Akt o kibernetičkoj otpornosti

Predmet

Ovom se Uredbom utvrđuju:

Područje primjene

1. Ova se Uredba primjenjuje na proizvode s digitalnim elementima koji se stavljaju na raspolaganje na tržištu čija namjena ili razumno predvidljiva upotreba uključuje izravnu ili neizravnu logičku ili fizičku podatkovnu vezu s uređajem ili mrežom.

2. Ova se Uredba ne primjenjuje na proizvode s digitalnim elementima na koje se primjenjuju sljedeći pravni akti Unije:

3. Ova se Uredba ne primjenjuje na proizvode s digitalnim elementima koji su certificirani u skladu s Uredbom (EU) 2018/1139.

4. Ova se Uredba ne primjenjuje na opremu koja je obuhvaćena područjem primjene Direktive 2014/90/EU Europskog parlamenta i Vijeća (36).

5. Kad je riječ o proizvodima s digitalnim elementima obuhvaćenima drugim pravilima Unije kojima se utvrđuju zahtjevi koji se odnose na sve ili neke rizike obuhvaćene bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u Prilogu I., primjena ove Uredbe može se ograničiti ili isključiti:

Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 61. radi dopune ove Uredbe utvrđivanjem potrebe za takvim ograničenjem ili isključenjem, predmetnih proizvoda i pravila i, prema potrebi, opsega ograničenja.

6. Ova se Uredba ne primjenjuje na rezervne dijelove koji se stavljaju na raspolaganje na tržištu kako bi zamijenili istovjetne komponente u proizvodima s digitalnim elementima i koji su proizvedeni u skladu s istim specifikacijama kao sastavni dijelovi koje bi trebali zamijeniti.

7. Ova se Uredba ne primjenjuje na proizvode s digitalnim elementima koji su razvijeni ili izmijenjeni isključivo u svrhe nacionalne sigurnosti ili obrane niti na proizvode koji su posebno namijenjeni za obradu klasificiranih podataka.

8. Obveze utvrđene u ovoj Uredbi ne podrazumijevaju pružanje informacija čije bi otkrivanje bilo u suprotnosti s ključnim interesima nacionalne sigurnosti, javne sigurnosti ili obrane država članica.

Definicije

Za potrebe ove Uredbe primjenjuju se sljedeće definicije:

Slobodno kretanje

1. Države članice ne sprečavaju, kad je riječ o pitanjima obuhvaćenima ovom Uredbom, stavljanje na raspolaganje na tržištu proizvoda s digitalnim elementima koji su u skladu s ovom Uredbom.

2. Na sajmovima, izložbama, predstavljanjima ili sličnim događanjima države članice ne sprečavaju izlaganje ni upotrebu proizvoda s digitalnim elementima koji nije u skladu s ovom Uredbom, među ostalim njegovih prototipova, pod uvjetom da proizvod ima vidljiv znak koji jasno upućuje na to da proizvod nije u skladu s ovom Uredbom i da ne smije biti stavljen na raspolaganje na tržištu dok ne bude u skladu s njom.

3. Države članice ne sprečavaju stavljanje na raspolaganje na tržištu nedovršenog softvera koji nije u skladu s ovom Uredbom ako se takav softver stavlja na raspolaganje samo u ograničenom razdoblju potrebnom u svrhu ispitivanja i ako on ima vidljiv znak koji jasno upućuje na to da taj softver nije u skladu s ovom Uredbom i da neće biti stavljen na raspolaganju na tržištu u druge svrhe osim u svrhu ispitivanja.

4. Stavak 3. ne primjenjuje na sigurnosne komponente kako su navedene u zakonodavstvu Unije o usklađivanju koje nije ova Uredba.

Nabava ili upotreba proizvoda s digitalnim elementima

1. Ovom se Uredbom ne sprečavaju države članice da na proizvode s digitalnim elementima primjenjuju dodatne kibernetičke sigurnosne zahtjeve za nabavu ili upotrebu tih proizvoda u posebne svrhe, među ostalim ako se ti proizvodi nabavljaju ili upotrebljavaju u svrhe nacionalne sigurnosti ili obrane, pod uvjetom da su takvi zahtjevi u skladu s obvezama država članica utvrđenima u pravu Unije te da su potrebni i razmjerni za postizanje tih svrha.

2. Ne dovodeći u pitanje direktive 2014/24/EU i 2014/25/EU, ako se nabavljaju proizvodi s digitalnim elementima koji su obuhvaćeni područjem primjene ove Uredbe, države članice osiguravaju da se u postupku nabave uzima u obzir usklađenost s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u Prilogu I. ovoj Uredbi, uključujući sposobnost proizvođača da djelotvorno postupaju s ranjivostima.

Zahtjevi za proizvode s digitalnim elementima

Proizvodi s digitalnim elementima stavljaju se na raspolaganje na tržištu samo ako:

Važni proizvodi s digitalnim elementima

1. Proizvodi s digitalnim elementima koji imaju osnovnu funkcionalnost kategorije proizvoda utvrđene u Prilogu III. smatraju se važnim proizvodima s digitalnim elementima i podliježu postupcima ocjenjivanja sukladnosti iz članka 32. stavaka 2. i 3. Integracija proizvoda s digitalnim elementima koji ima osnovnu funkcionalnost kategorije proizvoda utvrđene u Prilogu III. sama po sebi ne znači da proizvod u koji je integriran podliježe postupcima ocjenjivanja sukladnosti iz članka 32. stavaka 2. i 3.

2. Kategorije proizvoda s digitalnim elementima iz stavka 1. ovog članka, podijeljene u razrede I. i II. kako je utvrđeno u Prilogu III., moraju ispunjavati barem jedan od sljedećih kriterija:

3. Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 61. radi izmjene Priloga III. uvrštavanjem u popis nove kategorije u svaki razred kategorija proizvoda s digitalnim elementima i određivanjem njezine definicije, premještanjem kategorije proizvoda iz jednog razreda u drugi ili povlačenjem postojeće kategorije s tog popisa. Komisija pri procjeni potrebe za izmjenom popisa utvrđenog u Prilogu III. uzima u obzir kibernetičke sigurnosne funkcionalnosti ili funkciju i razinu kibernetičkog sigurnosnog rizika koji predstavljaju proizvodi s digitalnim elementima kako je utvrđeno kriterijima iz stavka 2. ovog članka.

Delegiranim aktima iz prvog podstavka ovog stavka, prema potrebi, predviđa se minimalno prijelazno razdoblje od 12 mjeseci, posebno ako je nova kategorija važnih proizvoda s digitalnim elementima dodana I. ili II. razredu ili se premješta iz I. razreda u II. kako je utvrđeno u Prilogu III., prije početka primjene relevantnih postupaka ocjenjivanja sukladnosti kako su navedeni u članku 32. stavcima 2. i 3., osim ako je kraće prijelazno razdoblje opravdano iz krajnje hitnih razloga.

4. Do 11. prosinca 2025. Komisija donosi provedbeni akt kojim se utvrđuje tehnički opis kategorija proizvoda s digitalnim elementima I. i II. razreda kako su utvrđeni u Prilogu III. i tehnički opis kategorija proizvoda s digitalnim elementima kako su utvrđeni u Prilogu IV. Taj provedbeni akt donosi se u skladu s postupkom ispitivanja iz članka 62. stavka 2.

Kritični proizvodi s digitalnim elementima

1. Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 61. radi dopune ove Uredbe kako bi utvrdila za koje se proizvode s digitalnim elementima koji imaju osnovnu funkcionalnost kategorije proizvoda utvrđene u Prilogu IV. ovoj Uredbi mora ishoditi europski kibernetički sigurnosni certifikat s barem „znatnom” razinom jamstva u okviru europskog programa kibernetičke sigurnosne certifikacije donesenog na temelju Uredbe (EU) 2019/881, kako bi se dokazala usklađenost s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u Prilogu I. ovoj Uredbi ili njegovim dijelovima, pod uvjetom da je europski program kibernetičke sigurnosne certifikacije koji obuhvaća te kategorije proizvoda s digitalnim elementima donesen u skladu s Uredbom (EU) 2019/881 i da je dostupan proizvođačima. U tim delegiranim aktima utvrđuje se potrebna razina jamstva koja je razmjerna razini kibernetičkog sigurnosnog rizika povezanog s proizvodima s digitalnim elementima i uzima se u obzir njihova namjena, među ostalim kritična ovisnost ključnih subjekata kako su navedeni u članku 3. stavku 1. Direktive (EU) 2022/2555 o tim proizvodima.

Prije donošenja takvih delegiranih akata Komisija provodi procjenu mogućeg učinka predviđenih mjera na tržište i provodi savjetovanja s relevantnim dionicima, među ostalim s Europskom skupinom za kibernetičko sigurnosnu certifikaciju osnovanom Uredbom (EU) 2019/881. Pri ocjenjivanju se uzimaju u obzir spremnost i razina kapaciteta država članica za provedbu relevantnog europskog programa kibernetičke sigurnosne certifikacije. Ako nisu doneseni delegirani akti iz prvog podstavka ovog stavka, proizvodi s digitalnim elementima koji imaju osnovnu funkcionalnost kategorije proizvoda kako je utvrđeno u Prilogu IV. podliježu postupcima ocjenjivanja sukladnosti iz članka 32. stavka 3.

Delegiranim aktima iz prvog podstavka predviđa se minimalno prijelazno razdoblje od šest mjeseci, osim ako je kraće prijelazno razdoblje opravdano iz krajnje hitnih razloga.

2. Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 61. radi izmjene Priloga IV. dodavanjem ili povlačenjem kategorija kritičnih proizvoda s digitalnim elementima. Pri utvrđivanju takvih kategorija kritičnih proizvoda s digitalnim elementima i potrebne razine jamstva, u skladu sa stavkom 1. ovog članka, Komisija uzima u obzir kriterije iz članka 7. stavka 2. i osigurava da kategorije proizvoda s digitalnim elementima ispunjavaju barem jedan od sljedećih kriterija:

Prije donošenja takvih delegiranih akata Komisija provodi procjenu iste vrste kao što je ona navedena u stavku 1.

Delegiranim aktima iz prvog podstavka predviđa se minimalno prijelazno razdoblje od šest mjeseci, osim ako je kraće prijelazno razdoblje opravdano iz krajnje hitnih razloga.

Savjetovanje s dionicima

1. Pri pripremi mjera za provedbu ove Uredbe Komisija se savjetuje s relevantnim dionicima, kao što su relevantna tijela država članica, poduzeća iz privatnog sektora, uključujući mikropoduzeća te mala i srednja poduzeća, zajednice koje primjenjuju softver otvorenog koda, udruge potrošača, akademska zajednica i relevantne agencije i tijela Unije te stručne skupine osnovane na razini Unije, i uzima u obzir njihova stajališta. Posebno, Komisija se na strukturiran način, prema potrebi, savjetuje s tim dionicima i traži njihova stajališta pri:

2. Komisija organizira redovita savjetovanja i informativne sastanke, najmanje jednom godišnje, kako bi prikupila stajališta dionika iz stavka 1. o provedbi ove Uredbe.

Poboljšanje vještina u digitalnom okruženju otpornom na kibernetičke prijetnje

Za potrebe ove Uredbe i kako bi se odgovorilo na potrebe stručnjaka u potporu provedbi ove Uredbe, države članice, prema potrebi uz potporu Komisije, Europskog stručnog centra u području kibernetičke sigurnosti i ENISA-e, uz potpuno poštovanje odgovornosti država članica u području obrazovanja, promiču mjere i strategije za:

Opća sigurnost proizvoda

Odstupajući od članka 2. stavka 1. trećeg podstavka točke (b) Uredbe (EU) 2023/988, poglavlje III. odjeljak 1., poglavlja V. i VII. te poglavlja od IX. do XI. te uredbe primjenjuju se na proizvode s digitalnim elementima u pogledu aspekata i rizika ili kategorija rizika koji nisu obuhvaćeni ovom Uredbom ako ti proizvodi ne podliježu posebnim sigurnosnim zahtjevima utvrđenima u drugom „zakonodavstvu Unije o usklađivanju” kako je definirano u članku 3. točki 27. Uredbe (EU) 2023/988.

Visokorizični UI sustavi

1. Ne dovodeći u pitanje zahtjeve koji se odnose na točnost i otpornost utvrđene u članku 15. Uredbe (EU) 2024/1689, proizvodi s digitalnim elementima koji su obuhvaćeni područjem primjene ove Uredbe i koji su klasificirani kao visokorizični UI sustavi na temelju članak 6. te uredbe smatraju se sukladnima sa zahtjevima za kibernetičku sigurnost utvrđenima u članku 15. te uredbe ako:

2. Za proizvode s digitalnim elementima i kibernetičke sigurnosne zahtjeve iz stavka 1. ovoga članka primjenjuje se odgovarajući postupak ocjenjivanja sukladnosti predviđen u članku 43. Uredbe (EU) 2024/1689. Za potrebe tog ocjenjivanja prijavljena tijela koja su nadležna kontrolirati sukladnost visokorizičnih UI sustava na temelju Uredbe (EU) 2024/1689 nadležna su kontrolirati i sukladnost visokorizičnih UI sustava obuhvaćenih područjem primjene ove Uredbe sa zahtjevima utvrđenim u Prilogu I. ovoj Uredbi, pod uvjetom da je u kontekstu postupka prijavljivanja na temelju Uredbe (EU) 2024/1689 ocijenjeno ispunjavaju li ta prijavljena tijela zahtjeve utvrđene u članku 39. ove Uredbe.

3. Odstupajući od stavka 2. ovog članka, važni proizvodi s digitalnim elementima navedeni u Prilogu III. ovoj Uredbi koji podliježu postupcima ocjenjivanja sukladnosti iz članka 32. stavka 2. točaka (a) i (b) i članka 32. stavka 3. ove Uredbe i kritični proizvodi s digitalnim elementima navedeni u Prilogu IV. ovoj Uredbi za koje se mora ishoditi europski kibernetički sigurnosni certifikat u skladu s člankom 8. stavkom 1. ove Uredbe ili, ako se to ne zahtijeva, koji podliježu postupcima ocjenjivanja sukladnosti iz članka 32. stavka 3. ove Uredbe te su klasificirani kao visokorizični UI sustavi u skladu s člankom 6. Uredbe (EU) 2024/1689 i na koje se primjenjuje postupak ocjenjivanja sukladnosti na temelju unutarnje kontrole iz Priloga VI. Uredbi (EU) 2024/1689 podliježu postupcima ocjenjivanja sukladnosti predviđenima u ovoj Uredbi u mjeri u kojoj su na njih odnose bitni zahtjevi u pogledu kibernetičke sigurnosti utvrđeni u ovoj Uredbi.

4. Proizvođači proizvoda s digitalnim elementima iz stavka 1. ovog članka mogu sudjelovati u regulatornim izoliranim okruženjima za umjetnu inteligenciju iz članka 57. Uredbe (EU) 2024/1689.

Obveze proizvođača

1. Pri stavljanju proizvoda s digitalnim elementima na tržište proizvođači osiguravaju da je on projektiran, razvijen i proizveden u skladu s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u dijelu I. Priloga I.

2. U svrhu ispunjavanja obveze iz stavka 1. proizvođači procjenjuju kibernetičke sigurnosne rizike povezane s proizvodom s digitalnim elementima te u fazama planiranja, projektiranja, razvoja, proizvodnje, isporuke i održavanja proizvoda s digitalnim elementima uzimaju u obzir rezultate te procjene radi smanjenja kibernetičkih sigurnosnih rizika, sprečavanja incidenata i smanjivanja njihovih posljedica, među ostalim na zdravlje i sigurnost korisnika.

3. Procjena kibernetičkog sigurnosnog rizika dokumentira se i ažurira prema potrebi tijekom razdoblja potpore koje se utvrđuje u skladu sa stavkom 8. ovog članka. Ta procjena kibernetičkog sigurnosnog rizika obuhvaća barem analizu kibernetičkih sigurnosnih rizika na temelju namjene i razumno predvidljive upotrebe, kao i uvjeta upotrebe proizvoda s digitalnim elementima, kao što su operativno okruženje ili sredstva koja treba zaštititi, uzimajući u obzir očekivano trajanje upotrebe proizvoda. U procjeni kibernetičkog sigurnosnog rizika navodi se jesu li i, ako jesu, na koji način, sigurnosni zahtjevi utvrđeni u dijelu I. točki 2. Priloga I. primjenjivi na relevantni proizvod s digitalnim elementima te kako se ti zahtjevi provode na temelju procjene kibernetičkog sigurnosnog rizika. U njoj se također navodi kako proizvođač treba primijeniti dio I. točku 1. Priloga I. i zahtjeve u pogledu postupanja s ranjivostima utvrđene u dijelu II. Priloga I.

4. Pri stavljanju na tržište proizvoda s digitalnim elementima proizvođač u tehničku dokumentaciju koja se zahtijeva u skladu s člankom 31. i Prilogom VII. uključuje procjenu kibernetičkih sigurnosnih rizika iz stavka 3. ovoga članka. Za proizvode s digitalnim elementima iz članka 12. koji podliježu i drugim pravnim aktima Unije procjena kibernetičkih sigurnosnih rizika može biti dio procjene rizika koja se zahtijeva tim pravnim aktima Unije. Ako određeni bitni zahtjevi u pogledu kibernetičke sigurnosti nisu primjenjivi na proizvod s digitalnim elementima, proizvođač u tu tehničku dokumentaciju uključuje jasno obrazloženje.

5. U svrhu ispunjavanja obveze iz stavka 1. proizvođači koji u proizvode s digitalnim elementima ugrađuju komponente koje potječu od trećih strana moraju postupati s dužnom pažnjom na način da te komponente ne ugrožavaju kibernetičku sigurnost proizvoda s digitalnim elementima, među ostalim i ako se integriraju komponente besplatnog softvera otvorenog koda koje nisu bile stavljene na raspolaganje na tržište tijekom komercijalne aktivnosti.

6. Ako u komponenti, uključujući komponentu otvorenog koda, koja je integrirana u proizvod s digitalnim elementima utvrde ranjivost, proizvođači o njoj obavješćuju osobu ili subjekt koji proizvodi ili održava tu komponentu te otklanjaju i saniraju tu ranjivost u skladu sa zahtjevima u pogledu postupanja s ranjivostima utvrđenima u dijelu II. Priloga I. Ako su proizvođači razvili izmjenu softvera ili hardvera kako bi otklonili ranjivost te komponente, relevantni kod ili relevantnu dokumentaciju dijele s osobom ili subjektom koji proizvodi ili održava tu komponentu, prema potrebi u strojno čitljivom formatu.

7. Proizvođači moraju sustavno dokumentirati, na način koji je razmjeran vrsti i kibernetičkim sigurnosnim rizicima, relevantne aspekte kibernetičke sigurnosti povezane s proizvodima s digitalnim elementima, uključujući ranjivosti za koje su doznali i sve relevantne informacije koje pružaju treće strane te, ako je primjenjivo, ažurira procjenu kibernetičkog sigurnosnog rizika proizvodâ.

8. Pri stavljanju na tržište proizvoda s digitalnim elementima i tijekom razdoblja potpore, proizvođači osiguravaju da se s ranjivostima tog proizvoda, uključujući njegove komponente, postupa djelotvorno i u skladu s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u dijelu II. Priloga I.

Proizvođači određuju razdoblje potpore tako da ono odražava razdoblje tijekom kojeg se očekuje da će proizvod biti u upotrebi, posebno uzimajući u obzir razumna očekivanja korisnika, prirodu proizvoda, uključujući njegovu namjenu, kao i mjerodavno pravo Unije kojim se utvrđuje vijek trajanja proizvodâ s digitalnim elementima. Pri određivanju razdoblja potpore proizvođači mogu uzeti u obzir i razdoblja potpore za proizvode s digitalnim elementima koji nude sličnu funkcionalnost koje su na tržište stavili drugi proizvođači, dostupnost operativnog okruženja, razdoblja potpore za integrirane komponente koje pružaju osnovne funkcije i potječu od trećih strana, kao i relevantne smjernice posebne skupine za administrativnu suradnju (skupina za ADCO), osnovane u skladu s člankom 52. stavkom 15., i Komisije. Pitanja koja treba uzeti u obzir kako bi se odredilo razdoblje potpore razmatraju se na način kojim se osigurava proporcionalnost.

Ne dovodeći u pitanje drugi podstavak, razdoblje potpore traje najmanje pet godina. Ako se očekuje da će proizvod s digitalnim elementima biti u upotrebi u razdoblju kraćem od pet godina, razdoblje potpore odgovara očekivanom vremenu upotrebe.

Uzimajući u obzir preporuke skupine za ADCO, kako je navedeno u članku 52. stavku 16., Komisija može donijeti delegirane akte u skladu s člankom 61. radi dopune ove Uredbe utvrđivanjem minimalnog razdoblja potpore za određene kategorije proizvoda ako podaci o nadzoru tržišta upućuju na neodgovarajuća razdoblja potpore.

Proizvođači uključuju informacije koje su uzete u obzir za utvrđivanje razdoblja potpore za proizvod s digitalnim elementima u tehničku dokumentaciju, kako je utvrđeno u Prilogu VII.

Proizvođači moraju imati odgovarajuće politike i postupke, uključujući politike koordiniranog otkrivanja ranjivosti, iz dijela II. točke 5. Priloga I. za obradu i otklanjanje potencijalnih ranjivosti proizvoda s digitalnim elementima koje je prijavio unutarnji ili vanjski izvor.

9. Proizvođači osiguravaju da svako sigurnosno ažuriranje, kako je navedeno u dijelu II. točki 8. Priloga I., koje je stavljeno na raspolaganje korisnicima tijekom razdoblja potpore, po izdavanju ostane dostupno najmanje 10 godina ili tijekom preostalog razdoblja potpore, ovisno o tome što je dulje.

10. Ako je proizvođač na tržište stavio naknadne bitno izmijenjene verzije softverskog proizvoda, taj proizvođač može osigurati sukladnost s bitnim zahtjevom u pogledu kibernetičke sigurnosti utvrđenim u dijelu II. točki 2. Priloga I. samo za posljednju verziju koju je stavio na tržište, pod uvjetom da korisnici verzija koje su prethodno stavljene na tržište imaju besplatan pristup posljednjoj verziji koja je stavljena na tržište i da ne moraju snositi dodatne troškove prilagodbe hardverskog i softverskog okruženja unutar kojeg se upotrebljavala izvorna verziju tog proizvoda.

11. Proizvođači mogu održavati javne arhive softvera kako bi se poboljšao pristup korisnika ranijim verzijama. U tim se slučajevima korisnike jasno i na lako dostupan način obavješćuje o rizicima povezanima s upotrebom nepodržanog softvera.

12. Prije stavljanja na tržište proizvoda s digitalnim elementima proizvođači moraju sastaviti tehničku dokumentaciju iz članka 31.

Oni provode ili daju provesti odabrane postupke ocjenjivanja sukladnosti kako su navedeni u članku 32.

Ako je tim postupkom ocjenjivanja sukladnosti dokazana sukladnost proizvoda s digitalnim elementima s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u dijelu I. Priloga I. i sukladnost procesa koje je proizvođač uspostavio s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u dijelu II. Priloga I., proizvođači sastavljaju EU izjavu o sukladnosti u skladu s člankom 28. i stavljaju na proizvod oznaku CE u skladu s člankom 30.

13. Proizvođači najmanje 10 godina nakon što je proizvod s digitalnim elementima stavljen na tržište ili tijekom razdoblja potpore, ovisno o tome što je dulje, drže na raspolaganju tijelima za nadzor tržišta tehničku dokumentaciju i EU izjavu o sukladnosti.

14. Proizvođači osiguravaju uspostavu postupaka za očuvanje sukladnosti serijski proizvedenih proizvoda s digitalnim elementima s ovom Uredbom. Proizvođači na primjeren način uzimaju u obzir promjene povezane s razvojem i proizvodnim procesom ili s projektiranjem ili karakteristikama proizvoda s digitalnim elementima te promjene usklađenih normi, europskih programa kibernetičke sigurnosne certifikacije ili zajedničkih specifikacija iz članka 27. na temelju kojih je izjavljena ili čijom je primjenom provjerena sukladnost proizvoda s digitalnim elementima.

15. Proizvođači osiguravaju da njihovi proizvodi s digitalnim elementima nose broj tipa, šarže ili serije ili bilo koji drugi element koji omogućuje njihovu identifikaciju ili, ako to nije moguće, da su te informacije navedene na pakiranju ili u dokumentima priloženima proizvodu s digitalnim elementima.

16. Proizvođači na proizvodu s digitalnim elementima, na pakiranju ili u dokumentu priloženom uz proizvod s digitalnim elementima navode ime, registrirano trgovačko ime ili registrirani žig proizvođača te poštansku adresu, e-adresu ili druge podatke za digitalni kontakt te, ako je primjenjivo, internetske stranice preko kojih se može stupiti u kontakt s proizvođačem. Te se informacije također uključuju u informacije i upute za korisnike iz Priloga II. Podaci za kontakt moraju biti na jeziku koji korisnici i tijela za nadzor tržišta mogu bez poteškoća razumjeti.

17. Za potrebe ove Uredbe proizvođači određuju jedinstvenu kontaktnu točku koja korisnicima omogućuje izravnu i brzu komunikaciju s njima, među ostalim kako bi se olakšalo izvješćivanje o ranjivostima proizvoda s digitalnim elementima.

Proizvođači osiguravaju da korisnici mogu lako identificirati jedinstvenu kontaktnu točku. U informacije i upute za korisnike iz Priloga II. proizvođači uključuju i informacije o jedinstvenoj kontaktnoj točki.

Jedinstvena kontaktna točka omogućuje korisnicima da odaberu preferirano sredstvo komunikacije i ne ograničava takva sredstva na automatizirane alate.

18. Proizvođači osiguravaju da su uz proizvode s digitalnim elementima priložene informacije i upute za korisnike utvrđene u Prilogu II. u papirnatom ili elektroničkom obliku. Takve informacije i upute pružaju se na jeziku koji korisnici i tijela za nadzor tržišta mogu bez poteškoća razumjeti. Moraju biti jasne, razumljive i čitljive. Moraju omogućiti sigurnu ugradnju, rad i upotrebu proizvoda s digitalnim elementima. Proizvođači najmanje 10 godina nakon što je proizvod s digitalnim elementima stavljen na tržište ili tijekom razdoblja potpore, ovisno o tome što je dulje, drže na raspolaganju korisnicima i tijelima za nadzor tržišta informacije i upute za korisnike utvrđene u Prilogu II. Ako se takve informacije i upute pružaju na internetu, proizvođači osiguravaju da su one pristupačne, prilagođene korisnicima i dostupne na internetu barem 10 godina nakon što je proizvod s digitalnim elementima stavljen na tržište ili tijekom razdoblja potpore, ovisno o tome što je dulje.

19. Proizvođači osiguravaju da je datum završetka razdoblja potpore iz stavka 8. u trenutku kupnje jasno i razumljivo naveden na lako pristupačan način i, ako je primjenjivo, na proizvodu s digitalnim elementima, njegovu pakiranju ili digitalno, pri čemu se moraju navesti barem mjesec i godina.

Ako je to tehnički izvedivo s obzirom na prirodu proizvoda s digitalnim elementima, proizvođači korisnicima prikazuju obavijest kojom ih obavješćuju da je razdoblje potpore za njihov proizvod s digitalnim elementima isteklo.

20. Proizvođači uz proizvod s digitalnim elementima prilažu primjerak EU izjave o sukladnosti ili pojednostavnjenu EU izjavu o sukladnosti. Ako je priložena pojednostavnjena EU izjava o sukladnosti, u njoj se navodi točna internetska adresa na kojoj se može pristupiti cjelovitoj EU izjavi o sukladnosti.

21. Od stavljanja na tržište i tijekom razdoblja potpore proizvođači koji znaju ili imaju razloga vjerovati da proizvod s digitalnim elementima ili procesi koje je proizvođač uspostavio nisu sukladni s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u Prilogu I. odmah poduzimaju potrebne korektivne mjere kako bi se ponovno uspostavila sukladnost tog proizvoda s digitalnim elementima ili procesa proizvođača ili kako bi se proizvod prema potrebi povukao ili opozvao.

22. Na obrazložen zahtjev tijela za nadzor tržišta proizvođači tom tijelu dostavljaju, na jeziku koje to tijelo može bez poteškoća razumjeti te u papirnatom ili elektroničkom obliku, sve informacije i svu dokumentaciju potrebne za dokazivanje sukladnosti proizvoda s digitalnim elementima i procesa koje je proizvođač uspostavio s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima Prilogu I. Na zahtjev tog tijela proizvođači s njim surađuju u pogledu svake mjere koja je poduzeta kako bi se otklonili kibernetički sigurnosni rizici proizvoda s digitalnim elementima koji su stavili na tržište.

23. Proizvođač koji se ne može uskladiti s ovom Uredbom jer prestaje s radom obavješćuje, prije prestanka rada, relevantna tijela za nadzor tržišta te, na bilo koji raspoloživ način i u mjeri u kojoj je to moguće, korisnike relevantnih proizvoda s digitalnim elementima koji su stavljeni na tržište o predstojećem prestanku rada.

24. Komisija može provedbenim aktima i uzimajući u obzir europske i međunarodne norme i najbolje prakse odrediti format i elemente popisa softverskog materijala navedene u dijelu II. točki 1. Priloga I. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 62. stavka 2.

25. Kako bi se procijenila ovisnost država članica i Unije u cjelini o softverskim komponentama, a posebno o komponentama koje se smatraju besplatnim softverom otvorenog koda, skupina za ADCO može za određene kategorije proizvoda s digitalnim elementima odlučiti provesti procjenu ovisnosti na razini Unije. U tu svrhu tijela za nadzor tržišta mogu od proizvođača takvih kategorija proizvoda s digitalnim elementima zatražiti da dostave relevantne popise softverskog materijala kako je navedeno u dijelu II. točki 1. Priloga I. Na temelju takvih informacija tijela za nadzor tržišta mogu ADCO-u dostaviti anonimizirane i objedinjene informacije o ovisnostima o softveru. Skupina za ADCO podnosi izvješće o rezultatima procjene ovisnosti skupini za suradnju osnovanoj na temelju članka 14. Direktive (EU) 2022/2555.

Obveze proizvođačâ u pogledu izvješćivanja

1. Proizvođač o svakoj aktivno iskorištenoj ranjivosti proizvoda s digitalnim elementima za koju dozna mora istodobno obavijestiti CSIRT koji je imenovan koordinatorom, u skladu sa stavkom 7. ovog članka, i ENISA-u. Proizvođač o toj aktivno iskorištenoj ranjivosti obavješćuje putem jedinstvene platforme za izvješćivanje uspostavljene u skladu s člankom 16.

2. Za potrebe obavješćivanja iz stavka 1. proizvođač dostavlja:

3. Proizvođač o svakom značajnom incidentu koji utječe na sigurnost proizvoda s digitalnim elementima za koji dozna mora istodobno obavijestiti CSIRT koji je imenovan koordinatorom, u skladu sa stavkom 7. ovog članka, i ENISA-u. Proizvođač o tom incidentu obavješćuje putem jedinstvene platforme za izvješćivanje uspostavljene u skladu s člankom 16.

4. Za potrebe obavješćivanja iz stavka 3. proizvođač dostavlja:

5. Za potrebe stavka 3. incident koji utječe na sigurnost proizvoda s digitalnim elementima smatra se značajnim ako:

6. Ako je to potrebno, CSIRT koji je imenovan koordinatorom koji je prvotno primio obavijest može zatražiti od proizvođača da dostave privremeno izvješće o relevantnim ažuriranjima statusa o aktivno iskorištenoj ranjivosti ili značajnom incidentu koji utječe na sigurnost proizvoda s digitalnim elementima.

7. Obavijesti iz stavaka 1. i 3. ovog članka podnose se putem jedinstvene platforme za izvješćivanje iz članka 16., s pomoću jedne od krajnjih točaka za elektroničko obavješćivanje iz članka 16. stavka 1. Obavijest se podnosi putem krajnje točke za elektroničko obavješćivanje CSIRT-a koji je imenovan koordinatorom države članice u kojoj proizvođač ima glavni poslovni nastan u Uniji i istodobno je dostupna ENISA-i.

Za potrebe ove Uredbe smatra se da proizvođač glavni poslovni nastan u Uniji ima u onoj državi članici u kojoj se pretežno donose odluke povezane s kibernetičkom sigurnosti njegovih proizvoda s digitalnim elementima. Ako se takva država članica ne može utvrditi, smatra se da se glavni poslovni nastan nalazi u državi članici u kojoj predmetni proizvođač ima poslovnu jedinicu s najvećim brojem zaposlenika u Uniji.

Ako proizvođač nema glavni poslovni nastan u Uniji, obavijesti iz stavaka 1. i 3. podnosi s pomoću krajnje točke za elektroničko obavješćivanje CSIRT-a koji je imenovan koordinatorom u državi članici utvrđenoj u skladu sa sljedećim redoslijedom i na temelju informacija dostupnih proizvođaču:

U pogledu trećeg podstavka točke (d), proizvođač obavijesti povezane sa svakom naknadnom aktivno iskorištenom ranjivošću ili značajnom incidentom koji utječe na sigurnost proizvoda s digitalnim elementima može podnijeti onom CSIRT-u koji je imenovan koordinatorom kojemu je prvotno podnio obavijest.

8. Nakon što dozna za aktivno iskorištenu ranjivost ili ozbiljan incident koji utječe na sigurnost proizvoda s digitalnim elementima, proizvođač mora obavijestiti pogođene korisnike proizvoda s digitalnim elementima i, prema potrebi, sve korisnike o toj ranjivosti ili tom incidentu i, ako je to potrebno, o svim mjerama ublažavanja rizika i korektivnim mjerama koje korisnici mogu poduzeti kako bi ublažili učinak te ranjivosti ili tog incidenta, prema potrebi u strukturiranom strojno čitljivom formatu koji je lako automatski obraditi. Ako proizvođač pravodobno ne obavijesti korisnike proizvoda s digitalnim elementima, obaviješteni CSIRT-ovi koji su imenovani koordinatorima mogu pružiti takve informacije korisnicima kada se to smatra razmjernim i potrebnim za sprečavanje ili ublažavanje učinka te ranjivosti ili tog incidenta.

9. Do 11. prosinca 2025. Komisija donosi delegirane akte u skladu s člankom 61. ove Uredbe radi dopune ove Uredbe utvrđivanjem uvjeta za primjenu razloga povezanih s kibernetičkom sigurnošću na odgodu širenja obavijesti iz članka 16. stavka 2. ove Uredbe. Komisija pri pripremi nacrta tih delegiranih akata surađuje s mrežom CSIRT-ova uspostavljenom u skladu s člankom 15. Direktive (EU) 2022/2555 i ENISA-om.

10. Komisija može provedbenim aktima pobliže odrediti format i postupke dostavljanja obavijesti iz ovog članka te iz članaka 15. i 16. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 62. stavka 2. Komisija pri pripremi tih nacrta provedbenih akata surađuje s mrežom CSIRT-ova i ENISA-om.

Dobrovoljno izvješćivanje

1. Proizvođači i druge fizičke ili pravne osobe mogu o svakoj ranjivosti proizvoda s digitalnim elementima te o kibernetičkim prijetnjama koje bi mogle utjecati na profil rizičnosti proizvoda s digitalnim elementima na dobrovoljnoj osnovi obavijestiti CSIRT koji je imenovan koordinatorom ili ENISA-u.

2. Proizvođači i druge fizičke ili pravne osobe mogu o svakom incidentu koji utječe na sigurnost proizvoda s digitalnim elementima te o izbjegnutim incidentima koji su mogli dovesti do takvog incidenta na dobrovoljnoj osnovi obavijestiti CSIRT koji je imenovan koordinatorom ili ENISA-u.

3. CSIRT koji je imenovan koordinatorom ili ENISA obrađuju obavijesti iz stavka 1. i stavka 2. ovog članka u skladu s postupkom utvrđenim u članku 16.

CSIRT koji je imenovan koordinatorom može dati prednost obradi obveznih obavijesti nad obradom dobrovoljnih obavijesti.

4. Ako fizička ili pravna osoba koja nije proizvođač obavijesti o aktivno iskorištenoj ranjivosti ili značajnom incidentu koji utječe na sigurnost proizvoda s digitalnim elementima u skladu sa stavkom 1. ili stavkom 2., CSIRT koji je imenovan koordinatorom o tome bez nepotrebne odgode obavješćuje proizvođača.

5. CSIRT-ovi imenovani koordinatorima i ENISA osiguravaju povjerljivost i odgovarajuću zaštitu informacija koje je dostavila fizička ili pravna osoba koja obavješćuje. Ne dovodeći u pitanje sprečavanje, istragu, otkrivanje i progon kaznenih djela, dobrovoljno izvješćivanje ne smije dovesti do nametanja dodanih obveza fizičkoj ili pravnoj osobi koja obavješćuje kojima ne bi podlijegala da nije podnijela obavijest.

Uspostava jedinstvene platforme za izvješćivanje

1. Za potrebe obavješćivanja iz članka 14. stavaka 1. i 3. i članka 15. stavaka 1. i 2. te kako bi se pojednostavnile obveze proizvođača u pogledu izvješćivanja, ENISA uspostavlja jedinstvenu platformu za izvješćivanje. ENISA upravlja svakodnevnim radom jedinstvene platforme za izvješćivanje i održava je. Arhitektura jedinstvene platforme za izvješćivanje omogućuje državama članicama i ENISA-i da uspostave vlastite krajnje točke za elektroničko obavješćivanje.

2. Po primitku obavijesti, CSIRT koji je imenovan koordinatorom koji je prvotno primio obavijest bez odgode putem jedinstvene platforme za izvješćivanje dijeli obavijest s CSIRT-ovima koji su imenovani koordinatorima na državnim područjima za koja je proizvođač naveo da je proizvod s digitalnim elementima na njima stavljen na raspolaganje.

U iznimnim okolnostima, a posebno na zahtjev proizvođača i s obzirom na stupanj osjetljivosti prijavljenih informacija koji je proizvođač naveo u skladu s člankom 14. stavkom 2. točkom (a) ove Uredbe, dijeljenje obavijesti može se odgoditi na temelju opravdanih razloga povezanih s kibernetičkom sigurnošću na razdoblje koje je nužno, među ostalim ako ranjivost podliježe postupku koordiniranog otkrivanja ranjivosti iz članka 12. stavka 1. Direktive (EU) 2022/2555. Ako CSIRT odluči uskratiti obavijest, odmah obavješćuje ENISA-u o toj odluci i dostavlja obrazloženje za uskraćivanje obavijesti, kao i naznaku o tome kada će podijeliti obavijest u skladu s postupkom dijeljenja utvrđenim u ovom stavku. ENISA može podržati CSIRT pogledu primjene razloga povezanih s kibernetičkom sigurnošću u vezi s odgodom dijeljenja obavijesti.

U posebno iznimnim okolnostima, ako proizvođač u obavijesti iz članka 14. stavka 2. točke (b) navede:

dok se s predmetnim CSIRT-ovima i ENISA-i ne podijeli potpuna obavijest, ENISA-i se istodobno stavljaju na raspolaganje samo informacija da je proizvođač podnio obavijest, opće informacije o proizvodu, informacije o općoj prirodi iskorištavanja i informacija o tome da su istaknuti razlozi povezani sa sigurnošću. Ako na temelju tih informacija ENISA smatra da postoji sistemski rizik koji utječe na sigurnost unutarnjeg tržišta, ENISA preporučuje CSIRT-u primatelju da potpunu obavijest podijeli s drugim CSIRT-ovima koji su imenovani koordinatorima i samoj ENISA-i.

3. Nakon primitka obavijesti o aktivno iskorištenoj ranjivosti proizvoda s digitalnim elementima ili o značajnom incidentu koji utječe na sigurnost proizvoda s digitalnim elementima, CSIRT-ovi koji su imenovani koordinatorima tijelima za nadzor tržišta svojih država članica pružaju prijavljene informacije koje su tijelima za nadzor tržišta potrebne za ispunjavanje njihovih obveza na temelju ove Uredbe.

4. ENISA poduzima odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje rizicima kojima su izložene sigurnost jedinstvene platforme za izvješćivanje i informacije koje se dostavljaju ili šire putem jedinstvene platforme za izvješćivanje. ENISA bez nepotrebne odgode obavješćuje mrežu CSIRT-ova i Komisiju o svakom sigurnosnom incidentu koji utječe na jedinstvenu platformu za izvješćivanje.

5. ENISA u suradnji s mrežom CSIRT-ova pruža i implementira specifikacije o tehničkim, operativnim i organizacijskim mjerama u pogledu uspostave, održavanja i sigurnog rada jedinstvene platforme za izvješćivanje iz stavka 1., uključujući barem sigurnosne aranžmane povezane s uspostavom, radom i održavanjem jedinstvene platforme za izvješćivanje, kao i s krajnjim točkama za elektroničko obavješćivanje koje su uspostavili CSIRT-ovi koji su imenovani koordinatorima, na nacionalnoj razini, i ENISA, na razini Unije, uključujući postupovne aspekte kako bi se osiguralo da se, ako za prijavljenu ranjivost nema dostupnih korektivnih mjera ili mjera ublažavanja, informacije o toj ranjivosti razmjenjuju u skladu sa strogim sigurnosnim protokolima i prema načelu nužnog pristupa.

6. Ako je CSIRT koji je imenovan koordinatorom obaviješten o aktivno iskorištenoj ranjivosti u okviru postupka koordiniranog otkrivanja ranjivosti iz članka 12. stavka 1. Direktive (EU) 2022/2555, CSIRT koji je imenovan koordinatorom i koji je prvotno primio obavijest može odgoditi dijeljenje relevantne obavijesti putem jedinstvene platforme za izvješćivanje na temelju opravdanih razloga povezanih s kibernetičkom sigurnošću na razdoblje koje nije dulje nego što je nužno i sve dok strane uključene u koordinirano otkrivanje ranjivosti ne daju suglasnost za otkrivanje. Taj zahtjev ne sprečava proizvođače da na dobrovoljnoj osnovi obavijeste o takvoj ranjivosti u skladu s postupkom utvrđenim u ovom članku.

Ostale odredbe povezane s izvješćivanjem

1. ENISA Europskoj mreži organizacija za vezu za kibernetičke krize (EU-CyCLONe), uspostavljenoj člankom 16. Direktive (EU) 2022/2555, može dostaviti informacije prijavljene u skladu s člankom 14. stavcima 1. i 3. te člankom 15. stavcima 1. i 2. ove Uredbe, ako su takve informacije važne za koordinirano upravljanje velikim kibernetičkim sigurnosnim incidentima i krizama na operativnoj razini. Za potrebe utvrđivanja te relevantnosti ENISA može uzeti u obzir tehničke analize koje provodi mreža CSIRT-ova, ako su dostupne.

2. Ako je za sprečavanje ili ublažavanje značajnog incidenta koji utječe na sigurnost proizvoda s digitalnim elementima ili za rješavanje incidenta koji je u tijeku potrebno osvješćivanje javnosti, ili ako je otkrivanje incidenta u javnom interesu na neki drugi način, CSIRT koji je imenovan koordinatorom relevantne države članice može, nakon savjetovanja s predmetnim proizvođačem i prema potrebi u suradnji s ENISA-om, obavijestiti javnost o incidentu ili zatražiti od proizvođača da to učini.

3. Na temelju obavijesti primljenih u skladu s člankom 14. stavcima 1. i 3. te člankom 15. stavcima 1. i 2. ENISA svaka 24 mjeseca izrađuje tehničko izvješće o novim trendovima u području kibernetičkih sigurnosnih rizika proizvoda s digitalnim elementima i dostavlja ga skupini za suradnju uspostavljenoj u skladu s člankom 14. Direktive (EU) 2022/2555. Prvo takvo izvješće dostavlja se u roku od 24 mjeseca od datuma početka primjene obveza utvrđenih u članku 14. stavcima 1. i 3. ENISA uključuje relevantne informacije iz svojih tehničkih izvješća u svoje izvješće o stanju kibernetičke sigurnosti u Uniji u skladu s člankom 18. Direktive (EU) 2022/2555.

4. Fizička ili pravna osoba koja obavješćuje u skladu s člankom 14. stavcima 1. i 3. ili člankom 15. stavcima 1. i 2. ne podliježe samo zbog obavješćivanja povećanoj odgovornosti.

5. Nakon što bude dostupno sigurnosno ažuriranje ili neki drugi oblik korektivne mjere ili mjere ublažavanja, ENISA, u dogovoru s proizvođačem predmetnog proizvoda s digitalnim elementima, tu javno poznatu ranjivost prijavljenu u skladu s člankom 14. stavkom 1. ili člankom 15. stavkom 1. ove Uredbe dodaje u europsku bazu podataka o ranjivostima uspostavljenu u skladu s člankom 12. stavkom 2. Direktive (EU) 2022/2555.

6. CSIRT-ovi koji su imenovani koordinatorima pružaju podršku proizvođačima u vezi s obvezama u pogledu izvješćivanja na temelju članka 14., a posebno proizvođačima koji se smatraju mikropoduzećima ili malim ili srednjim poduzećima.

Ovlašteni zastupnici

1. Proizvođač može na temelju pisanog ovlaštenja imenovati ovlaštenog zastupnika.

2. Obveze utvrđene u članku 13. stavcima od 1. do 11., članku 13. stavku 12. prvom podstavku te članku 13. stavku 14. nisu dio ovlaštenja ovlaštenog zastupnika.

3. Ovlašteni zastupnik obavlja zadaće navedene u ovlaštenju koje mu je dao proizvođač. Ovlašteni zastupnik tijelima za nadzor tržišta na zahtjev dostavlja presliku ovlaštenja. Ovlaštenjem se ovlaštenom zastupniku omogućuje da čini barem sljedeće:

Obveze uvoznika

1. Uvoznici stavljaju na tržište samo proizvode s digitalnim elementima koji su usklađeni s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u dijelu I. Priloga I. i ako su procesi koje je proizvođač uspostavio usklađeni s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u dijelu II. Priloga I.

2. Prije stavljanja proizvoda s digitalnim elementima na tržište uvoznici osiguravaju:

Za potrebe ovog stavka uvoznici moraju moći dostaviti potrebne dokumente kojima se dokazuje ispunjavanje zahtjeva utvrđenih u ovom članku.

3. Ako uvoznik smatra ili ima razloga vjerovati da proizvod s digitalnim elementima ili procesi koje je proizvođač uspostavio nisu sukladni s ovom Uredbom, ne smije staviti taj proizvod na tržište dok se ne postigne sukladnost tog proizvoda ili procesa koje je proizvođač uspostavio s ovom Uredbom. Nadalje, ako proizvod s digitalnim elementima predstavlja znatan kibernetički sigurnosni rizik, uvoznik o tome obavješćuje proizvođača i tijela za nadzor tržišta.

Ako uvoznik ima razloga vjerovati da proizvod s digitalnim elementima može predstavljati znatan kibernetički sigurnosni rizik s obzirom na netehničke čimbenike rizika, uvoznik o tome obavješćuje tijela za nadzor tržišta. Po primitku takvih informacija tijela za nadzor tržišta slijede postupke iz članka 54. stavka 2.

4. Uvoznici na proizvodu s digitalnim elementima, na pakiranju ili u dokumentu priloženom uz proizvod s digitalnim elementima navode svoje ime, registrirano trgovačko ime ili registrirani žig, poštansku adresu, e-adresu ili druge podatke za digitalni kontakt te, ako je primjenjivo, internetske stranice preko kojih se može stupiti u kontakt s njima. Podaci za kontakt moraju biti na jeziku koji korisnici i tijela za nadzor tržišta razumiju bez poteškoća.

5. Uvoznici koji znaju ili imaju razloga vjerovati da proizvod s digitalnim elementima koji su stavili na tržište nije sukladan s ovom Uredbom odmah poduzimaju potrebne korektivne mjere kako bi osigurali da se postigne sukladnost proizvoda s digitalnim elementima s ovom Uredbom ili, prema potrebi, povukli ili opozvali proizvod.

Nakon što doznaju za ranjivosti proizvoda s digitalnim elementima uvoznici o njoj bez nepotrebne odgode obavješćuju proizvođača. Nadalje, ako proizvod s digitalnim elementima predstavlja znatan kibernetički sigurnosni rizik, uvoznici o tome odmah obavješćuju tijela za nadzor tržišta država članica u kojima su proizvod s digitalnim elementima stavili na raspolaganje na tržištu navodeći u prvom redu pojedinosti o nesukladnosti i o svim poduzetim korektivnim mjerama.

6. Uvoznici najmanje 10 godina od stavljanja proizvoda s digitalnim elementima na tržište ili tijekom razdoblja potpore, ovisno o tome što je dulje, drže primjerak EU izjave o sukladnosti na raspolaganju tijelima za nadzor tržišta i osiguravaju da tehnička dokumentacija može biti dostupna tim tijelima na zahtjev.

7. Na obrazložen zahtjev tijela za nadzor tržišta uvoznici tom tijelu dostavljaju, u papirnatom ili elektroničkom obliku, sve informacije i svu dokumentaciju potrebne za dokazivanje sukladnosti proizvoda s digitalnim elementima s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u dijelu I. Priloga I. te procesa koje je proizvođač uspostavio s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u dijelu II. Priloga I. na jeziku koje to tijelo može bez poteškoća razumjeti. Na zahtjev tog tijela oni s njim surađuju u pogledu svake mjere koja je poduzeta kako bi se uklonili kibernetički sigurnosni rizici koje predstavlja proizvod s digitalnim elementima koji su stavili na tržište.

8. Ako uvoznik proizvoda s digitalnim elementima dozna da je proizvođač tog proizvoda prestao s radom i zato ne može ispuniti obveze utvrđene u ovoj Uredbi, uvoznik o toj situaciji obavješćuje nadležna tijela za nadzor tržišta te, na bilo koji raspoloživi način i u mjeri u kojoj je to moguće, korisnike proizvoda s digitalnim elementima koji su stavljeni na tržište.

Obveze distributera

1. Pri stavljanju proizvoda s digitalnim elementima na raspolaganje na tržištu distributeri postupaju s dužnom pažnjom u pogledu zahtjeva utvrđenih u ovoj Uredbi.

2. Prije stavljanja na raspolaganje na tržištu proizvoda s digitalnim elementima distributeri provjeravaju:

3. Ako distributer smatra ili ima razloga vjerovati, na temelju informacija koje posjeduje, da proizvod s digitalnim elementima ili procesi koje je proizvođač uspostavio nisu sukladni s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u Prilogu I., distributer ne smije staviti na raspolaganje na tržištu proizvod s digitalnim elementima dok se ne postigne sukladnosti tog proizvoda ili procesa koje je proizvođač uspostavio s ovom Uredbom. Nadalje, ako proizvod s digitalnim elementima predstavlja znatan kibernetički sigurnosni rizik, distributer o tome bez nepotrebne odgode obavješćuje proizvođača i tijela za nadzor tržišta.

4. Distributeri koji znaju ili imaju razloga vjerovati, na temelju informacija koje posjeduju, da proizvod s digitalnim elementima koji su stavili na raspolaganje na tržištu ili procesi koje je proizvođač uspostavio nisu sukladni s ovom Uredbom osiguravaju poduzimanje korektivnih mjera koje su potrebne da se ponovno uspostavi sukladnosti tog proizvoda s digitalnim elementima ili procesa koje je proizvođač uspostavio ili da se proizvod prema potrebi povuče ili opozove.

Nakon što doznaju za ranjivosti proizvoda s digitalnim elementima distributeri o njoj bez nepotrebne odgode obavješćuju proizvođača. Nadalje, ako proizvod s digitalnim elementima predstavlja znatan kibernetički sigurnosni rizik, distributeri o tome odmah obavješćuju tijela za nadzor tržišta država članica u kojima su proizvod s digitalnim elementima stavili na raspolaganje na tržištu navodeći u prvom redu pojedinosti o nesukladnosti i o svim poduzetim korektivnim mjerama.

5. Na obrazložen zahtjev tijela za nadzor tržišta distributeri dostavljaju, u papirnatom ili elektroničkom obliku, sve informacije i svu dokumentaciju potrebne za dokazivanje sukladnosti proizvoda s digitalnim elementima i procesa koje je proizvođač uspostavio s ovom Uredbom, na jeziku koje to tijelo može bez poteškoća razumjeti. Na zahtjev tog tijela distributeri s njim surađuju u pogledu svake mjere koja je poduzeta radi uklanjanja kibernetičkih sigurnosnih rizika koje predstavljaju proizvodi s digitalnim elementima koje su stavili na raspolaganje na tržištu.

6. Ako distributer proizvoda s digitalnim elementima dozna, na temelju informacija koje posjeduje, da je proizvođač tog proizvoda prestao s radom i zato ne može ispuniti obveze utvrđene u ovoj Uredbi, distributer o toj situaciji obavješćuje, bez nepotrebne odgode, relevantna nadležna tijela za nadzor tržišta te, na bilo koji raspoloživi način i u mjeri u kojoj je to moguće, korisnike proizvoda s digitalnim elementima koji su stavljeni na tržište.

Slučajevi u kojem se obveze proizvođača primjenjuju na uvoznike i distributere

Uvoznik ili distributer smatra se proizvođačem za potrebe ove Uredbe te podliježe člancima 13. i 14. ako stavi proizvod s digitalnim elementima na tržište pod svojim imenom ili žigom ili ako učini bitnu izmjenu proizvoda s digitalnim elementima koji je već stavljen na tržište.

Drugi slučajevi u kojima se primjenjuju obveze proizvođača

1. Fizička ili pravna osoba, koja nije proizvođač, uvoznik ili distributer, koja učini bitnu izmjenu proizvoda s digitalnim elementima i stavi taj proizvod na raspolaganje na tržištu smatra se proizvođačem za potrebe ove Uredbe.

2. Osoba iz stavka 1. ovog članka podliježe obvezama utvrđenima u člancima 13. i 14. za dio proizvoda s digitalnim elementima na koji utječe bitna izmjena ili, ako bitna izmjena utječe na kibernetičku sigurnost proizvoda s digitalnim elementima u cjelini, za cijeli proizvod.

Identifikacija gospodarskih subjekata

1. Gospodarski subjekti tijelima za nadzor tržišta na zahtjev pružaju sljedeće informacije:

2. Gospodarski subjekti moraju moći predočiti informacije iz stavka 1. 10 godina nakon što im je proizvod s digitalnim elementima isporučen i 10 godina nakon što su isporučili proizvod s digitalnim elementima.

Obveze upravitelja softvera otvorenog koda

1. Upravitelji softvera otvorenog koda uspostavljaju i na provjerljiv način dokumentiraju kibernetičku sigurnosnu politiku kako bi se potaknuo razvoj sigurnog proizvoda s digitalnim elementima te kako bi razvojni programeri tog proizvoda djelotvorno postupali s ranjivostima. Tom se politikom također potiče razvojne programere tog proizvoda da dobrovoljno prijavljuju ranjivosti kako je utvrđeno u članku 15. te se uzima u obzir posebna priroda upravitelja softvera otvorenog koda te pravni i organizacijski aranžmani kojima podliježe. Ta politika posebno uključuje aspekte povezane s dokumentiranjem, rješavanjem i otklanjanjem ranjivosti te se njome promiče dijeljenje informacija o otkrivenim ranjivostima unutar zajednice otvorenog koda.

2. Upravitelji softvera otvorenog koda surađuju s tijelima za nadzor tržišta, na njihov zahtjev, kako bi se ublažili kibernetički sigurnosni rizici koje predstavlja proizvod s digitalnim elementima koji se smatra besplatnim softverom otvorenog koda.

Na obrazložen zahtjev tijela za nadzor tržišta upravitelji softvera otvorenog koda dostavljaju tom tijelu, na jeziku koji to tijelo može bez poteškoća razumjeti, dokumentaciju iz stavka 1., u papirnatom ili elektroničkom obliku.

3. Obveze utvrđene u članku 14. stavku 1. primjenjuju se na upravitelje softvera otvorenog koda u mjeri u kojoj su uključeni u razvoj proizvoda s digitalnim elementima. Obveze utvrđene u članku 14. stavcima 3. i 8. primjenjuju se na upravitelje softvera otvorenog koda u mjeri u kojoj značajni incidenti koji utječu na sigurnost proizvoda s digitalnim elementima utječu na mrežne i informacijske sustave koje upravitelji softvera otvorenog koda pružaju za razvoj takvih proizvoda.

Potvrda o sigurnosti besplatnog softvera otvorenog koda

Kako bi se olakšala izvršenje obveze dužne pažnje utvrđene u članku 13. stavku 5., posebno u pogledu proizvođača koji u svoje proizvode s digitalnim elementima integriraju besplatne softverske komponente otvorenog koda, Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 61. radi dopune ove Uredbe uspostavom dobrovoljnih programa potvrda o sigurnosti kojima se razvojnim programerima ili korisnicima proizvoda s digitalnim elementima koji se smatraju besplatnim softverom otvorenog koda te ostalim trećim stranama omogućuje ocjenjivanje sukladnosti takvih proizvoda sa svim ili određenim bitnim zahtjevima u pogledu kibernetičke sigurnosti ili drugim obvezama utvrđenima u ovoj Uredbi.

Smjernice

1. Kako bi se olakšala provedba i osigurala dosljednost takve provedbe, Komisija objavljuje smjernice kako bi pomogla gospodarskim subjektima u primjeni ove Uredbe, s posebnim naglaskom na olakšavanje usklađenosti mikropoduzeća, malih poduzeća i srednjih poduzeća.

2. Ako namjerava pružiti smjernice kako je navedeno u stavku 1., Komisija obuhvaća barem sljedeće aspekte:

Komisija također vodi jednostavno dostupan popis delegiranih i provedbenih akata donesenih u skladu s ovom Uredbom.

3. Pri izradi smjernica u skladu s ovim člankom Komisija se savjetuje s relevantnim dionicima.

Pretpostavka sukladnosti

1. Za proizvode s digitalnim elementima i procese koje je proizvođač uspostavio koji su sukladni s usklađenim normama ili dijelovima usklađenih normi na koje su upućivanja objavljena u Službenom listu Europske unije pretpostavlja se da su sukladni s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u Prilogu I. obuhvaćenima tim normama ili njihovim dijelovima.

Komisija u skladu s člankom 10. stavkom 1. Uredbe (EU) br. 1025/2012 od jedne ili više europskih organizacija za normizaciju zahtijeva da izrade usklađene norme za bitne zahtjeve u pogledu kibernetičke sigurnosti utvrđene u Prilogu I. ovoj Uredbi. Prilikom pripreme zahtjeva za normizaciju za ovu Uredbu Komisija nastoji uzeti u obzir europske i međunarodne norme za kibernetičku sigurnost, postojeće i one čiji je razvoj u tijeku, kako bi se pojednostavio razvoj usklađenih normi, u skladu s Uredbom (EU) br. 1025/2012.

2. Komisija može donijeti provedbene akte kojima se utvrđuju zajedničke specifikacije koje obuhvaćaju tehničke zahtjeve kojima se osigurava sredstvo za usklađivanje s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u Prilogu I. za proizvode s digitalnim elementima obuhvaćene područjem primjene ove Uredbe.

Ti se provedbeni akti donose samo ako su ispunjeni sljedeći uvjeti:

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 62. stavka 2.

3. Prije nego što izradi nacrt provedbenog akta iz stavka 2. ovog članka, Komisija obavješćuje odbor iz članka 22. Uredbe (EU) br. 1025/2012 kako smatra da su uvjeti iz stavka 2. ovog članka ispunjeni.

4. Pri izradi nacrta provedbenog akta iz stavka 2. Komisija uzima u obzir stajališta relevantnih tijela te se propisno savjetuje sa svim relevantnim dionicima.

5. Za proizvode s digitalnim elementima i procese koje je proizvođač uspostavio i koji su u skladu sa zajedničkim specifikacijama uvedenima provedbenim aktima iz stavka 2. ovog članka ili njihovim dijelovima pretpostavlja se da su u skladu s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u Prilogu I. koji su obuhvaćeni tim zajedničkim specifikacijama ili njihovim dijelovima.

6. Ako europska organizacija za normizaciju donese usklađenu normu i predloži je Komisiji radi objave upućivanja na tu organizaciju u Službenom listu Europske unije, Komisija ocjenjuje usklađenu normu u skladu s Uredbom (EU) br. 1025/2012. Ako se u Službenom listu Europske unije objavi upućivanje na usklađenu normu, Komisija stavlja izvan snage provedbene akte iz stavka 2. ovog članka ili dijelove tih provedbenih akata koji obuhvaćaju iste bitne zahtjeve u pogledu kibernetičke sigurnosti na koje se odnosi predmetna usklađena norma.

7. Ako država članica smatra da zajednička specifikacija ne ispunjava u potpunosti bitne zahtjeve u pogledu kibernetičke sigurnosti utvrđene u Prilogu I., o tome obavješćuje Komisiju u detaljnom objašnjenju. Komisija ocjenjuje to detaljno objašnjenje i, prema potrebi, može izmijeniti provedbeni akt kojim se uvodi predmetna zajednička specifikacija.

8. Za proizvode s digitalnim elementima i procese koje je proizvođač uspostavio za koje su izdani EU izjava o sukladnosti ili certifikat u okviru europskog programa kibernetičke sigurnosne certifikacije donesenog u skladu s Uredbom (EU) 2019/881 pretpostavlja se da su sukladni s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u Prilogu I. u mjeri u kojoj EU izjava o sukladnosti ili europski kibernetički sigurnosni certifikat, ili njihovi dijelovi, obuhvaćaju te zahtjeve.

9. Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 61. ove Uredbe radi dopune ove Uredbe određivanjem europskih programa kibernetičke sigurnosne certifikacije donesenih na temelju Uredbe (EU) 2019/881 koji se mogu upotrijebiti za dokazivanje sukladnosti proizvoda s digitalnim elementima s bitnim zahtjevima u pogledu kibernetičke sigurnosti ili njihovim dijelovima utvrđenima u Prilogu I. ovoj Uredbi. Nadalje, izdavanje europskog kibernetičkog sigurnosnog certifikata izdanog u okviru takvih programa na barem „znatnoj” razini jamstva, oslobađa proizvođače obveze ocjenjivanja sukladnosti koje provodi treća strana za odgovarajuće zahtjeve, kako je utvrđeno u članku 32. stavku 2. točkama (a) i (b) i članku 32. stavku 3. točkama (a) i (b) ove Uredbe.

EU izjava o sukladnosti

1. EU izjavu o sukladnosti sastavljaju proizvođači u skladu s člankom 13. stavkom 12. i u njoj se navodi da je dokazano ispunjavanje primjenjivih bitnih zahtjeva u pogledu kibernetičke sigurnosti utvrđenih u Prilogu I.

2. EU izjava o sukladnosti ima strukturu predloška utvrđenu u Prilogu V. i sadržava elemente određene u odgovarajućim postupcima ocjenjivanja sukladnosti utvrđenima u Prilogu VIII. Takva se izjava ažurira prema potrebi. Stavlja se na raspolaganje na jezicima koje zahtijeva država članica u kojoj je proizvod s digitalnim elementima stavljen na tržište ili na raspolaganje na tržištu.

Pojednostavljena EU izjava o sukladnosti iz članka 13. stavka 20. ima strukturu predloška utvrđenu u Prilogu VI. Stavlja se na raspolaganje na jezicima koje zahtijeva država članica u kojoj je proizvod s digitalnim elementima stavljen na tržište ili na raspolaganje na tržištu.

3. Ako se na proizvod s digitalnim elementima primjenjuje više pravnih akata Unije kojima se zahtijeva EU izjava o sukladnosti, u vezi sa svim takvim pravnim aktima Unije sastavlja se samo jedna EU izjava o sukladnosti. U toj izjavi navodi se o kojim je pravnim aktima Unije riječ, uključujući upućivanja na njihove objave.

4. Sastavljanjem EU izjave o sukladnosti proizvođač preuzima odgovornost za sukladnost proizvoda s digitalnim elementima.

5. Kako bi se uzele u obzir tehnološke promjene, Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 61. radi dopune ove Uredbe dodavanjem elemenata minimalnom sadržaju EU izjave o sukladnosti utvrđene u Prilogu V.

Opća načela za oznaku CE

Na oznaku CE primjenjuju se opća načela utvrđena u članku 30. Uredbe (EZ) br. 765/2008.

Pravila i uvjeti stavljanja oznake CE

1. Oznaka CE stavlja se na proizvod s digitalnim elementima tako da bude vidljiva, čitljiva i neizbrisiva. Ako to nije moguće ili nije opravdano zbog same prirode proizvoda s digitalnim elementima, oznaka se stavlja na pakiranje i na EU izjavu o sukladnosti iz članka 28. koja se prilaže proizvodu s digitalnim elementima. Za proizvode s digitalnim elementima koji su u obliku softvera oznaka CE stavlja se na EU izjavu o sukladnosti iz članka 28. ili na popratne internetske stranice softverskog proizvoda. U potonjem slučaju relevantni dio internetskih stranica mora biti lako i izravno dostupan potrošačima.

2. Zbog prirode proizvoda s digitalnim elementima visina oznake CE koja se stavlja na proizvod s digitalnim elementima može biti manja od 5 mm, pod uvjetom da ostane vidljiva i čitljiva.

3. Oznaka CE stavlja se prije stavljanja proizvoda s digitalnim elementima na tržište. Iza nje može biti piktogram ili bilo koja druga oznaka koja označava poseban kibernetički sigurnosni rizik ili posebnu upotrebu utvrđeni u provedbenim aktima iz stavka 6.

4. Iza oznake CE navodi se identifikacijski broj prijavljenog tijela ako je to tijelo uključeno u postupak ocjenjivanja sukladnosti na temelju potpunog osiguranja kvalitete (na temelju modula H) iz članka 32.

Identifikacijski broj prijavljenog tijela stavlja samo prijavljeno tijelo ili, prema njegovim uputama, proizvođač ili proizvođačev ovlašteni zastupnik.

5. Države članice oslanjaju se na postojeće mehanizme kako bi osigurale pravilnu primjenu sustava pravila za stavljanje oznake CE i poduzimaju odgovarajuće mjere u slučaju nepravilne upotrebe te oznake. Ako proizvod s digitalnim elementima podliježe zakonodavstvu Unije o usklađivanju koje nije ova Uredba, a kojim se također propisuje stavljanje oznake CE, na oznaci CE navodi se da proizvod ispunjava i zahtjeve utvrđene u takvom drugom zakonodavstvu Unije o usklađivanju.

6. Komisija može delegiranim aktima utvrditi tehničke specifikacije za oznake, piktograme ili bilo koje druge oznake povezane sa sigurnošću proizvoda s digitalnim elementima, njihova razdoblja potpore te mehanizme za promicanje njihove upotrebe i podizanje razine svijesti u javnosti o sigurnosti proizvoda s digitalnim elementima. Pri pripremi nacrta provedbenih akata Komisija se savjetuje s relevantnim dionicima i, ako je to već utvrđeno u skladu s člankom 52. stavkom 15., sa skupinom za ADCO. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 62. stavka 2.

Tehnička dokumentacija

1. Tehnička dokumentacija sadržava sve relevantne podatke ili pojedinosti o načinima na koje proizvođač osigurava usklađenost proizvoda s digitalnim elementima i procesa koje je uspostavio s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u Prilogu I. Ona sadržava barem elemente utvrđene u Prilogu VII.

2. Tehnička dokumentacija sastavlja se prije stavljanja na tržište proizvoda s digitalnim elementima i redovito se ažurira, prema potrebi, najmanje tijekom razdoblja potpore.

3. Za proizvode s digitalnim elementima iz članka 12. koji podliježu i drugim pravnim aktima Unije kojima se predviđa tehnička dokumentacija sastavlja se jedinstvena tehnička dokumentacija koja sadržava informacije iz Priloga VII. i informacije koje se zahtijevaju tim pravnim aktima Unije.

4. Tehnička dokumentacija i korespondencija koje se odnose na bilo koji postupak ocjenjivanja sukladnosti sastavljaju se na jednom od službenih jezika države članice u kojoj prijavljeno tijelo ima poslovni nastan ili na jeziku koji je prihvatljiv tom tijelu.

5. Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 61. radi dopune ove Uredbe dodavanjem elemenata koje treba uključiti u tehničku dokumentaciju iz Priloga VII. kako bi se uzele u obzir tehnološke promjene i iskustva u procesu provedbe ove Uredbe. U tu svrhu Komisija nastoji osigurati da je administrativno opterećenje za mikropoduzeća te mala i srednja poduzeća proporcionalno.

Postupci ocjenjivanja sukladnosti proizvoda s digitalnim elementima

1. Proizvođač provodi ocjenjivanje sukladnosti proizvoda s digitalnim elementima i procesa koje je uspostavio kako bi utvrdio jesu li ispunjeni bitni zahtjevi u pogledu kibernetičke sigurnosti utvrđeni u Prilogu I. Proizvođač sukladnost s bitnim zahtjevima u pogledu kibernetičke sigurnosti dokazuje primjenom bilo kojeg od sljedećih postupaka:

2. Ako proizvođač pri ocjenjivanju sukladnosti važnog proizvoda s digitalnim elementima koji se ubraja u I. razred kako je utvrđeno u Prilogu III. i procesa koje je njegov proizvođač uspostavio s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u Prilogu I. nije primijenio ili je samo djelomično primijenio usklađene norme, zajedničke specifikacije ili europske programe kibernetičke sigurnosne certifikacije na barem „znatnoj” razini jamstva iz članka 27. ili ako takve usklađene norme, zajedničke specifikacije ili europski programi kibernetičke sigurnosne certifikacije ne postoje, predmetni proizvod s digitalnim elementima i procesi koje je proizvođač uspostavio podvrgavaju se, s obzirom na te bitne zahtjeve u pogledu kibernetičke sigurnosti, bilo kojem od sljedećih postupaka:

3. Ako je proizvod važan proizvod s digitalnim elementima koji se ubraja u II. razred kako je utvrđeno u Prilogu III., proizvođač sukladnost s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u Prilogu I. dokazuje primjenom bilo kojeg od sljedećih postupaka:

4. Za kritične proizvode s digitalnim elementima navedene u Prilogu IV. sukladnost s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u Prilogu I. dokazuje se primjenom jednog od sljedećih postupaka:

5. Proizvođači proizvoda s digitalnim elementima koji se smatraju besplatnim softverom otvorenog koda, koji pripadaju kategorijama utvrđenima u Prilogu III., moraju biti u stanju dokazati sukladnost s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u Prilogu I. primjenom jednog od postupaka iz stavka 1. ovog članka, pod uvjetom da je tehnička dokumentacija iz članka 31. stavljena na raspolaganje javnosti u trenutku stavljanja tih proizvoda na tržište.

6. Posebni interesi i potrebe mikropoduzeća te malih i srednjih poduzeća, uključujući novoosnovana poduzeća, uzimaju se u obzir pri određivanju naknada za postupke ocjenjivanja sukladnosti i te se naknade smanjuju razmjerno njihovim posebnim interesima i potrebama.

Mjere potpore za mikropoduzeća te mala i srednja poduzeća, uključujući novoosnovana poduzeća

1. Države članice, prema potrebi, poduzimaju sljedeće mjere prilagođene potrebama mikropoduzeća i malih poduzeća:

2. Države članice mogu, prema potrebi, uspostaviti regulatorna izolirana okruženja za kibernetičku otpornost. Takva regulatorna izolirana okruženja osiguravaju kontrolirana okruženja za ispitivanje inovativnih proizvoda s digitalnim elementima kako bi se olakšali njihov razvoj, projektiranje, validacija i testiranje u svrhu usklađivanja s ovom Uredbom tijekom ograničenog razdoblja prije stavljanja na tržište. Komisija i, prema potrebi, ENISA mogu pružati tehničku potporu, savjete i alate za uspostavu i rad regulatornih izoliranih okruženja. Regulatorna izolirana okruženja uspostavljaju se pod izravnim nadzorom tijela za nadzor tržišta te uz njihove smjernice i potporu. Države članice obavješćuju Komisiju i druga tijela za nadzor tržišta o uspostavi regulatornog izoliranog okruženja preko skupine za ADCO. Regulatorna izolirana okruženja ne utječu na nadzorne i korektivne ovlasti nadležnih tijela. Države članice osiguravaju otvoren, pravedan i transparentan pristup regulatornim izoliranim okruženjima, a u prvom redu olakšavaju pristup mikropoduzećima i malim poduzećima, uključujući novoosnovana poduzeća.

3. U skladu s člankom 26. Komisija mikropoduzećima te malim i srednjim poduzećima pruža smjernice u vezi s provedbom ove Uredbe.

4. Komisija informira o dostupnoj financijskoj potpori u regulatornom okviru postojećih programa Unije, posebno kako bi se smanjio financijski teret za mikropoduzeća i mala poduzeća.

5. Mikropoduzeća i mala poduzeća mogu dostaviti sve elemente tehničke dokumentacije navedene u Prilogu VII. u pojednostavnjenom formatu. U tu svrhu Komisija provedbenim aktima utvrđuje pojednostavnjeni obrazac tehničke dokumentacije namijenjen potrebama mikropoduzeća i malih poduzeća, uključujući način na koji se moraju osigurati elementi utvrđeni u Prilogu VII. Ako mikropoduzeće ili malo poduzeće odluči na pojednostavnjen način dostaviti informacije utvrđene u Prilogu VII., koristi se obrascem iz ovog stavka. Prijavljena tijela prihvaćaju taj obrazac za potrebe ocjenjivanja sukladnosti.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 62. stavka 2.

Sporazumi o uzajamnom priznavanju

Uzimajući u obzir razinu tehničkog razvoja i pristup ocjenjivanju sukladnosti treće zemlje, Unija može sklopiti sporazume o uzajamnom priznavanju s trećim zemljama, u skladu s člankom 218. UFEU-a, radi promicanja i olakšavanja međunarodne trgovine.

Prijavljivanje

1. Države članice Komisiji i drugim državama članicama prijavljuju tijela ovlaštena za provođenje ocjenjivanja sukladnosti u skladu s ovom Uredbom.

2. Države članice nastoje do 11. prosinca 2026. osigurati da u Uniji postoji dovoljan broj prijavljenih tijela za ocjenjivanje sukladnosti kako bi se izbjegla uska grla i prepreke ulasku na tržište.

Tijela koja provode prijavljivanje

1. Svaka država članice imenuje tijelo koje provodi prijavljivanje odgovorno za utvrđivanje i provedbu postupaka potrebnih za ocjenjivanje, imenovanje i prijavljivanje tijelâ za ocjenjivanje sukladnosti te njihovo praćenje, uključujući usklađenost s člankom 41.

2. Države članice mogu odlučiti da ocjenjivanje i praćenje iz stavka 1. provodi nacionalno akreditacijsko tijelo u smislu Uredbe (EZ) br. 765/2008 i u skladu s njom.

3. Ako tijelo koje provodi prijavljivanje delegira ili na neki drugi način povjeri ocjenjivanje, prijavljivanje ili praćenje iz stavka 1. ovog članka tijelu koje nije javno tijelo, to tijelo mora biti pravni subjekt i, mutatis mutandis, biti u skladu s člankom 37. Nadalje, navedeno tijelo mora uspostaviti mehanizme kojima se obuhvaćaju odgovornosti koje proizlaze iz njegovih aktivnosti.

4. Tijelo koje provodi prijavljivanje preuzima punu odgovornost za zadaće koje obavlja tijelo iz stavka 3.

Zahtjevi u pogledu tijela koja provode prijavljivanje

1. Tijelo koje provodi prijavljivanje osniva se tako da ne dolazi do sukoba interesa s tijelima za ocjenjivanje sukladnosti.

2. Tijelo koje provodi prijavljivanje organizirano je i radi tako da štiti objektivnost i nepristranost svojih aktivnosti.

3. Tijelo koje provodi prijavljivanje organizirano je tako da svaku odluku koja se odnosi na prijavljivanje tijela za ocjenjivanje sukladnosti donose kompetentne osobe koje nisu provodile ocjenjivanje.

4. Tijelo koje provodi prijavljivanje ne nudi niti obavlja aktivnosti koje provode tijela za ocjenjivanje sukladnosti ni savjetodavne usluge na tržišnoj ili konkurentskoj osnovi.

5. Tijelo koje provodi prijavljivanje štiti povjerljivost prikupljenih informacija.

6. Tijelo koje provodi prijavljivanje raspolaže dovoljnim brojem stručnog osoblja za uredno obavljanje svojih zadaća.

Obveze tijela koja provode prijavljivanje u pogledu obavješćivanja

1. Države članice obavješćuju Komisiju o svojim postupcima za ocjenjivanje i prijavljivanje tijelâ za ocjenjivanje sukladnosti, o praćenju prijavljenih tijela i o svim povezanim promjenama.

2. Komisija objavljuje informacije iz stavka 1.

Zahtjevi u pogledu prijavljenih tijela

1. Za potrebe prijavljivanja tijelo za ocjenjivanje sukladnosti mora ispunjavati zahtjeve utvrđene u stavcima od 2. do 12.

2. Tijelo za ocjenjivanje sukladnosti osniva se na temelju nacionalnog prava te ima pravnu osobnost.

3. Tijelo za ocjenjivanje sukladnosti je tijelo koje ima svojstvo treće strane i neovisno je o organizaciji koju ocjenjuje ili proizvodu s digitalnim elementima koji ocjenjuje.

Tijelo koje je član poslovnog udruženja ili strukovne udruge koje predstavlja poduzeća uključena u projektiranje, razvoj, proizvodnju, dobavu, sastavljanje, upotrebu ili održavanje proizvoda s digitalnim elementima koje ocjenjuje može se smatrati takvim tijelom za ocjenjivanje sukladnosti koje ima svojstvo treće strane pod uvjetom da dokaže svoju neovisnost i nepostojanje bilo kakvog sukoba interesa.

4. Tijelo za ocjenjivanje sukladnosti, njegovo najviše rukovodstvo i osoblje zaduženo za provedbu zadaća ocjenjivanja sukladnosti ne smiju biti projektant, programer, proizvođač, dobavljač, uvoznik, distributer, instalater, kupac, vlasnik, korisnik ili održavatelj proizvoda s digitalnim elementima koji ocjenjuju kao ni ovlašteni zastupnik bilo koje od tih strana. Time se ne sprečava upotreba ocijenjenih proizvoda koji su potrebni za rad tijela za ocjenjivanje sukladnosti niti upotreba takvih proizvoda u osobne svrhe.

Tijelo za ocjenjivanje sukladnosti, njegovo najviše rukovodstvo i osoblje zaduženo za provedbu zadaća ocjenjivanja sukladnosti ne smiju izravno sudjelovati u projektiranju, razvoju, proizvodnji, uvozu, distribuciji, stavljanju na tržište, instaliranju, upotrebi ili održavanju proizvoda s digitalnim elementima koje ocjenjuju ni zastupati strane koje sudjeluju u tim aktivnostima. Ne smiju sudjelovati ni u kakvoj aktivnosti koja može ugroziti neovisnost njihove prosudbe ili integritet u odnosu na aktivnosti ocjenjivanja sukladnosti za koje su prijavljeni. To se osobito odnosi na savjetodavne usluge.

Tijela za ocjenjivanje sukladnosti osiguravaju da aktivnosti njihovih društava kćeri ili podugovaratelja ne utječu na povjerljivost, objektivnost ili nepristranost njihovih aktivnosti ocjenjivanja sukladnosti.

5. Tijela za ocjenjivanje sukladnosti i njihovo osoblje provode aktivnosti ocjenjivanja sukladnosti na najvišem stupnju profesionalnog integriteta i potrebne tehničke stručnosti u određenom području, bez pritisaka i poticaja, posebno financijskih, koji bi mogli utjecati na njihovu prosudbu ili rezultate aktivnosti ocjenjivanja sukladnosti, posebno u vezi s osobama ili skupinama osoba koje su zainteresirane za rezultate tih aktivnosti.

6. Tijelo za ocjenjivanje sukladnosti mora biti u stanju obavljati sve zadaće ocjenjivanja sukladnosti iz Priloga VIII. i za koje je prijavljeno, bez obzira na to obavlja li te zadaće samo ili se obavljaju u njegovo ime i pod njegovom odgovornošću.

Tijelo za ocjenjivanje sukladnosti u svakom trenutku te za svaki zasebni postupak ocjenjivanja sukladnosti i svaku vrstu ili kategoriju proizvoda s digitalnim elementima za koje je prijavljeno mora raspolagati potrebnim:

Tijelo za ocjenjivanje sukladnosti raspolaže sredstvima potrebnima za primjereno obavljanje tehničkih i administrativnih zadaća povezanih s aktivnostima ocjenjivanja sukladnosti te ima pristup potrebnoj opremi ili objektima.

7. Osoblje zaduženo za zadaće ocjenjivanja sukladnosti mora imati:

8. Mora biti osigurana nepristranost tijela za ocjenjivanje sukladnosti, njihova najvišeg rukovodstva i osoblja zaduženog za ocjenjivanje.

Naknada za rad najvišeg rukovodstva i osoblja zaduženog za ocjenjivanje u tijelu za ocjenjivanje sukladnosti ne smije ovisiti o broju provedenih ocjenjivanja sukladnosti ni o rezultatima tih ocjenjivanja sukladnosti.

9. Tijela za ocjenjivanje sukladnosti sklapaju ugovor o osiguranju od odgovornosti osim ako je odgovornost preuzela njihova država članica u skladu s nacionalnim pravom ili ako je sama država članica izravno odgovorna za ocjenjivanje sukladnosti.

10. Osoblje tijela za ocjenjivanje sukladnosti čuva poslovnu tajnu koja se odnosi na sve informacije prikupljene pri provođenju svojih zadaća na temelju Priloga VIII. ili bilo koje odredbe nacionalnog prava kojim ga se provodi, osim u odnosu na tijela za nadzor tržišta države članice u kojoj se provode njegove aktivnosti. Vlasnička prava moraju biti zaštićena. Tijelo za ocjenjivanje sukladnosti mora ima uspostavljene dokumentirane postupke kojima se osigurava usklađenost s ovim stavkom.

11. Tijela za ocjenjivanje sukladnosti sudjeluju u odgovarajućim aktivnostima normizacije i aktivnostima koordinacijske skupine prijavljenog tijela osnovane na temelju članka 51. ili osiguravaju da je njihovo osoblje koje provodi ocjenjivanje informirano o tim aktivnostima te primjenjuju administrativne odluke i dokumente koji su rezultat rada te skupine kao opće smjernice.

12. Tijela za ocjenjivanje sukladnosti djeluju u skladu s nizom dosljednih, pravednih, razmjernih i razumnih uvjeta, izbjegavajući pritom nepotrebno opterećenje za gospodarske subjekte, posebno uzimajući u obzir interese mikropoduzeća te malih i srednjih poduzeća u vezi s naknadama.

Pretpostavka sukladnosti prijavljenih tijela

Ako tijelo za ocjenjivanje sukladnosti dokaže sukladnost s kriterijima utvrđenim u relevantnim usklađenim normama ili dijelovima usklađenih normi na koje su upućivanja objavljena u Službenom listu Europske unije, pretpostavlja se da ispunjava zahtjeve utvrđene u članku 39. u mjeri u kojoj primjenjive usklađene norme obuhvaćaju te zahtjeve.

Društva kćeri prijavljenih tijela i njihovi podizvođači

1. Ako prijavljeno tijelo povjeri određene zadaće povezane s ocjenjivanjem sukladnosti podizvođačima ili ih prenese društvu kćeri, osigurava da taj podizvođač ili to društvo kći ispunjava zahtjeve utvrđene u članku 39. i o tome obavješćuje tijelo koje provodi prijavljivanje.

2. Prijavljena tijela preuzimaju punu odgovornost za zadaće koje obavljaju podizvođači ili društva kćeri bez obzira na to gdje imaju poslovni nastan.

3. Aktivnosti se mogu povjeriti podizvođaču ili ih može provoditi društvo kći samo uz suglasnost proizvođača.

4. Prijavljena tijela drže na raspolaganju tijelu koje provodi prijavljivanje relevantne dokumente koji se odnose na ocjenu kvalifikacija podizvođača ili društva kćeri i na rad koji oni obavljaju na temelju ove Uredbe.

Zahtjev za prijavu

1. Tijelo za ocjenjivanje sukladnosti podnosi zahtjev za prijavu tijelu koje provodi prijavljivanje u državi članici u kojoj ima poslovni nastan.

2. Zahtjevu za prijavu prilaže se opis aktivnosti ocjenjivanja sukladnosti, postupka ocjenjivanja sukladnosti ili više njih te proizvoda s digitalnim dokumentima ili više njih za koje to tijelo tvrdi da je nadležno te, ako je primjenjivo, potvrda o akreditaciji koju je izdalo nacionalno akreditacijsko tijelo i kojom se potvrđuje da tijelo za ocjenjivanje sukladnosti ispunjava zahtjeve utvrđene u članku 39.

3. Ako predmetno tijelo za ocjenjivanje sukladnosti ne može dostaviti potvrdu o akreditaciji, ono tijelu koje provodi prijavljivanje dostavlja svu dokaznu dokumentaciju potrebnu za provjeru, priznavanje i redovito praćenje njegove usklađenosti sa zahtjevima utvrđenima u članku 39.

Postupak prijavljivanja

1. Tijela koja provode prijavljivanje prijavljuju samo tijela za ocjenjivanje sukladnosti koja ispunjavaju zahtjeve iz članka 39.

2. Tijelo koje provodi prijavljivanje prijavljuje Komisiji i drugim državama članicama putem informacijskog sustava prijavljenih i imenovanih tijela prema novom pristupu koji je razvila i vodi Komisija.

3. Prijava sadržava sve pojedinosti o aktivnostima ocjenjivanja sukladnosti, modulu ili modulima za ocjenjivanje sukladnosti te predmetnom proizvodu s digitalnim elementima ili više njih i odgovarajućoj potvrdi o stručnosti.

4. Ako se prijavljivanje ne temelji na potvrdi o akreditaciji iz članka 42. stavka 2., tijelo koje provodi prijavljivanje Komisiji i drugim državama članicama dostavlja dokaznu dokumentaciju kojom se potvrđuju stručnost tijela za ocjenjivanje sukladnosti i uspostavljeni mehanizmi kako bi se osiguralo da će se tijelo redovito pratiti i da će nastaviti ispunjavati zahtjeve utvrđene u članku 39.

5. Predmetno tijelo može obavljati aktivnosti prijavljenog tijela samo ako Komisija i druge države članice ne podnesu prigovor u roku od dva tjedna od prijave u slučajevima kad se upotrebljava potvrda o akreditaciji ili u roku od dva mjeseca od prijave u slučajevima kad se akreditacija ne upotrebljava.

Samo se takvo tijelo smatra prijavljenim tijelom za potrebe ove Uredbe.

6. Komisija i ostale države članice obavješćuju se o svim naknadnim relevantnim izmjenama prijave.

Identifikacijski brojevi i popisi prijavljenih tijela

1. Komisija prijavljenom tijelu dodjeljuje identifikacijski broj.

Dodjeljuje mu samo jedan takav broj, čak i ako je tijelo prijavljeno na temelju više pravnih akata Unije.

2. Komisija objavljuje popis tijela prijavljenih na temelju ove Uredbe, uključujući identifikacijske brojeve koji su im dodijeljeni i aktivnosti za koje su prijavljena.

Komisija osigurava ažuriranje tog popisa.

Promjene u vezi s prijavama

1. Ako tijelo koje provodi prijavljivanje utvrdi ili bude obaviješteno da prijavljeno tijelo više ne ispunjava zahtjeve utvrđene u članku 39. ili da ne ispunjava svoje obveze, tijelo koje provodi prijavljivanje prema potrebi ograničava, suspendira ili povlači prijavu, ovisno o ozbiljnosti neispunjavanja tih zahtjeva ili obveza. O tome odmah obavješćuje Komisiju i ostale države članice.

2. U slučaju ograničenja, suspenzije ili povlačenja prijave, ili ako je prijavljeno tijelo prestalo s radom, država članica koja provodi prijavljivanje poduzima odgovarajuće korake kako bi osigurala da predmete tog tijela obradi drugo prijavljeno tijelo ili da se stave na raspolaganje odgovornim tijelima koja provode prijavljivanje i tijelima za nadzor tržišta na njihov zahtjev.

Osporavanje stručnosti prijavljenih tijela

1. Komisija istražuje sve slučajeve u kojima sumnja ili u kojima je upozorena na sumnju u stručnost prijavljenog tijela ili u to da ono kontinuirano ispunjava zahtjeve i obveze.

2. Država članica koja provodi prijavljivanje Komisiji na zahtjev dostavlja sve informacije o osnovi za prijavljivanje ili održavanju stručnosti predmetnog tijela.

3. Komisija osigurava da se sa svim osjetljivim informacijama prikupljenima tijekom njezinih istraga postupa kao s povjerljivim informacijama.

4. Ako Komisija utvrdi da prijavljeno tijelo ne ispunjava ili da više ne ispunjava zahtjeve za svoju prijavu, o tome obavješćuje državu članicu koje ga je prijavila i od nje zahtijeva da poduzme potrebne korektivne mjere, uključujući povlačenje prijave ako je to potrebno.

Operativne obveze prijavljenih tijela

1. Prijavljena tijela provode ocjenjivanja sukladnosti u skladu s postupcima ocjenjivanja sukladnosti iz članka 32. i Priloga VIII.

2. Ocjenjivanja sukladnosti provode se razmjerno tako da se izbjegne nepotrebno opterećivanje gospodarskih subjekata. Tijela za ocjenjivanje sukladnosti obavljaju svoje aktivnosti vodeći računa o veličini poduzeća, posebno u pogledu mikropoduzeća te malih i srednjih poduzeća, sektoru u kojem ona posluju, njihovoj strukturi, njihovu stupnju složenosti i razini kibernetičkog sigurnosnog rizika proizvoda s digitalnim elementima i tehnologije o kojoj je riječ i masovnoj ili serijskoj prirodi proizvodnog procesa.

3. Međutim, prijavljena tijela poštuju stupanj strogosti i razinu zaštite koji su potrebni za sukladnost proizvoda s digitalnim elementima s ovom Uredbom.

4. Ako prijavljeno tijelo utvrdi da proizvođač ne ispunjava zahtjeve utvrđene u Prilogu I. ili u odgovarajućim usklađenim normama ili zajedničkim specifikacijama iz članka 27., ono zahtijeva od proizvođača da poduzme odgovarajuće korektivne mjere i ne izdaje certifikat o sukladnosti.

5. Ako tijekom praćenja sukladnosti nakon izdavanja potvrde prijavljeno tijelo utvrdi da proizvod s digitalnim elementima više nije u skladu sa zahtjevima utvrđenima u ovoj Uredbi, ono zahtijeva od proizvođača da poduzme primjerene korektivne mjere te prema potrebi obustavlja ili povlači certifikat.

6. Ako korektivne mjere nisu poduzete ili nemaju traženi učinak, prijavljeno tijelo prema potrebi ograničava, suspendira ili povlači certifikate.

Žalbe protiv odluka prijavljenih tijela

Države članice osiguravaju da je na raspolaganju žalbeni postupak protiv odluka prijavljenih tijela.

Obveze prijavljenih tijela u pogledu obavješćivanja

1. Prijavljena tijela obavješćuju tijelo koje provodi prijavljivanje o sljedećem:

2. Prijavljena tijela drugim tijelima koja su prijavljena na temelju ove Uredbe i koja provode slične aktivnosti ocjenjivanja sukladnosti kojima su obuhvaćeni isti proizvodi s digitalnim elementima dostavljaju relevantne informacije o pitanjima koja se odnose na negativne i, na zahtjev, pozitivne rezultate ocjenjivanja sukladnosti.

Razmjena iskustava

Komisija organizira razmjenu iskustava među nacionalnim tijelima država članica koja su odgovorna za politiku prijavljivanja.

Koordinacija prijavljenih tijela

1. Komisija osigurava uspostavu odgovarajuće koordinacije i suradnje među prijavljenim tijelima te osigurava pravilno upravljanje tom koordinacijom i suradnjom u okviru međusektorske skupine prijavljenih tijela.

2. Države članice osiguravaju da tijela koja su prijavile sudjeluju u radu te skupine izravno ili posredstvom imenovanih predstavnika.

Nadzor tržišta i kontrola proizvoda s digitalnim elementima na tržištu Unije

1. Uredba (EU) 2019/1020 primjenjuje se na proizvode s digitalnim elementima koji su obuhvaćeni područjem primjene ove Uredbe.

2. Svaka država članica imenuje jedno ili više tijela za nadzor tržišta za potrebe osiguravanja djelotvorne provedbe ove Uredbe. Države članice mogu imenovati postojeće ili novo tijelo koje će djelovati kao tijelo za nadzor tržišta za potrebe ove Uredbe.

3. Tijela za nadzor tržišta imenovana u skladu sa stavkom 2. ovog članka odgovorna su i za provedbu aktivnosti nadzora tržišta u vezi s obvezama za upravitelje softvera otvorenog koda utvrđenima u članku 24. Ako tijelo za nadzor tržišta utvrdi da upravitelj softvera otvorenog koda ne ispunjava obveze utvrđene u tom članku, od njega zahtijeva da osigura poduzimanje svih odgovarajućih korektivnih mjera. Upravitelji softvera otvorenog koda osiguravaju poduzimanje svih odgovarajućih korektivnih mjera u pogledu svojih obveza iz ove Uredbe.

4. Tijela za nadzor tržišta prema potrebi surađuju i redovito razmjenjuju informacije s nacionalnim tijelima za kibernetičku sigurnosnu certifikaciju imenovanima na temelju članka 58. Uredbe (EU) 2019/881. Imenovana tijela za nadzor tržišta u pogledu nadzora provedbe obveza u pogledu izvješćivanja na temelju članka 14. ove Uredbe surađuju i redovito razmjenjuju informacije s CSIRT-ovima koji su imenovani koordinatorima i s ENISA-om.

5. Tijela za nadzor tržišta mogu zatražiti od CSIRT-a koji je imenovan koordinatorom ili ENISA-e da pruže tehničke savjete o pitanjima povezanima s provedbom i izvršavanjem ove Uredbe. Pri provedbi istrage u skladu s člankom 54. tijela za nadzor tržišta mogu zatražiti od CSIRT-a koji je imenovan koordinatorom ili ENISA-e da dostave analizu kojom bi se potkrijepile evaluacije sukladnosti proizvoda s digitalnim elementima.

6. Tijela za nadzor tržišta prema potrebi surađuju i redovito razmjenjuju informacije s drugim tijelima za nadzor tržišta imenovanima na temelju zakonodavstva Unije o usklađivanju koje nije ova Uredba.

7. Tijela za nadzor tržišta prema potrebi surađuju s tijelima koja nadziru pravo Unije o zaštiti podataka. Takva suradnja uključuje obavješćivanje tih tijela o svim nalazima relevantnima za ispunjavanje njihovih nadležnosti, među ostalim pri davanju smjernica i savjeta na temelju stavka 10. ako se te smjernice i ti savjeti odnose na obradu osobnih podataka.

Tijela koja nadziru pravo Unije o zaštiti podataka ovlaštena su zatražiti svu dokumentaciju koja je izrađena ili se vodi na temelju ove Uredbe ili joj pristupiti ako je pristup toj dokumentaciji potreban za ispunjavanje njihovih zadaća. Ona obavješćuju imenovana tijela za nadzor tržišta predmetne države članice o svakom takvom zahtjevu.

8. Države članice osiguravaju da imenovana tijela za nadzor tržišta imaju odgovarajuće financijske i tehničke resurse, uključujući, prema potrebi, alate za automatizaciju obrade, kao i ljudske resurse s vještinama u području kibernetičke sigurnosti potrebnima za obavljanje svojih zadaća na temelju ove Uredbe.

9. Komisija potiče i olakšava razmjenu iskustava među imenovanim tijelima za nadzor tržišta.

10. Tijela za nadzor tržišta mogu gospodarskim subjektima pružati smjernice i savjete o provedbi ove Uredbe, uz potporu Komisije i, prema potrebi, CSIRT-ova i ENISA-e.

11. Tijela za nadzor tržišta obavješćuju potrošače o tome gdje podnijeti pritužbe koje bi mogle upućivati na neusklađenost s ovom Uredbom, u skladu s člankom 11. Uredbe (EU) 2019/1020, te potrošačima pružaju informacije o tome gdje i kako pristupiti mehanizmima za lakše prijavljivanje ranjivosti, incidenata i kibernetičkih prijetnji koji mogu utjecati na proizvode s digitalnim elementima.

12. Tijela za nadzor tržišta prema potrebi olakšavaju suradnju s relevantnim dionicima, uključujući znanstvene organizacije, istraživačke organizacije i organizacije potrošača.

13. Tijela za nadzor tržišta na godišnjoj osnovi izvješćuju Komisiju o ishodima relevantnih aktivnosti nadzora tržišta. Imenovana tijela za nadzor tržišta bez odgode izvješćuju Komisiju i relevantna nacionalna tijela za tržišno natjecanje o svim informacijama utvrđenima tijekom aktivnosti nadzora tržišta koje bi mogle biti od interesa za primjenu prava Unije o tržišnom natjecanju.

14. Za proizvode s digitalnim elementima koji su obuhvaćeni područjem primjene ove Uredbe i koji su klasificirani kao visokorizični UI sustavi na temelju članka članaka 6. Uredbe (EU) 2024/1689 tijela za nadzor tržišta imenovana za potrebe te uredbe su tijela nadležna za aktivnosti nadzora tržišta koje se zahtijevaju ovom Uredbom. Tijela za nadzor tržišta imenovana na temelju Uredbe (EU) 2024/1689 prema potrebi surađuju s tijelima za nadzor tržišta imenovanima na temelju ove Uredbe i, u pogledu nadzora provedbe obveza u pogledu izvješćivanja na temelju članka 14. ove Uredbe, s CSIRT-ovima koji su imenovani koordinatorima i ENISA-om. Tijela za nadzor tržišta imenovana na temelju Uredbe (EU) 2024/1689 osobito obavješćuju tijela za nadzor tržišta imenovana na temelju ove Uredbe o svakom nalazu relevantnom za ispunjavanje njihovih zadaća koje se odnose na provedbu ove Uredbe.

15. Radi ujednačene primjene ove Uredbe, u skladu s člankom 30. stavkom 2. Uredbe (EU) 2019/1020, uspostavlja se skupina za ADCO. Skupina za ADCO sastoji se od predstavnika imenovanih tijela za nadzor tržišta i, prema potrebi, predstavnika jedinstvenih ureda za vezu. Skupina za ADCO bavi se i posebnim pitanjima povezanima s aktivnostima nadzora tržišta u vezi s obvezama koje se nameću upraviteljima softvera otvorenog koda.

16. Tijela za nadzor tržišta prate kako su proizvođači primijenili kriterije iz članka 13. stavka 8. pri određivanju razdoblja potpore za svoje proizvode s digitalnim elementima.

Skupina za ADCO u javno dostupnom obliku prilagođenom korisnicima objavljuje relevantne statističke podatke o kategorijama proizvoda s digitalnim elementima, uključujući prosječna razdoblje potpora kako ih odredi proizvođač u skladu s člankom 13. stavkom 8., te pruža smjernice koje uključuju okvirna razdoblja potpore za kategorije proizvoda s digitalnim elementima.

Ako podaci upućuju na neodgovarajuća razdoblja potpore za određene kategorije proizvoda s digitalnim elementima, skupina za ADCO može izdati preporuke tijelima za nadzor tržišta da svoje aktivnosti usmjere na takve kategorije proizvoda s digitalnim elementima.

Pristup podacima i dokumentaciji

Ako je to potrebno radi ocjenjivanja sukladnosti proizvoda s digitalnim elementima i procesa koje su njihovi proizvođači uspostavili s bitnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u Prilogu I., tijelima za nadzor tržišta, na obrazložen zahtjev, dopušta se pristup podacima potrebnima za ocjenjivanje projektiranja, razvoja i proizvodnje takvih proizvoda te postupanja s njihovim ranjivostima, uključujući povezanu internu dokumentaciju relevantnog gospodarskog subjekta, na jeziku koje ta tijela razumiju bez poteškoća.

Postupak na nacionalnoj razini za proizvode s digitalnim elementima koji predstavljaju znatan kibernetički sigurnosni rizik

1. Ako tijelo za nadzor tržišta države članice ima dovoljno razloga smatrati da proizvod s digitalnim elementima, uključujući njegovo postupanje s ranjivostima, predstavlja znatan kibernetički sigurnosni rizik, ono bez nepotrebne odgode i prema potrebi u suradnji s relevantnim CSIRT-om provodi evaluaciju tog proizvoda s digitalnim elementima koja se odnosi na njegovu usklađenost sa svim zahtjevima utvrđenima u ovoj Uredbi. Relevantni gospodarski subjekti prema potrebi surađuju s tijelom za nadzor tržišta.

Ako tijelo za nadzor tržišta tijekom te evaluacije utvrdi da proizvod s digitalnim elementima nije sukladan sa zahtjevima utvrđenima u ovoj Uredbi, ono od relevantnog gospodarskog subjekta zahtijeva da bez odgode poduzme sve odgovarajuće korektivne mjere kako bi se proizvod s digitalnim elementima uskladio s tim zahtjevima, povukao s tržišta ili opozvao u razumnom roku, razmjerno vrsti kibernetičkog sigurnosnog rizika i ovisno o tome što propiše tijelo za nadzor tržišta.

Tijelo za nadzor tržišta o tome na odgovarajući način obavješćuje relevantno prijavljeno tijelo. Članak 18. Uredbe (EU) 2019/1020 primjenjuje se na korektivne mjere.

2. Pri utvrđivanju znatnosti kibernetičkog sigurnosnog rizika iz stavka 1. ovog članka tijela za nadzor tržišta također razmatraju netehničke čimbenike rizika, posebno one utvrđene na temelju koordiniranih procjena sigurnosnih rizika ključnih lanaca opskrbe na razini Unije provedenih u skladu s člankom 22. Direktive (EU) 2022/2555. Ako tijelo za nadzor tržišta ima dovoljno razloga smatrati da proizvod s digitalnim elementima predstavlja znatan kibernetički sigurnosni rizik s obzirom na netehničke čimbenike rizika, ono o tome obavješćuje nadležna tijela imenovana ili uspostavljena u skladu s člankom 8. Direktive (EU) 2022/2555 i prema potrebi surađuje s tim tijelima.

3. Ako tijelo za nadzor tržišta smatra da neusklađenost nije ograničena samo na državno područje njegove države, ono obavješćuje Komisiju i ostale države članice o rezultatima evaluacije i mjerama za koje je zahtijevalo da ih gospodarski subjekt poduzme.

4. Gospodarski subjekt osigurava da se poduzmu sve odgovarajuće korektivne mjere u pogledu svih predmetnih proizvoda s digitalnim elementima koje je stavio na raspolaganje na tržištu u Uniji.

5. Ako gospodarski subjekt ne poduzme prikladne korektivne mjere u razdoblju iz stavka 1. drugog podstavka, tijelo za nadzor tržišta poduzima sve odgovarajuće privremene mjere kako bi zabranilo ili ograničilo stavljanje na raspolaganje na svojem nacionalnom tržištu tog proizvoda s digitalnim elementima, povuklo ga s tržišta ili ga opozvalo.

To tijelo o tim mjerama bez odgode obavješćuje Komisiju i ostale države članice.

6. Informacije iz stavka 5. uključuju sve dostupne pojedinosti, posebno podatke potrebne za identifikaciju neusklađenog proizvoda s digitalnim elementima, podrijetlo tog proizvoda s digitalnim elementima, vrstu navodne neusklađenosti i povezanog rizika, prirodu i trajanje poduzetih nacionalnih mjera te argumente koje je iznio relevantni gospodarski subjekt. Tijelo za nadzor tržišta posebno navodi je li neusklađenost uzrokovana nečim od sljedećeg:

7. Tijela za nadzor tržišta država članica, osim tijela za nadzor tržišta države članice koje je pokrenulo postupak, bez odgode obavješćuju Komisiju i ostale države članice o svim donesenim mjerama i o svim dodatnim informacijama koje su im na raspolaganju u vezi s neusklađenošću predmetnog proizvoda s digitalnim elementima te, u slučaju neslaganja s prijavljenom nacionalnom mjerom, o svojim prigovorima.

8. Ako u roku od tri mjeseca od primitka obavijesti navedene u stavku 5. ovog članka nijedna država članica ni Komisija ne podnesu prigovor na privremenu mjeru koju je poduzela država članica, ta mjera se smatra opravdanom. Time se ne dovode u pitanje postupovna prava predmetnog gospodarskog subjekta u skladu s člankom 18. Uredbe (EU) 2019/1020.

9. Tijela za nadzor tržišta svih država članica osiguravaju da se bez odgode poduzmu odgovarajuće restriktivne mjere u pogledu predmetnog proizvoda s digitalnim elementima, primjerice povlačenje tog proizvoda s njihovih tržišta.

Zaštitni postupak Unije

1. Ako država članica u roku od tri mjeseca od primitka obavijesti iz članka 54. stavka 5. podnese prigovor na mjeru koju je poduzela druga država članica ili ako Komisija smatra da je mjera protivna pravu Unije, Komisija bez odgode započinje savjetovanje s relevantnom državom članicom i gospodarskim subjektom ili gospodarskim subjektima te evaluira nacionalnu mjeru. Na temelju rezultata te evaluacije Komisija u roku od devet mjeseci od obavijesti iz članka 54. stavka 5. odlučuje je li nacionalna mjera opravdana te o toj odluci obavješćuje predmetnu državu članicu.

2. Ako se nacionalna mjera smatra opravdanom, sve države članice poduzimaju mjere potrebne kako bi osigurale povlačenje neusklađenog proizvoda s digitalnim elementima s njihova tržišta te o tome obavješćuju Komisiju. Ako se nacionalna mjera ne smatra opravdanom, predmetna država članica povlači mjeru.

3. Ako se nacionalna mjera smatra opravdanom i ako se neusklađenost proizvoda s digitalnim elementima pripisuje nedostacima u usklađenim normama, Komisija primjenjuje postupak iz članka 11. Uredbe (EU) br. 1025/2012.

4. Ako se nacionalna mjera smatra opravdanom i ako se neusklađenost proizvoda s digitalnim elementima pripisuje nedostacima u europskom programu kibernetičke sigurnosne certifikacije iz članka 27., Komisija razmatra izmjenu ili stavljanje izvan snage svakog delegiranog akta donesenog na temelju članka 27. stavka 9. kojim se utvrđuje pretpostavka sukladnosti koja se odnosi na taj program certifikacije.

5. Ako se nacionalna mjera smatra opravdanom i ako se neusklađenost proizvoda s digitalnim elementima pripisuje nedostacima u zajedničkim specifikacijama iz članka 27., Komisija razmatra izmjenu ili stavljanje izvan snage svakog provedbenog akta donesenog na temelju članka 27. stavka 2. kojim su te zajedničke specifikacije utvrđene.

Postupak na razini Unije za proizvode s digitalnim elementima koji predstavljaju znatan kibernetički sigurnosni rizik

1. Ako Komisija ima dovoljno razloga smatrati, među ostalim na temelju informacija koje je pružila ENISA, da proizvod s digitalnim elementima koji predstavlja znatan kibernetički sigurnosni rizik nije usklađen sa zahtjevima utvrđenima u ovoj Uredbi, ona obavješćuje relevantna tijela za nadzor tržišta. Ako tijela za nadzor tržišta provode evaluaciju tog proizvoda s digitalnim elementima koji može predstavljati znatan kibernetički sigurnosni rizik u pogledu njegove usklađenosti sa zahtjevima utvrđenima u ovoj Uredbi, primjenjuju se postupci iz članaka 54. i 55.

2. Ako Komisija ima dovoljno razloga smatrati da proizvod s digitalnim elementima predstavlja znatan kibernetički sigurnosni rizik s obzirom na netehničke čimbenike rizika, ona obavješćuje relevantna tijela za nadzor tržišta i, prema potrebi, nadležna tijela imenovana ili uspostavljena u skladu s člankom 8. Direktive (EU) 2022/2555 te prema potrebi surađuje s tim tijelima. Komisija također razmatra relevantnost utvrđenih rizika za taj proizvod s digitalnim elementima u kontekstu svojih zadaća povezanih s koordiniranim procjenama sigurnosnih rizika ključnih lanaca opskrbe na razini Unije iz članka 22. Direktive (EU) 2022/2555 te se prema potrebi savjetuje sa skupinom za suradnju osnovanom na temelju članka 14. Direktive (EU) 2022/2555 i s ENISA-om.

3. U okolnostima koje opravdavaju brzu intervenciju radi očuvanja pravilnog funkcioniranja unutarnjeg tržišta i ako Komisija ima dovoljno razloga smatrati da proizvod s digitalnim elementima iz stavka 1. i dalje nije usklađen sa zahtjevima utvrđenima u ovoj Uredbi, a nadležna tijela za nadzor tržišta nisu poduzela nikakve djelotvorne mjere, Komisija provodi evaluaciju usklađenosti i može zahtijevati od ENISA-e da dostavi analizu kojom bi je potkrijepila. Komisija o tome na odgovarajući način obavješćuje relevantna tijela za nadzor tržišta. Relevantni gospodarski subjekti prema potrebi surađuju s ENISA-om.

4. Na temelju evaluacije iz stavka 3. Komisija može odlučiti da je potrebna korektivna ili restriktivna mjera na razini Unije. U tu svrhu Komisija se bez odgode savjetuje s predmetnim državama članicama i relevantnim gospodarskim subjektima.

5. Na temelju savjetovanja iz stavka 4. ovog članka Komisija može donijeti provedbene akte kako bi se predvidjele korektivne ili restriktivne mjere na razini Unije, uključujući zahtijevanje povlačenja predmetnih proizvoda s digitalnim elementima s tržišta ili njihova opoziva u razumnom roku, razmjerno vrsti rizika. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 62. stavka 2.

6. Komisija o provedbenim aktima iz stavka 5. odmah obavješćuje relevantne gospodarske subjekte. Države članice bez odgode provode te provedbene akte i o tome obavješćuju Komisiju.

7. Stavci od 3. do 6. primjenjivi su dok traje iznimna situacija koja opravdava intervenciju Komisije, pod uvjetom da nije uspostavljena usklađenost predmetnog proizvoda s digitalnim elementima s ovom Uredbom.

Usklađeni proizvodi s digitalnim elementima koji predstavljaju znatan kibernetički sigurnosni rizik

1. Tijelo za nadzor tržišta države članice zahtijeva od gospodarskog subjekta da poduzme sve odgovarajuće mjere ako nakon evaluacije provedene u skladu s člankom 54. utvrdi da proizvod s digitalnim elementima i procesi koje je proizvođač uspostavio, iako su u skladu s ovom Uredbom, predstavljaju znatan kibernetički sigurnosni rizik za:

Mjere iz prvog podstavka mogu uključivati mjere kojima se osigurava da predmetni proizvod s digitalnim elementima i procesi koje je proizvođač uspostavio više ne predstavljaju relevantne rizike pri stavljaju na raspolaganje na tržištu kao i povlačenje s tržišta predmetnog proizvoda s digitalnim elementima ili njegov opoziv te su razmjerne prirodi tih rizika.

2. Proizvođač ili drugi relevantni gospodarski subjekti osiguravaju poduzimanje korektivnih mjera u pogledu predmetnih proizvoda s digitalnim elementima koje su stavili na raspolaganje na tržištu u Uniji u roku koji je utvrdilo tijelo za nadzor tržišta države članice iz stavka 1.

3. Država članica odmah obavješćuje Komisiju i ostale države članice o mjerama poduzetima u skladu sa stavkom 1. Ta obavijest uključuje sve dostupne pojedinosti, osobito podatke potrebne za identifikaciju predmetnih proizvoda s digitalnim elementima, podrijetlo i lanac opskrbe tih proizvoda s digitalnim elementima, vrstu rizika te vrstu i trajanje poduzetih nacionalnih mjera.

4. Komisija se bez odgode savjetuje s državama članicama i relevantnim gospodarskim subjektom te evaluira poduzete nacionalne mjere. Na temelju rezultata te evaluacije Komisija odlučuje o opravdanosti poduzete mjere i, ako je to potrebno, predlaže odgovarajuće mjere.

5. Komisija odluku iz stavka 4. upućuje državama članicama.

6. Ako Komisija ima dovoljno razloga smatrati, među ostalim na temelju informacija koje je pružila ENISA, da proizvod s digitalnim elementima, iako je u skladu s ovom Uredbom, predstavlja rizike iz stavka 1. ovog članka, ona obavješćuje relevantna tijela za nadzor tržišta i može od njih zahtijevati da provedu evaluaciju i primijene postupke iz članka 54. i stavaka 1., 2. i 3. ovog članka.

7. U okolnostima koje opravdavaju brzu intervenciju radi očuvanja pravilnog funkcioniranja unutarnjeg tržišta i ako Komisija ima dovoljno razloga smatrati da proizvod s digitalnim elementima iz stavka 6. i dalje predstavlja rizike iz stavka 1., a relevantna tijela za nadzor tržišta nisu poduzela nikakve djelotvorne mjere, Komisija provodi evaluaciju rizika koje taj proizvod s digitalnim elementima predstavlja i može od ENISA-e zahtijevati da dostavi analizu kako bi poduprla tu evaluaciju te o tome obavješćuje relevantna tijela za nadzor tržišta. Relevantni gospodarski subjekti prema potrebi surađuju s ENISA-om.

8. Na temelju evaluacije iz stavka 7. Komisija može utvrditi da je potrebna korektivna ili restriktivna mjera na razini Unije. U tu se svrhu Komisija bez odgode savjetuje s predmetnim državama članicama i relevantnim gospodarskim subjektima.

9. Na temelju savjetovanja iz stavka 8. ovog članka Komisija može donijeti provedbene akte kako bi se odlučilo o korektivnim ili restriktivnim mjerama na razini Unije, uključujući zahtijevanje povlačenja predmetnih proizvoda s digitalnim elementima s tržišta ili njihova opoziva u razumnom roku, razmjerno vrsti rizika. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 62. stavka 2.

10. Komisija o provedbenim aktima iz stavka 9. odmah obavješćuje relevantne gospodarske subjekte. Države članice bez odgode provode te provedbene akte i o tome obavješćuju Komisiju.

11. Stavci od 6. do 10. primjenjivi su dok traje iznimna situacija koja opravdava intervenciju Komisije i dok predmetni proizvod s digitalnim elementima predstavlja rizike iz stavka 1.

Formalna neusklađenost

1. Tijelo za nadzor tržišta države članice zahtijeva od relevantnog proizvođača da otkloni predmetnu neusklađenost ako utvrdi nešto od sljedećeg:

2. Ako se neusklađenost iz stavka 1. ne otkloni, predmetna država članica poduzima sve odgovarajuće mjere kako bi ograničila ili zabranila stavljanje proizvoda s digitalnim elementima na raspolaganje na tržištu ili kako bi osigurala njegov opoziv ili povlačenje s tržišta.

Zajedničke aktivnosti tijelâ za nadzor tržišta

1. Tijela za nadzor tržišta mogu s drugim relevantnim tijelima dogovoriti provedbu zajedničkih aktivnosti za kibernetičku sigurnost i zaštitu potrošača u pogledu određenih proizvoda s digitalnim elementima koji se stavljaju na tržište ili na raspolaganje na tržištu, posebno proizvoda s digitalnim elementima za koje se često ustanovi da predstavljaju kibernetičke sigurnosne rizike.

2. Komisija ili ENISA predlažu zajedničke aktivnosti za provjeru usklađenosti s ovom Uredbom koje će provesti tijela za nadzor tržišta na temelju naznaka ili informacija o tome da u nekoliko država članica postoji potencijalna neusklađenost proizvoda s digitalnim elementima obuhvaćenih područjem primjene ove Uredbe sa zahtjevima utvrđenim u ovoj Uredbi.

3. Tijela za nadzor tržišta i, ako je primjenjivo, Komisija osiguravaju da sporazum o provedbi zajedničkih aktivnosti ne dovede do nepoštenog tržišnog natjecanja između gospodarskih subjekata i da ne utječe štetno na objektivnost, neovisnost i nepristranost stranaka sporazuma.

4. Tijelo za nadzor tržišta može upotrijebiti sve informacije dobivene kao rezultat zajedničkih aktivnosti u okviru bilo koje istrage koju provodi.

5. Predmetno tijelo za nadzor tržišta i, ako je primjenjivo, Komisija stavljaju na raspolaganje javnosti sporazum o zajedničkim aktivnostima, uključujući imena uključenih stranaka.

Opsežne provjere

1. Tijela za nadzor tržišta provode istodobne koordinirane kontrolne mjere („opsežne provjere”) nad određenim proizvodima s digitalnim elementima ili kategorijama takvih proizvoda radi provjere sukladnosti s ovom Uredbom ili otkrivanja njezina kršenja. Te opsežne provjere mogu uključivati inspekcijske preglede proizvoda s digitalnim elementima kupljenih pod prikrivenim identitetom.

2. Osim ako se uključena tijela za nadzor tržišta dogovore drukčije, opsežne provjere koordinira Komisija. Koordinator opsežne provjere prema potrebi javno objavljuje ukupne rezultate.

3. Ako pri obavljanju svojih zadaća, među ostalim na temelju obavijesti primljenih u skladu s člankom 14. stavcima 1. i 3., ENISA utvrdi kategorije proizvoda s digitalnim elementima za koje se mogu organizirati opsežne provjere, ona podnosi prijedlog za opsežnu provjeru koordinatoru iz stavka 2. ovog članka kako bi ga tijela za nadzor tržišta mogla razmotriti.

4. Pri provedbi opsežnih provjera uključena tijela za nadzor tržišta mogu se koristiti istražnim ovlastima utvrđenima u člancima od 52. do 58. i svim drugim ovlastima koje su im dodijeljene nacionalnim pravom.

5. Tijela za nadzor tržišta mogu pozvati službenike Komisije i druge osobe u pratnji koje je ovlastila Komisija da sudjeluju u opsežnim provjerama.

Izvršavanje delegiranja ovlasti

1. Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji podložno uvjetima utvrđenima u ovom članku.

2. Ovlast za donošenje delegiranih akata iz članka 2. stavka 5. drugog podstavka, članka 7. stavka 3. članka 8. stavaka 1. i 2., članka 13. stavka 8. četvrtog podstavka, članka 14. stavka 9., članka 25., članka 27. stavka 9., članka 28. stavka 5. i članka 31. stavka 5. dodjeljuje se Komisiji na razdoblje od pet godina počevši od 10. prosinca 2024. Komisija izrađuje izvješće o delegiranju ovlasti najkasnije devet mjeseci prije kraja razdoblja od pet godina. Delegiranje ovlasti prešutno se produljuje za razdoblja jednakog trajanja, osim ako se Europski parlament ili Vijeće tom produljenju usprotive najkasnije tri mjeseca prije kraja svakog razdoblja.

3. Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članka 2. stavka 5. drugog podstavka, članka 7. stavka 3., članka 8. stavaka 1. i 2., članka 13. stavka 8. četvrtog podstavka, članka 14. stavka 9., članka 25., članka 27. stavka 9., članka 28. stavka 5. i članka 31. stavka 5. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi.

4. Prije donošenja delegiranog akta Komisija se savjetuje sa stručnjacima koje je imenovala svaka država članica u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016.

5. Čim donese delegirani akt, Komisija ga istodobno priopćuje Europskom parlamentu i Vijeću.

6. Delegirani akt donesen na temelju članka 2. stavka 5. drugog podstavka, članka 7. stavka 3., članka 8. stavka 1. ili 2., članka 13. stavka 8. četvrtog podstavka, članka 14. stavka 9., članka 25., članka 27. stavka 9., članka 28. stavka 5. ili članka 31. stavka 5. stupa na snagu samo ako ni Europski parlament ni Vijeće u roku od dva mjeseca od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće podnijeti prigovore. Taj se rok produljuje za dva mjeseca na inicijativu Europskog parlamenta ili Vijeća.

Postupak odbora

1. Komisiji pomaže odbor. Navedeni odbor je odbor u smislu Uredbe (EU) br. 182/2011.

2. Pri upućivanju na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.

3. Kada se mišljenje odbora treba dobiti pisanim postupkom, navedeni postupak završava bez rezultata kada u roku za davanje mišljenja to odluči predsjednik odbora ili to zahtijeva član odbora.

Povjerljivost

1. Sve strane uključene u primjenu ove Uredbe poštuju povjerljivost informacija i podataka koje dobiju pri obavljanju svojih zadaća i aktivnosti tako da se osobito štiti sljedeće:

2. Ne dovodeći u pitanje stavak 1., informacije koje se povjerljivo razmjenjuju među tijelima za nadzor tržišta ili između tijela za nadzor tržišta i Komisije ne otkrivaju se bez prethodne suglasnosti tijela za nadzor tržišta od kojeg informacije potječu.

3. Stavci 1. i 2. ne utječu na prava i obveze Komisije, država članica i prijavljenih tijela u pogledu razmjene informacija i širenja upozorenja ni na obveze dotičnih osoba da pruže informacije na temelju kaznenog prava država članica.

4. Komisija i države članice mogu prema potrebi razmjenjivati osjetljive informacije s relevantnim tijelima trećih zemalja s kojima su sklopile bilateralne ili multilateralne sporazume o povjerljivosti kojima se jamči odgovarajuća razina zaštite.

Sankcije

1. Države članice utvrđuju pravila o sankcijama koje se primjenjuju na kršenja ove Uredbe i poduzimaju sve potrebne mjere radi osiguranja njihove provedbe. Predviđene sankcije moraju biti učinkovite, proporcionalne i odvraćajuće. Države članice bez odgode obavješćuju Komisiju o tim pravilima i mjerama te je bez odgode obavješćuju o svim naknadnim izmjenama koje na njih utječu.

2. Za neusklađenost s bitnim sigurnosnim zahtjevima u pogledu kibernetičke sigurnosti utvrđenima u Prilogu I. i obvezama utvrđenima u člancima 13. i 14. izriču se upravne novčane kazne u iznosu do 15 000 000 EUR ili, ako je počinitelj povrede poduzeće, do 2,5 % njegova ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome koji je iznos veći.

3. Za neusklađenost s obvezama utvrđenima u člancima od 18. do 23., članku 28., članku 30. stavcima od 1. do 4., članku 31. stavcima od 1. do 4., članku 32. stavcima 1., 2. i 3., članku 33. stavku 5. i člancima 39., 41., 47., 49. i 53. izriču se upravne novčane kazne u iznosu do 10 000 000 EUR ili, ako je počinitelj povrede poduzeće, do 2 % njegova ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome koji je iznos veći.

4. Za dostavljanje netočnih, nepotpunih ili obmanjujućih informacija prijavljenim tijelima i tijelima za nadzor tržišta kao odgovor na zahtjev izriču se upravne novčane kazne u iznosu do 5 000 000 EUR ili, ako je počinitelj povrede poduzeće, do 1 % njegova ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome koji je iznos veći.

5. Pri odlučivanju o iznosu upravne novčane kazne u svakom pojedinom slučaju uzimaju se u obzir sve relevantne okolnosti specifične situacije i dužna se pozornost posvećuje sljedećem:

6. Tijela za nadzor tržišta koja izriču upravne novčane kazne o tome obavješćuju tijela za nadzor tržišta drugih država članica u okviru informacijskog i komunikacijskog sustava iz članka 34. Uredbe (EU) 2019/1020.

7. Svaka država članica utvrđuje pravila o tome mogu li se i u kojoj mjeri javnim tijelima te države članice izreći upravne novčane kazne.

8. Ovisno o pravnom sustavu država članica, pravila o upravnim novčanim kaznama mogu se primjenjivati tako da novčane kazne izriču nadležni nacionalni sudovi ili druga tijela, u skladu s nadležnostima utvrđenima na nacionalnoj razini u tim državama članicama. Primjena takvih pravila u tim državama članicama mora imati istovjetan učinak.

9. Upravne novčane kazne mogu se izreći, ovisno o okolnostima svakog pojedinog slučaja, uz sve druge korektivne ili restriktivne mjere koje tijela za nadzor tržišta primjenjuju za isto kršenje.

10. Odstupajući od stavaka od 3. do 9., upravne novčane kazne iz tih stavaka ne primjenjuju se na sljedeće:

Predstavničke tužbe

Direktiva (EU) 2020/1828 primjenjuje se na predstavničke tužbe podnesene protiv povreda odredaba ove Uredbe od strane gospodarskih subjekata koje štete ili mogu naštetiti kolektivnim interesima potrošača.

Izmjena Uredbe (EU) 2019/1020

U Prilogu I. Uredbi (EU) 2019/1020 dodaje se sljedeća točka:

„72.

Uredba (EU) 2024/2847 Europskog parlamenta i Vijeća (*1).

Izmjena Direktive (EU) 2020/1828

U Prilogu I. Direktivi (EU) 2020/1828 dodaje se sljedeća točka:

„69.

Uredba (EU) 2024/2847 Europskog parlamenta i Vijeća (*2).

Izmjena Uredbe (EU) br. 168/2013

U tablici u dijelu C.1 Priloga II. Uredbi (EU) br. 168/2013 Europskog parlamenta i Vijeća (38) dodaje se sljedeći unos:

„

”

Prijelazne odredbe

1. Potvrde o EU ispitivanju tipa i odluke o odobrenju izdane u vezi s kibernetičkim sigurnosnim zahtjevima u pogledu proizvoda s digitalnim elementima koji podliježu zakonodavstvu Unije o usklađivanju koje nije ova Uredbe ostaju valjane do 11. lipnja 2028., osim ako isteknu prije tog datuma ili ako je drukčije utvrđeno u tom drugom zakonodavstvu Unije o usklađivanju, u kojem slučaju ostaju valjane onoliko koliko je navedeno u tom zakonodavstvu.

2. Proizvodi s digitalnim elementima koji su stavljeni na tržište prije 11. prosinca 2027. podliježu zahtjevima utvrđenima u ovoj Uredbi samo ako od tog datuma dođe do bitne izmjene proizvoda.

3. Odstupajući od stavka 2. ovog članka, obveze utvrđene u članku 14. primjenjuju se na sve proizvode s digitalnim elementima obuhvaćene područjem primjene ove Uredbe koji su stavljeni na tržište prije 11. prosinca 2027.

Evaluacija i preispitivanje

1. Do 11. prosinca 2030. i svake četiri godine nakon toga Komisija Europskom parlamentu i Vijeću podnosi izvješće o evaluaciji i preispitivanju ove Uredbe. Ta se izvješća objavljuju.

2. Do 11. rujna 2028. Komisija, nakon savjetovanja s ENISA-om i mrežom CSIRT-ova, podnosi izvješće Europskom parlamentu i Vijeću u kojem ocjenjuje djelotvornost jedinstvene platforme za izvješćivanje iz članka 16. i učinak primjene razloga povezanih s kibernetičkom sigurnošću iz članka 16. stavka 2. od strane CSIRT-ova koji su imenovani koordinatorima na djelotvornost jedinstvene platforme za izvješćivanje u pogledu pravodobnog slanja primljenih obavijesti drugim relevantnim CSIRT-ovima.

Stupanje na snagu i primjena

1. Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

2. Ova Uredba primjenjuje se od 11. prosinca 2027.

Međutim, članak 14. primjenjuje se od 11. rujna 2026., dok se poglavlje IV. (članci od 35. do 51.) primjenjuje od 11. lipnja 2026.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Strasbourgu 23. listopada 2024.