedot, ja tarvittaessa päivitettävä tuotteiden kyberturvallisuusriskien arviointi.

8. Saattaessaan markkinoille digitaalisia elementtejä sisältävää tuotetta ja tuotteen tukiajan ajan valmistajien on varmistettava, että kyseisen tuotteen ja sen komponenttien haavoittuvuudet käsitellään tehokkaasti ja liitteessä I olevassa II osassa vahvistettujen olennaisten kyberturvallisuusvaatimusten mukaisesti.

Valmistajien on määritettävä tukiaika siten, että se vastaa tuotteen odotettavissa olevaa käyttöikää, ottaen erityisesti huomioon käyttäjien kohtuulliset odotukset, tuotteen luonne, mukaan lukien sen käyttötarkoitus, sekä asiaa koskeva unionin oikeus, jossa määritetään aika, jonka digitaalisia elementtejä sisältävien tuotteiden odotetaan olevan käytössä. Tukiaikaa määrittäessään valmistajat voivat myös ottaa huomioon muiden valmistajien markkinoille saattamien samankaltaisen toiminnon tarjoavien digitaalisia elementtejä sisältävien tuotteiden tukiajat, toimintaympäristön saatavuuden, ydintoimintoja tarjoavien ja kolmansilta osapuolilta peräisin olevien integroitujen komponenttien tukiajat sekä 52 artiklan 15 kohdan nojalla perustetun erityisen hallinnollisen yhteistyön ryhmän ja komission antamat asiaa koskevat ohjeet. Tukiaikaa määrittäessä huomioon otettavia seikkoja on tarkasteltava tavalla, jolla varmistetaan oikeasuhtaisuus.

Tukiajan on oltava vähintään viisi vuotta, sanotun kuitenkaan rajoittamatta toisen alakohdan soveltamista. Jos digitaalisia elementtejä sisältävää tuotetta odotetaan käytettävän alle viisi vuotta, tukiajan on vastattava odotettua käyttöaikaa.

Ottaen huomioon 52 artiklan 16 kohdassa tarkoitetut hallinnollisen yhteistyön ryhmän suositukset komissio voi antaa 61 artiklan mukaisesti delegoituja säädöksiä, joilla täydennetään tätä asetusta määrittämällä tukiajan vähimmäiskesto tietyille tuoteryhmille, jos markkinavalvontatiedot viittaavat siihen, että tukiaika on riittämätön.

Valmistajien on sisällytettävä digitaalisia elementtejä sisältävän tuotteen tukiajan määrittämisessä huomioon otetut tiedot liitteessä VII esitettyihin teknisiin asiakirjoihin.

Valmistajilla on oltava asianmukaiset toimintatavat ja menettelyt, mukaan lukien liitteessä I olevan II osan 5 kohdassa tarkoitetut koordinoitua haavoittuvuuksien julkistamista koskevat periaatteet, joilla käsitellään ja korjataan sisäisten tai ulkoisten lähteiden raportoimat digitaalisia elementtejä sisältävän tuotteen mahdolliset haavoittuvuudet.

9. Valmistajien on varmistettava, että jokainen liitteessä I olevan II osan 8 kohdassa tarkoitettu tietoturvapäivitys, joka on asetettu käyttäjien saataville tukiajan aikana, pysyy saatavilla sen julkaisun jälkeen vähintään kymmenen vuoden ajan tai jäljellä olevan tukiajan ajan sen mukaan, kumpi näistä ajanjaksoista on pidempi.

10. Jos valmistaja on saattanut markkinoille ohjelmistotuotteen myöhempiä, olennaisesti muutettuja versioita, kyseinen valmistaja voi varmistaa liitteessä I olevan II osan 2 kohdassa vahvistetun olennaisen kyberturvallisuusvaatimuksen noudattamisen vain viimeksi markkinoille saattamansa version osalta edellyttäen, että aiemmin markkinoille saatettujen versioiden käyttäjät voivat käyttää viimeksi markkinoille saatettua versiota maksutta eikä käyttäjille aiheudu lisäkustannuksia sen laitteisto- ja ohjelmistoympäristön mukauttamisesta, jossa käyttäjät käyttävät kyseisen tuotteen alkuperäistä versiota.

11. Valmistajat voivat ylläpitää julkisia ohjelmistoarkistoja, joilla parannetaan käyttäjien mahdollisuuksia käyttää aiempia versioita. Näissä tapauksissa käyttäjille on tiedotettava selkeästi ja helposti saatavilla olevalla tavalla riskeistä, jotka liittyvät sellaisten ohjelmistojen käyttöön, joita ei tueta.

12. Ennen digitaalisia elementtejä sisältävän tuotteen saattamista markkinoille valmistajien on laadittava 31 artiklassa tarkoitetut tekniset asiakirjat.

Niiden on suoritettava tai teetettävä valitsemansa 32 artiklassa tarkoitetut vaatimustenmukaisuuden arviointimenettelyt.

Jos kyseisellä vaatimustenmukaisuuden arviointimenettelyllä on osoitettu, että digitaalisia elementtejä sisältävä tuote täyttää liitteessä I olevassa I osassa vahvistetut olennaiset kyberturvallisuusvaatimukset ja että valmistajan käyttöön ottamat prosessit täyttävät liitteessä I olevassa II osassa vahvistetut olennaiset kyberturvallisuusvaatimukset, valmistajan on laadittava EU-vaatimustenmukaisuusvakuutus 28 artiklan mukaisesti ja kiinnitettävä tai liitettävä tuotteeseen CE-merkintä 30 artiklan mukaisesti.

13. Valmistajien on pidettävä tekniset asiakirjat ja EU-vaatimustenmukaisuusvakuutus markkinavalvontaviranomaisten saatavilla vähintään kymmenen vuoden ajan sen jälkeen, kun digitaalisia elementtejä sisältävä tuote on saatettu markkinoille, tai tukiajan ajan sen mukaan, kumpi näistä ajanjaksoista on pidempi.

14. Valmistajien on huolehdittava siitä, että käytössä on menettelyt, joiden ansiosta sarjatuotantoon kuuluvat digitaalisia elementtejä sisältävät tuotteet ovat edelleen tämän asetuksen mukaisia. Valmistajien on otettava asianmukaisesti huomioon muutokset kehitys- ja tuotantoprosessissa tai digitaalisia elementtejä sisältävän tuotteen rakenteessa tai ominaisuuksissa sekä muutokset yhdenmukaistetuissa standardeissa, eurooppalaisissa kyberturvallisuuden sertifiointijärjestelmissä tai 27 artiklassa tarkoitetuissa yhteisissä eritelmissä, joihin nähden digitaalisia elementtejä sisältävän tuotteen vaatimustenmukaisuus ilmoitetaan tai joiden perusteella tuotteen vaatimustenmukaisuus todennetaan.

15. Valmistajien on varmistettava, että niiden digitaalisia elementtejä sisältävissä tuotteissa on tyyppi-, erä- tai sarjanumero tai muu elementti, josta ne voidaan tunnistaa, tai kun se ei ole mahdollista, niiden on varmistettava, että kyseinen tieto on annettu digitaalisia elementtejä sisältävän tuotteen pakkauksessa tai tuotteen mukana seuraavassa asiakirjassa.

16. Valmistajien on ilmoitettava nimensä, rekisteröity tuotenimensä tai rekisteröity tavaramerkkinsä, postiosoitteensa, sähköpostiosoitteensa tai muut digitaaliset yhteystietonsa sekä tapauksen mukaan verkkosivusto, jonka kautta valmistajaan voi ottaa yhteyttä, joko digitaalisia elementtejä sisältävässä tuotteessa, sen pakkauksessa tai digitaalisia elementtejä sisältävän tuotteen mukana seuraavassa asiakirjassa. Nämä tiedot on sisällytettävä myös liitteessä II esitettyihin käyttäjälle annettaviin tietoihin ja ohjeisiin. Yhteystiedot on annettava käyttäjien ja markkinavalvontaviranomaisten helposti ymmärtämällä kielellä.

17. Tämän asetuksen soveltamiseksi valmistajien on nimettävä keskitetty yhteyspiste, jonka avulla käyttäjät voivat viestiä suoraan ja nopeasti niiden kanssa, muun muassa digitaalisia elementtejä sisältävän tuotteen haavoittuvuuksista ilmoittamisen helpottamiseksi.

Valmistajien on varmistettava, että käyttäjät voivat helposti tunnistaa keskitetyn yhteyspisteen. Niiden on myös sisällytettävä keskitetty yhteyspiste liitteessä II esitettyihin käyttäjälle annettaviin tietoihin ja ohjeisiin.

Keskitetyn yhteyspisteen on annettava käyttäjille mahdollisuus valita haluamansa viestintätapa, eikä sitä saa rajata pelkästään automatisoituihin välineisiin.

18. Valmistajien on varmistettava, että digitaalisia elementtejä sisältävien tuotteiden mukana on paperilla tai sähköisessä muodossa liitteessä II vahvistetut käyttäjälle annettavat tiedot ja ohjeet. Tällaiset tiedot ja ohjeet on annettava kielellä, jota käyttäjät ja markkinavalvontaviranomaiset helposti ymmärtävät. Niiden on oltava selkeitä, ymmärrettäviä, helppotajuisia ja helposti luettavissa. Niiden on mahdollistettava digitaalisia elementtejä sisältävien tuotteiden turvallinen asentaminen, toiminta ja käyttö. Valmistajien on pidettävä liitteessä II esitetyt käyttäjille annettavat tiedot ja ohjeet käyttäjien ja markkinavalvontaviranomaisten saatavilla vähintään kymmenen vuoden ajan sen jälkeen, kun digitaalisia elementtejä sisältävä tuote on saatettu markkinoille, tai tukiajan ajan sen mukaan, kumpi näistä ajanjaksoista on pidempi. Jos tällaiset tiedot ja ohjeet annetaan verkossa, valmistajien on varmistettava, että ne ovat saavutettavia, käyttäjäystävällisiä ja saatavilla verkossa vähintään kymmenen vuoden ajan sen jälkeen, kun digitaalisia elementtejä sisältävä tuote on saatettu markkinoille, tai tukiajan ajan sen mukaan, kumpi näistä ajanjaksoista on pidempi.

19. Valmistajien on varmistettava, että 8 kohdassa tarkoitetun tukiajan päättymispäivä, mukaan lukien ainakin kuukausi ja vuosi, ilmoitetaan selkeästi ja ymmärrettävästi hankinta-ajankohtana helposti saatavilla olevalla tavalla ja tapauksen mukaan digitaalisia elementtejä sisältävässä tuotteessa, sen pakkauksessa tai digitaalisesti.

Valmistajien on annettava käyttäjille ilmoitus siitä, että heidän digitaalisia elementtejä sisältävän tuotteensa tukiaika on päättynyt, jos se on teknisesti toteutettavissa digitaalisia elementtejä sisältävän tuotteen luonteen vuoksi.

20. Valmistajien on toimitettava joko EU-vaatimustenmukaisuusvakuutuksen jäljennös tai yksinkertaistettu EU-vaatimustenmukaisuusvakuutus digitaalisia elementtejä sisältävän tuotteen mukana. Jos toimitetaan yksinkertaistettu EU-vaatimustenmukaisuusvakuutus, sen on sisällettävä tarkka verkko-osoite, jossa EU-vaatimustenmukaisuusvakuutuksen koko teksti on saatavilla.

21. Digitaalisia elementtejä sisältävän tuotteen markkinoille saattamisesta alkaen ja tuotteen tukiajan ajan valmistajien, jotka tietävät tai joilla on syytä uskoa, että digitaalisia elementtejä sisältävä tuote tai niiden käyttöön ottamat prosessit eivät täytä liitteessä I vahvistettuja olennaisia kyberturvallisuusvaatimuksia, on välittömästi toteutettava tarvittavat korjaavat toimenpiteet digitaalisia elementtejä sisältävien tuotteiden tai prosessiensa saattamiseksi vaatimusten mukaisiksi tai tapauksen mukaan tuotteen poistamiseksi markkinoilta tai sitä koskevan palautusmenettelyn järjestämiseksi.

22. Valmistajien on markkinavalvontaviranomaisen perustellusta pyynnöstä annettava kyseiselle viranomaiselle sen helposti ymmärtämällä kielellä paperiversiona tai sähköisessä muodossa kaikki tiedot ja asiakirjat, jotka ovat tarpeen sen osoittamiseksi, että digitaalisia elementtejä sisältävä tuote ja valmistajan käyttöön ottamat prosessit täyttävät liitteessä I vahvistetut olennaiset kyberturvallisuusvaatimukset. Valmistajien on tehtävä kyseisen viranomaisen kanssa tämän pyynnöstä yhteistyötä kaikissa toimenpiteissä, joita toteutetaan niiden markkinoille saattaman digitaalisia elementtejä sisältävän tuotteen aiheuttamien kyberturvallisuusriskien poistamiseksi.

23. Valmistajan, joka lopettaa toimintansa eikä sen vuoksi pysty noudattamaan tätä asetusta, on ennen toiminnan lopettamista ilmoitettava asiaankuuluville markkinavalvontaviranomaisille sekä kaikin käytettävissä olevin keinoin ja mahdollisuuksien mukaan markkinoille saatettujen asiaankuuluvien digitaalisia elementtejä sisältävien tuotteiden käyttäjille tulevasta toiminnan lopettamisesta.

24. Komissio voi täytäntöönpanosäädöksillä eurooppalaiset tai kansainväliset standardit ja parhaat käytännöt huomioon ottaen täsmentää liitteessä I olevan II osan 1 kohdassa tarkoitetun ohjelmistojen materiaaliluettelon muodon ja osatekijät. Nämä täytäntöönpanosäädökset hyväksytään 62 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

25. Jotta voidaan arvioida jäsenvaltioiden ja koko unionin riippuvuutta ohjelmistokomponenteista ja erityisesti sellaisista komponenteista, jotka luokitellaan vapaiksi ja avoimen lähdekoodin ohjelmistoiksi, hallinnollisen yhteistyön ryhmä voi päättää tehdä unionin laajuisen riippuvuuden arvioinnin tietyistä digitaalisia elementtejä sisältävien tuotteiden ryhmistä. Markkinavalvontaviranomaiset voivat tätä tarkoitusta varten pyytää tällaisiin ryhmiin kuuluvien digitaalisia elementtejä sisältävien tuotteiden valmistajia toimittamaan asiaankuuluvat liitteessä I olevan II osan 1 kohdassa tarkoitetut ohjelmistojen materiaaliluettelot. Markkinavalvontaviranomaiset voivat toimittaa näiden tietojen perusteella hallinnollisen yhteistyön ryhmälle anonymisoituja ja yhdistettyjä tietoja ohjelmistoriippuvuuksista. Hallinnollisen yhteistyön ryhmä toimittaa riippuvuuden arvioinnin tuloksista kertomuksen direktiivin (EU) 2022/2555 14 artiklan nojalla perustetulle yhteistyöryhmälle.

Valmistajien raportointivelvoitteet

1. Valmistajan on ilmoitettava kaikista digitaalisia elementtejä sisältävään tuotteeseen sisältyvistä aktiivisesti hyödynnetyistä haavoittuvuuksista, joista se on tullut tietoiseksi, samanaikaisesti tämän artiklan 7 kohdan mukaisesti koordinaattoriksi nimetylle CSIRT-yksikölle ja ENISAlle. Valmistajan on ilmoitettava kyseisistä aktiivisesti hyödynnetyistä haavoittuvuuksista 16 artiklan nojalla perustetun keskitetyn raportointialustan kautta.

2. Edellä 1 kohdassa tarkoitettua ilmoitusta varten valmistajan on annettava

3. Valmistajan on ilmoitettava kaikista digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavista vakavista poikkeamista, joista se on tullut tietoiseksi, samanaikaisesti tämän artiklan 7 kohdan mukaisesti koordinaattoriksi nimetylle CSIRT-yksikölle ja ENISAlle. Valmistajan on ilmoitettava kyseisistä poikkeamista 16 artiklan nojalla perustetun keskitetyn raportointialustan kautta.

4. Edellä 3 kohdassa tarkoitettua ilmoitusta varten valmistajan on annettava

5. Edellä olevan 3 kohdan soveltamiseksi digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttava poikkeama katsotaan vakavaksi, jos

6. Koordinaattoriksi nimetty CSIRT-yksikkö, joka alun perin on saanut ilmoituksen, voi tarvittaessa pyytää valmistajia toimittamaan väliraportin, joka sisältää merkityksellisiä ajantasaisia tietoja digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavan aktiivisesti hyödynnetyn haavoittuvuuden tai vakavan poikkeaman tilanteesta.

7. Tämän artiklan 1 ja 3 kohdassa tarkoitetut ilmoitukset on annettava 16 artiklassa tarkoitetun keskitetyn raportointialustan kautta käyttäen jotakin 16 artiklan 1 kohdassa tarkoitetuista sähköisistä ilmoituspalveluista. Ilmoitus on annettava käyttäen sen jäsenvaltion koordinaattoriksi nimetyn CSIRT-yksikön sähköistä ilmoituspalvelua, jossa valmistajien päätoimipaikka on unionissa, ja sen on oltava samanaikaisesti ENISAn saatavilla.

Tätä direktiiviä sovellettaessa valmistajan päätoimipaikan katsotaan olevan unionissa siinä jäsenvaltiossa, jossa sen digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuusriskeihin liittyvät päätökset pääsääntöisesti tehdään. Jos tällaista jäsenvaltiota ei voida määrittää, päätoimipaikan katsotaan sijaitsevan jäsenvaltiossa, jossa asianomaisella valmistajalla on eniten työntekijöitä työllistävä toimipaikka unionissa.

Jos valmistajalla ei ole päätoimipaikkaa unionissa, sen on annettava 1 ja 3 kohdassa tarkoitetut ilmoitukset käyttäen siinä jäsenvaltiossa koordinaattoriksi nimetyn CSIRT-yksikön sähköistä ilmoituspalvelua, joka määritetään seuraavaa järjestystä noudattaen ja valmistajan saatavilla olevien tietojen perusteella:

Kolmannen alakohdan d alakohdan osalta valmistaja voi antaa ilmoituksia mahdollisista myöhemmistä aktiivisesti hyödynnetyistä haavoittuvuuksista tai digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavista vakavista poikkeamista samalle koordinaattoriksi nimetylle CSIRT-yksikölle, jolle se ensimmäisen kerran raportoi.

8. Tultuaan tietoiseksi aktiivisesti hyödynnetystä haavoittuvuudesta tai digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavasta vakavasta poikkeamasta valmistajan on tiedotettava digitaalisia elementtejä sisältävän tuotteen käyttäjille, joihin vaikutukset kohdistuvat, ja tarvittaessa kaikille käyttäjille kyseisestä haavoittuvuudesta tai poikkeamasta ja tarpeen mukaan mahdollisista riskinhallintatoimenpiteistä ja korjaavista toimenpiteistä, joita käyttäjät voivat toteuttaa lieventääkseen haavoittuvuuden tai poikkeaman vaikutuksia, tarvittaessa jäsennellyssä, koneellisesti luettavassa muodossa, jota on helppo käsitellä automaattisesti. Jos valmistaja ei anna digitaalisia elementtejä sisältävän tuotteen käyttäjille tietoja oikea-aikaisesti, koordinaattoreiksi nimetyt CSIRT-yksiköt, joille asiasta on ilmoitettu, voivat antaa näitä tietoja käyttäjille, kun se katsotaan oikeasuhtaiseksi ja tarpeelliseksi haavoittuvuuden tai poikkeaman vaikutusten ehkäisemiseksi tai lieventämiseksi.

9. Komissio antaa viimeistään 11 päivänä joulukuuta 2025 tämän asetuksen 61 artiklan mukaisesti delegoituja säädöksiä, joilla täydennetään tätä asetusta määrittelemällä ehdot kyberturvallisuuteen liittyvien syiden soveltamiselle lykättäessä ilmoitusten välittämistä tämän asetuksen 16 artiklan 2 kohdassa tarkoitetulla tavalla. Komissio tekee yhteistyötä direktiivin (EU) 2022/2555 15 artiklan nojalla perustetun CSIRT-verkoston ja ENISAn kanssa valmistellessaan delegoitujen säädösten luonnoksia.

10. Komissio voi täytäntöönpanosäädöksin täsmentää tässä artiklassa sekä 15 ja 16 artiklassa tarkoitettujen ilmoitusten muotoa ja niihin liittyviä menettelyjä. Nämä täytäntöönpanosäädökset hyväksytään 62 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio tekee yhteistyötä CSIRT-verkoston ja ENISAn kanssa valmistellessaan kyseisiä täytäntöönpanosäädösten luonnoksia.

Vapaaehtoinen raportointi

1. Valmistajat ja muut luonnolliset henkilöt ja oikeushenkilöt voivat vapaaehtoisesti ilmoittaa koordinaattoriksi nimetylle CSIRT-yksikölle tai ENISAlle mahdollisista digitaalisia elementtejä sisältävään tuotteeseen sisältyvistä haavoittuvuuksista tai kyberuhkista, jotka voisivat vaikuttaa digitaalisia elementtejä sisältävän tuotteen riskiprofiiliin.

2. Valmistajat ja muut luonnolliset henkilöt ja oikeushenkilöt voivat vapaaehtoisesti ilmoittaa koordinaattoriksi nimetylle CSIRT-yksikölle tai ENISAlle mahdollisista digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavista poikkeamista sekä läheltä piti -tilanteista, jotka olisivat voineet johtaa tällaiseen poikkeamaan.

3. Koordinaattoriksi nimetyn CSIRT-yksikön tai ENISAn on käsiteltävä tämän artiklan 1 ja 2 kohdassa tarkoitetut ilmoitukset 16 artiklassa säädetyn menettelyn mukaisesti.

Koordinaattoriksi nimetty CSIRT-yksikkö voi asettaa etusijalle pakollisten ilmoitusten käsittelyn vapaaehtoisten ilmoitusten käsittelyyn nähden.

4. Jos muu luonnollinen henkilö tai oikeushenkilö kuin valmistaja ilmoittaa 1 tai 2 kohdan mukaisesti aktiivisesti hyödynnetystä haavoittuvuudesta tai digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavasta vakavasta poikkeamasta, koordinaattoriksi nimetyn CSIRT-yksikön on ilman aiheetonta viivytystä ilmoitettava asiasta valmistajalle.

5. Koordinaattoriksi nimettyjen CSIRT-yksikköjen ja ENISAn on varmistettava ilmoituksen tehneen luonnollisen henkilön tai oikeushenkilön toimittamien tietojen luottamuksellisuus ja asianmukainen suoja. Vapaaehtoinen ilmoittaminen ei saa johtaa sellaisten lisävelvoitteiden asettamiseen ilmoituksen tehneelle luonnolliselle henkilölle tai oikeushenkilölle, joita siihen ei olisi sovellettu, jos se ei olisi toimittanut kyseistä ilmoitusta, sanotun kuitenkaan rajoittamatta rikosten ennaltaehkäisemistä, tutkimista, paljastamista ja rikoksiin liittyviä syytetoimia.

Keskitetyn raportointialustan perustaminen

1. Edellä 14 artiklan 1 ja 3 kohdassa ja 15 artiklan 1 ja 2 kohdassa tarkoitettuja ilmoituksia varten ja valmistajien raportointivelvoitteiden yksinkertaistamiseksi ENISA perustaa keskitetyn raportointialustan. ENISA hallinnoi ja ylläpitää keskitetyn raportointialustan päivittäistä toimintaa. Keskitetyn raportointialustan rakenteen on mahdollistettava se, että jäsenvaltiot ja ENISA voivat ottaa käyttöön omat sähköiset ilmoituspalvelunsa.

2. Koordinaattoriksi nimetyn CSIRT-yksikön, joka alun perin on saanut ilmoituksen, on ilmoituksen saamisen jälkeen ilman aiheetonta viivytystä välitettävä ilmoitus keskitetyn raportointialustan kautta koordinaattoreiksi nimetyille CSIRT-yksiköille alueella, jolla valmistaja on ilmoittanut asettaneensa digitaalisia elementtejä sisältävän tuotteen saataville.

Poikkeuksellisissa olosuhteissa ja erityisesti valmistajan pyynnöstä ja valmistajan tämän asetuksen 14 artiklan 2 kohdan a alakohdan mukaisesti toteaman ilmoitettujen tietojen arkaluonteisuuden perusteella ilmoituksen välittämistä voidaan lykätä perustelluista kyberturvallisuuteen liittyvistä syistä ehdottoman välttämättömän ajan, myös silloin, kun haavoittuvuuteen sovelletaan direktiivin (EU) 2022/2555 12 artiklan 1 kohdassa tarkoitettua koordinoitua haavoittuvuuden julkistamismenettelyä. Jos CSIRT-yksikkö päättää olla välittämättä ilmoitusta, sen on välittömästi ilmoitettava ENISAlle tästä päätöksestä ja annettava sekä perustelut ilmoituksen välittämättä jättämiselle että tieto siitä, milloin se aikoo välittää ilmoituksen tässä kohdassa säädetyn välittämismenettelyn mukaisesti. ENISA voi tukea CSIRT-yksikköä kyberturvallisuuteen liittyvien syiden soveltamisessa ilmoituksen välittämisen lykkäämisen yhteydessä.

Erityisen poikkeuksellisissa olosuhteissa, joissa valmistaja ilmoittaa 14 artiklan 2 kohdan b alakohdassa tarkoitetussa ilmoituksessa,

vain tieto siitä, että valmistaja on tehnyt ilmoituksen, yleiset tiedot tuotteesta, tiedot hyödyntämisen yleisestä luonteesta ja tieto siitä, että on vedottu turvallisuussyihin, on annettava samanaikaisesti ENISAn saataville, kunnes täydellinen ilmoitus toimitetaan asianomaisille CSIRT-yksiköille ja ENISAlle. Jos ENISA katsoo kyseisten tietojen perusteella, että on olemassa järjestelmäriski, joka vaikuttaa turvallisuuteen sisämarkkinoilla, ENISA suosittelee ilmoituksen vastaanottaneelle CSIRT-yksikölle, että se välittää täydellisen ilmoituksen muille koordinaattoreiksi nimetyille CSIRT-yksiköille ja ENISAlle itselleen.

3. Saatuaan ilmoituksen aktiivisesti hyödynnetystä haavoittuvuudesta digitaalisia elementtejä sisältävässä tuotteessa tai digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavasta vakavasta poikkeamasta, koordinaattoreiksi nimettyjen CSIRT-yksiköiden on annettava jäsenvaltioidensa markkinavalvontaviranomaisille ilmoitetut tiedot, joita markkinavalvontaviranomaiset tarvitsevat täyttääkseen tämän asetuksen mukaiset velvoitteensa.

4. ENISA toteuttaa asianmukaiset ja oikeasuhtaiset tekniset, operatiiviset ja organisatoriset toimenpiteet hallitakseen keskitetyn raportointialustan ja sen kautta annettujen tai välitettyjen tietojen tietoturvaan kohdistuvia riskejä. Se ilmoittaa ilman aiheetonta viivytystä kaikista keskitettyyn raportointialustaan vaikuttavista tietoturvapoikkeamista CSIRT-verkostolle ja komissiolle.

5. ENISA laatii ja panee täytäntöön yhteistyössä CSIRT-verkoston kanssa eritelmät teknisistä, operatiivisista ja organisatorisista toimenpiteistä, jotka koskevat 1 kohdassa tarkoitetun keskitetyn raportointialustan perustamista, ylläpitoa ja turvallista toimintaa, mukaan lukien ainakin keskitetyn raportointialustan perustamiseen, toimintaan ja ylläpitoon liittyvät tietoturvajärjestelyt, sekä kansallisella tasolla koordinaattoreiksi nimettyjen CSIRT-yksiköiden ja unionin tasolla ENISAn perustamia sähköisiä ilmoituspalveluja, mukaan lukien menettelyihin liittyvät näkökohdat sen varmistamiseksi, että jos ilmoitettuun haavoittuvuuteen ei ole saatavilla korjaavia tai lieventäviä toimenpiteitä, tiedot tästä haavoittuvuudesta jaetaan tiukkoja tietoturvakäytäntöjä noudattaen ja tiedonsaantitarpeen perusteella.

6. Jos koordinaattoriksi nimetylle CSIRT-yksikölle on ilmoitettu aktiivisesti hyödynnetystä haavoittuvuudesta osana direktiivin (EU) 2022/2555 12 artiklan 1 kohdassa tarkoitettua koordinoitua haavoittuvuuksien julkistamismenettelyä, koordinaattoriksi nimetty CSIRT-yksikkö, joka alun perin on saanut ilmoituksen, voi perustelluista kyberturvallisuuteen liittyvistä syistä lykätä ilmoituksen välittämistä keskitetyn raportointialustan kautta ehdottoman välttämättömän ajan, kunnes koordinoidun haavoittuvuuden julkistamisen osapuolet ovat antaneet suostumuksensa julkistamiseen. Tämä vaatimus ei estä valmistajia ilmoittamasta tällaisesta haavoittuvuudesta vapaaehtoisesti tässä artiklassa säädettyä menettelyä noudattaen.

Muut raportointiin liittyvät säännökset

1. ENISA voi toimittaa tämän asetuksen 14 artiklan 1 ja 3 kohdan ja 15 artiklan 1 ja 2 kohdan nojalla ilmoitetut tiedot direktiivin (EU) 2022/2555 16 artiklalla perustetulle Euroopan kyberkriisien yhteysorganisaatioiden verkostolle (EU-CyCLONe), jos nämä tiedot ovat operatiivisella tasolla merkityksellisiä laajamittaisten kyberturvapoikkeamien ja -kriisien koordinoidun hallinnan kannalta. Tällaisen merkityksellisyyden määrittämiseksi ENISA voi ottaa huomioon CSIRT-verkoston tekemät tekniset analyysit, jos niitä on saatavilla.

2. Jos yleinen tietoisuus on tarpeen digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavan vakavan poikkeaman ehkäisemiseksi tai lieventämiseksi tai meneillään olevan poikkeaman käsittelemiseksi tai jos poikkeaman julkistaminen on muutoin yleisen edun mukaista, asiaankuuluvan jäsenvaltion koordinaattoriksi nimetty CSIRT-yksikkö voi asianomaista valmistajaa kuultuaan ja tarvittaessa yhteistyössä ENISAn kanssa tiedottaa poikkeamasta yleisölle tai vaatia valmistajaa tekemään niin.

3. ENISA laatii tämän asetuksen 14 artiklan 1 ja 3 kohdan ja 15 artiklan 1 ja 2 kohdan nojalla saamiensa ilmoitusten perusteella 24 kuukauden välein teknisen raportin digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuusriskien uusista suuntauksista ja toimittaa sen direktiivin (EU) 2022/2555 14 artiklan nojalla perustetulle yhteistyöryhmälle. Ensimmäinen tällainen raportti toimitetaan 24 kuukauden kuluessa tämän asetuksen 14 artiklan 1 ja 3 kohdassa säädettyjen velvoitteiden soveltamispäivästä. ENISA sisällyttää asiaankuuluvia tietoja teknisistä raporteistaan direktiivin (EU) 2022/2555 18 artiklan nojalla antamaansa kertomukseen kyberturvallisuuden tilasta unionissa.

4. Pelkkä 14 artiklan 1 ja 3 kohdan tai 15 artiklan 1 ja 2 kohdan mukainen ilmoittaminen ei lisää ilmoituksen tehneen luonnollisen henkilön tai oikeushenkilön vastuuta.

5. Sen jälkeen kun tietoturvapäivitys tai muu korjaava tai lieventävä toimenpide on saatavilla, ENISA lisää kyseisen digitaalisia elementtejä sisältävän tuotteen valmistajan suostumuksella tämän asetuksen 14 artiklan 1 kohdan tai 15 artiklan 1 kohdan nojalla ilmoitetun yleisesti tiedossa olevan haavoittuvuuden direktiivin (EU) 2022/2555 12 artiklan 2 kohdan nojalla perustettuun Euroopan haavoittuvuustietokantaan.

6. Koordinaattoreiksi nimettyjen CSIRT-yksiköiden on annettava 14 artiklan mukaisiin raportointivelvoitteisiin liittyvää käyttötukea valmistajille ja erityisesti valmistajille, jotka katsotaan mikroyrityksiksi tai pieniksi tai keskisuuriksi yrityksiksi.

Valtuutetut edustajat

1. Valmistaja voi nimittää kirjallisella toimeksiannolla valtuutetun edustajan.

2. Edellä 13 artiklan 1–11 kohdassa, 13 artiklan 12 kohdan ensimmäisessä alakohdassa ja 13 artiklan 14 kohdassa säädetyt velvollisuudet eivät saa kuulua valtuutetun edustajan toimeksiantoon.

3. Valtuutetun edustajan on suoritettava valmistajalta saadussa toimeksiannossa eritellyt tehtävät. Valtuutetun edustajan on pyynnöstä toimitettava markkinavalvontaviranomaisille jäljennös toimeksiannosta. Valtuutetun edustajan on toimeksiannon perusteella voitava suorittaa ainakin seuraavat tehtävät:

Maahantuojien velvollisuudet

1. Maahantuojat saavat saattaa markkinoille ainoastaan digitaalisia elementtejä sisältäviä tuotteita, jotka täyttävät liitteessä I olevassa I osassa vahvistetut olennaiset kyberturvallisuusvaatimukset ja joiden osalta valmistajan käyttöön ottamat prosessit täyttävät liitteessä I olevassa II osassa vahvistetut olennaiset kyberturvallisuusvaatimukset.

2. Ennen digitaalisia elementtejä sisältävän tuotteen saattamista markkinoille maahantuojien on varmistettava, että

Tätä kohtaa sovellettaessa maahantuojien on voitava toimittaa tarvittavat asiakirjat, joilla todistetaan tässä artiklassa säädettyjen vaatimusten täyttyminen.

3. Jos maahantuoja katsoo tai sillä on syytä uskoa, että digitaalisia elementtejä sisältävä tuote tai valmistajan käyttöönottamat prosessit eivät ole tämän asetuksen mukaisia, maahantuoja ei saa saattaa tuotetta markkinoille ennen kuin kyseinen tuote tai valmistajan käyttöönottamat prosessit on saatettu tämän asetuksen mukaisiksi. Lisäksi jos digitaalisia elementtejä sisältävä tuote aiheuttaa merkittävän kyberturvallisuusriskin, maahantuojan on ilmoitettava asiasta valmistajalle ja markkinavalvontaviranomaisille.

Jos maahantuojalla on syytä uskoa, että digitaalisia elementtejä sisältävä tuote voi muiden kuin teknisten riskitekijöiden vuoksi aiheuttaa merkittävän kyberturvallisuusriskin, sen on ilmoitettava tästä markkinavalvontaviranomaisille. Markkinavalvontaviranomaisten on tällaisen tiedon saatuaan noudatettava 54 artiklan 2 kohdassa tarkoitettuja menettelyjä.

4. Maahantuojien on ilmoitettava nimensä, rekisteröity tuotenimensä tai rekisteröity tavaramerkkinsä, postiosoitteensa, sähköpostiosoitteensa tai muut digitaaliset yhteystietonsa sekä tarvittaessa verkkosivusto, jonka kautta maahantuojaan voi ottaa yhteyttä, joko digitaalisia elementtejä sisältävässä tuotteessa, sen pakkauksessa tai digitaalisia elementtejä sisältävän tuotteen mukana seuraavassa asiakirjassa. Yhteystiedot on annettava käyttäjien ja markkinavalvontaviranomaisten helposti ymmärtämällä kielellä.

5. Maahantuojien, jotka tietävät tai joilla on syytä uskoa, että digitaalisia elementtejä sisältävä tuote, jonka ne ovat saattaneet markkinoille, ei ole tämän asetuksen mukainen, on välittömästi toteutettava tarvittavat korjaavat toimenpiteet sen varmistamiseksi, että digitaalisia elementtejä sisältävä tuote saatetaan tämän asetuksen mukaiseksi, tai tarvittaessa tuotteen poistamiseksi markkinoilta tai sitä koskevan palautusmenettelyn järjestämiseksi.

Kun maahantuojat ovat tulleet tietoisiksi digitaalisia elementtejä sisältävässä tuotteessa olevasta haavoittuvuudesta, niiden on ilman aiheetonta viivytystä ilmoitettava siitä valmistajalle. Jos digitaalisia elementtejä sisältävä tuote aiheuttaa merkittävän kyberturvallisuusriskin, maahantuojien on lisäksi välittömästi tiedotettava asiasta niiden jäsenvaltioiden markkinavalvontaviranomaisille, joissa ne ovat asettaneet digitaalisia elementtejä sisältävän tuotteen saataville markkinoilla, ja ilmoitettava yksityiskohtaiset tiedot erityisesti vaatimustenvastaisuudesta ja mahdollisesti toteutetuista korjaavista toimenpiteistä.

6. Maahantuojien on vähintään kymmenen vuoden ajan sen jälkeen, kun digitaalisia elementtejä sisältävä tuote on saatettu markkinoille, tai tukiajan ajan sen mukaan, kumpi näistä ajanjaksoista on pidempi, pidettävä EU-vaatimustenmukaisuusvakuutuksen jäljennös markkinavalvontaviranomaisten saatavilla ja varmistettava, että tekniset asiakirjat voidaan antaa pyynnöstä kyseisten viranomaisten saataville.

7. Maahantuojien on markkinavalvontaviranomaisen perustellusta pyynnöstä annettava kyseiselle viranomaiselle sen helposti ymmärtämällä kielellä paperiversiona tai sähköisessä muodossa kaikki tiedot ja asiakirjat, jotka ovat tarpeen sen osoittamiseksi, että digitaalisia elementtejä sisältävä tuote täyttää liitteessä I olevassa I osassa vahvistetut olennaiset kyberturvallisuusvaatimukset ja valmistajan käyttöön ottamat prosessit täyttävät liitteessä I olevassa II osassa vahvistetut olennaiset kyberturvallisuusvaatimukset. Niiden on tehtävä kyseisen viranomaisen kanssa tämän pyynnöstä yhteistyötä toimenpiteissä, joilla pyritään poistamaan niiden markkinoille saattaman digitaalisia elementtejä sisältävän tuotteen aiheuttamat kyberturvallisuusriskit.

8. Jos digitaalisia elementtejä sisältävän tuotteen maahantuoja saa tietoonsa, että tuotteen valmistaja on lopettanut toimintansa eikä sen vuoksi pysty noudattamaan tässä asetuksessa säädettyjä velvoitteitaan, maahantuojan on ilmoitettava tilanteesta asiaankuuluville markkinavalvontaviranomaisille sekä kaikin käytettävissä olevin keinoin ja mahdollisuuksien mukaan markkinoille saatettujen digitaalisia elementtejä sisältävien tuotteiden käyttäjille.

Jakelijoiden velvollisuudet

1. Kun jakelijat asettavat digitaalisia elementtejä sisältävän tuotteen saataville markkinoilla, niiden on toimittava noudattaen asiaankuuluvaa huolellisuutta tässä asetuksessa esitettyjen vaatimusten suhteen.

2. Ennen digitaalisia elementtejä sisältävän tuotteen asettamista saataville markkinoilla jakelijoiden on tarkastettava, että

3. Jos jakelija katsoo tai sillä on syytä uskoa hallussaan olevien tietojen perusteella, että digitaalisia elementtejä sisältävä tuote tai valmistajan käyttöön ottamat prosessit eivät täytä liitteessä I vahvistettuja olennaisia kyberturvallisuusvaatimuksia, jakelija ei saa asettaa digitaalisia elementtejä sisältävää tuotetta saataville markkinoilla ennen kuin kyseinen tuote tai valmistajan käyttöön ottamat prosessit on saatettu tämän asetuksen mukaisiksi. Lisäksi jos digitaalisia elementtejä sisältävä tuote aiheuttaa merkittävän kyberturvallisuusriskin, jakelijan on ilmoitettava siitä ilman aiheetonta viivytystä valmistajalle ja markkinavalvontaviranomaisille.

4. Jakelijoiden, jotka tietävät tai joilla on syytä uskoa hallussaan olevien tietojen perusteella, että digitaalisia elementtejä sisältävä tuote, jonka ne ovat asettaneet saataville markkinoilla, tai sen valmistajan käyttöön ottamat prosessit eivät ole tämän asetuksen mukaisia, on varmistettava, että toteutetaan tarvittavat korjaavat toimenpiteet kyseisen digitaalisia elementtejä sisältävän tuotteen tai sen valmistajan käyttöön ottamien prosessien saattamiseksi vaatimusten mukaisiksi tai tarvittaessa tuotteen poistamiseksi markkinoilta tai sitä koskevan palautusmenettelyn järjestämiseksi.

Kun jakelijat ovat tulleet tietoisiksi digitaalisia elementtejä sisältävässä tuotteessa olevasta haavoittuvuudesta, niiden on ilman aiheetonta viivytystä ilmoitettava siitä valmistajalle. Jos digitaalisia elementtejä sisältävä tuote aiheuttaa merkittävän kyberturvallisuusriskin, jakelijoiden on lisäksi välittömästi tiedotettava asiasta niiden jäsenvaltioiden markkinavalvontaviranomaisille, joissa ne ovat asettaneet digitaalisia elementtejä sisältävän tuotteen saataville markkinoilla, ja ilmoitettava yksityiskohtaiset tiedot erityisesti vaatimustenvastaisuudesta ja mahdollisesti toteutetuista korjaavista toimenpiteistä.

5. Jakelijoiden on markkinavalvontaviranomaisen perustellusta pyynnöstä annettava kyseiselle viranomaiselle sen helposti ymmärtämällä kielellä paperiversiona tai sähköisessä muodossa kaikki tiedot ja asiakirjat, jotka ovat tarpeen sen osoittamiseksi, että digitaalisia elementtejä sisältävä tuote ja valmistajan käyttöön ottamat prosessit ovat tämän asetuksen mukaisia. Niiden on tehtävä kyseisen viranomaisen kanssa tämän pyynnöstä yhteistyötä toimenpiteissä, joilla pyritään poistamaan niiden markkinoille saattaman digitaalisia elementtejä sisältävän tuotteen aiheuttamat kyberturvallisuusriskit.

6. Jos digitaalisia elementtejä sisältävän tuotteen jakelija tulee hallussaan olevien tietojen perusteella tietoiseksi siitä, että tuotteen valmistaja on lopettanut toimintansa eikä sen vuoksi pysty noudattamaan tässä asetuksessa säädettyjä velvoitteitaan, jakelijan on ilman aiheetonta viivytystä ilmoitettava tilanteesta asiaankuuluville markkinavalvontaviranomaisille sekä kaikin käytettävissä olevin keinoin ja mahdollisuuksien mukaan markkinoille saatettujen digitaalisia elementtejä sisältävien tuotteiden käyttäjille.

Tapaukset, joissa valmistajien velvoitteita sovelletaan maahantuojiin ja jakelijoihin

Maahantuojaa tai jakelijaa pidetään tätä asetusta sovellettaessa valmistajana ja siihen sovelletaan 13 ja 14 artiklaa silloin, kun kyseinen maahantuoja tai jakelija saattaa digitaalisia elementtejä sisältävän tuotteen markkinoille omalla nimellään tai tavaramerkillään tai tekee merkittävän muutoksen markkinoille jo saatettuun digitaalisia elementtejä sisältävään tuotteeseen.

Muut tapaukset, joissa sovelletaan valmistajien velvollisuuksia

1. Muuta luonnollista henkilöä tai oikeushenkilöä kuin valmistajaa, maahantuojaa tai jakelijaa, joka tekee digitaalisia elementtejä sisältävään tuotteeseen merkittävän muutoksen ja asettaa kyseisen tuotteen saataville markkinoilla, pidetään tätä asetusta sovellettaessa valmistajana.

2. Tämän artiklan 1 kohdassa tarkoitettuun henkilöön sovelletaan 13 ja 14 artiklassa säädettyjä velvoitteita digitaalisia elementtejä sisältävän tuotteen sen osan osalta, johon merkittävä muutos vaikuttaa, tai jos merkittävä muutos vaikuttaa digitaalisia elementtejä sisältävän tuotteen kyberturvallisuuteen kokonaisuudessaan, koko tuotteen osalta.

Talouden toimijoiden yksilöiminen

1. Talouden toimijoiden on pyynnöstä annettava markkinavalvontaviranomaisille seuraavat tiedot:

2. Talouden toimijoiden on voitava esittää 1 kohdassa tarkoitetut tiedot kymmenen vuoden ajan sen jälkeen, kun digitaalisia elementtejä sisältävä tuote on toimitettu niille, ja kymmenen vuoden ajan sen jälkeen, kun ne ovat toimittaneet digitaalisia elementtejä sisältävän tuotteen.

Avoimen lähdekoodin ohjelmistovastaavien velvollisuudet

1. Avoimen lähdekoodin ohjelmistovastaavien on otettava käyttöön ja dokumentoitava todennettavissa olevalla tavalla kyberturvallisuusperiaatteet, joilla edistetään turvallisen digitaalisia elementtejä sisältävän tuotteen kehittämistä ja sitä, että kyseisen tuotteen kehittäjät voivat käsitellä haavoittuvuuksia tehokkaasti. Kyseisillä periaatteilla on myös edistettävä tuotteen kehittäjien 15 artiklassa säädettyä vapaaehtoista raportointia haavoittuvuuksista, ja niissä on otettava huomioon avoimen lähdekoodin ohjelmistovastaavan erityisluonne sekä siihen sovellettavat oikeudelliset ja organisatoriset järjestelyt. Kyseisiin periaatteisiin on sisällyttävä erityisesti näkökohtia, jotka liittyvät haavoittuvuuksien dokumentointiin, niihin puuttumiseen ja niiden korjaamiseen, ja niillä on edistettävä havaittuja haavoittuvuuksia koskevien tietojen jakamista avoimen lähdekoodin yhteisössä.

2. Avoimen lähdekoodin ohjelmistovastaavan on tehtävä yhteistyötä markkinavalvontaviranomaisten kanssa näiden pyynnöstä tarkoituksena lieventää sellaisen digitaalisia elementtejä sisältävän tuotteen aiheuttamia kyberturvallisuusriskejä, joka luokitellaan vapaaksi ja avoimen lähdekoodin ohjelmistoksi.

Avoimen lähdekoodin ohjelmistovastaavan on markkinavalvontaviranomaisen perustellusta pyynnöstä annettava tälle tämän helposti ymmärtämällä kielellä 1 kohdassa tarkoitetut asiakirjat paperiversiona tai sähköisessä muodossa.

3. Edellä 14 artiklan 1 kohdassa säädettyjä velvoitteita sovelletaan avoimen lähdekoodin ohjelmistovastaaviin siltä osin kuin ne osallistuvat digitaalisia elementtejä sisältävien tuotteiden kehittämiseen. Edellä 14 artiklan 3 ja 8 kohdassa säädettyjä velvoitteita sovelletaan avoimen lähdekoodin ohjelmistovastaaviin siltä osin kuin digitaalisia elementtejä sisältävien tuotteiden tietoturvaan vaikuttavat vakavat poikkeamat vaikuttavat verkko- ja tietojärjestelmiin, jotka avoimen lähdekoodin ohjelmistovastaavat antavat käyttöön tällaisten tuotteiden kehittämistä varten.

Vapaan ja avoimen lähdekoodin ohjelmiston tietoturvatodistus

Jotta voidaan helpottaa 13 artiklan 5 kohdassa säädetyn asianmukaista huolellisuutta koskevan velvoitteen noudattamista, erityisesti kun on kyse valmistajista, jotka integroivat digitaalisia elementtejä sisältäviin tuotteisiinsa vapaita ja avoimen lähdekoodin ohjelmistokomponentteja, komissiolle siirretään valta hyväksyä 61 artiklan mukaisesti delegoituja säädöksiä, joilla täydennetään tätä asetusta perustamalla vapaaehtoisia tietoturvatodistusohjelmia, joiden avulla vapaiksi ja avoimen lähdekoodin ohjelmistoiksi luokiteltavien digitaalisia elementtejä sisältävien tuotteiden kehittäjät tai käyttäjät sekä muut kolmannet osapuolet voivat arvioida, ovatko tällaiset tuotteet kaikkien tai tiettyjen olennaisten kyberturvallisuusvaatimusten tai muiden tässä asetuksessa säädettyjen velvoitteiden mukaisia.

Ohjeet

1. Jotta voidaan helpottaa täytäntöönpanoa ja varmistaa sen johdonmukaisuus, komissio julkaisee ohjeita, joilla autetaan talouden toimijoita soveltamaan tätä asetusta ja joilla pyritään erityisesti tekemään sen noudattamisesta helpompaa mikroyrityksille sekä pienille ja keskisuurille yrityksille.

2. Jos komissio aikoo antaa 1 kohdassa tarkoitettuja ohjeita, se käsittelee niissä ainakin seuraavia näkökohtia:

Komissio pitää myös yllä helposti saatavilla olevaa luetteloa tämän asetuksen nojalla annetuista delegoiduista säädöksistä ja täytäntöönpanosäädöksistä.

3. Komissio kuulee asiaankuuluvia sidosryhmiä, kun se laatii ohjeita tämän artiklan nojalla.

Vaatimustenmukaisuusolettama

1. Digitaalisia elementtejä sisältäviä tuotteita ja valmistajan käyttöön ottamia prosesseja, jotka ovat sellaisten yhdenmukaistettujen standardien tai niiden osien mukaisia, joiden viitetiedot on julkaistu Euroopan unionin virallisessa lehdessä, on pidettävä niiden liitteessä I vahvistettujen olennaisten kyberturvallisuusvaatimusten mukaisina, jotka kyseiset standardit tai niiden osat kattavat.

Komissio pyytää asetuksen (EU) N:o 1025/2012 10 artiklan 1 kohdan mukaisesti yhtä tai useampaa eurooppalaista standardointiorganisaatiota laatimaan tämän asetuksen liitteessä I vahvistettuja olennaisia kyberturvallisuusvaatimuksia koskevia yhdenmukaistettuja standardeja. Kun komissio valmistelee tähän asetukseen liittyviä standardointipyyntöjä, se pyrkii ottamaan huomioon sillä hetkellä jo olemassa tai kehitteillä olevat kyberturvallisuutta koskevat eurooppalaiset ja kansainväliset standardit, jotta voidaan yksinkertaistaa yhdenmukaistettujen standardien kehittämistä asetuksen (EU) N:o 1025/2012 mukaisesti.

2. Komissio voi hyväksyä täytäntöönpanosäädöksiä, joissa vahvistetaan teknisiä vaatimuksia koskevia yhteisiä eritelmiä, joiden avulla voidaan täyttää tämän asetuksen soveltamisalaan kuuluville digitaalisia elementtejä sisältäville tuotteille liitteessä I vahvistetut olennaiset kyberturvallisuusvaatimukset.

Nämä täytäntöönpanosäädökset hyväksytään ainoastaan, jos seuraavat edellytykset täyttyvät:

Nämä täytäntöönpanosäädökset hyväksytään 62 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

3. Ennen kuin komissio laatii luonnoksen tämän artiklan 2 kohdassa tarkoitetuksi täytäntöönpanosäädökseksi, se ilmoittaa asetuksen (EU) N:o 1025/2012 22 artiklassa tarkoitetulle komitealle katsovansa, että tämän artiklan 2 kohdassa esitetyt edellytykset täyttyvät.

4. Laatiessaan luonnosta tämän artiklan 2 kohdassa tarkoitetuksi täytäntöönpanosäädökseksi komissio ottaa huomioon asiaankuuluvien elinten näkemykset ja kuulee asianmukaisesti kaikkia asiaankuuluvia sidosryhmiä.

5. Digitaalisia elementtejä sisältäviä tuotteita ja valmistajan käyttöön ottamia prosesseja, jotka ovat tämän artiklan 2 kohdassa tarkoitetuilla täytäntöönpanosäädöksillä vahvistettujen yhteisten eritelmien tai niiden osien mukaisia, on pidettävä niiden liitteessä I vahvistettujen olennaisten kyberturvallisuusvaatimusten mukaisina, jotka kyseiset standardit tai niiden osat kattavat.

6. Jos eurooppalainen standardointiorganisaatio hyväksyy yhdenmukaistetun standardin ja sitä ehdotetaan komissiolle sen viitetietojen julkaisemiseksi Euroopan unionin virallisessa lehdessä, komissio arvioi yhdenmukaistetun standardin asetuksen (EU) N:o 1025/2012 mukaisesti. Kun yhdenmukaistetun standardin viitetiedot julkaistaan Euroopan unionin virallisessa lehdessä, komissio kumoaa tämän artiklan 2 kohdassa tarkoitetut täytäntöönpanosäädökset tai niiden osat, jotka kattavat samat olennaiset kyberturvallisuusvaatimukset kuin kyseinen yhdenmukaistettu standardi.

7. Jos jäsenvaltio katsoo, että yhteinen eritelmä ei täysin täytä liitteessä I vahvistettuja olennaisia kyberturvallisuusvaatimuksia, sen on ilmoitettava asiasta komissiolle toimittamalla yksityiskohtainen selvitys. Komissio arvioi kyseisen yksityiskohtaisen selvityksen ja voi tarvittaessa muuttaa täytäntöönpanosäädöstä, jossa kyseinen yhteinen eritelmä vahvistetaan.

8. Digitaalisia elementtejä sisältävien tuotteiden ja valmistajan käyttöön ottamien prosessien, joille on annettu asetuksen (EU) 2019/881 nojalla hyväksytyn eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukainen EU-vaatimustenmukaisuusilmoitus tai sertifikaatti, katsotaan olevan liitteessä I vahvistettujen olennaisten kyberturvallisuusvaatimusten mukaisia, jos EU-vaatimustenmukaisuusilmoitus tai eurooppalainen kyberturvallisuussertifikaatti tai niiden osat kattavat kyseiset vaatimukset.

9. Siirretään komissiolle valta antaa tämän asetuksen 61 artiklan mukaisesti delegoituja säädöksiä, joilla täydennetään tätä asetusta yksilöimällä ne asetuksen (EU) 2019/881 nojalla hyväksytyt eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät, joita voidaan käyttää osoittamaan, että digitaalisia elementtejä sisältävät tuotteet ovat tämän asetuksen liitteessä I vahvistettujen olennaisten kyberturvallisuusvaatimusten tai niiden osien mukaisia. Lisäksi eurooppalaisen kyberturvallisuussertifikaatin myöntäminen vähintään varmuustasolla ”korotettu” tällaisten järjestelmien mukaisesti poistaa valmistajan velvoitteen teettää tämän asetuksen 32 artiklan 2 kohdan a ja b alakohdassa ja 32 artiklan 3 kohdan a ja b alakohdassa säädettyjen vaatimusten osalta vaatimustenmukaisuuden arviointi kolmannella osapuolella.

EU-vaatimustenmukaisuusvakuutus

1. Valmistajien on laadittava EU-vaatimustenmukaisuusvakuutus 13 artiklan 12 kohdan mukaisesti, ja siinä on mainittava, että liitteessä I vahvistettujen sovellettavien olennaisten kyberturvallisuusvaatimusten täyttyminen on osoitettu.

2. EU-vaatimustenmukaisuusvakuutuksen on oltava rakenteeltaan liitteessä V vahvistetun mallin mukainen, ja sen on sisällettävä liitteessä VIII vahvistetuissa asiaankuuluvissa vaatimustenmukaisuuden arviointimenettelyissä eritellyt tekijät. Tällaista vakuutusta on tarvittaessa päivitettävä. Se on asetettava saataville sen jäsenvaltion vaatimilla kielillä, jossa digitaalisia elementtejä sisältävä tuote saatetaan markkinoille tai asetetaan saataville markkinoilla.

Edellä 13 artiklan 20 kohdassa tarkoitetun yksinkertaistetun EU-vaatimustenmukaisuusvakuutuksen on oltava rakenteeltaan liitteessä VI vahvistetun mallin mukainen. Se on asetettava saataville sen jäsenvaltion vaatimilla kielillä, jossa digitaalisia elementtejä sisältävä tuote saatetaan markkinoille tai asetetaan saataville markkinoilla.

3. Jos digitaalisia elementtejä sisältävään tuotteeseen sovelletaan useampia unionin säädöksiä, joissa edellytetään EU-vaatimustenmukaisuusvakuutusta, kaikkien tällaisten unionin säädösten osalta laaditaan yksi ainoa EU-vaatimustenmukaisuusvakuutus. Kyseisessä vakuutuksessa on mainittava kyseisten unionin säädösten tunnistetiedot, niiden julkaisuviitteet mukaan luettuina.

4. Laatimalla EU-vaatimustenmukaisuusvakuutuksen valmistaja ottaa vastuun digitaalisia elementtejä sisältävän tuotteen vaatimustenmukaisuudesta.

5. Siirretään komissiolle valta antaa 61 artiklan mukaisesti delegoituja säädöksiä, joilla täydennetään tätä asetusta lisäämällä teknologian kehittymisen huomioon ottamiseksi elementtejä liitteessä V vahvistetun EU-vaatimustenmukaisuusvakuutuksen vähimmäissisältöön.

CE-merkintää koskevat yleiset periaatteet

CE-merkintää koskevat asetuksen (EY) N:o 765/2008 30 artiklassa säädetyt yleiset periaatteet.

CE-merkinnän tuotteeseen kiinnittämistä tai liittämistä koskevat säännöt ja ehdot

1. CE-merkintä on kiinnitettävä digitaalisia elementtejä sisältävään tuotteeseen näkyvästi, helposti luettavasti ja pysyvästi. Jos tämä ei ole mahdollista tai perusteltua digitaalisia elementtejä sisältävän tuotteen luonteen vuoksi, merkintä on liitettävä tuotteen pakkaukseen ja 28 artiklassa tarkoitettuun tuotteen mukana toimitettavaan EU-vaatimustenmukaisuusvakuutukseen. Ohjelmistojen muodossa olevien digitaalisia elementtejä sisältävien tuotteiden osalta CE-merkintä on liitettävä joko 28 artiklassa tarkoitettuun EU-vaatimustenmukaisuusvakuutukseen tai esitettävä ohjelmistotuotteen verkkosivustolla. Jälkimmäisessä tapauksessa verkkosivuston asianomaisen osion on oltava helposti ja suoraan kuluttajien saatavilla.

2. Jos digitaalisia elementtejä sisältävän tuotteen luonne sitä vaatii, tuotteeseen kiinnitetyn CE-merkinnän korkeus voi olla alle 5 mm, kunhan merkintä on kuitenkin näkyvä ja helposti luettavissa.

3. CE-merkintä on kiinnitettävä tuotteeseen ennen sen markkinoille saattamista. Sen yhteyteen voidaan liittää 6 kohdassa tarkoitetuissa täytäntöönpanosäädöksissä vahvistettu erityistä kyberturvallisuusriskiä tai käyttötapaa osoittava kuva- tai muu merkki.

4. CE-merkinnän yhteydessä on esitettävä ilmoitetun laitoksen tunnusnumero, jos kyseinen laitos on osallistunut 32 artiklassa tarkoitettuun täydelliseen laadunvarmistukseen perustuvaan vaatimustenmukaisuuden arviointimenettelyyn (perustuen moduuliin H).

Ilmoitetun laitoksen tunnusnumeron kiinnittää laitos itse tai sen ohjeiden mukaisesti valmistaja tai valmistajan valtuutettu edustaja.

5. Jäsenvaltioiden on nykyisiä mekanismeja hyödyntämällä varmistettava CE-merkintää koskevan järjestelmän moitteeton soveltaminen ja toteutettava tarkoituksenmukaiset toimet, jos tätä merkintää käytetään sääntöjenvastaisesti. Jos digitaalisia elementtejä sisältävät tuotteet kuuluvat sellaisen muun unionin yhdenmukaistamislainsäädännön kuin tämän asetuksen soveltamisalaan, jossa myös säädetään CE-merkinnän kiinnittämisestä, CE-merkinnän on osoitettava, että tuotteet täyttävät myös tällaisessa muussa unionin yhdenmukaistamislainsäädännössä vahvistetut vaatimukset.

6. Komissio voi täytäntöönpanosäädöksin vahvistaa teknisiä eritelmiä, jotka koskevat digitaalisia elementtejä sisältävien tuotteiden tietoturvaan liittyviä merkintöjä, kuvamerkkejä tai muita merkkejä, niiden tukiaikoja sekä mekanismeja, joilla edistetään niiden käyttöä ja lisätään yleistä tietoisuutta digitaalisia elementtejä sisältävien tuotteiden tietoturvasta. Laatiessaan luonnoksia täytäntöönpanosäädöksiksi komissio kuulee asiaankuuluvia sidosryhmiä ja hallinnollisen yhteistyön ryhmää, jos se on jo perustettu 52 artiklan 15 kohdan nojalla. Nämä täytäntöönpanosäädökset hyväksytään 62 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Tekniset asiakirjat

1. Teknisten asiakirjojen on sisällettävä kaikki asiaankuuluvat tiedot tai yksityiskohtaiset kuvaukset keinoista, joilla valmistaja on varmistanut, että digitaalisia elementtejä sisältävä tuote ja valmistajan käyttöön ottamat prosessit täyttävät liitteessä I vahvistetut olennaiset kyberturvallisuusvaatimukset. Asiakirjojen on sisällettävä vähintään liitteessä VII vahvistetut osat.

2. Tekniset asiakirjat on laadittava ennen digitaalisia elementtejä sisältävän tuotteen saattamista markkinoille, ja niitä on tarvittaessa päivitettävä jatkuvasti vähintään tukiajan ajan.

3. Sellaisten 12 artiklassa tarkoitettujen digitaalisia elementtejä sisältävien tuotteiden osalta, joihin sovelletaan myös muita unionin säädöksiä, joissa säädetään teknisistä asiakirjoista, on laadittava kootusti tekniset asiakirjat, jotka sisältävät tämän asetuksen liitteessä VII tarkoitetut tiedot ja kyseisissä unionin muissa säädöksissä vaaditut tiedot.

4. Vaatimustenmukaisuuden arviointimenettelyyn liittyvät tekniset asiakirjat ja kirjeenvaihto on laadittava sen jäsenvaltion virallisella kielellä, johon ilmoitettu laitos on sijoittautunut, tai muulla kyseisen laitoksen hyväksymällä kielellä.

5. Siirretään komissiolle valta antaa 61 artiklan mukaisesti delegoituja säädöksiä, joilla täydennetään tätä asetusta lisäämällä liitteessä VII vahvistettuihin teknisiin asiakirjoihin sisällytettäviä osia, jotta voidaan ottaa huomioon teknologian kehitys sekä tämän asetuksen täytäntöönpanoprosessissa havaittu kehitys. Tätä varten komissio pyrkii varmistamaan, että mikroyrityksille sekä pienille ja keskisuurille yrityksille aiheutuva hallinnollinen rasite on oikeasuhtainen.

Digitaalisia elementtejä sisältävien tuotteiden vaatimustenmukaisuuden arviointimenettelyt

1. Valmistajan on suoritettava digitaalisia elementtejä sisältävän tuotteen ja käyttöön ottamiensa prosessien vaatimustenmukaisuuden arviointi selvittääkseen, täyttävätkö ne liitteessä I vahvistetut olennaiset kyberturvallisuusvaatimukset. Valmistajan on osoitettava olennaisten kyberturvallisuusvaatimusten täyttyminen jollakin seuraavista menettelyistä:

2. Jos valmistaja arvioidessaan, täyttävätkö liitteessä III esitetyn mukainen luokkaan I kuuluva digitaalisia elementtejä sisältävä tärkeä tuote ja sen valmistajan käyttöön ottamat prosessit liitteessä I vahvistetut olennaiset kyberturvallisuusvaatimukset, ei ole käyttänyt tai on käyttänyt vain osittain 27 artiklassa tarkoitettuja yhdenmukaistettuja standardeja, yhteisiä eritelmiä tai eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä varmuustasolla ”korotettu” tai jos tällaisia yhdenmukaistettuja standardeja, yhteisiä eritelmiä tai eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä ei ole olemassa, kyseistä digitaalisia elementtejä sisältävää tuotetta ja valmistajan käyttöön ottamia prosesseja on arvioitava jommassakummassa seuraavista menettelyistä suhteessa kyseisiin olennaisiin kyberturvallisuusvaatimuksiin:

3. Jos tuote on liitteessä III esitetyn mukainen luokkaan II kuuluva digitaalisia elementtejä sisältävä tärkeä tuote, valmistajan on osoitettava, että tuote on täyttää liitteessä I vahvistetut olennaiset kyberturvallisuusvaatimukset käyttäen jotakin seuraavista menettelyistä:

4. Liitteessä IV luetelluista digitaalisia elementtejä sisältävistä kriittisistä tuotteista on osoitettava, että ne täyttävät liitteessä I vahvistetut olennaiset kyberturvallisuusvaatimukset, käyttäen jompaakumpaa seuraavista menettelyistä:

5. Sellaisten vapaiksi ja avoimen lähdekoodin ohjelmistoiksi luokiteltavien digitaalisia elementtejä sisältävien tuotteiden valmistajien, jotka kuuluvat liitteessä III vahvistettuihin ryhmiin, on voitava osoittaa, että tuotteet täyttävät liitteessä I vahvistetut olennaiset kyberturvallisuusvaatimukset, käyttäen jotakin tämän artiklan 1 kohdassa tarkoitetuista menettelyistä edellyttäen, että 31 artiklassa tarkoitetut tekniset asiakirjat ovat yleisesti saatavilla näiden tuotteiden markkinoille saattamisen ajankohtana.

6. Mikroyritysten ja pienten ja keskisuurten yritysten, mukaan lukien startup-yritykset, erityiset edut ja tarpeet on otettava huomioon vaatimustenmukaisuuden arviointimenettelyistä perittäviä maksuja vahvistettaessa ja näitä maksuja on alennettava suhteessa näiden yritysten etuihin ja tarpeisiin.

Tukitoimet mikroyrityksille ja pienille ja keskisuurille yritykselle, mukaan lukien startup-yritykset

1. Jäsenvaltioiden on tarvittaessa toteutettava seuraavat mikroyritysten ja pienten yritysten tarpeisiin räätälöidyt toimet:

2. Jäsenvaltiot voivat tarvittaessa perustaa kyberkestävyyden sääntelyn testiympäristöjä. Tällaisissa sääntelyn testiympäristöissä on oltava innovatiivisille digitaalisia elementtejä sisältäville tuotteille valvottuja testausympäristöjä, joilla helpotetaan niiden kehittämistä, suunnittelua, validointia ja testausta tämän asetuksen noudattamiseksi, rajoitetun ajan ennen markkinoille saattamista. Komissio ja tarvittaessa ENISA voivat tarjota teknistä tukea, neuvontaa ja välineitä sääntelyn testiympäristöjen perustamista ja toimintaa varten. Sääntelyn testiympäristöt on perustettava markkinavalvontaviranomaisten suorassa valvonnassa, ohjauksessa ja niiden tuella. Jäsenvaltioiden on ilmoitettava komissiolle ja muille markkinavalvontaviranomaisille sääntelyn testiympäristön perustamisesta hallinnollisen yhteistyön ryhmän kautta. Sääntelyn testiympäristöt eivät vaikuta toimivaltaisten viranomaisten valvonta- ja korjausvaltuuksiin. Jäsenvaltioiden on varmistettava avoin, oikeudenmukainen ja läpinäkyvä pääsy sääntelyn testiympäristöihin ja erityisesti helpotettava mikroyritysten ja pienten yritysten, myös startup-yritysten, pääsyä niihin.

3. Komissio antaa 26 artiklan mukaisesti mikroyrityksille ja pienille ja keskisuurille yrityksille ohjeita, jotka koskevat tämän asetuksen täytäntöönpanoa.

4. Komissio tekee tunnetuksi unionin nykyisten ohjelmien sääntelykehyksessä saatavilla olevaa taloudellista tukea, jotta se voi erityisesti helpottaa mikroyrityksille ja pienille yrityksille aiheutuvaa taloudellista rasitetta.

5. Mikroyritykset ja pienet yritykset voivat toimittaa liitteessä VII täsmennetyt tekniset asiakirjat yksinkertaistetussa muodossa. Komissio täsmentää tätä varten täytäntöönpanosäädöksin mikroyritysten ja pienten yritysten tarpeisiin suunnattujen yksinkertaistettujen teknisten asiakirjojen muodot, mukaan lukien se, miten liitteessä VII esitetyt osat on toimitettava. Jos mikroyritys tai pieni yritys päättää toimittaa liitteessä VII vahvistetut tiedot yksinkertaistetussa muodossa, sen on käytettävä tässä kohdassa tarkoitettua muotoa. Ilmoitettujen laitosten on hyväksyttävä kyseinen muoto vaatimustenmukaisuuden arviointia varten.

Nämä täytäntöönpanosäädökset hyväksytään 62 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Vastavuoroista tunnustamista koskevat sopimukset

Ottaen huomioon kolmannen maan teknisen kehityksen tason ja vaatimustenmukaisuuden arviointia koskevan toimintamallin unioni voi tehdä vastavuoroista tunnustamista koskevia sopimuksia kolmansien maiden kanssa Euroopan unionin toiminnasta tehdyn sopimuksen 218 artiklan mukaisesti kansainvälisen kaupan edistämiseksi ja helpottamiseksi.

Ilmoittaminen

1. Jäsenvaltioiden on ilmoitettava komissiolle ja muille jäsenvaltioille laitokset, joille on annettu lupa suorittaa vaatimustenmukaisuuden arviointeja tämän asetuksen mukaisesti.

2. Jäsenvaltioiden on pyrittävä varmistamaan 11 päivään joulukuuta 2026 mennessä, että unionissa on riittävä määrä ilmoitettuja laitoksia vaatimustenmukaisuuden arviointien suorittamiseksi, jotta voidaan välttää pullonkaulat ja markkinoille pääsyn esteet.

Ilmoittamisesta vastaavat viranomaiset

1. Kunkin jäsenvaltion on nimettävä ilmoittamisesta vastaava viranomainen, jonka vastuulla on laatia ja toteuttaa tarvittavat menettelyt, jotka liittyvät vaatimustenmukaisuuden arviointilaitosten arviointiin, nimeämiseen ja ilmoittamiseen, sekä valvoa niitä, mukaan lukien sitä, että ne noudattavat 41 artiklaa.

2. Jäsenvaltiot voivat päättää, että 1 kohdassa tarkoitetun arvioinnin ja valvonnan suorittaa asetuksessa (EY) N:o 765/2008 määritelty kansallinen akkreditointielin kyseisen asetuksen mukaisesti.

3. Jos ilmoittamisesta vastaava viranomainen delegoi tai muulla tavoin antaa tehtäväksi tämän artiklan 1 kohdassa tarkoitetun arvioinnin, ilmoittamisen tai valvonnan laitokselle, joka ei ole valtiollinen yksikkö, kyseisen laitoksen on oltava oikeushenkilö ja sen on noudatettava soveltuvin osin 37 artiklaa. Lisäksi kyseisellä laitoksella on oltava käytössä järjestelyt toiminnastaan syntyvien vastuiden kattamiseksi.

4. Ilmoittamisesta vastaavan viranomaisen on otettava täysi vastuu tehtävistä, joita 3 kohdassa tarkoitettu laitos hoitaa.

Ilmoittamisesta vastaavia viranomaisia koskevat vaatimukset

1. Ilmoittamisesta vastaava viranomainen on perustettava siten, ettei vaatimustenmukaisuuden arviointilaitosten kanssa synny eturistiriitaa.

2. Ilmoittamisesta vastaavan viranomaisen on oltava organisaatioltaan ja toiminnaltaan sellainen, että sen toiminnan objektiivisuus ja puolueettomuus on turvattu.

3. Ilmoittamisesta vastaavan viranomaisen on oltava organisaatioltaan sellainen, että kunkin päätöksen, joka koskee vaatimustenmukaisuuden arviointilaitoksen ilmoittamista, tekevät eri toimivaltaiset henkilöt kuin ne, jotka suorittivat arvioinnin.

4. Ilmoittamisesta vastaava viranomainen ei saa tarjota eikä suorittaa mitään toimintoja, joita vaatimustenmukaisuuden arviointilaitokset suorittavat, eikä konsultointipalveluja kaupallisin tai kilpailullisin perustein.

5. Ilmoittamisesta vastaavan viranomaisen on turvattava saamiensa tietojen luottamuksellisuus.

6. Ilmoittamisesta vastaavalla viranomaisella on oltava käytössään riittävä määrä pätevää henkilöstöä tehtäviensä asianmukaista hoitamista varten.

Ilmoittamisesta vastaavien viranomaisten tiedotusvelvollisuus

1. Jäsenvaltioiden on tiedotettava komissiolle menettelyistään, jotka koskevat vaatimustenmukaisuuden arviointilaitosten arviointia ja ilmoittamista sekä ilmoitettujen laitosten valvontaa, sekä mahdollisista muutoksista niihin.

2. Komissio asettaa 1 kohdassa tarkoitetut tiedot julkisesti saataville.

Ilmoitettuja laitoksia koskevat vaatimukset

1. Jotta vaatimustenmukaisuuden arviointilaitos voidaan ilmoittaa, sen on täytettävä 2–12 kohdassa säädetyt vaatimukset.

2. Vaatimustenmukaisuuden arviointilaitos on perustettava kansallisen lainsäädännön mukaisesti, ja sen on oltava oikeushenkilö.

3. Vaatimustenmukaisuuden arviointilaitoksen on oltava arvioimastaan organisaatiosta tai digitaalisia elementtejä sisältävästä tuotteesta riippumaton kolmas osapuoli.

Laitosta, joka kuuluu yrittäjäjärjestöön tai ammattialajärjestöön, joka edustaa yrityksiä, jotka ovat osallisina laitoksen arvioimien digitaalisia elementtejä sisältävien tuotteiden suunnittelussa, kehittämisessä, tuotannossa, toimittamisessa, kokoonpanemisessa, käytössä tai ylläpidossa, voidaan pitää tällaisena kolmantena osapuolena sillä ehdolla, että osoitetaan sen riippumattomuus ja välttyminen eturistiriidoilta.

4. Vaatimustenmukaisuuden arviointilaitos, sen ylin johto ja vaatimustenarviointitehtävien suorittamisesta vastaava henkilöstö eivät saa olla arvioimiensa digitaalisia elementtejä sisältävien tuotteiden suunnittelijoita, kehittäjiä, valmistajia, toimittajia, maahantuojia, jakelijoita, asentajia, ostajia, omistajia, käyttäjiä tai ylläpitäjiä eivätkä minkään tällaisen osapuolen valtuutettuja edustajia. Tämä ei sulje pois sellaisten arvioitujen tuotteiden käyttöä, jotka ovat vaatimustenmukaisuuden arviointilaitoksen toimien kannalta tarpeellisia, tai tällaisten tuotteiden käyttöä henkilökohtaisiin tarkoituksiin.

Vaatimustenmukaisuuden arviointilaitos, sen ylin johto ja vaatimustenmukaisuuden arviointitehtävien suorittamisesta vastaava henkilöstö eivät myöskään saa olla suoranaisesti mukana arvioimiensa digitaalisia elementtejä sisältävien tuotteiden suunnittelussa, kehittämisessä tai tuotannossa, tuonnissa, jakelussa, markkinoinnissa, asentamisessa, käytössä tai ylläpidossa eivätkä edustaa näissä toiminnoissa mukana olevia osapuolia. Ne eivät saa osallistua mihinkään toimintaan, joka voi olla ristiriidassa niiden suorittaman arvioinnin riippumattomuuden kanssa tai vaarantaa niiden luotettavuuden vaatimuksenmukaisuuden arviointitoimissa, joita varten ne on ilmoitettu. Tämä koskee erityisesti konsultointipalveluja.

Vaatimustenmukaisuuden arviointilaitosten on varmistettava, että niiden tytäryhtiöiden tai alihankkijoiden toimet eivät vaikuta niiden suorittamien vaatimustenmukaisuuden arviointitoimien luottamuksellisuuteen, objektiivisuuteen ja puolueettomuuteen.

5. Vaatimustenmukaisuuden arviointilaitosten ja niiden henkilöstön on suoritettava vaatimustenmukaisuuden arviointitoimet mahdollisimman suurta ammatillista luotettavuutta ja kyseisellä erityisalalla vaadittavaa teknistä pätevyyttä noudattaen ja oltava vapaat kaikesta, erityisesti taloudellisesta, painostuksesta ja houkuttelusta, joka saattaisi vaikuttaa niiden arviointiin tai vaatimustenmukaisuuden arviointitoimien tuloksiin, erityisesti niiden henkilöiden tai henkilöryhmien taholta, joille näiden toimien tuloksilla on merkitystä.

6. Vaatimustenmukaisuuden arviointilaitoksen on kyettävä suorittamaan kaikki liitteessä VIII tarkoitetut vaatimustenmukaisuuden arviointitehtävät, joita varten se on ilmoitettu, riippumatta siitä, suorittaako vaatimustenmukaisuuden arviointilaitos kyseiset tehtävät itse vai suoritetaanko ne sen puolesta ja sen vastuulla.

Vaatimustenmukaisuuden arviointilaitoksella on kaikissa tapauksissa ja kunkin sellaisen vaatimustenmukaisuuden arviointimenettelyn ja digitaalisia elementtejä sisältävien tuotteiden tyypin tai ryhmän osalta, jota varten se on ilmoitettu, oltava käytössään:

Vaatimustenmukaisuuden arviointilaitoksella on oltava käytössään tarvittavat keinot vaatimustenmukaisuuden arviointitoimiin liittyvien teknisten ja hallinnollisten tehtävien asianmukaiseen hoitamiseen sekä pääsy kaikkiin tarvittaviin laitteisiin tai tiloihin.

7. Vaatimustenmukaisuuden arviointitoimien suorittamisesta vastaavalla henkilöstöllä on oltava:

8. Vaatimustenmukaisuuden arviointilaitosten, niiden ylimmän johdon ja arviointihenkilöstön puolueettomuus on taattava.

Vaatimustenmukaisuuden arviointilaitoksen ylimmän johdon ja arviointihenkilöstön palkkiot eivät saa olla riippuvaisia suoritettujen arviointien määrästä eivätkä kyseisten arviointien tuloksista.

9. Vaatimustenmukaisuuden arviointilaitosten on otettava vastuuvakuutus, jollei tällainen vastuu kuulu niiden jäsenvaltiolle kansallisen lainsäädännön perusteella tai jollei jäsenvaltio itse ole välittömästi vastuussa vaatimustenmukaisuuden arvioinnista.

10. Vaatimustenmukaisuuden arviointilaitosten henkilöstöllä on vaitiolovelvollisuus kaikkien niiden tietojen suhteen, jotka se saa suorittaessaan tehtäviään liitteen VIII tai sen täytäntöönpanemiseksi annetun kansallisen lainsäädännön säännösten mukaisesti, paitsi sen jäsenvaltion markkinavalvontaviranomaisiin nähden, jossa laitosten toimet suoritetaan. Omistusoikeudet on suojattava. Vaatimustenmukaisuuden arviointilaitoksella on oltava dokumentoidut menettelyt, joilla varmistetaan tämän kohdan noudattaminen.

11. Vaatimustenmukaisuuden arviointilaitosten on osallistuttava asiaankuuluviin standardointitoimiin ja 51 artiklan nojalla perustetun ilmoitettujen laitosten koordinointiryhmän toimiin tai varmistettava, että niiden arviointihenkilöstö saa niistä tiedon, ja sovellettava yleisinä ohjeina kyseisen ryhmän työn tuloksena laadittuja hallinnollisia päätöksiä ja asiakirjoja.

12. Vaatimustenmukaisuuden arviointilaitosten on toimittava johdonmukaisilla, oikeudenmukaisilla, oikeasuhtaisilla ja kohtuullisilla ehdoilla ja vältettävä aiheuttamasta talouden toimijoille tarpeetonta rasitetta sekä otettava erityisesti huomioon maksuihin liittyvät mikroyritysten sekä pienten ja keskisuurten yritysten edut.

Ilmoitettujen laitosten vaatimustenmukaisuusolettama

Jos vaatimustenmukaisuuden arviointilaitos voi osoittaa olevansa sellaisissa olennaisissa yhdenmukaistetuissa standardeissa tai niiden osissa vahvistettujen edellytysten mukainen, joiden viitetiedot on julkaistu Euroopan unionin virallisessa lehdessä, sen oletetaan täyttävän 39 artiklassa säädetyt vaatimukset siltä osin kuin sovellettavat yhdenmukaistetut standardit kattavat nämä vaatimukset.

Ilmoitettujen laitosten tytäryhtiöt ja alihankinta

1. Jos ilmoitettu laitos teettää yksittäisiä vaatimustenmukaisuuden arviointiin liittyviä tehtäviä alihankintana tai käyttää tytäryhtiötä, sen on varmistettava, että alihankkija tai tytäryhtiö täyttää 39 artiklassa säädetyt vaatimukset, ja ilmoitettava asiasta ilmoittamisesta vastaavalle viranomaiselle.

2. Ilmoitettujen laitosten on otettava täysi vastuu alihankkijoiden tai tytäryhtiöiden suorittamista tehtävistä riippumatta siitä, mihin nämä ovat sijoittautuneet.

3. Toimia voidaan teettää alihankintana tai tytäryhtiöllä ainoastaan, jos siitä on sovittu valmistajan kanssa.

4. Ilmoitettujen laitosten on pidettävä ilmoittamisesta vastaavan viranomaisen saatavilla asiakirjat, jotka koskevat alihankkijan tai tytäryhtiön pätevyyden arviointia sekä työtä, jota nämä suorittavat tämän asetuksen nojalla.

Ilmoittamista koskeva hakemus

1. Vaatimustenmukaisuuden arviointilaitoksen on toimitettava ilmoittamista koskeva hakemus sen jäsenvaltion ilmoittamisesta vastaavalle viranomaiselle, johon se on sijoittautunut.

2. Hakemukseen on liitettävä kuvaus vaatimustenmukaisuuden arviointitoimista, vaatimustenmukaisuuden arviointimenettelystä tai -menettelyistä ja yhdestä tai useammasta digitaalisia elementtejä sisältävästä tuotteesta, jonka osalta laitos katsoo olevansa pätevä, sekä tapauksen mukaan akkreditointitodistus, jonka kansallinen akkreditointielin on antanut ja jossa todistetaan, että vaatimustenmukaisuuden arviointilaitos täyttää 39 artiklassa säädetyt vaatimukset.

3. Jos asianomainen vaatimustenmukaisuuden arviointilaitos ei voi toimittaa akkreditointitodistusta, sen on toimitettava ilmoittamisesta vastaavalle viranomaiselle kaikki tarpeelliset asiakirjatodisteet, joiden avulla voidaan varmentaa, todeta ja säännöllisesti valvoa, että se täyttää 39 artiklassa säädetyt vaatimukset.

Ilmoitusmenettely

1. Ilmoittamisesta vastaavien viranomaisten on ilmoitettava ainoastaan sellaiset vaatimustenmukaisuuden arviointilaitokset, jotka ovat täyttäneet 39 artiklassa säädetyt vaatimukset.

2. Ilmoittamisesta vastaavan viranomaisen on ilmoitettava asiasta komissiolle ja muille jäsenvaltioille käyttäen komission kehittämää ja hallinnoimaa uuden lähestymistavan mukaista ilmoitettujen ja nimettyjen organisaatioiden tietojärjestelmää.

3. Ilmoituksessa on oltava tarkat tiedot vaatimustenmukaisuuden arviointitoimista, vaatimustenmukaisuuden arviointimoduulista tai -moduuleista sekä kyseessä olevasta yhdestä tai useammasta digitaalisia elementtejä sisältävästä tuotteesta sekä asiaankuuluva todistus pätevyydestä.

4. Jos ilmoitus ei perustu 42 artiklan 2 kohdassa tarkoitettuun akkreditointitodistukseen, ilmoittamisesta vastaavan viranomaisen on toimitettava komissiolle ja muille jäsenvaltioille asiakirjatodisteet, joiden avulla voidaan todistaa vaatimustenmukaisuuden arviointilaitoksen pätevyys ja käytössä olevat järjestelyt, joilla varmistetaan, että laitosta valvotaan säännöllisesti ja että se täyttää edelleen 39 artiklassa säädetyt vaatimukset.

5. Asianomainen laitos voi suorittaa ilmoitetun laitoksen tehtäviä ainoastaan, jos komissio ja muut jäsenvaltiot eivät esitä vastalauseita kahden viikon kuluessa ilmoittamisesta siinä tapauksessa, että käytetään akkreditointitodistusta, tai kahden kuukauden kuluessa ilmoittamisesta siinä tapauksessa, että akkreditointia ei käytetä.

Ainoastaan tällaista laitosta on pidettävä tässä asetuksessa tarkoitettuna ilmoitettuna laitoksena.

6. Komissiolle ja muille jäsenvaltioille on ilmoitettava myöhemmistä merkityksellisistä muutoksista kyseiseen ilmoitukseen.

Ilmoitettujen laitosten tunnusnumerot ja luettelot

1. Komissio antaa ilmoitetulle laitokselle tunnusnumeron.

Se antaa vain yhden tunnusnumeron myös silloin, kun laitos ilmoitetaan usean unionin säädöksen nojalla.

2. Komissio asettaa yleisesti saataville tämän asetuksen nojalla ilmoitettujen laitosten luettelon, joka sisältää laitoksille annetut tunnusnumerot ja toimet, joita varten ne on ilmoitettu.

Komissio huolehtii luettelon pitämisestä ajan tasalla.

Muutokset ilmoituksiin

1. Jos ilmoittamisesta vastaava viranomainen on todennut tai saanut tietää, ettei ilmoitettu laitos enää täytä 39 artiklassa säädettyjä vaatimuksia tai ettei se noudata velvollisuuksiaan, ilmoittamisesta vastaavan viranomaisen on tarpeen mukaan rajoitettava ilmoitusta taikka peruutettava se toistaiseksi tai kokonaan sen mukaan, miten vakavaa vaatimusten täyttämättä jättäminen tai velvollisuuksien noudattamatta jättäminen on ollut. Sen on ilmoitettava asiasta välittömästi komissiolle ja muille jäsenvaltioille.

2. Jos ilmoitusta rajoitetaan tai se peruutetaan toistaiseksi tai kokonaan tai jos ilmoitettu laitos on lopettanut toimintansa, ilmoituksen tehneen jäsenvaltion on toteutettava asianmukaiset toimenpiteet varmistaakseen, että kyseisen laitoksen asiakirja-aineistot joko käsittelee toinen ilmoitettu laitos tai ne ovat asianomaisten ilmoittamisesta vastaavien viranomaisten ja markkinavalvontaviranomaisten saatavilla näiden pyynnöstä.

Ilmoitettujen laitosten pätevyyden riitauttaminen

1. Komissio tutkii kaikki tapaukset, joissa sillä on tai sen tietoon saatetaan epäilyksiä, jotka koskevat ilmoitetun laitoksen pätevyyttä tai sitä, onko se täyttänyt tai täyttääkö se edelleen sille asetetut vaatimukset ja velvollisuudet.

2. Ilmoituksen tehneen jäsenvaltion on toimitettava pyynnöstä komissiolle kaikki tiedot, jotka liittyvät ilmoituksen perusteisiin tai asianomaisen laitoksen pätevyyden ylläpitoon.

3. Komissio varmistaa, että kaikkia sen tutkimusten yhteydessä saatuja arkaluonteisia tietoja käsitellään luottamuksellisesti.

4. Jos komissio toteaa, että ilmoitettu laitos ei ole täyttänyt tai ei enää täytä sen ilmoittamiselle asetettuja vaatimuksia, se ilmoittaa asiasta ilmoituksen tehneelle jäsenvaltiolle ja pyytää sitä toteuttamaan tarvittavat korjaavat toimenpiteet, mukaan lukien ilmoituksen peruuttaminen tarvittaessa.

Ilmoitettujen laitosten toimintaan liittyvät velvollisuudet

1. Ilmoitettujen laitosten on suoritettava vaatimustenmukaisuuden arvioinnit 32 artiklassa ja liitteessä VIII säädettyjen vaatimustenmukaisuuden arviointimenettelyjen mukaisesti.

2. Vaatimustenmukaisuuden arvioinnit on suoritettava oikeasuhtaisesti siten, ettei talouden toimijoille aiheuteta tarpeetonta rasitetta. Vaatimustenmukaisuuden arviointilaitosten on tehtäviään hoitaessaan otettava asianmukaisesti huomioon yrityksen koko, erityisesti mikroyritysten sekä pienten ja keskisuurten yritysten osalta, toimiala ja rakenne, kyseisten digitaalisia elementtejä sisältävien tuotteiden ja käytettävän teknologian monimutkaisuus ja kyberturvallisuusriskien taso sekä tuotantoprosessin massa- tai sarjatuotantoluonne.

3. Ilmoitettujen laitosten on kuitenkin noudatettava sellaista tarkkuutta ja suojelun tasoa, jota digitaalisia elementtejä sisältävien tuotteiden vaatimustenmukaisuudelta edellytetään tämän asetuksen mukaisesti.

4. Jos ilmoitettu laitos katsoo, että valmistaja ei ole täyttänyt vaatimuksia, jotka vahvistetaan liitteessä I tai vastaavissa yhdenmukaistetuissa standardeissa tai 27 artiklassa tarkoitetuissa yhteisissä eritelmissä, sen on vaadittava valmistajaa toteuttamaan asianmukaiset korjaavat toimenpiteet eikä se saa antaa vaatimustenmukaisuustodistusta.

5. Jos ilmoitettu laitos katsoo todistuksen antamisen jälkeen suoritettavan vaatimustenmukaisuuden valvonnan yhteydessä, ettei digitaalisia elementtejä sisältävä tuote enää täytä tässä asetuksessa säädettyjä vaatimuksia, sen on vaadittava valmistajaa toteuttamaan asianmukaiset korjaavat toimenpiteet ja tarvittaessa peruutettava todistus toistaiseksi tai kokonaan.

6. Jos korjaavia toimenpiteitä ei toteuteta tai niillä ei ole vaadittua vaikutusta, ilmoitetun laitoksen on tarpeen mukaan rajoitettava myöntämiään todistuksia tai peruutettava ne toistaiseksi tai kokonaan.

Muutoksenhaku ilmoitettujen laitosten päätöksiin

Jäsenvaltioiden on varmistettava, että käytettävissä on menettely muutoksen hakemiseksi ilmoitettujen laitosten päätöksiin.

Ilmoitettujen laitosten tiedotusvelvollisuus

1. Ilmoitettujen laitosten on tiedotettava ilmoittamisesta vastaavalle viranomaiselle seuraavista:

2. Ilmoitettujen laitosten on toimitettava muille tämän asetuksen nojalla ilmoitetuille laitoksille, jotka suorittavat samat digitaalisia elementtejä sisältävät tuotteet kattavia samanlaisia vaatimustenmukaisuuden arviointitoimia, asiaankuuluvat tiedot kysymyksistä, jotka liittyvät vaatimustenmukaisuuden arvioinnin kielteisiin tuloksiin ja pyynnöstä myös myönteisiin tuloksiin.

Kokemusten vaihto

Komissio huolehtii kokemusten vaihdon järjestämisestä ilmoittamista koskevista toimintalinjoista vastaavien jäsenvaltioiden kansallisten viranomaisten välillä.

Ilmoitettujen laitosten koordinointi

1. Komissio varmistaa, että ilmoitettujen laitosten välillä otetaan käyttöön asianmukainen koordinointi ja yhteistyö ja että näitä harjoitetaan asianmukaisella tavalla ilmoitettujen laitosten monialaisessa ryhmässä.

2. Jäsenvaltioiden on varmistettava, että niiden ilmoittamat laitokset osallistuvat kyseisen ryhmän työhön suoraan tai nimettyjen edustajien välityksellä.

Markkinavalvonta ja digitaalisia elementtejä sisältäville tuotteille unionin markkinoilla tehtävät tarkastukset

1. Tämän asetuksen soveltamisalaan kuuluviin digitaalisia elementtejä sisältäviin tuotteisiin sovelletaan asetusta (EU) 2019/1020.

2. Kunkin jäsenvaltion on nimettävä yksi tai useampi markkinavalvontaviranomainen tämän asetuksen tehokkaan täytäntöönpanon varmistamiseksi. Jäsenvaltiot voivat nimetä tätä asetusta varten markkinavalvontaviranomaiseksi jo olemassa olevan tai uuden viranomaisen.

3. Tämän artiklan 2 kohdan mukaisesti nimetyt markkinavalvontaviranomaiset vastaavat myös markkinavalvontatoimista, jotka liittyvät 24 artiklassa säädettyihin avoimen lähdekoodin ohjelmistovastaavien velvollisuuksiin. Jos markkinavalvontaviranomainen toteaa, että avoimen lähdekoodin ohjelmistovastaava ei noudata mainitussa artiklassa säädettyjä velvollisuuksia, sen on vaadittava avoimen lähdekoodin ohjelmistovastaavaa varmistamaan, että kaikki asianmukaiset korjaavat toimenpiteet toteutetaan. Avoimen lähdekoodin ohjelmistovastaavien on varmistettava, että kaikki asianmukaiset korjaavat toimenpiteet toteutetaan niiden tämän asetuksen mukaisten velvollisuuksien noudattamiseksi.

4. Markkinavalvontaviranomaisten on tarvittaessa tehtävä yhteistyötä asetuksen (EU) 2019/881 58 artiklan nojalla nimettyjen kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten kanssa ja vaihdettava säännöllisesti niiden kanssa tietoja. Tämän asetuksen 14 artiklan mukaisten raportointivelvoitteiden noudattamisen valvonnan osalta nimettyjen markkinavalvontaviranomaisten on tehtävä yhteistyötä ja vaihdettava säännöllisesti tietoja koordinaattoreiksi nimettyjen CSIRT-yksiköiden ja ENISAn kanssa.

5. Markkinavalvontaviranomaiset voivat pyytää koordinaattoriksi nimettyä CSIRT-yksikköä tai ENISAa antamaan teknistä neuvontaa asioissa, jotka liittyvät tämän asetuksen täytäntöönpanoon ja sen noudattamisen valvontaan. Markkinavalvontaviranomaiset voivat 54 artiklan mukaista tutkimusta suorittaessaan pyytää koordinaattoriksi nimettyä CSIRT-yksikköä tai ENISAa esittämään analyysin digitaalisia elementtejä sisältävien tuotteiden vaatimustenmukaisuuden arviointien tueksi.

6. Markkinavalvontaviranomaisten on tarvittaessa tehtävä yhteistyötä muiden markkinavalvontaviranomaisten kanssa, jotka on nimetty muun unionin yhdenmukaistamislainsäädännön kuin tämän asetuksen perusteella, ja vaihdettava säännöllisesti niiden kanssa tietoja.

7. Markkinavalvontaviranomaisten on tarvittaessa tehtävä yhteistyötä unionin tietosuojalainsäädäntöä valvovien viranomaisten kanssa. Tällaiseen yhteistyöhön sisältyy tiedottaminen kyseisille viranomaisille niiden toimivaltuuksien käytön kannalta merkityksellisistä havainnoista, myös silloin, kun annetaan ohjeita ja neuvoja 10 kohdan mukaisesti, jos ohjeet ja neuvot koskevat henkilötietojen käsittelyä.

Unionin tietosuojalainsäädäntöä valvovilla viranomaisilla on oltava valtuudet pyynnöstä tutustua kaikkiin tämän asetuksen nojalla laadittuihin tai ylläpidettyihin asiakirjoihin, jos mahdollisuus tutustua kyseisiin asiakirjoihin on tarpeen niiden tehtävien hoitamiseksi. Niiden on ilmoitettava tällaisesta pyynnöstä asianomaisen jäsenvaltion nimetyille markkinavalvontaviranomaisille.

8. Jäsenvaltioiden on varmistettava, että nimetyille markkinavalvontaviranomaisille annetaan riittävät taloudelliset ja tekniset resurssit, mukaan lukien tarvittaessa käsittelyn automatisointivälineet, sekä henkilöstöresurssit, joilla on riittävät kyberturvallisuustaidot, jotta markkinavalvontaviranomaiset voivat hoitaa tämän asetuksen mukaiset tehtävänsä.

9. Komissio kannustaa kokemusten vaihtoon nimettyjen markkinavalvontaviranomaisten välillä ja helpottaa tätä vaihtoa.

10. Markkinavalvontaviranomaiset voivat komission sekä tarvittaessa CSIRT-yksiköiden ja ENISAn tuella antaa talouden toimijoille ohjeita ja neuvoja tämän asetuksen täytäntöönpanosta.

11. Markkinavalvontaviranomaisten on ilmoitettava kuluttajille, mitä kautta he voivat tehdä valituksia, jotka saattavat viitata tämän asetuksen vaatimusten vastaisuuteen, asetuksen (EU) 2019/1020 11 artiklan mukaisesti, ja annettava kuluttajille tietoa siitä, mistä löytää ja miten käyttää mekanismeja, joilla helpotetaan sellaisista haavoittuvuuksista, poikkeamista ja kyberuhkista ilmoittamista, jotka voivat vaikuttaa digitaalisia elementtejä sisältäviin tuotteisiin.

12. Markkinavalvontaviranomaisten on tarvittaessa helpotettava yhteistyötä asiaankuuluvien sidosryhmien, myös tiede-, tutkimus- ja kuluttajajärjestöjen, kanssa.

13. Markkinavalvontaviranomaisten on raportoitava vuosittain komissiolle asiaankuuluvien markkinavalvontatoimien tuloksista. Nimettyjen markkinavalvontaviranomaisten on ilmoitettava viipymättä komissiolle ja asianomaisille kansallisille kilpailuviranomaisille kaikki markkinavalvontatoimien yhteydessä esiin tulleet tiedot, joilla voi olla merkitystä unionin kilpailulainsäädännön soveltamisen kannalta.

14. Kun on kyse tämän asetuksen soveltamisalaan kuuluvista digitaalisia elementtejä sisältävistä tuotteista, jotka luokitellaan suuririskisiksi tekoälyjärjestelmiksi asetuksen (EU) 2024/1689 6 artiklan nojalla, kyseistä asetusta varten nimetyt markkinavalvontaviranomaiset vastaavat myös tämän asetuksen nojalla vaadituista markkinavalvontatoimista. Asetuksen (EU) 2024/1689 nojalla nimettyjen markkinavalvontaviranomaisten on tarvittaessa tehtävä yhteistyötä tämän asetuksen nojalla nimettyjen markkinavalvontaviranomaisten kanssa ja tämän asetuksen 14 artiklan mukaisten raportointivelvoitteiden noudattamisen valvonnan osalta koordinaattoreiksi nimettyjen CSIRT-yksiköiden ja ENISAn kanssa. Asetuksen (EU) 2024/1689 nojalla nimettyjen markkinavalvontaviranomaisten on erityisesti ilmoitettava tämän asetuksen nojalla nimetyille markkinavalvontaviranomaisille kaikista havainnoista, joilla on merkitystä niiden tämän asetuksen täytäntöönpanoon liittyvien tehtävien hoitamisen kannalta.

15. Tämän asetuksen yhdenmukaista soveltamista varten perustetaan hallinnollisen yhteistyön ryhmä asetuksen (EU) 2019/1020 30 artiklan 2 kohdan nojalla. Hallinnollisen yhteistyön ryhmä koostuu nimettyjen markkinavalvontaviranomaisten edustajista ja tarvittaessa yhteyspisteiden edustajista. Hallinnollisen yhteistyön ryhmä käsittelee myös markkinavalvontatoimiin liittyviä erityiskysymyksiä, jotka koskevat avoimen lähdekoodin ohjelmistovastaaville asetettuja velvollisuuksia.

16. Markkinavalvontaviranomaisten on seurattava, miten valmistajat ovat soveltaneet 13 artiklan 8 kohdassa tarkoitettuja kriteerejä määrittäessään digitaalisia elementtejä sisältävien tuotteidensa tukiaikaa.

Hallinnollisen yhteistyön ryhmän on julkaistava yleisesti saatavilla olevassa ja käyttäjäystävällisessä muodossa asiaankuuluvat tilastot digitaalisia elementtejä sisältävien tuotteiden ryhmistä, mukaan lukien niiden keskimääräinen tukiaika sellaisena kuin valmistaja on sen määrittänyt 13 artiklan 8 kohdan mukaisesti, sekä annettava ohjeita, joihin sisältyvät digitaalisia elementtejä sisältävien tuotteiden ryhmien ohjeelliset tukiajat.

Jos tiedot viittaavat siihen, että tukiaika on tietyissä digitaalisia elementtejä sisältävien tuotteiden ryhmissä riittämätön, hallinnollisen yhteistyön ryhmä voi antaa markkinavalvontaviranomaisille suosituksia, että ne keskittyisivät toiminnassaan tällaisiin digitaalisia elementtejä sisältävien tuotteiden ryhmiin.

Tietojen ja dokumentaation saatavuus

Jos se on tarpeen sen arvioimiseksi, täyttävätkö digitaalisia elementtejä sisältävät tuotteet ja niiden valmistajien käyttöön ottamat prosessit liitteessä I vahvistetut olennaiset kyberturvallisuusvaatimukset, markkinavalvontaviranomaisille on myönnettävä perustellusta pyynnöstä pääsy niiden helposti ymmärtämällä kielellä tietoihin, joita tarvitaan tällaisten tuotteiden suunnittelun, kehittämisen, tuotannon ja haavoittuvuuksien käsittelyn arvioimiseksi, mukaan lukien asiaankuuluvan talouden toimijan asiaan liittyvä sisäinen dokumentaatio.

Kansallisen tason menettely digitaalisia elementtejä sisältäviä merkittävän kyberturvallisuusriskin aiheuttavia tuotteita varten

1. Jos jäsenvaltion markkinavalvontaviranomaisella on riittävä peruste katsoa, että digitaalisia elementtejä sisältävä tuote, mukaan lukien sen haavoittuvuuksien käsittely, aiheuttaa merkittävän kyberturvallisuusriskin, sen on arvioitava ilman aiheetonta viivytystä ja tarvittaessa yhteistyössä asiaankuuluvan CSIRT-yksikön kanssa, täyttääkö kyseinen digitaalisia elementtejä sisältävä tuote kaikki tässä asetuksessa säädetyt vaatimukset. Asiaankuuluvien talouden toimijoiden on tehtävä tarpeen mukaan yhteistyötä markkinavalvontaviranomaisen kanssa.

Jos markkinavalvontaviranomainen havaitsee arvioinnin yhteydessä, että digitaalisia elementtejä sisältävä tuote ei täytä tässä asetuksessa säädettyjä vaatimuksia, sen on vaadittava viipymättä asiaankuuluvaa talouden toimijaa toteuttamaan kaikki tarvittavat korjaavat toimenpiteet digitaalisia elementtejä sisältävän tuotteen saattamiseksi vastaamaan kyseisiä vaatimuksia tai sen poistamiseksi markkinoilta tai sitä koskevan palautusmenettelyn järjestämiseksi markkinavalvontaviranomaisen määrittämän sellaisen kohtuullisen ajanjakson kuluessa, joka on oikeassa suhteessa kyberturvallisuusriskin luonteeseen.

Markkinavalvontaviranomaisten on ilmoitettava tästä asianomaiselle ilmoitetulle laitokselle. Korjaaviin toimenpiteisiin sovelletaan asetuksen (EU) 2019/1020 18 artiklaa.

2. Kun markkinavalvontaviranomaiset määrittävät tämän artiklan 1 kohdassa tarkoitetun kyberturvallisuusriskin merkittävyyttä, niiden on otettava huomioon myös muut kuin tekniset riskitekijät, erityisesti ne, jotka on vahvistettu direktiivin (EU) 2022/2555 22 artiklan mukaisesti tehtyjen kriittisiä toimitusketjuja koskevien unionin tason koordinoitujen turvallisuusriskinarviointien tuloksena. Jos markkinavalvontaviranomaisella on riittävä peruste katsoa, että digitaalisia elementtejä sisältävä tuote aiheuttaa merkittävän kyberturvallisuusriskin muiden kuin teknisten riskitekijöiden vuoksi, sen on ilmoitettava tästä direktiivin (EU) 2022/2555 8 artiklan nojalla nimetyille tai perustetuille toimivaltaisille viranomaisille sekä tehtävä tarpeen mukaan yhteistyötä kyseisten viranomaisten kanssa.

3. Jos markkinavalvontaviranomainen katsoo, että vaatimustenvastaisuus ei rajoitu sen kansalliselle alueelle, sen on ilmoitettava komissiolle ja muille jäsenvaltioille arvioinnin tuloksista ja toimenpiteistä, jotka se on vaatinut talouden toimijaa toteuttamaan.

4. Talouden toimijan on varmistettava, että kaikki asianmukaiset korjaavat toimenpiteet toteutetaan kaikkien niiden digitaalisia elementtejä sisältävien tuotteiden osalta, jotka se on asettanut saataville markkinoilla unionin alueella.

5. Jos talouden toimija ei 1 kohdan toisessa alakohdassa tarkoitetun ajanjakson kuluessa toteuta riittäviä korjaavia toimenpiteitä, markkinavalvontaviranomaisen on toteutettava kaikki tarvittavat väliaikaiset toimenpiteet, joilla kielletään kyseisen digitaalisia elementtejä sisältävän tuotteen asettaminen saataville sen kansallisilla markkinoilla tai rajoitetaan sitä taikka joilla tuote poistetaan kyseisiltä markkinoilta tai järjestetään sitä koskeva palautusmenettely.

Markkinavalvontaviranomaisen on viipymättä ilmoitettava komissiolle ja muille jäsenvaltioille näistä toimenpiteistä.

6. Edellä 5 kohdassa tarkoitettuun ilmoitukseen on sisällyttävä kaikki saatavilla olevat yksityiskohtaiset tiedot ja erityisesti tiedot, jotka ovat tarpeen vaatimustenvastaisen digitaalisia elementtejä sisältävän tuotteen tunnistamista ja kyseisen tuotteen alkuperän, siihen liittyvän väitetyn vaatimustenvastaisuuden ja riskin luonteen ja toteutettujen kansallisten toimenpiteiden luonteen ja keston määrittämistä varten, sekä asiaankuuluvan talouden toimijan esittämät perustelut. Markkinavalvontaviranomaisen on erityisesti ilmoitettava, johtuuko vaatimustenvastaisuus yhdestä tai useammasta seuraavista:

7. Muiden jäsenvaltioiden markkinavalvontaviranomaisten kuin menettelyn aloittaneen jäsenvaltion markkinavalvontaviranomaisen on viipymättä ilmoitettava komissiolle ja muille jäsenvaltioille kaikki toteutetut toimenpiteet ja kaikki niiden hallussa olevat lisätiedot, jotka liittyvät kyseisen digitaalisia elementtejä sisältävän tuotteen vaatimustenvastaisuuteen, sekä vastalauseensa siinä tapauksessa, että ilmoitetusta kansallisesta toimenpiteestä on erimielisyyttä.

8. Jos mikään jäsenvaltio tai komissio ei ole kolmen kuukauden kuluessa tämän artiklan 5 kohdassa tarkoitetun ilmoituksen vastaanottamisesta esittänyt vastalausetta jonkin jäsenvaltion toteuttaman väliaikaisen toimenpiteen johdosta, toimenpiteen katsotaan olevan oikeutettu. Tämä ei rajoita asianomaisen talouden toimijan asetuksen (EU) 2019/1020 18 artiklan mukaisia menettelyllisiä oikeuksia.

9. Kaikkien jäsenvaltioiden markkinavalvontaviranomaisten on varmistettava, että kyseistä digitaalisia elementtejä sisältävää tuotetta koskevat asianmukaiset rajoittavat toimenpiteet, kuten kyseisen tuotteen poistaminen markkinoilta, toteutetaan viipymättä.

Unionin suojamenettely

1. Jos kolmen kuukauden kuluessa 54 artiklan 5 kohdassa tarkoitetun ilmoituksen vastaanottamisesta jokin jäsenvaltio esittää vastalauseen toisen jäsenvaltion toteuttaman toimenpiteen johdosta tai jos komissio pitää toimenpidettä unionin oikeuden vastaisena, komissio ryhtyy viipymättä kuulemaan asianomaista jäsenvaltiota ja asianomaista talouden toimijaa tai asianomaisia talouden toimijoita ja arvioi kansallisen toimenpiteen. Tämän arvioinnin tulosten perusteella komissio päättää, onko kansallinen toimenpide oikeutettu vai ei, yhdeksän kuukauden kuluessa 54 artiklan 5 kohdassa tarkoitetusta ilmoituksesta ja antaa kyseisen päätöksen tiedoksi asianomaiselle jäsenvaltiolle.

2. Jos kansallisen toimenpiteen katsotaan olevan oikeutettu, kaikkien jäsenvaltioiden on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että vaatimustenvastainen digitaalisia elementtejä sisältävä tuote poistetaan niiden markkinoilta, ja niiden on ilmoitettava asiasta komissiolle. Jos kansallisen toimenpiteen ei katsota olevan oikeutettu, asianomaisen jäsenvaltion on peruutettava toimenpide.

3. Jos kansallisen toimenpiteen katsotaan olevan oikeutettu ja digitaalisia elementtejä sisältävän tuotteen vaatimustenvastaisuuden katsotaan johtuvan puutteista yhdenmukaistetuissa standardeissa, komissio soveltaa asetuksen (EU) N:o 1025/2012 11 artiklassa säädettyä menettelyä.

4. Jos kansallisen toimenpiteen katsotaan olevan oikeutettu ja digitaalisia elementtejä sisältävän tuotteen vaatimustenvastaisuuden katsotaan johtuvan puutteista 27 artiklassa tarkoitetussa eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä, komissio harkitsee, muutetaanko tai kumotaanko 27 artiklan 9 kohdan nojalla annettu delegoitu säädös, jossa vahvistetaan kyseistä sertifiointijärjestelmää koskeva vaatimustenmukaisuusolettama.

5. Jos kansallisen toimenpiteen katsotaan olevan oikeutettu ja digitaalisia elementtejä sisältävän tuotteen vaatimustenvastaisuuden katsotaan johtuvan puutteista 27 artiklassa tarkoitetuissa yhteisissä eritelmissä, komissio harkitsee, muutetaanko tai kumotaanko 27 artiklan 2 kohdan nojalla annettu täytäntöönpanosäädös, jossa vahvistetaan kyseiset yhteiset eritelmät.

Unionin tason menettely digitaalisia elementtejä sisältäviä merkittävän kyberturvallisuusriskin aiheuttavia tuotteita varten

1. Jos komissiolla on riittävä peruste katsoa, myös ENISAn toimittamien tietojen perusteella, että merkittävän kyberturvallisuusriskin aiheuttava digitaalisia elementtejä sisältävä tuote ei täytä tässä asetuksessa säädettyjä vaatimuksia, se ilmoittaa tästä asiaankuuluville markkinavalvontaviranomaisille. Jos markkinavalvontaviranomaiset suorittavat arvioinnin siitä, täyttääkö kyseinen digitaalisia elementtejä sisältävä tuote, joka voi aiheuttaa merkittävän kyberturvallisuusriskin, tässä asetuksessa säädetyt vaatimukset, sovelletaan 54 ja 55 artiklassa tarkoitettuja menettelyjä.

2. Jos komissiolla on riittävä peruste katsoa, että digitaalisia elementtejä sisältävä tuote aiheuttaa merkittävän kyberturvallisuusriskin muiden kuin teknisten riskitekijöiden vuoksi, se ilmoittaa tästä asiaankuuluville markkinavalvontaviranomaisille ja tarvittaessa direktiivin (EU) 2022/2555 8 artiklan nojalla nimetyille tai perustetuille toimivaltaisille viranomaisille ja tekee tarpeen mukaan yhteistyötä kyseisten viranomaisten kanssa. Komissio tarkastelee myös kyseiseen digitaalisia elementtejä sisältävään tuotteeseen liittyvien tunnistettujen riskien merkityksellisyyttä osana tehtäviään, jotka liittyvät direktiivin (EU) 2022/2555 22 artiklassa säädettyihin kriittisten toimitusketjujen unionin tason koordinoituihin turvallisuusriskinarviointeihin, ja kuulee tarvittaessa direktiivin (EU) 2022/2555 14 artiklan nojalla perustettua yhteistyöryhmää ja ENISAa.

3. Olosuhteissa, joissa on perusteltua toteuttaa välittömiä toimia sisämarkkinoiden moitteettoman toiminnan säilyttämiseksi, ja jos komissiolla on riittävä peruste katsoa, että 1 kohdassa tarkoitettu digitaalisia elementtejä sisältävä tuote ei edelleenkään täytä tässä asetuksessa säädettyjä vaatimuksia, eivätkä asiaankuuluvat markkinavalvontaviranomaiset ole toteuttaneet tuloksellisia toimenpiteitä, komissio suorittaa vaatimustenmukaisuuden arvioinnin ja voi pyytää ENISAa esittämään analyysin sen tueksi. Komissio ilmoittaa asiasta asiaankuuluville markkinavalvontaviranomaisille. Asiaankuuluvien talouden toimijoiden on tehtävä tarpeen mukaan yhteistyötä ENISAn kanssa.

4. Edellä 3 kohdassa tarkoitetun arvioinnin perusteella komissio voi päättää, että unionin tasolla tarvitaan korjaava tai rajoittava toimenpide. Tätä varten se kuulee viipymättä asianomaisia jäsenvaltioita ja asiaankuuluvaa talouden toimijaa tai asiaankuuluvia talouden toimijoita.

5. Tämän artiklan 4 kohdassa tarkoitetun kuulemisen perusteella komissio voi antaa täytäntöönpanosäädöksiä, joissa säädetään unionin tason korjaavista tai rajoittavista toimenpiteistä, joihin voi sisältyä vaatimus asianomaisia digitaalisia elementtejä sisältävien tuotteiden poistamisesta markkinoilta tai niitä koskevan palautusmenettelyn järjestämisestä sellaisen kohtuullisen ajan kuluessa, joka on oikeassa suhteessa riskin luonteeseen. Nämä täytäntöönpanosäädökset hyväksytään 62 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

6. Komissio antaa 5 kohdassa tarkoitetut täytäntöönpanosäädökset viipymättä tiedoksi asiaankuuluvalle talouden toimijalle tai asiaankuuluville talouden toimijoille. Jäsenvaltioiden on pantava nämä täytäntöönpanosäädökset täytäntöön viipymättä ja ilmoitettava tästä komissiolle.

7. Edellä olevia 3–6 kohtaa sovelletaan komission toimenpiteen perusteena olleen poikkeuksellisen tilanteen keston ajan, mikäli kyseistä digitaalisia elementtejä sisältävää tuotetta ei ole saatettu tämän asetuksen mukaiseksi.

Vaatimustenmukaiset digitaalisia elementtejä sisältävät tuotteet, jotka aiheuttavat merkittävän kyberturvallisuusriskin

1. Jäsenvaltion markkinavalvontaviranomaisen on vaadittava talouden toimijaa toteuttamaan kaikki asianmukaiset toimenpiteet, jos se 54 artiklan mukaisen arvioinnin suoritettuaan toteaa, että vaikka digitaalisia elementtejä sisältävä tuote ja valmistajan käyttöön ottamat prosessit täyttävät tämän asetuksen vaatimukset, ne aiheuttavat merkittävän kyberturvallisuusriskin sekä riskin

Ensimmäisessä alakohdassa tarkoitettuihin toimenpiteisiin voi sisältyä toimenpiteitä, joilla varmistetaan, että kyseinen digitaalisia elementtejä sisältävä tuote ja valmistajan käyttöön ottamat prosessit eivät enää aiheuta kyseisiä riskejä, kun ne asetetaan saataville markkinoilla, tai varmistetaan kyseisen digitaalisia elementtejä sisältävän tuotteen poistaminen markkinoilta tai sitä koskevan palautusmenettelyn järjestäminen, ja näiden toimenpiteiden on oltava oikeassa suhteessa kyseisten riskien luonteeseen.

2. Valmistajan tai muiden asiaankuuluvien talouden toimijoiden on varmistettava, että korjaavat toimenpiteet toteutetaan niiden asianomaisten digitaalisia elementtejä sisältävien tuotteiden osalta, jotka ne ovat asettaneet saataville markkinoilla unionin alueella, edellä 1 kohdassa tarkoitetun jäsenvaltion markkinavalvontaviranomaisen asettamassa määräajassa.

3. Jäsenvaltion on välittömästi ilmoitettava komissiolle ja muille jäsenvaltioille 1 kohdan nojalla toteutetuista toimenpiteistä. Ilmoitukseen on sisällyttävä kaikki saatavilla olevat yksityiskohtaiset tiedot ja erityisesti tiedot, jotka ovat tarpeen kyseisten digitaalisia elementtejä sisältävien tuotteiden tunnistamista sekä niiden alkuperän ja toimitusketjun, riskin luonteen sekä toteutettujen kansallisten toimenpiteiden luonteen ja keston määrittämistä varten.

4. Komissio ryhtyy viipymättä kuulemaan jäsenvaltioita ja asiaankuuluvaa talouden toimijaa ja arvioi toteutetut kansalliset toimenpiteet. Tämän arvioinnin tulosten perusteella komissio päättää, onko toimenpide oikeutettu vai ei, ja ehdottaa tarvittaessa soveltuvia toimenpiteitä.

5. Komissio osoittaa 4 kohdassa tarkoitetun päätöksen jäsenvaltioille.

6. Jos komissiolla on riittävä peruste katsoa, myös ENISAn toimittamien tietojen perusteella, että vaikka digitaalisia elementtejä sisältävä tuote täyttää tämän asetuksen vaatimukset, se aiheuttaa tämän artiklan 1 kohdassa tarkoitettuja riskejä, komissio ilmoittaa tästä asiaankuuluvalle markkinavalvontaviranomaiselle tai asiaankuuluville markkinavalvontaviranomaisille ja voi pyytää sitä tai niitä suorittamaan arvioinnin ja noudattamaan 54 artiklassa ja tämän artiklan 1, 2 ja 3 kohdassa tarkoitettuja menettelyjä.

7. Olosuhteissa, joissa on perusteltua toteuttaa välittömiä toimia sisämarkkinoiden moitteettoman toiminnan säilyttämiseksi, ja jos komissiolla on riittävä peruste katsoa, että 6 kohdassa tarkoitettu digitaalisia elementtejä sisältävä tuote aiheuttaa edelleen 1 kohdassa tarkoitettuja riskejä, eivätkä asiaankuuluvat kansalliset markkinavalvontaviranomaiset ole toteuttaneet tuloksellisia toimenpiteitä, komissio arvioi kyseisen digitaalisia elementtejä sisältävän tuotteen aiheuttamat riskit ja voi pyytää ENISAa esittämään analyysin kyseisen arvioinnin tueksi sekä ilmoittaa tästä asiaankuuluville markkinavalvontaviranomaisille. Asiaankuuluvin talouden toimijoiden on tehtävä tarpeen mukaan yhteistyötä ENISAn kanssa.

8. Edellä 7 kohdassa tarkoitetun arvioinnin perusteella komissio voi päättää, että unionin tasolla tarvitaan korjaava tai rajoittava toimenpide. Tätä varten sen on viipymättä kuultava asianomaisia jäsenvaltioita ja asiaankuuluvaa talouden toimijaa tai asianomaisia talouden toimijoita.

9. Tämän artiklan 8 kohdassa tarkoitetun kuulemisen perusteella komissio voi antaa täytäntöönpanosäädöksiä päättääkseen unionin tason korjaavista tai rajoittavista toimenpiteistä, joihin voi sisältyä vaatimus asianomaisia digitaalisia elementtejä sisältävien tuotteiden poistamisesta markkinoilta tai niitä koskevan palautusmenettelyn järjestämisestä sellaisen kohtuullisen ajan kuluessa, joka on oikeassa suhteessa riskin luonteeseen. Nämä täytäntöönpanosäädökset hyväksytään 62 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

10. Komissio antaa 9 kohdassa tarkoitetut täytäntöönpanosäädökset viipymättä tiedoksi asiaankuuluvalle talouden toimijalle tai asiaankuuluville talouden toimijoille. Jäsenvaltioiden on pantava nämä täytäntöönpanosäädökset täytäntöön viipymättä ja ilmoitettava tästä komissiolle.

11. Edellä olevia 6–10 kohtaa sovelletaan komission toimenpiteen perusteena olleen poikkeuksellisen tilanteen keston ajan ja niin kauan kuin kyseinen digitaalisia elementtejä sisältävä tuote aiheuttaa 1 kohdassa tarkoitettuja riskejä.

Muodollinen vaatimustenvastaisuus

1. Jos jäsenvaltion markkinavalvontaviranomainen tekee jonkin seuraavista havainnoista, sen on vaadittava asiaankuuluvaa valmistajaa korjaamaan asianomainen vaatimustenvastaisuus:

2. Jos 1 kohdassa tarkoitettu vaatimustenvastaisuus jatkuu, asianomaisen jäsenvaltion on toteutettava kaikki tarvittavat toimenpiteet, joilla rajoitetaan kyseisen digitaalisia elementtejä sisältävän tuotteen asettamista saataville markkinoilla tai kielletään se tai joilla varmistetaan tuotetta koskevan palautusmenettelyn järjestäminen tai sen poistaminen markkinoilta.

Markkinavalvontaviranomaisten yhteistoimet

1. Markkinavalvontaviranomaiset voivat sopia muiden asiaankuuluvien viranomaisten kanssa sellaisten yhteistoimien suorittamisesta, joiden tarkoituksena on varmistaa kyberturvallisuus ja kuluttajien suojelu tiettyjen markkinoille saatettujen tai markkinoilla saataville asetettujen digitaalisia elementtejä sisältävien tuotteiden osalta, erityisesti sellaisten digitaalisia elementtejä sisältävien tuotteiden osalta, joiden havaitaan usein aiheuttavan kyberturvallisuusriskejä.

2. Komissio tai ENISA ehdottaa yhteistoimia, joilla markkinavalvontaviranomaiset tarkastavat tämän asetuksen vaatimusten täyttymisen, kun on viitteitä tai tietoja siitä, että tämän asetuksen soveltamisalaan kuuluvat digitaalisia elementtejä sisältävät tuotteet eivät mahdollisesti useissa jäsenvaltioissa täytä tämän asetuksen vaatimuksia.

3. Markkinavalvontaviranomaisten ja tarvittaessa komission on varmistettava, että sopimus yhteistoimien toteuttamisesta ei johda epäreiluun kilpailuun talouden toimijoiden välillä ja että se ei vaikuta kielteisesti sopimuksen osapuolten objektiivisuuteen, riippumattomuuteen ja puolueettomuuteen.

4. Markkinavalvontaviranomainen voi käyttää yhteistoimien tuloksena saatuja tietoja missä tahansa tutkimuksissaan.

5. Kyseisen markkinavalvontaviranomaisen ja tarvittaessa komission on saatettava yhteistoimia koskeva sopimus, mukaan lukien asianomaisten osapuolten nimet, yleisesti saataville.

Tehotarkastukset

1. Markkinavalvontaviranomaisten on suoritettava tiettyjen digitaalisia elementtejä sisältävien tuotteiden tai tuoteryhmien samanaikaisia koordinoituja valvontatoimia, jäljempänä ”tehotarkastukset”, joiden tarkoituksena on tarkistaa tämän asetuksen noudattaminen ja havaita sen rikkomiset. Tehotarkastuksiin voi kuulua valehenkilöllisyyden turvin hankittujen digitaalisia elementtejä sisältävien tuotteiden tarkastuksia.

2. Tehotarkastuksia koordinoi komissio, paitsi jos asianomaisten markkinavalvontaviranomaisten kesken on sovittu toisin. Tehotarkastuksen koordinoijan on tarvittaessa asetettava aggregoidut tulokset yleisesti saataville.

3. Jos ENISA yksilöi tehtäviään suorittaessaan, myös 14 artiklan 1 ja 3 kohdan nojalla vastaanotettujen ilmoitusten perusteella, digitaalisia elementtejä sisältävien tuotteiden ryhmiä, joille voidaan järjestää tehotarkastuksia, se toimittaa tämän artiklan 2 kohdassa tarkoitetulle koordinoijalle tehotarkastusta koskevan ehdotuksen markkinavalvontaviranomaisten tarkasteltavaksi.

4. Markkinavalvontaviranomaiset voivat tehotarkastuksia suorittaessaan käyttää 52–58 artiklassa vahvistettuja tutkintavaltuuksia ja kaikkia muita niille kansallisen oikeuden nojalla kuuluvia valtuuksia.

5. Markkinavalvontaviranomaiset voivat kutsua komission virkamiehiä ja muita komission valtuuttamia henkilöitä osallistumaan tehotarkastuksiin.

Siirretyn säädösvallan käyttäminen

1. Komissiolle siirrettyä valtaa antaa delegoituja säädöksiä koskevat tässä artiklassa säädetyt edellytykset.

2. Siirretään komissiolle 10 päivästä joulukuuta 2024 viiden vuoden ajaksi 2 artiklan 5 kohdan toisessa alakohdassa, 7 artiklan 3 kohdassa, 8 artiklan 1 ja 2 kohdassa, 13 artiklan 8 kohdan neljännessä alakohdassa, 14 artiklan 9 kohdassa, 25 artiklassa, 27 artiklan 9 kohdassa, 28 artiklan 5 kohdassa ja 31 artiklan 5 kohdassa tarkoitettu valta antaa delegoituja säädöksiä. Komissio laatii siirrettyä säädösvaltaa koskevan kertomuksen viimeistään yhdeksän kuukautta ennen tämän viiden vuoden kauden päättymistä. Säädösvallan siirtoa jatketaan ilman eri toimenpiteitä samanpituisiksi kausiksi, jollei Euroopan parlamentti tai neuvosto vastusta tällaista jatkamista viimeistään kolme kuukautta ennen kunkin kauden päättymistä.

3. Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 2 artiklan 5 kohdan toisessa alakohdassa, 7 artiklan 3 kohdassa, 8 artiklan 1 ja 2 kohdassa, 13 artiklan 8 kohdan neljännessä alakohdassa, 14 artiklan 9 kohdassa, 25 artiklassa, 27 artiklan 9 kohdassa, 28 artiklan 5 kohdassa ja 31 artiklan 5 kohdassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa päätöksessä mainittu säädösvallan siirto. Peruuttaminen tulee voimaan sitä päivää seuraavana päivänä, jona sitä koskeva päätös julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, kyseisessä päätöksessä mainittuna päivänä. Peruuttamispäätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen.

4. Ennen kuin komissio hyväksyy delegoidun säädöksen, se kuulee kunkin jäsenvaltion nimeämiä asiantuntijoita paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa vahvistettujen periaatteiden mukaisesti.

5. Heti kun komissio on antanut delegoidun säädöksen, komissio antaa sen tiedoksi yhtäaikaisesti Euroopan parlamentille ja neuvostolle.

6. Edellä olevien 2 artiklan 5 kohdan toisen alakohdan, 7 artiklan 3 kohdan, 8 artiklan 1 tai 2 kohdan, 13 artiklan 8 kohdan neljännen alakohdan, 14 artiklan 9 kohdan, 25 artiklan, 27 artiklan 9 kohdan, 28 artiklan 5 kohdan tai 31 artiklan 5 kohdan nojalla annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole kahden kuukauden kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan kahdella kuukaudella.

Komiteamenettely

1. Komissiota avustaa komitea. Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

3. Kun komitean lausunto on määrä hankkia kirjallista menettelyä noudattaen, tämä menettely päätetään tuloksettomana, jos komitean puheenjohtaja lausunnon antamiselle asetetussa määräajassa niin päättää tai komitean jäsen sitä pyytää.

Luottamuksellisuus

1. Kaikkien tämän asetuksen soveltamiseen osallistuvien osapuolten on kunnioitettava tehtäviään ja toimiaan suorittaessaan saamiensa tietojen ja datan luottamuksellisuutta siten, että suojellaan erityisesti

2. Markkinavalvontaviranomaisten kesken tai markkinavalvontaviranomaisten ja komission välillä luottamuksellisesti vaihdettuja tietoja ei saa ilmaista ilman tiedot luovuttaneen markkinavalvontaviranomaisen etukäteen antamaa suostumusta, sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista.

3. Edellä olevat 1 ja 2 kohta eivät vaikuta komission, jäsenvaltioiden ja ilmoitettujen laitosten tietojenvaihtoa ja varoitusten antamista koskeviin oikeuksiin ja velvollisuuksiin eivätkä asianomaisten henkilöiden jäsenvaltioiden rikosoikeuden mukaiseen tiedonantovelvollisuuteen.

4. Komissio ja jäsenvaltiot voivat tarvittaessa vaihtaa arkaluonteisia tietoja sellaisten kolmansien maiden asiaankuuluvien viranomaisten kanssa, joiden kanssa ne ovat tehneet kahdenvälisiä tai monenvälisiä luottamuksellisuutta koskevia järjestelyjä, joilla taataan riittävä suojan taso.

Seuraamukset

1. Jäsenvaltioiden on säädettävä tämän asetuksen säännösten rikkomiseen sovellettavista seuraamuksista ja toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia. Jäsenvaltioiden on ilmoitettava nämä säännökset ja toimenpiteet komissiolle viipymättä, ja jäsenvaltioiden on ilmoitettava komissiolle kaikki niitä koskevat myöhemmät muutokset viipymättä.

2. Liitteessä I vahvistettujen olennaisten kyberturvallisuusvaatimusten ja 13 ja 14 artiklassa säädettyjen velvoitteiden täyttämättä jättämisestä on määrättävä hallinnollinen sakko, joka on enimmillään 15 000 000 euroa tai, jos rikkomiseen syyllistynyt on yritys, enimmillään 2,5 prosenttia sen edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

3. Edellä 18–23 artiklassa, 28 artiklassa, 30 artiklan 1–4 kohdassa, 31 artiklan 1–4 kohdassa, 32 artiklan 1, 2 ja 3 kohdassa, 33 artiklan 5 kohdassa sekä 39, 41, 47, 49 ja 53 artiklassa säädettyjen velvoitteiden täyttämättä jättämisestä on määrättävä hallinnollinen sakko, joka on enimmillään 10 000 000 euroa tai, jos rikkomiseen syyllistynyt on yritys, enimmillään 2 prosenttia sen edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

4. Virheellisten, puutteellisten tai harhaanjohtavien tietojen toimittamisesta vastauksena ilmoitettujen laitosten ja markkinavalvontaviranomaisten pyyntöön on määrättävä hallinnollinen sakko, joka on enimmillään 5 000 000 euroa tai, jos rikkomiseen syyllistynyt on yritys, enimmillään 1 prosentti sen edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

5. Kun päätetään hallinnollisen sakon määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon kaikki kyseisen tilanteen kannalta merkittävät olosuhteet sekä seuraavat seikat:

6. Hallinnollisia sakkoja määräävien markkinavalvontaviranomaisten on välitettävä tiedot sakkojen määräämisestä muiden jäsenvaltioiden markkinavalvontaviranomaisille asetuksen (EU) 2019/1020 34 artiklassa tarkoitetun tieto- ja viestintäjärjestelmän kautta.

7. Kunkin jäsenvaltion on vahvistettava säännöt siitä, voidaanko viranomaisille tai julkisille elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia sakkoja ja missä määrin.

8. Jäsenvaltion oikeusjärjestelmästä riippuen hallinnollisia sakkoja koskevia sääntöjä voidaan soveltaa siten, että sakkojen määräämisestä vastaavat toimivaltaiset kansalliset tuomioistuimet tai muut elimet kansallisella tasolla kyseisissä jäsenvaltioissa säädettyjen toimivaltuuksien mukaisesti. Tällaisten sääntöjen soveltamisella näissä jäsenvaltioissa on oltava vastaava vaikutus.

9. Hallinnollisia sakkoja voidaan määrätä kunkin yksittäisen tapauksen olosuhteista riippuen niiden muiden korjaavien tai rajoittavien toimenpiteiden lisäksi, joita markkinavalvontaviranomaiset toteuttavat saman rikkomisen johdosta.

10. Poiketen siitä, mitä 3–9 kohdassa säädetään, kyseisissä kohdissa tarkoitettuja hallinnollisia sakkoja ei sovelleta seuraaviin:

Edustajakanteet

Direktiiviä (EU) 2020/1828 sovelletaan edustajakanteisiin, jotka on nostettu talouden toimijoita vastaan johtuen tämän asetuksen säännösten rikkomisista, jotka vahingoittavat tai voivat vahingoittaa kuluttajien yhteisiä etuja.

Asetuksen (EU) 2019/1020 muuttaminen

Lisätään asetuksen (EU) 2019/1020 liitteeseen I kohta seuraavasti:

”72.

Euroopan parlamentin ja neuvoston asetus (EU) 2024/2847 (*1).

Direktiivin (EU) 2020/1828 muuttaminen

Lisätään direktiivin (EU) 2020/1828 liitteeseen I kohta seuraavasti:

”69.

Euroopan parlamentin ja neuvoston asetus (EU) 2024/2847 (*2).

Asetuksen (EU) N:o 168/2013 muuttaminen

Lisätään Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 168/2013 (38) liitteessä II olevan taulukon C1 osaan kohta seuraavasti:

”

”

Siirtymäsäännökset

1. EU-tyyppitarkastustodistukset ja hyväksymispäätökset, jotka on annettu digitaalisia elementtejä sisältävien tuotteiden, joihin sovelletaan muuta unionin yhdenmukaistamislainsäädäntöä kuin tätä asetusta, kyberturvallisuusvaatimuksista, pysyvät voimassa 11 päivään kesäkuuta 2028 saakka, paitsi jos niiden voimassaolo päättyy ennen kyseistä ajankohtaa tai jos tällaisessa muussa unionin yhdenmukaistamislainsäädännössä toisin säädetään, jolloin ne pysyvät voimassa kyseisessä lainsäädännössä tarkoitetulla tavalla.

2. Ennen 11 päivää joulukuuta 2027 markkinoille saatettuihin digitaalisia elementtejä sisältäviin tuotteisiin sovelletaan tässä asetuksessa säädettyjä vaatimuksia ainoastaan, jos kyseisiin tuotteisiin tehdään kyseisen ajankohdan jälkeen merkittävä muutos.

3. Poiketen siitä, mitä tämän artiklan 2 kohdassa säädetään, 14 artiklassa säädettyjä velvoitteita sovelletaan kaikkiin tämän asetuksen soveltamisalaan kuuluviin digitaalisia elementtejä sisältäviin tuotteisiin, jotka on saatettu markkinoille ennen 11 päivää joulukuuta 2027.

Arviointi ja uudelleentarkastelu

1. Komissio toimittaa viimeistään 11 päivänä joulukuuta 2030 ja sen jälkeen joka neljäs vuosi Euroopan parlamentille ja neuvostolle kertomuksen tämän asetuksen arvioinnista ja uudelleentarkastelusta. Nämä kertomukset julkistetaan.

2. Komissio toimittaa viimeistään 11 päivänä syyskuuta 2028 ENISAa ja CSIRT-verkostoa kuultuaan Euroopan parlamentille ja neuvostolle kertomuksen, jossa arvioidaan 16 artiklassa perustetun keskitetyn raportointialustan tehokkuutta ja sitä, miten se, että koordinaattoreiksi nimetyt CSIRT-yksiköt soveltavat 16 artiklan 2 kohdassa tarkoitettuja kyberturvallisuuteen liittyviä syitä, vaikuttaa keskitetyn raportointialustan tehokkuuteen, tarkemmin sanoen vastaanotettujen ilmoitusten oikea-aikaiseen välittämiseen muille asiaankuuluville CSIRT-yksiköille.

Voimaantulo ja soveltaminen

1. Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2. Tätä asetusta sovelletaan 11 päivästä joulukuuta 2027.

Sen 14 artiklaa sovelletaan kuitenkin 11 päivästä syyskuuta 2026 ja IV lukua (35–51 artiklaa) sovelletaan 11 päivästä kesäkuuta 2026.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Strasbourgissa 23 päivänä lokakuuta 2024.