Akt o kibernetski odpornosti

Predmet urejanja

Ta uredba določa:

Področje uporabe

1. Ta uredba se uporablja za izdelke z digitalnimi elementi, dostopne na trgu, katerih predvideni namen ali razumno predvidljiva uporaba vključuje neposredno ali posredno logično ali fizično podatkovno povezavo z napravo ali omrežjem.

2. Ta uredba se ne uporablja za izdelke z digitalnimi elementi, za katere se uporabljajo naslednji pravni akti Unije:

3. Ta uredba se ne uporablja za izdelke z digitalnimi elementi, ki so bili certificirani v skladu z Uredbo (EU) 2018/1139.

4. Ta uredba se ne uporablja za opremo, ki spada na področje uporabe Direktive 2014/90/EU Evropskega parlamenta in Sveta (36).

5. Uporaba te uredbe za izdelke z digitalnimi elementi, zajete z drugimi pravili Unije, s katerimi so določene zahteve, ki se nanašajo na vsa ali nekatera tveganja, zajeta z bistvenimi zahtevami glede kibernetske varnosti iz Priloge I, se lahko omeji ali izključi, kadar:

V skladu s členom 61 se na Komisijo prenese pooblastilo za sprejemanje delegiranih aktov za dopolnitev te uredbe, tako da se določi, ali je potrebna taka omejitev ali izključitev, ter navedejo zadevni izdelki in pravila ter obseg omejitve, če je ustrezno.

6. Ta uredba se ne uporablja za rezervne dele, ki so dostopni na trgu, da nadomestijo enake sestavne dele v izdelkih z digitalnimi elementi, in so proizvedeni v skladu z istimi specifikacijami kot sestavni deli, ki naj bi jih nadomestili.

7. Ta uredba se ne uporablja za izdelke z digitalnimi elementi, ki se razvijajo ali so spremenjeni izključno za namene nacionalne varnosti ali obrambe, ali za izdelke, ki so izrecno namenjeni obdelavi tajnih podatkov.

8. Obveznosti iz te uredbe ne vključujejo posredovanja informacij, katerih razkritje bi bilo v nasprotju z bistvenimi interesi držav članic na področju nacionalne varnosti, javne varnosti ali obrambe.

Opredelitev pojmov

V tej uredbi se uporabljajo naslednje opredelitve pojmov:

Prosti pretok

1. Države članice za zadeve, zajete v tej uredbi, ne ovirajo omogočanja dostopnosti izdelkov z digitalnimi elementi, ki so skladni s to uredbo, na trgu.

2. Države članice na sejmih, razstavah in predstavitvah ali podobnih dogodkih ne preprečijo predstavitve ali uporabe izdelka z digitalnimi elementi, ki ni skladen s to uredbo, vključno s prototipi, če je izdelek opremljen z vidno oznako, ki jasno označuje, da ni skladen s to uredbo in da ne bo dan na trg, dokler ne bo skladen z njo.

3. Države članice ne preprečijo omogočanja dostopnosti nedokončane programske opreme, ki ni skladna s to uredbo, na trgu, če je programska oprema dostopna samo za omejeno obdobje, potrebno za preskušanje, ter ima viden znak, ki jasno kaže, da ni skladna s to uredbo in bo dostopna na trgu samo za namene preskušanja.

4. Odstavek 3 se ne uporablja za varnostne komponente iz harmonizacijske zakonodaje Unije, razen te uredbe.

Javno naročanje ali uporaba izdelkov z digitalnimi elementi

1. Ta uredba državam članicam ne preprečuje, da za izdelke z digitalnimi elementi določijo dodatne zahteve glede kibernetske varnosti za javno naročanje ali uporabo teh izdelkov za posebne namene, tudi kadar se ti izdelki naročijo ali uporabljajo za namene nacionalne varnosti ali obrambe, če so take zahteve skladne z obveznostmi držav članic, določenimi v pravu Unije, ter če so potrebne in sorazmerne za doseganje teh namenov.

2. Brez poseganja v direktivi 2014/24/EU in 2014/25/EU države članice pri naročanju izdelkov z digitalnimi elementi, ki spadajo na področje uporabe te uredbe, zagotovijo, da se v postopku javnega naročanja upošteva skladnost z bistvenimi zahtevami glede kibernetske varnosti iz Priloge I k tej uredbi, vključno z zmožnostjo proizvajalcev za učinkovito obravnavanje ranljivosti.

Zahteve za izdelke z digitalnimi elementi

Izdelki z digitalnimi elementi so dostopni na trgu le, kadar:

Pomembni izdelki z digitalnimi elementi

1. Izdelki z digitalnimi elementi, ki imajo osnovno funkcijo kategorije izdelkov iz Priloge III, se štejejo za pomembne izdelke z digitalnimi elementi in zanje veljajo postopki ugotavljanja skladnosti iz člena 32(2) in (3). Vgradnja izdelka z digitalnimi elementi, ki ima osnovno funkcijo kategorije izdelkov iz Priloge III, sama po sebi ne pomeni, da za izdelek, v katerega je vgrajen, veljajo postopki ugotavljanja skladnosti iz člena 32(2) in (3).

2. Kategorije izdelkov z digitalnimi elementi iz odstavka 1 tega člena, ki so razdeljene v razreda I in II, kot je določeno v Prilogi III, izpolnjujejo vsaj eno od naslednjih meril:

3. V skladu s členom 61 se na Komisijo prenese pooblastilo za sprejemanje delegiranih aktov za spremembo Priloge III z vključitvijo nove kategorije izdelkov z digitalnimi elementi znotraj vsakega razreda na seznam kategorij izdelkov z digitalnimi elementi in določitvijo njene opredelitve, premikom kategorije izdelkov iz enega razreda v drugega ali umikom obstoječe kategorije s seznama. Komisija pri ocenjevanju potrebe po spremembi seznama iz Priloge III upošteva funkcije, povezane s kibernetsko varnostjo, ali funkcijo in raven tveganja za kibernetsko varnost, ki ga predstavljajo izdelki z digitalnimi elementi, kot je določeno v merilih iz odstavka 2 tega člena.

Delegirani akti iz prvega pododstavka tega odstavka, kadar je ustrezno, določajo minimalno prehodno obdobje 12 mesecev, zlasti kadar se nova kategorija pomembnih izdelkov z digitalnimi elementi doda v razred I ali II ali se premakne iz razreda I v II, kot je določeno v Prilogi III, preden se začnejo uporabljati ustrezni postopki ugotavljanja skladnosti iz člena 32(2) in (3), razen če je zaradi nujnih razlogov upravičeno krajše prehodno obdobje.

4. Komisija do 11. decembra 2025 sprejme izvedbeni akt, v katerem je določen tehnični opis kategorij izdelkov z digitalnimi elementi iz razredov I in II iz Priloge III in tehnični opis kategorij izdelkov z digitalnimi elementi iz Priloge IV. Navedeni izvedbeni akt se sprejme v skladu s postopkom pregleda iz člena 62(2).

Kritični izdelki z digitalnimi elementi

1. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 61 za dopolnitev te uredbe, da se določi, kateri izdelki z digitalnimi elementi, ki imajo osnovno funkcionalnost kategorije izdelkov iz Priloge IV k tej uredbi, morajo pridobiti evropski certifikat kibernetske varnosti na ravni zanesljivosti vsaj „znatno“ v okviru evropske certifikacijske sheme za kibernetsko varnost, sprejete na podlagi Uredbe (EU) 2019/881, da se dokaže skladnost z bistvenimi zahtevami glede kibernetske varnosti iz Priloge I k tej uredbi ali njihovimi deli, če je bila evropska certifikacijska shema za kibernetsko varnost, ki zajema navedene kategorije izdelkov z digitalnimi elementi, sprejeta na podlagi Uredbe (EU) 2019/881 in je na voljo proizvajalcem. V teh delegiranih aktih se določi zahtevana raven zanesljivosti, ki je sorazmerna z ravnjo tveganja za kibernetsko varnost, povezanega z izdelki z digitalnimi elementi, in upošteva njihov predvideni namen, vključno s kritično odvisnostjo od njih s strani bistvenih subjektov iz člena 3(1) Direktive (EU) 2022/2555.

Komisija pred sprejetjem takih delegiranih aktov izvede oceno morebitnega učinka predvidenih ukrepov na trg in se posvetuje z ustreznimi deležniki, vključno z Evropsko certifikacijsko skupino za kibernetsko varnost, vzpostavljeno z Uredbo (EU) 2019/881. Pri oceni se upoštevata pripravljenost in raven zmogljivosti držav članic za izvajanje ustrezne evropske certifikacijske sheme za kibernetsko varnost. Kadar delegirani akti iz prvega pododstavka tega odstavka niso bili sprejeti, se za izdelke z digitalnimi elementi, ki imajo osnovno funkcionalnost kategorije izdelkov iz Priloge IV, uporabljajo postopki ugotavljanja skladnosti iz člena 32(3).

Delegirani akti iz prvega pododstavka določajo minimalno prehodno obdobje šestih mesecev, razen če je zaradi nujnih razlogov upravičeno krajše prehodno obdobje.

2. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 61 za spremembo Priloge IV z vključitvijo ali umikom kategorij kritičnih izdelkov z digitalnimi elementi. Komisija pri določanju takih kategorij kritičnih izdelkov z digitalnimi elementi in zahtevane ravni zanesljivosti v skladu z odstavkom 1 tega člena upošteva merila iz člena 7(2) in obseg in zagotovi, da kategorije izdelkov z digitalnimi elementi izpolnjujejo vsaj eno od naslednjih meril:

Komisija pred sprejetjem takšnih delegiranih aktov izvede oceno vrste iz odstavka 1.

Delegirani akti iz prvega pododstavka določajo minimalno prehodno obdobje šestih mesecev, razen če je zaradi nujnih razlogov upravičeno krajše prehodno obdobje.

Posvetovanje z deležniki

1. Komisija se pri pripravi ukrepov za izvajanje te uredbe posvetuje z ustreznimi deležniki, kot so ustrezni organi držav članic, podjetja zasebnega sektorja, vključno z mikropodjetji ter malimi in srednjimi podjetji, skupnost odprtokodne programske opreme, združenja potrošnikov, akademski krogi ter ustrezne agencije in organi Unije ter strokovne skupine, ustanovljene na ravni Unije, in jih upošteva. Komisija se zlasti strukturirano, kadar je ustrezno, posvetuje s temi deležniki in jih zaprosi za mnenje, kadar:

2. Komisija organizira redna posvetovanja in informativne sestanke, vsaj enkrat letno, da bi zbrala mnenja deležnikov iz odstavka 1 o izvajanju te uredbe.

Izboljšanje veščin v kibernetsko odpornem digitalnem okolju

Za namene te uredbe in v odziv na potrebe strokovnjakov v podporo izvajanju te uredbe države članice, kadar je ustrezno s podporo Komisije, Evropskega kompetenčnega centra za kibernetsko varnost in agencije ENISA, pri čemer v celoti upoštevajo odgovornost držav članic na področju izobraževanja, spodbujajo ukrepe in strategije, katerih cilj je:

Splošna varnost izdelkov

Kadar za izdelke z digitalnimi elementi ne veljajo posebne zahteve glede varnosti, ki jih nalaga druga harmonizacijska zakonodaja Unije, kakor je opredeljena v členu 3, točka 27, Uredbe (EU) 2023/988, se z odstopanjem od člena 2(1), tretji pododstavek, točka (b), Uredbe (EU) 2023/988 poglavje III, oddelek 1, poglavji V in VII ter poglavja IX do XI navedene uredbe uporabljajo za te izdelke v zvezi z vidiki in tveganji ali kategorijami tveganj, ki niso zajeta s to uredbo.

Visokotvegani sistemi UI

1. Brez poseganja v zahteve v zvezi s točnostjo in robustnostjo iz člena 15 Uredbe (EU) 2024/1689 se za izdelke z digitalnimi elementi, ki spadajo na področje uporabe te uredbe in so razvrščeni kot visokotvegani sistemi UI na podlagi člena 6 navedene uredbe šteje, da so skladni z zahtevami v zvezi s kibernetsko varnostjo iz člena 15 navedene uredbe, kadar:

2. Za izdelke z digitalnimi elementi in zahteve glede kibernetske varnosti iz odstavka 1 tega člena se uporablja ustrezni postopek ugotavljanja skladnosti, kot je določen v členu 43 Uredbe (EU) 2024/1689. Za namene tega ugotavljanja so priglašeni organi, ki so pristojni za nadzorovanje skladnosti visokotveganih sistemov UI na podlagi Uredbe (EU) 2024/1689, tudi pristojni za nadzorovanje skladnosti visokotveganih sistemov UI, ki spadajo na področje uporabe te uredbe, z zahtevami iz Priloge I k tej uredbi, če je bila skladnost teh priglašenih organov z zahtevami iz člena 39 te uredbe ocenjena v okviru postopka priglasitve na podlagi Uredbe (EU) 2024/1689.

3. Z odstopanjem od odstavka 2 tega člena se za pomembne izdelke z digitalnimi elementi iz Priloge III k tej uredbi, za katere veljajo postopki ugotavljanja skladnosti iz člena 32(2), točki (a) in (b), ter člena 32(3) te uredbe, in kritične izdelke z digitalnimi elementi iz Priloge IV k tej uredbi, za katere je treba pridobiti evropski certifikat kibernetske varnosti na podlagi člena 8(1) te uredbe ali, v odsotnosti tega, za katere je treba uporabljati postopke ugotavljanja skladnosti iz člena 32(3) te uredbe ter ki so razvrščeni kot visoko tvegani sistemi UI na podlagi člena 6 Uredbe (EU) 2024/1689, za katere se uporablja postopek ugotavljanja skladnosti na podlagi notranje kontrole iz Priloge VI k Uredbi (EU) 2024/1689, v zvezi z bistvenimi zahtevami glede kibernetske varnosti iz te uredbe uporabljajo postopki ugotavljanja skladnosti, določeni v tej uredbi.

4. Proizvajalci izdelkov z digitalnimi elementi iz odstavka 1 tega člena lahko sodelujejo v regulativnih peskovnikih za UI iz člena 57 Uredbe (EU) 2024/1689.

Obveznosti proizvajalcev

1. Proizvajalci pri dajanju izdelka z digitalnimi elementi na trg zagotovijo, da je bil ta izdelek zasnovan, razvit in proizveden v skladu z bistvenimi zahtevami glede kibernetske varnosti iz dela I Priloge I.

2. Za namene izpolnjevanja obveznosti iz odstavka 1 proizvajalci opravijo oceno tveganj za kibernetsko varnost, povezanih z izdelkom z digitalnimi elementi, ter upoštevajo rezultat navedene ocene v fazah načrtovanja, zasnove, razvoja, proizvodnje, dobave in vzdrževanja izdelka z digitalnimi elementi, da čim bolj zmanjšajo tveganja za kibernetsko varnost, preprečijo incidente in čim bolj zmanjšajo njihove vplive, tudi v zvezi z zdravjem in varnostjo uporabnikov.

3. Ocena tveganja za kibernetsko varnost se dokumentira in po potrebi posodablja v obdobju podpore, ki se določi v skladu z odstavkom 8 tega člena. Ta ocena tveganja za kibernetsko varnost vključuje vsaj analizo tveganj za kibernetsko varnost na podlagi predvidenega namena in razumno predvidljive uporabe ter pogojev uporabe izdelka z digitalnimi elementi, kot so operativno okolje ali sredstva, ki jih je treba zaščititi, ob upoštevanju trajanja pričakovane uporabe izdelka. V oceni tveganja za kibernetsko varnost se navede, ali in na kakšen način se varnostne zahteve iz dela I, točka 2, Priloge I, uporabljajo za zadevni izdelek z digitalnimi elementi ter kako se te zahteve izvajajo na podlagi ocene tveganja za kibernetsko varnost. Navede se tudi, kako proizvajalec uporablja del I, točka 1, Priloge I, in zahteve glede obravnavanja ranljivosti iz dela II Priloge I.

4. Proizvajalec pri dajanju izdelka z digitalnimi elementi na trg vključi oceno tveganj za kibernetsko varnost iz odstavka 3 tega člena v tehnično dokumentacijo, ki se zahteva na podlagi člena 31 in Prilogo VII. Za izdelke z digitalnimi elementi iz člena 12, za katere se uporabljajo tudi drugi pravni akti Unije, je lahko ocena tveganj za kibernetsko varnost del ocene tveganj, ki se zahteva v skladu z navedenimi pravnimi akti Unije. Kadar se določene bistvene zahteve glede kibernetske varnosti ne uporabljajo za izdelek z digitalnimi elementi, proizvajalec v navedeno tehnično dokumentacijo vključi jasno utemeljitev v zvezi s tem.

5. Za namen izpolnjevanja obveznosti iz odstavka 1 so proizvajalci pri vgradnji sestavnih delov, pridobljenih od tretjih oseb, v izdelke z digitalnimi elementi primerno skrbni, zato da taki sestavni deli ne ogrozijo kibernetske varnosti izdelka z digitalnimi elementi, niti pri vgradnji sestavnih delov proste in odprtokodne programske opreme, ki niso bili dani na trg v okviru gospodarske dejavnosti.

6. Proizvajalci po ugotovitvi ranljivosti v sestavnem delu, vključno z odprtokodnim sestavnim delom, vgrajenim v izdelek z digitalnimi elementi, sporočijo ranljivost osebi ali subjektu, ki izdeluje ali vzdržuje sestavni del, ter obravnava in odpravi ranljivost v skladu z zahtevami glede obravnavanja ranljivosti, določenimi v delu II Priloge I. Kadar so proizvajalci razvili spremembo programske ali strojne opreme za odpravo ranljivosti tega sestavnega dela, zadevno kodo ali dokumentacijo delijo z osebo ali subjektom, ki izdeluje ali vzdržuje sestavni del, kadar je primerno, v strojno berljivem formatu.

7. Proizvajalci sistematično in na način, ki je sorazmeren z naravo in tveganji za kibernetsko varnost, dokumentirajo ustrezne vidike kibernetske varnosti v zvezi z izdelki z digitalnimi elementi, vključno z ranljivostmi, s katerimi se seznanijo, in morebitnimi ustreznimi informacijami, ki jih zagotovijo tretje osebe, ter po potrebi posodobijo oceno tveganj za kibernetsko varnost za izdelke.

8. Proizvajalci pri dajanju izdelka z digitalnimi elementi na trg in v obdobju podpore zagotovijo učinkovito obravnavanje ranljivosti tega izdelka, vključno z njegovimi sestavnimi deli, v skladu z bistvenimi zahtevami glede kibernetske varnosti iz dela II Priloge I.

Proizvajalci določijo obdobje podpore, tako da odraža obdobje, v katerem se pričakuje, da se bo izdelek uporabljal, ob upoštevanju zlasti razumnih pričakovanj uporabnikov, narave izdelka, vključno z njegovim predvidenim namenom, ter ustreznega prava Unije, ki določa življenjsko dobo izdelkov z digitalnimi elementi. Proizvajalci lahko pri določanju obdobja podpore upoštevajo tudi obdobja podpore za izdelke z digitalnimi elementi, ki ponujajo podobno funkcionalnost in jih dajo na trg drugi proizvajalci, razpoložljivost delovnega okolja, obdobja podpore za integrirane sestavne dele, ki zagotavljajo osnovne funkcije in so pridobljeni od tretjih oseb, ter ustrezne usmeritve, ki jih zagotovita namenska skupina za upravno sodelovanje (v nadaljnjem besedilu: skupina ADCO), ustanovljena na podlagi člena 52(15), in Komisija. Zadeve, ki jih je treba upoštevati pri določitvi obdobja podpore, se upoštevajo na način, ki zagotavlja sorazmernost.

Brez poseganja v drugi pododstavek obdobje podpore traja najmanj pet let. Kadar se pričakuje, da se bo izdelek z digitalnimi elementi uporabljal manj kot pet let, obdobje podpore ustreza pričakovanemu času uporabe.

Komisija lahko ob upoštevanju priporočil skupine ADCO iz člena 52(16) sprejme delegirane akte v skladu s členom 61 za dopolnitev te uredbe z določitvijo najkrajšega obdobja podpore za posebne kategorije izdelkov, kadar podatki o nadzoru trga kažejo na neustrezna obdobja podpore.

Proizvajalci v tehnično dokumentacijo iz Priloge VII vključijo informacije, ki so bile upoštevane pri določitvi obdobja podpore za izdelek z digitalnimi elementi.

Proizvajalci imajo vzpostavljene ustrezne politike in postopke, vključno s politikami usklajenega razkrivanja ranljivosti iz dela II, točka 5, Priloge I, za obravnavo in odpravo morebitnih ranljivosti izdelka z digitalnimi elementi, ki jih sporočijo notranji ali zunanji viri.

9. Proizvajalci zagotovijo, da vsaka varnostna posodobitev iz dela II, točka 8, Priloge I, ki je bila dana na voljo uporabnikom v obdobju podpore, ostane na voljo po izdaji vsaj 10 let ali za preostanek obdobja podpore, pri čemer se upošteva daljše obdobje.

10. Kadar je proizvajalec dal na trg naknadno bistveno spremenjene različice programske opreme, lahko ta proizvajalec zagotovi skladnost z bistveno zahtevo glede kibernetske varnosti iz dela II, točka 2, Priloge I samo za različico, ki jo je proizvajalec nazadnje dal na trg, pod pogojem, da imajo uporabniki različic, ki so bile predhodno dane na trg, brezplačen dostop do različice, ki je bila nazadnje dana na trg, in nimajo dodatnih stroškov zaradi prilagoditve okolja strojne in programske opreme, v katerem uporabljajo prvotno različico tega izdelka.

11. Proizvajalci lahko vzdržujejo javne arhive programske opreme, ki izboljšujejo dostop uporabnikov do zgodovinskih različic. V teh primerih so uporabniki na lahko dostopen način jasno obveščeni o tveganjih, povezanih z uporabo nepodprte programske opreme.

12. Proizvajalci pred dajanjem izdelka z digitalnimi elementi na trg pripravijo tehnično dokumentacijo iz člena 31.

Proizvajalci izvedejo izbrane postopke ugotavljanja skladnosti iz člena 32 ali zagotovijo, da se taki postopki izvedejo.

Kadar se pri postopku ugotavljanja skladnosti ugotovi, da je izdelek z digitalnimi elementi skladen z bistvenimi zahtevami glede kibernetske varnosti iz dela I Priloge I, postopki, ki jih je vzpostavil proizvajalec, pa so skladni z bistvenimi zahtevami glede kibernetske varnosti iz dela II Priloge I, proizvajalci pripravijo EU izjavo o skladnosti v skladu s členom 28 in namestijo oznako CE v skladu s členom 30.

13. Proizvajalci hranijo tehnično dokumentacijo in EU izjavo o skladnosti ter organom za nadzor trga omogočijo dostop do njiju še vsaj deset let po tem, ko so izdelek z digitalnimi elementi dali na trg, ali v obdobju podpore, pri čemer se upošteva daljše obdobje.

14. Proizvajalci zagotovijo, da so za izdelke z digitalnimi elementi v serijski proizvodnji vzpostavljeni postopki za ohranjanje njihove skladnosti s to uredbo. Proizvajalci ustrezno upoštevajo spremembe postopka razvoja in proizvodnje ali spremembe zasnove ali lastnosti izdelka z digitalnimi elementi ter spremembe harmoniziranih standardov, evropskih certifikacijskih shem kibernetske varnosti ali skupnih specifikacij iz člena 27, na podlagi katerih se potrdi ali preverja skladnost izdelka z digitalnimi elementi.

15. Proizvajalci zagotovijo, da je na njihovih izdelkih z digitalnimi elementi označena številka tipa, številka serije, serijska številka ali drug identifikacijski element ali, kadar to ni mogoče, da so te informacije navedene na embalaži ali v dokumentu, priloženem izdelku z digitalnimi elementi.

16. Proizvajalci navedejo ime, registrirano trgovsko ime ali registrirano znamko proizvajalca, poštni naslov, e-poštni naslov ali druge digitalne kontaktne podatke in po potrebi spletno mesto, na katerem je mogoče stopiti v stik s proizvajalcem, na izdelku z digitalnimi elementi, njegovi embalaži ali v dokumentu, priloženem izdelku z digitalnimi elementi. Te informacije se vključijo tudi v informacije in navodila za uporabnika iz Priloge II. Kontaktni podatki so v jeziku, ki ga uporabniki in organi za nadzor trga zlahka razumejo.

17. Za namene te uredbe proizvajalci imenujejo enotno kontaktno točko, ki uporabnikom omogoča neposredno in hitro komunikacijo z njimi, tudi za lažje poročanje o ranljivostih izdelka z digitalnimi elementi.

Proizvajalci zagotovijo, da uporabniki zlahka prepoznajo enotno kontaktno točko. V informacije in navodila za uporabnika iz Priloge II vključijo tudi enotno kontaktno točko.

Enotna kontaktna točka uporabnikom omogoča izbiro želenih komunikacijskih sredstev in takih sredstev ne omejuje na avtomatizirana orodja.

18. Proizvajalci zagotovijo, da se izdelkom z digitalnimi elementi priložijo informacije in navodila za uporabnika iz Priloge II v papirnati ali elektronski obliki. Take informacije in navodila so v jeziku, ki ga uporabniki in organi za nadzor trga zlahka razumejo. Take informacije in navodila so jasni, razumljivi in berljivi. Omogočajo varno namestitev, delovanje in uporabo izdelkov z digitalnimi elementi. Proizvajalci hranijo informacije in navodila za uporabnika iz Priloge II ter organom za nadzor trga omogočijo dostop do njih še vsaj deset let po tem, ko so izdelek z digitalnimi elementi dali na trg, ali v obdobju podpore, pri čemer se upošteva daljše obdobje. Kadar se take informacije in navodila objavijo na spletu, proizvajalci zagotovijo, da so dostopni, uporabnikom prijazni in na voljo na spletu še vsaj deset let po tem, ko so izdelek z digitalnimi elementi dali na trg, ali v obdobju podpore, pri čemer se upošteva daljše obdobje.

19. Proizvajalci zagotovijo, da je končni datum obdobja podpore iz odstavka 8, ki vključuje vsaj mesec in leto, jasno in razumljivo določen ob nakupu na lahko dostopen način in po potrebi na izdelku z digitalnimi elementi, njegovi embalaži ali z digitalnimi sredstvi.

Kadar je to tehnično izvedljivo glede na naravo izdelka z digitalnimi elementi, proizvajalci uporabnikom prikažejo obvestilo, v katerem jih obvestijo, da je njihov izdelek z digitalnimi elementi dosegel konec obdobja podpore.

20. Proizvajalci izvod EU izjave o skladnosti ali poenostavljeno EU izjavo o skladnosti priložijo izdelku z digitalnimi elementi. Kadar je priložena poenostavljena EU izjava o skladnosti, ta vsebuje točen spletni naslov, na katerem je dostopna celotna EU izjava o skladnosti.

21. Po dajanju izdelka z digitalnimi elementi na trg in v obdobju podpore proizvajalci, ki ugotovijo ali upravičeno domnevajo, da izdelek z digitalnimi elementi ali postopki, ki jih je vzpostavil proizvajalec, ni v skladu z bistvenimi zahtevami glede kibernetske varnosti iz Priloge I, nemudoma sprejmejo potrebne popravne ukrepe, da zagotovijo skladnost tega izdelka z digitalnimi elementi ali postopki, ki jih je vzpostavil proizvajalec, ali po potrebi umaknejo izdelek s trga ali ga odpokličejo.

22. Proizvajalci organu za nadzor trga na njegovo utemeljeno zahtevo predložijo vse informacije in dokumentacijo v papirni ali elektronski obliki, ki so potrebne za dokazovanje skladnosti izdelka z digitalnimi elementi in postopki, ki jih je vzpostavil proizvajalec, z bistvenimi zahtevami glede kibernetske varnosti iz Priloge I, in sicer v jeziku, ki ga navedeni organ zlahka razume. Proizvajalci na zahtevo tega organa z njim sodelujejo pri vseh ukrepih, sprejetih za odpravo tveganj za kibernetsko varnost, prisotnih pri izdelku z digitalnimi elementi, ki so ga dali na trg.

23. Proizvajalec, ki preneha opravljati dejavnosti in zato ni skladen s to uredbo, še pred prenehanjem dejavnosti obvesti ustrezne organe za nadzor trga, kolikor je mogoče in na kakršen koli možen način pa tudi uporabnike zadevnih izdelkov z digitalnimi elementi, danih na trg, o skorajšnjem prenehanju dejavnosti.

24. Komisija lahko z izvedbenimi akti in ob upoštevanju evropskih ali mednarodnih standardov in najboljših praks določi obliko in elemente kosovnice za programsko opremo iz dela II, točka 1, Priloge I. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 62(2).

25. Za oceno odvisnosti držav članic in Unije kot celote od sestavnih delov programske opreme in zlasti od sestavnih delov, ki se štejejo za prosto in odprtokodno programsko opremo, se lahko skupina ADCO odloči za izvedbo ocene odvisnosti po vsej Uniji za posebne kategorije izdelkov z digitalnimi elementi. V ta namen lahko organi za nadzor trga od proizvajalcev takih kategorij izdelkov z digitalnimi elementi zahtevajo, da predložijo ustrezne kosovnice za programsko opremo iz dela II, točka 1, Priloge I. Organi za nadzor trga lahko na podlagi takih informacij skupine ADCO zagotovijo anonimizirane in združene informacije o odvisnostih programske opreme. Skupina ADCO skupini za sodelovanje, ustanovljeni na podlagi člena 14 Direktive (EU) 2022/2555, predloži poročilo o rezultatih ocene odvisnosti.

Obveznosti poročanja za proizvajalce

1. Proizvajalec o vsaki aktivno izrabljeni ranljivosti v izdelku z digitalnimi elementi, ki jo sočasno ugotovi, obvesti skupino CSIRT, ki je imenovana za koordinatorja, v skladu z odstavkom 7 tega člena, in agencijo ENISA. Proizvajalec o tej aktivno izrabljeni ranljivosti obvesti prek enotne platforme za poročanje, vzpostavljene na podlagi člena 16.

2. Za namene obvestila iz odstavka 1 proizvajalec predloži:

3. Proizvajalec o vsakem resnem incidentu, ki vpliva na varnost izdelka z digitalnimi elementi, ki jo sočasno ugotovi, obvesti skupino CSIRT, ki je imenovana za koordinatorja, v skladu z odstavkom 7 tega člena, in agencijo ENISA. Proizvajalec o tem incidentu obvesti prek enotne platforme za poročanje, vzpostavljene na podlagi člena 16.

4. Za namene obvestila iz odstavka 3 proizvajalec predloži:

5. Za namene odstavka 3 se incident, ki vpliva na varnost izdelka z digitalnimi elementi, šteje za resnega, če:

6. Skupina CSIRT, ki je imenovana za koordinatorja, ki je prvotno prejela obvestilo, lahko po potrebi od proizvajalcev zahteva, da predložijo vmesno poročilo o ustreznih posodobitvah stanja o aktivno izrabljeni ranljivosti ali resnem incidentu, ki vpliva na varnost izdelka z digitalnimi elementi.

7. Obvestila iz odstavkov 1 in 3 tega člena se predložijo prek enotne platforme za poročanje iz člena 16 z uporabo ene od končnih točk za elektronsko obveščanje iz člena 16(1). Obvestilo se predloži prek elektronske končne točke za obveščanje skupine CSIRT, imenovane za koordinatorja države članice, v kateri imajo proizvajalci glavni sedež v Uniji, in je hkrati dostopna agenciji ENISA.

Za namene te uredbe se šteje, da ima proizvajalec svoj glavni sedež v Uniji, v državi članici, v kateri se večinoma sprejemajo odločitve, povezane s kibernetsko varnostjo njenih izdelkov z digitalnimi elementi. Če take države članice ni mogoče določiti, se šteje, da je glavni sedež v državi članici, v kateri ima zadevni proizvajalec sedež z največjim številom zaposlenih v Uniji.

Kadar proizvajalec nima glavnega sedeža v Uniji, obvestila iz odstavkov 1 in 3 predloži z uporabo končne točke za elektronsko obveščanje skupine CSIRT, ki je imenovana za koordinatorja v državi članici, določene na podlagi naslednjega vrstnega reda in na podlagi informacij, ki so na voljo proizvajalcu:

V zvezi s tretjim pododstavkom, točka (d), proizvajalec lahko predloži obvestila v zvezi s katero koli naslednjo izrabljeno ranljivostjo ali resnim incidentom, ki vpliva na varnost izdelka z digitalnimi elementi, isti skupini CSIRT, ki je imenovana za koordinatorja, ki ji je prvič poročal.

8. Po seznanitvi z aktivno izrabljeno ranljivostjo ali resnim incidentom, ki vpliva na varnost izdelka z digitalnimi elementi, proizvajalec obvesti prizadete uporabnike izdelka z digitalnimi elementi in, kadar je ustrezno, vse uporabnike o tej ranljivosti ali incidentu, ki vpliva na varnost izdelka z digitalnimi elementi, in po potrebi o zmanjšanju tveganja ter vseh popravnih ukrepih, ki jih lahko uporabnik sprejme za zmanjšanje vpliva te ranljivosti ali incidenta, kadar je ustrezno, v strukturiranem in strojno berljivem formatu, ki se zlahka avtomatsko obdeluje. Kadar proizvajalec uporabnikov izdelka z digitalnimi elementi ne obvesti pravočasno, lahko obveščene skupine CSIRT, ki so imenovane za koordinatorje, uporabnikom posredujejo take informacije, kadar menijo, da so sorazmerne in potrebne za preprečevanje ali ublažitev učinka te ranljivosti ali incidenta.

9. Komisija do 11. decembra 2025 sprejme delegirane akte v skladu s členom 61 te uredbe za dopolnitev te uredbe in določi pogoje za uporabo razlogov, povezanih s kibernetsko varnostjo, v zvezi z odložitvijo posredovanja obvestil, kakor je določeno v členu 16(2) te uredbe. Komisija pri pripravi osnutkov delegiranih aktov sodeluje z mrežo skupin CSIRT, kakor je vzpostavljena na podlagi člena 15 Direktive (EU) 2022/2555 in agencijo ENISA.

10. Komisija lahko z izvedbenimi akti podrobneje določi obliko in postopke za obvestila iz tega člena ter členov 15 in 16. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 62(2). Komisija pri pripravi osnutkov izvedbenih aktov sodeluje z mrežo skupin CSIRT in agencijo ENISA.

Prostovoljno poročanje

1. Proizvajalci ter druge fizične ali pravne osebe lahko prostovoljno sporočijo vsako ranljivost, vsebovano v izdelku z digitalnimi elementi, ter kibernetske grožnje, ki bi lahko vplivale na profil tveganja izdelka z digitalnimi elementi skupini CSIRT, ki je imenovana za koordinatorja, ali agenciji ENISA.

2. Proizvajalci ter druge fizične in pravne osebe bi morali imeti možnost, da skupini CSIRT, ki je imenovana za koordinatorja, ali agenciji ENISA prostovoljno sporočijo vsak incident, ki vpliva na varnost izdelka z digitalnimi elementi, pa tudi skorajšnje incidente, ki bi lahko povzročili tak incident.

3. Skupina CSIRT, ki je imenovana za koordinatorja, ali agencija ENISA obravnava obvestila iz odstavkov 1 in 2 tega člena v skladu s postopkom iz člena 16.

Skupina CSIRT, ki je imenovana za koordinatorja, da lahko prednost obravnavi obveznih obvestil pred prostovoljnimi.

4. Kadar fizična ali pravna oseba, ki ni proizvajalec, sporoči aktivno izrabljeno ranljivost ali resen incident, ki vpliva na varnost izdelka z digitalnimi elementi, v skladu z odstavkom 1 ali 2, skupina CSIRT, ki je imenovana za koordinatorja, o tem brez nepotrebnega odlašanja obvesti proizvajalca.

5. Skupine CSIRT, ki so imenovane za koordinatorje, ter agencija ENISA zagotovijo zaupnost in ustrezno zaščito informacij, ki jih predloži fizična ali pravna oseba. Za fizično ali pravno osebo, ki prostovoljno predloži obvestilo, ne veljajo nikakršne dodatne obveznosti, ki zanjo ne bi veljale, če obvestila ne bi predložila, pri čemer se ne posega v preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj.

Vzpostavitev enotne platforme za poročanje

1. Za namene obvestil iz člena 14(1) in (3) ter člena 15(1) in (2) in za poenostavitev obveznosti poročanja za proizvajalce agencija ENISA vzpostavi enotno platformo za poročanje. Vsakodnevno delovanje enotne platforme za poročanje upravlja in vzdržuje agencija ENISA. Struktura enotne platforme za poročanje omogoča državam članicam in agenciji ENISA, da vzpostavijo svoje lastne končne točke za elektronsko obveščanje.

2. Po prejemu obvestila skupina CSIRT, ki je imenovana za koordinatorja, ki je prvotno prejela obvestilo, to obvestilo prek enotne platforme za poročanje brez odlašanja posreduje skupinam CSIRT, ki so imenovane za koordinatorje na ozemlju, za katerega je proizvajalec navedel, da je izdelek z digitalnimi elementi bil dan na voljo.

V izjemnih okoliščinah in zlasti na zahtevo proizvajalca ter ob upoštevanju stopnje občutljivosti sporočenih informacij, kot jih je navedel proizvajalec na podlagi člena 14(2), točka (a), te uredbe, se posredovanje obvestila na podlagi utemeljenih razlogov v zvezi s kibernetsko varnostjo lahko odloži za obdobje, ki je nujno potrebno, tudi, kadar je ranljivost vključena v postopek usklajenega razkrivanja ranljivosti, kot je navedeno v členu 12(1) Direktive (EU) 2022/2555. Kadar se skupina CSIRT odloči zadržati obvestilo, o odločitvi nemudoma obvesti agencijo ENISA in predloži utemeljitev za zadržanje obvestila ter navede, kdaj bo posredovala obvestilo v skladu s postopkom posredovanja iz tega odstavka. Agencija ENISA lahko skupino CSIRT podpre v zvezi z razlogi glede kibernetske varnosti, ki jih ta uporabi za odložitev posredovanja obvestila.

V izjemnih okoliščinah, kadar proizvajalec v obvestilu iz člena 14(2), točka (b), navede:

samo informacije, da je proizvajalec predložil obvestilo, splošne informacije o izdelku, informacije o splošni naravi izrabljene ranljivosti in informacije, da se proizvajalec sklicuje na varnostne razloge, se sočasno predložijo agenciji ENISA, dokler se celotno obvestilo ne posreduje zadevnim skupinam CSIRT in agenciji ENISA. Kadar agencija ENISA na podlagi informacij meni, da obstaja sistemsko tveganje, ki vpliva na varnost notranjega trga, skupini CSIRT, ki je obvestilo prejela, priporoči, naj celotno obvestilo posreduje drugim skupinam CSIRT, ki so imenovane za koordinatorje, in agenciji ENISA.

3. Potem ko so prejele obvestilo o aktivno izrabljeni ranljivosti izdelka z digitalnimi elementi ali resnem incidentu, ki vpliva na varnost izdelka z digitalnimi elementi, skupine CSIRT, ki so imenovane za koordinatorje, posredujejo organom za nadzor trga svojih držav članic sporočene informacije, ki jih ti potrebujejo za izpolnjevanje svojih obveznosti na podlagi te uredbe.

4. Agencija ENISA sprejme ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za varnost enotne platforme za poročanje in informacij, ki se predložijo ali posredujejo prek enotne platforme za poročanje. O vsakem varnostnem incidentu, ki je prizadel enotno platformo za poročanje, brez nepotrebnega odlašanja obvesti mrežo skupin CSIRT ter Komisijo.

5. Agencija ENISA v sodelovanju z mrežo skupin CSIRT zagotovi in izvaja specifikacije o tehničnih, operativnih in organizacijskih ukrepih v zvezi z vzpostavitvijo, vzdrževanjem in varnim delovanjem enotne platforme za poročanje iz odstavka 1, ki vključujejo vsaj varnostne ureditve, povezane z vzpostavitvijo, delovanjem in vzdrževanjem enotne platforme za poročanje, ter končne točke za elektronsko obveščanje, ki so jih vzpostavile skupine CSIRT, imenovane za koordinatorje na nacionalni ravni, in agencija ENISA na ravni Unije, vključno s postopkovnimi vidiki, s katerimi se zagotovi, da sporočena ranljivost nima na voljo korektivnih ali blažilnih ukrepov, da se informacije o tej ranljivosti izmenjujejo v skladu s strogimi varnostnimi protokoli in na podlagi potrebe po seznanitvi.

6. Kadar je bila skupina CSIRT, ki je imenovana za koordinatorja, obveščena o aktivno izrabljeni ranljivosti kot del postopka usklajenega razkrivanja ranljivosti iz člena 12(1) Direktive (EU) 2022/2555, skupina CSIRT, ki je imenovana za koordinatorja, ki je prvotno prejela obvestilo, lahko odloži posredovanje zadevnega obvestila preko enotne platforme za poročanje na podlagi utemeljenih razlogov v zvezi s kibernetsko varnostjo za obdobje, ki ni daljše od nujno potrebnega, in dokler strani, vpletene v politiko usklajenega razkrivanja ranljivosti, ne podajo soglasja za razkritje. Ta zahteva proizvajalcem ne preprečuje, da prostovoljno sporočijo tako ranljivost v skladu s postopkom iz tega člena.

Druge določbe v zvezi s poročanjem

1. Agencija ENISA lahko informacije, sporočene na podlagi člena 14(1) in (3) ter člena 15(1) in (2) te uredbe, predloži evropski organizacijski mreži za povezovanje v kibernetski krizi (EU-CyCLONe), ustanovljeni s členom 16 Direktive (EU) 2022/2555, če so take informacije pomembne za usklajeno upravljanje velikih kibernetskih incidentov in kriz na operativni ravni. Za namene določitve take pomembnosti lahko agencija ENISA upošteva tehnične analize, ki jih izvede mreža skupin CSIRT, kadar so na voljo.

2. Kadar je ozaveščenost javnosti potrebna za preprečitev ali ublažitev resnega incidenta, ki bi lahko vplival na varnost izdelka z digitalnimi elementi, ali za obravnavo incidenta, ki je v teku, ali kadar je razkritje incidenta kako drugače v javnem interesu, lahko skupina CSIRT, ki je imenovana za koordinatorja zadevne države članice, po posvetovanju z zadevnim proizvajalcem in, kadar je primerno, v sodelovanju z agencijo ENISA obvesti javnost o incidentu ali zahteva, da to stori proizvajalec.

3. Agencija ENISA na podlagi obvestil, ki jih prejme na podlagi člena 14(1) in (3) ter člena 15(1) in (2) te uredbe, vsakih 24 mesecev pripravi tehnično poročilo o novih trendih glede tveganj za kibernetsko varnost pri izdelkih z digitalnimi elementi ter ga predloži skupini za sodelovanje, ustanovljeni na podlagi člena 14 Direktive (EU) 2022/2555. Prvo tako poročilo predloži v 24 mesecih po začetku uporabe obveznosti iz člena 14(1) in (3). Agencija ENISA vključi ustrezne informacije iz svojih tehničnih poročil v poročilo o stanju kibernetske varnosti v Uniji na podlagi člena 18 Direktive (EU) 2022/2555.

4. Samo dejanje obveščanja v skladu s členom 14(1) in (3) ali členom 15(1) in (2) priglasitveni fizični ali pravni osebi ne naloži dodatne odgovornosti.

5. Potem ko je na voljo varnostna posodobitev ali druga oblika popravnega ali blažilnega ukrepa, agencija ENISA v dogovoru s proizvajalcem zadevnega izdelka z digitalnimi elementi doda javno znano ranljivost, priglašeno na podlagi člena 14(1) ali člena 15(1) te uredbe, v evropsko podatkovno zbirko ranljivosti, vzpostavljeno na podlagi člena 12(2) Direktive (EU) 2022/2555.

6. Skupine CSIRT, ki so imenovane za koordinatorje, prek službe za pomoč uporabnikom v zvezi z obveznostmi poročanja na podlagi člena 14 nudijo podporo proizvajalcem, zlasti tistim, ki se štejejo za mikropodjetja ali mala ali srednja podjetja.

Pooblaščeni zastopniki

1. Proizvajalec lahko s pisnim pooblastilom imenuje pooblaščenega zastopnika.

2. Obveznosti iz člena 13(1) do (11) in člena 13(12), prvi pododstavek, in člena 13(14) niso del pooblastila pooblaščenega zastopnika.

3. Pooblaščeni zastopnik izvaja naloge, določene v pooblastilu, ki ga prejme od proizvajalca. Pooblaščeni zastopnik organom za nadzor trga na zahtevo predloži kopijo pooblastila. Pooblastilo pooblaščenemu zastopniku omogoča, da izvaja vsaj naslednje naloge:

Obveznosti uvoznikov

1. Uvozniki dajo na trg samo izdelke z digitalnimi elementi, ki so skladni z bistvenimi zahtevami glede kibernetske varnosti iz dela I Priloge I in kadar so postopki, ki jih je vzpostavil proizvajalec, skladni z bistvenimi zahtevami glede kibernetske varnosti iz dela II Priloge I.

2. Preden uvozniki dajo izdelek z digitalnimi elementi na trg, zagotovijo, da:

Za namene tega odstavka lahko uvozniki predložijo potrebne dokumente, ki dokazujejo, da so zahteve iz tega člena izpolnjene.

3. Kadar uvoznik meni ali upravičeno domneva, da izdelek z digitalnimi elementi ali postopki, ki jih je vzpostavil proizvajalec, niso skladni s to uredbo, izdelka ne da na trg, dokler se ne zagotovi skladnost tega izdelka ali postopkov, ki jih je vzpostavil proizvajalec, s to uredbo. Kadar izdelek z digitalnimi elementi predstavlja povečano tveganje za kibernetsko varnost, uvoznik o tem obvesti proizvajalca in organe za nadzor trga.

Kadar uvoznik utemeljeno domneva, da bi izdelek z digitalnimi elementi lahko pomenil znatno tveganje za kibernetsko varnost zaradi netehničnih dejavnikov tveganja, o tem obvesti organe za nadzor trga. Organi za nadzor trga po prejemu takih informacij upoštevajo postopke iz člena 54(2).

4. Uvozniki navedejo svoje ime, registrirano trgovsko ime ali registrirano znamko, poštni naslov, e-poštni naslov ali drugi digitalni kontakt in po potrebi spletno mesto, na katerem so dosegljivi, na izdelku z digitalnimi elementi ali pa na embalaži izdelka ali v dokumentu, priloženem izdelku z digitalnimi elementi. Kontaktni podatki so v jeziku, ki ga uporabniki in organi za nadzor trga zlahka razumejo.

5. Uvozniki, ki ugotovijo ali upravičeno domnevajo, da izdelek z digitalnimi elementi, ki so ga dali na trg, ni skladen s to uredbo, nemudoma sprejmejo potrebne popravne ukrepe, da zagotovijo skladnost tega izdelka z digitalnimi elementi s to uredbo ali po potrebi umaknejo izdelek s trga ali ga odpokličejo.

Uvozniki po tem, ko se seznanijo z ranljivostjo pri izdelku z digitalnimi elementi, o njej brez nepotrebnega odlašanja obvestijo proizvajalca. Kadar izdelek z digitalnimi elementi predstavlja povečano tveganje za kibernetsko varnost, uvozniki o tem nemudoma obvestijo organe za nadzor trga držav članic, v katerih je izdelek z digitalnimi elementi dostopen na trgu, pri čemer navedejo zlasti podrobnosti o neskladnosti in morebitnih sprejetih popravnih ukrepih.

6. Uvozniki vsaj še deset let po tem, ko je bil izdelek z digitalnimi elementi dan na trg ali v obdobju podpore, pri čemer se upošteva daljše obdobje, hranijo kopijo EU izjave o skladnosti in organom za nadzor trga omogočijo dostop do nje ter zagotovijo, da je tehnična dokumentacija na zahtevo na voljo tem organom.

7. Uvozniki organu za nadzor trga na njegovo utemeljeno zahtevo predložijo vse informacije in dokumentacijo v papirni ali elektronski obliki, ki so potrebne za dokazovanje skladnosti izdelka z digitalnimi elementi z bistvenimi zahtevami glede kibernetske varnosti iz dela I Priloge I ter skladnosti postopkov, ki jih je vzpostavil proizvajalec, z bistvenimi zahtevami glede kibernetske varnosti iz dela II Priloge I, in to v jeziku, ki ga ta organ zlahka razume. Na zahtevo tega organa z njim sodelujejo pri vseh ukrepih, sprejetih za odpravo tveganj za kibernetsko varnost, prisotnih pri izdelku z digitalnimi elementi, ki so ga dali na trg.

8. Kadar se uvoznik izdelka z digitalnimi elementi seznani s tem, da je proizvajalec navedenega izdelka prenehal opravljati dejavnosti, in zato ne more izpolniti obveznosti iz te uredbe, o tem obvesti ustrezne organe za nadzor trga, na kakršen koli možen način in kolikor je mogoče pa tudi uporabnike izdelkov z digitalnimi elementi, danimi na trg.

Obveznosti distributerjev

1. Distributerji pri omogočanju dostopnosti izdelka z digitalnimi elementi na trgu skrbno upoštevajo zahteve iz te uredbe.

2. Preden distributerji omogočijo dostopnost izdelka z digitalnimi elementi na trgu, preverijo, ali:

3. Kadar distributer na podlagi informacij, ki jih ima na voljo, meni ali upravičeno domneva, da izdelek z digitalnimi elementi ali postopki, ki jih je vzpostavil proizvajalec, niso skladni z bistvenimi zahtevami glede kibernetske varnosti iz Priloge I, ne omogoči dostopnosti izdelka z digitalnimi elementi na trgu, dokler se ne zagotovi skladnost navedenega izdelka ali postopkov, ki jih je vzpostavil proizvajalec, s to uredbo. Kadar izdelek z digitalnimi elementi predstavlja povečano tveganje za kibernetsko varnost, distributer o tem brez nepotrebnega odlašanja obvesti proizvajalca in organe za nadzor trga.

4. Distributerji, ki na podlagi informacij, ki jih imajo na voljo, ugotovijo ali upravičeno domnevajo, da izdelek z digitalnimi elementi, za katerega so omogočili dostopnost na trgu, ali postopki, ki jih je vzpostavil proizvajalec, niso skladni s to uredbo, zagotovijo sprejetje popravnih ukrepov, potrebnih za zagotovitev skladnosti navedenega izdelka z digitalnimi elementi ali postopkov, ki jih je vzpostavil proizvajalec, ali po potrebi za umik izdelka s trga ali njegov odpoklic.

Distributerji po tem, ko se seznanijo z ranljivostjo pri izdelku z digitalnimi elementi, o njej brez nepotrebnega odlašanja obvestijo proizvajalca. Kadar izdelek z digitalnimi elementi predstavlja povečano tveganje za kibernetsko varnost, distributerji o tem nemudoma obvestijo organe za nadzor trga držav članic, v katerih so omogočili dostopnost izdelka z digitalnimi elementi na trgu, pri čemer navedejo zlasti podrobnosti o neskladnosti in morebitnih sprejetih popravnih ukrepih.

5. Distributerji organu za nadzor trga na njegovo utemeljeno zahtevo predložijo vse informacije in dokumentacijo v papirni ali elektronski obliki, ki so potrebne za dokazovanje skladnosti izdelka z digitalnimi elementi in postopkov, ki jih je vzpostavil proizvajalec s to uredbo in to v jeziku, ki ga navedeni organ zlahka razume. Na zahtevo tega organa z njim sodelujejo pri vseh ukrepih, sprejetih za odpravo tveganj za kibernetsko varnost, prisotnih pri izdelku z digitalnimi elementi, za katerega so omogočili dostopnost na trgu.

6. Ko se distributer izdelka z digitalnimi elementi na podlagi informacij, ki jih ima na voljo, seznani s tem, da je proizvajalec tega izdelka prenehal opravljati dejavnosti, in zato ne more izpolniti obveznosti iz te uredbe, o tem brez nepotrebnega odlašanja obvesti ustrezne organe za nadzor trga, na kakršen koli možen način in kolikor je mogoče pa tudi uporabnike izdelkov z digitalnimi elementi, danimi na trg.

Primeri, v katerih se obveznosti izdelovalcev uporabljajo za uvoznike in distributerje

Uvoznik ali distributer se šteje za proizvajalca za namene te uredbe in zanj veljata člena 13 in 14, kadar ta uvoznik ali distributer da izdelek z digitalnimi elementi na trg pod svojim imenom ali znamko ali bistveno spremeni izdelek z digitalnimi elementi, ki je že bil dan na trg.

Drugi primeri, v katerih se uporabljajo obveznosti izdelovalcev

1. Fizična ali pravna oseba, ki ni proizvajalec, uvoznik ali distributer in ki bistveno spremeni izdelek z digitalnimi elementi ter omogoči dostopnost tega izdelka na trgu, se šteje za proizvajalca za namene te uredbe.

2. Za osebo iz odstavka 1 tega člena veljajo obveznosti iz člena 13 in 14 za del izdelka z digitalnimi elementi, na katerega vpliva bistvena sprememba, ali za celotni izdelek, če bistvena sprememba vpliva na kibernetsko varnost izdelka z digitalnimi elementi kot celoto.

Identifikacija gospodarskih subjektov

1. Gospodarski subjekti organom za nadzor trga na zahtevo predložijo naslednje informacije:

2. Gospodarski subjekti lahko predložijo informacije iz odstavka 1 še deset let po tem, ko jim je bil dobavljen izdelek z digitalnimi elementi, oziroma deset let po tem, ko so dobavili izdelek z digitalnimi elementi.

Obveznosti upravljavcev odprtokodne programske opreme

1. Upravljavci odprtokodne programske opreme vzpostavijo in na preverljiv način dokumentirajo politiko kibernetske varnosti, da bi pospešili razvoj varnega izdelka z digitalnimi elementi in spodbujali učinkovito obravnavanje ranljivosti s strani razvijalcev tega izdelka. Ta politika spodbuja tudi prostovoljno poročanje razvijalcev tega izdelka o ranljivostih, kakor je določeno v členu 15, in upošteva posebno naravo upravljavca odprtokodne programske opreme ter pravne in organizacijske ureditve, ki veljajo zanj. Zajema zlasti vidike, povezane z dokumentiranjem, obravnavanjem in odpravljanjem ranljivosti, ter spodbuja izmenjavo informacij o ranljivostih, odkritih znotraj odprtokodne skupnosti.

2. Upravljavci odprtokodne programske opreme na zahtevo organov za nadzor trga sodelujejo z njimi, da bi zmanjšali tveganja za kibernetsko varnost, ki jih predstavlja izdelek z digitalnimi elementi, ki se šteje za prosto in odprtokodno programsko opremo.

Na podlagi utemeljene zahteve organa za nadzor trga mu upravljavci odprtokodne programske opreme v jeziku, ki ga ta organ zlahka razume, zagotovijo dokumentacijo iz odstavka 1 v papirni ali elektronski obliki.

3. Obveznosti iz člena 14(1) se uporabljajo za upravljavce odprtokodne programske opreme, če sodelujejo pri razvoju izdelkov z digitalnimi elementi. Obveznosti iz člena 14(3) in (8) se uporabljajo za upravljavce odprtokodne programske opreme, če resni incidenti, ki ogrozijo varnost izdelkov z digitalnimi elementi, vplivajo na omrežja in informacijske sisteme, ki jih za razvoj takih izdelkov zagotavljajo upravljavci odprtokodne programske opreme.

Potrdilo o varnosti proste in odprtokodne programske opreme

Da bi olajšali izpolnjevanje obveznosti potrebne skrbnosti iz člena 13(5), zlasti v zvezi s proizvajalci, ki v svoje izdelke vključujejo sestavne dele proste in odprtokodne programske opreme z digitalnimi elementi, se na Komisijo prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 61 za dopolnitev te uredbe z vzpostavitvijo prostovoljnih programov varnostnih potrdil, ki razvijalcem ali uporabnikom izdelkov z digitalnimi elementi, ki se štejejo za prosto in odprtokodno programsko opremo, ter drugim tretjim osebam omogočajo, da ocenijo skladnost takih izdelkov z vsemi ali nekaterimi bistvenimi zahtevami glede kibernetske varnosti ali drugimi obveznostmi iz te uredbe.

Usmeritve

1. Da bi olajšali izvajanje in zagotovili doslednost takega izvajanja, Komisija objavi usmeritve za pomoč gospodarskim subjektom pri uporabi te uredbe s posebnim poudarkom na lajšanju zagotavljanja skladnosti mikropodjetij ter malih in srednjih podjetij.

2. Kadar Komisija namerava zagotoviti usmeritve iz odstavka 1, obravnava vsaj naslednje vidike:

Komisija vodi tudi lahko dostopen seznam delegiranih in izvedbenih aktov, sprejetih na podlagi te uredbe.

3. Komisija se pri pripravi usmeritev na podlagi tega člena posvetuje z zadevnimi deležniki.

Domneva o skladnosti

1. Za izdelke z digitalnimi elementi in postopke, ki jih je vzpostavil proizvajalec in ki so v skladu s harmoniziranimi standardi ali njihovimi deli, katerih sklici so bili objavljeni v Uradnem listu Evropske unije, se domneva, da so skladni z bistvenimi zahtevami glede kibernetske varnosti, določenimi v Prilogi I, iz teh standardov ali njihovih delov.

Komisija v skladu s členom 10(1) Uredbe (EU) št. 1025/2012 od ene ali več evropskih organizacij za standardizacijo zahteva pripravo harmoniziranih standardov za bistvene zahteve glede kibernetske varnosti iz Priloge I k tej uredbi. Pri pripravi zahtev za standardizacijo za to uredbo si Komisija prizadeva upoštevati obstoječe evropske in mednarodne standarde za kibernetsko varnost, ki se že izvajajo ali so v pripravi, da bi poenostavila pripravo harmoniziranih standardov v skladu z Uredbo (EU) št. 1025/2012.

2. Komisija lahko sprejme izvedbene akte, s katerimi določi skupne specifikacije, ki zajemajo tehnične zahteve, s katerimi se zagotavlja način za izpolnjevanje bistvenih zahtev glede kibernetske varnosti iz Priloge I za izdelke z digitalnimi elementi, ki spadajo na področje uporabe te uredbe.

Ti izvedbeni akti se sprejmejo le, kadar so izpolnjeni naslednji pogoji:

Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 62(2).

3. Komisija pred pripravo osnutka izvedbenega akta iz odstavka 2 tega člena obvesti odbor iz člena 22 Uredbe (EU) št. 1025/2012, da meni, da so pogoji iz odstavka 2 tega člena izpolnjeni.

4. Komisija pri pripravi osnutka izvedbenega akta iz odstavka 2 upošteva mnenja zadevnih organov in se ustrezno posvetuje z vsemi zadevnimi deležniki.

5. Za izdelke z digitalnimi elementi in postopke, ki jih je vzpostavil proizvajalec in ki so v skladu s skupnimi specifikacijami, določenimi z izvedbenimi akti iz odstavka 2 tega člena ali njihovimi deli, se domneva, da so skladni z bistvenimi zahtevami glede kibernetske varnosti iz Priloge I, zajetimi v navedenih skupnih specifikacijah ali delih teh specifikacij.

6. Kadar harmoniziran standard sprejme evropska organizacija za standardizacijo in se predlaga Komisiji z namenom objave sklica nanj v Uradnem listu Evropske unije, Komisija oceni harmonizirani standard v skladu z Uredbo (EU) št. 1025/2012. Ko se sklic na harmonizirani standard objavi v Uradnem listu Evropske unije, Komisija razveljavi izvedbene akte iz odstavka 2 tega člena ali njihove dele, ki zajemajo enake bistvene zahteve glede kibernetske varnosti kot tiste v harmoniziranem standardu.

7. Kadar država članica meni, da skupna specifikacija ne izpolnjuje v celoti bistvenih zahtev glede kibernetske varnosti iz Priloge I, o tem s predložitvijo podrobne obrazložitve obvesti Komisijo. Komisija te podrobne obrazložitve oceni in po potrebi lahko spremeni izvedbeni akt, ki določa zadevno skupno specifikacijo.

8. Za izdelke z digitalnimi elementi in postopke, ki jih je vzpostavil proizvajalec, za katere sta bila EU izjava o skladnosti ali certifikat izdana na podlagi evropske certifikacijske sheme kibernetske varnosti, sprejete na podlagi Uredbe (EU) 2019/881, se domneva, da so skladni z bistvenimi zahtevami glede kibernetske varnosti iz Priloge I, kolikor se EU izjava o skladnosti ali evropski certifikat kibernetske varnosti ali njuni deli nanašajo na navedene zahteve.

9. Na Komisijo se prenese pooblastilo, da sprejme delegirane akte v skladu s členom 61 te uredbe, tako da določi evropske certifikacijske sheme kibernetske varnosti, sprejete na podlagi Uredbe (EU) 2019/881, ki jih je mogoče uporabiti za dokazovanje skladnosti izdelkov z digitalnimi elementi z bistvenimi zahtevami glede kibernetske varnosti ali njihovimi deli, kot je določeno v Prilogi I k tej uredbi. Nadalje izdaja evropskega certifikata kibernetske varnosti na podlagi takih shem, na ravni zanesljivosti vsaj „znatno“, oprosti proizvajalca obveznosti zagotoviti ugotavljanje skladnosti z ustreznimi zahtevami, ki ga opravi tretja oseba, kakor je določeno v členu 32(2), točki (a) in (b), ter členu 32(3), točki (a) in (b), te uredbe.

EU izjava o skladnosti

1. Proizvajalci pripravijo EU izjavo o skladnosti v skladu s členom 13(12) in navedejo, da je bilo dokazano izpolnjevanje veljavnih bistvenih zahtev glede kibernetske varnosti iz Priloge I.

2. EU izjava o skladnosti ima vzorčno strukturo, navedeno v Prilogi V, in vsebuje elemente, opredeljene v ustreznih postopkih ugotavljanja skladnosti iz Priloge VIII. Taka izjava se po potrebi posodablja. Na voljo je v jezikih, ki jih zahteva država članica, v kateri se izdelek z digitalnimi elementi da na trg ali na voljo na trgu.

Poenostavljena EU izjava o skladnosti iz člena 13(20) ima vzorčno strukturo, določeno v Prilogi VI. Na voljo je v jezikih, ki jih zahteva država članica, v kateri se izdelek z digitalnimi elementi da na trg ali na voljo na trgu.

3. Kadar se za izdelek z digitalnimi elementi uporablja več kot en pravni akt Unije, ki zahteva EU izjavo o skladnosti, se v zvezi z vsemi takimi pravnimi akti Unije pripravi enotna EU izjava o skladnosti. V tej izjavi se opredelijo zadevni pravni akti Unije, vključno z navedbo objave.

4. Proizvajalec s pripravo EU izjave o skladnosti prevzame odgovornost za skladnost izdelka z digitalnimi elementi.

5. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 61, s katerimi se zaradi upoštevanja tehnološkega napredka ta uredba dopolni z dodajanjem elementov minimalni vsebini EU izjave o skladnosti, kakor je določena v Prilogi V.

Splošna načela oznake CE

Za oznako CE se uporabljajo splošna načela iz člena 30 Uredbe (ES) št. 765/2008.

Pravila in pogoji za namestitev oznake CE

1. Oznaka CE se vidno, čitljivo in neizbrisno namesti na izdelek z digitalnimi elementi. Kadar to zaradi narave izdelka z digitalnimi elementi ni mogoče ali upravičeno, se namesti na embalažo in na EU izjavo o skladnosti iz člena 28, priloženo izdelku z digitalnimi elementi. Pri izdelkih z digitalnimi elementi v obliki programske opreme se oznaka CE namesti na EU izjavo o skladnosti iz člena 28 ali na spletno mesto, povezano z izdelkom programske opreme. V slednjem primeru mora biti ustrezen razdelek spletnega mesta potrošnikom enostavno in neposredno dostopen.

2. Glede na naravo izdelka z digitalnimi elementi je lahko višina oznake CE, nameščene na izdelek z digitalnimi elementi, manj kot 5 mm, če ob tem ostane vidna in čitljiva.

3. Oznaka CE se namesti, preden se izdelek z digitalnimi elementi da na trg. Lahko ji sledi piktogram ali katera koli druga oznaka, ki označuje posebno tveganje za kibernetsko varnost ali uporabo, določeno v izvedbenih aktih iz odstavka 6.

4. Oznaki CE sledi identifikacijska številka priglašenega organa, kadar je ta vključen v postopek ugotavljanja skladnosti na podlagi popolnega zagotavljanja kakovosti (na podlagi modula H) iz člena 32.

Identifikacijsko številko priglašenega organa namesti organ sam ali jo na podlagi njegovih navodil namesti proizvajalec ali njegov pooblaščeni zastopnik.

5. Države članice nadgrajujejo obstoječe mehanizme, da zagotovijo pravilno uporabo sistema za označevanje z oznako CE, in sprejmejo ustrezne ukrepe v primeru nepravilne rabe te oznake. Kadar izdelek z digitalnimi elementi poleg te uredbe ureja harmonizacijska zakonodaja Unije, ki prav tako določa namestitev oznake CE, taka oznaka kaže, da izdelek izpolnjuje tudi zahteve, določene v drugi taki harmonizacijski zakonodaji Unije.

6. Komisija lahko z izvedbenimi akti določi tehnične specifikacije glede označb, piktogramov ali katerih koli drugih oznak, ki se nanašajo na varnost izdelkov z digitalnimi elementi, obdobja podpore in mehanizme za spodbujanje njihove uporabe ter povečanje ozaveščenosti javnosti o varnosti izdelkov z digitalnimi elementi. Komisija se pri pripravi osnutkov izvedbenih aktov posvetuje z ustreznimi deležniki in, če je že bila ustanovljena na podlagi člena 52(15), s skupino ADCO. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 62(2).

Tehnična dokumentacija

1. Tehnična dokumentacija vsebuje vse ustrezne podatke ali podrobnosti o sredstvih, ki jih je proizvajalec uporabil za zagotovitev, da so izdelek z digitalnimi elementi in postopki, ki jih je vzpostavil proizvajalec, skladni z bistvenimi zahtevami glede kibernetske varnosti iz Priloge I. Vsebuje vsaj elemente iz Priloge VII.

2. Tehnična dokumentacija se pripravi, preden se izdelek z digitalnimi elementi da na trg, in se stalno posodablja, kadar je ustrezno, in sicer vsaj v obdobju podpore.

3. Za izdelke z digitalnimi elementi iz člena 12, za katere se uporabljajo tudi drugi pravni akti Unije, ki zagotavljajo tehnično dokumentacijo, se pripravi enoten sklop tehnične dokumentacije, ki vsebuje informacije iz Priloge VII in informacije, ki jih zahtevajo navedeni pravni akti Unije.

4. Tehnična dokumentacija in korespondenca, ki se nanašata na kateri koli postopek ugotavljanja skladnosti, se pripravita v uradnem jeziku države članice, v kateri je sedež priglašenega organa, ali v jeziku, sprejemljivem za navedeni organ.

5. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 61, s katerimi se zaradi upoštevanja tehnološkega napredka in razvoja dogodkov pri izvajanju te uredbe ta uredba dopolni z elementi, ki jih je treba vključiti v tehnično dokumentacijo iz Priloge VII. V ta namen si Komisija prizadeva zagotoviti sorazmerno upravno breme za mikropodjetja ter mala in srednja podjetja.

Postopki ugotavljanja skladnosti za izdelke z digitalnimi elementi

1. Proizvajalec opravi ugotavljanje skladnosti izdelka z digitalnimi elementi in postopkov, ki jih je vzpostavil, da se preveri izpolnjevanje bistvenih zahtev glede kibernetske varnosti iz Priloge I. Proizvajalec dokazuje skladnost z bistvenimi zahtevami glede kibernetske varnosti z uporabo katerega koli od naslednjih postopkov:

2. Kadar proizvajalec pri ugotavljanju skladnosti pomembnega izdelka z digitalnimi elementi, ki sodi v razred I, kot je določen v Prilogi III, in postopkov, ki jih je vzpostavil proizvajalec, z bistvenimi zahtevami glede kibernetske varnosti iz Priloge I ne uporabi ali le delno uporabi harmonizirane standarde, skupne specifikacije ali evropske certifikacijske sheme kibernetske varnosti na ravni zanesljivosti vsaj „znatno“ iz člena 27 ali kadar taki harmonizirani standardi, skupne specifikacije ali evropske certifikacijske sheme kibernetske varnosti ne obstajajo, se za zadevni izdelek z digitalnimi elementi in postopke, ki jih je vzpostavil proizvajalec, glede teh bistvenih zahtev glede kibernetske varnosti uporabi kateri koli naslednji postopek:

3. Kadar je izdelek pomemben izdelek z digitalnimi elementi, ki sodi v razred II, kakor je določen v Prilogi III, proizvajalec dokazuje skladnost z bistvenimi zahtevami glede kibernetske varnosti iz Priloge I z uporabo katerega koli od naslednjih postopkov:

4. Kritični izdelki z digitalnimi elementi, navedeni v Prilogi IV, dokazujejo skladnost z bistvenimi zahtevami glede kibernetske varnosti iz Priloge I z uporabo enega od naslednjih postopkov:

5. Proizvajalci izdelkov z digitalnimi elementi, ki se štejejo za prosto in odprtokodno programsko opremo, ki spadajo v kategorije iz Priloge III, lahko dokažejo skladnost z bistvenimi zahtevami glede kibernetske varnosti iz Priloge I z enim od postopkov iz odstavka 1 tega člena, če je tehnična dokumentacija iz člena 31 dostopna javnosti ob dajanju teh izdelkov na trg.

6. Pri določanju pristojbin za izvajanje postopkov ugotavljanja skladnosti se upoštevajo posebni interesi in potrebe mikropodjetij ter malih in srednjih podjetij, vključno z zagonskimi podjetji, te pristojbine pa se znižajo sorazmerno s temi posebnimi interesi in potrebami.

Podporni ukrepi za mikropodjetja ter mala in srednja podjetja, vključno z zagonskimi podjetji

1. Države članice, kadar je primerno, sprejmejo naslednje ukrepe, prilagojene potrebam mikropodjetij in malih podjetij:

2. Države članice lahko po potrebi vzpostavijo regulativne peskovnike za kibernetsko odpornost. Taki regulativni peskovniki zagotavljajo nadzorovana okolja za preskušanje inovativnih izdelkov z digitalnimi elementi, da se olajša njihov razvoj, zasnova, potrjevanje in preskušanje za namene skladnosti s to uredbo za omejeno obdobje pred dajanjem na trg. Komisija in po potrebi agencija ENISA lahko zagotavljata tehnično podporo, svetovanje in orodja za vzpostavitev in delovanje regulativnih peskovnikov. Regulativni peskovniki se vzpostavijo pod neposrednim nadzorom, vodstvom in s podporo organov za nadzor trga. Države članice obvestijo Komisijo in druge organe za nadzor trga o vzpostavitvi regulativnega peskovnika prek skupine ADCO. Regulativni peskovniki ne vplivajo na pooblastila pristojnih organov za nadzor in popravne ukrepe. Države članice zagotovijo odprt, pravičen in pregleden dostop do regulativnih peskovnikov ter zlasti olajšajo dostop mikropodjetjem in malim podjetjem, vključno z zagonskimi podjetji.

3. Komisija v skladu s členom 26 pripravi usmeritve za mikropodjetja ter mala in srednja podjetja v zvezi z izvajanjem te uredbe.

4. Komisija obvešča o finančni podpori, ki je na voljo v regulativnem okviru obstoječih programov Unije, zlasti za zmanjšanje finančnega bremena za mikropodjetja in mala podjetja.

5. Mikropodjetja in mala podjetja lahko vse elemente tehnične dokumentacije iz Priloge VII predložijo v poenostavljeni obliki. V ta namen Komisija z izvedbenimi akti določi poenostavljen obrazec tehnične dokumentacije, prilagojen potrebam mikropodjetij in malih podjetij, vključno s tem, kako je treba zagotoviti elemente iz Priloge VII. Kadar se mikropodjetje ali malo podjetje odloči za predložitev informacij, določenih v Prilogi VII, na poenostavljen način, uporabi obrazec iz tega odstavka. Priglašeni organi sprejmejo ta obrazec za namene ugotavljanja skladnosti.

Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 62(2).

Sporazumi o vzajemnem priznavanju

Ob upoštevanju stopnje tehničnega razvoja in pristopa k ugotavljanju skladnosti tretje države lahko Unija sklene sporazume o medsebojnem priznavanju s tretjimi državami v skladu s členom 218 PDEU, da bi spodbudila in olajšala mednarodno trgovino.

Priglasitev

1. Države članice Komisiji in drugim državam članicam priglasijo organe, ki so pooblaščeni za izvajanje ugotavljanja skladnosti v skladu s to uredbo.

2. Države članice si prizadevajo zagotoviti, da je do 11. decembra 2026 v Uniji dovolj priglašenih organov za ugotavljanje skladnosti, da se preprečijo ozka grla in ovire za vstop na trg.

Priglasitveni organi

1. Vsaka država članica določi priglasitveni organ, ki je odgovoren za vzpostavitev in izvajanje potrebnih postopkov za ocenjevanje, določitev in priglasitev organov za ugotavljanje skladnosti ter za njihovo spremljanje, vključno s skladnostjo s členom 41.

2. Države članice lahko odločijo, da ocenjevanje in spremljanje iz odstavka 1izvaja nacionalni akreditacijski organ v smislu Uredbe (ES) št. 765/2008 in v skladu z njo.

3. Kadar priglasitveni organ za ocenjevanje, priglasitev ali spremljanje iz odstavka 1 tega člena pooblasti organ, ki ni vladni organ, ali mu drugače zaupa opravljanje teh nalog, je navedeni organ pravna oseba in smiselno izpolnjuje člen 37. Poleg tega mora imeti tak organ urejeno zavarovanje odgovornosti, ki izhajajo iz njegovih dejavnosti.

4. Priglasitveni organ je v celoti odgovoren za naloge, ki jih izvaja organ iz odstavka 3.

Zahteve v zvezi s priglasitvenimi organi

1. Priglasitveni organ se ustanovi tako, da ne pride do nasprotja interesov z organi za ugotavljanje skladnosti.

2. Priglasitveni organ je organiziran in deluje tako, da se zaščitita objektivnost in nepristranskost njegovih dejavnosti.

3. Priglasitveni organ je organiziran tako, da vsako odločitev v zvezi s priglasitvijo organa za ugotavljanje skladnosti sprejmejo pristojne osebe, ki niso tiste, ki so izvedle ocenjevanje.

4. Priglasitveni organ ne ponuja ali izvaja nobenih dejavnosti, ki jih izvajajo organi za ugotavljanje skladnosti, ali storitev svetovanja na komercialni ali konkurenčni podlagi.

5. Priglasitveni organ zagotavlja zaupnost pridobljenih informacij.

6. Priglasitveni organ ima na voljo zadostno število strokovnega osebja za pravilno izvajanje svojih nalog.

Obveznosti priglasitvenih organov glede obveščanja

1. Države članice obvestijo Komisijo o svojih postopkih ocenjevanja in priglasitve organov za ugotavljanje skladnosti ter spremljanja priglašenih organov, pa tudi o vseh spremembah v zvezi s tem.

2. Komisija zagotovi, da so informacije iz odstavka 1 javno dostopne.

Zahteve v zvezi s priglašenimi organi

1. Za namene priglasitve organ za ugotavljanje skladnosti izpolnjuje zahteve iz odstavkov 2 do 12.

2. Organ za ugotavljanje skladnosti se ustanovi na podlagi nacionalnega prava in je pravna oseba.

3. Organ za ugotavljanje skladnosti je organ tretje strani, neodvisen od organizacije ali izdelka z digitalnimi elementi, ki ga ocenjuje.

Organ, ki je del poslovnega združenja ali strokovne zveze, ki zastopa podjetja, vključena v zasnovo, razvoj, proizvodnjo, dobavo, sestavljanje, uporabo ali vzdrževanje izdelkov z digitalnimi elementi, ki jih ocenjuje, se lahko šteje za tak organ tretje strani, če se dokažeta njegova samostojnost in neobstoj nasprotja interesov.

4. Organ za ugotavljanje skladnosti, njegovo najvišje vodstvo in osebje, odgovorno za izvajanje nalog ugotavljanja skladnosti, ne smejo biti oblikovalci, razvijalci, proizvajalci, dobavitelji, uvozniki, distributerji, monterji, kupci, lastniki, uporabniki ali vzdrževalci izdelkov z digitalnimi elementi, ki jih ocenjujejo, niti pooblaščeni zastopniki katere koli izmed teh oseb. To ne onemogoča uporabe ocenjevanih izdelkov, ki so nujni za delovanje organa za ugotavljanje skladnosti, ali uporabe takih izdelkov za osebne namene.

Organ za ugotavljanje skladnosti, njegovo najvišje vodstvo in osebje, odgovorno za izvajanje nalog ugotavljanja skladnosti, ne sodelujejo neposredno pri zasnovi, razvoju, proizvodnji, uvozu, distribuciji, trženju, vgradnji, uporabi ali vzdrževanju izdelkov z digitalnimi elementi, ki jih ocenjujejo, ali zastopajo strank, ki se ukvarjajo s temi dejavnostmi. Ne sodelujejo pri nobenih dejavnostih, ki bi lahko bile v nasprotju z njihovo neodvisno presojo ali integriteto v zvezi z dejavnostmi ugotavljanja skladnosti, za katere so priglašeni. To še zlasti velja za svetovalne storitve.

Organi za ugotavljanje skladnosti zagotovijo, da dejavnosti njihovih odvisnih družb ali podizvajalcev ne vplivajo na zaupnost, objektivnost ali nepristranskost njihovih dejavnosti ugotavljanja skladnosti.

5. Organi za ugotavljanje skladnosti in njihovo osebje izvajajo dejavnosti ugotavljanja skladnosti z najvišjo stopnjo poklicne integritete in potrebno strokovno usposobljenostjo na posameznem področju, brez pritiskov in spodbud, zlasti finančnih, ki bi lahko vplivali na njihovo presojo ali rezultate njihovih dejavnosti ugotavljanja skladnosti, predvsem v zvezi z osebami ali skupinami oseb, za katere so rezultati navedenih dejavnosti pomembni.

6. Organ za ugotavljanje skladnosti je sposoben izvajati vse naloge ugotavljanja skladnosti iz Priloge VIII, za katere je bil priglašen, ne glede na to, ali navedene naloge izvaja sam ali se izvajajo v njegovem imenu in pod njegovo odgovornostjo.

Organ za ugotavljanje skladnosti ima vedno ter za vsak postopek ugotavljanja skladnosti in vsako vrsto ali kategorijo izdelka z digitalnimi elementi, v zvezi s katerim je bil priglašen, na razpolago:

Organ za ugotavljanje skladnosti ima potrebna sredstva za ustrezno izvajanje tehničnih in upravnih nalog, povezanih z dejavnostmi ugotavljanja skladnosti, ter dostop do vse potrebne opreme ali prostorov.

7. Osebje, odgovorno za izvajanje dejavnosti ugotavljanja skladnosti:

8. Zagotovi se nepristranskost organov za ugotavljanje skladnosti, njihovega najvišjega vodstva in osebja, ki izvaja ugotavljanje skladnosti.

Plačilo najvišjega vodstva in osebja, ki izvaja ugotavljanje skladnosti, organa za ugotavljanje skladnosti ni odvisno od števila izvedenih ugotavljanj skladnosti ali od rezultatov teh ugotovitev.

9. Organi za ugotavljanje skladnosti sklenejo zavarovanje odgovornosti, razen če odgovornost prevzame njihova država članica v skladu z nacionalnim pravom ali če je država članica sama neposredno odgovorna za ugotavljanje skladnosti.

10. Osebje organa za ugotavljanje skladnosti je zavezano k poklicni molčečnosti v zvezi z vsemi informacijami, pridobljenimi med izvajanjem nalog na podlagi Priloge VIII ali katere koli določbe nacionalnega prava, na podlagi katere se ta izvaja, razen glede organov za nadzor trga države članice, v kateri izvaja svoje dejavnosti. Lastniške pravice so zaščitene. Organ za ugotavljanje skladnosti vzpostavi dokumentirane postopke, s katerimi se zagotavlja skladnost s tem odstavkom.

11. Organi za ugotavljanje skladnosti sodelujejo pri ustreznih dejavnostih standardizacije in dejavnostih skupine za koordinacijo priglašenih organov, ustanovljene na podlagi člena 51, ali zagotovijo, da je njihovo osebje za ugotavljanje skladnosti obveščeno o teh dejavnostih, ter kot splošne usmeritve uporabljajo upravne odločbe in dokumente, ki so rezultat dela navedene skupine.

12. Organi za ugotavljanje skladnosti delujejo v skladu z vrsto doslednih, pravičnih, sorazmernih in razumnih pogojev, pri tem pa se izognejo nepotrebni obremenitvi gospodarskih subjektov, zlasti ob upoštevanju interesov mikropodjetij ter malih in srednjih podjetij v zvezi s pristojbinami.

Domneva o skladnosti priglašenih organov

Kadar organ za ugotavljanje skladnosti dokaže skladnost z merili, določenimi v ustreznih harmoniziranih standardih ali njihovih delih, katerih sklici so bili objavljeni v Uradnem listu Evropske unije, se domneva, da izpolnjuje zahteve iz člena 39, če veljavni harmonizirani standardi zajemajo te zahteve.

Odvisna podjetja in podizvajalci priglašenih organov

1. Kadar priglašeni organ za določene naloge, povezane z ugotavljanjem skladnosti, sklene pogodbo s podizvajalcem ali jih prenese na odvisno podjetje, zagotovi, da podizvajalec ali odvisno podjetje izpolnjuje zahteve iz člena 39, ter o tem obvesti priglasitveni organ.

2. Priglašeni organi so v celoti odgovorni za naloge, ki jih izvajajo podizvajalci ali odvisna podjetja, ne glede na to, kje imajo sedež.

3. Dejavnosti se lahko prenesejo na podizvajalca ali odvisno podjetje le, če proizvajalec s tem soglaša.

4. Priglašeni organi hranijo zadevne dokumente v zvezi z ocenjevanjem usposobljenosti podizvajalca ali odvisnega podjetja ter nalogami, ki jih izvajajo na podlagi te uredbe, ter omogočajo priglasitvenemu organu dostop do njih.

Vloga za priglasitev

1. Organ za ugotavljanje skladnosti predloži vlogo za priglasitev priglasitvenemu organu države članice, v kateri ima sedež.

2. Tej vlogi se priloži opis dejavnosti ugotavljanja skladnosti, postopka ali postopkov ugotavljanja skladnosti ter izdelka ali izdelkov z digitalnimi elementi, za katere je ta organ po lastnih trditvah pristojen, po potrebi pa se priloži tudi morebitno certifikat o akreditaciji, ki ga izda nacionalni akreditacijski organ in ki potrjuje, da organ za ugotavljanje skladnosti izpolnjuje zahteve iz člena 39.

3. Kadar zadevni organ za ugotavljanje skladnosti ne more zagotoviti certifikata o akreditaciji, priglasitvenemu organu predloži vse listinske dokaze, potrebne za preverjanje, priznavanje in redno spremljanje njegove skladnosti z zahtevami iz člena 39.

Postopek priglasitve

1. Priglasitveni organi priglasijo samo tiste organe za ugotavljanje skladnosti, ki izpolnjujejo zahteve iz člena 39.

2. Priglasitveni organ obvesti Komisijo in druge države članice prek informacijskega sistema o priglašenih in določenih organih novega pristopa, ki ga je razvila in ki ga vodi Komisija.

3. Priglasitev vključuje vse podrobnosti o dejavnostih ugotavljanja skladnosti, modul ali module za ugotavljanje skladnosti in zadevni izdelek ali izdelke z digitalnimi elementi ter ustrezno potrdilo o usposobljenosti.

4. Kadar priglasitev ne temelji na certifikatu o akreditaciji iz člena 42(2), priglasitveni organ Komisiji in drugim državam članicam predloži listinske dokaze, ki potrjujejo usposobljenost organa za ugotavljanje skladnosti in vzpostavljene ureditve za zagotovitev, da bo organ pod rednim nadzorom in bo stalno izpolnjeval zahteve iz člena 39.

5. Zadevni organ lahko izvaja dejavnosti priglašenega organa le, kadar Komisija ali druge države članice ne predložijo ugovora v dveh tednih od priglasitve, kadar se uporabi certifikat o akreditaciji, ali v dveh mesecih od priglasitve, kadar certifikat o akreditaciji ni uporabljen.

Samo tak organ se šteje za priglašeni organ za namene te uredbe.

6. Komisija in druge države članice so uradno obveščene o vseh nadaljnjih zadevnih spremembah priglasitve.

Identifikacijske številke in seznami priglašenih organov

1. Komisija priglašenemu organu dodeli identifikacijsko številko.

Dodeli mu samo eno tako številko, tudi kadar je organ priglašen na podlagi več pravnih aktov Unije.

2. Komisija javno objavi seznam organov, priglašenih na podlagi te uredbe, vključno z identifikacijskimi številkami, ki so jim bile dodeljene, in dejavnostmi, za katere so bili priglašeni.

Komisija zagotovi, da se ta seznam posodablja.

Spremembe priglasitev

1. Kadar priglasitveni organ ugotovi ali je obveščen, da priglašeni organ ne izpolnjuje več zahtev iz člena 39 ali ne izpolnjuje svojih obveznosti, omeji, začasno prekliče ali prekliče priglasitev, kot je ustrezno glede na resnost neizpolnjevanja teh zahtev ali nespoštovanja teh obveznosti. O tem takoj obvesti Komisijo in druge države članice.

2. V primeru omejitve, začasnega preklica ali preklica priglasitve ali kadar je priglašeni organ prenehal opravljati dejavnost, država članica priglasiteljica sprejme ustrezne ukrepe za zagotovitev, da zadeve tega organa obravnava drug priglašeni organ ali da so na zahtevo na voljo pristojnim priglasitvenim organom in organom za nadzor trga.

Izpodbijanje usposobljenosti priglašenih organov

1. Komisija razišče vse primere, v katerih dvomi oziroma kadar je bila opozorjena na dvom v usposobljenost priglašenega organa ali v to, da ta še izpolnjuje zahteve in obveznosti, ki veljajo zanj.

2. Država članica priglasiteljica Komisiji na zahtevo predloži vse informacije v zvezi s podlago za priglasitev ali ohranjanjem usposobljenosti zadevnega organa.

3. Komisija zagotovi, da se vse občutljive informacije, pridobljene v okviru njenih preiskav, obravnavajo zaupno.

4. Kadar Komisija ugotovi, da priglašeni organ ne izpolnjuje ali ne izpolnjuje več zahtev za priglasitev, o tem obvesti državo članico priglasiteljico in od nje zahteva, naj sprejme potrebne popravne ukrepe, vključno z umikom priglasitve, če je to potrebno.

Obveznosti priglašenih organov glede njihovega dela

1. Priglašeni organi izvajajo ugotavljanje skladnosti v skladu s postopki ugotavljanja skladnosti iz člena 32 in Priloge VIII.

2. Ugotavljanje skladnosti se izvaja sorazmerno, tako da se prepreči nepotrebna obremenitev gospodarskih subjektov. Organi za ugotavljanje skladnosti pri izvajanju svojih dejavnosti upoštevajo velikost podjetja, zlasti kar zadeva mikropodjetja ter mala in srednja podjetja, sektor, v katerem delujejo, njihovo strukturo, stopnjo zahtevnosti in raven tveganja za kibernetsko varnost zadevnih izdelkov z digitalnimi elementi in tehnologije in masovno ali serijsko naravo proizvodnega postopka.

3. Vendar priglašeni organi upoštevajo stopnjo strogosti in raven zaščite, ki sta potrebni za skladnost izdelkov z digitalnimi elementi s to uredbo.

4. Kadar priglašeni organ ugotovi, da proizvajalec ni izpolnil zahtev, določenih v Prilogi I, ali v ustreznih harmoniziranih standardih ali skupnih specifikacijah iz člena 27, od njega zahteva, naj sprejme ustrezne popravne ukrepe, in ne izda certifikata o skladnosti.

5. Kadar priglašeni organ med postopkom spremljanja skladnosti po izdaji certifikata o skladnosti ugotovi, da izdelek z digitalnimi elementi ni več skladen z zahtevami iz te uredbe, od proizvajalca zahteva, naj sprejme ustrezne popravne ukrepe, in po potrebi začasno prekliče ali prekliče potrdilo.

6. Kadar popravni ukrepi niso sprejeti ali nimajo zahtevanega učinka, priglašeni organ omeji, začasno prekliče ali prekliče katera koli potrdila, kakor je ustrezno.

Pritožba zoper odločitve priglašenih organov

Države članice zagotovijo, da je na voljo pritožbeni postopek zoper odločitve priglašenih organov.

Obveznosti priglašenih organov glede obveščanja

1. Priglašeni organi obvestijo priglasitveni organ o:

2. Priglašeni organi drugim organom, ki so priglašeni na podlagi te uredbe in izvajajo podobne dejavnosti ugotavljanja skladnosti, ki se nanašajo na enake izdelke z digitalnimi elementi, zagotavljajo ustrezne informacije o vprašanjih v zvezi z negativnimi in, na zahtevo, pozitivnimi rezultati ugotavljanja skladnosti.

Izmenjava izkušenj

Komisija organizira izmenjavo izkušenj med nacionalnimi organi držav članic, ki so pristojni za politiko priglasitev.

Usklajevanje priglašenih organov

1. Komisija zagotovi vzpostavitev in pravilno delovanje ustreznega usklajevanja in sodelovanja med priglašenimi organi v obliki medsektorske skupine priglašenih organov.

2. Države članice zagotovijo, da organi, ki jih priglasijo, neposredno ali po pooblaščenih predstavnikih sodelujejo pri delu te skupine.

Nadzor trga in nadzor izdelkov z digitalnimi elementi na trgu Unije

1. Uredba (EU) 2019/1020 se uporablja za izdelke z digitalnimi elementi, ki spadajo na področje uporabe te uredbe.

2. Vsaka država članica imenuje enega ali več organov za nadzor trga, da se zagotovi učinkovito izvajanje te uredbe. Države članice lahko imenujejo obstoječi ali nov organ, ki bo deloval kot organ za nadzor trga za potrebe te uredbe.

3. Organi za nadzor trga, imenovani na podlagi odstavka 2 tega člena, so odgovorni tudi za izvajanje dejavnosti nadzora trga v zvezi z obveznostmi za upravljavce odprtokodne programske opreme iz člena 24. Kadar organ za nadzor trga ugotovi, da upravljavec odprtokodne programske opreme ne izpolnjuje obveznosti iz navedenega člena, od njega zahteva, da sprejme vse ustrezne popravne ukrepe. Upravljavci odprtokodne programske opreme zagotovijo, da se sprejmejo vsi ustrezni popravni ukrepi v zvezi z njihovimi obveznostmi na podlagi te uredbe.

4. Kadar je ustrezno, organi za nadzor trga sodelujejo z nacionalnimi certifikacijskimi organi za kibernetsko varnost, imenovanimi na podlagi člena 58 Uredbe (EU) 2019/881, in si z njimi redno izmenjujejo informacije. Glede nadzora nad izvajanjem obveznosti poročanja na podlagi člena 14 te uredbe imenovani organi za nadzor trga sodelujejo in redno izmenjujejo informacije s skupinami CSIRT, ki so imenovane za koordinatorje, in agencijo ENISA.

5. Organi za nadzor trga lahko skupino CSIRT, ki je imenovana za koordinatorja, ali agencijo ENISA prosijo za tehnično svetovanje o zadevah, povezanih z izvajanjem in izvrševanjem te uredbe. Pri izvajanju preiskave na podlagi člena 54 lahko organi za nadzor trga skupino CSIRT, ki je imenovana za koordinatorja, ali agencijo ENISA zaprosijo za analizo v podporo ocenam skladnosti izdelkov z digitalnimi elementi.

6. Kadar je ustrezno, organi za nadzor trga sodelujejo z drugimi organi za nadzor trga, imenovanimi na podlagi harmonizacijske zakonodaje Unije, ki ni ta uredba, in si z njimi redno izmenjujejo informacije.

7. Organi za nadzor trga sodelujejo, kakor je ustrezno, z organi za nadzor prava Unije o varstvu podatkov. Tako sodelovanje vključuje obveščanje teh organov o vseh ugotovitvah, pomembnih za izpolnjevanje njihovih pristojnosti, tudi ko izdajajo usmeritve in nasvete na podlagi odstavka 10, če se take usmeritve in nasveti nanašajo na obdelavo osebnih podatkov.

Organi za nadzor prava Unije o varstvu podatkov lahko zahtevajo vso dokumentacijo, ki se ustvari ali hrani na podlagi te uredbe, in dostopajo do nje, če je dostop do take dokumentacije potreben za izpolnjevanje njihovih nalog. O vseh takih zahtevah obvestijo imenovane organe za nadzor trga zadevne države članice.

8. Države članice zagotovijo, da imajo imenovani organi za nadzor trga na voljo ustrezne finančne in tehnične vire, kadar je primerno tudi orodja za avtomatično obdelavo, ter človeške vire s potrebnimi veščinami na področju kibernetske varnosti za izpolnjevanje svojih nalog na podlagi te uredbe.

9. Komisija spodbuja in olajša izmenjavo izkušenj med imenovanimi organi za nadzor trga.

10. Organi za nadzor trga lahko zagotavljajo usmeritve in nasvete gospodarskim subjektom glede izvajanja te uredbe, ob podpori Komisije in po potrebi skupin CSIRT in agencije ENISA.

11. Organi za nadzor trga v skladu s členom 11 Uredbe (EU) 2019/1020 obvestijo potrošnike, kje lahko vložijo pritožbe, ki bi lahko kazale na neskladnost s to uredbo, in potrošnikom zagotovijo informacije o tem, kje in kako lahko dostopajo do mehanizmov za lažje poročanje o ranljivostih, incidentih in kibernetskih grožnjah, ki lahko vplivajo na izdelke z digitalnimi elementi.

12. Organi za nadzor trga, kadar je ustrezno, olajšajo sodelovanje z ustreznimi deležniki, vključno z znanstvenimi, raziskovalnimi in potrošniškimi organizacijami.

13. Organi za nadzor trga Komisiji letno poročajo o izidih zadevnih dejavnosti nadzora trga. Imenovani organi za nadzor trga Komisiji in zadevnim nacionalnim organom za varstvo konkurence brez odlašanja sporočijo vse informacije, ugotovljene med dejavnostmi nadzora trga, ki bi lahko bile pomembne za uporabo prava Unije s področja konkurence.

14. Glede izdelkov z digitalnimi elementi, ki spadajo na področje uporabe te uredbe, ki so na podlagi člena 6 Uredbe (EU) 2024/1689 razvrščeni kot visokotvegani sistemi UI, so organi za nadzor trga, imenovani za namene navedene uredbe, organi, ki so odgovorni za dejavnosti nadzora trga, ki se zahtevajo na podlagi te uredbe. Organi za nadzor trga, imenovani na podlagi Uredbe (EU) 2024/1689, sodelujejo, kakor je ustrezno, z organi za nadzor trga, imenovanimi na podlagi te uredbe, v zvezi z nadzorom izvajanja obveznosti poročanja na podlagi člena 14 te uredbe, pa tudi s skupinami CSIRT, ki so imenovane za koordinatorje, in z agencijo ENISA. Organi za nadzor trga, imenovani na podlagi Uredbe (EU) 2024/1689, zlasti obveščajo organe za nadzor trga, imenovane na podlagi te uredbe, o vseh ugotovitvah, ki so pomembne za izpolnjevanje njihovih nalog v zvezi z izvajanjem te uredbe.

15. Na podlagi člena 30(2) Uredbe (EU) 2019/1020 se ustanovi skupina ADCO za enotno uporabo te uredbe. Skupino ADCO sestavljajo predstavniki imenovanih organov za nadzor trga in, če je ustrezno, predstavniki enotnih povezovalnih organov. Skupina ADCO obravnava tudi posebna vprašanja v zvezi z dejavnostmi nadzora trga glede obveznosti upravljavcev odprtokodne programske opreme.

16. Organi za nadzor trga spremljajo, kako proizvajalci uporabljajo merila iz člena 13(8), ko določajo obdobje podpore za svoje izdelke z digitalnimi elementi.

Skupina ADCO v javno dostopni in uporabniku prijazni obliki objavi ustrezne statistične podatke o kategorijah izdelkov z digitalnimi elementi, vključno s povprečnimi obdobji podpore, kot jih določi proizvajalec na podlagi člena 13(8), ter zagotovi usmeritve z okvirnimi obdobji podpore za kategorije izdelkov z digitalnimi elementi.

Kadar podatki pokažejo, da so obdobja podpore za določene kategorije izdelkov z digitalnimi elementi neustrezna, lahko skupina ADCO organom za nadzor trga priporoči, naj svoje dejavnosti osredotočijo na take kategorije izdelkov z digitalnimi elementi.

Dostop do podatkov in dokumentacije

Kadar je treba oceniti skladnost izdelkov z digitalnimi elementi in postopkov, ki so jih vzpostavili njihovi proizvajalci, z bistvenimi zahtevami glede kibernetske varnosti iz Priloge I, se organom za nadzor trga na njihovo obrazloženo zahtevo omogoči dostop do podatkov, v jeziku, ki ga zlahka razumejo, ki so potrebni za ocenjevanje zasnove, razvoja, proizvodnje in obravnavanja ranljivosti takih izdelkov, vključno z zadevno interno dokumentacijo zadevnih gospodarskih subjektov.

Postopek na nacionalni ravni glede izdelkov z digitalnimi elementi, ki pomenijo povečano tveganje za kibernetsko varnost

1. Kadar ima organ za nadzor trga države članice zadostne razloge za mnenje, da izdelek z digitalnimi elementi, vključno z obravnavanjem njegove ranljivosti, pomeni povečano tveganje za kibernetsko varnost, brez nepotrebnega odlašanja in po potrebi v sodelovanju z zadevno skupino CSIRT opravi oceno zadevnega izdelka z digitalnimi elementi glede njegove skladnosti z vsemi zahtevami iz te uredbe. Zadevni gospodarski subjekti sodelujejo z organi za nadzor trga, kakor je potrebno.

Kadar med navedenim ocenjevanjem organ za nadzor trga ugotovi, da izdelek z digitalnimi elementi ne izpolnjuje zahtev iz te uredbe, od zadevnega gospodarskega subjekta brez odlašanja zahteva, naj sprejme vse ustrezne popravne ukrepe za zagotovitev, da izdelek z digitalnimi elementi izpolnjuje navedene zahteve, ga umakne s trga oziroma ga odpokliče v razumnem roku, ki je sorazmeren z naravo tveganja za kibernetsko varnost in ki ga lahko določi organ za nadzor trga.

Organ za nadzor trga o tem obvesti zadevni priglašeni organ. Člen 18 Uredbe (EU) 2019/1020 se uporablja za popravne ukrepe.

2. Organi za nadzor trga pri določanju pomembnosti tveganja za kibernetsko varnost iz odstavka 1 tega člena upoštevajo tudi netehnične dejavnike tveganja, zlasti tiste, ki so bili ugotovljeni na podlagi usklajenih ocen tveganja za varnost kritičnih dobavnih verig na ravni Unije, izvedenih v skladu s členom 22 Direktive (EU) 2022/2555. Kadar ima organ za nadzor trga zadostne razloge za domnevo, da izdelek z digitalnimi elementi predstavlja povečano tveganje za kibernetsko varnost zaradi netehničnih dejavnikov tveganja, o tem obvesti pristojne organe, imenovane ali ustanovljene na podlagi člena 8 Direktive (EU) 2022/2555 in po potrebi sodeluje s temi organi.

3. Kadar organ za nadzor trga meni, da neskladnost ni omejena na njegovo nacionalno ozemlje, Komisijo in druge države članice obvesti o rezultatih ocenjevanja in ukrepih, ki jih je zahteval od gospodarskega subjekta.

4. Gospodarski subjekt zagotovi izvedbo vseh ustreznih popravnih ukrepov glede vseh zadevnih izdelkov z digitalnimi elementi, katerih dostopnost na trgu je omogočil kjer koli v Uniji.

5. Kadar gospodarski subjekt v roku iz odstavka 1, drugi pododstavek, ne sprejme zadostnih popravnih ukrepov, organ za nadzor trga sprejme vse ustrezne začasne ukrepe za prepoved ali omejitev dostopnosti izdelka z digitalnimi elementi na svojem nacionalnem trgu oziroma za njegov umik ali odpoklic s trga.

Ta organ o navedenih ukrepih nemudoma uradno obvesti Komisijo in druge države članice.

6. Informacije iz odstavka 5 vsebujejo vse razpoložljive podrobnosti, zlasti podatke, potrebne za identifikacijo neskladnega izdelka z digitalnimi elementi, poreklo tega izdelka z digitalnimi elementi, vrsto domnevne neskladnosti in tveganja, vrsto in trajanje sprejetih nacionalnih ukrepov ter argumente zadevnega gospodarskega subjekta. Organ za nadzor trga zlasti navede, ali je neskladnost posledica naslednjega:

7. Organi za nadzor trga držav članic, razen organa za nadzor trga države članice, ki je začel postopek, brez odlašanja obvestijo Komisijo in druge države članice o vseh sprejetih ukrepih in vseh dodatnih informacijah, ki so jim na voljo v zvezi z neskladnostjo zadevnega izdelka z digitalnimi elementi, ter o svojih ugovorih v primeru nestrinjanja s priglašenim nacionalnim ukrepom.

8. Kadar države članice ali Komisija v treh mesecih po prejemu obvestila iz odstavka 5 tega člena ne vložijo ugovora zoper začasni ukrep, ki ga je sprejela posamezna država članica, se šteje, da je ukrep upravičen. To ne posega v postopkovne pravice zadevnega gospodarskega subjekta v skladu s členom 18 Uredbe (EU) 2019/1020.

9. Organi za nadzor trga vseh držav članic zagotovijo, da se brez odlašanja sprejmejo ustrezni omejevalni ukrepi v zvezi z zadevnim izdelkom z digitalnimi elementi, na primer umik tega izdelka z njihovega trga.

Zaščitni postopek Unije

1. Kadar država članica v treh mesecih od prejema uradnega obvestila iz člena 54(5) poda ugovor proti ukrepu, ki ga je sprejela druga država članica, ali kadar Komisija meni, da je ukrep v nasprotju s pravom Unije, se Komisija brez odlašanja posvetuje z zadevno državo članico in gospodarskim subjektom ali gospodarskimi subjekti ter oceni nacionalni ukrep. Komisija na podlagi rezultatov tega ocenjevanja v devetih mesecih od uradnega obvestila iz člena 54(5) odloči, ali je nacionalni ukrep upravičen ali ne, in o tej odločitvi uradno obvesti zadevno državo članico.

2. Če se nacionalni ukrep šteje za upravičenega, vse države članice sprejmejo potrebne ukrepe za zagotovitev, da se neskladni izdelek z digitalnimi elementi umakne z njihovega trga, in o tem obvestijo Komisijo. Če se ugotovi, da je nacionalni ukrep neupravičen, zadevna država članica ukrep umakne.

3. Kadar se nacionalni ukrep šteje za upravičenega, vzrok za neskladnost izdelka z digitalnimi elementi pa so pomanjkljivosti v harmoniziranih standardih, Komisija uporabi postopek iz člena 11 Uredbe (EU) št. 1025/2012.

4. Kadar se nacionalni ukrep šteje za upravičenega, vzrok za neskladnost izdelka z digitalnimi elementi pa so pomanjkljivosti v evropski certifikacijski shemi kibernetske varnosti, kot je navedena v členu 27, Komisija prouči, ali naj spremeni ali razveljavi vsak delegirani akt, sprejet na podlagi člena 27(9), ki določa domnevo o skladnosti v zvezi s tako certifikacijsko shemo.

5. Kadar se nacionalni ukrep šteje za upravičenega, vzrok za neskladnost izdelka z digitalnimi elementi pa so pomanjkljivosti v skupnih specifikacijah iz člena 27, Komisija prouči, ali naj spremeni ali razveljavi vsak izvedbeni akt, sprejet na podlagi člena 27(2), v katerem so določene navedene skupne specifikacije.

Postopek na ravni Unije glede izdelkov z digitalnimi elementi, ki pomenijo povečano tveganje za kibernetsko varnost

1. Kadar Komisija utemeljeno domneva, tudi na podlagi informacij, ki jih zagotovi agencija ENISA, da izdelek z digitalnimi elementi, ki pomeni povečano tveganje za kibernetsko varnost, ni skladen z zahtevami iz te uredbe, obvesti zadevne organe za nadzor trga. Kadar organi za nadzor trga opravijo oceno tega izdelka z digitalnimi elementi, ki lahko pomeni povečano tveganje za kibernetsko varnost v smislu njegove skladnosti z zahtevami iz te uredbe, se uporabijo postopki iz členov 54 in 55.

2. Kadar Komisija utemeljeno domneva, da izdelek z digitalnimi elementi predstavlja povečano tveganje za kibernetsko varnost zaradi netehničnih dejavnikov tveganja, o tem obvesti ustrezne organe za nadzor trga in, kadar je primerno, pristojne organe, imenovane ali ustanovljene na podlagi člena 8 Direktive (EU) 2022/2555, ter po potrebi sodeluje s temi organi. Komisija upošteva tudi ustreznost ugotovljenih tveganj za ta izdelek z digitalnimi elementi glede na svoje naloge, povezane z usklajenimi ocenami tveganja za varnost kritičnih dobavnih verig na ravni Unije iz člena 22 Direktive (EU) 2022/2555 ter se po potrebi posvetuje s skupino za sodelovanje, ustanovljeno na podlagi člena 14 Direktive (EU) 2022/2555, in agencijo ENISA.

3. V okoliščinah, ki zahtevajo takojšnje ukrepanje za ohranitev pravilnega delovanja notranjega trga, in kadar ima Komisija zadostne razloge za mnenje, da izdelek z digitalnimi elementi iz odstavka 1 še vedno ni skladen z zahtevami iz te uredbe, zadevni organi za nadzor trga pa niso sprejeli učinkovitih ukrepov, Komisija opravi oceno skladnosti in lahko od agencije ENISA zahteva, da zagotovi analizo v podporo tej oceni. Komisija o tem obvesti zadevne organe za nadzor trga. Zadevni gospodarski subjekti sodelujejo z agencijo ENISA, kakor je potrebno.

4. Komisija lahko na podlagi ocene iz odstavka 3 določi, da je na ravni Unije potreben popravni ali omejevalni ukrep. V ta namen se brez odlašanja posvetuje z zadevnimi državami članicami in gospodarskim subjektom ali subjekti.

5. Na podlagi posvetovanja iz odstavka 4 tega člena lahko Komisija sprejme izvedbene akte, s katerimi zagotovi popravne ali omejevalne ukrepe na ravni Unije, vključno z odreditvijo umika zadevnega izdelka z digitalnimi elementi s trga ali odpoklica v razumnem roku, ki je sorazmeren z naravo tveganja. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 62(2).

6. Komisija izvedbeni akt iz odstavka 5 takoj sporoči zadevnemu gospodarskemu subjektu ali subjektom. Države članice te izvedbene akte brez odlašanja izvedejo in o tem obvestijo Komisijo.

7. Odstavki 3 do 6 se uporabljajo, dokler trajajo izredne razmere, ki upravičujejo poseg Komisije, pod pogojem, da ni zagotovljena skladnost zadevnega izdelka z digitalnimi elementi s to uredbo.

Skladni izdelki z digitalnimi elementi, ki pomenijo povečano tveganje za kibernetsko varnost

1. Organ za nadzor trga države članice od gospodarskega subjekta zahteva, da sprejme vse ustrezne ukrepe, kadar po izvedbi ocene na podlagi člena 54 ugotovi, da so izdelek z digitalnimi elementi in postopki, ki jih je vzpostavil proizvajalec, sicer skladni s to uredbo, vendar kljub temu pomenijo povečano tveganje za kibernetsko varnost, poleg tega pa pomenijo tudi tveganje za:

Ukrepi iz prvega pododstavka lahko vključujejo ukrepe za zagotovitev, da zadevni izdelek z digitalnimi elementi in postopki, ki jih je vzpostavil proizvajalec, ko so dani na trg, ne pomenijo več ustreznih tveganj, umik izdelka z digitalnimi elementi s trga ali odpoklic v razumnem roku, ki je sorazmeren z naravo teh tveganj.

2. Proizvajalec ali drugi zadevni gospodarski subjekti zagotovijo izvedbo popravnih ukrepov glede zadevnih izdelkov z digitalnimi elementi, katerih dostopnost na trgu so omogočili kjer koli v Uniji, v roku, ki ga predpiše organ za nadzor trga države članice iz odstavka 1.

3. Država članica takoj obvesti Komisijo in druge države članice o ukrepih, sprejetih na podlagi odstavka 1. Te informacije vsebujejo vse razpoložljive podrobnosti, zlasti podatke, potrebne za identifikacijo zadevnih izdelkov z digitalnimi elementi, poreklo in dobavno verigo navedenih izdelkov z digitalnimi elementi, naravo tveganja ter vrsto in trajanje sprejetih nacionalnih ukrepov.

4. Komisija se brez odlašanja posvetuje z državami članicami in zadevnim gospodarskim subjektom ter oceni sprejete nacionalne ukrepe. Na podlagi rezultatov navedenega ocenjevanja odloči, ali je ukrep upravičen ali ne, in po potrebi predlaga ustrezne ukrepe.

5. Komisija odločitev iz odstavka 4 naslovi na države članice.

6. Kadar Komisija utemeljeno domneva, tudi na podlagi informacij, ki jih zagotovi agencija ENISA, da izdelek z digitalnimi elementi, ki je sicer skladen s to uredbo, pomeni tveganja iz odstavka 1 tega člena, obvesti zadevni organ ali organe za nadzor trga in od njih zahteva, naj opravijo oceno in izvedejo postopke iz člena 54 ter iz odstavkov 1, 2 in 3 tega člena.

7. V okoliščinah, ki zahtevajo takojšnje ukrepanje za ohranitev dobrega delovanja notranjega trga, in kadar ima Komisija zadostne razloge za mnenje, da izdelek z digitalnimi elementi iz odstavka 6 še vedno pomeni tveganja iz odstavka 1, zadevni nacionalni organi za nadzor trga pa niso sprejeli nobenih učinkovitih ukrepov, opravi oceno tveganj tega izdelka z digitalnimi elementi in lahko od agencije ENISA zahteva, da zagotovi analizo v podporo tej oceni, ter o tem obvesti zadevne organe za nadzor trga. Zadevni gospodarski subjekti sodelujejo z agencijo ENISA, kakor je potrebno.

8. Komisija lahko na podlagi ocene iz odstavka 7 določi, da je na ravni Unije potreben popravni ali omejevalni ukrep. V ta namen se brez odlašanja posvetuje z zadevnimi državami članicami in gospodarskim subjektom ali subjekti.

9. Na podlagi posvetovanja iz odstavka 8 tega člena lahko Komisija sprejme izvedbene akte, s katerimi odloči o popravnih ali omejevalnih ukrepih na ravni Unije, vključno z odreditvijo umika zadevnega izdelka z digitalnimi elementi s trga ali odpoklica v razumnem roku, ki je sorazmeren z naravo tveganja. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 62(2).

10. Komisija izvedbene akte iz odstavka 9 takoj sporoči zadevnemu gospodarskemu subjektu ali subjektom. Države članice te izvedbene akte brez odlašanja izvedejo in o tem obvestijo Komisijo.

11. Odstavki 6 do 10 se uporabljajo, dokler trajajo izredne razmere, ki upravičujejo poseg Komisije, in dokler zadevni izdelek z digitalnimi elementi še pomeni tveganja iz odstavka 1.

Formalna neskladnost

1. Kadar organ za nadzor trga države članice ugotovi eno od naslednjih dejstev, od zadevnega proizvajalca zahteva, naj zadevno neskladnost odpravi:

2. Kadar se neskladnost iz odstavka 1 nadaljuje, zadevna država članica sprejme vse ustrezne ukrepe za omejitev ali prepoved dostopnosti izdelka z digitalnimi elementi na trgu ali pa zagotovi njegov odpoklic oziroma umik s trga.

Skupne dejavnosti organov za nadzor trga

1. Organi za nadzor trga se lahko z drugimi zadevnimi organi dogovorijo za izvajanje skupnih dejavnosti, katerih cilj je zagotoviti kibernetsko varnost in varstvo potrošnikov glede posameznih izdelkov z digitalnimi elementi, ki se dajo na trg ali katerih dostopnost se zagotovi na trgu, zlasti izdelkov z digitalnimi elementi, pri katerih se pogosto ugotovi, da pomenijo tveganje za kibernetsko varnost.

2. Komisija ali agencija ENISA predlaga skupne dejavnosti za preverjanje skladnosti s to uredbo, ki jih izvedejo organi za nadzor trga na podlagi znakov ali informacij o morebitni neskladnosti izdelkov z digitalnimi elementi, ki spadajo na področje uporabe te uredbe, z zahtevami iz te uredbe v več državah članicah.

3. Organi za nadzor trga in Komisija, kadar je ustrezno, zagotovijo, da sporazum o izvajanju skupnih dejavnosti ne povzroči nelojalne konkurence med gospodarskimi subjekti ter ne vpliva negativno na objektivnost, neodvisnost in nepristranskost strank sporazuma.

4. Organ za nadzor trga lahko v okviru vsake preiskave, ki jo izvaja, uporabi vse informacije, pridobljene iz skupnih dejavnosti.

5. Zadevni organ za nadzor trga in Komisija, kadar je ustrezno, omogočita dostop javnosti do sporazuma o skupnih dejavnostih, vključno z imeni strank.

Usklajene preiskave

1. Organi za nadzor trga izvajajo sočasne usklajene kontrolne ukrepe (v nadaljnjem besedilu: usklajene preiskave) posameznih izdelkov z digitalnimi elementi ali njihovih kategorij, da se preveri njihova skladnost s to uredbo ali da se odkrijejo kršitve te uredbe. Te usklajene preiskave lahko vključujejo inšpekcijske preglede izdelkov z digitalnimi elementi, pridobljenih na podlagi skrivne identitete.

2. Če se vključeni organi za nadzor trga ne dogovorijo drugače, usklajene preiskave usklajuje Komisija. Koordinator usklajenih preiskav, kadar je ustrezno, javno objavi zbirne rezultate.

3. Kadar agencija ENISA pri izvajanju svojih nalog, tudi na podlagi obvestil, prejetih na podlagi člena 14(1) in (3), opredeli kategorije izdelkov z digitalnimi elementi, glede katerih je mogoče organizirati usklajene preiskave, koordinatorju iz odstavka 2 tega člena predloži predlog za usklajeno preiskavo, da bi ga organi za nadzor trga obravnavali.

4. Pri izvajanju usklajenih preiskav lahko vključeni organi za nadzor trga uporabijo preiskovalna pooblastila iz členov 52 do 58 in vsa druga pooblastila, ki so jim podeljena z nacionalnim pravom.

5. Organi za nadzor trga lahko k sodelovanju pri usklajenih preiskavah povabijo uradnike Komisije in drugo spremljevalno osebje, ki ga je pooblastila Komisija.

Izvajanje prenosa pooblastila

1. Pooblastilo za sprejemanje delegiranih aktov je preneseno na Komisijo pod pogoji, določenimi v tem členu.

2. Pooblastilo za sprejemanje delegiranih aktov iz člena 2(5), drugi pododstavek, člena 7(3), člena 8(1) in (2), člena 13(8), četrti pododstavek, člena 14(9), člena 25, člena 27(9), člena 28(5) in člena 31(5) se prenese na Komisijo za obdobje petih let od 10. decembra 2024. Komisija pripravi poročilo o prenosu pooblastila najpozneje devet mesecev pred koncem petletnega obdobja. Prenos pooblastila se samodejno podaljšuje za enako dolga obdobja, razen če Evropski parlament ali Svet nasprotuje temu podaljšanju najpozneje tri mesece pred koncem vsakega obdobja.

3. Prenos pooblastila iz člena 2(5), drugi pododstavek, člena 7(3), člena 8(1) in (2), člena 13(8), četrti pododstavek, člena 14(9), člena 25, člena 27(9), člena 28(5) ter člena 31(5) lahko kadar koli prekliče Evropski parlament ali Svet. S sklepom o preklicu preneha veljati prenos pooblastila iz navedenega sklepa. Sklep začne učinkovati dan po njegovi objavi v Uradnem listu Evropske unije ali na poznejši dan, ki je določen v navedenem sklepu. Sklep ne vpliva na veljavnost že veljavnih delegiranih aktov.

4. Komisija se pred sprejetjem delegiranega akta posvetuje s strokovnjaki, ki jih imenujejo države članice, v skladu z načeli, določenimi v Medinstitucionalnem sporazumu z dne 13. aprila 2016 o boljši pripravi zakonodaje.

5. Komisija takoj po sprejetju delegiranega akta o njem sočasno uradno obvesti Evropski parlament in Svet.

6. Delegirani akt, sprejet na podlagi člena 2(5), drugi pododstavek, členom 7(3), členom 8(1) ali (2), členom 13(8), četrti pododstavek, členom 14(9), členom 25, členom 27(9), členom 28(5) ali členom 31(5), začne veljati le, če mu niti Evropski parlament niti Svet ne nasprotuje v roku dveh mesecev od uradnega obvestila Evropskemu parlamentu in Svetu o tem aktu ali če pred iztekom tega roka tako Evropski parlament kot Svet obvestita Komisijo, da mu ne bosta nasprotovala. Ta rok se na pobudo Evropskega parlamenta ali Sveta podaljša za dva meseca.

Postopek v odboru

1. Komisiji pomaga odbor. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.

2. Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

3. Kadar je treba pridobiti mnenje odbora na podlagi pisnega postopka, se ta postopek zaključi brez izida, ko v roku za izdajo mnenja tako odloči predsednik odbora ali to zahteva član odbora.

Zaupnost

1. Vse strani, ki so vključene v uporabo te uredbe, spoštujejo zaupnost informacij in podatkov, pridobljenih pri opravljanju svojih nalog in dejavnosti, tako da varujejo zlasti:

2. Brez poseganja v odstavek 1 se informacije, ki si jih zaupno izmenjajo organi za nadzor trga ter organi za nadzor trga in Komisija, ne razkrijejo brez predhodnega dogovora z organom za nadzor trga, ki jih je sporočil.

3. Odstavka 1 in 2 ne vplivata na pravice in obveznosti Komisije, držav članic in priglašenih organov v zvezi z izmenjavo informacij in razširjanjem opozoril ali na obveznosti zadevnih oseb, da zagotovijo podatke na podlagi kazenskega prava držav članic.

4. Komisija in države članice lahko izmenjajo, kadar je potrebno, občutljive informacije z zadevnimi organi tretjih držav, s katerimi so sklenile dvostranske ali večstranske dogovore o zaupnosti, ki zagotavljajo ustrezno raven varstva.

Kazni

1. Države članice določijo pravila o kaznih, ki se uporabljajo za kršitve te uredbe, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvajajo. Te kazni morajo biti učinkovite, sorazmerne in odvračilne. Države članice o teh pravilih in ukrepih uradno obvestijo Komisijo brez odlašanja in jo uradno obvestijo o vsakršni naknadni spremembi, ki nanje vpliva.

2. Neskladnost z bistvenimi zahtevami glede kibernetske varnosti, določenimi v Prilogi I, ter neizpolnjevanje obveznosti iz členov 13 in 14 se kaznuje z upravno globo v višini do 15 000 000 EUR ali, če je kršitelj podjetje, v višini do 2,5 % njegovega skupnega svetovnega letnega prometa v preteklem poslovnem letu, pri čemer se upošteva višji znesek.

3. Neizpolnjevanje obveznosti iz členov 18 do 23, člena 28, člena 30(1) do (4), člena 31(1) do (4), člena 32(1), (2) in (3), člena 33(5) ter členov 39, 41, 47, 49 in 53 se kaznuje z upravno globo v višini do 10 000 000 EUR ali, če je kršitelj podjetje, v višini do 2 % njegovega skupnega svetovnega letnega prometa v preteklem poslovnem letu, pri čemer se upošteva višji znesek.

4. Predložitev netočnih, nepopolnih ali zavajajočih informacij priglašenim organom in organom za nadzor trga v odgovor na njihovo zahtevo se kaznuje z upravno globo v višini do 5 000 000 EUR ali, če je kršitelj podjetje, v višini do 1 % njegovega skupnega svetovnega letnega prometa v preteklem poslovnem letu, pri čemer se upošteva višji znesek.

5. Pri odločanju o znesku upravne globe v vsakem posameznem primeru se upoštevajo vse zadevne okoliščine konkretnega primera, pri tem pa se ustrezno upošteva tudi naslednje:

6. Organi za nadzor trga, ki naložijo upravne globe, o naložitvi globe obvestijo organe za nadzor trga drugih držav članic prek informacijskega in komunikacijskega sistema iz člena 34 Uredbe (EU) 2019/1020.

7. Vsaka država članica določi pravila o tem, ali in v kolikšni meri se lahko javnim organom in javnim telesom s sedežem v zadevni državi članici naložijo upravne globe.

8. Glede na pravni sistem držav članic se lahko pravila o upravnih globah uporabljajo tako, da globe naložijo pristojna nacionalna sodišča ali drugi organi v skladu s pristojnostmi, ki so jim na nacionalni ravni dodeljene v teh državah članicah. Uporaba takih pravil v teh državah članicah ima enakovreden učinek.

9. Glede na okoliščine posamezne zadeve se lahko upravne globe naložijo poleg katerih koli drugih popravnih ali omejevalnih ukrepov, ki jih za isto kršitev naložijo organi za nadzor trga.

10. Z odstopanjem od odstavkov 3 do 9 se upravne globe iz navedenih odstavkov ne uporabljajo za:

Zastopniške tožbe

Direktiva (EU) 2020/1828 se uporablja za zastopniške tožbe zoper kršitve določb te uredbe, ki jih storijo gospodarski subjekti in škodujejo ali bi lahko škodovale kolektivnim interesom potrošnikov.

Sprememba Uredbe (EU) 2019/1020

V Prilogi I k Uredbi (EU) 2019/1020 se doda naslednja točka:

„72.

Uredba (EU) 2024/2847 Evropskega parlamenta in Sveta (*1).

Sprememba Direktive (EU) 2020/1828

V Prilogi I k Direktivi (EU) 2020/1828 se doda naslednja točka:

„69.

Uredba (EU) 2024/2847 Evropskega parlamenta in Sveta (*2).

Sprememba Uredbe (EU) št. 168/2013

V delu C1 se v preglednici Priloge II k Uredbi (EU) št. 168/2013 Evropskega parlamenta in Sveta (38) doda naslednji vnos:

„

“

Prehodne določbe

1. Potrdila o EU-pregledu tipa in sklepi o odobritvi, izdani v zvezi z zahtevami glede kibernetske varnosti za izdelke z digitalnimi elementi, za katere se uporablja druga harmonizacijska zakonodaja Unije, ki ni ta uredba, ostanejo veljavni do 11. junija 2028, razen če potečejo pred tem datumom ali če je drugače določeno v tej drugi harmonizacijski zakonodaji Unije, pri čemer v takem primeru ostanejo veljavni, kakor je določeno v navedeni zakonodaji.

2. Za izdelke z digitalnimi elementi, ki so bili dani na trg pred 11. decembrom 2027, se zahteve, določene v tej uredbi, uporabljajo le, če se navedeni izdelki po navedenem datumu bistveno spremenijo.

3. Z odstopanjem od odstavka 2 tega člena se obveznosti iz člena 14 uporabljajo za vse izdelke z digitalnimi elementi na področju uporabe te uredbe, ki so bili dani na trg pred 11. decembrom 2027.

Ocena in pregled

1. Komisija do 11. decembra 2030 ter potem vsaka štiri leta Evropskemu parlamentu in Svetu predloži poročilo o oceni in pregledu te uredbe. Ta poročila se objavijo.

2. Komisija do 11. septembra 2028 po posvetovanju z agencijo ENISA in mrežo skupin CSIRT Evropskemu parlamentu in Svetu predloži poročilo, v katerem oceni učinkovitost enotne platforme za poročanje iz člena 16 ter učinek uporabe razlogov, povezanih s kibernetsko varnostjo, iz člena 16(2) s strani skupin CSIRT, ki so imenovani za koordinatorje, na učinkovitost enotne platforme za poročanje v zvezi s pravočasnim razširjanjem prejetih obvestil drugim ustreznim skupinam CSIRT.

Začetek veljavnosti in uporaba

1. Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

2. Ta uredba se uporablja od 11. decembra 2027.

Člen 14 pa se uporablja od 11. septembra 2026 in Poglavje IV (členi 35 do 51) od 11. junija 2026.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Strasbourgu, 23. oktobra 2024