ALGEMENE BEPALINGEN
Onderwerp
Bij deze verordening worden vastgesteld:
regels voor het op de markt aanbieden van producten met digitale elementen om de cyberbeveiliging van dergelijke producten te waarborgen;
essentiële cyberbeveiligingsvereisten voor het ontwerp, de ontwikkeling en de productie van producten met digitale elementen, en verplichtingen voor marktdeelnemers met betrekking tot die producten, op het gebied van cyberbeveiliging;
essentiële cyberbeveiligingsvereisten voor de procedures inzake de respons op kwetsbaarheden die fabrikanten hebben ingesteld om de cyberbeveiliging van producten met digitale elementen te waarborgen gedurende de tijd dat de producten naar verwachting in gebruik zullen zijn, en verplichtingen voor marktdeelnemers met betrekking tot die procedures;
voorschriften inzake markttoezicht, met inbegrip van monitoring, en handhaving van de in dit artikel bedoelde regels en vereisten.
Toepassingsgebied
Als uw product digitale elementen bevat en op de EU-markt komt, valt het waarschijnlijk binnen het toepassingsgebied, tenzij er al sectorale wetgeving (medische hulpmiddelen, motorvoertuigen, burgerluchtvaart) van toepassing is.
1. Deze verordening is van toepassing op op de markt aangeboden producten met digitale elementen waarvan het beoogde doel of het redelijkerwijs voorzienbaar gebruik een directe of indirecte logische of fysieke gegevensverbinding met een apparaat of netwerk omvat.
2. Deze verordening is niet van toepassing op producten met digitale elementen waarop de volgende rechtshandelingen van de Unie van toepassing zijn:
Verordening (EU) 2017/745;
Verordening (EU) 2017/746;
Verordening (EU) 2019/2144.
3. Deze verordening is niet van toepassing op producten met digitale elementen die zijn gecertificeerd overeenkomstig Verordening (EU) 2018/1139.
4. Deze verordening is niet van toepassing op uitrusting die binnen het toepassingsgebied van Richtlijn 2014/90/EU van het Europees Parlement en de Raad (36) valt.
5. De toepassing van deze verordening op producten met digitale elementen die vallen onder andere voorschriften van de Unie tot vaststelling van vereisten die betrekking hebben op alle of een deel van de risico’s die door de essentiële cyberbeveiligingsvereisten van bijlage I worden bestreken, kan worden beperkt of uitgesloten indien:
een dergelijke beperking of uitsluiting strookt met het algemene regelgevingskader dat op die producten van toepassing is, en
de sectorale voorschriften hetzelfde of een hoger beschermingsniveau bieden als deze verordening.
De Commissie is bevoegd om overeenkomstig artikel 61 gedelegeerde handelingen vast te stellen om deze verordening aan te vullen door nader te bepalen of een dergelijke beperking of uitsluiting noodzakelijk is, welke producten en regels daarbij betrokken zijn en, voor zover relevant, wat het toepassingsgebied van de beperking is.
6. Deze verordening is niet van toepassing op reserveonderdelen die op de markt worden aangeboden ter vervanging van identieke componenten in producten door digitale elementen en die zijn vervaardigd volgens dezelfde specificaties als de componenten die zij beogen te vervangen.
7. Deze verordening is niet van toepassing op producten met digitale elementen die uitsluitend voor doeleinden van nationale veiligheid of voor defensiedoeleinden zijn ontwikkeld of gewijzigd, noch op producten die specifiek zijn ontworpen voor de verwerking van gerubriceerde informatie.
8. De in deze verordening vastgelegde verplichtingen omvatten niet de verstrekking van informatie waarvan de bekendmaking strijdig zou zijn met de wezenlijke belangen van de lidstaten inzake nationale veiligheid, openbare veiligheid of defensie.
Definities
Artikel 3 omschrijft de termen die in de hele verordening worden gebruikt; 'product met digitale elementen', 'ondersteuningsperiode' en 'actief misbruikte kwetsbaarheid' vinden hier alle hun oorsprong.
Voor de toepassing van deze verordening wordt verstaan onder:
“product met digitale elementen”: een software- of hardwareproduct en zijn oplossingen voor gegevensverwerking op afstand, met inbegrip van software- of hardwarecomponenten die afzonderlijk in de handel worden gebracht;
“gegevensverwerking op afstand”: gegevensverwerking vanop een afstand waarvoor de software is ontworpen en ontwikkeld door de fabrikant of onder de verantwoordelijkheid van de fabrikant, en bij gebreke waarvan het product met digitale elementen een van zijn functies niet zou kunnen vervullen;
“cyberbeveiliging”: cyberbeveiliging zoals gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881;
“software”: het deel van een elektronisch informatiesysteem dat uit computercode bestaat;
“hardware”: een fysiek elektronisch informatiesysteem, of delen daarvan, dat digitale gegevens kan verwerken, opslaan of verzenden;
“component”: software of hardware die bedoeld is om in een elektronisch informatiesysteem te worden geïntegreerd;
“elektronisch informatiesysteem”: een systeem, met inbegrip van elektrische of elektronische apparatuur, dat digitale gegevens kan verwerken, opslaan of verzenden;
“logische verbinding”: een virtuele weergave van een gegevensverbinding die wordt geïmplementeerd via een software-interface;
“fysieke verbinding”: een verbinding tussen elektronische informatiesystemen of componenten die met behulp van fysieke middelen tot stand wordt gebracht, onder meer via elektrische, optische of mechanische interfaces, draden of radiogolven;
“indirecte verbinding”: een verbinding met een apparaat of netwerk die niet direct plaatsvindt, maar eerder als onderdeel van een groter systeem dat een directe verbinding kan maken met dat apparaat of netwerk;
“endpoint”: een apparaat dat op een netwerk is aangesloten en als toegangspunt tot dat netwerk fungeert;
“marktdeelnemer”: de fabrikant, de gemachtigde vertegenwoordiger, de importeur, de distributeur of een andere natuurlijke of rechtspersoon op wie overeenkomstig deze verordening verplichtingen van toepassing zijn ten aanzien van de vervaardiging van producten met digitale elementen of het op de markt aanbieden van producten met digitale elementen;
“fabrikant”: een natuurlijke of rechtspersoon die producten met digitale elementen ontwikkelt of vervaardigt of die producten met digitale elementen laat ontwerpen, ontwikkelen of vervaardigen, en die onder zijn naam of merk tegen betaling, met een verdienmodel of gratis in de handel brengt;
“opensourcesoftwaresteward”: een rechtspersoon die geen fabrikant is en die als oogmerk of doelstelling heeft om systematisch en duurzaam ondersteuning te verlenen voor de ontwikkeling van specifieke producten met digitale elementen die als vrije en opensourcesoftware kunnen worden aangemerkt en voor handelsactiviteiten bestemd zijn, en die de levensvatbaarheid van die producten waarborgt;
“gemachtigde vertegenwoordiger”: een in de Unie gevestigde natuurlijke of rechtspersoon die schriftelijk door een fabrikant is gemachtigd om namens hem specifieke taken te vervullen;
“importeur”: een in de Unie gevestigde natuurlijke of rechtspersoon die een product met digitale elementen in de handel brengt dat de naam of het merk van een buiten de Unie gevestigde natuurlijke of rechtspersoon draagt;
“distributeur”: een andere natuurlijke of rechtspersoon in de toeleveringsketen dan de fabrikant of de importeur, die een product met digitale elementen in de Unie op de markt aanbiedt zonder de eigenschappen daarvan te beïnvloeden;
“consument”: een natuurlijke persoon die handelt met doeleinden die geen verband houden met de handels-, bedrijfs-, ambachts- of beroepsactiviteit van die persoon;
“micro-ondernemingen”, “kleine ondernemingen” en “middelgrote ondernemingen”: respectievelijk micro-ondernemingen, kleine ondernemingen en middelgrote ondernemingen zoals gedefinieerd in de bijlage bij Aanbeveling 2003/361/EG;
“ondersteuningsperiode”: de periode gedurende welke een fabrikant ervoor moet zorgen dat kwetsbaarheden van een product met digitale elementen doeltreffend en in overeenstemming met de essentiële cyberbeveiligingsvereisten van deel II van bijlage I worden aangepakt;
“in de handel brengen”: een product met digitale elementen voor het eerst in de Unie op de markt aanbieden;
“op de markt aanbieden”: het in het kader van een handelsactiviteit, al dan niet tegen betaling, verstrekken van een product met digitale elementen met het oog op distributie of gebruik op de markt van de Unie;
“beoogde doel”: het gebruik waarvoor een product met digitale elementen door de fabrikant is bedoeld, met inbegrip van de specifieke context en voorwaarden van het gebruik, zoals gespecificeerd in de informatie die door de fabrikant in de gebruiksinstructies, reclame- of verkoopmaterialen en verklaringen, alsook in de technische documentatie is verstrekt;
“redelijkerwijs voorzienbaar gebruik”: gebruik dat niet noodzakelijk het beoogde doel is dat door de fabrikant in de gebruiksinstructies, reclame- of verkoopmaterialen en verklaringen, alsook in de technische documentatie is verstrekt, maar dat waarschijnlijk voortvloeit uit redelijkerwijs voorzienbaar menselijk gedrag of redelijkerwijs voorzienbare technische handelingen of interacties;
“redelijkerwijs voorzienbaar verkeerd gebruik”: het gebruik van een product met digitale elementen op een wijze die niet in overeenstemming is met het beoogde doel, maar die kan voortvloeien uit redelijkerwijs te voorzien menselijk gedrag of de redelijkerwijs voorzienbare interactie met andere systemen;
“aanmeldende autoriteit”: de nationale autoriteit die verantwoordelijk is voor het opzetten en uitvoeren van de noodzakelijke procedures voor de beoordeling, aanwijzing en aanmelding van de conformiteitsbeoordelingsinstanties en de monitoring daarvan;
“conformiteitsbeoordeling”: het proces waarbij wordt nagegaan of aan de essentiële cyberbeveiligingsvereisten van bijlage I is voldaan;
“conformiteitsbeoordelingsinstantie”: een conformiteitsbeoordelingsinstantie zoals gedefinieerd in artikel 2, punt 13, van Verordening (EG) nr. 765/2008;
“aangemelde instantie”: een conformiteitsbeoordelingsinstantie die overeenkomstig artikel 43 en andere relevante harmonisatiewetgeving van de Unie is aangewezen;
“ingrijpende wijziging”: een wijziging van het product met digitale elementen nadat het in de handel is gebracht, die gevolgen heeft voor de conformiteit van het product met digitale elementen met de essentiële cyberbeveiligingsvereisten van deel I van bijlage I of leidt tot een wijziging van het beoogde doel waarvoor het product met digitale elementen is beoordeeld;
“CE-markering”: een markering waarmee een fabrikant aangeeft dat een product met digitale elementen en de door de fabrikant ingestelde processen in overeenstemming zijn met de essentiële cyberbeveiligingsvereisten van bijlage I en andere toepasselijke harmonisatiewetgeving van de Unie die in het aanbrengen ervan voorziet;
“harmonisatiewetgeving van de Unie”: harmonisatiewetgeving van de Unie die is opgenomen in bijlage I bij Verordening (EU) 2019/1020 en alle andere Uniewetgeving tot harmonisering van de voorwaarden voor het verhandelen van producten waarop die verordening van toepassing is;
“markttoezichtautoriteit”: een markttoezichtautoriteit zoals gedefinieerd in artikel 3, punt 4, van Verordening (EU) 2019/1020;
“internationale norm”: een internationale norm zoals gedefinieerd in artikel 2, punt 1, a), van Verordening (EU) nr. 1025/2012;
“Europese norm”: een Europese norm zoals gedefinieerd in artikel 2, punt 1, b), van Verordening (EU) nr. 1025/2012;
“geharmoniseerde norm”: een geharmoniseerde norm zoals gedefinieerd in artikel 2, punt 1, c), van Verordening (EU) nr. 1025/2012;
“cyberbeveiligingsrisico”: de mogelijkheid van verlies of verstoring als gevolg van een incident; dat wordt uitgedrukt als een combinatie van de omvang van een dergelijk verlies of een dergelijke verstoring en de waarschijnlijkheid dat het incident zich voordoet;
“significant cyberbeveiligingsrisico”: een cyberbeveiligingsrisico waarvan op basis van de technische kenmerken kan worden aangenomen dat het zeer waarschijnlijk is dat zich een incident voordoet met ernstige negatieve gevolgen, onder meer door aanzienlijke materiële of immateriële verliezen of verstoringen te veroorzaken;
“softwarestuklijst”: een formeel document met gegevens en relaties in de toeleveringsketen van componenten die zijn opgenomen in de software-elementen van een product met digitale elementen;
“kwetsbaarheid”: een zwakheid, vatbaarheid of gebrek van een product met digitale elementen die/dat door een cyberdreiging kan worden uitgebuit;
“uitbuitbare kwetsbaarheid”: een kwetsbaarheid die onder praktische operationele omstandigheden effectief door een tegenstander zou kunnen worden gebruikt;
“actief uitgebuite kwetsbaarheid”: een kwetsbaarheid waarvoor betrouwbare bewijzen bestaan dat een kwaadwillige actor die heeft uitgebuit in een systeem zonder toestemming van de systeemeigenaar;
“incident”: een incident zoals gedefinieerd in artikel 6, punt 6, van Richtlijn (EU) 2022/2555;
“incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen”: een incident dat negatieve gevolgen heeft of kan hebben voor het vermogen van een product met digitale elementen om de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gegevens of functies te beschermen;
“bijna-incident”: een bijna-incident zoals gedefinieerd in artikel 6, punt 5, van Richtlijn (EU) 2022/2555;
“cyberdreiging”: een cyberdreiging zoals gedefinieerd in artikel 2, punt 8, van Verordening (EU) 2019/881;
“persoonsgegevens”: persoonsgegevens zoals gedefinieerd in artikel 4, punt 1, van Verordening (EU) 2016/679;
“vrije en opensourcesoftware”: software waarvan de broncode openlijk wordt gedeeld en die beschikbaar wordt gesteld onder een vrije en opensourcelicentie die voorziet in alle rechten om die vrij toegankelijk, bruikbaar, wijzigbaar en herdistrueerbaar te maken;
“terugroepen”: terugroepen zoals gedefinieerd in artikel 3, punt 22, van Verordening (EU) 2019/1020;
“uit de handel nemen”: uit de handel nemen zoals gedefinieerd in artikel 3, punt 23, van Verordening (EU) 2019/1020;
“als coördinator aangewezen CSIRT”: een CSIRT dat op grond van artikel 12, lid 1, van Richtlijn (EU) 2022/2555 als coördinator is aangewezen.
Vrij verkeer
1. Voor de onder deze verordening vallende aangelegenheden belemmeren de lidstaten niet dat producten met digitale elementen die aan deze verordening voldoen, op de markt worden aangeboden.
2. De lidstaten beletten niet dat op handelsbeurzen, tentoonstellingen, demonstraties of soortgelijke evenementen een product met digitale elementen wordt gepresenteerd of gebruikt dat niet aan deze verordening voldoet, met inbegrip van prototypes daarvan, mits het product wordt gepresenteerd met een zichtbaar teken dat duidelijk aangeeft dat het niet aan deze verordening voldoet en dat het pas op de markt mag worden aangeboden zodra het dat wel doet.
3. De lidstaten beletten niet dat onafgewerkte software die niet aan deze verordening voldoet, op de markt wordt aangeboden, op voorwaarde dat de software slechts voor een beperkte periode die nodig is voor testdoeleinden wordt aangeboden en dat een zichtbaar teken duidelijk aangeeft dat de software niet aan deze verordening voldoet en dat deze niet voor andere doeleinden dan tests op de markt zal worden aangeboden.
4. Lid 3 is niet van toepassing op veiligheidscomponenten als bedoeld in andere harmonisatiewetgeving van de Unie dan deze verordening.
Aankoop of gebruik van producten met digitale elementen
1. Deze verordening belet de lidstaten niet om producten met digitale elementen te onderwerpen aan aanvullende cyberbeveiligingsvereisten voor de aankoop of het gebruik van die producten voor specifieke doeleinden, ook wanneer die producten worden aangekocht of gebruikt voor doeleinden van nationale veiligheid of voor defensiedoeleinden, mits die vereisten stroken met de verplichtingen van de lidstaten uit hoofde van het Unierecht en noodzakelijk en evenredig zijn voor de verwezenlijking van die doeleinden.
2. Onverminderd de Richtlijnen 2014/24/EU en 2014/25/EU zorgen de lidstaten ervoor dat wanneer producten met digitale elementen die binnen het toepassingsgebied van deze verordening vallen, worden aangekocht, in het aankoopproces rekening wordt gehouden met de naleving van de essentiële cyberbeveiligingsvereisten van bijlage I bij deze verordening, met inbegrip van het vermogen van fabrikanten om kwetsbaarheden doeltreffend aan te pakken.
Vereisten voor producten met digitale elementen
Producten met digitale elementen worden alleen op de markt aangeboden indien:
zij voldoen aan de essentiële cyberbeveiligingsvereisten van deel I van bijlage I, mits zij op passende wijze worden geïnstalleerd, onderhouden, gebruikt voor hun beoogde doel of in redelijkerwijs voorzienbare omstandigheden en, indien van toepassing, mits de nodige beveiligingsupdates zijn geïnstalleerd, en
de door de fabrikant ingestelde processen voldoen aan de essentiële cyberbeveiligingsvereisten van deel II van bijlage I.
Belangrijke producten met digitale elementen
1. Producten met digitale elementen met de belangrijkste functionaliteit van een categorie als vermeld in bijlage III worden geacht belangrijke producten met digitale elementen te zijn en worden onderworpen aan de in artikel 32, leden 2 en 3, bedoelde conformiteitsbeoordelingsprocedures. De integratie van een product met digitale elementen met de belangrijkste functionaliteit van een categorie als vermeld in bijlage III betekent op zich niet dat het product waarin het wordt geïntegreerd, wordt onderworpen aan de in artikel 32, leden 2 en 3, bedoelde conformiteitsbeoordelingsprocedures.
2. De in lid 1 van dit artikel bedoelde categorieën producten met digitale elementen, onderverdeeld in de klassen I en II als vermeld in bijlage III, voldoen aan ten minste een van de volgende criteria:
het product met digitale elementen vervult voornamelijk functies die van kritiek belang zijn voor de cyberbeveiliging van andere producten, netwerken of diensten, waaronder het beveiligen van authenticatie en toegang, het voorkomen en opsporen van binnendringing, endpointbeveiliging of netwerkbeveiliging;
het product met digitale elementen vervult een functie die een aanzienlijk risico op nadelige effecten inhoudt wat betreft de intensiteit ervan en het vermogen ervan om een groot aantal andere producten of de gezondheid, beveiliging of veiligheid van gebruikers ervan te verstoren, te controleren of te beschadigen door directe manipulatie, zoals een centrale systeemfunctie, waaronder netwerkbeheer, configuratiecontrole, virtualisering of verwerking van persoonsgegevens.
3. De Commissie is bevoegd om overeenkomstig artikel 61 gedelegeerde handelingen vast te stellen om bijlage III te wijzigen door in de lijst een nieuwe categorie op te nemen binnen elke klasse van de categorieën producten met digitale elementen en de definitie daarvan te specificeren, een categorie producten van de ene naar de andere klasse over te hevelen of een bestaande categorie van die lijst te schrappen. Bij de beoordeling van de noodzaak om de lijst in bijlage III te wijzigen, houdt de Commissie rekening met de cyberbeveiligingsgerelateerde functionaliteiten of de functie en het niveau van het cyberbeveiligingsrisico dat de producten met digitale elementen inhouden overeenkomstig de in lid 2 van dit artikel bedoelde criteria.
De in de eerste alinea van dit lid bedoelde gedelegeerde handelingen voorzien zo nodig in een minimale overgangsperiode van twaalf maanden, met name wanneer een nieuwe categorie belangrijke producten met digitale elementen wordt toegevoegd aan klasse I of II of wordt overgeheveld van klasse I naar klasse II als vermeld in bijlage III, voordat de desbetreffende conformiteitsbeoordelingsprocedures als bedoeld in artikel 32, leden 2 en 3, van toepassing worden, tenzij een kortere overgangsperiode om dwingende redenen van urgentie gerechtvaardigd is.
4. Uiterlijk op 11 december 2025 stelt de Commissie een uitvoeringshandeling vast met de technische beschrijving van de categorieën producten met digitale elementen van de klassen I en II als vermeld in bijlage III en de technische beschrijving van de categorieën producten met digitale elementen als vermeld in bijlage IV. Die uitvoeringshandeling wordt volgens de in artikel 62, lid 2, bedoelde onderzoeksprocedure vastgesteld.
Kritieke producten met digitale elementen
1. De Commissie is bevoegd om overeenkomstig artikel 61 gedelegeerde handelingen ter aanvulling van deze verordening vast te stellen om te bepalen voor welke producten met digitale elementen met de belangrijkste functionaliteit van een productcategorie die is vermeld in bijlage IV bij deze verordening een Europees cyberbeveiligingscertificaat op ten minste het zekerheidsniveau “substantieel” in het kader van een op grond van Verordening (EU) 2019/881 vastgestelde Europese cyberbeveiligingscertificeringsregeling moet worden verkregen om de conformiteit met de essentiële cyberbeveiligingsvereisten van bijlage I bij deze verordening of delen daarvan aan te tonen, mits er op grond van Verordening (EU) 2019/881 een Europese cyberbeveiligingscertificeringsregeling voor die categorieën producten met digitale elementen is vastgesteld en beschikbaar is voor de fabrikanten. In die gedelegeerde handelingen wordt het vereiste zekerheidsniveau gespecificeerd, dat in verhouding staat tot het niveau van het cyberbeveiligingsrisico dat aan de producten met digitale elementen verbonden is en rekening houdt met het beoogde doel ervan, met inbegrip van de kritieke afhankelijkheid van in artikel 3, lid 1, van Richtlijn (EU) 2022/2555 bedoelde essentiële entiteiten ten aanzien van dergelijke producten.
Alvorens dergelijke gedelegeerde handelingen vast te stellen, verricht de Commissie een beoordeling van het potentiële markteffect van de beoogde maatregelen en raadpleegt zij relevante belanghebbenden, waaronder de uit hoofde van Verordening (EU) 2019/881 opgerichte Europese Groep voor cyberbeveiligingscertificering. Bij de beoordeling wordt rekening gehouden met de mate waarin de lidstaten gereed zijn en over de capaciteit beschikken om de desbetreffende Europese cyberbeveiligingscertificeringsregeling toe te passen. Indien er geen gedelegeerde handelingen als bedoeld in de eerste alinea van dit lid zijn vastgesteld, worden producten met digitale elementen met de belangrijkste functionaliteit van een productcategorie als vermeld in bijlage IV onderworpen aan de in artikel 32, lid 3, bedoelde conformiteitsbeoordelingsprocedures.
De in de eerste alinea bedoelde gedelegeerde handelingen voorzien in een minimale overgangsperiode van zes maanden, tenzij een kortere overgangsperiode om dwingende redenen van urgentie gerechtvaardigd is.
2. De Commissie is bevoegd om overeenkomstig artikel 61 gedelegeerde handelingen vast te stellen om bijlage IV te wijzigen door categorieën producten met digitale elementen toe te voegen of te schrappen. Bij het bepalen van dergelijke categorieën kritieke producten met digitale elementen en het vereiste zekerheidsniveau, overeenkomstig lid 1 van dit artikel, houdt de Commissie rekening met de in artikel 7, lid 2, bedoelde criteria en zorgt ze ervoor dat de categorieën producten met digitale elementen ten minste aan een van de volgende criteria voldoen:
er is een kritieke afhankelijkheid van in artikel 3, lid 1, van Richtlijn (EU) 2022/2555 bedoelde essentiële entiteiten ten aanzien van de categorie producten met digitale elementen;
incidenten en uitgebuite kwetsbaarheden met betrekking tot de categorie producten met digitale elementen zouden tot ernstige verstoringen van kritieke toeleveringsketens in de hele interne markt kunnen leiden.
Alvorens dergelijke gedelegeerde handelingen vast te stellen, verricht de Commissie een beoordeling van het type als bedoeld in lid 1.
De in de eerste alinea bedoelde gedelegeerde handelingen voorzien in een minimale overgangsperiode van zes maanden, tenzij een kortere overgangsperiode om dwingende redenen van urgentie gerechtvaardigd is.
Raadpleging van belanghebbenden
1. Bij de voorbereiding van maatregelen ter uitvoering van deze verordening raadpleegt de Commissie relevante belanghebbenden, zoals relevante autoriteiten van de lidstaten, ondernemingen uit de particuliere sector, met inbegrip van micro-ondernemingen en kleine en middelgrote ondernemingen, de opensourcesoftwaregemeenschap, consumentenorganisaties, de academische wereld en relevante agentschappen en organen van de Unie, alsook op het niveau van de Unie opgerichte deskundigengroepen, en houdt zij rekening met hun standpunten. In het bijzonder raadpleegt de Commissie, waar passend, die belanghebbenden op gestructureerde wijze en vraagt zij hun mening wanneer zij:
de in artikel 26 bedoelde richtsnoeren opstelt;
overeenkomstig artikel 7, lid 4, de technische beschrijvingen van de productcategorieën in bijlage III opstelt, overeenkomstig artikel 7, lid 3, en artikel 8, lid 2, beoordeelt of mogelijke actualiseringen van de lijst van productcategorieën nodig zijn, of de in artikel 8, lid 1, bedoelde beoordeling van het potentiële markteffect verricht, onverminderd artikel 61;
voorbereidende werkzaamheden voor de evaluatie en toetsing van deze verordening verricht.
2. De Commissie organiseert regelmatig en ten minste eenmaal per jaar raadplegings- en informatiebijeenkomsten om de standpunten van de in lid 1 bedoelde belanghebbenden over de uitvoering van deze verordening te verzamelen.
Verbetering van vaardigheden in een cyberveerkrachtige digitale omgeving
Voor de toepassing van deze verordening en om tegemoet te komen aan de behoeften van professionals ter ondersteuning van de uitvoering van deze verordening, bevorderen de lidstaten, waar passend met steun van de Commissie, het Europees kenniscentrum voor cyberbeveiliging en Enisa, en met volledige inachtneming van de verantwoordelijkheid van de lidstaten op onderwijsgebied, maatregelen en strategieën die beogen:
vaardigheden op het gebied van cyberbeveiliging te ontwikkelen en organisatorische en technologische instrumenten te creëren om ervoor te zorgen dat er voldoende gekwalificeerde professionals beschikbaar zijn om de activiteiten van de markttoezichtautoriteiten en conformiteitsbeoordelingsinstanties te ondersteunen;
te zorgen voor meer samenwerking tussen de particuliere sector, marktdeelnemers — onder meer door om- of bijscholing voor werknemers van fabrikanten —, consumenten, aanbieders van opleidingen en overheidsdiensten, zodat jongeren meer mogelijkheden krijgen om een baan in de cyberbeveiligingssector te vinden.
Algemene productveiligheid
In afwijking van artikel 2, lid 1, derde alinea, punt b), van Verordening (EU) 2023/988 zijn hoofdstuk III, punt 1, de hoofdstukken V en VII, en de hoofdstukken IX, X en XI van die verordening van toepassing op producten met digitale elementen met betrekking tot aspecten en risico’s of risicocategorieën die niet onder deze verordening vallen indien voor die producten geen specifieke veiligheidsvereisten gelden die zijn vastgesteld in andere “harmonisatiewetgeving van de Unie” zoals gedefinieerd in artikel 3, punt 27, van Verordening (EU) 2023/988.
AI-systemen met een hoog risico
1. Onverminderd de in artikel 15 van Verordening (EU) 2024/1689 vastgestelde vereisten inzake nauwkeurigheid en robuustheid worden producten met digitale elementen die binnen het toepassingsgebied van deze verordening vallen en die op grond van artikel 6 van die verordening als AI-systemen met een hoog risico worden aangemerkt, geacht in overeenstemming te zijn met de in artikel 15 van die verordening vastgestelde cyberbeveiligingsvereisten indien:
die producten voldoen aan de essentiële cyberbeveiligingsvereisten van deel I van bijlage I;
de door de fabrikant ingestelde processen voldoen aan de essentiële cyberbeveiligingsvereisten van deel II van bijlage I, en
in de krachtens deze verordening afgegeven EU-conformiteitsverklaring wordt aangetoond dat het krachtens artikel 15 van Verordening (EU) 2024/1689 vereiste niveau van bescherming van de cyberbeveiliging wordt bereikt.
2. Op de in lid 1 van dit artikel bedoelde producten met digitale elementen en cyberbeveiligingsvereisten is de relevante conformiteitsbeoordelingsprocedure als voorgeschreven in artikel 43 van Verordening (EU) 2024/1689 van toepassing. Ten behoeve van die beoordeling zijn aangemelde instanties die uit hoofde van Verordening (EU) 2024/1689 bevoegd zijn om de conformiteit van de AI-systemen met een hoog risico te controleren, ook bevoegd om de conformiteit van AI-systemen met een hoog risico die binnen het toepassingsgebied van deze verordening vallen met de vereisten van bijlage I bij deze verordening te controleren, mits de naleving door die aangemelde instanties van de vereisten van artikel 39 van deze verordening in het kader van de aanmeldingsprocedure uit hoofde van Verordening (EU) 2024/1689 is beoordeeld.
3. In afwijking van lid 2 van dit artikel zijn belangrijke producten met digitale elementen die zijn opgenomen in bijlage III bij deze verordening, die worden onderworpen aan de in artikel 32, lid 2, punten a) en b), en lid 3, van deze verordening bedoelde conformiteitsbeoordelingsprocedures en kritieke producten met digitale elementen die zijn opgenomen in bijlage IV bij deze verordening waarvoor een Europees cyberbeveiligingscertificaat op grond van artikel 8, lid 1, van deze verordening moet worden verkregen, of, bij gebreke daarvan, die worden onderworpen aan de in artikel 32, lid 3, van deze verordening bedoelde conformiteitsbeoordelingsprocedures, en die ook worden aangemerkt als AI-systemen met een hoog risico op grond van artikel 6 van Verordening (EU) 2024/1689, en waarop de in bijlage VI bij Verordening (EU) 2024/1689 bedoelde conformiteitsbeoordelingsprocedure op basis van interne controle van toepassing is, onderworpen aan de conformiteitsbeoordelingsprocedures waarin deze verordening voorziet voor zover het de essentiële cyberbeveiligingsvereisten van deze verordening betreft.
4. Fabrikanten van in lid 1 van dit artikel bedoelde producten met digitale elementen kunnen deelnemen aan de in artikel 57 van Verordening (EU) 2024/1689 bedoelde AI-testomgeving voor regelgeving.
VERPLICHTINGEN VAN MARKTDEELNEMERS EN BEPALINGEN IN VERBAND MET VRIJE EN OPENSOURCESOFTware
Verplichtingen van fabrikanten
Voor producenten is dit het centrale artikel: een risicobeoordeling van de cyberbeveiliging, de eisen van bijlage I, een vastgestelde ondersteuningsperiode, gratis beveiligingsupdates en een gepubliceerd contactpunt voor de openbaarmaking van kwetsbaarheden.
1. Wanneer fabrikanten een product met digitale elementen in de handel brengen, zorgen zij ervoor dat dat product is ontworpen, ontwikkeld en geproduceerd overeenkomstig de essentiële cyberbeveiligingsvereisten van deel I van bijlage I.
2. Met het oog op de naleving van de in lid 1 vastgestelde verplichting beoordelen fabrikanten de cyberbeveiligingsrisico’s die verbonden zijn aan een product met digitale elementen, en houden zij rekening met het resultaat van die beoordeling tijdens de plannings-, ontwerp-, ontwikkelings-, productie-, leverings- en onderhoudsfase van het product met digitale elementen, teneinde de cyberbeveiligingsrisico’s tot een minimum te beperken, incidenten te voorkomen en de gevolgen daarvan tot een minimum te beperken, onder meer met betrekking tot de gezondheid en veiligheid van gebruikers.
3. De beoordeling van de cyberbeveiligingsrisico’s wordt gedocumenteerd en zo nodig bijgewerkt tijdens een overeenkomstig lid 8 van dit artikel vast te stellen ondersteuningsperiode. Die beoordeling van de cyberbeveiligingsrisico’s omvat ten minste een analyse van cyberbeveiligingsrisico’s op basis van het beoogde doel en het redelijkerwijs voorzienbaar gebruik, alsook de voorwaarden van het gebruik, van het product met digitale elementen, zoals de operationele omgeving of de te beschermen activa, waarbij rekening wordt gehouden met de verwachte gebruiksduur van het product. In de beoordeling van de cyberbeveiligingsrisico’s wordt vermeld of, en zo ja op welke wijze, de beveiligingsvereisten van deel I, punt 2, van bijlage I, van toepassing zijn op het desbetreffende product met digitale elementen en op welke wijze die vereisten worden uitgevoerd op basis van de beoordeling van de cyberbeveiligingsrisico’s. Daarin wordt ook aangegeven hoe de fabrikant deel I, punt 1, van bijlage I, en de in deel II van bijlage I, vastgestelde vereisten inzake de respons op kwetsbaarheden toepast.
4. Wanneer de fabrikant een product met digitale elementen in de handel brengt, neemt hij een beoordeling van de in lid 3 van dit artikel bedoelde cyberbeveiligingsrisico’s op in de technische documentatie als vereist op grond van artikel 31 en bijlage VII. Voor producten met digitale elementen als bedoeld in artikel 12, die ook onder andere rechtshandelingen van de Unie vallen, kan de beoordeling van de cyberbeveiligingsrisico’s deel uitmaken van de risicobeoordeling die op grond van die respectieve rechtshandelingen van de Unie vereist is. Indien bepaalde essentiële cyberbeveiligingsvereisten niet van toepassing zijn op het product met digitale elementen, neemt de fabrikant in die technische documentatie daarvoor een duidelijke motivering op.
5. Met het oog op de naleving van lid 1 betrachten fabrikanten de passende zorgvuldigheid bij de integratie van van derden afkomstige componenten in producten met digitale elementen, zodat die componenten de cyberbeveiliging van het product met digitale elementen niet in gevaar brengen, ook bij integratie van componenten van vrije en opensourcesoftware die niet in het kader van een handelsactiviteit op de markt worden aangeboden.
6. Bij de vaststelling van een kwetsbaarheid in een component, met inbegrip van een opensourcecomponent, die in het product met digitale elementen is geïntegreerd, melden fabrikanten de kwetsbaarheid aan de persoon of entiteit die de component vervaardigt of onderhoudt, en pakken onverwijld de kwetsbaarheid aan en verhelpen die in overeenstemming met de vereisten inzake de respons op kwetsbaarheden van deel II van bijlage I. Wanneer fabrikanten een wijziging van software of hardware hebben ontwikkeld om de kwetsbaarheid van die component aan te pakken, delen zij de desbetreffende code of documentatie met de persoon of entiteit die de component vervaardigt of onderhoudt, indien passend in een machineleesbaar formaat.
7. De fabrikanten documenteren systematisch, op een wijze die in verhouding staat tot de aard en de cyberbeveiligingsrisico’s, relevante cyberbeveiligingsaspecten met betrekking tot de producten met digitale elementen, met inbegrip van kwetsbaarheden waarvan zij kennisnemen en alle relevante informatie die door derden wordt verstrekt, en werken, indien van toepassing, de beoordeling van de cyberbeveiligingsrisico’s van de producten bij.
8. Fabrikanten zorgen ervoor, wanneer zij een product met digitale elementen in de handel brengen en gedurende de ondersteuningsperiode, dat de kwetsbaarheden van dat product, met inbegrip van de componenten daarvan, doeltreffend en in overeenstemming met de essentiële cyberbeveiligingsvereisten van deel II van bijlage I worden aangepakt.
Fabrikanten bepalen de ondersteuningsperiode op zodanige wijze dat die de verwachte gebruiksduur van het product weerspiegelt, waarbij met name rekening wordt gehouden met redelijke verwachtingen van de gebruikers, de aard van het product, met inbegrip van het beoogde doel van het product, en het relevante Unierecht dat de levensduur van producten met digitale elementen bepaalt. Bij het bepalen van de ondersteuningsperiode kunnen fabrikanten ook rekening houden met de ondersteuningsperioden voor producten met digitale elementen met een soortgelijke functionaliteit die door andere fabrikanten in de handel worden gebracht, de beschikbaarheid van de operationele omgeving, de ondersteuningsperioden voor geïntegreerde componenten die kernfuncties leveren en afkomstig zijn van derden, alsook relevante richtsnoeren van de op grond van artikel 52, lid 15, opgerichte speciale administratievesamenwerkingsgroep (ADCO) en de Commissie. De aangelegenheden waarmee rekening moet worden gehouden om de ondersteuningsperiode te bepalen, worden op zodanige wijze in aanmerking genomen dat de evenredigheid wordt gewaarborgd.
Onverminderd de tweede alinea bedraagt de ondersteuningsperiode ten minste vijf jaar. Wanneer het product met digitale elementen naar verwachting minder dan vijf jaar in gebruik zal zijn, stemt de ondersteuningsperiode overeen met de verwachte gebruiksduur.
Rekening houdend met de ADCO-aanbevelingen als bedoeld in artikel 52, lid 16, kan de Commissie overeenkomstig artikel 61 gedelegeerde handelingen vaststellen ter aanvulling van deze verordening door de minimale ondersteuningsperiode voor specifieke productcategorieën te specificeren wanneer uit de markttoezichtgegevens blijkt dat de ondersteuningsperioden ontoereikend zijn.
Fabrikanten nemen de informatie die in aanmerking is genomen om de ondersteuningsperiode van een product met digitale elementen te bepalen, op in de in bijlage VII beschreven technische documentatie.
Fabrikanten beschikken over passende beleidslijnen en procedures, met inbegrip van een gecoördineerd beleid inzake openbaarmaking van kwetsbaarheden, als bedoeld in deel II, punt 5, van bijlage I om potentiële kwetsbaarheden in het product met digitale elementen die door interne of externe bronnen zijn gemeld, te behandelen en te verhelpen.
9. Fabrikanten zorgen ervoor dat elke beveiligingsupdate, als bedoeld in deel II, punt 8, van bijlage I, die tijdens de ondersteuningsperiode ter beschikking van de gebruikers is gesteld, na afgifte ten minste gedurende tien jaar beschikbaar blijft, of gedurende de rest van de ondersteuningsperiode, indien die langer is.
10. Wanneer een fabrikant opeenvolgende ingrijpend gewijzigde versies van een softwareproduct in de handel heeft gebracht, mag die fabrikant ervoor zorgen dat alleen voor de laatst in de handel gebrachte versie aan het essentiële cyberbeveiligingsvereiste van deel II, punt 2, van bijlage I wordt voldaan, mits de gebruikers van de eerder in de handel gebrachte versies kosteloos toegang hebben tot de laatst in de handel gebrachte versie en geen extra kosten hoeven te maken voor de aanpassing van de hardware- en softwareomgeving waarin zij de oorspronkelijke versie van dat product gebruiken.
11. Fabrikanten kunnen openbare softwarearchieven bijhouden om de toegang van gebruikers tot historische versies te verbeteren. In die gevallen worden gebruikers duidelijk en op gemakkelijk toegankelijke wijze geïnformeerd over de risico’s in verband met het gebruik van niet-ondersteunde software.
12. Alvorens een product met digitale elementen in de handel te brengen, stellen fabrikanten de in artikel 31 bedoelde technische documentatie op.
Zij voeren de in artikel 32 bedoelde gekozen conformiteitsbeoordelingsprocedures uit of laten die uitvoeren.
Wanneer met die conformiteitsbeoordelingsprocedure is aangetoond dat het product met digitale elementen voldoet aan de essentiële cyberbeveiligingsvereisten van deel I van bijlage I en dat de door de fabrikant ingestelde processen voldoen aan de essentiële cyberbeveiligingsvereisten van deel II van bijlage I, stellen de fabrikanten de EU-conformiteitsverklaring op overeenkomstig artikel 28 en brengen zij de CE-markering aan overeenkomstig artikel 30.
13. Fabrikanten houden de technische documentatie en de EU-conformiteitsverklaring gedurende ten minste tien jaar nadat het product met digitale elementen in de handel is gebracht of gedurende de ondersteuningsperiode indien die langer is, ter beschikking van de markttoezichtautoriteiten.
14. Fabrikanten voeren procedures in om de conformiteit met deze verordening te waarborgen van producten met digitale elementen die deel uitmaken van een productiereeks. Fabrikanten houden naar behoren rekening met veranderingen in het ontwikkelings- en productieproces of in het ontwerp of de kenmerken van het product met digitale elementen en met wijzigingen in de in artikel 27 bedoelde geharmoniseerde normen, Europese cyberbeveiligingscertificeringsregelingen of gemeenschappelijke specificaties waarnaar wordt verwezen in de conformiteitsverklaring van het product met digitale elementen of op grond waarvan de conformiteit van het product wordt geverifieerd.
15. Fabrikanten zorgen ervoor dat op hun producten met digitale elementen een type-, partij- of serienummer, dan wel een ander identificatiemiddel is aangebracht, of wanneer dat niet mogelijk is, dat die informatie op de verpakking ervan of in een bij het product met digitale elementen gevoegd document is vermeld.
16. Fabrikanten vermelden de naam, de geregistreerde handelsnaam of het geregistreerde merk van de fabrikant en het postadres, het e-mailadres of andere digitale contactgegevens, alsook, in voorkomend geval, de website waarop contact met de fabrikant kan worden opgenomen, op het product met digitale elementen, op de verpakking ervan of in een bij het product met digitale elementen gevoegd document. Die informatie wordt ook opgenomen in de in bijlage II vermelde informatie en instructies voor de gebruiker. De contactgegevens worden gesteld in een taal die de gebruikers en de markttoezichtautoriteiten gemakkelijk kunnen begrijpen.
17. Voor de toepassing van deze verordening wijzen fabrikanten een centraal contactpunt aan om gebruikers in staat te stellen rechtstreeks en snel met hen te communiceren, onder meer om de melding van kwetsbaarheden van het product met digitale elementen te vergemakkelijken.
Fabrikanten zorgen ervoor dat het centraal contactpunt gemakkelijk te identificeren is voor de gebruikers. Zij nemen het centrale contactpunt ook op in de in bijlage II vermelde informatie en instructies voor de gebruiker.
Het centrale contactpunt biedt gebruikers de mogelijkheid om de communicatiemiddelen van hun voorkeur te kiezen en beperkt die middelen niet tot geautomatiseerde hulpmiddelen.
18. Fabrikanten zorgen ervoor dat producten met digitale elementen vergezeld gaan van de in bijlage II vermelde informatie en instructies voor de gebruiker, op papier of in elektronische vorm. Die informatie en instructies worden verstrekt in een taal die de gebruikers en markttoezichtautoriteiten gemakkelijk kunnen begrijpen. Zij zijn duidelijk, begrijpelijk en leesbaar. Zij maken de veilige installatie, de veilige werking en het veilig gebruik van producten met digitale elementen mogelijk. Fabrikanten houden de in bijlage II vermelde informatie en instructies voor de gebruiker gedurende ten minste tien jaar nadat het product met digitale elementen in de handel is gebracht of gedurende de ondersteuningsperiode indien die langer is, ter beschikking van de gebruikers en de markttoezichtautoriteiten. Wanneer die informatie en instructies online worden verstrekt, zorgen de fabrikanten ervoor dat ze toegankelijk, gebruiksvriendelijk en online beschikbaar zijn gedurende ten minste tien jaar nadat het product met digitale elementen in de handel is gebracht of gedurende de ondersteuningsperiode indien die langer is.
19. Fabrikanten zorgen ervoor dat de einddatum van de in lid 8 bedoelde ondersteuningsperiode, met inbegrip van ten minste de maand en het jaar, op het moment van aankoop op gemakkelijk toegankelijke wijze duidelijk en begrijpelijk wordt gespecificeerd en, in voorkomend geval, op het product met digitale elementen, op de verpakking ervan of met digitale middelen.
Indien dat in verband met de aard van het product met digitale elementen technisch haalbaar is, stellen fabrikanten gebruikers door de weergave van een notificatie ervan op de hoogte dat hun product met digitale elementen het einde van de ondersteuningsperiode heeft bereikt.
20. Fabrikanten verstrekken een kopie van de EU-conformiteitsverklaring of een vereenvoudigde EU-conformiteitsverklaring bij het product met digitale elementen. Wanneer een vereenvoudigde EU-conformiteitsverklaring wordt verstrekt, bevat die het juiste internetadres waarop de volledige EU-conformiteitsverklaring kan worden geraadpleegd.
21. Vanaf het in de handel brengen en gedurende de ondersteuningsperiode nemen fabrikanten die weten of die redenen hebben om aan te nemen dat het product met digitale elementen of de door de fabrikant ingestelde processen niet in overeenstemming zijn met de essentiële cyberbeveiligingsvereisten van bijlage I, onmiddellijk de nodige corrigerende maatregelen om dat product met digitale elementen of de processen van de fabrikant in overeenstemming te brengen, of om het product zo nodig uit de handel te nemen of terug te roepen.
22. Fabrikanten verstrekken op een met redenen omkleed verzoek van een markttoezichtautoriteit aan die autoriteit, in een taal die die autoriteit gemakkelijk kan begrijpen, alle informatie en documentatie, schriftelijk of in elektronische vorm, die nodig is om de conformiteit van het product met digitale elementen en van de door de fabrikant ingestelde processen met de essentiële cyberbeveiligingsvereisten van bijlage I aan te tonen. Fabrikanten verlenen op verzoek van die autoriteit medewerking aan alle maatregelen die zijn genomen om de cyberbeveiligingsrisico’s van het product met digitale elementen dat zij in de handel hebben gebracht, weg te nemen.
23. Een fabrikant die zijn activiteiten stopzet en daardoor niet in staat is aan deze verordening te voldoen, stelt de betrokken markttoezichtautoriteiten, voordat de stopzetting van de activiteiten van kracht wordt, alsook, met alle beschikbare middelen en voor zover mogelijk, de gebruikers van de betrokken producten met digitale elementen die in de handel zijn gebracht, in kennis van de aanstaande stopzetting van de activiteiten.
24. De Commissie kan door middel van uitvoeringshandelingen, rekening houdend met Europese of internationale normen en beste praktijken, het formaat en de elementen van de in deel II, punt 1, van bijlage I bedoelde softwarestuklijst specificeren. Die uitvoeringshandelingen worden volgens de in artikel 62, lid 2, bedoelde onderzoeksprocedure vastgesteld.
25. Om te beoordelen of de lidstaten en de Unie als geheel afhankelijk zijn van softwarecomponenten en met name van componenten die als vrije en opensourcesoftware kunnen worden aangemerkt, kan de ADCO besluiten een EU-brede afhankelijkheidsbeoordeling uit te voeren voor specifieke categorieën producten met digitale elementen. Daartoe kunnen markttoezichtautoriteiten fabrikanten van dergelijke categorieën producten met digitale elementen verzoeken de desbetreffende softwarestuklijsten als bedoeld in deel II, punt 1, van bijlage I te verstrekken. Op basis van die informatie kunnen de markttoezichtautoriteiten aan de ADCO geanonimiseerde en geaggregeerde informatie over softwareafhankelijkheden verstrekken. De ADCO dient een verslag over de resultaten van de afhankelijkheidsbeoordeling in bij de op grond van artikel 14 van Richtlijn (EU) 2022/2555 opgerichte samenwerkingsgroep.
Rapportageverplichtingen van fabrikanten
Actief misbruikte kwetsbaarheden en ernstige incidenten moeten worden gemeld aan ENISA en het nationale CSIRT; vroegtijdige waarschuwing binnen 24 uur. Deze verplichtingen gelden vanaf 11 september 2026.
1. Een fabrikant doet tegelijkertijd aan het overeenkomstig lid 7 van dit artikel als coördinator aangewezen CSIRT en aan Enisa melding van elke actief uitgebuite kwetsbaarheid in het product met digitale elementen waarvan hij kennis krijgt. De fabrikant doet van die actief uitgebuite kwetsbaarheid melding via het op grond van artikel 16 opgerichte centrale meldingsplatform.
2. Ten behoeve van de in lid 1 bedoelde melding dient de fabrikant het volgende in:
een vroegtijdige waarschuwing over een actief uitgebuite kwetsbaarheid, zonder onnodige vertraging en in elk geval binnen 24 uur nadat de fabrikant er kennis van heeft gekregen, met vermelding, in voorkomend geval, van de lidstaten op het grondgebied waarvan de fabrikant ervan op de hoogte is dat zijn product met digitale elementen beschikbaar is gesteld;
tenzij de relevante informatie reeds is verstrekt, een kwetsbaarheidsmelding, zonder onnodige vertraging en in elk geval binnen 72 uur nadat de fabrikant kennis heeft gekregen van de actief uitgebuite kwetsbaarheid, waarin algemene informatie wordt verstrekt, voor zover beschikbaar, over het desbetreffende product met digitale elementen, de algemene aard van de uitbuiting en van de betroffen kwetsbaarheid, alsook alle genomen corrigerende of risicobeperkende maatregelen, en corrigerende of risicobeperkende maatregelen die gebruikers kunnen nemen, en waarin in voorkomend geval ook wordt aangegeven hoe gevoelig de fabrikant de gemelde informatie acht;
tenzij de relevante informatie reeds is verstrekt, een eindverslag, uiterlijk 14 dagen nadat een corrigerende of risicobeperkende maatregel beschikbaar is, waarin ten minste het volgende is opgenomen:
een beschrijving van de kwetsbaarheid, inclusief de ernst en de gevolgen ervan;
indien beschikbaar, informatie over elke kwaadwillige actor die de kwetsbaarheid heeft uitgebuit of die de kwetsbaarheid aan het uitbuiten is;
details over de beveiligingsupdate of andere corrigerende maatregelen die beschikbaar zijn gesteld om de kwetsbaarheid te verhelpen.
3. Een fabrikant doet tegelijkertijd aan het overeenkomstig lid 7 van dit artikel als coördinator aangewezen CSIRT en aan Enisa melding van elk ernstig incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen waarvan hij kennis krijgt. De fabrikant doet van dat incident melding via het op grond van artikel 16 opgerichte centrale meldingsplatform.
4. Ten behoeve van de in lid 3 bedoelde melding dient de fabrikant het volgende in:
een vroegtijdige waarschuwing over een ernstig incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen, zonder onnodige vertraging en in elk geval binnen 24 uur nadat de fabrikant er kennis van heeft gekregen, waarin ten minste wordt vermeld of het incident vermoedelijk door onwettige of kwaadwillige handelingen is veroorzaakt, en waarin, in voorkomend geval, ook de lidstaten worden vermeld op het grondgebied waarvan de fabrikant ervan op de hoogte is dat zijn product met digitale elementen beschikbaar is gesteld;
tenzij de relevante informatie reeds is verstrekt, een incidentmelding, zonder onnodige vertraging en in elk geval binnen 72 uur nadat de fabrikant kennis heeft gekregen van het incident, waarin algemene informatie wordt verstrekt, voor zover beschikbaar, over de aard van het incident, een eerste beoordeling van het incident, alsook alle genomen corrigerende of risicobeperkende maatregelen, en corrigerende of risicobeperkende maatregelen die gebruikers kunnen nemen, en waarin in voorkomend geval ook wordt aangegeven hoe gevoelig de fabrikant de gemelde informatie acht;
tenzij de relevante informatie reeds is verstrekt, binnen één maand na de indiening van de incidentmelding uit hoofde van punt b), een eindverslag waarin ten minste het volgende is opgenomen:
een gedetailleerde beschrijving van het incident, inclusief de ernst en de gevolgen ervan;
het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
toegepaste en lopende beperkende maatregelen.
5. Voor de toepassing van lid 3 wordt een incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen als ernstig beschouwd wanneer:
het negatieve gevolgen heeft of negatieve gevolgen kan hebben voor het vermogen van een product met digitale elementen om de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gevoelige of belangrijke gegevens of functies te beschermen, of
het heeft geleid of kan leiden tot de invoering of uitvoering van kwaadwillige code in een product met digitale elementen of in de netwerk- en informatiesystemen van een gebruiker van het product met digitale elementen.
6. Indien nodig kan het als coördinator aangewezen CSIRT dat als eerste de melding ontvangt, fabrikanten verzoeken een tussentijds verslag te verstrekken over relevante updates van de status van de actief uitgebuite kwetsbaarheid of het ernstige incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen.
7. De in de leden 1 en 3 van dit artikel bedoelde meldingen worden ingediend via het in artikel 16 bedoelde centrale meldingsplatform met gebruikmaking van een van de in artikel 16, lid 1, bedoelde elektronische endpoints voor melding. De melding wordt ingediend met gebruikmaking van het elektronische endpoint voor melding van het als coördinator aangewezen CSIRT van de lidstaat waar de fabrikanten hun hoofdvestiging in de Unie hebben, en is tegelijkertijd toegankelijk voor Enisa.
Voor de toepassing van deze verordening wordt een fabrikant geacht zijn hoofdvestiging in de Unie te hebben in de lidstaat waar de besluiten met betrekking tot de cyberbeveiliging van zijn product met digitale elementen hoofdzakelijk worden genomen. Indien niet kan worden bepaald welke lidstaat dat is, wordt de hoofdvestiging geacht zich te bevinden in de lidstaat waar de betrokken fabrikant de vestiging met het grootste aantal werknemers in de Unie heeft.
Indien een fabrikant geen hoofdvestiging in de Unie heeft, dient hij de in de leden 1 en 3 bedoelde meldingen in met gebruikmaking van het elektronische endpoint voor melding van het als coördinator aangewezen CSIRT in de lidstaat die bepaald is op grond van onderstaande volgorde en op basis van de informatie waarover de fabrikant beschikt:
de lidstaat waar de gemachtigde vertegenwoordiger die namens de fabrikant optreedt voor het grootste aantal producten met digitale elementen van die fabrikant, is gevestigd;
de lidstaat waar de importeur is gevestigd die het grootste aantal producten met digitale elementen van die fabrikant in de handel brengt;
de lidstaat waar de distributeur is gevestigd die het grootste aantal producten met digitale elementen van die fabrikant op de markt aanbiedt;
de lidstaat waar het grootste aantal gebruikers van producten met digitale elementen van die fabrikant is gevestigd.
Met betrekking tot de derde alinea, punt d), kan een fabrikant bij hetzelfde als coördinator aangewezen CSIRT waaraan hij de eerste melding heeft gedaan, meldingen indienen in verband met elke volgende actief uitgebuite kwetsbaarheid of ernstig incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen.
8. Nadat de fabrikant kennis heeft gekregen van een actief uitgebuite kwetsbaarheid of een ernstig incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen, stelt hij de getroffen gebruikers van het product met digitale elementen en indien passend alle gebruikers, op de hoogte van die kwetsbaarheid of van dat incident en, indien nodig, van risicobeperking en corrigerende maatregelen die de gebruikers kunnen nemen om de gevolgen van die kwetsbaarheid of dat incident te beperken, indien passend in een gestructureerd, machineleesbaar formaat dat gemakkelijk automatisch verwerkbaar is. Indien de fabrikant de gebruikers van het product met digitale elementen niet tijdig op de hoogte brengt, kunnen de als coördinatoren aangewezen CSIRT’s dergelijke informatie verstrekken aan de gebruikers wanneer dat evenredig en noodzakelijk wordt geacht om de gevolgen van die kwetsbaarheid of dat incident te voorkomen of te beperken.
9. Uiterlijk op 11 december 2025 stelt de Commissie overeenkomstig artikel 61 van deze verordening gedelegeerde handelingen vast teneinde deze verordening aan te vullen door de voorwaarden te specificeren voor de toepassing van de cyberbeveiligingsgerelateerde redenen voor het uitstellen van de verspreiding van meldingen als bedoeld in artikel 16, lid 2 van deze verordening. De Commissie werkt samen met het op grond van artikel 15 van Richtlijn (EU) 2022/2555 opgerichte CSIRT-netwerk en Enisa bij het opstellen van de ontwerpen van gedelegeerde handelingen.
10. De Commissie kan door middel van uitvoeringshandelingen het formaat en de procedures van de in dit artikel en in de artikelen 15 en 16 bedoelde meldingen nader specificeren. Die uitvoeringshandelingen worden volgens de in artikel 62, lid 2, bedoelde onderzoeksprocedure vastgesteld. De Commissie werkt samen met het CSIRT-netwerk en Enisa bij het opstellen van die ontwerpuitvoeringshandelingen.
Vrijwillige melding
1. Fabrikanten en andere natuurlijke of rechtspersonen kunnen op vrijwillige basis van elke kwetsbaarheid in een product met digitale elementen alsook van cyberdreigingen die van invloed kunnen zijn op het risicoprofiel van een product met digitale elementen, melding doen aan een als coördinator aangewezen CSIRT of aan Enisa.
2. Fabrikanten en andere natuurlijke of rechtspersonen kunnen op vrijwillige basis van elk incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen en van bijna-incidenten die tot een dergelijk incident hadden kunnen leiden, melding doen aan een als coördinator aangewezen CSIRT of aan Enisa.
3. Het als coördinator aangewezen CSIRT of Enisa verwerkt de in de leden 1 en 2 van dit artikel bedoelde meldingen volgens de in artikel 16 vastgestelde procedure.
Het als coördinator aangewezen CSIRT kan voorrang geven aan de verwerking van verplichte meldingen boven vrijwillige meldingen.
4. Wanneer een andere natuurlijke of rechtspersoon dan de fabrikant melding doet van een actief uitgebuite kwetsbaarheid of een ernstig incident dat gevolgen heeft voor de beveiliging van een product met digitale elementen overeenkomstig lid 1 of lid 2, stelt het als coördinator aangewezen CSIRT de fabrikant daarvan zonder onnodige vertraging op de hoogte.
5. De als coördinatoren aangewezen CSIRT’s en Enisa waarborgen de vertrouwelijkheid en passende bescherming van de door de meldende natuurlijke of rechtspersoon verstrekte informatie. Onverminderd de voorkoming van, het onderzoek naar en de opsporing en de vervolging van strafbare feiten, mag vrijwillige melding er niet toe leiden dat een meldende natuurlijke of rechtspersoon bijkomende verplichtingen worden opgelegd waaraan zij niet onderworpen zou zijn geweest indien zij geen melding had gedaan.
Oprichting van een centraal meldingsplatform
1. Ten behoeve van de meldingen bedoeld in artikel 14, leden 1 en 3, en artikel 15, leden 1 en 2, en om de rapportageverplichtingen van fabrikanten te vereenvoudigen, richt Enisa een centraal meldingsplatform op. De dagelijkse werkzaamheden van dat centrale meldingsplatform worden beheerd en uitgevoerd door Enisa. De architectuur van het centrale meldingsplatform stelt de lidstaten en Enisa in staat hun eigen elektronische endpoints voor melding op te zetten.
2. Na ontvangst van een melding verspreidt het als coördinator aangewezen CSIRT die de melding als eerste ontvangt, de melding onverwijld via het centrale meldingsplatform onder de CSIRT’s die zijn aangewezen als coördinatoren op het grondgebied waarvan de fabrikant heeft aangegeven dat het product met digitale elementen beschikbaar is gesteld.
In uitzonderlijke omstandigheden, en met name op verzoek van de fabrikant en in het licht van het gevoeligheidsniveau van de gemelde informatie zoals aangegeven door de fabrikant krachtens artikel 14, lid 2, punt a), van deze verordening, kan de verspreiding van de melding op basis van gegronde cyberbeveiligingsgerelateerde redenen worden uitgesteld gedurende een periode die niet langer dan strikt noodzakelijk is, ook wanneer een kwetsbaarheid onderworpen is aan een procedure voor gecoördineerde bekendmaking van kwetsbaarheden als bedoeld in artikel 12, lid 1, van Richtlijn (EU) 2022/2555. Wanneer een CSIRT besluit een melding achter te houden, stelt het CSIRT Enisa onmiddellijk in kennis van het besluit en verstrekt het zowel een motivering voor het achterhouden van de melding als een indicatie van wanneer het de melding zal verspreiden overeenkomstig de in dit lid vastgestelde verspreidingsprocedure. Enisa kan het CSIRT ondersteunen bij de toepassing van cyberbeveiligingsgerelateerde redenen met betrekking tot het uitstellen van de verspreiding van de melding.
In zeer uitzonderlijke omstandigheden, wanneer de fabrikant in de in artikel 14, lid 2, punt b), bedoelde melding aangeeft:
dat de gemelde kwetsbaarheid actief wordt uitgebuit door een kwaadwillige actor en, volgens de beschikbare informatie, wordt uitgebuit in geen enkele andere lidstaat dan die van het als coördinator aangewezen CSIRT waaraan de fabrikant de kwetsbaarheid heeft gemeld;
dat elke onmiddellijke verdere verspreiding van de gemelde kwetsbaarheid waarschijnlijk zou leiden tot de verstrekking van informatie waarvan de bekendmaking strijdig zou zijn met de wezenlijke belangen van die lidstaat, of
dat de gemelde kwetsbaarheid een dreigend hoog cyberbeveiligingsrisico vormt als gevolg van de verdere verspreiding;
zullen uitsluitend de informatie dat de fabrikant een melding heeft gedaan, de algemene informatie over het product, de informatie over de algemene aard van de uitbuiting en de informatie dat er beveiligingsgerelateerde redenen zijn aangevoerd, tegelijkertijd aan Enisa ter beschikking worden gesteld totdat de volledige melding wordt verspreid onder de betrokken CSIRT’s en Enisa. Indien Enisa op basis van die informatie van oordeel is dat er een systeemrisico bestaat dat gevolgen heeft voor de veiligheid op de interne markt, beveelt Enisa het ontvangende CSIRT aan de volledige melding onder de andere als coördinatoren aangewezen CSIRT’s en Enisa zelf te verspreiden.
3. Na ontvangst van een melding van een actief uitgebuite kwetsbaarheid in een product met digitale elementen of van een ernstig incident dat gevolgen heeft voor de beveiliging van een product met digitale elementen, verstrekken de als coördinatoren aangewezen CSIRT’s de markttoezichtautoriteiten van hun respectieve lidstaten de gemelde informatie die de markttoezichtautoriteiten nodig hebben om hun verplichtingen uit hoofde van deze verordening na te komen.
4. Enisa neemt passende en evenredige technische, operationele en organisatorische maatregelen om de risico’s voor de beveiliging van het centrale meldingsplatform en de informatie die via het centrale meldingsplatform wordt ingediend of verspreid, te beheren. Zij doet zonder onnodige vertraging melding aan het CSIRT-netwerk en aan de Commissie van elk beveiligingsincident dat gevolgen heeft voor het centrale meldingsplatform.
5. Enisa verstrekt en voert, in samenwerking met het CSIRT-netwerk, specificaties uit voor de technische, operationele en organisatorische maatregelen met betrekking tot de oprichting, het onderhoud en de veilige werking van het in lid 1 bedoelde centrale meldingsplatform, waaronder ten minste de beveiligingsregelingen in verband met de oprichting, de werking en het onderhoud van het centrale meldingsplatform, alsook de elektronische endpoints voor melding die zijn opgezet door de CSIRT’s die zijn aangewezen als coördinatoren op nationaal niveau en door Enisa op Unieniveau, met inbegrip van procedurele aspecten om ervoor te zorgen dat, wanneer voor een gemelde kwetsbaarheid geen corrigerende of risicobeperkende maatregelen beschikbaar zijn, informatie over die kwetsbaarheid wordt gedeeld in overeenstemming met strikte beveiligingsprotocollen en alleen voor zover dat noodzakelijk is.
6. Wanneer een als coördinator aangewezen CSIRT op de hoogte is gebracht van een actief uitgebuite kwetsbaarheid in het kader van een procedure voor gecoördineerde bekendmaking van kwetsbaarheden als bedoeld in artikel 12, lid 1, van Richtlijn (EU) 2022/2555, kan het als coördinator aangewezen CSIRT dat de melding als eerste ontvangt, de verspreiding van de desbetreffende melding via het centrale meldingsplatform op basis van gegronde cyberbeveiligingsgerelateerde redenen uitstellen gedurende een periode die niet langer dan strikt noodzakelijk is en totdat de bij de gecoördineerde bekendmaking van kwetsbaarheden betrokken partijen hun toestemming voor bekendmaking hebben gegeven. Dat vereiste belet fabrikanten niet om op vrijwillige basis een dergelijke kwetsbaarheid in overeenstemming met de procedure van dit artikel te melden.
Andere bepalingen in verband met melding
1. Enisa kan aan het uit hoofde van artikel 16 van Richtlijn (EU) 2022/2555 opgerichte Europese netwerk van verbindingsorganisaties voor cybercrises (EU-CyCLONe) informatie verstrekken waarvan melding is gedaan op grond van artikel 14, leden 1 en 3, en artikel 15, leden 1 en 2, van deze verordening, indien die informatie relevant is voor het gecoördineerde beheer van grootschalige incidenten en crises op het gebied van cyberbeveiliging op operationeel niveau. Om die relevantie te bepalen, kan Enisa, indien beschikbaar, technische analyses die door het CSIRT-netwerk worden uitgevoerd, in aanmerking nemen.
2. Indien bewustmaking van het publiek noodzakelijk is om een ernstig incident met gevolgen voor de beveiliging van het product met digitale elementen te voorkomen of te beperken of om een lopend incident af te handelen, of indien de bekendmaking van het incident anderszins in het algemeen belang is, kan het als coördinator aangewezen CSIRT van de betrokken lidstaat, na raadpleging van de betrokken fabrikant en, indien passend, in samenwerking met Enisa, het publiek over het incident informeren of de fabrikant verplichten dat te doen.
3. Enisa stelt, op basis van de op grond van artikel 14, leden 1 en 3, en artikel 15, leden 1 en 2, van deze verordening ontvangen meldingen, om de 24 maanden een technisch verslag op over opkomende trends met betrekking tot cyberbeveiligingsrisico’s in producten met digitale elementen en dient dat in bij de samenwerkingsgroep die is opgericht op grond van artikel 14 van Richtlijn (EU) 2022/2555. Het eerste verslag wordt ingediend binnen 24 maanden nadat de in artikel 14, leden 1 en 3, van deze verordening vastgestelde verplichtingen van toepassing worden. Enisa neemt relevante informatie uit zijn technische verslagen op in zijn verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie op grond van artikel 18 van Richtlijn (EU) 2022/2555.
4. De loutere handeling van melding overeenkomstig artikel 14, leden 1 en 3, of artikel 15, leden 1 en 2, brengt voor de meldende natuurlijke of rechtspersoon geen verhoogde aansprakelijkheid met zich mee.
5. Nadat een beveiligingsupdate of een andere vorm van corrigerende of risicobeperkende maatregel beschikbaar is, voegt Enisa, in overleg met de fabrikant van het product met digitale elementen, de openbaar bekende kwetsbaarheid waarvan op grond van artikel 14, lid 1, of artikel 15, lid 1, van deze verordening melding is gedaan, toe aan de op grond van artikel 12, lid 2, van Richtlijn (EU) 2022/2555 opgerichte Europese kwetsbaarheidsdatabase.
6. De als coördinatoren aangewezen CSIRT’s verlenen helpdeskondersteuning aan fabrikanten met betrekking tot de rapportageverplichtingen op grond van artikel 14, en met name aan fabrikanten die als micro-onderneming of als kleine of middelgrote onderneming kunnen worden aangemerkt.
Gemachtigde vertegenwoordigers
1. Een fabrikant kan door middel van een schriftelijk mandaat een gemachtigde vertegenwoordiger aanwijzen.
2. De verplichtingen uit hoofde van artikel 13, leden 1 tot en met 11, artikel 13, lid 12, eerste alinea, en artikel 13, lid 14, maken geen deel uit van het mandaat van de gemachtigde vertegenwoordiger.
3. Een gemachtigde vertegenwoordiger voert de taken uit die gespecificeerd zijn in het mandaat dat hij van de fabrikant heeft ontvangen. De gemachtigde vertegenwoordiger legt op verzoek een kopie van het mandaat over aan de markttoezichtautoriteiten. Het mandaat stelt de gemachtigde vertegenwoordiger in staat ten minste het volgende te doen:
hij houdt de EU-conformiteitsverklaring als bedoeld in artikel 28 en de technische documentatie als bedoeld in artikel 31 gedurende een periode van ten minste tien jaar nadat het product met digitale elementen in de handel is gebracht of gedurende de ondersteuningsperiode indien die langer is, ter beschikking van de markttoezichtautoriteiten;
hij verstrekt een markttoezichtautoriteit, wanneer die autoriteit daartoe een met redenen omkleed verzoek indient, alle benodigde informatie en documentatie om de conformiteit van het product met digitale elementen aan te tonen;
hij verleent op verzoek van de markttoezichtautoriteiten medewerking aan alle genomen maatregelen om de risico’s van een product met digitale elementen die onder het mandaat van de gemachtigde vertegenwoordiger vallen, weg te nemen.
Verplichtingen van importeurs
1. Importeurs brengen uitsluitend producten met digitale elementen in de handel die voldoen aan de essentiële cyberbeveiligingsvereisten van deel I van bijlage I, en indien de door de fabrikant ingestelde processen voldoen aan de essentiële cyberbeveiligingsvereisten van deel II van bijlage I.
2. Alvorens een product met digitale elementen in de handel te brengen, zorgen importeurs ervoor dat:
de fabrikant de juiste in artikel 32 bedoelde conformiteitsbeoordelingsprocedures heeft uitgevoerd;
de fabrikant de technische documentatie heeft opgesteld;
het product met digitale elementen is voorzien van de in artikel 30 bedoelde CE-markering en vergezeld gaat van de in artikel 13, lid 20, bedoelde EU-conformiteitsverklaring en de in bijlage II vastgestelde informatie en instructies voor de gebruiker, in een taal die gebruikers en markttoezichtautoriteiten gemakkelijk kunnen begrijpen;
de fabrikant aan de vereisten van artikel 13, leden 15, 16 en 19, heeft voldaan.
Voor de toepassing van dit lid moeten importeurs de nodige documenten kunnen verstrekken waaruit blijkt dat aan de vereisten van dit artikel is voldaan.
3. Wanneer een importeur van mening is of redenen heeft om aan te nemen dat een product met digitale elementen of de door de fabrikant ingestelde processen niet in overeenstemming zijn met deze verordening, brengt de importeur het product niet in de handel voordat dat product of de door de fabrikant ingestelde processen in overeenstemming zijn gebracht met deze verordening. Bovendien brengt de importeur, indien het product met digitale elementen een significant cyberbeveiligingsrisico inhoudt, de fabrikant en de markttoezichtautoriteiten daarvan op de hoogte.
Wanneer een importeur redenen heeft om aan te nemen dat een product met digitale elementen in het licht van niet-technische risicofactoren een significant cyberbeveiligingsrisico kan inhouden, stelt de importeur de markttoezichtautoriteiten daarvan op de hoogte. Na ontvangst van die informatie volgen de markttoezichtautoriteiten de in artikel 54, lid 2, bedoelde procedures.
4. Importeurs vermelden hun naam, geregistreerde handelsnaam of geregistreerde merk, het postadres, het e-mailadres of een ander digitaal communicatiemiddel, alsook, in voorkomend geval, de website waarop met hen contact kan worden opgenomen, op het product met digitale elementen, op de verpakking ervan of in een bij het product met digitale elementen gevoegd document. De contactgegevens worden gesteld in een voor de gebruikers en de markttoezichtautoriteiten gemakkelijk te begrijpen taal.
5. Importeurs die weten of redenen hebben om aan te nemen dat een door hen in de handel gebracht product met digitale elementen niet in overeenstemming is met deze verordening, nemen onmiddellijk de nodige corrigerende maatregelen om ervoor te zorgen dat het product met digitale elementen in overeenstemming wordt gebracht met deze verordening, of om het product zo nodig uit de handel te nemen of terug te roepen.
Wanneer importeurs kennis krijgen van een kwetsbaarheid in het product met digitale elementen, stellen zij de fabrikant zonder onnodige vertraging in kennis van die kwetsbaarheid. Bovendien brengen importeurs, indien het product met digitale elementen een significant cyberbeveiligingsrisico inhoudt, de markttoezichtautoriteiten van de lidstaten waar zij het product met digitale elementen op de markt hebben aangeboden, daarvan onmiddellijk op de hoogte, waarbij zij in het bijzonder de non-conformiteit en alle genomen corrigerende maatregelen uitvoerig beschrijven.
6. Importeurs houden gedurende ten minste tien jaar nadat het product met digitale elementen in de handel is gebracht of gedurende de ondersteuningsperiode indien die langer is, een exemplaar van de EU-conformiteitsverklaring ter beschikking van de markttoezichtautoriteiten en zorgen ervoor dat de technische documentatie op verzoek aan die autoriteiten kan worden verstrekt.
7. Importeurs verstrekken op een met redenen omkleed verzoek van een markttoezichtautoriteit aan die autoriteit alle benodigde informatie en documentatie, schriftelijk of in elektronische vorm, om de conformiteit van het product met digitale elementen met de essentiële cyberbeveiligingsvereisten van deel I van bijlage I, en van de processen die de fabrikant heeft ingesteld met de essentiële cyberbeveiligingsvereisten van deel II van bijlage I, aan te tonen, in een voor die autoriteit gemakkelijk te begrijpen taal. Op verzoek van die autoriteit verlenen zij medewerking aan alle maatregelen die zijn genomen om de cyberbeveiligingsrisico’s van een product met digitale elementen dat zij in de handel hebben gebracht, weg te nemen.
8. Wanneer de importeur van een product met digitale elementen er kennis van neemt dat de fabrikant van dat product zijn activiteiten heeft stopgezet en daardoor niet in staat is aan de verplichtingen van deze verordening te voldoen, stelt de importeur de betrokken markttoezichtautoriteiten in kennis van die situatie, alsook, met alle beschikbare middelen en voor zover mogelijk, de gebruikers van de producten met digitale elementen die in de handel zijn gebracht.
Verplichtingen van distributeurs
1. Distributeurs die een product met digitale elementen op de markt aanbieden, betrachten de nodige zorgvuldigheid in verband met de vereisten van deze verordening.
2. Alvorens een product met digitale elementen op de markt aan te bieden, gaan distributeurs na of:
het product met digitale elementen is voorzien van de CE-markering;
de fabrikant en de importeur hebben voldaan aan de verplichtingen van artikel 13, leden 15, 16, 18, 19 en 20, en artikel 19, lid 4, en alle nodige documenten hebben verstrekt aan de distributeur.
3. Wanneer een distributeur, op grond van informatie in zijn bezit, van mening is of redenen heeft om aan te nemen dat een product met digitale elementen of de door de fabrikant ingestelde processen niet in overeenstemming zijn met de essentiële cyberbeveiligingsvereisten van bijlage I, mag de distributeur het product met digitale elementen niet op de markt aanbieden voordat dat product of de door de fabrikant ingestelde processen in overeenstemming zijn gebracht met deze verordening. Bovendien brengt de distributeur, indien het product met digitale elementen een significant cyberbeveiligingsrisico inhoudt, de fabrikant en de markttoezichtautoriteiten daarvan zonder onnodige vertraging op de hoogte.
4. Distributeurs die, op grond van informatie in hun bezit, weten of redenen hebben om aan te nemen dat een door hen op de markt aangeboden product met digitale elementen of de door de fabrikant ingestelde processen niet in overeenstemming is/zijn met deze verordening, zorgen ervoor dat de nodige corrigerende maatregelen worden genomen om het product met digitale elementen of de door de fabrikant ingestelde processen in overeenstemming te brengen, of om het product zo nodig uit de handel te nemen of terug te roepen.
Wanneer distributeurs kennis krijgen van een kwetsbaarheid in het product met digitale elementen, stellen zij de fabrikant zonder onnodige vertraging in kennis van die kwetsbaarheid. Bovendien brengen distributeurs, indien het product met digitale elementen een significant cyberbeveiligingsrisico inhoudt, de markttoezichtautoriteiten van de lidstaten waar zij het product met digitale elementen op de markt hebben aangeboden daarvan onmiddellijk op de hoogte, waarbij zij in het bijzonder de non-conformiteit en alle genomen corrigerende maatregelen uitvoerig beschrijven.
5. Distributeurs verstrekken op een met redenen omkleed verzoek van een markttoezichtautoriteit aan die autoriteit alle benodigde informatie en documentatie, schriftelijk of in elektronische vorm, om de conformiteit van het product met digitale elementen en van de processen die de fabrikant heeft ingesteld met deze verordening aan te tonen, in een voor die autoriteit gemakkelijk te begrijpen taal. Op verzoek van die autoriteit verlenen zij medewerking aan alle maatregelen die zijn genomen om de cyberbeveiligingsrisico’s van een product met digitale elementen dat zij op de markt hebben aangeboden, weg te nemen.
6. Wanneer de distributeur van een product met digitale elementen, op grond van informatie in zijn bezit, er kennis van neemt dat de fabrikant van dat product zijn activiteiten heeft stopgezet en daardoor niet in staat is aan de verplichtingen van deze verordening te voldoen, stelt de distributeur de betrokken markttoezichtautoriteiten zonder onnodige vertraging in kennis van die situatie, alsook, met alle beschikbare middelen en voor zover mogelijk, de gebruikers van de producten met digitale elementen die in de handel zijn gebracht.
Gevallen waarin de verplichtingen van fabrikanten van toepassing zijn op importeurs en distributeurs
Een importeur of distributeur wordt voor de toepassing van deze verordening als een fabrikant beschouwd en moet aan de artikelen 13 en 14 voldoen wanneer die importeur of distributeur een product met digitale elementen onder zijn naam of merk in de handel brengt of een ingrijpende wijziging uitvoert aan een reeds in de handel gebrachte product met digitale elementen.
Andere gevallen waarin de verplichtingen van fabrikanten van toepassing zijn
1. Een andere natuurlijke of rechtspersoon dan de fabrikant, de importeur of de distributeur die een ingrijpende wijziging uitvoert aan een product met digitale elementen en het op de markt aanbiedt, wordt voor de toepassing van deze verordening als fabrikant beschouwd.
2. De in lid 1 van dit artikel bedoelde persoon moet aan de in de artikelen 13 en 14, vermelde verplichtingen voldoen voor het deel van het product met digitale elementen waarop de ingrijpende wijziging betrekking heeft of, indien de ingrijpende wijziging gevolgen heeft voor de cyberbeveiliging van het product met digitale elementen als geheel, voor het gehele product.
Identificatie van marktdeelnemers
1. Marktdeelnemers verstrekken de markttoezichtautoriteiten op verzoek de volgende informatie:
naam en adres van alle marktdeelnemers die hun een product met digitale elementen hebben geleverd;
indien beschikbaar, naam en adres van alle marktdeelnemers aan wie zij een product met digitale elementen hebben geleverd.
2. Marktdeelnemers moeten de in lid 1 bedoelde informatie kunnen verstrekken tot tien jaar nadat het product met digitale elementen aan hen is geleverd, en tot tien jaar nadat zij het product met digitale elementen hebben geleverd.
Verplichtingen van opensourcesoftwarestewards
1. Opensourcesoftwarestewards voeren een cyberbeveiligingsbeleid in en documenteren dat op een verifieerbare manier om de ontwikkeling van een veilig product met digitale elementen en een effectieve aanpak van kwetsbaarheden door de ontwikkelaars van dat product te bevorderen. Dat beleid bevordert ook de vrijwillige melding van kwetsbaarheden zoals bepaald in artikel 15 door de ontwikkelaars van dat product en houdt rekening met de specifieke aard van de opensourcesoftwaresteward en de juridische en organisatorische regelingen waaraan die is onderworpen. Dat beleid omvat met name aspecten die verband houden met het documenteren, aanpakken en verhelpen van kwetsbaarheden en bevordert de uitwisseling van informatie over ontdekte kwetsbaarheden binnen de opensourcegemeenschap.
2. Opensourcesoftwarestewards werken op verzoek van markttoezichtautoriteiten met hen samen om de cyberbeveiligingsrisico’s van producten met digitale elementen die als vrije en opensourcesoftware worden aangemerkt, te beperken.
Op een met redenen omkleed verzoek van een markttoezichtautoriteit verstrekken opensourcesoftwarestewards die autoriteit, in een taal die die autoriteit gemakkelijk kan begrijpen, de in lid 1 bedoelde documentatie op papier of in elektronische vorm.
3. De verplichtingen van artikel 14, lid 1, zijn van toepassing op opensourcesoftwarestewards voor zover zij betrokken zijn bij de ontwikkeling van de producten met digitale elementen. De verplichtingen van artikel 14, leden 3 en 8, zijn van toepassing op opensourcesoftwarestewards voor zover ernstige incidenten die gevolgen hebben voor de beveiliging van producten met digitale elementen van invloed zijn op de netwerk- en informatiesystemen die door de opensourcesoftwarestewards voor de ontwikkeling van dergelijke producten worden geleverd.
Beveiligingsattestatie van vrije en opensourcesoftware
Om de naleving van de in artikel 13, lid 5, vastgestelde passendezorgvuldigheidsverplichting te vergemakkelijken, met name ten aanzien van fabrikanten die vrije en opensourcesoftwarecomponenten in hun producten met digitale elementen integreren, is de Commissie bevoegd om overeenkomstig artikel 61 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen door vrijwillige beveiligingsattestatieprogramma’s vast te stellen die ontwikkelaars of gebruikers van producten met digitale elementen die als vrije en opensourcesoftware aangemerkt worden, alsook andere derden in staat stellen de conformiteit van dergelijke producten met alle of bepaalde essentiële cyberbeveiligingsvereisten of andere in deze verordening vastgestelde verplichtingen te beoordelen.
Richtsnoeren
1. Om de uitvoering te vergemakkelijken en de consistentie van die uitvoering te waarborgen, publiceert de Commissie richtsnoeren om de marktdeelnemers te helpen bij de toepassing van deze verordening, met bijzondere aandacht voor de wijze waarop de naleving door kleine, middelgrote en micro-ondernemingen kan worden vergemakkelijkt.
2. Wanneer de Commissie voornemens is de in lid 1 bedoelde richtsnoeren te verstrekken, gaat zij ten minste in op de volgende aspecten:
het toepassingsgebied van deze verordening, met bijzondere aandacht voor oplossingen voor gegevensverwerking op afstand en vrije en opensourcesoftware;
de toepassing van ondersteuningsperioden met betrekking tot bepaalde categorieën producten met digitale elementen;
richtsnoeren voor fabrikanten die onder deze verordening vallen en die ook onderworpen zijn aan andere harmonisatiewetgeving van de Unie dan deze verordening of andere daarmee verband houdende rechtshandelingen van de Unie;
het begrip “ingrijpende wijziging”.
De Commissie houdt ook een gemakkelijk toegankelijke lijst bij van de gedelegeerde handelingen en uitvoeringshandelingen die op grond van deze verordening zijn vastgesteld.
3. Bij het opstellen van de richtsnoeren op grond van dit artikel raadpleegt de Commissie de relevante belanghebbenden.
CONFORMITEIT VAN HET PRODUCT MET DIGITALE ELEMENTEN
Vermoeden van conformiteit
1. Producten met digitale elementen en processen die door de fabrikant zijn ingesteld en in overeenstemming zijn met geharmoniseerde normen of delen daarvan waarvan de referenties in het Publicatieblad van de Europese Unie zijn bekendgemaakt, worden geacht in overeenstemming te zijn met de essentiële cyberbeveiligingsvereisten van bijlage I die door die normen of delen daarvan worden bestreken.
De Commissie verzoekt overeenkomstig artikel 10, lid 1, van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties om geharmoniseerde normen op te stellen voor de essentiële cyberbeveiligingsvereisten van bijlage I bij deze verordening. Bij het opstellen van normalisatieverzoeken voor deze verordening streeft de Commissie ernaar rekening te houden met bestaande Europese en internationale normen voor cyberbeveiliging die van kracht of in ontwikkeling zijn, teneinde de ontwikkeling van geharmoniseerde normen te vereenvoudigen, overeenkomstig Verordening (EU) nr. 1025/2012.
2. De Commissie kan uitvoeringshandelingen vaststellen met gemeenschappelijke specificaties inzake technische vereisten die een middel bieden om te voldoen aan de essentiële cyberbeveiligingsvereisten van bijlage I voor binnen het toepassingsgebied van deze verordening vallende producten met digitale elementen.
Die uitvoeringshandelingen worden alleen vastgesteld indien aan de volgende voorwaarden is voldaan:
de Commissie heeft, op grond van artikel 10, lid 1, van Verordening (EU) nr. 1025/2012, één of meer Europese normalisatieorganisaties verzocht geharmoniseerde normen voor de essentiële cyberbeveiligingsvereisten van bijlage I op te stellen en:
het verzoek is niet aanvaard;
de geharmoniseerde normen waarop dat verzoek betrekking heeft, worden niet binnen de overeenkomstig artikel 10, lid 1, van Verordening (EU) nr. 1025/2012 vastgestelde termijn geleverd, of
de geharmoniseerde normen voldoen niet aan het verzoek, en
er is geen referentie van geharmoniseerde normen overeenkomstig Verordening (EU) nr. 1025/2012 bekendgemaakt in het Publicatieblad van de Europese Unie voor de desbetreffende essentiële cyberbeveiligingsvereisten van bijlage I bij deze verordening, en een dergelijke referentie zal naar verwachting niet binnen een redelijke termijn worden bekendgemaakt.
Die uitvoeringshandelingen worden volgens de in artikel 62, lid 2, bedoelde onderzoeksprocedure vastgesteld.
3. Alvorens de in lid 2 van dit artikel bedoelde ontwerpuitvoeringshandeling op te stellen, stelt de Commissie het in artikel 22 van Verordening (EU) nr. 1025/2012 bedoelde comité ervan in kennis dat zij van oordeel is dat aan de voorwaarden van lid 2 van dit artikel is voldaan.
4. Bij het opstellen van de in lid 2 bedoelde ontwerpuitvoeringshandeling houdt de Commissie rekening met de standpunten van de relevante instanties en raadpleegt zij naar behoren alle relevante belanghebbenden.
5. Producten met digitale elementen en processen die door de fabrikant zijn ingesteld en in overeenstemming zijn met de gemeenschappelijke specificaties die zijn vastgesteld bij de in lid 2 van dit artikel bedoelde uitvoeringshandelingen, of delen daarvan, worden geacht in overeenstemming te zijn met de essentiële cyberbeveiligingsvereisten van bijlage I die door die gemeenschappelijke specificaties of delen daarvan worden bestreken.
6. Wanneer een geharmoniseerde norm door een Europese normalisatieorganisatie wordt vastgesteld en aan de Commissie wordt voorgesteld met het oog op de bekendmaking van de referentie ervan in het Publicatieblad van de Europese Unie, beoordeelt de Commissie de geharmoniseerde norm overeenkomstig Verordening (EU) nr. 1025/2012. Wanneer een referentie van een geharmoniseerde norm in het Publicatieblad van de Europese Unie wordt bekendgemaakt, trekt de Commissie de in lid 2 van dit artikel bedoelde uitvoeringshandelingen of delen daarvan die dezelfde essentiële cyberbeveiligingsvereisten bestrijken als die geharmoniseerde norm, in.
7. Indien een lidstaat van oordeel is dat een gemeenschappelijke specificatie niet volledig aan de essentiële cyberbeveiligingsvereisten van bijlage I voldoet, stelt die lidstaat de Commissie daarvan in kennis door middel van een gedetailleerde toelichting. De Commissie beoordeelt die gedetailleerde toelichting en kan de uitvoeringshandeling tot vaststelling van de gemeenschappelijke specificatie in kwestie indien nodig wijzigen.
8. Producten met digitale elementen en processen die door de fabrikant zijn ingesteld en waarvoor een EU-conformiteitsverklaring of -certificaat is afgegeven in het kader van een op grond van Verordening (EU) 2019/881 vastgestelde Europese cyberbeveiligingscertificeringsregeling, worden geacht in overeenstemming te zijn met de essentiële cyberbeveiligingsvereisten van bijlage I, voor zover die vereisten door de EU-conformiteitsverklaring of het Europese cyberbeveiligingscertificaat, of delen daarvan, worden bestreken.
9. De Commissie is bevoegd om overeenkomstig artikel 61 van deze verordening gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen door de op grond van Verordening (EU) 2019/881 vastgestelde Europese cyberbeveiligingscertificeringsregelingen te specificeren die kunnen worden gebruikt om de conformiteit van producten met digitale elementen met de essentiële cyberbeveiligingsvereisten, of delen daarvan, van bijlage I bij deze verordening aan te tonen. Bovendien ontslaat de afgifte van een in het kader van dergelijke regelingen afgegeven Europees cyberbeveiligingscertificaat, op ten minste zekerheidsniveau “substantieel”, de fabrikant van de verplichting om een conformiteitsbeoordeling door derden te laten verrichten voor de overeenkomstige vereisten, zoals uiteengezet in artikel 32, lid 2, punten a) en b), en lid 3, punten a) en b), van deze verordening.
EU-conformiteitsverklaring
1. De EU-conformiteitsverklaring wordt door fabrikanten opgesteld overeenkomstig artikel 13, lid 12, en vermeldt dat is aangetoond dat aan de toepasselijke essentiële cyberbeveiligingsvereisten van bijlage I is voldaan.
2. De EU-conformiteitsverklaring komt qua structuur overeen met het model in bijlage V en bevat de in de desbetreffende conformiteitsbeoordelingsprocedures van bijlage VIII vermelde elementen. Een dergelijke verklaring wordt waar passend bijgewerkt. Zij wordt beschikbaar gesteld in de talen die zijn voorgeschreven door de lidstaat waar het product met digitale elementen in de handel wordt gebracht of op de markt wordt aangeboden.
De in artikel 13, lid 20, bedoelde vereenvoudigde EU-conformiteitsverklaring komt qua structuur overeen met het model in bijlage VI. Zij wordt beschikbaar gesteld in de talen die zijn voorgeschreven door de lidstaat waar het product met digitale elementen in de handel wordt gebracht of op de markt wordt aangeboden.
3. Wanneer voor een product met digitale elementen uit hoofde van meer dan één rechtshandeling van de Unie een EU-conformiteitsverklaring vereist is, wordt één EU-conformiteitsverklaring met betrekking tot al dergelijke rechtshandelingen van de Unie opgesteld. In die verklaring wordt aangegeven om welke rechtshandelingen van de Unie het gaat, met vermelding van de publicatiegegevens ervan.
4. Door de EU-conformiteitsverklaring op te stellen, neemt de fabrikant de verantwoordelijkheid voor de conformiteit van het product met digitale elementen op zich.
5. De Commissie is bevoegd om overeenkomstig artikel 61 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen door elementen toe te voegen aan de minimaal vereiste inhoud van de EU-conformiteitsverklaring in bijlage V om rekening te houden met technologische ontwikkelingen.
Algemene beginselen van de CE-markering
De CE-markering is onderworpen aan de algemene beginselen die zijn vastgesteld in artikel 30 van Verordening (EG) nr. 765/2008.
Regels en voorwaarden voor het aanbrengen van de CE-markering
1. De CE-markering wordt zichtbaar, leesbaar en onuitwisbaar op het product met digitale elementen aangebracht. Wanneer dat gezien de aard van het product met digitale elementen niet mogelijk of gerechtvaardigd is, wordt de markering aangebracht op de verpakking en op de in artikel 28 bedoelde EU-conformiteitsverklaring die het product met digitale elementen vergezelt. Voor producten met digitale elementen in de vorm van software wordt de CE-markering aangebracht hetzij op de in artikel 28 bedoelde EU-conformiteitsverklaring, hetzij op de website die bij het softwareproduct hoort. In het laatste geval is het relevante gedeelte van de website eenvoudig en rechtstreeks toegankelijk voor consumenten.
2. Gezien de aard van het product met digitale elementen mag de hoogte van de CE-markering die op het product met digitale elementen wordt aangebracht, minder dan 5 mm bedragen, mits de markering zichtbaar en leesbaar blijft.
3. De CE-markering wordt aangebracht voordat het product met digitale elementen in de handel wordt gebracht. Zij kan worden gevolgd door een pictogram of een ander merkteken dat wijst op een bijzonder cyberbeveiligingsrisico of gebruik, zoals bepaald in de in lid 6 bedoelde uitvoeringshandelingen.
4. De CE-markering wordt gevolgd door het identificatienummer van de aangemelde instantie, indien die instantie betrokken is bij de in artikel 32 bedoelde conformiteitsbeoordelingsprocedure op basis van volledige kwaliteitsborging (op basis van module H).
Het identificatienummer van de aangemelde instantie wordt aangebracht door die instantie zelf dan wel overeenkomstig haar instructies door de fabrikant of de gemachtigde vertegenwoordiger van de fabrikant.
5. De lidstaten bouwen voort op bestaande mechanismen om de correcte toepassing van de regeling inzake de CE-markering te waarborgen en nemen passende maatregelen in geval van oneigenlijk gebruik van die markering. Indien het product met digitale elementen onderworpen is aan andere harmonisatiewetgeving van de Unie dan deze verordening, die ook voorziet in het aanbrengen van de CE-markering, geeft de CE-markering aan dat het product ook aan de vereisten van dergelijke andere harmonisatiewetgeving van de Unie voldoet.
6. De Commissie kan door middel van uitvoeringshandelingen technische specificaties vaststellen voor etiketten, pictogrammen of andere merktekens die verband houden met de beveiliging van producten met digitale elementen, de ondersteuningsperioden ervan alsook mechanismen om het gebruik ervan te bevorderen en het publieke bewustzijn omtrent de veiligheid van producten met digitale elementen te vergroten. Bij het opstellen van de ontwerpuitvoeringshandelingen raadpleegt de Commissie de relevante belanghebbenden en, indien die reeds is opgericht op grond van artikel 52, lid 15, de ADCO. Die uitvoeringshandelingen worden volgens de in artikel 62, lid 2, bedoelde onderzoeksprocedure vastgesteld.
Technische documentatie
1. De technische documentatie bevat alle relevante gegevens of bijzonderheden over de middelen die de fabrikant gebruikt om ervoor te zorgen dat het product met digitale elementen en de door de fabrikant ingestelde processen aan de essentiële cyberbeveiligingsvereisten van bijlage I voldoen. De technische documentatie bevat ten minste de in bijlage VII vermelde elementen.
2. De technische documentatie wordt opgesteld voordat het product met digitale elementen in de handel wordt gebracht en wordt indien passend voortdurend bijgewerkt, in ieder geval tijdens de ondersteuningsperiode.
3. Voor producten met digitale elementen als bedoeld in artikel 12, die ook onder andere rechtshandelingen van de Unie vallen die in technische documentatie voorzien, wordt één set van technische documentatie opgesteld die de in bijlage VII bedoelde informatie en de bij die rechtshandelingen van de Unie vereiste informatie bevat.
4. De technische documentatie en de correspondentie met betrekking tot een conformiteitsbeoordelingsprocedure worden gesteld in een officiële taal van de lidstaat waar de aangemelde instantie is gevestigd of in een voor die instantie aanvaardbare taal.
5. De Commissie is bevoegd om overeenkomstig artikel 61 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen door elementen toe te voegen die moeten worden opgenomen in de in bijlage VII vermelde technische documentatie, teneinde rekening te houden met technologische ontwikkelingen en ontwikkelingen die zich tijdens het uitvoeringsproces van deze verordening voordoen. Daartoe streeft de Commissie ernaar ervoor te zorgen dat de administratieve lasten voor micro-ondernemingen en kleine en middelgrote ondernemingen evenredig zijn.
Conformiteitsbeoordelingsprocedures voor producten met digitale elementen
1. De fabrikant voert een conformiteitsbeoordeling uit van het product met digitale elementen en van de processen die de fabrikant heeft ingesteld, om te bepalen of aan de essentiële cyberbeveiligingsvereisten van bijlage I is voldaan. De fabrikant toont de conformiteit met de essentiële cyberbeveiligingsvereisten aan de hand van een van de volgende procedures aan:
de procedure voor interne controle (op basis van module A) zoals beschreven in bijlage VIII;
de procedure voor EU-typeonderzoek (op basis van module B) zoals beschreven in bijlage VIII, gevolgd door conformiteit met het EU-type op basis van interne productiecontrole (op basis van module C) zoals beschreven in bijlage VIII;
een conformiteitsbeoordeling op basis van volledige kwaliteitsborging (op basis van module H) zoals beschreven in bijlage VIII, of
indien beschikbaar en van toepassing, een Europese cyberbeveiligingscertificeringsregeling op grond van artikel 27, lid 9.
2. Wanneer de fabrikant bij de beoordeling van de conformiteit van een belangrijk product met digitale elementen dat valt onder klasse I zoals vastgesteld in bijlage III en van de door de fabrikant ingestelde processen met de essentiële cyberbeveiligingsvereisten van bijlage I, geen geharmoniseerde normen, gemeenschappelijke specificaties of Europese cyberbeveiligingscertificeringsregelingen op ten minste zekerheidsniveau “substantieel” als bedoeld in artikel 27 heeft toegepast of slechts gedeeltelijk heeft toegepast, of indien dergelijke geharmoniseerde normen, gemeenschappelijke specificaties of Europese cyberbeveiligingscertificeringsregelingen niet bestaan, worden het betrokken product met digitale elementen en de door de fabrikant ingestelde processen met betrekking tot die essentiële cyberbeveiligingsvereisten aan een van de volgende procedures onderworpen:
de procedure voor EU-typeonderzoek (op basis van module B) zoals beschreven in bijlage VIII, gevolgd door conformiteit met het EU-type op basis van interne productiecontrole (op basis van module C) zoals beschreven in bijlage VIII, of
een conformiteitsbeoordeling op basis van volledige kwaliteitsborging (op basis van module H) zoals beschreven in bijlage VIII.
3. Indien het product een belangrijk product met digitale elementen is dat valt onder klasse II zoals beschreven in bijlage III, toont de fabrikant de conformiteit met de essentiële cyberbeveiligingsvereisten van bijlage I aan door middel van een van de volgende procedures:
de procedure voor EU-typeonderzoek (op basis van module B) zoals beschreven in bijlage VIII, gevolgd door conformiteit met het EU-type op basis van interne productiecontrole (op basis van module C) zoals beschreven in bijlage VIII;
een conformiteitsbeoordeling op basis van volledige kwaliteitsborging (op basis van module H) zoals beschreven in bijlage VIII, of
indien beschikbaar en van toepassing, een Europese cyberbeveiligingscertificeringsregeling op grond van artikel 27, lid 9, van deze verordening op ten minste zekerheidsniveau “substantieel” op grond van Verordening (EU) 2019/881.
4. Voor kritieke producten met digitale elementen die zijn opgenomen in bijlage IV, wordt de conformiteit met de essentiële cyberbeveiligingsvereisten van bijlage I aangetoond door middel van een van de volgende procedures:
een Europese cyberbeveiligingscertificeringsregeling overeenkomstig artikel 8, lid 1, of
indien niet aan de voorwaarden van artikel 8, lid 1, is voldaan, een van de in lid 3 van dit artikel bedoelde procedures.
5. Fabrikanten van producten met digitale elementen die als vrije en opensourcesoftware worden aangemerkt en die onder de categorieën van bijlage III vallen, kunnen aantonen dat zij aan de essentiële cyberbeveiligingsvereisten van bijlage I voldoen door middel van een van de in lid 1 van dit artikel bedoelde procedures, op voorwaarde dat de in artikel 31 bedoelde technische documentatie ter beschikking van het publiek wordt gesteld op het moment dat die producten in de handel worden gebracht.
6. Bij het vaststellen van de vergoedingen voor conformiteitsbeoordelingsprocedures wordt rekening gehouden met de specifieke belangen en behoeften van micro-ondernemingen en kleine en middelgrote ondernemingen, met inbegrip van start-ups, en die vergoedingen worden verlaagd in verhouding tot hun specifieke belangen en behoeften.
Steunmaatregelen voor micro-ondernemingen en kleine en middelgrote ondernemingen, met inbegrip van start-ups
1. De lidstaten ondernemen, waar passend, de volgende acties die zijn afgestemd op de behoeften van micro-ondernemingen en kleine ondernemingen:
specifieke bewustmakings- en opleidingsactiviteiten over de toepassing van deze verordening organiseren;
een specifiek kanaal opzetten voor communicatie met micro-ondernemingen en kleine ondernemingen en, voor zover passend, lokale overheden om advies te verstrekken en vragen over de uitvoering van deze verordening te beantwoorden;
ondersteunen van test- en conformiteitsbeoordelingsactiviteiten, voor zover relevant onder meer met de steun van het Europees kenniscentrum voor cyberbeveiliging.
2. De lidstaten kunnen, indien passend, testomgevingen voor regelgeving inzake cyberweerbaarheid opzetten. Dergelijke testomgevingen voor regelgeving voorzien in gecontroleerde testomgevingen voor innovatieve producten met digitale elementen om de ontwikkeling, het ontwerp, de validering en het testen ervan te vergemakkelijken met het oog op de naleving van deze verordening gedurende een beperkte periode voordat zij in de handel worden gebracht. De Commissie en, voor zover passend, Enisa kunnen technische ondersteuning, advies en instrumenten verlenen voor de oprichting en werking van testomgevingen voor regelgeving. De testomgevingen voor regelgeving worden opgezet onder direct toezicht en met directe begeleiding en ondersteuning van de markttoezichtautoriteiten. De lidstaten stellen de Commissie en de andere markttoezichtautoriteiten via de ADCO in kennis van de oprichting van een testomgeving voor regelgeving. De testomgevingen voor regelgeving laten de toezichthoudende en corrigerende bevoegdheden van de bevoegde autoriteiten onverlet. De lidstaten zorgen voor open, eerlijke en transparante toegang tot testomgevingen voor regelgeving, en vergemakkelijken met name de toegang voor micro-ondernemingen en kleine ondernemingen, met inbegrip van start-ups.
3. Overeenkomstig artikel 26 verstrekt de Commissie richtsnoeren voor micro-ondernemingen en kleine en middelgrote ondernemingen met betrekking tot de uitvoering van deze verordening.
4. De Commissie maakt de beschikbare financiële steun in het regelgevingskader van bestaande programma’s van de Unie bekend, met name om de financiële lasten voor micro-ondernemingen en kleine ondernemingen te verlichten.
5. Micro-ondernemingen en kleine ondernemingen kunnen alle elementen van de in bijlage VII gespecificeerde technische documentatie in vereenvoudigde vorm verstrekken. Daartoe specificeert de Commissie door middel van uitvoeringshandelingen het vereenvoudigde formulier voor technische documentatie dat gericht is op de behoeften van micro-ondernemingen en kleine ondernemingen, met inbegrip van de wijze waarop de in bijlage VII vermelde elementen moeten worden verstrekt. Wanneer een micro-onderneming of kleine onderneming ervoor kiest de in bijlage VII vermelde informatie op vereenvoudigde wijze te verstrekken, gebruikt zij het in dit lid bedoelde formulier. Aangemelde instanties aanvaarden dat formulier ten behoeve van de conformiteitsbeoordeling.
Die uitvoeringshandelingen worden volgens de in artikel 62, lid 2, bedoelde onderzoeksprocedure vastgesteld.
Overeenkomsten inzake wederzijdse erkenning
Rekening houdend met het niveau van technische ontwikkeling en de aanpak van de conformiteitsbeoordeling van een derde land, kan de Unie overeenkomstig artikel 218 VWEU overeenkomsten inzake wederzijdse erkenning met derde landen sluiten om de internationale handel te bevorderen en te vergemakkelijken.
AANMELDING VAN CONFORMITEITSBEOORDELINGSINSTANTIES
Aanmelding
1. De lidstaten doen aan de Commissie en aan de andere lidstaten melding van de instanties die bevoegd zijn om conformiteitsbeoordelingen overeenkomstig deze verordening te verrichten.
2. De lidstaten streven ernaar ervoor te zorgen dat er uiterlijk op 11 december 2026 een voldoende aantal aangemelde instanties in de Unie is om conformiteitsbeoordelingen uit te voeren, teneinde knelpunten en belemmeringen voor toegang tot de markt te voorkomen.
Aanmeldende autoriteiten
1. Elke lidstaat wijst een aanmeldende autoriteit aan die verantwoordelijk is voor de opstelling en uitvoering van de nodige procedures voor de beoordeling, aanwijzing en aanmelding van conformiteitsbeoordelingsinstanties en de monitoring daarvan, met inbegrip van de naleving van artikel 41.
2. De lidstaten kunnen de beoordeling en de monitoring als bedoeld in lid 1 laten uitvoeren door een nationale accreditatie-instantie in de zin van en overeenkomstig Verordening (EG) nr. 765/2008.
3. Indien de aanmeldende autoriteit de beoordeling, de aanmelding of de monitoring zoals bedoeld in lid 1 van dit artikel delegeert of op een andere wijze toevertrouwt aan een instantie die geen overheidsinstantie is, is die instantie een rechtspersoon en voldoet zij mutatis mutandis aan artikel 37. Bovendien treft die instantie regelingen om de aansprakelijkheid voor haar activiteiten te dekken.
4. De aanmeldende autoriteit is volledig aansprakelijk voor de taken die de in lid 3 vermelde instantie verricht.
Vereisten met betrekking tot aanmeldende autoriteiten
1. Een aanmeldende autoriteit is zodanig opgericht dat zich geen belangenconflicten met conformiteitsbeoordelingsinstanties voordoen.
2. Een aanmeldende autoriteit is zodanig georganiseerd en functioneert zodanig dat de objectiviteit en onpartijdigheid van haar activiteiten gewaarborgd zijn.
3. Een aanmeldende autoriteit is zodanig georganiseerd dat elk besluit in verband met de aanmelding van een conformiteitsbeoordelingsinstantie wordt genomen door bekwame personen die niet de beoordeling hebben verricht.
4. Een aanmeldende autoriteit verricht geen activiteiten die worden uitgevoerd door conformiteitsbeoordelingsinstanties en verleent geen adviesdiensten op commerciële of concurrende basis.
5. Een aanmeldende autoriteit waarborgt dat de verkregen informatie vertrouwelijk wordt behandeld.
6. Een aanmeldende autoriteit beschikt over een voldoende aantal bekwame personeelsleden om haar taken naar behoren uit te voeren.
Informatieverplichting voor aanmeldende autoriteiten
1. De lidstaten brengen de Commissie op de hoogte van hun procedures voor de beoordeling en aanmelding van conformiteitsbeoordelingsinstanties en voor de monitoring van aangemelde instanties, en van alle wijzigingen daarin.
2. De Commissie maakt de in lid 1 bedoelde informatie openbaar.
Vereisten met betrekking tot aangemelde instanties
1. Om te kunnen worden aangemeld, voldoen conformiteitsbeoordelingsinstanties aan de vereisten van de leden 2 tot en met 12.
2. Een conformiteitsbeoordelingsinstantie is naar nationaal recht opgericht en heeft rechtspersoonlijkheid.
3. Een conformiteitsbeoordelingsinstantie is een derde partij die onafhankelijk is van de door haar beoordeelde organisaties of producten met digitale elementen.
Een instantie die lid is van een ondernemersorganisatie of van een beroepsvereniging die ondernemingen vertegenwoordigt die betrokken zijn bij het ontwerp, de ontwikkeling, de productie, de levering, de assemblage, het gebruik of het onderhoud van producten met digitale elementen die zij beoordeelt, kan als een dergelijke derde partij worden beschouwd, op voorwaarde dat haar onafhankelijkheid en de afwezigheid van belangenconflicten worden aangetoond.
4. Een conformiteitsbeoordelingsinstantie, haar hoogste leidinggevenden en het personeel dat de conformiteitsbeoordelingstaken verricht, zijn niet de ontwerper, ontwikkelaar, fabrikant, leverancier, importeur, distributeur, installateur, koper, eigenaar, gebruiker of onderhouder van de door hen beoordeelde producten met digitale elementen, noch de gemachtigde vertegenwoordiger van één van die partijen. Dat vormt echter geen beletsel voor het gebruik van beoordeelde producten die nodig zijn voor de activiteiten van de conformiteitsbeoordelingsinstantie of voor het gebruik van dergelijke producten voor persoonlijke doeleinden.
Een conformiteitsbeoordelingsinstantie, haar hoogste leidinggevenden en het personeel dat de conformiteitsbeoordelingstaken verricht, zijn niet rechtstreeks of als vertegenwoordiger van de betrokken partijen betrokken bij het ontwerpen, ontwikkelen, vervaardigen, importeren, distribueren, verhandelen, installeren, gebruiken of onderhouden van de door hen beoordeelde producten met digitale elementen. Zij voeren geen activiteiten uit die hun onafhankelijk oordeel of hun integriteit met betrekking tot de conformiteitsbeoordelingsactiviteiten waarvoor zij zijn aangemeld, in het gedrang kunnen brengen. Dat geldt met name voor adviesdiensten.
Conformiteitsbeoordelingsinstanties zorgen ervoor dat de activiteiten van hun dochterondernemingen of onderaannemers geen afbreuk doen aan de vertrouwelijkheid, objectiviteit of onpartijdigheid van hun conformiteitsbeoordelingsactiviteiten.
5. Conformiteitsbeoordelingsinstanties en hun personeel voeren de conformiteitsbeoordelingsactiviteiten uit met de hoogste mate van professionele integriteit en met de vereiste technische bekwaamheid op het specifieke gebied, zonder druk of aansporing, met name van financiële aard, die hun oordeel of de resultaten van hun conformiteitsbeoordelingsactiviteiten kunnen beïnvloeden, met name van personen of groepen van personen die belang hebben bij de resultaten van die activiteiten.
6. Een conformiteitsbeoordelingsinstantie is in staat alle in bijlage VIII bedoelde conformiteitsbeoordelingstaken te verrichten waarvoor zij is aangemeld, ongeacht of die taken door de conformiteitsbeoordelingsinstantie zelf dan wel namens haar en onder haar verantwoordelijkheid worden verricht.
Een conformiteitsbeoordelingsinstantie beschikt te allen tijde, voor elke conformiteitsbeoordelingsprocedure en voor elke soort of elke categorie producten met digitale elementen waarvoor zij is aangemeld, over:
het nodige personeel met technische kennis en voldoende passende ervaring om de conformiteitsbeoordelingstaken te verrichten;
de nodige beschrijvingen van de procedures voor de uitvoering van de conformiteitsbeoordeling, waarbij de transparantie en de mogelijkheid tot reproductie van die procedures worden gewaarborgd. Zij beschikt over een gepast beleid en geschikte procedures om een onderscheid te maken tussen taken die zij als aangemelde instantie verricht en andere activiteiten;
de nodige procedures voor de uitoefening van haar activiteiten die naar behoren rekening houden met de omvang van een onderneming, de sector waarin die actief is, haar structuur, de mate van complexiteit van de producttechnologie in kwestie en het massa- of seriële karakter van het productieproces.
Een conformiteitsbeoordelingsinstantie beschikt over de middelen die nodig zijn om de technische en administratieve taken in verband met de conformiteitsbeoordelingsactiviteiten op passende wijze uit te voeren en heeft toegang tot alle vereiste apparatuur en faciliteiten.
7. Het voor de uitvoering van de conformiteitsbeoordelingsactiviteiten verantwoordelijke personeel beschikt over:
een gedegen technische en beroepsopleiding die alle conformiteitsbeoordelingsactiviteiten omvat waarvoor de conformiteitsbeoordelingsinstantie is aangemeld;
toereikende kennis van de vereisten inzake de beoordelingen die het verricht en voldoende bevoegdheden om die beoordelingen uit te voeren;
voldoende kennis van en inzicht in de essentiële cyberbeveiligingsvereisten van bijlage I, de toepasselijke geharmoniseerde normen en gemeenschappelijke specificaties, en de relevante bepalingen van harmonisatiewetgeving van de Unie en uitvoeringshandelingen;
de bekwaamheid om certificaten, dossiers en rapporten op te stellen die aantonen dat de beoordelingen zijn verricht.
8. De onpartijdigheid van de conformiteitsbeoordelingsinstanties, hun hoogste leidinggevenden en het beoordelingspersoneel wordt gewaarborgd.
De beloning van de hoogste leidinggevenden en het beoordelingspersoneel van een conformiteitsbeoordelingsinstantie hangt niet af van het aantal uitgevoerde beoordelingen of van de resultaten daarvan.
9. Conformiteitsbeoordelingsinstanties sluiten een aansprakelijkheidsverzekering af, tenzij de wettelijke aansprakelijkheid op basis van het nationale recht door hun lidstaat wordt gedekt of de lidstaat zelf rechtstreeks verantwoordelijk is voor de conformiteitsbeoordeling.
10. Het personeel van een conformiteitsbeoordelingsinstantie is gebonden aan het beroepsgeheim ten aanzien van alle informatie waarvan het kennisneemt bij de uitoefening van haar taken uit hoofde van bijlage VIII of van een bepaling van nationaal recht die daaraan uitvoering geven, behalve ten opzichte van de markttoezichtautoriteiten van de lidstaat waar de activiteiten plaatsvinden. De eigendomsrechten worden beschermd. De conformiteitsbeoordelingsinstantie beschikt over gedocumenteerde procedures om de naleving van dit lid te waarborgen.
11. Conformiteitsbeoordelingsinstanties nemen deel aan, of zorgen ervoor dat hun beoordelingspersoneel op de hoogte is van, de desbetreffende normalisatieactiviteiten en de activiteiten van de coördinatiegroep van aangemelde instanties die is opgericht uit hoofde van artikel 51, en hanteren de door die groep genomen administratieve beslissingen en geproduceerde documenten als algemene richtsnoeren.
12. Conformiteitsbeoordelingsinstanties handelen overeenkomstig een reeks consistente, billijke, evenredige en redelijke voorwaarden, waarbij voorkomen wordt de marktdeelnemers onnodig te belasten, en met name rekening wordt gehouden met de belangen van micro-ondernemingen en kleine en middelgrote ondernemingen met betrekking tot vergoedingen.
Vermoeden van conformiteit van aangemelde instanties
Wanneer een conformiteitsbeoordelingsinstantie aantoont dat zij voldoet aan de criteria in de ter zake doende geharmoniseerde normen of delen ervan, waarvan de referenties in het Publicatieblad van de Europese Unie zijn bekendgemaakt, wordt zij geacht aan de vereisten van artikel 39 te voldoen, voor zover die vereisten door de van toepassing zijnde geharmoniseerde normen worden bestreken.
Dochterondernemingen van en uitbesteding door aangemelde instanties
1. Wanneer een aangemelde instantie specifieke taken in verband met de conformiteitsbeoordeling uitbesteedt of door een dochteronderneming laat uitvoeren, waarborgt zij dat de onderaannemer of dochteronderneming aan de vereisten van artikel 39 voldoet, en brengt zij de aanmeldende autoriteit daarvan op de hoogte.
2. Aangemelde instanties nemen de volledige verantwoordelijkheid op zich voor de taken die worden verricht door onderaannemers of dochterondernemingen, ongeacht waar zij gevestigd zijn.
3. Activiteiten mogen uitsluitend met instemming van de fabrikant worden uitbesteed of door een dochteronderneming worden uitgevoerd.
4. Aangemelde instanties houden de relevante documenten over de beoordeling van de kwalificaties van de onderaannemer of de dochteronderneming en over de door de onderaannemer of dochteronderneming krachtens deze verordening uitgevoerde werkzaamheden ter beschikking van de aanmeldende autoriteit.
Verzoek om aanmelding
1. Een conformiteitsbeoordelingsinstantie dient een verzoek om aanmelding in bij de aanmeldende autoriteit van de lidstaat waar zij is gevestigd.
2. Het verzoek gaat vergezeld van een beschrijving van de conformiteitsbeoordelingsactiviteiten, de conformiteitsbeoordelingsprocedure(s) en het product of de producten met digitale elementen waarvoor de instantie verklaart bekwaam te zijn, alsook, in voorkomend geval, van een accreditatiecertificaat dat is afgegeven door een nationale accreditatie-instantie, waarin wordt verklaard dat de conformiteitsbeoordelingsinstantie voldoet aan de vereisten van artikel 39.
3. Wanneer de betrokken conformiteitsbeoordelingsinstantie geen accreditatiecertificaat kan overleggen, verschaft zij de aanmeldende autoriteit alle bewijsstukken die nodig zijn om haar conformiteit met de vereisten van artikel 39 te verifiëren en te erkennen en die geregeld te monitoren.
Aanmeldingsprocedure
1. Aanmeldende autoriteiten melden uitsluitend conformiteitsbeoordelingsinstanties aan die aan de vereisten van artikel 39 hebben voldaan.
2. De aanmeldende autoriteit verricht de aanmelding bij de Commissie en de andere lidstaten door middel van het door de Commissie ontwikkelde en beheerde informatiesysteem (New Approach Notified and Designated Organisations).
3. Bij de aanmelding worden de conformiteitsbeoordelingsactiviteiten, de conformiteitsbeoordelingsmodule(s), het product of de producten met digitale elementen en het relevante bekwaamheidsattest uitvoerig beschreven.
4. Wanneer een aanmelding niet gebaseerd is op een accreditatiecertificaat als bedoeld in artikel 42, lid 2, verschaft de aanmeldende autoriteit de Commissie en de andere lidstaten de bewijsstukken waaruit de bekwaamheid van de conformiteitsbeoordelingsinstantie blijkt, evenals de regeling die waarborgt dat de instantie regelmatig wordt gemonitord en zal blijven voldoen aan de vereisten van artikel 39.
5. De betrokken instantie mag de activiteiten van een aangemelde instantie alleen verrichten als de Commissie of de andere lidstaten geen bezwaren hebben ingediend binnen twee weken na een aanmelding indien een accreditatiecertificaat wordt gebruikt of binnen twee maanden na een aanmelding indien geen accreditatiecertificaat wordt gebruikt.
Alleen een dergelijke instantie wordt voor de toepassing van deze verordening als aangemelde instantie beschouwd.
6. Aan de Commissie en aan de andere lidstaten wordt melding gedaan van alle relevante latere wijzigingen in de aanmelding.
Identificatienummers en lijsten van aangemelde instanties
1. De Commissie kent aan een aangemelde instantie een identificatienummer toe.
Zij kent per instantie slechts één nummer toe, ook als de instantie uit hoofde van diverse rechtshandelingen van de Unie is aangemeld.
2. De Commissie maakt de lijst van krachtens deze verordening aangemelde instanties openbaar, onder vermelding van de hun toegekende identificatienummers en de activiteiten waarvoor zij zijn aangemeld.
De Commissie zorgt voor de bijwerking van die lijst.
Wijzigingen van aanmeldingen
1. Wanneer een aanmeldende autoriteit heeft geconstateerd of vernomen dat een aangemelde instantie niet meer aan de vereisten van artikel 39 voldoet of haar verplichtingen niet nakomt, wordt de aanmelding door de aanmeldende autoriteit naargelang van het geval beperkt, geschorst of ingetrokken, afhankelijk van de ernst van het niet-voldoen aan die vereisten of het niet-nakomen van die verplichtingen. Zij brengt de Commissie en de andere lidstaten daarvan onmiddellijk op de hoogte.
2. Wanneer de aanmelding wordt beperkt, geschorst of ingetrokken, of de aangemelde instantie haar activiteiten heeft gestaakt, doet de aanmeldende lidstaat het nodige om ervoor te zorgen dat de dossiers van die instantie hetzij door een andere aangemelde instantie worden behandeld, hetzij aan de verantwoordelijke aanmeldende autoriteiten en markttoezichtautoriteiten op hun verzoek ter beschikking kunnen worden gesteld.
Betwisting van de bekwaamheid van aangemelde instanties
1. De Commissie onderzoekt alle gevallen waarin zij twijfelt of in kennis wordt gesteld van twijfels over de bekwaamheid van een aangemelde instantie om aan de vereisten te voldoen en haar verantwoordelijkheden na te komen, of over de vraag of een aangemelde instantie nog aan de vereisten voldoet en haar verantwoordelijkheden nakomt.
2. De aanmeldende lidstaat verstrekt de Commissie op verzoek alle informatie over de grondslag van de aanmelding of het op peil houden van de bekwaamheid van de betrokken instantie.
3. Alle gevoelige informatie die de Commissie in het kader van haar onderzoek ontvangt, wordt door haar vertrouwelijk behandeld.
4. Wanneer de Commissie vaststelt dat een aangemelde instantie niet of niet meer aan de aanmeldingsvereisten voldoet, brengt zij de aanmeldende lidstaat daarvan op de hoogte en verzoekt zij die lidstaat de nodige corrigerende maatregelen te nemen en zo nodig de aanmelding in te trekken.
Operationele verplichtingen van aangemelde instanties
1. Aangemelde instanties voeren conformiteitsbeoordelingen uit volgens de conformiteitsbeoordelingsprocedures van artikel 32 en bijlage VIII.
2. De conformiteitsbeoordelingen worden op evenredige wijze uitgevoerd, waarbij voorkomen wordt de marktdeelnemers onnodig te belasten. Conformiteitsbeoordelingsinstanties houden bij de uitoefening van hun activiteiten naar behoren rekening met de omvang van ondernemingen, met name met betrekking tot micro-ondernemingen en kleine en middelgrote ondernemingen, de sector waarin zij actief zijn, hun structuur, hun relatieve complexiteit en het cyberbeveiligingsrisico van de producten met digitale elementen en de technologie in kwestie en het massa- of seriële karakter van het productieproces.
3. Aangemelde instanties eerbiedigen echter de striktheid en het beschermingsniveau die nodig zijn opdat producten met digitale elementen aan deze verordening voldoen.
4. Wanneer een aangemelde instantie vaststelt dat een fabrikant niet heeft voldaan aan de vereisten van bijlage I of in de overeenkomstige in artikel 27 bedoelde geharmoniseerde normen of gemeenschappelijke specificaties, vereist zij van die fabrikant dat hij passende corrigerende maatregelen neemt en verleent zij geen conformiteitscertificaat.
5. Wanneer een aangemelde instantie bij de monitoring van de conformiteit na verlening van een certificaat vaststelt dat een product met digitale elementen niet langer aan de vereisten van deze verordening voldoet, vereist zij van de fabrikant dat hij passende corrigerende maatregelen neemt; zo nodig schorst zij het certificaat of trekt dat in.
6. Wanneer geen corrigerende maatregelen worden genomen of de genomen maatregelen niet het vereiste effect hebben, worden de certificaten door de aangemelde instantie naargelang van het geval beperkt, geschorst of ingetrokken.
Beroep tegen besluiten van aangemelde instanties
De lidstaten voorzien in een beroepsprocedure tegen besluiten van de aangemelde instanties.
Informatieplicht voor aangemelde instanties
1. Aangemelde instanties brengen de aanmeldende autoriteit op de hoogte van:
elke weigering, beperking, schorsing of intrekking van een certificaat;
omstandigheden die van invloed zijn op de werkingssfeer van en de voorwaarden voor aanmelding;
informatieverzoeken over conformiteitsbeoordelingsactiviteiten die zij van markttoezichtautoriteiten ontvangen;
op verzoek, de binnen de werkingssfeer van hun aanmelding verrichte conformiteitsbeoordelingsactiviteiten en andere activiteiten, waaronder grensoverschrijdende activiteiten en onderaanneming.
2. Aangemelde instanties verstrekken de andere uit hoofde van deze verordening aangemelde instanties die soortgelijke conformiteitsbeoordelingsactiviteiten voor dezelfde producten met digitale elementen verrichten, relevante informatie over negatieve conformiteitsbeoordelingsresultaten, en op verzoek ook over positieve conformiteitsbeoordelingsresultaten.
Uitwisseling van ervaringen
De Commissie voorziet in de organisatie van de uitwisseling van ervaringen tussen de nationale autoriteiten van de lidstaten die verantwoordelijk zijn voor het aanmeldingsbeleid.
Coördinatie van aangemelde instanties
1. De Commissie zorgt voor passende coördinatie en samenwerking tussen aangemelde instanties in de vorm van een sectoroverschrijdende groep van aangemelde instanties.
2. De lidstaten zorgen ervoor dat de door hen aangemelde instanties rechtstreeks of via aangestelde vertegenwoordigers aan de werkzaamheden van die groep deelnemen.
MARKTTOEZICHT EN HANDHAVING
Markttoezicht op en controle van producten met digitale elementen op de markt van de Unie
1. Verordening (EU) 2019/1020 is van toepassing op producten met digitale elementen die binnen het toepassingsgebied van deze verordening vallen.
2. Elke lidstaat wijst een of meer markttoezichtautoriteiten aan om de doeltreffende uitvoering van deze verordening te waarborgen. De lidstaten kunnen een bestaande of nieuwe autoriteit aanwijzen om voor deze verordening als markttoezichtautoriteit op te treden.
3. De krachtens lid 2 van dit artikel aangewezen markttoezichtautoriteiten zijn ook verantwoordelijk voor het uitvoeren van markttoezichtactiviteiten met betrekking tot de in artikel 24 vastgestelde verplichtingen voor opensourcesoftwarestewards. Wanneer een markttoezichtautoriteit vaststelt dat een opensourcesoftwaresteward niet voldoet aan de verplichtingen van dat artikel, vereist zij van de opensourcesoftwaresteward dat hij ervoor zorgt dat alle passende corrigerende maatregelen worden genomen. Opensourcesoftwarestewards zorgen ervoor dat alle passende corrigerende maatregelen worden genomen met betrekking tot hun verplichtingen uit hoofde van deze verordening.
4. Voor zover relevant werken de markttoezichtautoriteiten samen met de op grond van artikel 58 van Verordening (EU) 2019/881 aangewezen cyberbeveiligingscertificeringsautoriteiten en wisselen zij regelmatig informatie uit. Met betrekking tot het toezicht op de uitvoering van de rapportageverplichtingen op grond van artikel 14 van deze verordening werken de aangewezen markttoezichtautoriteiten samen en wisselen zij regelmatig informatie uit met de als coördinatoren aangewezen CSIRT’s en Enisa.
5. De markttoezichtautoriteiten kunnen een als coördinator aangewezen CSIRT of Enisa verzoeken om technisch advies te verstrekken over aangelegenheden die verband houden met de uitvoering en handhaving van deze verordening. Bij het uitvoeren van een onderzoek uit hoofde van artikel 54 kunnen de markttoezichtautoriteiten het als coördinator aangewezen CSIRT of Enisa verzoeken een analyse te verstrekken ter ondersteuning van de evaluaties van de conformiteit van producten met digitale elementen.
6. Voor zover relevant werken de markttoezichtautoriteiten samen met andere markttoezichtautoriteiten die op basis van andere harmonisatiewetgeving van de Unie dan deze verordening zijn aangewezen, en wisselen zij regelmatig informatie uit.
7. De markttoezichtautoriteiten werken voor zover passend samen met de autoriteiten die toezicht houden op het gegevensbeschermingsrecht van de Unie. Die samenwerking omvat het informeren van die autoriteiten over bevindingen die relevant zijn voor de uitoefening van hun bevoegdheden, onder meer bij het verstrekken van richtsnoeren en advies op grond van lid 10, indien die richtsnoeren en adviezen betrekking hebben op de verwerking van persoonsgegevens.
De autoriteiten die toezicht houden op het gegevensbeschermingsrecht van de Unie hebben de bevoegdheid om alle krachtens deze verordening gecreëerde of bewaarde documentatie op te vragen en in te zien wanneer toegang tot die documentatie noodzakelijk is voor de uitvoering van hun taken. Zij stellen de aangewezen markttoezichtautoriteiten van de betrokken lidstaat in kennis van een dergelijk verzoek.
8. De lidstaten zorgen ervoor dat de aangewezen markttoezichtautoriteiten beschikken over voldoende financiële en technische middelen, indien passend met inbegrip van instrumenten voor geautomatiseerde verwerking, alsook over personele middelen met de nodige vaardigheden op het gebied van cyberbeveiliging om hun taken uit hoofde van deze verordening uit te voeren.
9. De Commissie bevordert en faciliteert de uitwisseling van ervaringen tussen de aangewezen markttoezichtautoriteiten.
10. De markttoezichtautoriteiten kunnen marktdeelnemers richtsnoeren en advies verstrekken over de uitvoering van deze verordening, met de steun van de Commissie en, indien passend, de CSIRT’s en Enisa.
11. De markttoezichtautoriteiten informeren consumenten, overeenkomstig artikel 11 van Verordening (EU) 2019/1020, over waar zij klachten kunnen indienen die kunnen wijzen op niet-naleving van deze verordening, en verstrekken consumenten informatie over waar en hoe toegang kan worden verkregen tot mechanismen om de melding van kwetsbaarheden, incidenten en cyberdreigingen die gevolgen kunnen hebben voor producten met digitale elementen, te vergemakkelijken.
12. De markttoezichtautoriteiten bevorderen voor zover relevant de samenwerking met relevante belanghebbenden, met inbegrip van wetenschappelijke, onderzoeks- en consumentenorganisaties.
13. De markttoezichtautoriteiten brengen jaarlijks verslag uit aan de Commissie over de resultaten van relevante markttoezichtactiviteiten. De aangewezen markttoezichtautoriteiten brengen onverwijld verslag uit aan de Commissie en betrokken nationale mededingingsautoriteiten over alle tijdens markttoezichtactiviteiten verkregen informatie die potentieel van belang kan zijn voor de toepassing van het mededingingsrecht van de Unie.
14. Voor producten met digitale elementen die binnen het toepassingsgebied van deze verordening vallen en op grond van artikel 6 van Verordening (EU) 2024/1689 als AI-systemen met een hoog risico worden aangemerkt, zijn de voor de toepassing van die verordening aangewezen markttoezichtautoriteiten de autoriteiten die belast zijn met het markttoezicht uit hoofde van deze verordening. De op grond van Verordening (EU) 2024/1689 aangewezen markttoezichtautoriteiten werken voor zover passend samen met de op grond van deze verordening aangewezen markttoezichtautoriteiten en, met betrekking tot het toezicht op de uitvoering van de rapportageverplichtingen uit hoofde van artikel 14 van deze verordening, met de als coördinatoren aangewezen CSIRT’s en Enisa. De op grond van Verordening (EU) 2024/1689 aangewezen markttoezichtautoriteiten stellen met name de op grond van deze verordening aangewezen markttoezichtautoriteiten in kennis van alle bevindingen die relevant zijn voor hun taken in verband met de uitvoering van deze verordening.
15. Voor de uniforme toepassing van deze verordening wordt op grond van artikel 30, lid 2, van Verordening (EU) 2019/1020 de ADCO opgericht. De ADCO bestaat uit vertegenwoordigers van de aangewezen markttoezichtautoriteiten en, indien relevant, vertegenwoordigers van verbindingsbureaus. De ADCO behandelt ook specifieke kwesties in verband met de markttoezichtactiviteiten met betrekking tot de verplichtingen voor opensourcesoftwarestewards.
16. De markttoezichtautoriteiten monitoren hoe fabrikanten de in artikel 13, lid 8, bedoelde criteria hebben toegepast bij het bepalen van de ondersteuningsperioden voor hun producten met digitale elementen.
De ADCO publiceert in een openbaar toegankelijke en gebruiksvriendelijke vorm relevante statistieken over categorieën producten met digitale elementen, met inbegrip van gemiddelde ondersteuningsperioden, zoals bepaald door de fabrikant op grond van artikel 13, lid 8, en verstrekt richtsnoeren met indicatieve ondersteuningsperioden voor categorieën producten met digitale elementen.
Wanneer uit de gegevens blijkt dat de ondersteuningsperioden voor specifieke categorieën producten met digitale elementen ontoereikend zijn, kan de ADCO de markttoezichtautoriteiten aanbevelingen doen om hun activiteiten te richten op dergelijke categorieën producten met digitale elementen.
Toegang tot gegevens en documentatie
Indien dat nodig is om de conformiteit van producten met digitale elementen en de door de fabrikanten ervan ingestelde processen met de essentiële cyberbeveiligingsvereisten van bijlage I te beoordelen, krijgen de markttoezichtautoriteiten, op een met redenen omkleed verzoek, in een voor hen gemakkelijk te begrijpen taal toegang tot de gegevens die nodig zijn om het ontwerp, de ontwikkeling, de productie en de respons op kwetsbaarheden van dergelijke producten te beoordelen, met inbegrip van de daarmee verband houdende interne documentatie van de desbetreffende marktdeelnemer.
Procedure op nationaal niveau voor producten met digitale elementen die een significant cyberbeveiligingsrisico inhouden
1. Indien de markttoezichtautoriteit van een lidstaat voldoende redenen heeft om aan te nemen dat een product met digitale elementen, met inbegrip van de respons op de kwetsbaarheden ervan, een significant cyberbeveiligingsrisico inhoudt, evalueert zij, zonder onnodige vertraging en, indien passend, in samenwerking met het desbetreffende CSIRT, of het betrokken product met digitale elementen voldoet aan alle vereisten van deze verordening. De desbetreffende marktdeelnemers werken zo nodig samen met de markttoezichtautoriteit.
Indien de markttoezichtautoriteit bij die evaluatie vaststelt dat het product met digitale elementen niet aan de vereisten van deze verordening voldoet, gelast zij de betrokken marktdeelnemer onverwijld alle passende corrigerende maatregelen te nemen om het product met digitale elementen binnen een door de markttoezichtautoriteit vast te stellen redelijke termijn, die evenredig is met de aard van het cyberbeveiligingsrisico, in overeenstemming te brengen met die vereisten, uit de handel te nemen of terug te roepen.
De markttoezichtautoriteit stelt de betrokken aangemelde instantie daarvan in kennis. Artikel 18 van Verordening (EU) 2019/1020 is van toepassing op de corrigerende maatregelen.
2. Bij het bepalen van de significantie van een cyberbeveiligingsrisico als bedoeld in lid 1 van dit artikel nemen de markttoezichtautoriteiten ook niet-technische risicofactoren in aanmerking, met name die welke zijn vastgesteld als gevolg van overeenkomstig artikel 22 van Richtlijn (EU) 2022/2555 uitgevoerde, op Unieniveau gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens. Indien een markttoezichtautoriteit voldoende redenen heeft om aan te nemen dat een product met digitale elementen in het licht van niet-technische risicofactoren een significant cyberbeveiligingsrisico vormt, stelt zij de bevoegde autoriteiten die zijn aangewezen of opgericht op grond van artikel 8 van Richtlijn (EU) 2022/2555, daarvan op de hoogte en werkt zij zo nodig met die autoriteiten samen.
3. Indien de markttoezichtautoriteit van mening is dat de non-conformiteit niet beperkt blijft tot haar nationale grondgebied, brengt zij de Commissie en de andere lidstaten op de hoogte van de resultaten van de evaluatie en van de maatregelen die zij de marktdeelnemer heeft opgelegd.
4. De marktdeelnemer zorgt ervoor dat alle passende corrigerende maatregelen worden toegepast op alle betrokken producten met digitale elementen die hij in de Unie op de markt heeft aangeboden.
5. Wanneer de marktdeelnemer niet binnen de in lid 1, tweede alinea, bedoelde termijn doeltreffende corrigerende maatregelen neemt, neemt de markttoezichtautoriteit alle passende voorlopige maatregelen om het op haar nationale markt aanbieden van dat product met digitale elementen te verbieden of te beperken, dan wel het product in de betrokken lidstaat uit de handel te nemen of terug te roepen.
Die autoriteit stelt de Commissie en de andere lidstaten onverwijld in kennis van die maatregelen.
6. De in lid 5 bedoelde informatie omvat alle bekende bijzonderheden, met name de gegevens die nodig zijn om het non-conforme product met digitale elementen te identificeren en om de oorsprong van dat product met digitale elementen, de aard van de beweerde non-conformiteit en van het risico, en de aard en de duur van de nationale maatregelen vast te stellen, evenals de argumenten die worden aangevoerd door de desbetreffende marktdeelnemer. De markttoezichtautoriteit vermeldt met name of de non-conformiteit een of meer van de volgende redenen heeft:
het product met digitale elementen of de door de fabrikant ingestelde processen voldoen niet aan de essentiële cyberbeveiligingsvereisten van bijlage I;
tekortkomingen in de in artikel 27 bedoelde geharmoniseerde normen, Europese cyberbeveiligingscertificeringsregelingen of gemeenschappelijke specificaties.
7. De markttoezichtautoriteiten van de andere lidstaten dan die welke de procedure in gang heeft gezet, brengen de Commissie en de andere lidstaten onverwijld op de hoogte van door hen genomen maatregelen en van aanvullende informatie over de non-conformiteit van het product met digitale elementen waarover zij beschikken, en van hun bezwaren indien zij het niet eens zijn met de aangemelde nationale maatregel.
8. Indien binnen drie maanden na ontvangst van de in lid 5 van dit artikel bedoelde kennisgeving door een lidstaat of de Commissie geen bezwaar tegen een voorlopige maatregel van een lidstaat is aangetekend, wordt die maatregel geacht gerechtvaardigd te zijn. Dat doet geen afbreuk aan de procedurele rechten van de betrokken marktdeelnemer overeenkomstig artikel 18 van Verordening (EU) 2019/1020.
9. De markttoezichtautoriteiten van alle lidstaten zorgen ervoor dat ten aanzien van het betrokken product met digitale elementen onverwijld de passende beperkende maatregelen worden genomen, zoals het uit de handel nemen van dat product op hun markt.
Vrijwaringsprocedure van de Unie
1. Indien een lidstaat binnen drie maanden na ontvangst van de in artikel 54, lid 5, bedoelde kennisgeving bezwaar maakt tegen een door een andere lidstaat genomen maatregel of wanneer de Commissie de maatregel in strijd acht met het Unierecht, treedt de Commissie onverwijld in overleg met de betrokken lidstaat en de marktdeelnemer(s) en evalueert zij de nationale maatregel. Op grond van de resultaten van die evaluatie besluit de Commissie binnen negen maanden na ontvangst van de in artikel 54, lid 5, bedoelde kennisgeving of de nationale maatregel al dan niet gerechtvaardigd is en stelt zij de betrokken lidstaat in kennis van dat besluit.
2. Indien de nationale maatregel gerechtvaardigd wordt geacht, nemen alle lidstaten de nodige maatregelen om het non-conforme product met digitale elementen uit de handel te nemen en stellen zij de Commissie daarvan in kennis. Indien de nationale maatregel niet gerechtvaardigd wordt geacht, trekt de betrokken lidstaat de maatregel in.
3. Indien de nationale maatregel gerechtvaardigd wordt geacht en de non-conformiteit van het product met digitale elementen wordt toegeschreven aan tekortkomingen in de geharmoniseerde normen, past de Commissie de procedure van artikel 11 van Verordening (EU) nr. 1025/2012 toe.
4. Indien de nationale maatregel gerechtvaardigd wordt geacht en de non-conformiteit van het product met digitale elementen wordt toegeschreven aan tekortkomingen in een in artikel 27 bedoelde Europese cyberbeveiligingscertificeringsregeling, onderzoekt de Commissie of een op grond van artikel 27, lid 9, vastgestelde gedelegeerde handeling die het vermoeden van conformiteit met betrekking tot die certificeringsregeling specificeert, moet worden gewijzigd of ingetrokken.
5. Indien de nationale maatregel gerechtvaardigd wordt geacht en de non-conformiteit van het product met digitale elementen wordt toegeschreven aan tekortkomingen in in artikel 27 bedoelde gemeenschappelijke specificaties, onderzoekt de Commissie of een op grond van artikel 27, lid 2, vastgestelde uitvoeringshandeling tot vaststelling van die gemeenschappelijke specificaties moet worden gewijzigd of ingetrokken.
Procedure op het niveau van de Unie voor producten met digitale elementen die een significant cyberbeveiligingsrisico inhouden
1. Indien de Commissie voldoende redenen heeft om, onder meer op basis van door Enisa verstrekte informatie, aan te nemen dat een product met digitale elementen dat een significant cyberbeveiligingsrisico inhoudt, niet voldoet aan de vereisten van deze verordening, stelt zij de betrokken markttoezichtautoriteiten daarvan op de hoogte. Wanneer de markttoezichtautoriteiten evalueren of dat product met digitale elementen dat een significant cyberbeveiligingsrisico kan inhouden, voldoet aan de vereisten van deze verordening, zijn de in de artikelen 54 en 55 bedoelde procedures van toepassing.
2. Indien de Commissie voldoende redenen heeft om aan te nemen dat een product met digitale elementen in het licht van niet-technische risicofactoren een significant cyberbeveiligingsrisico vormt, stelt zij de betrokken markttoezichtautoriteiten en, indien passend, de bevoegde autoriteiten die zijn aangewezen of opgericht op grond van artikel 8 van Richtlijn (EU) 2022/2555, daarvan op de hoogte en werkt zij zo nodig met die autoriteiten samen. De Commissie houdt ook rekening met de relevantie van de vastgestelde risico’s voor dat product met digitale elementen gelet op haar taken met betrekking tot de op Unieniveau gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens die zijn bepaald in artikel 22 van Richtlijn (EU) 2022/2555, en raadpleegt zo nodig de op grond van artikel 14 van Richtlijn (EU) 2022/2555 opgerichte samenwerkingsgroep en Enisa.
3. In omstandigheden die een onmiddellijk optreden rechtvaardigen om de goede werking van de interne markt te vrijwaren, en wanneer de Commissie voldoende redenen heeft om aan te nemen dat het in lid 1 bedoelde product met digitale elementen nog steeds niet aan de vereisten van deze verordening voldoet en de betrokken markttoezichtautoriteiten geen doeltreffende maatregelen hebben genomen, evalueert de Commissie de conformiteit en kan zij Enisa verzoeken ter ondersteuning daarvan een analyse te verstrekken. De Commissie stelt de betrokken markttoezichtautoriteiten daarvan in kennis. De desbetreffende marktdeelnemers werken zo nodig samen met Enisa.
4. Op basis van de in lid 3 bedoelde evaluatie kan de Commissie besluiten dat een corrigerende of beperkende maatregel op het niveau van de Unie noodzakelijk is. Daartoe raadpleegt zij onverwijld de betrokken lidstaten en marktdeelnemers.
5. Op basis van het in lid 4 van dit artikel bedoelde overleg kan de Commissie uitvoeringshandelingen vaststellen om te voorzien in corrigerende of beperkende maatregelen op het niveau van de Unie, onder meer door te gelasten de betrokken producten met digitale elementen binnen een redelijke termijn in verhouding tot de aard van het risico uit de handel te nemen of terug te roepen. Die uitvoeringshandelingen worden volgens de in artikel 62, lid 2, bedoelde onderzoeksprocedure vastgesteld.
6. De Commissie stelt de betrokken marktdeelnemers onmiddellijk in kennis van de in lid 5 bedoelde uitvoeringshandelingen. De lidstaten voeren die uitvoeringshandelingen onverwijld uit en stellen de Commissie daarvan in kennis.
7. De leden 3 tot en met 6 zijn van toepassing voor de duur van de uitzonderlijke situatie die het optreden van de Commissie rechtvaardigde, mits het betrokken product met digitale elementen niet in overeenstemming is gebracht met deze verordening.
Conforme producten met digitale elementen die een significant cyberbeveiligingsrisico inhouden
1. De markttoezichtautoriteit van een lidstaat vereist van een marktdeelnemer dat hij alle passende maatregelen neemt wanneer zij na uitvoering van een evaluatie uit hoofde van artikel 54 vaststelt dat, hoewel een product met digitale elementen en de door de fabrikant ingestelde processen in overeenstemming zijn met deze verordening, deze een significant cyberbeveiligingsrisico inhoudt en, alsook een risico voor:
de gezondheid of veiligheid van personen;
de naleving van verplichtingen uit hoofde van het Unierecht of het interne recht ter bescherming van de grondrechten;
de beschikbaarheid, de authenticiteit, de integriteit of de vertrouwelijkheid van diensten die via een elektronisch informatiesysteem worden aangeboden door in artikel 3, lid 1, van Richtlijn (EU) 2022/2555 bedoelde essentiële entiteiten, of
andere aspecten van de bescherming van het algemeen belang.
De in de eerste alinea bedoelde maatregelen kunnen maatregelen omvatten om ervoor te zorgen dat het betrokken product met digitale elementen en de door de fabrikant ingestelde processen de desbetreffende risico’s niet meer inhouden wanneer het product op de markt wordt aangeboden, dat het product met digitale elementen uit de handel wordt genomen of dat het wordt teruggeroepen, en die maatregelen staan in verhouding tot de aard van die risico’s.
2. De fabrikant of andere betrokken marktdeelnemers zorgen ervoor dat binnen de door de in lid 1 bedoelde markttoezichtautoriteit van de lidstaat vastgestelde termijn, corrigerende maatregelen worden genomen ten aanzien van de betrokken producten met digitale elementen die zij in de Unie op de markt hebben aangeboden.
3. De lidstaat stelt de Commissie en de andere lidstaten onmiddellijk in kennis van de op grond van lid 1 genomen maatregelen. Die informatie omvat alle bekende bijzonderheden, met name de gegevens die nodig zijn om de betrokken producten met digitale elementen te identificeren en om de oorsprong en de toeleveringsketen van die producten met digitale elementen, de aard van het risico en de aard en de duur van de nationale maatregelen vast te stellen.
4. De Commissie treedt onverwijld in overleg met de lidstaten en de betrokken marktdeelnemer en evalueert de nationale maatregelen die zijn genomen. Aan de hand van die evaluatie besluit de Commissie of de maatregel al dan niet gerechtvaardigd is, en stelt zij zo nodig passende maatregelen voor.
5. De Commissie deelt het in lid 4 bedoelde besluit aan de lidstaten mee.
6. Indien de Commissie voldoende redenen heeft om, onder meer op basis van door Enisa verstrekte informatie, aan te nemen dat een product met digitale elementen, hoewel het in overeenstemming is met deze verordening, de in lid 1 van dit artikel bedoelde risico’s inhoudt, stelt zij de betrokken markttoezichtautoriteiten daarvan in kennis en kan zij hen verzoeken een evaluatie uit te voeren en de in artikel 54 en in de leden 1, 2 en 3 van dit artikel bedoelde procedures te volgen.
7. In omstandigheden die een onmiddellijk optreden rechtvaardigen om de goede werking van de interne markt te vrijwaren, en wanneer de Commissie voldoende redenen heeft om aan te nemen dat het in lid 6 bedoelde product met digitale elementen nog steeds de in lid 1 bedoelde risico’s inhoudt en de betrokken nationale markttoezichtautoriteiten geen doeltreffende maatregelen hebben genomen, voert de Commissie een evaluatie uit van de risico’s die dat product met digitale elementen inhoudt, kan zij Enisa verzoeken ter ondersteuning van die evaluatie een analyse te verstrekken en stelt zij de betrokken markttoezichtautoriteiten daarvan in kennis. De betrokken marktdeelnemers werken zo nodig samen met Enisa.
8. Op basis van de in lid 7 bedoelde evaluatie kan de Commissie vaststellen dat een corrigerende of beperkende maatregel op het niveau van de Unie noodzakelijk is. Daartoe raadpleegt zij onverwijld de betrokken lidstaten en marktdeelnemers.
9. Op basis van het in lid 8 van dit artikel bedoelde overleg kan de Commissie uitvoeringshandelingen vaststellen om te besluiten tot corrigerende of beperkende maatregelen op het niveau van de Unie, onder meer door te gelasten de betrokken producten met digitale elementen binnen een redelijke termijn in verhouding tot de aard van het risico uit de handel te nemen of terug te roepen. Die uitvoeringshandelingen worden volgens de in artikel 62, lid 2, bedoelde onderzoeksprocedure vastgesteld.
10. De Commissie stelt de betrokken marktdeelnemer(s) onmiddellijk in kennis van de in lid 9 bedoelde uitvoeringshandelingen. De lidstaten voeren die uitvoeringshandelingen onverwijld uit en stellen de Commissie daarvan in kennis.
11. De leden 6 tot en met 10 zijn van toepassing voor de duur van de uitzonderlijke situatie die het optreden van de Commissie rechtvaardigde en zolang het betrokken product met digitale elementen de in lid 1 bedoelde risico’s inhoudt.
Formele non-conformiteit
1. Indien de markttoezichtautoriteit van een lidstaat een van de volgende feiten vaststelt, vereist zij van de betrokken fabrikant dat die een einde maakt aan de non-conformiteit:
de CE-markering is in strijd met artikel 29 en artikel 30 aangebracht;
de CE-markering is niet aangebracht;
de EU-conformiteitsverklaring is niet opgesteld;
de EU-conformiteitsverklaring is niet correct opgesteld;
het identificatienummer van de aangemelde instantie die betrokken is bij de conformiteitsbeoordelingsprocedure is, in voorkomend geval, niet aangebracht;
de technische documentatie is niet beschikbaar of onvolledig.
2. Indien de in lid 1 bedoelde non-conformiteit voortduurt, neemt de betrokken lidstaat alle passende maatregelen om het op de markt aanbieden van het product met digitale elementen te beperken of te verbieden, of het product terug te roepen of uit de handel te nemen.
Gezamenlijke activiteiten van markttoezichtautoriteiten
1. Markttoezichtautoriteiten kunnen met andere betrokken autoriteiten overeenkomen gezamenlijke activiteiten uit te voeren die gericht zijn op het waarborgen van cyberbeveiliging en de bescherming van consumenten met betrekking tot specifieke producten met digitale elementen die in de handel worden gebracht of op de markt worden aangeboden, met name producten met digitale elementen waarvan vaak wordt vastgesteld dat zij cyberbeveiligingsrisico’s inhouden.
2. De Commissie of Enisa stelt gezamenlijke activiteiten inzake toezicht op de naleving van deze verordening voor, te verrichten door markttoezichtautoriteiten op basis van indicaties of informatie dat binnen het toepassingsgebied van deze verordening vallende producten met digitale elementen in verschillende lidstaten mogelijk niet in overeenstemming zijn met de vereisten van deze verordening.
3. De markttoezichtautoriteiten en, in voorkomend geval, de Commissie zorgen ervoor dat de afspraak om gezamenlijke activiteiten uit te voeren niet leidt tot oneerlijke concurrentie tussen marktdeelnemers en geen negatieve gevolgen heeft voor de objectiviteit, onafhankelijkheid en onpartijdigheid van de partijen bij de overeenkomst.
4. Een markttoezichtautoriteit kan gebruikmaken van alle informatie die zij heeft verkregen als gevolg van de gezamenlijke activiteiten in het kader van een door haar uitgevoerd onderzoek.
5. De betrokken markttoezichtautoriteit en, in voorkomend geval, de Commissie stellen de afspraak over gezamenlijke activiteiten, met inbegrip van de namen van de betrokken partijen, ter beschikking van het publiek.
Bezemacties
1. Markttoezichtautoriteiten voeren gelijktijdige gecoördineerde controleacties (bezemacties) uit voor bepaalde producten met digitale elementen of categorieën daarvan om de naleving van deze verordening te controleren of inbreuken op deze verordening op te sporen. Die bezemacties kunnen inspecties omvatten van producten met digitale elementen die onder een fictieve identiteit zijn verworven.
2. Tenzij de betrokken markttoezichtautoriteiten anders overeenkomen, worden bezemacties gecoördineerd door de Commissie. De coördinator van de bezemactie maakt de geaggregeerde resultaten indien passend openbaar.
3. Wanneer Enisa bij de uitvoering van zijn taken, onder meer op basis van de op grond van artikel 14, leden 1 en 3, ontvangen meldingen, categorieën producten met digitale elementen aanwijst waarvoor bezemacties kunnen worden georganiseerd, dient het een voorstel voor een bezemactie in bij de in lid 2 van dit artikel bedoelde coördinator ter overweging door de markttoezichtautoriteiten.
4. Bij het uitvoeren van bezemacties kunnen de betrokken markttoezichtautoriteiten gebruikmaken van de in de artikelen 52 tot en met 58 bedoelde onderzoeksbevoegdheden en van alle andere bevoegdheden die hun bij het interne recht zijn verleend.
5. Markttoezichtautoriteiten kunnen ambtenaren van de Commissie en andere begeleidende personen die door de Commissie zijn gemachtigd, uitnodigen om deel te nemen aan bezemacties.
BEVOEGDHEIDSDELEGATIE EN COMITÉPROCEDURE
Uitoefening van de bevoegdheidsdelegatie
1. De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.
2. De in artikel 2, lid 5, tweede alinea, artikel 7, lid 3, artikel 8, leden 1 en 2, artikel 13, lid 8, vierde alinea, artikel 14, lid 9, artikel 25, artikel 27, lid 9, artikel 28, lid 5, en artikel 31, lid 5, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor een termijn van vijf jaar met ingang van 10 december 2024. De Commissie stelt uiterlijk negen maanden voor het einde van de termijn van vijf jaar een verslag op over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen die verlenging verzet.
3. Het Europees Parlement of de Raad kan de in artikel 2, lid 5, tweede alinea, artikel 7, lid 3, artikel 8, leden 1 en 2, artikel 13, lid 8, vierde alinea, artikel 14, lid 9, artikel 25, artikel 27, lid 9, artikel 28, lid 5, en artikel 31, lid 5, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.
4. Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel akkoord van 13 april 2016 over beter wetgeven.
5. Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.
6. Een op grond van artikel 2, lid 5, tweede alinea, artikel 7, lid 3, artikel 8, lid 1 of 2, artikel 13, lid 8, vierde alinea, artikel 14, lid 9, artikel 25, artikel 27, lid 9, artikel 28, lid 5, of artikel 31, lid 5, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.
Comitéprocedure
1. De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.
2. Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.
3. Wanneer het advies van het comité via een schriftelijke procedure dient te worden verkregen, wordt die procedure zonder gevolg beëindigd indien, binnen de termijn voor het uitbrengen van het advies, door de voorzitter van het comité daartoe wordt besloten of door een lid van het comité daarom wordt verzocht.
VERTROUWELIJKHEID EN SANCTIES
Vertrouwelijkheid
1. Alle partijen die betrokken zijn bij de toepassing van deze verordening, eerbiedigen de vertrouwelijke aard van informatie en gegevens die zij hebben verkregen tijdens het uitvoeren van hun taken en activiteiten met het oog op de bescherming van:
intellectuele-eigendomsrechten, en vertrouwelijke bedrijfsinformatie of bedrijfsgeheimen van een natuurlijke of rechtspersoon, met inbegrip van broncode, uitgezonderd de in artikel 5 van Richtlijn (EU) 2016/943 van het Europees Parlement en de Raad (37) genoemde gevallen;
de doeltreffende uitvoering van deze verordening, met name ten behoeve van de uitvoering van inspecties, onderzoeken of audits;
openbare en nationale veiligheidsbelangen;
de integriteit van strafrechtelijke of bestuursrechtelijke procedures.
2. Onverminderd lid 1 wordt informatie die op vertrouwelijke basis tussen de markttoezichtautoriteiten onderling en tussen de markttoezichtautoriteiten en de Commissie wordt uitgewisseld, niet openbaar gemaakt zonder voorafgaande toestemming van de markttoezichtautoriteit van oorsprong.
3. De leden 1 en 2 doen geen afbreuk aan de rechten en verplichtingen van de Commissie, de lidstaten en de aangemelde instanties met betrekking tot de uitwisseling van informatie en de verspreiding van waarschuwingen, alsook aan de verplichtingen van de betrokken personen om in het kader van het strafrecht van de lidstaten informatie te verstrekken.
4. De Commissie en de lidstaten kunnen indien nodig gevoelige informatie uitwisselen met relevante autoriteiten van derde landen waarmee zij bilaterale of multilaterale geheimhoudingsovereenkomsten hebben gesloten die een passend beschermingsniveau waarborgen.
Sancties
Het schenden van de essentiële eisen kan boetes tot € 15 miljoen of 2,5% van de totale wereldwijde jaaromzet opleveren, indien dit hoger is.
1. De lidstaten stellen voorschriften vast ten aanzien van de sancties die van toepassing zijn op inbreuken op deze verordening en nemen alle nodige maatregelen om ervoor te zorgen dat die sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn. De lidstaten stellen de Commissie onverwijld van die voorschriften en maatregelen in kennis en delen haar onverwijld alle latere wijzigingen daarvan mee.
2. Niet-naleving van de essentiële cyberbeveiligingsvereisten van bijlage I en de in de artikelen 13 en 14 vastgestelde verplichtingen wordt bestraft met administratieve geldboeten tot 15 000 000 EUR of, als de overtreder een onderneming is, tot 2,5 % van haar totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar, als dat hoger is.
3. Niet-naleving van de in de artikelen 18 tot en met 23, artikel 28, artikel 30, leden 1 tot en met 4, artikel 31, leden 1 tot en met 4, artikel 32, leden 1, 2 en 3, artikel 33, lid 5, en de artikelen 39, 41, 47, 49 en 53 vastgestelde verplichtingen wordt bestraft met administratieve geldboeten tot 10 000 000 EUR of, als de overtreder een onderneming is, tot 2 % van haar totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar, als dat hoger is.
4. Voor het verstrekken van onjuiste, onvolledige of misleidende informatie aan aangemelde instanties en markttoezichtautoriteiten in antwoord op een verzoek, worden administratieve geldboeten opgelegd tot 5 000 000 EUR of, als de overtreder een onderneming is, tot 1 % van haar totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar, als dat hoger is.
5. Bij het bepalen van het bedrag van de administratieve geldboete per geval worden alle relevante omstandigheden van de specifieke situatie in aanmerking genomen en wordt terdege rekening gehouden met het volgende:
de aard, ernst en duur van de inbreuk en de gevolgen ervan;
of administratieve geldboeten reeds door dezelfde of andere markttoezichtautoriteiten voor een soortgelijke inbreuk op dezelfde marktdeelnemer zijn toegepast;
de omvang, met name met betrekking tot micro-ondernemingen en kleine en middelgrote ondernemingen, met inbegrip van start-ups, en het marktaandeel van de marktdeelnemer die de inbreuk pleegt.
6. Markttoezichtautoriteiten die administratieve geldboeten toepassen, delen de toepassing daarvan mee aan de markttoezichtautoriteiten van andere lidstaten via het in artikel 34 van Verordening (EU) 2019/1020 bedoelde informatie- en communicatiesysteem.
7. Elke lidstaat stelt regels vast betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen.
8. Afhankelijk van het rechtsstelsel van de lidstaten kunnen de regels voor administratieve geldboeten zodanig worden toegepast dat de boeten worden opgelegd door bevoegde nationale rechtbanken of andere instanties overeenkomstig de bevoegdheden die op nationaal niveau in die lidstaten zijn vastgesteld. De toepassing van zulke regels in die lidstaten heeft een gelijkwaardig effect.
9. Naargelang van de omstandigheden van elk afzonderlijk geval kunnen administratieve geldboeten worden opgelegd naast eventuele andere corrigerende of beperkende maatregelen die de markttoezichtautoriteiten voor dezelfde inbreuk toepassen.
10. In afwijking van de leden 3 tot en met 9 zijn de in die leden bedoelde administratieve geldboeten niet van toepassing op:
fabrikanten die kunnen worden aangemerkt als micro-ondernemingen of kleine ondernemingen met betrekking tot het niet naleven van de in artikel 14, lid 2, punt a), of artikel 14, lid 4, punt a), bedoelde termijn;
inbreuken op deze verordening door opensourcesoftwarestewards.
Representatieve vorderingen
Richtlijn (EU) 2020/1828 is van toepassing op de representatieve vorderingen die worden ingesteld tegen marktdeelnemers wegens inbreuken op bepalingen van deze verordening die de collectieve belangen van consumenten schaden of kunnen schaden.
OVERGANGS- EN SLOTBEPALINGEN
Wijziging van Verordening (EU) 2019/1020
Aan bijlage I bij Verordening (EU) 2019/1020 wordt het volgende punt toegevoegd:
“72.
Verordening (EU) 2024/2847 van het Europees Parlement en de Raad (*1).
Wijziging van Richtlijn (EU) 2020/1828
Aan bijlage I bij Richtlijn (EU) 2020/1828 wordt het volgende punt toegevoegd:
“69)
Verordening (EU) 2024/2847 van het Europees Parlement en de Raad (*2).
Wijziging van Verordening (EU) nr. 168/2013
In deel C1 van de tabel van bijlage II bij Verordening (EU) nr. 168/2013 van het Europees Parlement en de Raad (38) wordt de volgende vermelding ingevoegd:
“
”
Overgangsbepalingen
1. Certificaten van EU-typeonderzoek en goedkeuringsbesluiten die zijn afgegeven met betrekking tot cyberbeveiligingsvereisten voor onder andere harmonisatiewetgeving van de Unie dan deze verordening vallende producten met digitale elementen, blijven geldig tot en met 11 juni 2028, tenzij zij vóór die datum vervallen, of tenzij anders bepaald in dergelijke andere harmonisatiewetgeving van de Unie, in welk geval zij geldig blijven als bedoeld in die wetgeving.
2. Voor producten met digitale elementen die vóór 11 december 2027 in de handel zijn gebracht, gelden de vereisten van deze verordening alleen indien die producten vanaf die datum ingrijpend worden gewijzigd.
3. In afwijking van lid 2 van dit artikel zijn de in artikel 14 vastgestelde verplichtingen van toepassing op alle producten met digitale elementen die binnen het toepassingsgebied van deze verordening vallen en die vóór 11 december 2027 in de handel zijn gebracht.
Evaluatie en toetsing
1. Uiterlijk op 11 december 2030 en vervolgens om de vier jaar dient de Commissie bij het Europees Parlement en de Raad een verslag in over de evaluatie en de toetsing van deze verordening. Die verslagen worden openbaar gemaakt.
2. Uiterlijk op 11 september 2028 dient de Commissie, na raadpleging van Enisa en het CSIRT-netwerk, bij het Europees Parlement en de Raad een verslag in met een beoordeling van de doeltreffendheid van het in artikel 16 bedoelde centrale meldingsplatform en van het effect van de toepassing van de in artikel 16, lid 2, bedoelde cyberbeveiligingsgerelateerde redenen door de als coördinatoren aangewezen CSIRT’s op de doeltreffendheid van het centrale meldingsplatform wat de tijdige verspreiding van ontvangen meldingen naar andere relevante CSIRT’s betreft.
Inwerkingtreding en toepassing
Van kracht op 10 december 2024 · rapportageverplichtingen vanaf 11 september 2026 · volledige toepassing vanaf 11 december 2027.
1. Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
2. Deze verordening is van toepassing met ingang van 11 december 2027.
Artikel 14 is evenwel van toepassing met ingang van 11 september 2026, en hoofdstuk IV (de artikelen 35 tot en met 51) is van toepassing met ingang van 11 juni 2026.
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.
Gedaan te Straatsburg, 23 oktober 2024.