(1)

Cybersikkerhed er en af de største udfordringer for Unionen. Antallet og mangfoldigheden af forbundne enheder vil stige eksponentielt i de kommende år. Cyberangreb udgør et område af offentlig interesse, eftersom de har en kritisk indvirkning ikke blot på Unionens økonomi, men også på demokratiet og forbrugernes sikkerhed og sundhed. Det er derfor nødvendigt at styrke Unionens tilgang til cybersikkerhed, tage cyberrobusthed op på EU-plan og forbedre det indre markeds funktion ved at fastlægge en ensartet retlig ramme for væsentlige cybersikkerhedskrav til produkter med digitale elementer, der bringes i omsætning på EU-markedet. Der bør tages fat på to store problemer, som øger omkostningerne for brugerne og samfundet: et lavt cybersikkerhedsniveau for produkter med digitale elementer, der afspejles i udbredte sårbarheder og utilstrækkelig og inkonsekvent levering af sikkerhedsopdateringer til håndtering heraf, og brugernes utilstrækkelige forståelse af og adgang til oplysninger, hvilket forhindrer dem i at vælge produkter med tilstrækkelige cybersikkerhedsegenskaber eller at anvende dem på en sikker måde.

(2)

Denne forordning har til formål at fastsætte rammebetingelserne for udvikling af sikre produkter med digitale elementer ved at sikre, at hardware- og softwareprodukter bringes i omsætning med færre sårbarheder, og at fabrikanterne tager sikkerheden alvorligt i hele et produkts livscyklus. Den har også til formål at skabe betingelser, der gør det muligt for brugerne at tage hensyn til cybersikkerhed, når de udvælger og anvender produkter med digitale elementer, f.eks. ved at øge gennemsigtigheden med hensyn til supportperioden for produkter med digitale elementer, der bringes i omsætning.

(3)

Relevant gældende EU-ret omfatter flere sæt horisontale regler, der omhandler visse cybersikkerhedsaspekter fra forskellige vinkler, herunder foranstaltninger til forbedring af sikkerheden i den digitale forsyningskæde. Eksisterende EU-ret vedrørende cybersikkerhed, herunder Europa-Parlamentets og Rådets forordning (EU) 2019/881 (3) og Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 (4), omfatter imidlertid ikke direkte obligatoriske krav til sikkerheden af produkter med digitale elementer.

(4)

Selv om eksisterende EU-ret finder anvendelse på visse produkter med digitale elementer, er der ingen horisontal EU-lovramme, der fastsætter omfattende cybersikkerhedskrav for alle produkter med digitale elementer. De forskellige retsakter og initiativer, der indtil videre er truffet på EU-plan og nationalt plan, løser kun delvist de identificerede cybersikkerhedsrelaterede problemer og risici og skaber et lovgivningsmæssigt kludetæppe i det indre marked, øger retsusikkerheden for både fabrikanter og brugere af disse produkter og pålægger virksomheder og organisationer unødvendige byrder forbundet med opfyldelsen af en række krav og forpligtelser for lignende produkttyper. Cybersikkerheden for disse produkter har en særlig stærk grænseoverskridende dimension, da produkter med digitale elementer fremstillet i én medlemsstat eller ét tredjeland ofte anvendes af organisationer og forbrugere i hele det indre marked. Dette gør det nødvendigt at regulere området på EU-plan for at sikre harmoniserede lovgivningsmæssige rammer og retssikkerhed for brugere, organisationer og virksomheder, herunder mikrovirksomheder og små og mellemstore virksomheder som defineret i bilaget til Kommissionens henstilling 2003/361/EF (5). Unionens lovgivningsmæssige landskab bør harmoniseres ved at indføre horisontale cybersikkerhedskrav for produkter med digitale elementer. Der bør desuden i hele Unionen sikres større retssikkerhed for erhvervsdrivende og brugere samt en bedre harmonisering af det indre marked og proportionalitet for mikrovirksomheder og små og mellemstore virksomheder, og dermed mere levedygtige vilkår for erhvervsdrivende, der ønsker at komme ind på dette marked.

(5)

For så vidt angår mikrovirksomheder og små og mellemstore virksomheder bør bestemmelserne i bilaget til henstilling 2003/361/EF anvendes i deres helhed ved fastlæggelsen af, hvilken kategori en virksomhed falder ind under. Ved beregningen af antal beskæftigede og finansielle tærskler til afgrænsning af virksomhedskategorierne, bør bestemmelserne i artikel 6 i bilaget til henstilling 2003/361/EF om fastsættelse af oplysninger om virksomheden under hensyntagen til specifikke typer virksomheder, f.eks. partnervirksomheder eller tilknyttede virksomheder, derfor også finde anvendelse.

(6)

Kommissionen bør yde vejledning for at bistå erhvervsdrivende, navnlig mikrovirksomheder og små og mellemstore virksomheder, med anvendelsen af denne forordning. Sådan vejledning bør bl.a. omfatte denne forordnings anvendelsesområde, navnlig fjerndatabehandling og dens konsekvenser for udviklere af gratis open source-software, anvendelsen af kriterier til at fastsætte supportperioder for produkter med digitale elementer, samspillet mellem denne forordning og anden EU-ret, og begrebet væsentlig ændring.

(7)

På EU-plan er der i forskellige program- og politikdokumenter såsom den fælles meddelelse fra Kommissionen og Unionens højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik af 16. december 2020 med titlen »EU's strategi for cybersikkerhed for det digitale årti«, Rådets konklusioner af 2. december 2020 om cybersikkerheden ved forbundet udstyr og af 23. maj 2022 om udviklingen af Den Europæiske Unions cyberposition og Europa-Parlamentets beslutning af 10. juni 2021 om EU's strategi for cybersikkerhed for det digitale årti (6), opfordret til specifikke EU-cybersikkerhedskrav til produkter med digitale elementer, og en række tredjelande har indført foranstaltninger til at løse dette problem på eget initiativ. I den endelige rapport fra konferencen om Europas fremtid opfordrede borgerne Unionen til at spille en stærkere rolle i bekæmpelsen af cybersikkerhedstrusler. Hvis Unionen skal spille en førende international rolle på området cybersikkerhed, er det vigtigt at fastlægge ambitiøse overordnede lovgivningsmæssige rammer.

(8)

For at øge det samlede cybersikkerhedsniveau for alle produkter med digitale elementer, der bringes i omsætning i det indre marked, er det nødvendigt at indføre objektive og teknologineutrale væsentlige cybersikkerhedskrav til disse produkter, der gælder horisontalt.

(9)

Under visse omstændigheder kan alle produkter med digitale elementer, der er integreret i eller forbundet med et større elektronisk informationssystem, fungere som angrebsvektor for ondsindede aktører. Som følge heraf kan selv hardware og software, der anses som mindre kritisk, lette den indledende kompromittering af en enhed eller et netværk, der gør det muligt for ondsindede aktører at få privilegeret adgang til et system eller bevæge sig sideværts på tværs af systemer. Fabrikanterne bør derfor sikre, at alle produkter med digitale elementer, der kan forbindes, designes og udvikles i overensstemmelse med de væsentlige cybersikkerhedskrav, der er fastsat i denne forordning. Denne forpligtelse vedrører både produkter, der kan forbindes fysisk via hardwaregrænseflader, og produkter, der er logisk forbundne, såsom via netstikdåser, rør, filer, applikationsprogrammeringsgrænseflader eller andre typer softwaregrænseflader. Da cybertrusler kan udbredes gennem forskellige produkter med digitale elementer, inden de når et bestemt mål, f.eks. ved at sammenkæde flere sårbarheder, bør fabrikanterne også sikre cybersikkerheden i de produkter, der kun er indirekte forbundet med andre enheder eller netværk.

(10)

Ved at fastsætte cybersikkerhedskrav til produkter med digitale elementer, der bringes i omsætning, er hensigten, at disse produkters cybersikkerhed bliver forbedret for både forbrugere og virksomheder. Disse krav vil desuden sikre, at der tages hensyn til cybersikkerheden hele vejen igennem forsyningskæderne, og dermed gøre endelige produkter med digitale elementer og deres komponenter mere sikre. Dette omfatter også krav til produkter med digitale elementer beregnet til sårbare forbrugere, f.eks. legetøj og systemer til overvågning af spædbørn, der bringes i omsætning. Forbrugerprodukter med digitale elementer, der i denne forordning kategoriseres som vigtige produkter med digitale elementer, udgør en højere cybersikkerhedsrisiko ved at udføre en funktion, der indebærer en betydelig risiko for negative virkninger med hensyn til dens intensitet og evne til at skade sådanne produkters brugeres sundhed, sikkerhed eller tryghed, og de bør underkastes en strengere overensstemmelsesvurderingsprocedure. Dette gælder for sådanne produkter som produkter til intelligente bygninger med sikkerhedsfunktioner, herunder intelligente dørlåse, systemer til overvågning af spædbørn og alarmsystemer, internetforbundet legetøj og personlig wearable-sundhedsteknologi. Derudover vil de strengere overensstemmelsesvurderingsprocedurer, som andre produkter med digitale elementer, der i denne forordning kategoriseres som vigtige eller kritiske produkter med digitale elementer, skal gennemgå, bidrage til at forebygge potentielle negative virkninger for forbrugerne af udnyttelsen af sårbarheder.

(11)

Formålet med denne forordning er at sikre et højt cybersikkerhedsniveau for produkter med digitale elementer og deres integrerede fjerndatabehandlingsløsninger. Sådanne fjerndatabehandlingsløsninger bør defineres som databehandling på afstand, til hvilken softwaren er designet og udviklet af eller på vegne af fabrikanten af det pågældende produkt med digitale elementer, og hvis fravær ville forhindre produktet med digitale elementer i at udføre en af sine funktioner. Denne tilgang sikrer, at sådanne produkter er tilstrækkeligt sikret i deres helhed af deres fabrikanter, uanset om data behandles eller lagres lokalt på brugerens enhed eller på afstand af fabrikanten. Samtidig er behandling eller lagring på afstand kun omfattet af denne forordnings anvendelsesområde, i det omfang det er nødvendigt, for at et produkt med digitale elementer kan udføre sine funktioner. En sådan behandling eller lagring på afstand omfatter den situation, hvor en mobilapplikation kræver adgang til en applikationsprogrammeringsgrænseflade eller til en database, der leveres ved hjælp af en tjeneste udviklet af fabrikanten. I så fald er tjenesten omfattet af denne forordnings anvendelsesområde som en fjerndatabehandlingsløsning. Kravene vedrørende fjerndatabehandlingsløsninger, der er omfattet af denne forordnings anvendelsesområde, omfatter derfor ikke tekniske, operationelle eller organisatoriske foranstaltninger, der har til formål at styre de risici, der er forbundet med sikkerheden i en fabrikants net- og informationssystemer som helhed.

(12)

Cloudløsninger udgør kun fjerndatabehandlingsløsninger i den i denne forordning anvendte betydning, hvis de opfylder definitionen i denne forordning. For eksempel bør cloudaktiverede funktioner, der stilles til rådighed af fabrikanter af enheder til intelligente bygninger, og som gør det muligt for brugerne at kontrollere enheden på afstand, være omfattet af denne forordnings anvendelsesområde. På den anden side er websteder, der ikke understøtter funktionaliteten af et produkt med digitale elementer, eller cloudtjenester, der er designet og udviklet uden for en fabrikants ansvar for et produkt med digitale elementer, ikke omfattet af denne forordnings anvendelsesområde. Direktiv (EU) 2022/2555 finder anvendelse på cloud computing-tjenester og modeller for cloudtjenester såsom software som en service (SaaS), platform som en service (PaaS) eller infrastruktur som en service (IaaS). Enheder, der udbyder cloud computing-tjenester i Unionen, og som er mellemstore virksomheder i henhold til artikel 2 i bilaget til henstilling 2003/361/EF, eller som overskrider de lofter for mellemstore virksomheder, der er fastsat i nævnte artikels stk. 1, er omfattet af nævnte direktivs anvendelsesområde.

(13)

I overensstemmelse med denne forordnings mål om at fjerne hindringerne for den frie bevægelighed for produkter med digitale elementer, må medlemsstaterne ikke hindre tilgængeliggørelse på markedet af produkter med digitale elementer, der opfylder kravene i denne forordning, for så vidt angår spørgsmål, der er omfattet af denne forordning. For så vidt angår spørgsmål, der harmoniseres ved denne forordning, kan medlemsstaterne derfor ikke pålægge yderligere cybersikkerhedskrav for tilgængeliggørelse på markedet af produkter med digitale elementer. Enhver offentlig eller privat enhed kan imidlertid fastsætte yderligere krav ud over dem, der er fastsat i denne forordning, for udbud eller anvendelse af produkter med digitale elementer til vedkommendes specifikke formål og kan derfor vælge at anvende produkter med digitale elementer, der opfylder strengere eller mere specifikke cybersikkerhedskrav end dem, der gælder for tilgængeliggørelse på markedet i henhold til denne forordning. Uden at det berører Europa-Parlamentets og Rådets direktiv 2014/24/EU (7) og 2014/25/EU (8), bør medlemsstaterne, når de indkøber produkter med digitale elementer, som skal opfylde de væsentlige cybersikkerhedskrav, der er fastsat i denne forordning, herunder dem, der vedrører håndtering af sårbarheder, sikre, at der tages hensyn til sådanne krav i udbudsprocessen, og at der også tages hensyn til fabrikanternes evne til effektivt at anvende cybersikkerhedsforanstaltninger og håndtere cybertrusler. Derudover fastsætter direktiv (EU) 2022/2555 foranstaltninger til styring af cybersikkerhedsrisici for væsentlige og vigtige enheder, der er omhandlet i nævnte direktivs artikel 3, som kunne indebære sikkerhedsforanstaltninger i forsyningskæden, der kræver, at sådanne enheder anvender produkter med digitale elementer, der opfylder strengere cybersikkerhedskrav end dem, der er fastsat i denne forordning. I overensstemmelse med direktiv (EU) 2022/2555 og med dets princip om minimumsharmonisering kan medlemsstaterne derfor pålægge yderligere cybersikkerhedskrav for væsentlige eller vigtige enheders brug af informations- og kommunikationsteknologiprodukter (IKT-produkter) i henhold til nævnte direktiv for at sikre et højere cybersikkerhedsniveau, forudsat at sådanne krav er i overensstemmelse med medlemsstaternes forpligtelser i henhold til EU-retten. Spørgsmål, der ikke er omfattet af denne forordning, kan omfatte ikketekniske faktorer vedrørende produkter med digitale elementer og fabrikanterne heraf. Medlemsstaterne kan derfor fastsætte nationale foranstaltninger, herunder restriktioner for produkter med digitale elementer eller leverandører af sådanne produkter, der tager hensyn til ikketekniske faktorer. Det er en forpligtelse, at nationale foranstaltninger vedrørende sådanne faktorer er i overensstemmelse med EU-retten.

(14)

Denne forordning bør ikke berøre medlemsstaternes ansvar for beskyttelse af den nationale sikkerhed i overensstemmelse med EU-retten. Medlemsstaterne bør kunne underlægge produkter med digitale elementer, der indkøbes eller anvendes til nationale sikkerheds- eller forsvarsformål, yderligere foranstaltninger, forudsat at sådanne foranstaltninger er i overensstemmelse med medlemsstaternes forpligtelser, der er fastsat i EU-retten.

(15)

Denne forordning finder kun anvendelse på erhvervsdrivende i forbindelse med produkter med digitale elementer, der gøres tilgængelige på markedet og dermed leveres med henblik på distribution eller anvendelse på EU-markedet som led i erhvervsvirksomhed. Levering som led i erhvervsvirksomhed kan være kendetegnet ikke blot ved opkrævning af en pris for et produkt med digitale elementer, men også ved opkrævning af en pris for tekniske supporttjenester, hvor dette ikke blot tjener til dækning af de reelle omkostninger, ved et formål om at tjene penge, f.eks. ved tilrådighedsstillelse af en softwareplatform, hvorigennem fabrikanten tjener penge på andre tjenester, ved at kræve behandling af personoplysninger til andre formål end blot at forbedre softwarens sikkerhed, kompatibilitet eller interoperabilitet som forudsætning for anvendelsen, eller ved at modtage donationer, der overstiger de omkostninger, der er forbundet med design, udvikling og levering af et produkt med digitale elementer. Modtagelse af donationer uden gevinst for øje bør ikke anses som værende erhvervsvirksomhed.

(16)

Produkter med digitale elementer, der leveres som en del af leveringen af en tjeneste, for hvilken der opkræves et gebyr udelukkende for at dække de faktiske omkostninger, der er direkte forbundet med driften af denne tjeneste, således som det kan være tilfældet for visse produkter med digitale elementer, der leveres af offentlige forvaltningsenheder, bør af disse grunde ikke i sig selv anses for at være erhvervsvirksomhed for så vidt angår denne forordning. Derudover bør produkter med digitale elementer, som udvikles eller ændres af en offentlig forvaltningsenhed udelukkende til eget brug, ikke anses for at være gjort tilgængelige på markedet i den i denne forordning anvendte betydning.

(17)

Software og data, der deles åbent, og hvor brugerne frit kan få adgang til, bruge, ændre og videredistribuere dem eller ændrede versioner heraf, kan bidrage til forskning og innovation på markedet. For at fremme udviklingen og udbredelsen af gratis open source-software, navnlig af mikrovirksomheder og små og mellemstore virksomheder, herunder nyetablerede virksomheder, enkeltpersoner, nonprofitorganisationer og akademiske forskningsorganisationer, bør der ved anvendelsen af denne forordning på produkter med digitale elementer, der kan betegnes som gratis open source-software, der leveres med henblik på distribution eller anvendelse som led i erhvervsvirksomhed, tages hensyn til, at der findes forskellige udviklingsmodeller for software, der distribueres og udvikles under gratis open source software-licenser.

(18)

Ved gratis open source-software forstås software, hvis kildekode deles åbent, og hvis licensering giver alle rettigheder til, at den kan deles åbent og er frit tilgængelig, anvendelig, redigerbar og redistribuerbar. Gratis open source-software udvikles, opdateres og distribueres åbent, herunder via onlineplatforme. For så vidt angår erhvervsdrivende, der er omfattet af denne forordnings anvendelsesområde, bør kun gratis open source-software, der stilles til rådighed på markedet og derfor leveres med henblik på distribution eller anvendelse som led i erhvervsvirksomhed, være omfattet af denne forordnings anvendelsesområde. De omstændigheder, hvorunder produktet er blevet udviklet, eller hvordan udviklingen er blevet finansieret, bør derfor ikke i sig selv tages i betragtning ved fastlæggelsen af den pågældende aktivitets kommercielle eller ikkekommercielle karakter. Mere specifikt bør levering af produkter med digitale elementer, der kan betegnes som gratis open source-software, som fabrikanterne ikke tjener penge på, ikke anses som værende erhvervsvirksomhed for så vidt angår denne forordning og i forhold til de erhvervsdrivende, der er underlagt dens anvendelsesområde, for at sikre, at der skelnes klart mellem udviklings- og forsyningsfaserne. Desuden bør levering af produkter med digitale elementer, der kan betegnes som gratis open source software-komponenter, og som er beregnet til, at andre fabrikanter kan integrere dem i deres egne produkter med digitale elementer, kun anses som at være tilgængeliggørelse på markedet, hvis den oprindelige fabrikant tjener penge på komponenten. F.eks. bør den blotte omstændighed, at et open source software-produkt med digitale elementer modtager finansiel støtte fra fabrikanter, eller at fabrikanterne bidrager til udviklingen af et sådant produkt, ikke i sig selv være afgørende for, at der er tale om erhvervsvirksomhed. Desuden bør den blotte tilstedeværelse af regelmæssige udgivelser ikke i sig selv føre til den konklusion, at et produkt med digitale elementer leveres som led i erhvervsvirksomhed. Endelig bør nonprofitorganisationers udvikling af produkter med digitale elementer, der kan betegnes som gratis open source-software, med henblik på denne forordning ikke anses som værende erhvervsvirksomhed, forudsat at organisationen er oprettet på en sådan måde, at det sikres, at al indtjening efter fradrag af omkostninger anvendes til at nå almennyttige mål. Denne forordning finder ikke anvendelse på fysiske eller juridiske personer, der bidrager med kildekode til produkter med digitale elementer, der kan betegnes som gratis open source-software, som ikke er deres ansvar.

(19)

I betragtning af hvilken betydning mange produkter med digitale elementer, der kan betegnes som gratis open source-software, og som offentliggøres, men ikke gøres tilgængelige på markedet i den i denne forordning anvendte betydning, spiller for cybersikkerheden, bør juridiske personer, der på vedvarende basis yder støtte til udvikling af sådanne produkter, der er beregnet til kommercielle aktiviteter, og som spiller en vigtig rolle med hensyn til at sikre disse produkters levedygtighed (open source software-forvaltere), være omfattet af en lempelig og skræddersyet reguleringsordning. Open source software-forvaltere omfatter visse fonde samt enheder, der udvikler og offentliggør gratis open source-software i en forretningssammenhæng, herunder almennyttige enheder. Reguleringsordningen bør tage hensyn til deres særlige karakter og forenelighed med den type forpligtelser, der pålægges. Den bør kun omfatte produkter med digitale elementer, der kan betegnes som gratis open source-software, såfremt disse i sidste ende er beregnet til erhvervsvirksomhed såsom integration i kommercielle tjenester eller i produkter med digitale elementer, som der tjenes penge på. For så vidt angår denne reguleringsordning omfatter en hensigt om integration i produkter med digitale elementer, som der tjenes penge på, tilfælde, hvor fabrikanter, der integrerer en komponent i deres egne produkter med digitale elementer, enten bidrager regelmæssigt til udviklingen af den pågældende komponent eller yder regelmæssig finansiel bistand for at sikre kontinuiteten af et softwareprodukt. Vedvarende støtte til udvikling af et produkt med digitale elementer omfatter, men er ikke begrænset til, hosting og forvaltning af samarbejdsplatforme for softwareudvikling, hosting af kildekode eller software, styring eller forvaltning af produkter med digitale elementer, der kan betegnes som gratis open source-software, samt styring af udviklingen af sådanne produkter. Eftersom den lempelige og skræddersyede reguleringsordning ikke pålægger dem, der optræder som open source software-forvaltere, de samme forpligtelser som dem, der optræder som fabrikanter i henhold til denne forordning, bør de ikke have lov til at anbringe CE-mærkningen på produkter med digitale elementer, hvis udvikling de yder støtte til.

(20)

Den blotte handling at hoste free and open source software i åbne databaser, herunder via pakkestyringssystemer eller på samarbejdsplatforme, udgør ikke i sig selv tilgængeliggørelse på markedet af et produkt med digitale elementer. Leverandører af sådanne tjenester bør kun anses som værende distributører, hvis de gør den pågældende software tilgængelig på markedet og dermed leverer den med henblik på distribution eller anvendelse på EU-markedet som led i erhvervsvirksomhed.

(21)

For at støtte og lette due diligence hos fabrikanter, der integrerer gratis open source software-komponenter, der ikke er omfattet af de væsentlige cybersikkerhedskrav, der er fastsat i denne forordning, i deres produkter med digitale elementer, bør Kommissionen kunne oprette frivillige sikkerhedscertificeringsprogrammer, enten ved en delegeret retsakt, der supplerer denne forordning, eller ved at anmode om en europæisk cybersikkerhedscertificeringsordning i henhold til artikel 48 i forordning (EU) 2019/881, som tager hensyn til de særlige forhold, der gør sig gældende for gratis open source software-udviklingsmodeller. Sikkerhedscertificeringsprogrammerne bør udformes på en sådan måde, at ikke blot fysiske eller juridiske personer, der udvikler eller bidrager til udviklingen af et produkt med digitale elementer, der kan betegnes som gratis open source-software, kan iværksætte eller finansiere en sikkerhedsattestering, men også tredjeparter såsom fabrikanter, der integrerer sådanne produkter i deres egne produkter med digitale elementer, brugere eller Unionens og de nationale offentlige forvaltninger.

(22)

I lyset af denne forordnings mål vedrørende offentlig cybersikkerhed og for at forbedre medlemsstaternes situationsbevidsthed med hensyn til Unionens afhængighed af softwarekomponenter og navnlig af potentielle gratis open source software-komponenter bør en særlig administrativ samarbejdsgruppe (ADCO), der nedsættes ved denne forordning, kunne beslutte i fællesskab at foretage en EU-afhængighedsvurdering. Markedsovervågningsmyndighederne bør kunne anmode fabrikanter af kategorier af produkter med digitale elementer, der er opstillet af ADCO, om at indsende de softwarekomponentlister, som de har genereret i henhold til denne forordning. For at beskytte fortroligheden af softwarestyklisterne bør markedsovervågningsmyndighederne indsende relevante oplysninger om afhængighedsforhold til ADCO på en anonymiseret og aggregeret måde.

(23)

Effektiviteten af gennemførelsen af denne forordning vil også afhænge af tilgængeligheden af tilstrækkelige cybersikkerhedsfærdigheder. På EU-plan anerkendte forskellige program- og politikdokumenter såsom Kommissionens meddelelse af 18. april 2023 med titlen »Opbygning af cybersikkerhedskompetencer skal styrke EU's konkurrenceevne, vækst og modstandsdygtighed« og Rådets konklusioner af 22. maj 2023 om EU's cyberforsvarspolitik manglen på cybersikkerhedskompetencer i Unionen og behovet for at prioritere håndteringen af sådanne udfordringer i både den offentlige og den private sektor. Med henblik på at sikre en effektiv gennemførelse af denne forordning bør medlemsstaterne sikre, at der er tilstrækkelige ressourcer til rådighed til, at markedsovervågningsmyndighederne og overensstemmelsesvurderingsorganerne kan udføre deres opgaver som fastsat i denne forordning. Disse foranstaltninger bør øge arbejdskraftens mobilitet på cybersikkerhedsområdet og de dermed forbundne karriereveje. De bør også bidrage til at gøre cybersikkerhedsarbejdsstyrken mere modstandsdygtig og inklusiv, også med hensyn til køn. Medlemsstaterne bør derfor træffe foranstaltninger til at sikre, at disse opgaver udføres af tilstrækkeligt uddannede fagfolk med de nødvendige cybersikkerhedskompetencer. Fabrikanterne bør ligeledes sikre, at deres personale har de nødvendige færdigheder til at opfylde deres forpligtelser som fastlagt i denne forordning. Medlemsstaterne og Kommissionen bør i overensstemmelse med deres prærogativer og kompetencer og de specifikke opgaver, som denne forordning pålægger dem, træffe foranstaltninger til at støtte fabrikanter og navnlig mikrovirksomheder og små og mellemstore virksomheder, herunder nyetablerede virksomheder, også på områder såsom kompetenceudvikling, med henblik på at opfylde deres forpligtelser som fastlagt i denne forordning. Da direktiv (EU) 2022/2555 desuden kræver, at medlemsstaterne vedtager politikker, der fremmer og udvikler uddannelse i cybersikkerhed og cybersikkerhedsfærdigheder som led i deres nationale cybersikkerhedsstrategier, kan medlemsstaterne, når de vedtager sådanne strategier, også overveje at imødekomme de behov for cybersikkerhedsfærdigheder, der følger af denne forordning, herunder dem, der vedrører omskoling og opkvalificering.

(24)

Et sikkert internet er uundværligt for kritiske infrastrukturers funktion og for samfundet som helhed. Direktiv (EU) 2022/2555 har til formål at sikre et højt cybersikkerhedsniveau for tjenester, der leveres af væsentlige og vigtige enheder som omhandlet i nævnte direktivs artikel 3, herunder udbydere af digital infrastruktur, der understøtter centrale funktioner i det åbne internet og sikrer internetadgang og leverer internettjenester. Det er derfor vigtigt, at produkter med digitale elementer, der er nødvendige for, at udbydere af digital infrastruktur kan sikre, at internettet fungerer, udvikles på en sikker måde, og at de overholder veletablerede standarder for internetsikkerhed. Denne forordning, som finder anvendelse på alle hardware- og softwareprodukter, der kan forbindes, har også til formål at gøre det lettere for udbydere af digital infrastruktur at overholde kravene i forsyningskæden i henhold til direktiv (EU) 2022/2555 ved at sikre, at de produkter med digitale elementer, som de anvender i forbindelse med leveringen af deres tjenester, udvikles på en sikker måde, og at de har adgang til rettidige sikkerhedsopdateringer for sådanne produkter.

(25)

Europa-Parlamentets og Rådets forordning (EU) 2017/745 (9) fastsætter regler om medicinsk udstyr, og Europa-Parlamentets og Rådets forordning (EU) 2017/746 (10) fastsætter regler om medicinsk udstyr til in vitro-diagnostik. Nævnte forordninger omhandler cybersikkerhedsrisici og følger særlige tilgange, der også behandles i nærværende forordning. Mere specifikt fastsætter forordning (EU) 2017/745 og (EU) 2017/746 væsentlige krav til medicinsk udstyr, der fungerer via et elektronisk system, eller som selv er software. Visse former for ikkeindlejret software og livscyklustilgangen behandles også i nævnte forordninger. Disse krav giver fabrikanterne mandat til at udvikle og bygge deres produkter ved at anvende risikostyringsprincipper og ved at fastsætte krav vedrørende IT-sikkerhedsforanstaltninger samt tilsvarende overensstemmelsesvurderingsprocedurer. Derudover blev der i december 2019 indført specifik vejledning om cybersikkerhed for medicinsk udstyr, som giver fabrikanter af medicinsk udstyr, herunder udstyr til in vitro-diagnostik, vejledning i, hvordan de opfylder alle de relevante væsentlige krav i bilag I til nævnte forordninger for så vidt angår cybersikkerhed. Produkter med digitale elementer, som en af nævnte forordninger finder anvendelse på, bør derfor ikke være omfattet af nærværende forordning.

(26)

Produkter med digitale elementer, der udelukkende udvikles eller ændres til nationale sikkerheds- eller forsvarsformål, eller produkter, som er specifikt designet til behandling af fortrolige oplysninger, er ikke omfattet af denne forordnings anvendelsesområde. Medlemsstaterne opfordres til at sikre det samme eller et højere niveau af beskyttelse af disse produkter som af de produkter, der er omfattet af denne forordnings anvendelsesområde.

(27)

Ved Europa-Parlamentets og Rådets forordning (EU) 2019/2144 (11) fastsættes krav til typegodkendelse af køretøjer og deres systemer og komponenter, idet der indføres en række cybersikkerhedskrav, herunder vedrørende drift af et certificeret cybersikkerhedsstyringssystem og softwareopdateringer, der dækker organisationers politikker og processer for styring af cybersikkerhedsrisici i hele livscyklussen for køretøjer, udstyr og tjenester under overholdelse af de gældende FN-regulativer om tekniske specifikationer og cybersikkerhed, navnlig FN-regulativ nr. 155 — Ensartede forskrifter for godkendelse af køretøjer for så vidt angår cybersikkerhed og systemer til forvaltning af cybersikkerhed (12), og der indføres specifikke overensstemmelsesvurderingsprocedurer. På luftfartsområdet er hovedformålet med Europa-Parlamentets og Rådets forordning (EU) 2018/1139 (13) at fastlægge og opretholde et højt og ensartet sikkerhedsniveau for den civile luftfart i Unionen. Den skaber en ramme for væsentlige krav til luftdygtighed for luftfartøjsmateriel, dele og udstyr, herunder software, der omfatter forpligtelser til at beskytte mod trusler mod informationssikkerheden. Certificeringsprocessen i henhold til forordning (EU) 2018/1139 sikrer det samme beskyttelsesniveau som det, der er fastsat i nærværende forordning. Produkter med digitale elementer, som forordning (EU) 2019/2144 finder anvendelse på, og produkter, der er certificeret i overensstemmelse med forordning (EU) 2018/1139, bør derfor ikke være omfattet af de væsentlige cybersikkerhedskrav og overensstemmelsesvurderingsprocedurerne i nærværende forordning.

(28)

I denne forordning fastsættes horisontale cybersikkerhedsregler, som ikke er specifikke for sektorer eller visse produkter med digitale elementer. Der kan imidlertid indføres sektor- eller produktspecifikke EU-forskrifter, der fastlægger krav vedrørende alle eller nogle af de risici, der er omfattet af de væsentlige cybersikkerhedskrav i denne forordning. I sådanne tilfælde kan anvendelsen af denne forordning på produkter med digitale elementer, som er omfattet af andre EU-forskrifter, der fastlægger krav vedrørende alle eller nogle af de risici, som er omfattet af de væsentlige cybersikkerhedskrav i denne forordning, begrænses eller udelukkes, hvor en sådan begrænsning eller udelukkelse er i overensstemmelse med den overordnede lovgivningsmæssige ramme, der gælder for disse produkter, og hvor de sektorspecifikke regler sikrer mindst samme beskyttelsesniveau som det, der er fastsat i denne forordning. Kommissionen bør tillægges beføjelser til at vedtage delegerede retsakter for at supplere denne forordning ved at identificere sådanne produkter og forskrifter. For eksisterende EU-ret, hvor sådanne begrænsninger eller udelukkelser bør finde anvendelse, indeholder denne forordning specifikke bestemmelser for at præcisere dens sammenhæng med den pågældende EU-ret.

(29)

For at sikre, at produkter med digitale elementer, der gøres tilgængelige på markedet, kan repareres effektivt, og at deres holdbarhed kan forlænges, bør der fastsættes en undtagelse for reservedele. Denne undtagelse bør omfatte både reservedele, der har til formål at reparere ældre produkter, som er gjort tilgængelige før anvendelsesdatoen for denne forordning, og for reservedele, der allerede har gennemgået en overensstemmelsesvurderingsprocedure i henhold til denne forordning.

(30)

I Kommissionens delegerede forordning (EU) 2022/30 (14) præciseres det, at en række væsentlige krav i artikel 3, stk. 3, litra d), e) og f), i Europa-Parlamentets og Rådets direktiv 2014/53/EU (15) vedrørende skade på nettet og misbrug af netressourcer, personoplysninger og privatlivets fred samt svig finder anvendelse på visse typer radioudstyr. I Kommissionens gennemførelsesafgørelse C(2022)5637 af 5. august 2022 om en standardiseringsanmodning til Den Europæiske Standardiseringsorganisation og Den Europæiske Komité for Elektroteknisk Standardisering fastsættes krav til udviklingen af specifikke standarder med nærmere angivelse af, hvordan disse væsentlige krav bør håndteres. De væsentlige cybersikkerhedskrav i nærværende forordning omfatter alle elementerne i de væsentlige krav, der er omhandlet i artikel 3, stk. 3, litra d), e) og f), i direktiv 2014/53/EU. Endvidere er de væsentlige cybersikkerhedskrav i nærværende forordning i overensstemmelse med målene for kravene til specifikke standarder, der er omfattet af denne standardiseringsanmodning. Når Kommissionen ophæver eller ændrer delegeret forordning (EU) 2022/30 med den konsekvens, at den ophører med at finde anvendelse på visse produkter, der er omfattet af nærværende forordning, bør Kommissionen og de europæiske standardiseringsorganisationer derfor tage hensyn til det standardiseringsarbejde, der er udført i forbindelse med gennemførelsesafgørelse C(2022)5637, ved udarbejdelsen og udviklingen af harmoniserede standarder for at lette gennemførelsen af nærværende forordning. I overgangsperioden for anvendelsen af nærværende forordning bør Kommissionen yde vejledning til fabrikanter omfattet af nærværende forordning, som også er omfattet af delegeret forordning (EU) 2022/30, for at lette påvisningen af overensstemmelse med de to forordninger.

(31)

Europa-Parlamentets og Rådets direktiv (EU) 2024/2853 (16) supplerer denne forordning. Nævnte direktiv fastsætter regler om produktansvar, således at skadelidte kan kræve erstatning for skade forårsaget af defekte produkter. Det fastsætter princippet om, at fabrikanten af et produkt er ansvarlig for skader forårsaget af produktets manglende sikkerhed uanset fejl (»objektivt ansvar«). Hvis en sådan mangel på sikkerhed består i manglende sikkerhedsopdateringer, efter at produktet er bragt i omsætning, og dette forårsager skade, kan fabrikantens ansvar udløses. Fabrikanternes forpligtelser vedrørende levering af sådanne sikkerhedsopdateringer bør fastsættes i denne forordning.

(32)

Denne forordning bør ikke berøre Europa-Parlamentets og Rådets forordning (EU) 2016/679 (17), herunder bestemmelser vedrørende fastlæggelse af certificeringsmekanismer for databeskyttelse samt databeskyttelsesmærkninger og -mærker med henblik på at påvise, at dataansvarliges og databehandleres behandlingsaktiviteter overholder nævnte forordning. Sådanne aktiviteter kan indlejres i et produkt med digitale elementer. Databeskyttelse gennem design og gennem standardindstillinger samt cybersikkerhed generelt er centrale elementer i forordning (EU) 2016/679. Ved at beskytte forbrugere og organisationer mod cybersikkerhedsrisici skal de væsentlige cybersikkerhedskrav i nærværende forordning også bidrage til at forbedre beskyttelsen af personoplysninger og privatlivets fred for enkeltpersoner. Synergier med hensyn til både standardisering og certificering af cybersikkerhedsaspekter bør overvejes inden for rammerne af samarbejdet mellem Kommissionen, de europæiske standardiseringsorganisationer, Den Europæiske Unions Agentur for Cybersikkerhed (ENISA), Det Europæiske Databeskyttelsesråd, der er oprettet ved forordning (EU) 2016/679, og de nationale databeskyttelsestilsynsmyndigheder. Der bør også skabes synergier mellem nærværende forordning og EU-databeskyttelsesretten inden for markedsovervågning og håndhævelse. Med henblik herpå bør nationale markedsovervågningsmyndigheder udpeget i henhold til nærværende forordning samarbejde med myndigheder, der fører tilsyn med anvendelsen af EU-databeskyttelsesretten. Sidstnævnte myndigheder bør også have adgang til oplysninger, der er relevante for udførelsen af deres opgaver.

(33)

I det omfang deres produkter er omfattet af denne forordnings anvendelsesområde, bør leverandører af europæiske digitale identitetstegnebøger som omhandlet i artikel 5a, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 (18) opfylde både de horisontale væsentlige cybersikkerhedskrav, der er fastsat i nærværende forordning, og de specifikke sikkerhedskrav, der er fastsat i artikel 5a i forordning (EU) nr. 910/2014. For at lette overholdelsen bør udbydere af tegnebøger kunne påvise, at europæiske digitale identitetstegnebøger opfylder de krav, der er fastsat henholdsvis i nærværende forordning og i forordning (EU) nr. 910/2014, ved at certificere deres produkter i henhold til en europæisk cybersikkerhedscertificeringsordning, der er oprettet i henhold til forordning (EU) 2019/881, og for hvilken Kommissionen har angivet ved hjælp af delegerede retsakter, at den kan danne grundlag for formodning om overensstemmelse med nærværende forordning, såfremt attesten eller dele heraf dækker disse krav.

(34)

Når fabrikanter integrerer komponenter fra tredjeparter i produkter med digitale elementer under design- og udviklingsfasen, bør de for at sikre, at produkterne designes, udvikles og produceres i overensstemmelse med de væsentlige cybersikkerhedskrav i denne forordning, foretage due diligence med hensyn til disse komponenter, herunder gratis open-source software-komponenter, der ikke er gjort tilgængelige på markedet. Det passende niveau af due diligence afhænger af en given komponents art og det niveau af cybersikkerhedsrisiko, som en given komponent anses for at have, og bør med dette for øje tage en eller flere af følgende tiltag i betragtning: kontrol af, at fabrikanten af en komponent har påvist overensstemmelse med denne forordning, herunder ved at kontrollere, om komponenten allerede er forsynet med CE-mærkning, i det omfang dette er relevant; kontrol af, at en komponent modtager regelmæssige sikkerhedsopdateringer såsom ved at kontrollere dens sikkerhedshistorik; kontrol af, at en komponent er fri for sårbarheder registreret i den europæiske sårbarhedsdatabase, der er oprettet i henhold til artikel 12, stk. 2, i direktiv (EU) 2022/2555, eller andre offentligt tilgængelige sårbarhedsdatabaser; eller gennemførelse af yderligere sikkerhedsafprøvninger. De forpligtelser vedrørende sårbarhedshåndtering, der er fastsat i denne forordning, og som fabrikanterne skal overholde, når de bringer et produkt med digitale elementer i omsætning og i supportperioden, finder anvendelse på produkter med digitale elementer i deres helhed, herunder alle integrerede komponenter. Hvor fabrikanten af produktet i forbindelse med foretagelsen af due diligence identificerer en sårbarhed i en komponent, herunder i en gratis open source-komponent, bør fabrikanten underrette den person eller enhed, der udvikler eller vedligeholder komponenten, tage hånd om og afhjælpe sårbarheden og, i givet fald, stille den anvendte sikkerhedsløsning til rådighed for personen eller enheden.

(35)

Umiddelbart efter overgangsperioden for anvendelsen af denne forordning er en fabrikant af et produkt med digitale elementer, der integrerer en eller flere komponenter fra tredjeparter, som også er omfattet af denne forordning, muligvis ikke i stand til som led i sin due diligence-forpligtelse at kontrollere, at fabrikanterne af disse komponenter har påvist overensstemmelse med denne forordning, ved f.eks. at kontrollere, om komponenterne allerede er forsynet med CE-mærkning. Dette kan være tilfældet, hvis komponenterne er blevet integreret, før denne forordning finder anvendelse på fabrikanterne af de pågældende komponenter. I så fald bør en fabrikant, der integrerer sådanne komponenter, foretage due diligence ved hjælp af andre midler.

(36)

Produkter med digitale elementer bør være forsynet med CE-mærkning for synligt, læseligt og uudsletteligt at vise, at de er i overensstemmelse med denne forordning, således at de kan bevæge sig frit på det indre marked. Medlemsstaterne bør ikke skabe uberettigede hindringer for omsætning af produkter med digitale elementer, der opfylder kravene i denne forordning, og som er forsynet med CE-mærkning. Endvidere bør medlemsstaterne ikke forhindre, at der på messer og udstillinger samt ved demonstrationer eller lignende begivenheder præsenteres eller anvendes et produkt med digitale elementer, der ikke er i overensstemmelse med denne forordning, herunder prototyper heraf, forudsat at produktet præsenteres med et synlig skilt, hvoraf det tydeligt fremgår, at det ikke overholder denne forordning og ikke må gøres tilgængeligt på markedet, før det gør det.

(37)

For at sikre, at fabrikanterne kan frigive software til afprøvningsformål, inden deres produkter med digitale elementer underkastes en overensstemmelsesvurdering, bør medlemsstaterne ikke forhindre, at ufærdig software såsom alfaversioner, betaversioner eller versioner, som er klar til frigivelse, stilles til rådighed, forudsat at den ufærdige software kun stilles til rådighed i det tidsrum, der er nødvendigt for at afprøve den og indsamle feedback. Fabrikanterne bør sikre, at software, der stilles til rådighed under disse betingelser, først frigives efter en risikovurdering, og at den i videst muligt omfang opfylder de sikkerhedskrav vedrørende egenskaberne ved produkter med digitale elementer, der er fastsat i denne forordning. Fabrikanterne bør også gennemføre kravene til håndtering af sårbarheder i videst muligt omfang. Fabrikanterne bør ikke tvinge brugerne til at opgradere til versioner, der kun frigives til afprøvningsformål.

(38)

For at sikre, at produkter med digitale elementer, når de bringes i omsætning, ikke indebærer cybersikkerhedsrisici for personer og organisationer, bør der fastsættes væsentlige cybersikkerhedskrav til sådanne produkter. Disse væsentlige cybersikkerhedskrav, herunder krav til håndtering af sårbarheder, finder anvendelse på hvert enkelt produkt med digitale elementer, når det bringes i omsætning, uanset om produktet med digitale elementer fremstilles som en individuel enhed eller i serier. For en produkttype bør hvert enkelt produkt med digitale elementer f.eks. have modtaget alle sikkerhedsrettelser eller opdateringer, der er tilgængelige til at håndtere relevante sikkerhedsproblemer, når den bringes i omsætning. Hvor produkter med digitale elementer efterfølgende ændres fysisk eller digitalt på en måde, som fabrikanten ikke har forudset i den indledende risikovurdering, og som kan indebære, at de ikke længere opfylder de relevante væsentlige cybersikkerhedskrav, bør ændringen anses som værende væsentlig. reparationer kunne f.eks. sammenlignes med vedligeholdelse, såfremt de ikke ændrer et produkt med digitale elementer, der allerede er bragt i omsætning, på en sådan måde, at det påvirker overholdelsen af de gældende krav, eller såfremt det tilsigtede formål, som produktet vurderes med henblik på, kan ændres.

(39)

Som det er tilfældet med fysiske reparationer eller ændringer, bør et produkt med digitale elementer anses for at være væsentligt ændret ved en softwareændring, hvor softwareopdateringen ændrer produktets tilsigtede formål, og disse ændringer ikke var forudset af fabrikanten i den indledende risikovurdering, eller hvor farens art har ændret sig, eller cybersikkerhedsrisikoniveauet er forøget som følge af softwareopdateringen, og den opdaterede version af produktet gøres tilgængeligt på markedet. Hvor en sikkerhedsopdatering, der er udformet med henblik på at mindske cybersikkerhedsrisikoen ved et produkt med digitale elementer, ikke ændrer det tilsigtede formål med et produkt med digitale elementer, anses den ikke som værende en væsentlig ændring. Dette omfatter normalt situationer, hvor en sikkerhedsopdatering kun medfører mindre justeringer af kildekoden. Dette kunne f.eks. være tilfældet, hvor en sikkerhedsopdatering retter op på en kendt sårbarhed, herunder ved at ændre funktioner eller ydeevne for et produkt med digitale elementer med det ene formål at mindske cybersikkerhedsrisikoniveauet. På samme måde bør en mindre funktionalitetsopdatering såsom en visuelle forbedring eller tilføjelse af nye piktogrammer eller sprog til brugergrænsefladen generelt ikke anses som værende en væsentlig ændring. Hvis en funktionsopdatering derimod ændrer de oprindelige tilsigtede funktioner eller typen eller ydeevnen af et produkt med digitale elementer og opfylder ovennævnte kriterier, bør den anses som værende en væsentlig ændring, da tilføjelsen af nye funktioner typisk fører til en bredere angrebsflade og dermed øger cybersikkerhedsrisikoen. Dette kunne f.eks. være tilfældet, hvis der tilføjes et nyt inputelement til en applikation, der kræver, at fabrikanten sikrer tilstrækkelig inputvalidering. Ved vurderingen af, hvorvidt en funktionsopdatering anses som værende en væsentlig ændring, er det ikke relevant, om den leveres som en separat opdatering eller i kombination med en sikkerhedsopdatering. Kommissionen bør yde vejledning for, hvordan det fastslås, hvad der udgør en væsentlig ændring.

(40)

Under hensyntagen til softwareudviklings iterative karakter bør fabrikanter, der har bragt efterfølgende versioner af et softwareprodukt i omsætning som følge af en efterfølgende væsentlig ændring af det pågældende produkt, kun skulle være i stand til at levere sikkerhedsopdateringer i supportperioden for den version af softwareproduktet, som de senest har bragt i omsætning. De bør kun skulle være i stand til at gøre dette, hvis brugerne af de relevante tidligere produktversioner har gratis adgang til den produktversion, der senest er bragt i omsætning, og ikke pådrager sig yderligere omkostninger til tilpasning af det hardware- eller softwaremiljø, som de anvender produktet i. Dette kunne f.eks. være tilfældet, hvor en opgradering af et desktopoperativsystem ikke kræver ny hardware såsom en hurtigere central databehandlingsenhed eller mere hukommelse. Ikke desto mindre bør fabrikanten i supportperioden fortsat overholde andre krav til sårbarhedshåndtering såsom at have en politik for koordineret offentliggørelse af sårbarheder eller foranstaltninger på plads til at lette udvekslingen af oplysninger om potentielle sårbarheder for alle efterfølgende væsentligt ændrede versioner af det softwareprodukt, der bringes i omsætning. Fabrikanter bør kun skulle være i stand til at levere mindre sikkerheds- eller funktionalitetsopdateringer, der ikke udgør en væsentlig ændring, til den seneste version eller underversion af et softwareprodukt, der ikke er blevet væsentligt ændret. Hvor et hardwareprodukt såsom en smartphone ikke er kompatibelt med den seneste version af operativsystemet, som det oprindeligt blev leveret sammen med, bør fabrikanten samtidig fortsat levere sikkerhedsopdateringer som minimum til den seneste kompatible version af operativsystemet i supportperioden.

(41)

I overensstemmelse med det almindeligt anerkendte begreb væsentlig ændring for produkter, der er reguleret ved EU-harmoniseringslovgivning, er det hensigtsmæssigt, at det verificeres, om et produkt med digitale elementer overholder kravene, og i givet fald underkastes en ny overensstemmelsesvurdering, hvor der sker en væsentlig ændring, som kan påvirke produktets overensstemmelse med denne forordning, eller når produktets tilsigtede formål ændres. Hvis fabrikanten foretager en overensstemmelsesvurdering, der involverer en tredjepart, bør tredjeparten i givet fald underrettes om en ændring, der kunne føre til en væsentlig ændring.

(42)

Hvor et produkt med digitale elementer er genstand for »istandsættelse«, »vedligeholdelse« og »reparation« som defineret i artikel 2, nr. 18), 19) og 20), i Europa-Parlamentets og Rådets forordning (EU) 2024/1781 (19), fører dette ikke nødvendigvis til en væsentlig ændring af produktet, f.eks. hvis det tilsigtede formål og den tilsigtede funktionalitet ikke ændres, og risikoniveauet ikke påvirkes. En fabrikants opgradering af et produkt med digitale elementer kan imidlertid føre til ændringer i det pågældende produkts design og udvikling og kan derfor påvirke dets tilsigtede formål og opfyldelse af kravene i nærværende forordning.

(43)

Produkter med digitale elementer bør anses som værende vigtige, hvis den negative indvirkning af udnyttelsen af potentielle cybersikkerhedssårbarheder i produktet kan være alvorlig, bl.a. på grund af den cybersikkerhedsrelaterede funktionalitet eller en funktion, der indebærer en betydelig risiko for negative virkninger med hensyn til intensitet og evne til at afbryde, kontrollere eller forvolde skade på et stort antal andre produkter med digitale elementer eller på dets brugeres sundhed, sikkerhed eller tryghed gennem direkte manipulation såsom en central systemfunktion, herunder netværksstyring, konfigurationskontrol, virtualisering eller behandling af personoplysninger. Sårbarheder i produkter med digitale elementer, der har en cybersikkerhedsrelateret funktionalitet, såsom boot managers kan navnlig skabe en lang række sikkerhedsproblemer i hele forsyningskæden. Indvirkningen af en hændelse kan også blive mere alvorlig, hvor produktet primært udfører en central systemfunktion, herunder netværksstyring, konfigurationskontrol, virtualisering eller behandling af personoplysninger.

(44)

Visse kategorier af produkter med digitale elementer bør være underlagt strengere overensstemmelsesvurderingsprocedurer, samtidig med at der sikres en forholdsmæssig tilgang. Med henblik herpå bør vigtige produkter med digitale elementer inddeles i to klasser, der afspejler cybersikkerhedsrisikoniveauet for disse produktkategorier. En hændelse, der involverer vigtige produkter med digitale elementer, der er omfattet af klasse II, kan have større negative virkninger end en hændelse, der involverer vigtige produkter med digitale elementer, der er omfattet af klasse I, f.eks. på grund af arten af deres cybersikkerhedsrelaterede funktion eller udførelsen af en anden funktion, som indebærer en betydelig risiko for negative virkninger. Som en indikation af sådanne større negative virkninger kan produkter med digitale elementer, der er omfattet af klasse II, enten udføre en cybersikkerhedsrelateret funktionalitet eller en anden funktion, der indebærer en betydelig risiko for negative virkninger, der er højere end for dem, der er opført i klasse I, eller opfylde begge ovennævnte kriterier. Vigtige produkter med digitale elementer, der henhører under klasse II, bør derfor underkastes en strengere overensstemmelsesvurderingsprocedure.

(45)

Vigtige produkter med digitale elementer som omhandlet i denne forordning bør forstås som de produkter, hvis væsentligste funktionalitet henhører under en kategori af vigtige produkter med digitale elementer, der er fastsat i denne forordning. F.eks. fastsætter denne forordning kategorier af vigtige produkter med digitale elementer, der defineres ud fra deres væsentligste funktionalitet som firewalls eller systemer til opdagelse eller forebyggelse af indtrængen i klasse II. Som følge heraf er firewalls eller systemer til opdagelse eller forebyggelse af indtrængen underkastet obligatorisk tredjepartsoverensstemmelsesvurdering. Dette er ikke tilfældet for andre produkter med digitale elementer, der ikke kategoriseres som vigtige produkter med digitale elementer, og som kan integrere firewalls eller systemer til opdagelse eller forebyggelse af indtrængen. Kommissionen bør vedtage en gennemførelsesretsakt for at præcisere den tekniske beskrivelse af de kategorier af vigtige produkter med digitale elementer, der falder ind under kategori I og II som fastsat i denne forordning.

(46)

De kategorier af kritiske produkter med digitale elementer, der er fastsat i denne forordning, har en cybersikkerhedsrelateret funktionalitet og udfører en funktionalitet, der indebærer en betydelig risiko for negative virkninger med hensyn til intensitet og evne til at afbryde, kontrollere eller forvolde skade på et stort antal andre produkter med digitale elementer gennem direkte manipulation. Derudover anses disse kategorier af produkter med digitale elementer for at udgøre kritiske afhængighedsforhold for væsentlige enheder som omhandlet i artikel 3, stk. 1, i direktiv (EU) 2022/2555. De kategorier af kritiske produkter med digitale elementer, der er fastsat i et bilag til denne forordning, anvender allerede i betragtning af deres kritikalitet i vid udstrækning forskellige former for certificering og er også omfattet af den europæiske cybersikkerhedscertificeringsordning baseret på fælles kriterier (EUCC), der er fastsat i Kommissionens gennemførelsesforordning (EU) 2024/482 (20). For at sikre en fælles tilstrækkelig cybersikkerhedsbeskyttelse af kritiske produkter med digitale elementer i Unionen kunne det derfor være hensigtsmæssigt og forholdsmæssigt ved hjælp af en delegeret retsakt at underkaste sådanne produktkategorier en obligatorisk europæisk cybersikkerhedscertificering, hvor der allerede findes en relevant europæisk cybersikkerhedscertificeringsordning, der dækker disse produkter, og Kommissionen har foretaget en vurdering af den potentielle indvirkning på markedet af den påtænkte obligatoriske certificering. Denne vurdering bør tage hensyn til både udbuds- og efterspørgselssiden, herunder om der er tilstrækkelig efterspørgsel efter produkter med de pågældende digitale elementer fra både medlemsstater og brugere til, at der kræves europæisk cybersikkerhedscertificering, samt de formål, hvortil produkter med digitale elementer skal anvendes, herunder at der er en kritisk afhængighed af dem hos væsentlige enheder som omhandlet i artikel 3, stk. 1, i direktiv (EU) 2022/2555. Vurderingen bør også analysere de potentielle virkninger af den obligatoriske certificering på tilgængeligheden af disse produkter på det indre marked og medlemsstaternes kapacitet og parathed til at gennemføre de relevante europæiske cybersikkerhedscertificeringsordninger.

(47)

Delegerede retsakter, der kræver obligatorisk europæisk cybersikkerhedscertificering, bør fastlægge de produkter med digitale elementer, hvis væsentligste funktionalitet henhører under en kategori af kritiske produkter med digitale elementer, der er fastsat i denne forordning, og som skal være underlagt obligatorisk certificering, samt det krævede tillidsniveau, der som minimum bør være »betydeligt«. Det krævede tillidsniveau bør stå i et rimeligt forhold til det cybersikkerhedsrisikoniveau, der er forbundet med produktet med digitale elementer. Hvor et produkt med digitale elementer, hvis væsentligste funktionalitet henhører under en kategori af kritiske produkter med digitale elementer, der er fastsat i denne forordning, f.eks. er beregnet til anvendelse i et følsomt eller kritisk miljø såsom produkter beregnet til anvendelse af væsentlige enheder som omhandlet i artikel 3, stk. 1, i direktiv (EU) 2022/2555 kan det kræve det højeste tillidsniveau.

(48)

For at sikre en fælles tilstrækkelig cybersikkerhedsbeskyttelse i Unionen af produkter med digitale elementer, hvis væsentligste funktionalitet henhører under en kategori af kritiske produkter med digitale elementer, der er fastsat i denne forordning, bør Kommissionen også tillægges beføjelse til at vedtage delegerede retsakter med henblik på at ændre denne forordning ved at tilføje eller fjerne kategorier af kritiske produkter med digitale elementer, for hvilke fabrikanterne kan pålægges at indhente en europæisk cybersikkerhedsattest i henhold til en europæisk cybersikkerhedscertificeringsordning i henhold til forordning (EU) 2019/881 for at påvise overensstemmelse med nærværende forordning. En ny kategori af kritiske produkter med digitale elementer kan tilføjes til disse kategorier, hvis der er en kritisk afhængighed af dem hos væsentlige enheder som omhandlet i artikel 3, stk. 1, i direktiv (EU) 2022/2555, eller, hvis dette, såfremt de påvirkes af hændelser, eller når de indeholder udnyttede sårbarheder, kan føre til forstyrrelser af kritiske forsyningskæder. Ved vurderingen af behovet for at tilføje eller fjerne kategorier af kritiske produkter med digitale elementer ved hjælp af en delegeret retsakt bør Kommissionen kunne tage hensyn til, om medlemsstaterne på nationalt plan har identificeret produkter med digitale elementer, der har en kritisk rolle for modstandsdygtigheden af de væsentlige enheder, der er omhandlet i artikel 3, stk. 1, i direktiv (EU) 2022/2555, og som i stigende grad udsættes for cyberangreb i forsyningskæden med potentielle alvorlige forstyrrende virkninger. Endvidere bør Kommissionen kunne tage hensyn til resultaterne af koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder på EU-plan, der foretages i overensstemmelse med artikel 22 i direktiv (EU) 2022/2555.

(49)

Kommissionen bør sikre, at en bred vifte af relevante interessenter høres på en struktureret og regelmæssig måde, når der udarbejdes foranstaltninger til gennemførelse af denne forordning. Dette bør navnlig være tilfældet, hvor Kommissionen vurderer behovet for potentielle ajourføringer af listerne over kategorier af vigtige eller kritiske produkter med digitale elementer, hvor relevante fabrikanter bør høres og deres synspunkter tages i betragtning med henblik på at analysere cybersikkerhedsrisiciene samt balancen mellem omkostninger og fordele ved at udpege sådanne kategorier af produkter som vigtige eller kritiske.

(50)

Denne forordning har en målrettet tilgang til cybersikkerhedsrisici. Produkter med digitale elementer kan imidlertid indebære andre sikkerhedsrisici, som ikke altid vedrører cybersikkerhed, men som kan være en konsekvens af et sikkerhedsbrud. Disse risici bør fortsat reguleres ved anden relevant EU-harmoniseringslovgivning end denne forordning. Hvis ingen anden EU-harmoniseringslovgivning end denne forordning finder anvendelse, bør de være omfattet af Europa-Parlamentets og Rådets forordning (EU) 2023/988 (21). Uanset artikel 2, stk. 1, tredje afsnit, litra b), i forordning (EU) 2023/988 bør kapitel III, afdeling 1, kapitel V og VII og kapitel IX-XI i forordning (EU) 2023/988 i lyset af nærværende forordnings målrettede karakter derfor finde anvendelse på produkter med digitale elementer for så vidt angår sikkerhedsrisici, der ikke er omfattet af nærværende forordning, hvis disse produkter ikke er omfattet af specifikke krav i anden EU-harmoniseringslovgivning end nærværende forordning i den i artikel 3, nr. 27), i forordning (EU) 2023/988 anvendte betydning.

(51)

Produkter med digitale elementer, der er klassificeret som højrisiko-AI-systemer i henhold til artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (22), og som er omfattet af nærværende forordnings anvendelsesområde, bør opfylde de væsentlige cybersikkerhedskrav, der er fastsat i nærværende forordning. Hvor disse højrisiko-AI-systemer opfylder de væsentlige cybersikkerhedskrav i nærværende forordning, bør de anses for at opfylde cybersikkerhedskravene i artikel 15 i forordning (EU) 2024/1689, for så vidt som disse krav er omfattet af EU-overensstemmelseserklæringen eller dele heraf udstedt i henhold til nærværende forordning. Med henblik herpå bør vurderingen af de cybersikkerhedsrisici, der er forbundet med et produkt med digitale elementer, der er klassificeret som et højrisiko-AI-system i henhold til forordning (EU) 2024/1689, som skal tages i betragtning i forbindelse med planlægnings-, design-, udviklings-, produktions-, leverings- og vedligeholdelsesfaserne for et sådant produkt som krævet i nærværende forordning, tage hensyn til risici for et AI-systems cyberrobusthed for så vidt angår uautoriserede tredjeparters forsøg på at ændre dets anvendelse, adfærd eller ydeevne, herunder AI-specifikke sårbarheder såsom dataforgiftning eller fjendtlige angreb, samt, alt efter hvad der er relevant, risici for de grundlæggende rettigheder, i overensstemmelse med forordning (EU) 2024/1689. For så vidt angår overensstemmelsesvurderingsprocedurerne vedrørende de væsentlige cybersikkerhedskrav til et produkt med digitale elementer, der er omfattet af nærværende forordnings anvendelsesområde og klassificeret som et højrisiko-AI-system, bør artikel 43 i forordning (EU) 2024/1689 som hovedregel finde anvendelse i stedet for de relevante bestemmelser i nærværende forordning. Denne regel bør dog ikke resultere i en begrænsning af den nødvendige grad af sikkerhed for vigtige eller kritiske produkter med digitale elementer som omhandlet i nærværende forordning. Uanset denne regel bør højrisiko-AI-systemer, der er omfattet af anvendelsesområdet for forordning (EU) 2024/1689 og også betragtes som vigtige eller kritiske produkter med digitale elementer som omhandlet i nærværende forordning, og som overensstemmelsesvurderingsproceduren baseret på intern kontrol som omhandlet i bilag VI til forordning (EU) 2024/1689 finder anvendelse på, derfor være omfattet af procedurerne for overensstemmelsesvurdering i nærværende forordning for så vidt angår de væsentlige cybersikkerhedskrav i nærværende forordning. I sådan et tilfælde bør de relevante bestemmelser om overensstemmelsesvurdering på grundlag af intern kontrol, der er fastsat i bilag VI til forordning (EU) 2024/1689, finde anvendelse på alle andre aspekter, der er omfattet af nævnte forordning.

(52)

For at forbedre sikkerheden af produkter med digitale elementer, der bringes i omsætning i det indre marked, er det nødvendigt at fastsætte væsentlige cybersikkerhedskrav, der gælder for sådanne produkter. Disse væsentlige cybersikkerhedskrav bør ikke berøre de koordinere sikkerhedsrisikovurderinger af kritiske forsyningskæder på EU-plan, der fremgår af artikel 22 i direktiv (EU) 2022/2555, hvor der tages hensyn til både tekniske og, hvor det er relevant, ikketekniske risikofaktorer såsom et tredjelands utilbørlige indflydelse på leverandører. De bør desuden ikke berøre medlemsstaternes beføjelser til at fastsætte yderligere krav, der tager hensyn til ikketekniske faktorer med henblik på at sikre et højt niveau af modstandsdygtighed, herunder dem, der er defineret i Kommissionens henstilling (EU) 2019/534 (23), i den EU-koordinerede risikovurdering af cybersikkerheden af 5G-net og i EU-værktøjskassen til 5G-cybersikkerhed, som samarbejdsgruppen, der er nedsat i medfør af artikel 14 i direktiv (EU) 2022/2555, er nået til enighed om.

(53)

Fabrikanter af produkter, der er omfattet af anvendelsesområdet for Europa-Parlamentets og Rådets forordning (EU) 2023/1230 (24), der også er produkter med digitale elementer som defineret i nærværende forordning, bør opfylde både de væsentlige cybersikkerhedskrav, der er fastsat i nærværende forordning, og de væsentlige sundheds- og sikkerhedskrav, der er fastsat i forordning (EU) 2023/1230. De væsentlige cybersikkerhedskrav, der er fastsat i nærværende forordning, og visse væsentlige krav, der er fastsat i forordning (EU) 2023/1230, kan være rettet mod ensartede cybersikkerhedsrisici. Derfor kan overholdelsen af de væsentlige cybersikkerhedskrav, der er fastsat i nærværende forordning, lette overholdelsen af de væsentlige krav, der også omfatter visse cybersikkerhedsrisici som fastsat i forordning (EU) 2023/1230, og navnlig kravene vedrørende beskyttelse mod korruption og kontrolsystemers sikkerhed og pålidelighed, der er fastsat i afsnit 1.1.9 og 1.2.1 i bilag III til nævnte forordning. Sådanne synergier skal påvises af fabrikanten, f.eks. ved, hvor sådanne foreligger, at anvende harmoniserede standarder eller andre tekniske specifikationer, der dækker relevante væsentlige cybersikkerhedskrav, efter en risikovurdering, der dækker disse cybersikkerhedsrisici. Fabrikanten bør også følge de gældende overensstemmelsesvurderingsprocedurer, der er fastsat i nærværende forordning og i forordning (EU) 2023/1230. Kommissionen og de europæiske standardiseringsorganisationer bør i det forberedende arbejde til støtte for gennemførelsen af nærværende forordning og forordning (EU) 2023/1230 og de tilknyttede standardiseringsprocesser fremme konsistens i, hvordan cybersikkerhedsrisiciene skal vurderes, og hvordan disse risici skal dækkes af harmoniserede standarder med hensyn til de relevante væsentlige krav. Kommissionen og de europæiske standardiseringsorganisationer bør navnlig tage hensyn til nærværende forordning i forbindelse med udarbejdelsen og udviklingen af harmoniserede standarder til at lette gennemførelsen af forordning (EU) 2023/1230 for så vidt angår navnlig cybersikkerhedsaspekter i forbindelse med beskyttelse mod korruption og kontrolsystemers sikkerhed og pålidelighed, der er fastsat i afsnit 1.1.9 og 1.2.1 i bilag III til nævnte forordning. Kommissionen bør yde vejledning for at støtte fabrikanter, der er omfattet af nærværende forordning, og som også er omfattet af forordning (EU) 2023/1230, navnlig for at lette påvisningen af overensstemmelse med de relevante væsentlige krav i nærværende forordning og i forordning (EU) 2023/1230.

(54)

For at sikre, at produkter med digitale elementer er sikre både på det tidspunkt, hvor de bringes i omsætning, og i den periode, hvor produktet med digitale elementer forventes at være i brug, er det nødvendigt at fastsætte væsentlige cybersikkerhedskrav til sårbarhedshåndtering og væsentlige cybersikkerhedskrav vedrørende egenskaberne ved produkter med digitale elementer. Mens fabrikanterne bør opfylde alle væsentlige cybersikkerhedskrav vedrørende håndtering af sårbarheder i hele supportperioden, bør de afgøre, hvilke andre væsentlige cybersikkerhedskrav vedrørende produktegenskaberne der er relevante for den pågældende produkttype med digitale elementer. Med henblik herpå bør fabrikanterne foretage en vurdering af de cybersikkerhedsrisici, der er forbundet med et produkt med digitale elementer, for at identificere relevante risici og relevante væsentlige cybersikkerhedskrav og for at stille deres produkter med digitale elementer til rådighed uden kendte sårbarheder, der kan udnyttes, og som kan have en indvirkning på de pågældende produkters sikkerhed, og for på passende vis at anvende relevante harmoniserede standarder, fælles specifikationer eller europæiske eller internationale standarder.

(55)

Hvor visse væsentlige cybersikkerhedskrav ikke finder anvendelse på et produkt med digitale elementer, bør fabrikanten medtage en klar begrundelse i cybersikkerhedsrisikovurderingen, som er inkluderet i den tekniske dokumentation. Dette kunne være tilfældet, hvis et væsentligt cybersikkerhedskrav er uforeneligt med karakteren af et produkt med digitale elementer. For eksempel kan det tilsigtede formål med et produkt med digitale elementer kræve, at fabrikanten følger bredt anerkendte interoperabilitetsstandarder, selv om dets sikkerhedsfunktioner ikke længere anses for at være på det aktuelle tekniske niveau. På samme måde kræver anden EU-ret, at fabrikanterne anvender specifikke interoperabilitetskrav. Hvor et væsentligt cybersikkerhedskrav ikke finder anvendelse på et produkt med digitale elementer, men fabrikanten har identificeret cybersikkerhedsrisici i forbindelse med dette væsentlige cybersikkerhedskrav, bør fabrikanten træffe foranstaltninger til at imødegå disse risici på anden vis, f.eks. ved at begrænse produktets tilsigtede formål til pålidelige miljøer eller ved at informere brugerne om de pågældende risici.

(56)

En af de vigtigste foranstaltninger, som brugerne skal træffe for at beskytte deres produkter med digitale elementer mod cyberangreb, er at installere de seneste tilgængelige sikkerhedsopdateringer så hurtigt som muligt. Fabrikanterne bør derfor udforme deres produkter og indføre processer for at sikre, at produkter med digitale elementer omfatter funktioner, der muliggør automatisk anmeldelse, distribution, download og installation af sikkerhedsopdateringer, navnlig i forbindelse med forbrugerprodukter. De bør også give mulighed for at godkende download og installation af sikkerhedsopdateringer som et sidste skridt. Brugerne bør bevare muligheden for at deaktivere automatiske opdateringer med en klar og brugervenlig mekanisme understøttet af klare instrukser i, hvordan brugerne kan fravælge dem. Kravene vedrørende automatiske opdateringer som fastsat i et bilag til denne forordning finder ikke anvendelse på produkter med digitale elementer, der primært er beregnet til at blive integreret som komponenter i andre produkter. De finder heller ikke anvendelse på produkter med digitale elementer, for hvilke brugerne ikke med rimelighed kan forvente automatiske opdateringer, herunder produkter med digitale elementer, der er beregnet til at blive anvendt i professionelle IKT-netværk, og navnlig i kritiske og industrielle miljøer, hvor en automatisk opdatering kunne forårsage forstyrrelser i driften. Uanset om et produkt med digitale elementer er designet til at modtage automatiske opdateringer eller ej, bør dets fabrikant informere brugerne om sårbarheder og straks stille sikkerhedsopdateringer til rådighed. Hvis et produkt med digitale elementer har en brugergrænseflade eller lignende tekniske midler, der muliggør direkte interaktion med dets brugere, bør fabrikanten gøre brug af sådanne funktioner til at informere brugerne om, at deres produkt med digitale elementer har nået udgangen af supportperioden. Underretninger bør begrænses til, hvad der er nødvendigt for at sikre en effektiv modtagelse af disse oplysninger, og bør ikke have en negativ indvirkning på brugeroplevelsen af produktet med digitale elementer.

(57)

For at forbedre gennemsigtigheden af sårbarhedshåndteringsprocesser og for at sikre, at brugerne ikke er forpligtet til at installere nye funktionalitetsopdateringer udelukkende med henblik på at modtage de seneste sikkerhedsopdateringer, bør fabrikanterne, hvor det er teknisk muligt, sikre, at nye sikkerhedsopdateringer leveres adskilt fra funktionalitetsopdateringer.

(58)

I den fælles meddelelse fra Kommissionen og Unionens højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik af 20. juni 2023 med titlen »En europæisk økonomisk sikkerhedsstrategi« fastslås det, at Unionen er nødt til at maksimere fordelene ved sin økonomiske åbenhed og samtidig minimere risiciene fra økonomisk afhængighed af højrisikoleverandører gennem en fælles strategisk ramme for Unionens økonomiske sikkerhed. Afhængighed af højrisikoleverandører af kritiske produkter med digitale elementer udgør en strategisk risiko, som bør håndteres på EU-plan, navnlig hvor de kritiske produkter med digitale elementer er beregnet til brug af væsentlige enheder som omhandlet i artikel 3, stk. 1, i direktiv (EU) 2022/2555. Sådanne risici kan være knyttet til, men er ikke begrænset til, den jurisdiktion, der gælder for fabrikanten, egenskaberne ved ejerskabsforholdene i fabrikantens virksomhed og kontrolrelationerne med en regering i et tredjeland, hvor den er etableret, navnlig hvor et tredjeland er involveret i økonomisk spionage eller uforsvarlig statslig adfærd, og dets lovgivning tillader vilkårlig adgang til enhver form for virksomhedsaktiviteter eller -data, herunder kommercielt følsomme data, og kan pålægge forpligtelser til efterretningsformål uden demokratiske kontrolforanstaltninger, tilsynsmekanismer, en retfærdig procedure eller retten til at klage til en uafhængig domstol. Ved fastlæggelsen af væsentligheden af en cybersikkerhedsrisiko i den i denne forordning anvendte betydning bør Kommissionen og markedsovervågningsmyndighederne i overensstemmelse med deres ansvar som fastsat i denne forordning også tage hensyn til ikketekniske risikofaktorer, navnlig dem, der er fastsat som følge af koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder på EU-plan foretaget i overensstemmelse med artikel 22 i direktiv (EU) 2022/2555.

(59)

Med henblik på at garantere sikkerheden af produkter med digitale elementer, efter at de er bragt i omsætning, bør fabrikanterne fastsætte supportperioder, som bør afspejle den periode, hvor produktet med digitale elementer forventes at være i brug. Ved fastsættelsen af en supportperiode bør en fabrikant navnlig tage hensyn til rimelige brugerforventninger, produktets art samt relevant EU-ret, der fastsætter levetiden for produkter med digitale elementer. Fabrikanter bør også kunne tage hensyn til andre relevante faktorer. Kriterierne bør anvendes på en måde, der sikrer proportionalitet ved fastsættelsen af supportperioden. På anmodning bør en fabrikant give markedsovervågningsmyndighederne de oplysninger, der blev taget i betragtning med henblik på at fastlægge supportperioden for et produkt med digitale elementer.

(60)

Den supportperiode, hvor fabrikanten sikrer effektiv håndtering af sårbarheder, bør være på mindst fem år, medmindre levetiden for produktet med digitale elementer er mindre end fem år, i hvilket tilfælde fabrikanten bør sikre sårbarhedshåndteringen i den pågældende levetid. Hvis den periode, hvor produktet med digitale elementer med rimelighed forventes at være i brug, er længere end fem år, som det ofte er tilfældet for hardwarekomponenter såsom motherboards eller mikroprocessorer, netværksenheder såsom routere, modemmer eller switches samt software såsom operativsystemer eller videoredigeringsværktøjer, bør fabrikanterne i overensstemmelse hermed sikre længere supportperioder. Navnlig produkter med digitale elementer, der er beregnet til anvendelse i industrielle miljøer, såsom industrielle kontrolsystemer, anvendes ofte i betydeligt længere tid. En fabrikant bør kun kunne definere en supportperiode på mindre end fem år, hvis dette er begrundet i arten af det pågældende produkt med digitale elementer, og hvis produktet forventes at være i brug i mindre end fem år, i hvilket tilfælde supportperioden bør svare til den forventede anvendelsestid. F.eks. kunne levetiden for en kontaktopsporingsapplikation, der er beregnet til brug under en pandemi, begrænses til pandemiens varighed. Desuden kan visse softwareapplikationer i sagens natur kun stilles til rådighed på grundlag af en abonnementsmodel, navnlig hvis applikationen bliver utilgængelig for brugeren og derfor ikke længere er i brug, når abonnementet udløber.

(61)

Når produkter med digitale elementer når udgangen af deres supportperioder, bør fabrikanterne for at sikre, at sårbarheder kan håndteres efter udløbet af supportperioden, overveje at frigive kildekoden for sådanne produkter med digitale elementer enten til andre virksomheder, der forpligter sig til at udvide leveringen af sårbarhedshåndteringstjenester, eller til offentligheden. Hvis fabrikanterne frigiver kildekoden til andre virksomheder, bør de være i stand til at beskytte ejerskabet af produktet med digitale elementer og forhindre udbredelse af kildekoden til offentligheden, f.eks. gennem kontraktlige ordninger.

(62)

For at sikre, at fabrikanter i hele Unionen fastsætter ensartede supportperioder for sammenlignelige produkter med digitale elementer, bør ADCO offentliggøre statistikker over de gennemsnitlige supportperioder, som fabrikanterne har fastsat for kategorier af produkter med digitale elementer, og udstede retningslinjer med angivelse af passende supportperioder for sådanne kategorier. Med henblik på at sikre en harmoniseret tilgang i hele det indre marked bør Kommissionen derudover kunne vedtage delegerede retsakter for at fastsætte minimumssupportperioder for specifikke produktkategorier, hvor data fra markedsovervågningsmyndighederne tyder på, at de supportperioder, som fabrikanterne fastsætter, enten systematisk ikke er i overensstemmelse med kriterierne for fastsættelse af supportperioder som fastsat i denne forordning, eller at fabrikanter i forskellige medlemsstater uberettiget fastsætter forskellige supportperioder.

(63)

Fabrikanter bør oprette et centralt kontaktpunkt, der gør det muligt for brugere let at kommunikere med dem, herunder med henblik på at indberette og modtage oplysninger om sårbarhederne i produktet med et digitalt element. De bør gøre det centrale kontaktpunkt let tilgængeligt for brugerne og klart angive, hvornår det er tilgængeligt, og holde disse oplysninger ajour. Hvor fabrikanter vælger at tilbyde automatiserede værktøjer, f.eks. chatbokse, bør de også tilbyde et telefonnummer eller andre digitale kontaktmidler såsom en e-mailadresse eller en kontaktformular. Det centrale kontaktpunkt bør ikke udelukkende benytte automatiserede værktøjer.

(64)

Fabrikanter bør gøre deres produkter med digitale elementer tilgængelige på markedet med en sikker konfiguration som standard og gratis levere sikkerhedsopdateringer til brugerne. Fabrikanter bør kun kunne afvige fra de væsentlige cybersikkerhedskrav i forbindelse med skræddersyede produkter, der er udformet til et bestemt formål for en bestemt erhvervsbruger, og hvor både fabrikanten og brugeren udtrykkeligt har aftalt et andet sæt kontraktvilkår.

(65)

Fabrikanterne bør via den fælles indberetningsplatform samtidig underrette både den enhed, der håndterer IT-sikkerhedshændelser (CSIRT), der er udpeget som koordinator, og ENISA om aktivt udnyttede sårbarheder i produkter med digitale elementer samt alvorlige hændelser, der har indvirkning på disse produkters sikkerhed. Underretningerne bør indgives via adgangspunkter for elektronisk underretning i en CSIRT, der er udpeget som koordinator, og bør samtidig være tilgængelige for ENISA.

(66)

Fabrikanterne bør underrette om aktivt udnyttede sårbarheder for at sikre, at de CSIRT'er, der er udpeget som koordinatorer, og ENISA har et passende overblik over sådanne sårbarheder og får de oplysninger, der er nødvendige for, at de kan udføre deres opgaver som fastsat i direktiv (EU) 2022/2555, og øge det overordnede cybersikkerhedsniveau for væsentlige og vigtige enheder som omhandlet i nævnte direktivs artikel 3, samt for at sikre, at markedsovervågningsmyndighederne fungerer effektivt. Da de fleste produkter med digitale elementer markedsføres i hele det indre marked, bør enhver udnyttet sårbarhed i et produkt med digitale elementer anses som værende en trussel mod det indre markeds funktion. ENISA bør i samarbejde med fabrikanterne offentliggøre afhjulpne sårbarheder i den europæiske sårbarhedsdatabase, der er oprettet i henhold til artikel 12, stk. 2, i direktiv (EU) 2022/2555. Den europæiske sårbarhedsdatabase vil hjælpe fabrikanterne til at opdage kendte sårbarheder, der kan udnyttes, i deres produkter, med henblik på at sørge for, at der bringes sikre produkter i omsætning.

(67)

Fabrikanterne bør også give underretning om enhver alvorlig hændelse, der indvirker på sikkerheden af produktet med digitale elementer til den CSIRT, der er udpeget som koordinator, og til ENISA. For at sikre, at brugerne kan reagere hurtigt på alvorlige hændelser, der har indvirkning på sikkerheden af deres produkter med digitale elementer, bør fabrikanterne også underrette deres brugere om en sådan hændelse og, i givet fald, om eventuelle korrigerende foranstaltninger, som brugerne kan træffe for at afbøde virkningen af hændelsen, f.eks. ved at offentliggøre relevante oplysninger på deres websteder eller, hvor fabrikanten har mulighed for at kontakte brugerne og hvor cybersikkerhedsrisiciene berettiger dertil, ved at kontakte brugerne direkte.

(68)

Aktivt udnyttede sårbarheder vedrører tilfælde, hvor en fabrikant konstaterer, at et brud på sikkerheden, der påvirker dens brugere eller andre fysiske eller juridiske personer, skyldes, at en ondsindet aktør udnytter en fejl i et af produkterne med digitale elementer, som fabrikanten har gjort tilgængelige på markedet. Eksempler på sådanne sårbarheder kan være svagheder i et produkts identifikations- og autentifikationsfunktioner. Sårbarheder, der opdages uden ondsindede hensigter, men med det formål i god tro at afprøve, undersøge, korrigere eller offentliggøre med henblik på at fremme systemejerens og dennes brugeres sikkerhed, bør ikke være omfattet af obligatoriske underretninger. Alvorlige hændelser, der har en indvirkning på sikkerheden af produktet med digitale elementer, vedrører derimod situationer, hvor en cybersikkerhedshændelse påvirker fabrikantens udviklings-, produktions- eller vedligeholdelsesprocesser på en sådan måde, at det kan resultere i en øget cybersikkerhedsrisiko for brugere eller andre personer. En sådan alvorlig hændelse kan omfatte en situation, hvor en angriber på vellykket vis har indført ondsindet kode i den frigivelseskanal, hvorigennem fabrikanten frigiver sikkerhedsopdateringer til brugere.

(69)

For at sikre, at underretninger hurtigt kan formidles til alle relevante CSIRT'er, der er udpeget som koordinatorer, og for at gøre det muligt for fabrikanterne at sende en enkelt underretning på hvert trin i underretningsproceduren, bør ENISA oprette en fælles indberetningsplatform med nationale elektroniske adgangspunkter for underretning. Den fælles indberetningsplatforms daglige drift bør forvaltes og opretholdes af ENISA. De CSIRT'er, der er udpeget som koordinatorer, bør informere deres respektive markedsovervågningsmyndigheder om anmeldte sårbarheder eller hændelser. Den fælles indberetningsplatform bør udformes på en sådan måde, at den sikrer fortroligheden af underretninger, navnlig for så vidt angår sårbarheder, for hvilke en sikkerhedsopdatering endnu ikke er tilgængelig. ENISA bør desuden indføre procedurer for behandling af oplysninger på en sikker og fortrolig måde. På grundlag af de oplysninger, som ENISA indsamler, bør det hvert andet år udarbejde en teknisk rapport om nye tendenser med hensyn til cybersikkerhedsrisici forbundet med produkter med digitale elementer og forelægge den for den samarbejdsgruppe, der er oprettet i henhold til artikel 14 i direktiv (EU) 2022/2555.

(70)

Under ekstraordinære omstændigheder og navnlig efter anmodning fra fabrikanten bør den CSIRT, der er udpeget som koordinator, og som indledningsvist modtager en underretning, kunne beslutte at udsætte formidlingen heraf til de andre relevante CSIRT'er, der er udpeget som koordinatorer, via den fælles indberetningsplatform, hvis dette kan berettiges på grundlag af cybersikkerhedsrelaterede årsager og i en periode, der er strengt nødvendig. Den CSIRT, der er udpeget som koordinator, bør omgående underrette ENISA om afgørelsen om udsættelse og om årsagerne hertil samt om, hvornår den agter at videreformidle underretningen. Kommissionen bør gennem en delegeret retsakt udarbejde specifikationer for vilkår og betingelser for, hvornår de cybersikkerhedsrelaterede årsager kunne finde anvendelse, og bør samarbejde med CSIRT-netværket, der er oprettet i henhold til artikel 15 i direktiv (EU) 2022/2555, og ENISA om udarbejdelsen af udkastet til delegeret retsakt. Eksempler på cybersikkerhedsrelaterede årsager omfatter en igangværende procedure for koordineret offentliggørelse af sårbarheder eller situationer, hvor en fabrikant forventes at træffe en afbødende foranstaltning i løbet af kort tid, og cybersikkerhedsrisiciene ved en øjeblikkelig formidling via den fælles indberetningsplatform opvejer fordelene herved. Hvis den CSIRT, der er udpeget som koordinator, anmoder herom, bør ENISA kunne støtte den pågældende CSIRT med henvisning til de cybersikkerhedsrelaterede årsager i forbindelse med udsættelsen af formidlingen af underretningen på grundlag af de oplysninger, som ENISA har modtaget fra den pågældende CSIRT om afgørelsen om at tilbageholde en underretning af disse cybersikkerhedsrelaterede årsager. Endvidere bør ENISA under særlig ekstraordinære omstændigheder ikke modtage alle detaljerne vedrørende en aktivt udnyttet sårbarhed samtidig. Dette vil være tilfældet, når fabrikanten i sin underretning anfører, at den anmeldte sårbarhed er blevet udnyttet aktivt af en ondsindet aktør, og at den ifølge de foreliggende oplysninger ikke er blevet udnyttet i nogen anden medlemsstat end den, hvor den CSIRT, der er udpeget som koordinator, og til hvem fabrikanten har anmeldt sårbarheden, befinder sig, når en øjeblikkelig videreformidling af den anmeldte sårbarhed sandsynligvis vil føre til levering af oplysninger, hvis offentliggørelse vil stride mod den pågældende medlemsstats væsentlige interesser, eller når den anmeldte sårbarhed udgør en overhængende høj cybersikkerhedsrisiko som følge af videreformidlingen. I sådanne tilfælde vil ENISA kun få samtidig adgang til oplysningerne om, at fabrikanten har foretaget en underretning, generelle oplysninger om det pågældende produkt med digitale elementer, oplysninger om den generelle karakter af udnyttelsen og oplysninger om, at fabrikanten har gjort disse sikkerhedsgrunde gældende, og at underretningens fulde indhold derfor tilbageholdes. Den fuldstændige underretning bør derefter stilles til rådighed for ENISA og andre relevante CSIRT'er, der er udpeget som koordinatorer, når den CSIRT, der er udpeget som koordinator, og som indledningsvist modtog underretningen, finder, at disse sikkerhedsgrunde, der udgør særlig ekstraordinære omstændigheder som fastsat i denne forordning, ikke længere foreligger. Hvor ENISA på grundlag af de tilgængelige oplysninger finder, at der er tale om en systemisk risiko, der indvirker på sikkerheden i det indre marked, bør ENISA anbefale den modtagende CSIRT at formidle den fuldstændige underretning til de andre CSIRT'er, der er udpeget som koordinatorer, og til ENISA selv.

(71)

Når fabrikanter underretter om en aktivt udnyttet sårbarhed eller en alvorlig hændelse, der har indvirkning på sikkerheden af produktet med digitale elementer, bør de angive, hvor følsomme de anser de indberettede oplysninger for at være. Den CSIRT, der er udpeget som den koordinator, der oprindeligt modtager underretningen, bør tage hensyn til disse oplysninger, når den vurderer, om underretningen giver anledning til ekstraordinære omstændigheder, der berettiger en udsættelse af formidlingen af underretningen til de andre relevante CSIRT'er, der er udpeget som koordinatorer, på grundlag af begrundede cybersikkerhedsrelaterede årsager. Den bør også tage hensyn til disse oplysninger, når den vurderer, om underretningen om en aktivt udnyttet sårbarhed giver anledning til særlige ekstraordinære omstændigheder, der berettiger, at den fuldstændige underretning ikke samtidig stilles til rådighed for ENISA. Endelig bør CSIRT'er, der er udpeget som koordinatorer, kunne tage hensyn til disse oplysninger, når de træffer passende foranstaltninger til at afbøde de risici, der følger af sådanne sårbarheder og hændelser.

(72)

For at forenkle indberetningen af de oplysninger, der kræves i henhold til denne forordning, i betragtning af andre supplerende indberetningskrav, der er fastsat i EU-retten, såsom forordning (EU) 2016/679, Europa-Parlamentets og Rådets forordning (EU) 2022/2554 (25), Europa-Parlamentets og Rådets direktiv 2002/58/EF (26) og direktiv (EU) 2022/2555, samt for at mindske den administrative byrde for enhederne, opfordres medlemsstaterne til at overveje at oprette centrale indgangspunkter på nationalt plan for sådanne indberetningskrav. Anvendelsen af sådanne nationale fælles indgangspunkter til indberetning af sikkerhedshændelser i henhold til forordning (EU) 2016/679 og direktiv 2002/58/EF bør ikke berøre anvendelsen af bestemmelserne i forordning (EU) 2016/679 og direktiv 2002/58/EF, navnlig bestemmelserne vedrørende uafhængigheden af de deri omhandlede myndigheder. Ved oprettelsen af den fælles indberetningsplatform, der er omhandlet i nærværende forordning, bør ENISA tage hensyn til muligheden for, at de nationale adgangspunkter for elektronisk underretning, der er omhandlet i nærværende forordning, integreres i nationale centrale indgangspunkter, som også kan integrere andre underretninger, der kræves i henhold til EU-retten.

(73)

Ved oprettelsen af den fælles indberetningsplatform, der er omhandlet i denne forordning, og for at drage fordel af tidligere erfaringer bør ENISA konsultere andre EU-institutioner eller -agenturer, der forvalter platforme eller databaser, der er underlagt strenge sikkerhedskrav, såsom Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA). ENISA bør også analysere mulig komplementaritet med den europæiske sårbarhedsdatabase, som er oprettet i henhold til artikel 12, stk. 2, i direktiv (EU) 2022/2555.

(74)

Fabrikanter og andre fysiske og juridiske personer bør på frivillig basis kunne underrette en CSIRT, der er udpeget som koordinator, eller ENISA om enhver sårbarhed i et produkt med digitale elementer, cybertrusler, der kunne påvirke risikoprofilen for et produkt med digitale elementer, enhver hændelse, der har indvirkning på sikkerheden af produktet med digitale elementer, samt nærvedhændelser, der kunne have resulteret i en sådan hændelse.

(75)

Medlemsstaterne bør så vidt muligt tackle de udfordringer, som sårbarhedsforskere står over for, herunder deres potentielle strafansvar, i overensstemmelse med national ret. Eftersom fysiske og juridiske personer, der forsker i sårbarheder, i nogle medlemsstater vil kunne blive udsat for strafferetligt og civilretligt ansvar, opfordres medlemsstaterne til at vedtage retningslinjer for ikke-retsforfølgelse af informationssikkerhedsforskere og en fritagelse for civilretligt ansvar for deres aktiviteter.

(76)

Fabrikanter af produkter med digitale elementer bør indføre koordinerede politikker for offentliggørelse af sårbarheder for at gøre det lettere for enkeltpersoner eller enheder at indberette sårbarheder, enten direkte til fabrikanten eller indirekte, og efter der er anmodning om at gøre dette anonymt, via CSIRT'er, der er udpeget som koordinatorer med henblik på koordineret offentliggørelse af sårbarheder i overensstemmelse med artikel 12, stk. 1, i direktiv (EU) 2022/2555. Fabrikanters politik for koordineret offentliggørelse af sårbarheder bør angive en struktureret proces, hvorigennem sårbarheder indberettes til en fabrikant på en måde, der gør det muligt for fabrikanten at diagnosticere sådanne sårbarheder, inden detaljerede sårbarhedsoplysninger videregives til tredjeparter eller offentligheden. Derudover bør fabrikanter også overveje at offentliggøre deres sikkerhedspolitikker i maskinlæsbart format. Da oplysninger om sårbarheder, der kan udnyttes i almindeligt anvendte produkter med digitale elementer, kan sælges til høje priser på det sorte marked, bør fabrikanter af sådanne produkter som led i deres koordinerede politikker for offentliggørelse af sårbarheder kunne anvende programmer, der tilskynder til indberetning af sårbarheder, ved at sikre, at enkeltpersoner eller enheder modtager anerkendelse og kompensation for deres indsats. Dette henviser til såkaldte »bug bounty-programmer«.

(77)

For at lette sårbarhedsanalysen bør fabrikanterne identificere og dokumentere komponenter i produkter med digitale elementer, herunder ved at udarbejde en softwarekomponentliste. En softwarekomponentliste kan give fabrikanter, købere og brugere af software oplysninger, som øger deres forståelse af forsyningskæden, hvilket har mange fordele, navnlig at den hjælper fabrikanter og brugere med at spore kendte nyligt opståede sårbarheder og cybersikkerhedsrisici. Det er særlig vigtigt, at fabrikanterne sikrer, at deres produkter med digitale elementer ikke indeholder sårbare komponenter udviklet af tredjeparter. Fabrikanterne bør ikke være forpligtet til at offentliggøre softwarekomponentlisten.

(78)

En virksomhed, der opererer online, kan inden for de nye, komplekse forretningsmodeller, der er knyttet til onlinesalg, levere en række forskellige tjenesteydelser. Afhængigt af arten af de tjenester, der leveres i forbindelse med et givet produkt med digitale elementer, kan den samme enhed falde ind under forskellige kategorier af forretningsmodeller eller kategorier af erhvervsdrivende. Hvis en enhed kun leverer onlineformidlingstjenester for et givet produkt med digitale elementer og blot er udbyder af en onlinemarkedsplads som defineret i artikel 3, nr. 14), i Europa-Parlamentets og Rådets forordning (EU) 2023/988, betragtes den ikke som en erhvervsdrivende som defineret i nærværende forordning. Hvor den samme enhed er en udbyder af en onlinemarkedsplads og også fungerer som en erhvervsdrivende som defineret i nærværende forordning i forbindelse med salg af produkter med digitale elementer, bør den være omfattet af de forpligtelser i nærværende forordning, der er fastsat for denne type af erhvervsdrivende. Hvis udbyderen af en onlinemarkedsplads f.eks. også håndterer distribution af et produkt med digitale elementer, vil den med hensyn til salget af dette produkt blive anses som værende en distributør. Tilsvarende vil den pågældende enhed, hvis den sælger sine egne mærkevarer med digitale elementer, betragtes som en fabrikant og vil dermed skulle opfylde de gældende krav til fabrikanter. Nogle enheder kan også betragtes som udbydere af distributionstjenester som defineret i artikel 3, nr. 11), i Europa-Parlamentets og Rådets forordning (EU) 2019/1020 (27), hvis de tilbyder sådanne tjenester. Sådanne forhold vil skulle vurderes fra sag til sag. I betragtning af den fremtrædende rolle, som onlinemarkedspladser spiller med hensyn til at muliggøre elektronisk handel, bør de bestræbe sig på at samarbejde med medlemsstaternes markedsovervågningsmyndigheder for at hjælpe med at sikre, at produkter med digitale elementer, der købes via onlinemarkedspladser, opfylder de cybersikkerhedskrav, der er fastsat i nærværende forordning.

(79)

For at lette vurderingen af overensstemmelsen med kravene i denne forordning bør der være en formodning om overensstemmelse for produkter med digitale elementer, som er i overensstemmelse med harmoniserede standarder, der omsætter de væsentlige cybersikkerhedskrav i denne forordning til detaljerede tekniske specifikationer og er vedtaget i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 (28). Nævnte forordning fastsætter bestemmelser om en procedure for indsigelse mod harmoniserede standarder i tilfælde, hvor disse standarder ikke fuldt ud opfylder kravene i nærværende forordning. Standardiseringsprocessen bør sikre en afbalanceret repræsentation af interesser og effektiv deltagelse af interesserede parter fra civilsamfundet, herunder forbrugerorganisationer. Der bør også tages hensyn til internationale standarder, der er i overensstemmelse med det cybersikkerhedsniveau, der tilstræbes med de væsentlige cybersikkerhedskrav i nærværende forordning, for at lette udviklingen af harmoniserede standarder og gennemførelsen af nærværende forordning samt for at lette overholdelsen for virksomheder, navnlig mikrovirksomheder og små og mellemstore virksomheder og dem, der opererer globalt.

(80)

Rettidig udvikling af harmoniserede standarder i overgangsperioden for anvendelsen af denne forordning og deres tilgængelighed inden anvendelsesdatoen for denne forordning vil være særlig vigtig for dens effektive gennemførelse. Dette er navnlig tilfældet for vigtige produkter med digitale elementer, som er omfattet af klasse I. Tilgængeligheden af harmoniserede standarder vil gøre det muligt for fabrikanter af sådanne produkter at udføre overensstemmelsesvurderingerne via proceduren for intern kontrol og kan derfor undgå flaskehalse og forsinkelser i overensstemmelsesvurderingsorganers aktiviteter.

(81)

Ved forordning (EU) 2019/881 oprettes en frivillig europæisk ramme for cybersikkerhedscertificering af IKT-produkter, IKT-processer og IKT-tjenester. Europæiske cybersikkerhedscertificeringsordninger giver brugere en fælles tillidsramme, så de kan anvende produkter med digitale elementer, der er omfattet af nærværende forordning. Nærværende forordning bør følgelig skabe synergier med forordning (EU) 2019/881. For at lette vurderingen af overensstemmelsen med kravene i nærværende forordning formodes produkter med digitale elementer, der er certificeret, eller for hvilke der er udstedt en overensstemmelseserklæring i henhold til en europæisk cybersikkerhedsordning i henhold til forordning (EU) 2019/881, som Kommissionen har identificeret i en gennemførelsesretsakt, at være i overensstemmelse med de væsentlige cybersikkerhedskrav, der er fastsat i nærværende forordning, såfremt den europæiske cybersikkerhedsattest eller overensstemmelseserklæring eller dele heraf dækker disse krav. Behovet for nye europæiske cybersikkerhedscertificeringsordninger for produkter med digitale elementer bør vurderes i lyset af nærværende forordning, herunder ved udarbejdelse af Unionens rullende arbejdsprogram i overensstemmelse med forordning (EU) 2019/881. Hvis der er behov for en ny ordning, der omfatter produkter med digitale elementer, herunder for at lette overholdelsen af nærværende forordning, kan Kommissionen anmode ENISA om at udarbejde forslag til ordninger i overensstemmelse med artikel 48 i forordning (EU) 2019/881. I sådanne fremtidige europæiske cybersikkerhedscertificeringsordninger, der dækker produkter med digitale elementer, bør der tages hensyn til de væsentlige cybersikkerhedskrav og procedurerne for overensstemmelsesvurderinger som fastsat i nærværende forordning, og de bør lette overholdelsen af nærværende forordning. For europæiske cybersikkerhedscertificeringsordninger, der træder i kraft inden nærværende forordnings ikrafttræden, kan der være behov for yderligere specifikationer af detaljerede aspekter af, hvordan en formodning om overensstemmelse kan finde anvendelse. Kommissionen bør ved hjælp af delegerede retsakter tillægges beføjelser til at præcisere de betingelser, hvorunder de europæiske cybersikkerhedscertificeringsordninger kan anvendes til at påvise overensstemmelse med de væsentlige cybersikkerhedskrav i nærværende forordning. For at undgå unødige administrative byrder bør der derudover ikke være en forpligtelse for fabrikanter til at foretage en tredjepartsoverensstemmelsesvurdering vedrørende tilsvarende krav som omhandlet i nærværende forordning, hvor en europæisk cybersikkerhedsattest er udstedt i henhold til sådanne europæiske cybersikkerhedscertificeringsordninger på et tillidsniveau, der som minimum er »betydeligt«.

(82)

Ved ikrafttræden af gennemførelsesforordning (EU) 2024/482, der vedrører produkter, der er omfattet af nærværende forordnings anvendelsesområde, såsom hardwaresikkerhedsmoduler og mikroprocessorer, bør Kommissionen ved hjælp af en delegeret retsakt kunne præcisere, hvordan EUCC giver en formodning om overensstemmelse med de væsentlige cybersikkerhedskrav som fastsat i bilag I til nærværende forordning eller dele heraf. Derudover kan en sådan delegeret retsakt præcisere, hvordan en attest udstedt i henhold til EUCC fritager fabrikanterne fra forpligtelsen til at lade foretage en tredjepartsvurdering som krævet i henhold til nærværende forordning for tilsvarende krav.

(83)

Den nuværende europæiske standardiseringsramme, som er baseret på principperne om en ny metode i medfør af Rådets resolution af 7. maj 1985 om en ny metode i forbindelse med teknisk harmonisering og standarder og på forordning (EU) nr. 1025/2012, udgør som standard rammen for udarbejdelse af standarder, der giver formodning om overensstemmelse med de relevante væsentlige cybersikkerhedskrav i nærværende forordning. Europæiske standarder bør være markedsdrevne, tage hensyn til den offentlige interesse samt de politiske mål, der klart fremgår af Kommissionens anmodning til en eller flere europæiske standardiseringsorganisationer om at udarbejde harmoniserede standarder inden for en fastsat frist, og være konsensusbaseret. I mangel af relevante henvisninger til harmoniserede standarder bør Kommissionen imidlertid kunne vedtage gennemførelsesretsakter, der fastsætter fælles specifikationer for de væsentlige cybersikkerhedskrav i nærværende forordning, forudsat at den i den forbindelse behørigt respekterer europæiske standardiseringsorganisationers rolle og funktioner, som en ekstraordinær nødløsning for at lette fabrikanters forpligtelse til at overholde disse væsentlige cybersikkerhedskrav, hvor standardiseringsprocessen blokeres, eller når der er forsinkelser i udarbejdelsen af passende harmoniserede standarder. Hvis en sådan forsinkelse skyldes den pågældende standards tekniske kompleksitet, bør Kommissionen tage dette i betragtning, inden den overvejer, om der skal udarbejdes fælles specifikationer.

(84)

Med henblik på at udarbejde fælles specifikationer, der dækker de væsentlige cybersikkerhedskrav i denne forordning, på den mest effektive måde, bør Kommissionen inddrage relevante interessenter i processen.

(85)

For så vidt angår offentliggørelsen af en henvisning til harmoniserede standarder i Den Europæiske Unions Tidende i overensstemmelse med forordning (EU) nr. 1025/2012 skal der ved »en rimelig tidsfrist« forstås en periode, i hvilken der forventes offentliggørelse i Den Europæiske Unions Tidende af referencen til standarden, berigtigelsen heraf eller ændringen heraf, og som ikke bør overstige ét år efter fristen for udarbejdelse af en europæisk standard, der er fastsat i overensstemmelse med forordning (EU) nr. 1025/2012.

(86)

Med henblik på at gøre det lettere at vurdere overensstemmelsen med de væsentlige cybersikkerhedskrav i denne forordning bør der være en formodning om overensstemmelse for produkter med digitale elementer, som er i overensstemmelse med de fælles specifikationer, der er vedtaget af Kommissionen i henhold til denne forordning med henblik på detaljerede tekniske specifikationer af disse krav.

(87)

Anvendelsen af harmoniserede standarder, fælles specifikationer eller europæiske cybersikkerhedscertificeringsordninger vedtaget i henhold til forordning (EU) 2019/881, der giver formodning om overensstemmelse med de væsentlige cybersikkerhedskrav, der gælder for produkter med digitale elementer, vil gøre det lettere for fabrikanterne at vurdere overensstemmelsen. Hvis fabrikanten vælger ikke at anvende sådanne midler for visse krav, skal denne i sin tekniske dokumentation angive, hvordan der ellers opnås overensstemmelse. Desuden vil anvendelsen af harmoniserede standarder, fælles specifikationer eller europæiske cybersikkerhedscertificeringsordninger, der er vedtaget i henhold til forordning (EU) 2019/881, og som giver fabrikanterne overensstemmelsesformodning, gøre det lettere for markedsovervågningsmyndighederne at kontrollere overholdelse af kravene for så vidt angår produkter med digitale elementer. Fabrikanter af produkter med digitale elementer opfordres derfor til at anvende sådanne harmoniserede standarder, fælles specifikationer eller europæiske cybersikkerhedscertificeringsordninger.

(88)

Fabrikanterne bør udfærdige en EU-overensstemmelseserklæring for at afgive de i henhold til denne forordning krævede oplysninger om overensstemmelsen af produkter med digitale elementer med de væsentlige cybersikkerhedskrav, der er fastsat i denne forordning og, i givet fald, med anden relevant EU-harmoniseringslovgivning, som produktet med digitale elementer er omfattet af. Fabrikanter kan også blive pålagt at udarbejde en EU-overensstemmelseserklæring i henhold til andre EU-retsakter. For at sikre effektiv adgang til oplysninger med henblik på markedsovervågning bør der udarbejdes en enkelt EU-overensstemmelseserklæring for overholdelse af alle relevante EU-retsakter. For at mindske de administrative byrder for de erhvervsdrivende bør det være muligt for denne enkelte EU-overensstemmelseserklæring at tage form af et dossier bestående af relevante individuelle overensstemmelseserklæringer.

(89)

CE-mærkningen er et udtryk for et produkts overensstemmelse med kravene og det synlige resultat af en omfattende proces med overensstemmelsesvurdering i bred forstand. De generelle principper for CE-mærkning er fastsat i Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 (29). Der bør i nærværende forordning fastsættes bestemmelser vedrørende anbringelsen af CE-mærkningen på produkter med digitale elementer. CE-mærkningen bør være den eneste mærkning, der garanterer, at produkter med digitale elementer opfylder kravene i nærværende forordning.

(90)

For at gøre det muligt for erhvervsdrivende at påvise overensstemmelse med de væsentlige cybersikkerhedskrav i denne forordning og gøre det muligt for markedsovervågningsmyndighederne at sikre, at produkter med digitale elementer, der gøres tilgængelige på markedet, opfylder disse krav, er det nødvendigt at fastsætte overensstemmelsesvurderingsprocedurer. Europa-Parlamentets og Rådets afgørelse 768/2008/EF (30) fastsætter moduler for overensstemmelsesvurderingsprocedurer alt efter risikoniveauet og det krævede sikkerhedsniveau. For at sikre kohærens mellem de forskellige sektorer og undgå ad hoc-varianter bør overensstemmelsesvurderingsprocedurer, der er tilstrækkelige til kontrol af, om produkter med digitale elementer er i overensstemmelse med de væsentlige cybersikkerhedskrav i denne forordning, være baseret på disse moduler. Overensstemmelsesvurderingsprocedurerne bør omfatte en undersøgelse og kontrol af både produkt- og procesrelaterede krav, der dækker hele livscyklussen for produkter med digitale elementer, herunder planlægning, design, udvikling eller produktion, afprøvning og vedligeholdelse af produktet med digitale elementer.

(91)

Overensstemmelsesvurderingen af produkter med digitale elementer, der ikke er opført som væsentlige eller kritiske produkter med digitale elementer i denne forordning, kan foretages af fabrikanten på eget ansvar i henhold til den interne kontrolprocedure baseret på modul A i afgørelse 768/2008/EF i overensstemmelse med denne forordning. Dette gælder også i tilfælde, hvor en fabrikant vælger helt eller delvist ikke at anvende en gældende harmoniseret standard, en fælles specifikation eller den europæiske cybersikkerhedscertificeringsordning. Fabrikanten har fleksibilitet til at vælge en strengere overensstemmelsesvurderingsprocedure, der involverer en tredjepart. Under proceduren for intern kontrol sikrer og erklærer fabrikanten på eget eksklusive ansvar, at produktet med digitale elementer og fabrikantens processer opfylder de gældende væsentlige cybersikkerhedskrav i denne forordning. Hvis et vigtigt produkt med digitale elementer er omfattet af klasse I, kræves der yderligere sikkerhed for at påvise overensstemmelse med de væsentlige cybersikkerhedskrav i denne forordning. Fabrikanten bør anvende harmoniserede standarder, fælles specifikationer eller europæiske cybersikkerhedscertificeringsordninger vedtaget i henhold til forordning (EU) 2019/881, som Kommissionen har identificeret i en gennemførelsesretsakt, hvis fabrikanten ønsker at foretage overensstemmelsesvurderingen på eget ansvar (modul A). Hvis fabrikanten ikke anvender sådanne harmoniserede standarder, fælles specifikationer eller europæiske cybersikkerhedscertificeringsordninger, bør fabrikanten lade foretage en overensstemmelsesvurdering af tredjepart (baseret på modul B og C eller H). Under hensyntagen til fabrikanternes administrative byrde og det forhold, at cybersikkerhed spiller en vigtig rolle i design- og udviklingsfasen for materielle og immaterielle produkter med digitale elementer, er overensstemmelsesvurderingsprocedurer baseret på modul B og C eller modul H i afgørelse nr. 768/2008/EF blevet valgt som værende mest hensigtsmæssige til at vurdere overensstemmelsen af vigtige produkter med digitale elementer på en forholdsmæssig og effektiv måde. Den fabrikant, der foretager tredjepartsoverensstemmelsesvurderingen, kan vælge den procedure, der passer bedst til fabrikantens design- og produktionsproces. I betragtning af den endnu større cybersikkerhedsrisiko, der er forbundet med anvendelsen af vigtige produkter med digitale elementer, der er omfattet af klasse II, bør overensstemmelsesvurderingen altid involvere en tredjepart, selv når produktet helt eller delvist overholder harmoniserede standarder, fælles specifikationer eller europæiske cybersikkerhedscertificeringsordninger. Fabrikanter af vigtige produkter med digitale elementer, der kan betegnes som gratis open source-software, bør kunne følge den interne kontrolprocedure baseret på modul A, forudsat at de stiller den tekniske dokumentation til rådighed for offentligheden.

(92)

Selv om fremstillingen af håndgribelige produkter med digitale elementer normalt kræver, at fabrikanterne gør en betydelig indsats i hele design-, udviklings- og produktionsfasen, er der ved fremstillingen af produkter med digitale elementer i form af software næsten udelukkende fokus på design og udvikling, mens produktionsfasen spiller en mindre rolle. I mange tilfælde skal softwareprodukter dog stadig først samles, bygges, pakkes, gøres tilgængelige for download eller kopieres på fysiske medier, inden de bringes i omsætning. Disse aktiviteter bør anses som aktiviteter, der svarer til produktion, når de relevante overensstemmelsesvurderingsmoduler anvendes til at verificere produktets overensstemmelse med de væsentlige cybersikkerhedskrav i denne forordning i hele design-, udviklings- og produktionsfasen.

(93)

For så vidt angår mikrovirksomheder og små virksomheder er det for at sikre proportionalitet hensigtsmæssigt at mindske de administrative omkostninger uden at påvirke graden af cybersikkerhedsbeskyttelse for produkter med digitale elementer, der er omfattet af denne forordnings anvendelsesområde, eller de lige konkurrencevilkår for fabrikanter. Det er derfor hensigtsmæssigt, at Kommissionen udarbejder en forenklet teknisk dokumentationsformular, der er målrettet mikrovirksomheders og små virksomheders behov. Den forenklede tekniske dokumentationsformular, som Kommissionen har vedtaget, bør omfatte alle de relevante elementer vedrørende den tekniske dokumentation, der er fastsat i denne forordning, og præcisere, hvordan en mikrovirksomhed eller en lille virksomhed kan levere de ønskede elementer på en koncis måde, såsom beskrivelsen af designet, udviklingen og produktionen af produktet med digitale elementer. I den forbindelse vil formularen bidrage til at lette den administrative byrde i forbindelse med overensstemmelse ved at give de berørte virksomheder retssikkerhed med hensyn til omfanget og detaljeringsgraden af de oplysninger, der skal gives. Mikrovirksomheder og små virksomheder bør kunne vælge at fremlægge de relevante elementer vedrørende teknisk dokumentation i omfattende form og ikke drage fordel af den forenklede tekniske form, der er til rådighed for dem.

(94)

For at fremme og beskytte innovation er det vigtigt, at der tages særligt hensyn til interesserne hos fabrikanter, der er mikrovirksomheder eller små eller mellemstore virksomheder, navnlig mikrovirksomheder og små virksomheder, herunder nyetablerede virksomheder. Med henblik herpå kan medlemsstaterne udvikle initiativer, der er rettet mod fabrikanter, der er mikrovirksomheder eller små virksomheder, herunder for så vidt angår aktiviteter vedrørende uddannelse, bevidstgørelse, kommunikation af oplysninger, afprøvning og tredjepartsoverensstemmelsesvurdering samt oprettelse af sandkasser. Udgifter til oversættelse i forbindelse med obligatorisk dokumentation såsom den tekniske dokumentation og de oplysninger og anvisninger til brugeren, der kræves i henhold til denne forordning, og kommunikation med myndighederne kan udgøre en betydelig omkostning for fabrikanterne, herunder fabrikanter af mindre størrelse. Medlemsstaterne bør derfor kunne bestemme, at et af de sprog, som de bestemmer sig for og accepterer til de relevante fabrikanters dokumentation og til kommunikation med fabrikanter, er et sprog, der forstås bredt af det størst mulige antal brugere.

(95)

For at sikre en gnidningsløs anvendelse af denne forordning bør medlemsstaterne sikre, at der inden datoen for denne forordnings anvendelse er et tilstrækkeligt antal bemyndigede organer tilgængelige til at udføre tredjepartsoverensstemmelsesvurderinger. Kommissionen bør bistå medlemsstaterne og andre relevante parter med disse bestræbelser for at undgå flaskehalse og hindringer for fabrikanters markedsadgang. Målrettede uddannelsesaktiviteter under ledelse af medlemsstaterne, herunder, hvor det er hensigtsmæssigt, med støtte fra Kommissionen, kan bidrage til tilgængeligheden af kvalificerede fagfolk, herunder til støtte for bemyndigede organers aktiviteter i henhold til denne forordning. I betragtning af de omkostninger, som tredjepartsoverensstemmelsesvurderinger kan medføre, bør det desuden overvejes at finansiere initiativer på EU-plan og nationalt plan, der har til formål at lette sådanne omkostninger for mikrovirksomheder og små virksomheder.

(96)

For at sikre proportionalitet bør overensstemmelsesvurderingsorganer, når de fastsætter gebyrerne for overensstemmelsesvurderingsprocedurer, tage hensyn til mikrovirksomheders og små og mellemstore virksomheders, herunder nyetablerede virksomheders, særlige interesser og behov. Overensstemmelsesvurderingsorganerne bør navnlig kun anvende den relevante undersøgelsesprocedure og de relevante afprøvninger, der er fastsat i denne forordning, hvor det er relevant og efter en risikobaseret tilgang.

(97)

Formålet med reguleringsmæssige sandkasser bør være at fremme innovation og konkurrenceevne for virksomheder ved at etablere kontrollerede afprøvningsmiljøer, inden produkter med digitale elementer bringes i omsætning. Reguleringsmæssige sandkasser bør bidrage til at forbedre retssikkerheden for alle aktører, der er omfattet af denne forordnings anvendelsesområde, og lette og fremskynde adgangen til EU-markedet for produkter med digitale elementer, navnlig når de leveres af mikrovirksomheder og små virksomheder, herunder nyetablerede virksomheder.

(98)

Med henblik på foretagelse af tredjepartsoverensstemmelsesvurderinger af produkter med digitale elementer bør de nationale bemyndigende myndigheder notificere overensstemmelsesvurderingsorganer til Kommissionen og de øvrige medlemsstater, forudsat at de opfylder en række krav, navnlig med hensyn til uafhængighed, kompetencer og fravær af interessekonflikter.

(99)

For at sikre et ensartet kvalitetsniveau ved overensstemmelsesvurderingen af produkter med digitale elementer er det også nødvendigt at fastsætte krav til bemyndigende myndigheder og andre organer, som er involveret i vurdering, bemyndigelse og overvågning af bemyndigede organer. Den ordning, der fastsættes ved denne forordning, bør suppleres af akkrediteringsordningen som omhandlet i forordning (EF) nr. 765/2008. Da akkreditering er et vigtigt middel til at efterprøve overensstemmelsesvurderingsorganers kompetence, bør det også anvendes med henblik på bemyndigelse.

(100)

Overensstemmelsesvurderingsorganer, der er akkrediteret og bemyndiget i henhold til EU-retten, der fastsætter krav svarende til dem, der er fastsat i denne forordning, såsom et overensstemmelsesvurderingsorgan, der er bemyndiget til en europæisk cybersikkerhedscertificeringsordning vedtaget i henhold til forordning (EU) 2019/881 eller bemyndiget i henhold til delegeret forordning (EU) 2022/30, bør vurderes og bemyndiges på ny i henhold til nærværende forordning. De relevante myndigheder kan dog definere synergier med hensyn til overlappende krav for at undgå unødvendige finansielle og administrative byrder og for at sikre en gnidningsløs og rettidig bemyndigelsesprocedure.

(101)

De nationale offentlige myndigheder i hele Unionen bør betragte gennemsigtig akkreditering som foreskrevet i forordning (EF) nr. 765/2008, der sikrer den fornødne tillid til overensstemmelsesattester, som værende det foretrukne middel til dokumentation af overensstemmelsesvurderingsorganers tekniske kompetence. De nationale myndigheder kan imidlertid finde, at de selv har passende midler til at foretage denne evaluering. I så fald bør de for at sikre et passende troværdighedsniveau for evalueringer, der foretages af andre nationale myndigheder, forelægge Kommissionen og de øvrige medlemsstater den nødvendige dokumentation for, at de evaluerede overensstemmelsesvurderingsorganer overholder de relevante forskriftsmæssige krav.

(102)

Overensstemmelsesvurderingsorganer giver ofte dele af deres aktiviteter i forbindelse med overensstemmelsesvurdering til underleverandører eller benytter sig af en dattervirksomhed. For at sikre det krævede beskyttelsesniveau for et produkt med digitale elementer, der skal bringes i omsætning, er det afgørende, at de pågældende underleverandører og dattervirksomheder opfylder de samme krav som bemyndigede organer hvad angår udførelse af overensstemmelsesvurderingsopgaver.

(103)

Den bemyndigende myndighed bør fremsende underretningen om bemyndigelsen af et overensstemmelsesvurderingsorgan til Kommissionen og de øvrige medlemsstater via NANDO-informationssystemet (New Approach Notified and Designated Organisations). NANDO-informationssystemet er det elektroniske notifikationsværktøj, som Kommissionen har udviklet og administrerer, og det indeholder en liste over alle bemyndigede organer.

(104)

Eftersom bemyndigede organer kan tilbyde deres tjenester i hele Unionen, er det hensigtsmæssigt at give de øvrige medlemsstater og Kommissionen mulighed for at kunne gøre indsigelse mod et bemyndiget organ. Det er derfor vigtigt, at der fastsættes en periode, inden for hvilken eventuel tvivl eller usikkerhed om overensstemmelsesvurderingsorganers kompetence kan afklares, før de påbegynder deres aktiviteter som bemyndigede organer.

(105)

Af konkurrencehensyn er det afgørende, at bemyndigede organer anvender overensstemmelsesvurderingsprocedurerne uden at skabe unødvendige byrder for de erhvervsdrivende. Af samme grund og for at sikre, at de erhvervsdrivende behandles ens, er det nødvendigt at sikre, at den tekniske anvendelse af overensstemmelsesvurderingsprocedurerne er ensartet. Dette kan bedst opnås gennem hensigtsmæssig koordinering og samarbejde mellem de bemyndigede organer.

(106)

Markedsovervågning er et væsentligt instrument til at sikre en korrekt og ensartet anvendelse af EU-retten. Det er derfor hensigtsmæssigt at skabe juridiske rammer, inden for hvilke markedsovervågningen kan foretages på en passende måde. Reglerne om EU-markedsovervågning og kontrol af produkter, der indføres på EU-markedet, i forordning (EU) 2019/1020 finder anvendelse på produkter med digitale elementer, der er omfattet af nærværende forordnings anvendelsesområde.

(107)

I overensstemmelse med forordning (EU) 2019/1020 udfører en markedsovervågningsmyndighed markedsovervågning på området for den medlemsstat, som udpeger den. Nærværende forordning bør ikke forhindre medlemsstater i at vælge de kompetente myndigheder, der skal udføre markedsovervågningsopgaver. Hver medlemsstat bør udpege en eller flere markedsovervågningsmyndigheder på dens område. Medlemsstaterne bør kunne vælge at udpege enhver eksisterende eller ny myndighed som markedsovervågningsmyndighed, herunder kompetente myndigheder udpeget eller etableret i henhold til artikel 8 i direktiv (EU) 2022/2555, nationale cybersikkerhedscertificeringsmyndigheder udpeget i henhold til artikel 58 i forordning (EU) 2019/881 eller markedsovervågningsmyndigheder udpeget med henblik på direktiv 2014/53/EU. Erhvervsdrivende bør samarbejde fuldt ud med markedsovervågningsmyndigheder og andre kompetente myndigheder. Hver medlemsstat bør underrette Kommissionen samt de øvrige medlemsstater om sine markedsovervågningsmyndigheder og kompetenceområderne for hver af disse myndigheder og bør sikre de nødvendige ressourcer og færdigheder til at udføre markedsovervågningsopgaverne vedrørende nærværende forordning. I henhold til artikel 10, stk. 2 og 3, i forordning (EU) 2019/1020 bør hver medlemsstat udpege et centralt forbindelseskontor, der bl.a. er ansvarligt for at repræsentere den koordinerede holdning blandt markedsovervågningsmyndighederne og bidrage til samarbejdet mellem markedsovervågningsmyndighederne i forskellige medlemsstater.

(108)

Der bør oprettes en særlig ADCO for cyberrobustheden af produkter med digitale elementer med henblik på ensartet gennemførelse af denne forordning i henhold til artikel 30, stk. 2, i forordning (EU) 2019/1020. ADCO bør bestå af repræsentanter fra de udpegede markedsovervågningsmyndigheder og, hvis det er relevant, repræsentanter fra de centrale forbindelseskontorer. Kommissionen bør støtte og tilskynde til samarbejde mellem markedsovervågningsmyndigheder gennem EU-netværket for produktoverensstemmelse, der er oprettet i henhold til artikel 29 i forordning (EU) 2019/1020 og består af repræsentanter for hver medlemsstat, herunder en repræsentant for hvert centralt forbindelseskontor som omhandlet i nævnte forordnings artikel 10 og en valgfri national ekspert, formændene for ADCO'erne og repræsentanter for Kommissionen. Kommissionen bør deltage i møderne hos EU-netværket for produktoverensstemmelse, dets undergrupper og ADCO. Den bør også bistå ADCO med et administrativt sekretariat, der yder teknisk og logistisk støtte. ADCO kan også indbyde uafhængige eksperter til at deltage og samarbejde med andre ADCO'er såsom den, der er oprettet i henhold til direktiv 2014/53/EU.

(109)

Markedsovervågningsmyndighederne bør gennem ADCO, der oprettes i henhold til denne forordning, arbejde tæt sammen og bør kunne udarbejde vejledninger for at lette markedsovervågningsaktiviteter på nationalt plan såsom ved at udvikle bedste praksis og indikatorer med henblik på effektivt at kontrollere, at produkter med digitale elementer overholder denne forordning.

(110)

For at sikre rettidige, forholdsmæssige og effektive foranstaltninger vedrørende produkter med digitale elementer, der udgør en væsentlig cybersikkerhedsrisiko, bør der indføres en EU-beskyttelsesprocedure, hvorved berørte parter orienteres om påtænkte foranstaltninger vedrørende sådanne produkter. Herved vil markedsovervågningsmyndighederne i samarbejde med de relevante erhvervsdrivende også få mulighed for at gribe ind i en tidligere fase, hvor det er nødvendigt. Hvor medlemsstaterne og Kommissionen er enige om berettigelsen af en foranstaltning truffet af en medlemsstat, bør Kommissionen ikke inddrages yderligere, medmindre manglende overholdelse af kravene kan tillægges mangler ved en harmoniseret standard.

(111)

I visse tilfælde kan et produkt med digitale elementer, der overholder denne forordning, ikke desto mindre udgøre en væsentlig cybersikkerhedsrisiko eller en risiko for menneskers sundhed eller sikkerhed, for misligholdelse af forpligtelser i henhold til den del af EU-retten eller national ret, der har til formål at beskytte de grundlæggende rettigheder, tilgængeligheden, autenticiteten, integriteten eller fortroligheden af tjenester, der leveres ved brug af elektroniske informationssystemer af væsentlige enheder som omhandlet i artikel 3, stk. 1, i direktiv (EU) 2022/2555, eller andre aspekter af beskyttelsen af den offentlige interesse. Det er derfor nødvendigt at fastsætte regler, der sikrer, at disse risici afbødes. Som følge heraf bør markedsovervågningsmyndighederne træffe foranstaltninger til at kræve, at den erhvervsdrivende sikrer, at produktet ikke længere udgør den risiko, eller at det tilbagekaldes eller trækkes tilbage, afhængigt af risikoen. Så snart en markedsovervågningsmyndighed begrænser eller forbyder den frie bevægelighed for et produkt med digitale elementer på en sådan måde, bør medlemsstaten straks underrette Kommissionen og de øvrige medlemsstater om de foreløbige foranstaltninger og angive begrundelserne for afgørelsen. Hvor en markedsovervågningsmyndighed vedtager sådanne foranstaltninger over for produkter med digitale elementer, der udgør en risiko, bør Kommissionen straks rådføre sig med medlemsstaterne og den eller de relevante erhvervsdrivende og evaluere den nationale foranstaltning. På grundlag af resultaterne af denne evaluering bør Kommissionen træffe afgørelse om, hvorvidt den nationale foranstaltning er berettiget eller ej. Kommissionen bør rette sin afgørelse til alle medlemsstaterne og omgående meddele den til disse og til den eller de relevante erhvervsdrivende. Hvis foranstaltningen anses for at være berettiget, bør Kommissionen også overveje, om der skal vedtages forslag til revision af den relevante EU-ret.

(112)

For produkter med digitale elementer, der udgør en væsentlig cybersikkerhedsrisiko, og hvor der er grund til at tro, at de ikke er i overensstemmelse med denne forordning, eller for produkter, som er i overensstemmelse med denne forordning, men indebærer andre betydelige risici såsom risici for menneskers sundhed eller sikkerhed, for overholdelse af forpligtelser i henhold til EU-retten eller national ret, der har til formål at beskytte de grundlæggende rettigheder, eller for tilgængeligheden, autenticiteten, integriteten eller fortroligheden af tjenester, der leveres ved brug af elektroniske informationssystemer af væsentlige enheder som omhandlet i artikel 3, stk. 1, i direktiv (EU) 2022/2555, bør Kommissionen bør kunne anmode ENISA om at foretage en evaluering. På grundlag af denne evaluering bør Kommissionen ved hjælp af gennemførelsesretsakter kunne vedtage korrigerende eller restriktive foranstaltninger på EU-plan, herunder påbud om at trække de pågældende produkter med digitale elementer tilbage fra markedet eller tilbagekalde dem inden for en rimelig tidsfrist, som den fastsætter i forhold til risikoens art. Kommissionen bør kun kunne foretage et sådant indgreb under ekstraordinære omstændigheder, der berettiger et hurtigt indgreb for at bevare et velfungerende indre marked, og kun hvis markedsovervågningsmyndighederne ikke har truffet effektive foranstaltninger til at rette op på situationen. Sådanne ekstraordinære omstændigheder kan være nødsituationer, f.eks. hvor et produkt med digitale elementer, der ikke opfylder kravene, gøres bredt tilgængeligt af fabrikanten i flere medlemsstater og også anvendes af enheder i nøglesektorer, der er omfattet af anvendelsesområdet for direktiv (EU) 2022/2555, selv om det indeholder kendte sårbarheder, der udnyttes af ondsindede aktører, og som fabrikanten ikke udsender rettelser til. Kommissionen bør kun kunne gribe ind i sådanne nødsituationer, så længe de ekstraordinære omstændigheder er til stede, og hvis manglende overholdelse af denne forordning eller de betydelige risici forbundet hermed fortsat er til stede.

(113)

Hvor der er tegn på manglende overholdelse af denne forordning i flere medlemsstater, bør markedsovervågningsmyndighederne kunne gennemføre fælles aktiviteter med andre myndigheder med henblik på at verificere overholdelsen og identificere cybersikkerhedsrisici forbundet med produkter med digitale elementer.

(114)

Samtidige koordinerede kontrolaktioner er specifikke håndhævelsesforanstaltninger truffet af markedsovervågningsmyndighederne, som kan forbedre produktsikkerheden. Kontrolaktioner bør navnlig foretages, hvor markedstendenser, forbrugerklager eller andre forhold tyder på, at visse kategorier af produkter med digitale elementer ofte viser sig at udgøre en cybersikkerhedsrisiko. Ved fastlæggelsen af, hvilke produktkategorier der skal underkastes kontrolaktioner, bør markedsovervågningsmyndighederne desuden også tage hensyn til omstændigheder vedrørende ikketekniske risikofaktorer. Med henblik herpå bør markedsovervågningsmyndighederne kunne tage hensyn til resultaterne af koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder på EU-plan, der foretages i overensstemmelse med artikel 22 i direktiv (EU) 2022/2555, herunder omstændigheder vedrørende ikketekniske risikofaktorer. ENISA bør indsende forslag til kategorier af produkter med digitale elementer, for hvilke der kan tilrettelægges kontrolaktioner, til markedsovervågningsmyndighederne, bl.a. på grundlag af de underretninger om produktsårbarheder og hændelser, som det modtager.

(115)

I betragtning af ENISA's ekspertise og mandat bør det være i stand til at støtte processen for gennemførelse af denne forordning. ENISA bør navnlig kunne foreslå fælles aktiviteter, der skal gennemføres af markedsovervågningsmyndighederne, på grundlag af tegn på eller oplysninger om, at kravene i denne forordning til produkter med digitale elementer muligvis ikke overholdes i flere medlemsstater, eller identificere produktkategorier, for hvilke der bør tilrettelægges kontrolaktioner. Under ekstraordinære omstændigheder bør ENISA efter anmodning fra Kommissionen kunne foretage evalueringer af specifikke produkter med digitale elementer, der udgør en væsentlig cybersikkerhedsrisiko, hvor der er behov for et hurtigt indgreb for at bevare et velfungerende indre marked.

(116)

Denne forordning overdrager visse opgaver til ENISA, som kræver passende ressourcer med hensyn til både ekspertise og menneskelige ressourcer for at sætte ENISA i stand til at udføre disse opgaver effektivt. Kommissionen vil ved udarbejdelsen af forslaget til Unionens almindelige budget foreslå de nødvendige budgetmidler til ENISA's stillingsfortegnelse i overensstemmelse med proceduren i artikel 29 i forordning (EU) 2019/881. Under denne proces vil Kommissionen tage hensyn til ENISA's samlede ressourcer for at sætte det i stand til at udføre sine opgaver, herunder dem, der pålægges ENISA i henhold til nærværende forordning.

(117)

For at sikre, at den lovgivningsmæssige ramme kan tilpasses, hvor det er nødvendigt, bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i traktaten om Den Europæiske Unions funktionsmåde (TEUF), for så vidt angår opdateringer af et bilag til denne forordning med listen over vigtige produkter med digitale elementer. Beføjelsen til at vedtage retsakter bør delegeres til Kommissionen i overensstemmelse med nævnte artikel for at identificere produkter med digitale elementer, der er omfattet af andre EU-regler og opnår samme beskyttelsesniveau som i denne forordning, og for at præcisere, om en begrænsning eller udelukkelse fra denne forordnings anvendelsesområde er nødvendig, samt omfanget af denne begrænsning, hvis det er relevant. Beføjelsen til at vedtage retsakter bør også delegeres til Kommissionen i overensstemmelse med nævnte artikel for så vidt angår potentiel tildeling af mandat til certificering i henhold til en europæisk cybersikkerhedscertificeringsordning for kritiske produkter med digitale elementer fastsat i et bilag til denne forordning, og til at opdatere listen over kritiske produkter med digitale elementer baseret på kritikalitetskriterier fastsat i denne forordning, samt til at præcisere den europæiske cybersikkerhedscertificeringsordning, der er vedtaget i henhold til forordning (EU) 2019/881, som kan anvendes til at påvise overensstemmelse med de væsentlige cybersikkerhedskrav eller dele heraf som fastsat i et bilag til nærværende forordning. Beføjelsen til at vedtage retsakter bør også delegeres til Kommissionen med henblik på at præcisere minimumssupportperioden for visse produktkategorier, hvis markedsovervågningsdataene tyder på utilstrækkelige supportperioder, samt til at præcisere vilkårene og betingelserne for anvendelse af de cybersikkerhedsrelaterede grunde i forbindelse med udsættelse af formidlingen af underretninger om aktivt udnyttede sårbarheder. Desuden bør beføjelsen til at vedtage retsakter delegeres til Kommissionen med henblik på at fastlægge frivillige sikkerhedscertificeringsprogrammer for at vurdere overensstemmelsen af produkter med digitale elementer, der kan betegnes som gratis open source-software, med alle eller visse væsentlige cybersikkerhedskrav eller andre forpligtelser, der er fastsat i nærværende forordning, samt for at præcisere minimumsindholdet af EU-overensstemmelseserklæringen og supplere de elementer, der skal indgå i den tekniske dokumentation. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning (31). For at sikre lige deltagelse i forberedelsen af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelse af delegerede retsakter. Beføjelsen til at vedtage delegerede retsakter i henhold til nærværende forordning bør tillægges Kommissionen for en periode på fem år fra den 10. december 2024. Kommissionen bør udarbejde en rapport vedrørende delegationen af beføjelser senest ni måneder inden udløbet af femårsperioden. Delegationen af beføjelser bør stiltiende forlænges for perioder af samme varighed, medmindre Europa-Parlamentet eller Rådet modsætter sig en sådan forlængelse senest tre måneder inden udløbet af hver periode.

(118)

For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser til at præcisere den tekniske beskrivelse af kategorierne af vigtige produkter med digitale elementer, der er fastsat i et bilag til denne forordning, præcisere formatet og elementerne i softwarekomponentlisten, yderligere præcisere formatet og proceduren for underretninger om aktivt udnyttede sårbarheder og alvorlige hændelser, der har indvirkning på sikkerheden af produkter med digitale elementer, der indgives af fabrikanter, fastsætte fælles specifikationer, der dækker tekniske krav, der giver mulighed for at opfylde de væsentlige cybersikkerhedskrav, der er fastsat i et bilag til denne forordning, fastsætte tekniske specifikationer for etiketter, piktogrammer eller andre mærker vedrørende sikkerheden af produkter med digitale elementer, deres supportperiode og mekanismer til at fremme deres anvendelse og øge offentlighedens bevidsthed om sikkerheden ved produkter med digitale elementer, præcisere den forenklede dokumentationsformular, der er rettet mod mikrovirksomheders og små virksomheders behov, og træffe afgørelse om korrigerende eller restriktive foranstaltninger på EU-plan under ekstraordinære omstændigheder, der berettiger et hurtigt indgreb for at bevare et velfungerende indre marked. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (32).

(119)

For at sikre et tillidsfuldt og konstruktivt samarbejde mellem markedsovervågningsmyndigheder på EU-plan og nationalt plan bør alle de parter, der er involveret i anvendelsen af denne forordning, respektere fortroligheden af de oplysninger og data, der er indhentet under udførelsen af deres opgaver.

(120)

For at sikre en effektiv håndhævelse af de forpligtelser, der er fastsat i denne forordning, bør hver markedsovervågningsmyndighed have beføjelse til at pålægge eller anmode om pålæggelse af administrative bøder. Der bør derfor fastsættes maksimumsniveauer for administrative bøder i national ret for manglende overholdelse af forpligtelserne i denne forordning. Ved fastsættelsen af den administrative bødes størrelse bør der i hvert enkelt tilfælde tages hensyn til alle relevante omstændigheder i den specifikke situation og som minimum dem, der udtrykkeligt er fastsat i denne forordning, herunder hvorvidt fabrikanten er en mikrovirksomhed eller en lille eller mellemstor virksomhed, herunder en nyetableret virksomhed, og hvorvidt andre markedsovervågningsmyndigheder allerede har pålagt den samme erhvervsdrivende administrative bøder for lignende overtrædelser. Sådanne omstændigheder kan enten være skærpende i situationer, hvor den samme erhvervsdrivendes overtrædelse varer ved på en anden medlemsstats område end den, hvor der allerede er pålagt en administrativ bøde, eller formildende ved at sikre, at der i forbindelse med enhver anden administrativ bøde, som en anden markedsovervågningsmyndighed overvejer at pålægge den samme erhvervsdrivende eller for den samme type overtrædelse, tages hensyn til en bøde og størrelsen heraf pålagt i andre medlemsstater og til andre relevante særlige omstændigheder. I alle sådanne tilfælde bør den kumulative administrative bøde, som markedsovervågningsmyndighederne i flere medlemsstater kan pålægge den samme erhvervsdrivende for den samme type overtrædelse, sikre, at proportionalitetsprincippet overholdes. Eftersom administrative bøder ikke finder anvendelse på mikrovirksomheder eller små virksomheder for manglende overholdelse af fristen på 24 timer for tidlig varsling om aktivt udnyttede sårbarheder eller alvorlige hændelser, der har indvirkning på sikkerheden af produktet med digitale elementer, eller på open source software-forvaltere for overtrædelse af denne forordning, og uden at det berører princippet om, at sanktionerne bør være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning, bør medlemsstaterne ikke pålægge disse enheder andre former for bøder.

(121)

Hvor en person, der ikke er en virksomhed, pålægges administrative bøder, bør den kompetente myndighed i forbindelse med fastsættelsen af bødestørrelsen tage hensyn til det generelle indkomstniveau i den pågældende medlemsstat og personens økonomiske situation. Det bør være op til medlemsstaterne at bestemme, om og i hvilket omfang de offentlige myndigheder bør kunne pålægges administrative bøder.

(122)

Medlemsstaterne bør under hensyntagen til nationale forhold undersøge muligheden for at anvende indtægterne fra sanktionerne som fastsat i denne forordning eller deres finansielle ækvivalent til at støtte cybersikkerhedspolitikker og øge cybersikkerhedsniveauet i Unionen ved bl.a. at øge antallet af kvalificerede fagfolk inden for cybersikkerhed, styrke kapacitetsopbygningen for mikrovirksomheder og små og mellemstore virksomheder og forbedre offentlighedens bevidsthed om cybertrusler.

(123)

I sine relationer med tredjelande tilstræber Unionen at fremme international handel med regulerede produkter. Der kan anvendes en lang række foranstaltninger til at fremme handel, herunder en række retlige instrumenter såsom bilaterale (mellemstatslige) aftaler om gensidig anerkendelse af overensstemmelsesvurdering og mærkning af regulerede produkter. Aftaler om gensidig anerkendelse indgås mellem Unionen og tredjelande, der er på samme tekniske udviklingsniveau og har en tilsvarende tilgang til overensstemmelsesvurdering. Disse aftaler er baseret på gensidig accept af certifikater, overensstemmelsesmærkninger og afprøvningsrapporter udstedt af parternes overensstemmelsesvurderingsorganer i overensstemmelse med den anden parts lovgivning. I øjeblikket er der indgået aftaler om gensidig anerkendelse med flere tredjelande. Disse aftaler er indgået i en række specifikke sektorer, der kan variere fra tredjeland til tredjeland. For yderligere at lette handelen og i erkendelse af, at forsyningskæderne for produkter med digitale elementer er globale, kan aftaler om gensidig anerkendelse vedrørende overensstemmelsesvurdering for produkter, der reguleres i henhold til denne forordning, indgås af Unionen i overensstemmelse med artikel 218 i TEUF. Samarbejde med partnertredjelande er også vigtigt for at styrke cyberrobustheden på globalt plan, da dette på lang sigt vil bidrage til en styrket ramme for cybersikkerhed både i og uden for Unionen.

(124)

Forbrugere bør have ret til at håndhæve deres rettigheder i relation til de forpligtelser, som erhvervsdrivende pålægges i henhold til denne forordning, gennem anlæggelse af gruppesøgsmål i overensstemmelse med Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 (33). Det bør med henblik herpå fastsættes i denne forordning, at direktiv (EU) 2020/1828 finder anvendelse på gruppesøgsmål vedrørende overtrædelser af denne forordning, som skader eller kan skade forbrugernes kollektive interesser. Bilag I til nævnte direktiv bør derfor ændres i overensstemmelse hermed. Det er op til medlemsstaterne at sikre, at disse ændringer afspejles i gennemførelsesforanstaltningerne, der er vedtaget i henhold til nævnte direktiv, selv om vedtagelsen af nationale gennemførelsesforanstaltninger i denne henseende ikke er en betingelse for, at nævnte direktiv kan finde anvendelse på disse gruppesøgsmål. Anvendeligheden af nævnte direktiv på gruppesøgsmål, der anlægges til prøvelse af erhvervsdrivendes overtrædelser af bestemmelserne i denne forordning, og som skader eller kan skade forbrugernes kollektive interesser, bør begynde fra den 11. december 2027.

(125)

Kommissionen bør regelmæssigt evaluere og revidere denne forordning efter høring af relevante interessenter, navnlig med henblik på at afgøre, om der er behov for ændringer i lyset af skiftende samfundsmæssige, politiske eller teknologiske vilkår eller markedsvilkår. Denne forordning vil lette overholdelsen af forpligtelserne vedrørende forsyningskædesikkerhed for enheder, der er omfattet af anvendelsesområdet for forordning (EU) 2022/2554 og direktiv (EU) 2022/2555, og som anvender produkter med digitale elementer. Kommissionen bør som led i denne periodiske revision evaluere de kombinerede virkninger af Unionens ramme for cybersikkerhed.

(126)

Erhvervsdrivende bør have tilstrækkelig tid til at tilpasse sig kravene i denne forordning. Denne forordning bør anvendes fra 11. december 2027 med undtagelse af indberetningsforpligtelserne vedrørende aktivt udnyttede sårbarheder og alvorlige hændelser, der har indvirkning på sikkerheden af produkter med digitale elementer, som bør finde anvendelse fra den 11. september 2026, og bestemmelserne om bemyndigelse af overensstemmelsesvurderingsorganer, som bør finde anvendelse fra den 11. juni 2026.

(127)

Det er vigtigt at yde støtte til mikrovirksomheder og små og mellemstore virksomheder, herunder nyetablerede virksomheder, i forbindelse med gennemførelsen af denne forordning og minimere risiciene for gennemførelsen som følge af manglende viden og ekspertise på markedet samt for at lette fabrikanternes overholdelse af deres forpligtelser i henhold til denne forordning. Programmet for et digitalt Europa og andre relevante EU-programmer yder finansiel og teknisk støtte, der sætter disse virksomheder i stand til at bidrage til væksten i Unionens økonomi og til styrkelsen af det fælles cybersikkerhedsniveau i Unionen. Det Europæiske Kompetencecenter for Cybersikkerhed og nationale koordinationscentre samt europæiske digitale innovationsknudepunkter, der er oprettet af Kommissionen og medlemsstaterne på EU-plan eller nationalt plan, kan også støtte virksomheder og organisationer i den offentlige sektor og kan bidrage til gennemførelsen af denne forordning. Inden for rammerne af deres respektive ydelser og kompetenceområder kan de yde teknisk og videnskabelig støtte til mikrovirksomheder og små og mellemstore virksomheder såsom til afprøvningsaktiviteter og tredjepartsoverensstemmelsesvurderinger. De kan også fremme anvendelsen af værktøjer til at lette gennemførelsen af denne forordning.

(128)

Desuden bør medlemsstaterne overveje at træffe supplerende foranstaltninger, der har til formål at yde vejledning og støtte til mikrovirksomheder og små og mellemstore virksomheder, såsom oprettelse af reguleringsmæssige sandkasser og dedikerede kanaler for kommunikation. For at styrke cybersikkerhedsniveauet i Unionen kan medlemsstaterne også overveje at yde støtte til udvikling af kapacitet og færdigheder inden for cybersikkerhed for produkter med digitale elementer, forbedre erhvervsdrivendes cyberrobusthed, navnlig i mikrovirksomheder og små og mellemstore virksomheder, og fremme offentlighedens bevidsthed om cybersikkerheden for produkter med digitale elementer.

(129)

Målet for denne forordning kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af handlingens omfang og virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke ud over, hvad der er nødvendigt for at nå dette mål.

(130)

Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (34) og afgav en udtalelse den 9. november 2022 (35) —