(1)

kibernetinis saugumas yra vienas iš pagrindinių Sąjungos iššūkių. Prijungtųjų įrenginių skaičius ir įvairovė ateinančiais metais sparčiai didės. Kibernetiniai išpuoliai yra viešojo intereso klausimas, nes jie daro itin didelį poveikį ne tik Sąjungos ekonomikai, bet ir demokratijai, taip pat vartotojų saugai ir sveikatai. Todėl būtina stiprinti Sąjungos požiūrį į kibernetinį saugumą, spręsti kibernetinio atsparumo problemą Sąjungos lygmeniu ir gerinti vidaus rinkos veikimą nustatant vienodą teisinę sistemą, susijusią su esminiais kibernetinio saugumo reikalavimais, taikomais produktų su skaitmeniniais elementais pateikimui Sąjungos rinkai. Reikėtų išspręsti dvi pagrindines problemas, dėl kurių naudotojai ir visuomenė patiria papildomų sąnaudų: žemas produktų su skaitmeniniais elementais kibernetinio saugumo lygis, kurį atspindi plačiai paplitę pažeidžiamumai ir nepakankamas bei nenuoseklus saugumo naujinių teikimas jiems spręsti, ir nepakankamas naudotojų supratimas ir prieiga prie informacijos, dėl ko jie negali pasirinkti tinkamomis kibernetinio saugumo savybėmis pasižyminčių produktų ar saugiai juos naudoti;

(2)

šiuo reglamentu siekiama nustatyti ribines sąlygas kurti saugius produktus su skaitmeniniais elementais užtikrinant, kad aparatinės ir programinės įrangos produktai būtų pateikiami rinkai su mažiau pažeidžiamumų ir kad gamintojai rimtai atsižvelgtų į saugumą per visą produkto gyvavimo ciklą. Juo taip pat siekiama sudaryti tokias sąlygas, kad rinkdamiesi produktus su skaitmeniniais elementais ir juos naudodami, naudotojai galėtų atsižvelgti į kibernetinį saugumą, pavyzdžiui, didinant skaidrumą, susijusį su rinkai pateiktų produktų su skaitmeniniais elementais palaikymo laikotarpiu;

(3)

galiojančius susijusius Sąjungos teisės aktus sudaro keli horizontaliųjų taisyklių rinkiniai, kuriais įvairiai sprendžiami tam tikri su kibernetiniu saugumu susiję aspektai, įskaitant priemones, skirtas skaitmeninės tiekimo grandinės saugumui gerinti. Tačiau galiojantys su kibernetiniu saugumu susiję Sąjungos teisės aktai, įskaitant Europos Parlamento ir Tarybos reglamentą (ES) 2019/881 (3) ir Europos Parlamento ir Tarybos direktyvą (ES) 2022/2555 (4), tiesiogiai neapima privalomų reikalavimų produktų su skaitmeniniais elementais saugumo srityje;

(4)

nors galiojantys Sąjungos teisės aktai taikomi tam tikriems produktams su skaitmeniniais elementais, nėra horizontaliojo Sąjungos reglamentavimo sistemos, kuria būtų nustatyti išsamūs kibernetinio saugumo reikalavimai visiems produktams su skaitmeniniais elementais. Įvairiais aktais ir iniciatyvomis, kurių iki šiol imtasi Sąjungos ir nacionaliniu lygmenimis, tik iš dalies sprendžiamos nustatytos su kibernetiniu saugumu susijusios problemos ir rizika, todėl vidaus rinkoje kuriama nevientisa teisės aktų sistema, didėja teisinis netikrumas tiek tų produktų gamintojams, tiek jų naudotojams, o įmonėms ir organizacijoms užkraunama nereikalinga našta, nes jos turi laikytis tam tikrų tos pačios rūšies produktams taikomų reikalavimų ir pareigų. Tų produktų kibernetiniam saugumui būdingas itin stiprus tarpvalstybinis aspektas, nes vienoje valstybėje narėje ar trečiojoje valstybėje pagamintus produktus su skaitmeniniais elementais dažnai naudoja organizacijos ir vartotojai visoje vidaus rinkoje. Todėl šią sritį būtina reglamentuoti Sąjungos lygmeniu, kad naudotojams, organizacijoms ir įmonėms, įskaitant labai mažas įmones ir mažąsias bei vidutines įmones, kaip apibrėžta Komisijos rekomendacijos 2003/361/EB (5) priede, būtų užtikrinta suderinta reglamentavimo sistema ir teisinis tikrumas. Sąjungos reglamentavimo aplinka turėtų būti suderinta nustatant produktų su skaitmeniniais elementais horizontaliuosius kibernetinio saugumo reikalavimus. Be to, visoje Sąjungoje turėtų būti užtikrintas teisinis tikrumas ekonominės veiklos vykdytojams ir naudotojams, ir geriau suderinta vidaus rinka bei užtikrintas proporcingumas labai mažoms įmonėms ir mažosioms bei vidutinėms įmonėms ir taip sudarytos palankesnės sąlygos ekonominės veiklos vykdytojams, siekiantiems patekti į tą rinką;

(5)

kalbant apie labai mažas įmones ir mažąsias bei vidutines įmones, nustatant, kokiai kategorijai priskiriama įmonė, turėtų būti taikomos visos Rekomendacijos 2003/361/EB priedo nuostatos. Todėl apskaičiuojant darbuotojų skaičių ir finansines viršutines ribas, pagal kuriuos nustatomos įmonių kategorijos, taip pat turėtų būti taikomos Rekomendacijos 2003/361/EB priedo 6 straipsnio nuostatos dėl įmonės duomenų nustatymo atsižvelgiant į konkrečias įmonių rūšis, pavyzdžiui, įmones partneres arba susijusias įmones;

(6)

Komisija turėtų pateikti gaires, skirtas padėti ekonominės veiklos vykdytojams, visų pirma labai mažoms įmonėms ir mažosioms bei vidutinėms įmonėms, taikyti šį reglamentą. Tokiose gairėse turėtų būti aptariama, inter alia, šio reglamento taikymo sritis, visų pirma nuotolinis duomenų tvarkymas ir jo poveikis laisvosios ir atvirosios programinės įrangos kūrėjams, kriterijų, taikomų nustatant produktų su skaitmeniniais elementais palaikymo laikotarpius, taikymas, šio reglamento ir kitų Sąjungos teisės aktų sąveika ir esminio pakeitimo koncepcija;

(7)

Sąjungos lygmeniu įvairiuose programiniuose ir politiniuose dokumentuose, pavyzdžiui, 2020 m. gruodžio 16 d. Komisijos ir Sąjungos vyriausiojo įgaliotinio užsienio reikalams ir saugumo politikai bendrame komunikate „ES skaitmeninio dešimtmečio kibernetinio saugumo strategija“, 2020 m. gruodžio 2 d. Tarybos išvadose dėl prijungtųjų įrenginių kibernetinio saugumo, 2022 m. gegužės 23 d. Tarybos išvadose dėl Europos Sąjungos kibernetinio saugumo būklės raidos ir 2021 m. birželio 10 d. Europos Parlamento rezoliucijoje dėl ES skaitmeninio dešimtmečio kibernetinio saugumo strategijos (6) raginama nustatyti konkrečius Sąjungos kibernetinio saugumo reikalavimus, keliamus skaitmeniniams arba prijungtiesiems produktams, o kelios trečiosios valstybės ėmėsi priemonių šiam klausimui spręsti savo iniciatyva. Galutinėje Konferencijos dėl Europos ateities ataskaitoje piliečiai „ragino stiprinti ES vaidmenį kovoje su kibernetinėmis grėsmėmis“. Kad Sąjunga pirmautų pasaulyje kibernetinio saugumo srityje, svarbu sukurti plataus užmojo reglamentavimo sistemą;

(8)

siekiant padidinti bendrą visų produktų su skaitmeniniais elementais, pateikiamų vidaus rinkai, kibernetinio saugumo lygį, būtina nustatyti objektyvius ir technologiškai neutralius tiems produktams keliamus esminius kibernetinio saugumo reikalavimus, kurie būtų taikomi horizontaliai;

(9)

tam tikromis sąlygomis visus produktus su skaitmeniniais elementais, integruotus į didesnę elektroninę informacinę sistemą arba prie jos prijungtus, piktavaliai subjektai gali panaudoti atakai. Todėl net aparatinė ir programinė įranga, kuri laikoma mažiau svarbia, gali palengvinti pradinį įrenginio ar tinklo pažeidimą ir sudaryti sąlygas piktavaliams subjektams įgyti privilegijuotąją prieigą prie sistemos arba pereiti nuo vienos sistemos prie kitos. Todėl gamintojai turėtų užtikrinti, kad visi produktai su skaitmeniniais elementais būtų suprojektuoti ir sukurti laikantis šiame reglamente nustatytų esminių kibernetinio saugumo reikalavimų. Ta pareiga susijusi ir su produktais, kuriuos galima prijungti fiziškai per aparatinės įrangos sąsajas, ir su produktais, kurie prijungiami loginiu būdu, pavyzdžiui, per tinklo lizdus, kanalus, failus, programų sąsajas arba bet kokio kito tipo programinės įrangos sąsają. Kadangi kibernetinės grėsmės gali plisti per įvairius produktus su skaitmeniniais elementais prieš pasiekdamos tam tikrą tikslą, pavyzdžiui, pasinaudodamos kelių pažeidžiamumų grandine, gamintojai turėtų užtikrinti ir tų produktų su skaitmeniniais elementais, kurie su kitais įrenginiais ar tinklais yra sujungti tik netiesiogiai, kibernetinį saugumą;

(10)

nustatant kibernetinio saugumo reikalavimus, keliamus produktų su skaitmeniniais elementais pateikimui rinkai, siekiama padidinti tų produktų kibernetinį saugumą tiek vartotojams, tiek įmonėms. Tais reikalavimais taip pat bus užtikrinta, kad į kibernetinį saugumą atsižvelgiama visose tiekimo grandinėse ir galutiniai produktai su skaitmeniniais elementais ir jų komponentai taps saugesni. Tai taip pat apima reikalavimus, keliamus produktų su skaitmeniniais elementais, skirtų pažeidžiamiems vartotojams, pavyzdžiui, žaislų ir kūdikių stebėjimo sistemų, pateikimui rinkai. Vartotojų produktai su skaitmeniniais elementais, šiame reglamente priskiriami svarbių produktų su skaitmeniniais elementais kategorijai, kelia didesnę kibernetinio saugumo riziką, nes atlieka funkciją, dėl kurios intensyvumo ir galimybės pakenkti tokių produktų naudotojų sveikatai, saugumui ar saugai kyla didelė neigiamo poveikio rizika, todėl jiems turėtų būti taikoma griežtesnė atitikties vertinimo procedūra. Tai taikoma tokiems produktams kaip išmanieji buitiniai produktai su saugumo funkcijomis, be kita ko, išmaniosioms durų spynoms, kūdikių stebėjimo sistemoms ir signalizacijos sistemoms, prijungtiesiems žaislams ir asmeniniams dėvimiems sveikatos technologijų prietaisams. Be to, griežtesnės atitikties vertinimo procedūros, kurios turi būti taikomos kitiems produktams su skaitmeniniais elementais, kurie šiame reglamente priskiriami prie svarbių arba ypatingos svarbos produktų su skaitmeniniais elementais, padės užkirsti kelią galimam neigiamam pažeidžiamumų išnaudojimo poveikiui vartotojams;

(11)

šio reglamento tikslas – užtikrinti aukštą produktų su skaitmeniniais elementais ir jų integruotų nuotolinio duomenų tvarkymo sprendinių kibernetinio saugumo lygį. Tokie nuotolinio duomenų tvarkymo sprendiniai turėtų būti apibrėžiami kaip duomenų tvarkymas per atstumą, kuriam programinę įrangą projektuoja ir kuria atitinkamo produkto su skaitmeniniais elementais gamintojas arba tai daroma jo vardu, ir be kurių toks produktas su skaitmeniniais elementais negalėtų atlikti vienos iš savo funkcijų. Tuo požiūriu užtikrinama, kad gamintojai tinkamai apsaugotų visus tokius produktus, nepriklausomai nuo to, ar duomenys tvarkomi arba saugomi pačiame naudotojo įrenginyje, ar tai nuotoliniu būdu daro gamintojas. Tuo pačiu metu duomenų tvarkymas arba saugojimas per atstumą patenka į šio reglamento taikymo sritį tik tiek, kiek tai būtina, kad produktas su skaitmeniniais elementais galėtų atlikti savo funkcijas. Toks tvarkymas arba saugojimas per atstumą apima atvejus, kai mobiliajai programėlei reikia prieigos prie taikomųjų programų sąsajos arba duomenų bazės, teikiamos naudojantis gamintojo sukurta paslauga. Tokiu atveju paslauga patenka į šio reglamento taikymo sritį kaip nuotolinio duomenų tvarkymo sprendinys. Todėl reikalavimai, susiję su nuotolinio duomenų tvarkymo sprendiniais, patenkančiais į šio reglamento taikymo sritį, neapima techninių, operatyvinių ar organizacinių priemonių, kuriomis siekiama valdyti riziką, kylančią gamintojo tinklų ir informacinių sistemų kaip visumos saugumui;

(12)

debesijos sprendiniai yra nuotolinio duomenų tvarkymo sprendiniai, kaip tai suprantama šiame reglamente, tik jei jie atitinka šiame reglamente įtvirtintą apibrėžtį. Pavyzdžiui, į šio reglamento taikymo sritį patenka išmaniųjų buitinių prietaisų gamintojo teikiamos, debesijos pagrindu veikiančios funkcijos, leidžiančios naudotojams nuotoliniu būdu valdyti prietaisą. Priešingai, interneto svetainės, kurios nepalaiko produkto su skaitmeniniais elementais funkcijų, arba debesijos paslaugos, kurios nėra suprojektuotos ir sukurtos produkto su skaitmeniniais elementais gamintojo atsakomybe, nepatenka į šio reglamento taikymo sritį. Direktyva (ES) 2022/2555 taikoma debesijos kompiuterijos paslaugų ir debesijos paslaugų modeliams, pavyzdžiui, paslauginei programinei įrangai (SaaS), paslauginei platformai (PaaS) arba paslauginei infrastruktūrai (IaaS). Debesijos kompiuterijos paslaugas Sąjungoje teikiantiems subjektams, kurie pagal Rekomendacijos 2003/361/EB priedo 2 straipsnį laikomi vidutinėmis įmonėmis arba viršija to straipsnio 1 dalyje nurodytas vidutinėms įmonėms nustatytas viršutines ribas, patenka į tos direktyvos taikymo sritį;

(13)

vadovaudamosi šio reglamento tikslu pašalinti kliūtis laisvam produktų su skaitmeniniais elementais judėjimui, valstybės narės neturėtų trukdyti tiekti rinkai šį reglamentą atitinkančius produktus su skaitmeniniais elementais dėl priežasčių, susijusių su šiuo reglamentu reguliuojamais aspektais. Todėl šiuo reglamentu suderintais klausimais valstybės narės negali nustatyti papildomų kibernetinio saugumo reikalavimų, taikomų produktų su skaitmeniniais elementais tiekimui rinkai. Tačiau bet kuris viešasis ar privatusis subjektas be šiame reglamente nustatytų reikalavimų gali nustatyti papildomus reikalavimus, taikomus produktų su skaitmeniniais elementais viešajam pirkimui arba naudojimui konkrečiais tikslais ir todėl gali nuspręsti naudoti produktus su skaitmeniniais elementais, kurie atitinka griežtesnius arba konkretesnius kibernetinio saugumo reikalavimus nei tie, kurie taikomi tiekimui rinkai pagal šį reglamentą. Nedarant poveikio Europos Parlamento ir Tarybos direktyvoms 2014/24/ES (7) ir 2014/25/ES (8), pirkdamos produktus su skaitmeniniais elementais, kurie turi atitikti šiame reglamente nustatytus esminius kibernetinio saugumo reikalavimus, įskaitant reikalavimus dėl pažeidžiamumo valdymo, valstybės narės turėtų užtikrinti, kad į tokius reikalavimus būtų atsižvelgiama viešųjų pirkimų procese ir kad taip pat būtų atsižvelgta į gamintojų gebėjimą veiksmingai taikyti kibernetinio saugumo priemones ir valdyti kibernetines grėsmes. Be to, Direktyvoje (ES) 2022/2555 nustatytos ir tos direktyvos 3 straipsnyje nurodytiems esminiams bei svarbiems subjektams skirtos kibernetinio saugumo rizikos valdymo priemonės, kurios galėtų apimti tiekimo grandinės saugumo priemones, pagal kurias reikalaujama, kad tokie subjektai naudotų produktus su skaitmeniniais elementais, atitinkančius griežtesnius kibernetinio saugumo reikalavimus nei nustatytieji šiame reglamente. Todėl pagal Direktyvą (ES) 2022/2555 ir joje nustatytą minimalaus harmonizavimo principą valstybės narės gali nustatyti papildomus kibernetinio saugumo reikalavimus, taikomus esminiams arba svarbiems subjektams naudojant informacinių ir ryšių technologijų (IRT) produktus pagal tą direktyvą, kad būtų užtikrintas aukštesnis kibernetinio saugumo lygis, jei tokie reikalavimai yra suderinami su Sąjungos teisėje nustatytomis valstybių narių pareigomis. Aspektai, kuriems šis reglamentas netaikomas, gali apimti netechninius veiksnius, susijusius su produktais su skaitmeniniais elementais ir jų gamintojais. Todėl valstybės narės gali nustatyti nacionalines priemones, įskaitant apribojimus, taikomus produktams su skaitmeniniais elementais arba tokių produktų tiekėjams, kuriomis būtų atsižvelgiama į netechninius veiksnius. Reikalaujama, kad su tokiais veiksniais susijusios nacionalinės priemonės atitiktų Sąjungos teisę;

(14)

šiuo reglamentu neturėtų būti daromas poveikis valstybių narių atsakomybei už nacionalinio saugumo užtikrinimą laikantis Sąjungos teisės. Valstybės narės turėtų turėti galimybę produktams su skaitmeniniais elementais, kurie yra perkami arba naudojami nacionalinio saugumo ar gynybos tikslais, taikyti papildomas priemones, jei tokios priemonės atitinka Sąjungos teisėje nustatytas valstybių narių pareigas;

(15)

šis reglamentas ekonominės veiklos vykdytojams taikomas tik dėl produktų su skaitmeniniais elementais, kurie patiekti rinkai, t. y. tiekti platinti arba naudoti Sąjungos rinkoje vykdant komercinę veiklą. Tiekimas vykdant komercinę veiklą gali būti apibūdinamas ne tik kaip užmokesčio už produktą su skaitmeniniais elementais taikymas, bet ir kaip užmokesčio už techninės pagalbos paslaugas taikymas, kai tuo siekiama ne vien atgauti faktines išlaidas, siekiant monetizuoti, pavyzdžiui, teikiant programinės įrangos platformą, per kurią gamintojas gauna pajamų iš kitų paslaugų, kaip naudojimo sąlygą išreiškiant reikalavimą, kad asmens duomenys būtų tvarkomi kitais nei vien programinės įrangos saugumo, suderinamumo ar sąveikos gerinimo tikslais, arba priimant aukas, viršijančias su produkto su skaitmeniniais elementais projektavimu, kūrimu ir teikimu susijusias išlaidas. Aukų priėmimas be ketinimo gauti pelno neturėtų būti laikomas komercine veikla;

(16)

produktai su skaitmeniniais elementais, suteikiami teikiant paslaugą, už kurią imamas mokestis tik siekiant padengti faktines išlaidas, tiesiogiai susijusias su tos paslaugos teikimu, pavyzdžiui, tam tikrų viešojo administravimo subjektų teikiamų produktų su skaitmeniniais elementais atveju, vien dėl tų priežasčių neturėtų būti laikomi komercine veikla šio reglamento tikslais. Be to, produktai su skaitmeniniais elementais, kuriuos viešojo administravimo subjektas kuria arba keičia išimtinai savo reikmėms, neturėtų būti laikomi tiekiamais rinkai, kaip tai suprantama šiame reglamente;

(17)

programinė įranga ir duomenys, kuriais atvirai dalijamasi ir kurių naudotojai gali laisvai prieiti prie jų arba jų pakeistų versijų, juos naudoti, keisti ir platinti, gali prisidėti prie mokslinių tyrimų ir inovacijų rinkoje. Siekiant skatinti laisvosios ir atvirosios programinės įrangos kūrimą ir diegimą, visų pirma, kai juos atlieka labai mažos įmonės ir mažosios bei vidutinės įmonės, įskaitant startuolius, asmenys, ne pelno organizacijos ir akademinės mokslinių tyrimų organizacijos, taikant šį reglamentą produktams su skaitmeniniais elementais, kurie laikomi laisvąja ir atvirąja programine įranga, tiekiama platinti arba naudoti vykdant komercinę veiklą, turėtų būti atsižvelgiama į skirtingų programinės įrangos, platinamos ir kuriamos pagal laisvosios ir atvirosios programinės įrangos licencijas, kūrimo modelių pobūdį;

(18)

laisvoji ir atviroji programinė įranga suprantama kaip programinė įranga, kurios pirminiu kodu atvirai dalijamasi ir kurios licencijavimas suteikia visas teises padaryti, kad ji būtų laisvai prieinama, naudojama, keičiama ir pakartotinai platinama. Laisvoji ir atviroji programinė įranga kuriama, techniškai prižiūrima ir platinama atvirai, be kita ko, per interneto platformas. Ekonominės veiklos vykdytojų, kuriems taikomas šis reglamentas, atžvilgiu šis reglamentas turėtų būti taikomas tik laisvajai ir atvirajai programinei įrangai, kuri yra patiekta rinkai ir todėl patiekta platinti ar naudoti vykdant komercinę veiklą. Todėl nustatant tos veiklos komercinį ar nekomercinį pobūdį, neturėtų būti atsižvelgiama vien į aplinkybes, kuriomis produktas su skaitmeniniais elementais buvo sukurtas ar kaip buvo finansuojamas jo kūrimas. Konkrečiau, šio reglamento tikslais ir kiek tai susiję su į jo taikymo sritį patenkančių ekonominės veiklos vykdytojais, siekiant užtikrinti, kad būtų aiškiai atskirti kūrimo ir tiekimo etapai, produktų su skaitmeniniais elementais, kurie laikomi laisvąja ir atvirąja programine įranga ir už kuriuos jų gamintojai negauna pelno, teikimas neturėtų būti laikomas komercine veikla. Be to, produktų su skaitmeniniais elementais, kurie laikomi laisvosios ir atvirosios programinės įrangos komponentais, skirtais kitiems gamintojams integruoti į savo produktus su skaitmeniniais elementais, tiekimas turėtų būti laikomas tiekimu rinkai tik jeigu komponentą monetizuoja jo pirminis gamintojas. Pavyzdžiui, vien tai, kad atvirosios programinės įrangos produktas su skaitmeniniais elementais gauna finansinę paramą iš gamintojų arba kad gamintojai prisideda prie tokio produkto kūrimo, savaime nereiškia, kad veikla yra komercinio pobūdžio. Be to, vien dėl to, kad vykdomi reguliarūs išleidimai, savaime neturėtų būti daroma išvada, kad produktas su skaitmeniniais elementais tiekiamas vykdant komercinę veiklą. Galiausiai, šio reglamento tikslais ne pelno organizacijų vykdomas produktų su skaitmeniniais elementais, kurie laikomi laisvąja ir atvirąja programine įranga, kūrimas neturėtų būti laikomas komercine veikla, jeigu organizacija įsteigta taip, kad būtų užtikrinta, jog visos pajamos atskaičius išlaidas būtų naudojamos ne pelno tikslams siekti. Šis reglamentas netaikomas fiziniams ar juridiniams asmenims, kurie pirminiu kodu prisideda prie produktų su skaitmeniniais elementais, laikomais laisvąja ir atvirąja programine įranga, už kuriuos jie nėra atsakingi;

(19)

atsižvelgiant į daugelio produktų su skaitmeniniais elementais, kurie laikomi laisvąja ir atvirąja programine įranga ir kurie skelbiami, bet nepateikiami rinkai, kaip tai suprantama šiame reglamente, svarbą kibernetiniam saugumui, juridiniams asmenims, kurie nuolat teikia paramą tokių komercinei veiklai skirtų produktų kūrimui ir kurie atlieka pagrindinį vaidmenį užtikrinant tų produktų gyvybingumą (atvirosios programinės įrangos valdytojai), turėtų būti taikoma negriežta ir specialiai pritaikyta reguliavimo tvarka. Atvirosios programinės įrangos valdytojams priskiriami tam tikri fondai ir subjektai, kurie kuria ir skelbia laisvąją ir atvirąją programinę įrangą verslo aplinkoje, įskaitant pelno nesiekiančius subjektus. Reguliavimo tvarkoje turėtų būti atsižvelgiama į jų specifinį pobūdį ir suderinamumą su nustatytų pareigų rūšimi. Ji turėtų būti taikoma tik tiems produktams su skaitmeniniais elementais, kurie laikomi laisvąja ir atvirąja programine įranga ir kurie galiausiai yra skirti komercinei veiklai, pavyzdžiui, integravimui į komercines paslaugas arba į monetizuotus produktus su skaitmeniniais elementais. Tos reguliavimo tvarkos tikslais ketinimas integruoti į monetizuotus produktus su skaitmeniniais elementais apima atvejus, kai gamintojai, integruojantys komponentą į savo produktus su skaitmeniniais elementais, reguliariai prisideda prie to komponento kūrimo arba reguliariai teikia finansinę paramą programinės įrangos produkto tęstinumui užtikrinti. Nuolatinės paramos teikimas produkto su skaitmeniniais elementais kūrimui apima, be kita ko, programinės įrangos kūrimo bendradarbiavimo platformų prieglobą ir valdymą, pirminio kodo ar programinės įrangos prieglobą, produktų su skaitmeniniais elementais, kurie laikomi laisvąja ir atvirąja programine įranga, administravimą ar valdymą, taip pat vadovavimą tokių produktų kūrimui. Atsižvelgiant į tai, kad pagal negriežtą ir specialiai pritaikytą reguliavimo tvarką subjektams, veikiantiems kaip atvirosios programinės įrangos valdytojai, nėra taikomos tokios pačios pareigos kaip subjektams, veikiantiems kaip gamintojai pagal šį reglamentą, jiems neturėtų būti leidžiama ženklinti CE ženklu produktų su skaitmeniniais elementais, kurių kūrimą jie remia;

(20)

vien produktų su skaitmeniniais elementais priegloba atvirose saugyklose, be kita ko, naudojant paketų tvarkytuves ar bendradarbiavimo platformose, savaime nėra produkto su skaitmeniniais elementais tiekimas rinkai. Tokių paslaugų teikėjai turėtų būti laikomi platintojais tik jeigu jie tiekia tokią programinę įrangą rinkai, taigi tiekia ją platinti arba naudoti Sąjungos rinkoje vykdant komercinę veiklą;

(21)

siekiant remti ir palengvinti gamintojų, kurie į savo produktus su skaitmeniniais elementais integruoja laisvosios ir atvirosios programinės įrangos komponentus, kuriems netaikomi šiame reglamente nustatyti esminiai kibernetinio saugumo reikalavimai, išsamų patikrinimą, Komisija turėtų galėti nustatyti savanoriškas saugumo patvirtinimo programas arba priimdama deleguotąjį aktą, kuriuo papildomas šis reglamentas, arba prašydama parengti Europos kibernetinio saugumo sertifikavimo schemą pagal Reglamento (ES) 2019/881 48 straipsnį, kurioje būtų atsižvelgiama į laisvosios ir atvirosios programinės įrangos kūrimo modelių ypatumus. Saugumo patvirtinimo programos turėtų būti parengtos taip, kad saugumo patvirtinimą galėtų inicijuoti arba finansuoti ne tik fiziniai ar juridiniai asmenys, kuriantys produktą su skaitmeniniais elementais, kurie laikomi laisvąja ir atvirąja programine įranga, arba prisidedantys prie jo kūrimo, bet ir trečiosios šalys, pavyzdžiui, gamintojai, integruojantys tokius produktus į savo produktus su skaitmeniniais elementais, naudotojai arba Sąjungos ir nacionalinės viešojo administravimo institucijos;

(22)

atsižvelgiant į šiame reglamente nustatytus viešojo sektoriaus kibernetinio saugumo tikslus ir siekiant pagerinti valstybių narių informuotumą apie padėtį, susijusią su Sąjungos priklausomybe nuo programinės įrangos komponentų, visų pirma nuo potencialiai laisvosios ir atvirosios programinės įrangos komponentų, šiuo reglamentu įsteigta speciali administracinio bendradarbiavimo grupė turėtų galėti nuspręsti bendrai atlikti Sąjungos priklausomybės vertinimą. Rinkos priežiūros institucijos turėtų turėti galimybę reikalauti, kad administracinio bendradarbiavimo grupės nustatytų kategorijų produktų su skaitmeniniais elementais gamintojai pateiktų pagal šį reglamentą jų parengtus programinės įrangos medžiagų žiniaraščius (toliau – PĮMŽ). Siekiant apsaugoti PĮMŽ konfidencialumą, rinkos priežiūros institucijos atitinkamą informaciją apie priklausomybę nuo programinės įrangos turėtų pateikti administracinio bendradarbiavimo grupei anonimizuota ir apibendrinta forma;

(23)

šio reglamento įgyvendinimo veiksmingumas taip pat priklausys nuo tinkamų kibernetinio saugumo įgūdžių prieinamumo. Sąjungos lygmeniu įvairiuose programiniuose ir politiniuose dokumentuose, įskaitant 2023 m. balandžio 18 d. Komisijos komunikatą „Kibernetinio saugumo srities talentų trūkumo problemos sprendimas siekiant didinti ES konkurencingumą ir atsparumą bei skatinti jos augimą“ ir 2023 m. gegužės 22 d. Tarybos išvadas dėl ES kibernetinės gynybos politikos, pripažinta, kad Sąjungoje trūksta kibernetinio saugumo įgūdžių ir reikia prioriteto tvarka spręsti tokius uždavinius tiek viešajame, tiek privačiajame sektoriuose. Siekdamos užtikrinti veiksmingą šio reglamento įgyvendinimą, valstybės narės turėtų užtikrinti, kad rinkos priežiūros institucijos ir atitikties vertinimo įstaigos turėtų pakankamai išteklių šiame reglamente nustatytoms savo užduotims atlikti. Tomis priemonėmis turėtų būti didinamas darbo jėgos judumas kibernetinio saugumo srityje ir su juo susijusios karjeros galimybės. Jos taip pat turėtų prisidėti prie to, kad kibernetinio saugumo srities darbo jėga taptų atsparesnė ir įtraukesnė, be kita ko, lyčių požiūriu. Todėl valstybės narės turėtų imtis priemonių užtikrinti, kad tas užduotis vykdytų tinkamai parengti specialistai, turintys reikiamų kibernetinio saugumo įgūdžių. Panašiai ir gamintojai turėtų užtikrinti, kad jų darbuotojai turėtų reikiamų įgūdžių, reikalingų šiame reglamente nustatytoms pareigoms vykdyti. Valstybės narės ir Komisija, atsižvelgdamos į savo prerogatyvas ir kompetenciją bei šiuo reglamentu joms pavestas konkrečias užduotis, turėtų imtis priemonių remti gamintojus, visų pirma labai mažas įmones ir mažąsias bei vidutines įmones, įskaitant startuolius, taip pat ir tose srityse kaip antai įgūdžių ugdymas, kad jie laikytųsi šiuo reglamentu jiems nustatytų pareigų. Be to, kadangi Direktyva (ES) 2022/2555 reikalaujama, kad valstybės narės savo nacionalinėse kibernetinio saugumo strategijose nustatytų politiką, kuria būtų skatinamas ir plėtojamas kibernetinio saugumo ir kibernetinio saugumo įgūdžių mokymas, valstybės narės, priimdamos tokias strategijas, taip pat gali svarstyti galimybę atsižvelgti į su šiuo reglamentu susijusius kibernetinio saugumo įgūdžių poreikius, be kita ko, susijusius su perkvalifikavimu ir kvalifikacijos kėlimu;

(24)

saugus internetas yra būtinas ypatingos svarbos infrastruktūros objektų veikimui ir visai visuomenei. Direktyva (ES) 2022/2555 siekiama užtikrinti aukštą paslaugų, kurias teikia tos direktyvos 3 straipsnyje nurodyti esminiai ir svarbūs subjektai, įskaitant skaitmeninės infrastruktūros teikėjus, kurie palaiko pagrindines atvirojo interneto funkcijas, užtikrina interneto prieigą ir teikia interneto paslaugas, kibernetinio saugumo lygį. Todėl svarbu, kad produktai su skaitmeniniais elementais, būtini skaitmeninės infrastruktūros teikėjams, kad užtikrintų interneto veikimą, būtų kuriami saugiai ir atitiktų nusistovėjusius interneto saugumo standartus. Šiuo reglamentu, taikomu visiems prijungiamiesiems aparatinės ir programinės įrangos produktams, taip pat siekiama palengvinti skaitmeninės infrastruktūros teikėjų atitiktį tiekimo grandinės reikalavimams pagal Direktyvą (ES) 2022/2555 užtikrinant, kad produktai su skaitmeniniais elementais, kuriuos jie naudoja savo paslaugoms teikti, būtų kuriami saugiai ir kad jie turėtų prieigą prie savalaikių tokių produktų saugumo naujinių;

(25)

Europos Parlamento ir Tarybos reglamente (ES) 2017/745 (9) nustatomos medicinos priemonių taisyklės, o Europos Parlamento ir Tarybos reglamente (ES) 2017/746 (10) nustatomos in vitro diagnostikos medicinos priemonių taisyklės. Tais reglamentais sprendžiama kibernetinio saugumo rizika ir laikomasi tam tikrų metodų, kurie taip pat aptariami šiame reglamente. Konkrečiau, reglamentuose (ES) 2017/745 ir (ES) 2017/746 nustatyti esminiai reikalavimai medicinos priemonėms, kurios veikia per elektroninę sistemą arba pačios yra programinė įranga. Tie reglamentai taip pat apima tam tikrą neįtaisytąją programinę įrangą ir viso gyvavimo ciklo metodą. Tie reikalavimai įpareigoja gamintojus kurti ir gaminti savo produktus taikant rizikos valdymo principus ir nustatant reikalavimus, susijusius su IT saugumo priemonėmis, taip pat atitinkamas atitikties vertinimo procedūras. Be to, nuo 2019 m. gruodžio mėn. medicinos priemonėms taikomos specialios kibernetinio saugumo gairės, kuriose medicinos priemonių, įskaitant in vitro diagnostikos priemones, gamintojams patariama, kaip įvykdyti visus esminius tų reglamentų I priede nustatytus reikalavimus, susijusius su kibernetiniu saugumu. Todėl produktams su skaitmeniniais elementais, kuriems taikomas vienas iš tų reglamentų, šis reglamentas neturėtų būti taikomas;

(26)

į šio reglamento taikymo sritį nepatenka išimtinai nacionalinio saugumo ar gynybos tikslais sukurti ar pakeisti produktai su skaitmeniniais elementais arba produktai, specialiai sukurti įslaptintai informacijai tvarkyti. Valstybės narės raginamos užtikrinti tokį patį arba aukštesnį produktų, kuriems taikomas šis reglamentas, apsaugos lygį;

(27)

Europos Parlamento ir Tarybos reglamentu (ES) 2019/2144 (11) nustatomi transporto priemonių, jų sistemų ir komponentų tipo patvirtinimo reikalavimai, įtvirtinant tam tikrus kibernetinio saugumo reikalavimus, įskaitant reikalavimus dėl sertifikuotos kibernetinio saugumo valdymo sistemos veikimo, programinės įrangos naujinių, kurie apima organizacijų politiką ir kibernetinio saugumo rizikos procesus, susijusius su visu transporto priemonių, įrangos ir paslaugų gyvavimo ciklu, laikantis galiojančių Jungtinių Tautų taisyklių dėl techninių specifikacijų ir kibernetinio saugumo, visų pirma JT taisyklės Nr. 155 dėl vienodų nuostatų dėl transporto priemonių patvirtinimo kibernetinio saugumo ir kibernetinio saugumo valdymo sistemos atžvilgiu (12), ir nustatant konkrečias atitikties vertinimo procedūras. Aviacijos srityje pagrindinis Europos Parlamento ir Tarybos reglamento (ES) 2018/1139 (13) tikslas – nustatyti ir palaikyti aukštą vienodą civilinės aviacijos saugos lygį Sąjungoje. Juo sukuriama esminių tinkamumo skraidyti reikalavimų, taikomų aeronautikos produktams, dalims ir įrangai, įskaitant programinę įrangą, sistema, į kurią įtraukiamos pareigos apsisaugoti nuo informacijos saugumo grėsmių. Sertifikavimo procesas pagal Reglamentą (ES) 2018/1139 užtikrina šiuo reglamentu siekiamą saugumo užtikrinimo lygį. Todėl produktams su skaitmeniniais elementais, kuriems taikomas Reglamentas (ES) 2019/2144, ir produktams, sertifikuotiems pagal Reglamentą (ES) 2018/1139, šiame reglamente nustatyti esminiai kibernetinio saugumo reikalavimai ir atitikties vertinimo procedūros neturėtų būti taikomi;

(28)

šiuo reglamentu nustatomos horizontaliosios kibernetinio saugumo taisyklės, kurios nėra skirtos konkretiems sektoriams ar tam tikriems produktams su skaitmeniniais elementais. Nepaisant to, galėtų būti priimtos sektorinės arba konkretiems produktams skirtos Sąjungos taisyklės, kuriose būtų nustatyti reikalavimai visai arba daliai rizikos, kuriai taikomi šiame reglamente nustatyti esminiai kibernetinio saugumo reikalavimai. Tokiais atvejais šio reglamento taikymas produktams su skaitmeniniais elementais, kuriems taikomos kitos Sąjungos taisyklės, kuriose nustatomi reikalavimai visai arba daliai rizikos, kuriai taikomi šiame reglamente nustatyti esminiai kibernetinio saugumo reikalavimai, gali būti apribotas arba šis reglamentas gali būti netaikomas, jei toks apribojimas arba netaikymas atitinka bendrą tiems produktams taikomą reguliavimo sistemą ir kai sektorių taisyklėmis užtikrinamas bent toks pats apsaugos lygis kaip ir šiuo reglamentu. Komisijai turėtų būti suteikti įgaliojimai priimti deleguotuosius aktus, siekiant papildyti šį reglamentą, kuriais identifikuojami tokie produktai ir taisyklės. Galiojančių Sąjungos teisės aktų atveju, kai turėtų būti taikomas toks apribojimas ar netaikymas, šiame reglamente nustatomos konkrečios nuostatos, kuriomis paaiškinamas jo ryšys su tais Sąjungos teisės aktais;

(29)

siekiant užtikrinti, kad rinkai tiekiamus produktus su skaitmeniniais elementais būtų galima tinkamai sutaisyti ir prailginti jų patvarumą, atsarginėms dalims turėtų būti numatyta išimtis. Ta išimtis turėtų būti taikoma tiek atsarginėms dalims, skirtoms taisyti senus produktus, pateiktus rinkai iki šio reglamento taikymo pradžios dienos, tiek atsarginėms dalims, kurioms jau atlikta atitikties vertinimo procedūra pagal šį reglamentą;

(30)

Komisijos deleguotajame reglamente (ES) 2022/30 (14) nurodyta, kad tam tikriems radijo įrenginiams taikoma keletas Europos Parlamento ir Tarybos direktyvos 2014/53/ES (15) 3 straipsnio 3 dalies d, e ir f punktuose nustatytų esminių reikalavimų, susijusių su žala tinklui ir netinkamu tinklo išteklių naudojimu, asmens duomenimis ir privatumu bei sukčiavimu. 2022 m. rugpjūčio 5 d. Komisijos įgyvendinimo sprendime C(2022)5637 dėl Europos standartizacijos komitetui ir Europos elektrotechnikos standartizacijos komitetui pateikto standartizacijos prašymo nustatyti reikalavimai konkretiems standartams parengti ir papildomai nurodyta, kaip tie esminiai reikalavimai turėtų būti sprendžiami. Šiame reglamente nustatyti esminiai kibernetinio saugumo reikalavimai apima visus Direktyvos 2014/53/ES 3 straipsnio 3 dalies d, e ir f punktuose nurodytus esminius reikalavimus. Be to, šiame reglamente nustatyti esminiai kibernetinio saugumo reikalavimai yra suderinti su konkretiems standartams, įtrauktiems į tą standartizacijos prašymą, skirtų reikalavimų tikslais. Todėl, Komisijai panaikinus ar iš dalies pakeitus Deleguotąjį reglamentą (ES) 2022/30 taip, kad jis nustotų būti taikomas tam tikriems produktams, kuriems taikomas šis reglamentas, rengdamos ir plėtodamos darniuosius standartus, padėsiančius įgyvendinti šį reglamentą, Komisija ir Europos standartizacijos organizacijos turėtų atsižvelgti į standartizavimo darbą, atliekamą pagal Įgyvendinimo sprendimą C(2022)5637. Šio reglamento taikymo pereinamuoju laikotarpiu Komisija turėtų pateikti gaires gamintojams, kuriems taikomas šis reglamentas ir kuriems taip pat taikomas Deleguotasis reglamentas (ES) 2022/30, kad būtų lengviau įrodyti atitiktį tiems dviem reglamentams;

(31)

Europos Parlamento ir Tarybos direktyva (ES) 2024/2853 (16) papildo šį reglamentą. Toje direktyvoje nustatytos taisyklės dėl atsakomybės už produktus su trūkumais, kad nukentėję asmenys galėtų reikalauti žalos atlyginimo, kai žala padaryta dėl produktų su trūkumais. Joje nustatytas principas, pagal kurį produkto gamintojas atsako už žalą, padarytą dėl saugumo stokos jo produkte, nepriklausomai nuo kaltės (griežta atsakomybė). Jei toks saugumo trūkumas kyla dėl saugumo naujinių neteikimo po produkto pateikimo rinkai ir dėl to padaroma žala, gali kilti gamintojo atsakomybė. Šiame reglamente turėtų būti nustatytos gamintojų pareigos, susijusios su tokių saugumo naujinių teikimu;

(32)

šiuo reglamentu neturėtų būti daromas poveikis Europos Parlamento ir Tarybos reglamentui (ES) 2016/679 (17), įskaitant jo nuostatas, susijusias su duomenų apsaugos sertifikavimo mechanizmų ir duomenų apsaugos ženklų bei žymenų sukūrimu, kad būtų galima įrodyti, jog duomenų valdytojų ir tvarkytojų atliekamos tvarkymo operacijos atitinka to reglamento reikalavimus. Tokios operacijos galėtų būti integruotos į produktą su skaitmeniniais elementais. Pagrindiniai Reglamento (ES) 2016/679 elementai yra pritaikytoji ir standartizuotoji duomenų apsauga bei, bendrai, kibernetinis saugumas. Apsaugant vartotojus ir organizacijas nuo kibernetinio saugumo rizikos, šiame reglamente nustatyti esminiai kibernetinio saugumo reikalavimai taip pat turi padėti stiprinti asmens duomenų apsaugą ir asmenų privatumą. Į kibernetinio saugumo aspektų standartizavimo ir sertifikavimo sinergiją turėtų būti atsižvelgiama bendradarbiaujant Komisijai, Europos standartizacijos organizacijoms, Europos Sąjungos kibernetinio saugumo agentūrai (toliau – ENISA), Reglamentu (ES) 2016/679 įsteigtai Europos duomenų apsaugos valdybai ir nacionalinėms duomenų apsaugos priežiūros institucijoms. Taip pat turėtų būti sukurtos sinergijos tarp šio reglamento ir Sąjungos duomenų apsaugos teisės rinkos priežiūros bei vykdymo užtikrinimo srityje. Tuo tikslu pagal šį reglamentą paskirtos nacionalinės rinkos priežiūros institucijos turėtų bendradarbiauti su institucijomis, vykdančiomis Sąjungos duomenų apsaugos teisės taikymo priežiūrą. Pastarosios taip pat turėtų turėti prieigą prie informacijos, susijusios su jų užduočių vykdymu;

(33)

tiek, kiek jų produktams taikomas šis reglamentas, europinių skaitmeninės tapatybės dėklių teikėjai, kaip nurodyta Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 (18) 5a straipsnio 2 dalyje, turėtų laikytis ir šiame reglamente nustatytų horizontaliųjų esminių kibernetinio saugumo reikalavimų, ir konkrečių saugumo reikalavimų, nustatytų Reglamento (ES) Nr. 910/2014 5a straipsnyje. Kad būtų lengviau laikytis reikalavimų, dėklių teikėjai turėtų galėti įrodyti, kad Europos skaitmeninės tapatybės dėklės atitinka šiame reglamente ir Reglamente (ES) Nr. 910/2014 nustatytus reikalavimus, atitinkamai sertifikuodami savo produktus pagal Europos kibernetinio saugumo sertifikavimo schemą, nustatytą pagal Reglamentą (ES) 2019/881, kurios atžvilgiu Komisija deleguotaisiais aktais nustatė atitikties šiam reglamentui prezumpciją tiek, kiek sertifikatas arba jo dalys apima tuos reikalavimus;

(34)

projektavimo ir kūrimo etapu integruodami iš trečiųjų šalių gautus komponentus į produktus su skaitmeniniais elementais, gamintojai, siekdami užtikrinti, kad produktai būtų projektuojami, kuriami ir gaminami laikantis šiame reglamente nustatytų esminių kibernetinio saugumo reikalavimų, turėtų atlikti išsamų tų komponentų, įskaitant laisvosios ir atvirosios programinės įrangos komponentus, kurie nebuvo tiekiami rinkai, patikrinimą. Tinkamas išsamaus patikrinimo lygis priklauso nuo su konkrečiu komponentu susijusios kibernetinio saugumo rizikos pobūdžio ir lygio ir tuo tikslu turėtų atsižvelgti į vieną ar daugiau iš šių veiksmų: jei taikytina, patikrinti, ar komponento gamintojas įrodė atitiktį šiam reglamentui, be kita ko, patikrinant, ar komponentas jau paženklintas CE ženklu; patikrinti, ar komponentui reguliariai teikiami saugumo naujiniai, pavyzdžiui, tikrinant jo saugumo naujinių istoriją; patikrinti, ar komponentas neturi pažeidžiamumų, užregistruotų Europos pažeidžiamumo duomenų bazėje, sukurtoje pagal Direktyvos (ES) 2022/2555 12 straipsnio 2 dalį, arba kitose viešai prieinamose pažeidžiamumo duomenų bazėse arba atlikti papildomus saugumo patikrinimus. Šiame reglamente nustatytos pažeidžiamumo valdymo pareigos, kurių gamintojai turi laikytis pateikdami produktą su skaitmeniniais elementais rinkai ir palaikymo laikotarpiu, taikomos visiems produktams su skaitmeniniais elementais, įskaitant visus integruotus komponentus. Jei atlikdamas išsamų patikrinimą produkto su skaitmeniniais elementais gamintojas nustato komponento, įskaitant laisvosios ir atvirosios programinės įrangos komponentą, pažeidžiamumą, jis turėtų informuoti komponentą gaminantį ar techniškai prižiūrintį asmenį ar subjektą, išspręsti ir ištaisyti pažeidžiamumo problemą ir, kai taikytina, pateikti asmeniui ar subjektui taikomą saugumo sprendimą;

(35)

iškart po šio reglamento taikymo pereinamojo laikotarpio produkto su skaitmeniniais elementais, į kurį integruotas vienas ar keli komponentai, gauti iš trečiųjų šalių, kurioms taip pat taikomas šis reglamentas, gamintojas, vykdydamas išsamaus patikrinimo pareigą, gali neturėti galimybės patikrinti, ar tų komponentų gamintojai įrodė atitiktį šiam reglamentui, pavyzdžiui, patikrinti, ar komponentai jau paženklinti CE ženklu. Taip gali būti tuo atveju, jeigu komponentai buvo integruoti prieš pradedant taikyti šį reglamentą tų komponentų gamintojams. Tokiu atveju gamintojas, integruojantis tokius komponentus, turėtų atlikti išsamų patikrinimą kitais būdais;

(36)

kad produktai su skaitmeniniais elementais galėtų laisvai judėti vidaus rinkoje, jie turėtų būti ženklinami matomu, įskaitomu ir neištrinamu CE ženklu, rodančiu, kad jie atitinka šį reglamentą. Valstybės narės neturėtų sudaryti nepagrįstų kliūčių pateikti rinkai produktus su skaitmeniniais elementais, kurie atitinka šiame reglamente nustatytus reikalavimus ir yra paženklinti CE ženklu. Be to, prekybos mugėse, parodose ir demonstracijose ar panašiuose renginiuose valstybės narės neturėtų trukdyti pristatyti ar naudoti produkto su skaitmeniniais elementais, kuris neatitinka šio reglamento, įskaitant produkto prototipus, jei tas produktas pateikiamas su matomu ženklu, aiškiai rodančiu, kad produktas neatitinka šio reglamento, ir kad jis negali būti tiekiamas rinkai, kol neatitiks šio reglamento;

(37)

siekiant užtikrinti, kad prieš atlikdami savo produktų su skaitmeniniais elementais atitikties vertinimą gamintojai galėtų išleisti programinę įrangą bandymo tikslais, valstybės narės neturėtų neleisti pateikti nebaigtos programinės įrangos, pavyzdžiui, alfa versijos, beta versijos ar kandidatinės versijos, su sąlyga, kad nebaigta programinė įranga pateikiama ne ilgesniam laikui nei būtina jai išbandyti ir grįžtamajai informacijai gauti. Gamintojai turėtų užtikrinti, kad tokiomis sąlygomis pateikta programinė įranga būtų išleista tik atlikus rizikos vertinimą ir kad ji kiek įmanoma atitiktų saugumo reikalavimus, susijusius su šiame reglamente nustatytomis produktų su skaitmeniniais elementais savybėmis. Gamintojai taip pat turėtų kiek įmanoma įgyvendinti pažeidžiamumų valdymo reikalavimus. Gamintojai neturėtų versti naudotojų atnaujinti versijų, išleistų tik bandymo tikslais;

(38)

siekiant užtikrinti, kad rinkai pateikti produktai su skaitmeniniais elementais nekeltų kibernetinio saugumo rizikos asmenims ir organizacijoms, tokiems produktams turėtų būti nustatyti esminiai kibernetinio saugumo reikalavimai. Tie esminiai kibernetinio saugumo reikalavimai, įskaitant pažeidžiamumo valdymo reikalavimus, taikomi kiekvienam atskiram rinkai pateikiamam produktui su skaitmeniniais elementais, neatsižvelgiant į tai, ar produktas su skaitmeniniais elementais yra pagamintas kaip atskiras vienetas, ar serijiniu būdu. Pavyzdžiui, produkto rūšies atveju kiekvienas atskiras produktas su skaitmeniniais elementais turėtų būti gavęs visas saugumo pataisas arba naujinius, skirtus atitinkamoms saugumo problemoms spręsti, kai jis pateikiamas rinkai. Jei vėliau daromi produktų su skaitmeniniais elementais pakeitimai fizinėmis ar skaitmeninėmis priemonėmis gamintojo pradiniame rizikos vertinime nenumatytu būdu ir tai galėtų reikšti, kad produktai nebeatitinka atitinkamų esminių kibernetinio saugumo reikalavimų, pakeitimas turėtų būti laikomas esminiu. Pavyzdžiui, taisymai galėtų būti prilyginti techninės priežiūros operacijoms, jei jais nekeičiamas rinkai jau pateiktas produktas su skaitmeniniais elementais taip, kad galėtų būti paveiktas taikytinų reikalavimų laikymasis arba kad galėtų būti pakeista numatytoji paskirtis, dėl kurios produktas buvo įvertintas;

(39)

kaip ir fizinio taisymo ar pakeitimų atveju, produktas su skaitmeniniais elementais turėtų būti laikomas iš esmės pakeistu pakeitus programinę įrangą, kai programinės įrangos naujinys pakeičia to produkto numatytąją paskirtį ir tie pakeitimai gamintojo nebuvo numatyti pradiniame rizikos vertinime arba kai dėl programinės įrangos naujinio pasikeitė pavojaus pobūdis arba padidėjo kibernetinio saugumo rizikos lygis, o atnaujinta produkto versija pateikiama rinkai. Jei saugumo naujinys, kuriuo siekiama sumažinti produkto su skaitmeniniais elementais kibernetinio saugumo riziką, nekeičia produkto su skaitmeniniais elementais numatytosios paskirties, jis nelaikomas esminiu pakeitimu. Tai paprastai apima atvejus, kai saugumo naujinys susijęs tik su nežymiais pirminio kodo pakeitimais. Pavyzdžiui, taip galėtų būti tuo atveju, kai saugumo naujiniu šalinamas žinomas pažeidžiamumas, be kita ko, keičiant produkto su skaitmeniniais elementais funkcijas ar veikimą, siekiant vienintelio tikslo – sumažinti kibernetinio saugumo rizikos lygį. Panašiai nedidelis funkcijų naujinys, pavyzdžiui, naudotojo sąsajos vizualinis patobulinimas arba naujų piktogramų ar kalbų įtraukimas į ją, paprastai neturėtų būti laikomas esminiu pakeitimu. Ir atvirkščiai – jei funkcijų naujiniu keičiamos pirminės numatytos funkcijos arba produkto su skaitmeniniais elementais rūšis ar veikimas ir jis atitinka anksčiau minėtus kriterijus, jis turėtų būti laikomas esminiu pakeitimu, nes naujų funkcijų įtraukimas paprastai lemia platesnį atakos perimetrą ir taip padidina kibernetinio saugumo riziką. Pavyzdžiui, taip galėtų būti tuo atveju, kai į taikomąją programą įtraukiamas naujas įvesties elementas, dėl kurio gamintojas turi užtikrinti tinkamą įvesties patvirtinimą. Vertinant, ar funkcijos naujinys laikomas esminiu pakeitimu, nesvarbu, ar jis pateikiamas kaip atskiras naujinys, ar kartu su saugumo naujiniu. Komisija turėtų paskelbti gaires, kaip nustatyti, kas yra esminis pakeitimas;

(40)

atsižvelgiant į kartotinį programinės įrangos kūrimo pobūdį, gamintojai, pateikę rinkai vėlesnes programinės įrangos produkto versijas dėl vėlesnio esminio to produkto pakeitimo, palaikymo laikotarpiu turėtų galėti teikti saugumo naujinius tik naujausiai rinkai pateiktai programinės įrangos produkto versijai. Jie turėtų turėti galimybę tai daryti tik tuo atveju, jei atitinkamų ankstesnių produkto versijų naudotojai turi galimybę nemokamai naudotis naujausia rinkai pateikta versija ir nepatiria papildomų išlaidų, susijusių su aparatinės ar programinės įrangos aplinkos, kurioje jie naudoja produktą, pritaikymu. Taip galėtų būti, pavyzdžiui, tais atvejais, kai stalinio kompiuterio operacinei sistemai atnaujinti nereikia naujos aparatinės įrangos, pavyzdžiui, greitesnio centrinio procesoriaus ar daugiau atminties. Nepaisant to, palaikymo laikotarpiu gamintojas turėtų toliau laikytis kitų pažeidžiamumo valdymo reikalavimų, pavyzdžiui, taikyti koordinuoto pažeidžiamumų atskleidimo politiką arba priemones, kuriomis būtų sudaromos palankesnės sąlygos dalytis informacija apie galimą visų vėlesnių iš esmės pakeistų programinės įrangos produkto versijų, pateiktų rinkai, pažeidžiamumą. Gamintojai turėtų turėti galimybę atlikti nedidelius saugumo arba funkcijų naujinius, kurie nelaikomi esminiu pakeitimu, tik naujausiai programinės įrangos produkto, kuris nebuvo iš esmės pakeistas, versijai ar subversijai. Tuo pačiu metu, jeigu aparatinės įrangos produktas, pavyzdžiui, išmanusis telefonas, yra nesuderinamas su naujausia operacinės sistemos, su kuria jis iš pradžių buvo pristatytas, versija, gamintojas palaikymo laikotarpiu turėtų toliau teikti saugumo naujinius bent jau naujausiai suderinamai operacinės sistemos versijai;

(41)

atsižvelgiant į visuotinai nusistovėjusią Sąjungos derinamaisiais teisės aktais reglamentuojamų produktų esminio pakeitimo koncepciją, jeigu įvyksta esminis pakeitimas, galintis turėti įtakos produkto su skaitmeniniais elementais atitikčiai šio reglamento reikalavimams arba kai pasikeičia to produkto numatytoji paskirtis, tikslinga patikrinti produkto su skaitmeniniais elementais atitiktį ir, jei taikytina, atlikti naują atitikties vertinimą. Kai taikytina, jei gamintojas atlieka atitikties vertinimą, kuriame dalyvauja trečioji šalis, tai trečiajai šaliai turėtų būti pranešta apie pakeitimą, dėl kurio gali atsirasti esminis pakeitimas;

(42)

jei produktui su skaitmeniniais elementais taikomas atnaujinimas, techninė priežiūra ir taisymas, kaip apibrėžta Europos Parlamento ir Tarybos reglamento (ES) 2024/1781 (19) 2 straipsnio 18, 19 ir 20 punktuose, tai nebūtinai reiškia esminį produkto pakeitimą, pavyzdžiui, jei numatytoji paskirtis nepasikeičia ir funkcijos bei rizikos lygis lieka nepakitę. Tačiau gamintojo atliekamas produkto su skaitmeniniais elementais atnaujinimas gali reikšti produkto projektavimo ir kūrimo pokyčius, todėl gali turėti įtakos jo numatytajai paskirčiai ir atitikčiai šiame reglamente nustatytiems reikalavimams;

(43)

produktai su skaitmeniniais elementais turėtų būti laikomi svarbiais, jei neigiamas potencialių produkto pažeidžiamumų išnaudojimo poveikis gali būti didelis, inter alia, dėl su kibernetiniu saugumu susijusių funkcijų arba funkcijos, dėl kurios kyla didelė neigiamo poveikio rizika, susijusi su jos intensyvumu ir gebėjimu sutrikdyti, kontroliuoti arba padaryti žalos dideliam skaičiui kitų produktų su skaitmeniniais elementais arba jo naudotojų sveikatai, saugumui ar saugai per tiesioginę manipuliaciją, pavyzdžiui, centrinės sistemos funkciją, įskaitant tinklo administravimą, konfigūracijos kontrolę, virtualizavimą arba asmens duomenų tvarkymą. Visų pirma, produktų su skaitmeniniais elementais, kurie turi su kibernetiniu saugumu susijusių funkcijų, pavyzdžiui, sistemos paleidimo tvarkykles, pažeidžiamumai gali sukelti saugumo problemų išplitimą visoje tiekimo grandinėje. Incidento poveikis taip pat gali padidėti, jei produktas pagrindinai atlieka centrinės sistemos funkciją, įskaitant tinklo administravimą, konfigūracijos kontrolę, virtualizavimą ar asmens duomenų tvarkymą;

(44)

tam tikrų kategorijų produktams su skaitmeniniais elementais turėtų būti taikomos griežtesnės atitikties vertinimo procedūros, tačiau ir toliau turėtų būti taikomas proporcingumo principas. Tuo tikslu svarbūs produktai su skaitmeniniais elementais turėtų būti suskirstyti į dvi klases, atspindinčias kibernetinio saugumo rizikos lygį, susijusį su tų kategorijų produktais. Incidentas, susijęs su svarbiais produktais su skaitmeniniais elementais, priskiriamais II klasei, galėtų sukelti didesnį neigiamą poveikį nei incidentas, susijęs su svarbiais produktais su skaitmeniniais elementais, priskiriamais I klasei, pavyzdžiui, dėl jų su kibernetiniu saugumu susijusios funkcijos pobūdžio arba kitos funkcijos, dėl kurios kyla didelė neigiamo poveikio rizika, atlikimo. Tokio didesnio neigiamo poveikio požymis – tai, kad II klasei priskiriami produktai su skaitmeniniais elementais gali atlikti su kibernetiniu saugumu susijusias funkcijas arba kitą funkciją, dėl kurios kyla didelė neigiamo poveikio rizika, kuri yra didesnė nei I klasės produktų atveju, arba atitikimas abiem pirmiau nurodytiems kriterijams. Todėl II klasei priskiriamiems svarbiems produktams su skaitmeniniais elementais turėtų būti taikoma griežtesnė atitikties vertinimo procedūra;

(45)

šiame reglamente nurodyti svarbūs produktai su skaitmeniniais elementais turėtų būti suprantami kaip produktai, turintys pagrindines šiame reglamente nustatytos svarbių produktų su skaitmeniniais elementais kategorijos funkcijas. Pavyzdžiui, šiame reglamente nustatomos svarbių produktų su skaitmeniniais elementais kategorijos, kurios pagal savo pagrindines funkcijas apibrėžiamos kaip užkardos arba įsibrovimo aptikimo ar prevencijos sistemos, priskiriamos II klasei. Todėl turi būti privalomai atliekamas užkardų ir įsibrovimo aptikimo ar prevencijos sistemų atitikties trečiosios šalies atliekamas vertinimas. Tai netaikoma kitiems produktams su skaitmeniniais elementais, nepriskiriamiems prie svarbių produktų su skaitmeniniais elementais, į kuriuos gali būti integruotos užkardos arba įsibrovimo aptikimo ar prevencijos sistemos. Komisija turėtų priimti įgyvendinimo aktą, kuriuo būtų patikslintas svarbių produktų su skaitmeniniais elementais kategorijų, priskiriamų I ir II klasėms, kaip nustatyta šiame reglamente, techninis aprašymas;

(46)

šiame reglamente nustatytos ypatingos svarbos produktų su skaitmeniniais elementais kategorijos turi su kibernetiniu saugumu susijusias funkcijas ir atlieka funkciją, dėl kurios kyla didelė neigiamo poveikio rizika, susijusi su jos intensyvumu ir gebėjimu tiesioginėmis manipuliacijomis sutrikdyti, kontroliuoti arba padaryti žalos dideliam skaičiui kitų produktų su skaitmeniniais elementais. Be to, laikoma, kad esminiai subjektai, nurodyti Direktyvos (ES) 2022/2555 3 straipsnio 1 dalyje, yra kritiškai priklausomi nuo tų kategorijų produktų su skaitmeniniais elementais. Šio reglamento priede nurodytoms ypatingos svarbos produktų su skaitmeniniais elementais kategorijoms dėl jų ypatingos svarbos jau plačiai taikomos įvairios sertifikavimo formos, ir joms taip pat taikoma Europos bendraisiais kriterijais grindžiama kibernetinio saugumo sertifikavimo schema (toliau - EKSS), nustatyta Komisijos įgyvendinimo reglamentu (ES) 2024/482 (20). Todėl, siekiant užtikrinti bendrą tinkamą ypatingos svarbos produktų su skaitmeniniais elementais kibernetinio saugumo apsaugą Sąjungoje, galėtų būti tinkama ir proporcinga deleguotuoju aktu tokių kategorijų produktams taikyti privalomą Europos kibernetinio saugumo sertifikavimą, kai jau įdiegta tuos produktus apimanti atitinkama Europos kibernetinio saugumo sertifikavimo schema, o Komisija atliko numatomo privalomo sertifikavimo galimo poveikio rinkai vertinimą. Atliekant tą vertinimą turėtų būti apsvarstyti ir pasiūlos, ir paklausos aspektai, įskaitant tai, ar yra pakankama atitinkamų produktų su skaitmeniniais elementais paklausa tiek iš valstybių narių, tiek iš naudotojų pusės, kad būtų reikalaujama Europos kibernetinio saugumo sertifikavimo, taip pat į tikslus, kuriems ketinama naudoti produktus su skaitmeniniais elementais, be kita ko, Direktyvos (ES) 2022/2555 3 straipsnio 1 dalyje nurodytų esminių subjektų kritinę priklausomybę nuo tų produktų. Vertinime taip pat turėtų būti analizuojamas galimas privalomo sertifikavimo poveikis tų produktų prieinamumui vidaus rinkoje ir valstybių narių pajėgumai bei pasirengimas įgyvendinti atitinkamas Europos kibernetinio saugumo sertifikavimo schemas;

(47)

deleguotuosiuose aktuose, kuriais reikalaujama privalomo Europos kibernetinio saugumo sertifikavimo, turėtų būti nustatyti produktai su skaitmeniniais elementais, turintys pagrindinę šiame reglamente nustatytos ypatingos svarbos produktų su skaitmeniniais elementais kategorijos funkciją, kuriems turi būti taikomas privalomas sertifikavimas, taip pat reikalaujamas saugumo užtikrinimo lygis, kuris turėtų būti bent pakankamai aukštas. Reikalaujamas saugumo užtikrinimo lygis turėtų būti proporcingas su produktu su skaitmeniniais elementais susijusios kibernetinio saugumo rizikos lygiui. Pavyzdžiui, kai produktas su skaitmeniniais elementais turi pagrindinę šiame reglamente nustatytos ypatingos svarbos produktų su skaitmeniniais elementais kategorijos funkciją ir yra skirtas naudoti jautrioje ar ypatingos svarbos aplinkoje, pavyzdžiui, produktų, skirtų naudoti Direktyvos (ES) 2022/2555 3 straipsnio 1 dalyje nurodytiems esminiams subjektams, atveju, gali būti reikalaujama aukščiausio saugumo užtikrinimo lygio;

(48)

siekiant užtikrinti bendrą tinkamą produktų su skaitmeniniais elementais, kurie turi pagrindinę šiame reglamente nustatytos ypatingos svarbos produktų su skaitmeniniais elementais kategorijos funkciją, kibernetinio saugumo apsaugą Sąjungoje, Komisijai taip pat turėtų būti suteikti įgaliojimai priimti deleguotuosius aktus, siekiant iš dalies pakeisti šį reglamentą, įtraukiant ypatingos svarbos produktų su skaitmeniniais elementais kategorijas arba pašalinant esamas tokių produktų kategorijas, kurių gamintojams, siekiant įrodyti atitiktį šiam reglamentui, galėtų būti taikomas reikalavimas gauti Europos kibernetinio saugumo sertifikatą pagal Europos kibernetinio saugumo sertifikavimo schemą, laikantis Reglamento (ES) 2019/881. Į tas kategorijas gali būti įtraukta nauja ypatingos svarbos produktų su skaitmeniniais elementais kategorija, jei nuo tokių produktų yra kritiškai priklausomi Direktyvos (ES) 2022/2555 3 straipsnio 1 dalyje nurodyti esminiai subjektai, arba, incidentų poveikio arba pažeidžiamumų, kuriuos galima išnaudoti, egzistavimo atvejais tai galėtų sutrikdyti ypatingos svarbos tiekimo grandines. Vertindama poreikį deleguotuoju aktu įtraukti arba pašalinti esamas ypatingos svarbos produktų su skaitmeniniais elementais kategorijas, Komisija turėtų galėti atsižvelgti į tai, ar valstybės narės nacionaliniu lygmeniu yra nustačiusios produktus su skaitmeniniais elementais, kurie atlieka itin svarbų vaidmenį užtikrinant Direktyvos (ES) 2022/2555 3 straipsnio 1 dalyje nurodytų esminių subjektų atsparumą ir kurie vis dažniau susiduria su tiekimo grandinės kibernetiniais išpuoliais, kurie gali turėti didelį trikdomąjį poveikį. Be to, Komisija turėtų galėti atsižvelgti į Sąjungos lygmeniu koordinuojamo ypatingos svarbos tiekimo grandinių saugumo rizikos vertinimo, atlikto pagal Direktyvos (ES) 2022/2555 22 straipsnį, rezultatus;

(49)

Komisija turėtų užtikrinti, kad rengiant šio reglamento įgyvendinimo priemones būtų struktūruotai ir reguliariai konsultuojamasi su įvairiais atitinkamais suinteresuotaisiais subjektais. Tai visų pirma turėtų būti daroma tais atvejais, kai Komisija vertina poreikį galimai atnaujinti svarbių ar ypatingos svarbos produktų su skaitmeniniais elementais kategorijų sąrašus, kai turėtų būti konsultuojamasi su atitinkamais gamintojais ir atsižvelgiama į jų nuomonę, siekiant išanalizuoti kibernetinio saugumo riziką, taip pat tokių produktų kategorijų priskyrimo svarbių ar ypatingos svarbos produktų kategorijai sąnaudų ir naudos pusiausvyrą;

(50)

šiuo reglamentu tikslingai siekiama spręsti kibernetinio saugumo riziką. Tačiau produktai su skaitmeniniais elementais gali kelti ir kitą saugumo riziką, kuri gali būti ne visada susijusi su kibernetiniu saugumu, bet gali atsirasti dėl saugumo pažeidimų. Ta rizika turėtų ir toliau būti reglamentuojama atitinkamais kitais nei šis reglamentas Sąjungos derinamaisiais teisės aktais. Jei netaikomi jokie kiti Sąjungos derinamieji teisės aktai, išskyrus šį reglamentą, turėtų būti taikomas Europos Parlamento ir Tarybos reglamentas (ES) 2023/988 (21). Todėl, atsižvelgiant į tikslinį šio reglamento pobūdį, nukrypstant nuo Reglamento (ES) 2023/988 2 straipsnio 1 dalies trečios pastraipos b punkto, Reglamento (ES) 2023/988 III skyriaus 1 skirsnis, V ir VII skyriai ir IX–XI skyriai turėtų būti taikomi produktams su skaitmeniniais elementais, atsižvelgiant į saugumo riziką, kurios šis reglamentas neapima, jei tiems produktams netaikomi konkretūs reikalavimai, nustatyti kituose nei šis reglamentas Sąjungos derinamuosiuose teisės aktuose, kaip tai suprantama Reglamento (ES) 2023/988 3 straipsnio 27 punkte;

(51)

produktai su skaitmeniniais elementais, pagal Europos Parlamento ir Tarybos reglamento (ES) 2024/1689 (22) 6 straipsnį priskirti didelės rizikos DI sistemoms, kurios patenka į šio reglamento taikymo sritį, turėtų atitikti šiame reglamente nustatytus esminius kibernetinio saugumo reikalavimus. Kai tos didelės rizikos DI sistemos atitinka šiame reglamente nustatytus esminius kibernetinio saugumo reikalavimus, jos turėtų būti laikomos atitinkančiomis Reglamento (ES) 2024/1689 15 straipsnyje nustatytus kibernetinio saugumo reikalavimus tiek, kiek tuos reikalavimus apima pagal šį reglamentą rengiama ES atitikties deklaracija arba jos dalys. Tuo tikslu kibernetinio saugumo rizikų, susijusių su produktu su skaitmeniniais elementais, kuris pagal Reglamentą (ES) 2024/1689 priskiriamas didelės rizikos DI sistemos kategorijai, vertinime, į kurį turi būti atsižvelgiama tokio produkto planavimo, projektavimo, kūrimo, gamybos, pateikimo ir techninės priežiūros etapais, kaip reikalaujama pagal šį reglamentą, turėtų būti atsižvelgiama į riziką DI sistemos kibernetiniam atsparumui, susijusią su leidimo neturinčių trečiųjų šalių bandymais pakeisti jos naudojimą, elgseną ar veikimą, įskaitant konkrečius su DI susijusius pažeidžiamumus, pavyzdžiui, duomenų užkrėtimą arba priešiškas atakas, taip pat, kai taikytina, riziką pagrindinėms teisėms, pagal Reglamentą (ES) 2024/1689. Kalbant apie atitikties vertinimo procedūras, susijusias su esminiais kibernetinio saugumo reikalavimais produktui su skaitmeniniais elementais, kuris patenka į šio reglamento taikymo sritį ir kuris priskiriamas prie didelės rizikos DI sistemų, kaip taisyklė, turėtų būti taikomas Reglamento (ES) 2024/1689 43 straipsnis vietoje atitinkamų šio reglamento nuostatų. Tačiau dėl tos taisyklės neturėtų sumažėti būtinas svarbių ar ypatingos svarbos produktų su skaitmeniniais elementais, kaip nurodyta šiame reglamente, užtikrinimo lygis. Todėl, nukrypstant nuo tos taisyklės, didelės rizikos DI sistemoms, kurios patenka į Reglamento (ES) 2024/1689 taikymo sritį ir kurios laikomos svarbiais ar ypatingos svarbos produktais su skaitmeniniais elementais, kaip nurodyta šiame reglamente, ir kurioms taikoma Reglamento (ES) 2024/1689 VI priede nurodyta vidaus kontrole pagrįsto atitikties vertinimo procedūra, turėtų būti taikomas šiame reglamente numatytas atitikties vertinimas tiek, kiek tai susiję su šiame reglamente nustatytais esminiais kibernetinio saugumo reikalavimais. Tokiu atveju visais kitais aspektais, kuriuos apima Reglamentas (ES) 2024/1689, turėtų būti taikomos atitinkamos to reglamento VI priede nustatytos vidaus kontrole pagrįsto atitikties vertinimo nuostatos;

(52)

siekiant pagerinti vidaus rinkai pateikiamų produktų su skaitmeniniais elementais saugumą, būtina nustatyti tokiems produktams taikomus esminius kibernetinio saugumo reikalavimus. Tie esminiai kibernetinio saugumo reikalavimai neturėtų daryti poveikio Sąjungos lygmeniu koordinuotiems ypatingos svarbos tiekimo grandinių saugumo rizikos vertinimams, nustatytiems Direktyvos (ES) 2022/2555 22 straipsnyje, per kuriuos atsižvelgiama tiek į techninius ir, jei svarbu, tiek į netechninius rizikos veiksnius, kaip antai nederama trečiosios šalies įtaka tiekėjams. Be to, jais neturėtų būti daromas poveikis valstybių narių prerogatyvoms nustatyti papildomus reikalavimus, kuriais būtų atsižvelgiama į netechninius veiksnius, siekiant užtikrinti aukštą atsparumo lygį, įskaitant apibrėžtus Komisijos rekomendacijoje (ES) 2019/534 (23), ES koordinuojamame 5G tinklų kibernetinio saugumo rizikos vertinime ir ES priemonių rinkinyje dėl 5G kibernetinio saugumo, dėl kurio susitarė pagal Direktyvos (ES) 2022/2555 14 straipsnį įsteigta Bendradarbiavimo grupė;

(53)

produktų, kuriems taikomas Europos Parlamento ir Tarybos reglamentas (ES) 2023/1230 (24) ir kurie taip pat yra produktai su skaitmeniniais elementais, kaip tai apibrėžta šiame reglamente, gamintojai turėtų laikytis ir šiame reglamente nustatytų esminių kibernetinio saugumo reikalavimų, ir Reglamente (ES) 2023/1230 nustatytų esminių sveikatos ir saugos reikalavimų. Šiame reglamente nustatytais esminiais kibernetinio saugumo reikalavimais ir tam tikrais esminiais Reglamente (ES) 2023/1230 nustatytais reikalavimais gali būti mažinama panaši kibernetinio saugumo rizika. Todėl laikantis šiame reglamente nustatytų esminių kibernetinio saugumo reikalavimų galėtų būti lengviau laikytis Reglamente (ES) 2023/1230 nustatytų esminių reikalavimų, kurie taip pat apima tam tikrą kibernetinio saugumo riziką, visų pirma to reglamento III priedo 1.1.9 ir 1.2.1 skirsniuose nustatytų reikalavimų, susijusių su apsauga nuo sugadinimo ir valdymo sistemų sauga ir patikimumu. Tokią sinergiją turi įrodyti gamintojas, pavyzdžiui, taikydamas darniuosius standartus ar kitas technines specifikacijas, kai jų yra, apimančius atitinkamus esminius kibernetinio saugumo reikalavimus, atlikus rizikos vertinimą, apimantį tą kibernetinio saugumo riziką. Gamintojas taip pat turėtų laikytis šiame reglamente ir Reglamente (ES) 2023/1230 nustatytų taikytinų atitikties vertinimo procedūrų. Komisija ir Europos standartizacijos organizacijos, atlikdamos parengiamąjį darbą, kuriuo remiamas šio reglamento ir Reglamento (ES) 2023/1230 įgyvendinimas ir susiję standartizacijos procesai, turėtų skatinti nuoseklumą vertinant kibernetinio saugumo riziką ir nustatant, kaip tai rizikai turi būti taikomi darnieji standartai, atsižvelgiant į atitinkamus esminius reikalavimus. Visų pirma, Komisija ir Europos standartizacijos organizacijos, rengdamos ir plėtodamos darniuosius standartus, turėtų atsižvelgti į šį reglamentą, kad būtų lengviau įgyvendinti Reglamentą (ES) 2023/1230, visų pirma kiek tai susiję su to reglamento III priedo 1.1.9 ir 1.2.1 skirsniuose nustatytais kibernetinio saugumo aspektais, susijusiais su apsauga nuo sugadinimo ir valdymo sistemų sauga ir patikimumu. Komisija turėtų pateikti gaires, kad padėtų gamintojams, kuriems taikomas šis reglamentas ir taip pat Reglamentas (ES) 2023/1230, visų pirma siekiant sudaryti palankesnes sąlygas įrodyti atitiktį atitinkamiems esminiams reikalavimams, nustatytiems šiame reglamente ir Reglamente (ES) 2023/1230;

(54)

siekiant užtikrinti, kad produktai su skaitmeniniais elementais būtų saugūs tiek jų pateikimo rinkai metu, tiek per laikotarpį, kurį numatoma naudoti produktą su skaitmeniniais elementais, būtina nustatyti esminius kibernetinio saugumo reikalavimus, susijusius su pažeidžiamumų valdymu, ir esminius kibernetinio saugumo reikalavimus, susijusius su produktų su skaitmeniniais elementais savybėmis. Nors gamintojai turėtų laikytis visų esminių kibernetinio saugumo reikalavimų, susijusių su pažeidžiamumų valdymu, per visą palaikymo laikotarpį, jie turėtų nustatyti, kurie kiti su produkto savybėmis susiję esminiai kibernetinio saugumo reikalavimai yra svarbūs produkto su atitinkamais skaitmeniniais elementais tipui. Tuo tikslu gamintojai turėtų atlikti kibernetinio saugumo rizikos, susijusios su produktu su skaitmeniniais elementais, vertinimą, kad nustatytų atitinkamą riziką ir atitinkamus esminius kibernetinio saugumo reikalavimus, kad jų produktai su skaitmeniniais elementais būtų tiekiami be žinomų išnaudojamų pažeidžiamumų, kurie galėtų turėti įtakos tų gaminių saugumui, ir būtų deramai taikomi tinkami darnieji standartai, bendrosios specifikacijos arba Europos ar tarptautiniai standartai;

(55)

jei produktui su skaitmeniniais elementais netaikomi tam tikri esminiai kibernetinio saugumo reikalavimai, gamintojas į kibernetinio saugumo rizikos vertinimą, įtrauktą į techninius dokumentus, turėtų įtraukti aiškų pagrindimą. Taip galėtų būti tuo atveju, kai esminis kibernetinio saugumo reikalavimas yra nesuderinamas su produkto su skaitmeniniais elementais pobūdžiu. Pavyzdžiui, dėl produkto su skaitmeniniais elementais numatytosios paskirties gali būti, kad gamintojui reikia laikytis plačiai pripažintų sąveikumo standartų, net jei jo saugumo savybės nebelaikomos pažangiausiomis. Panašiai kitais Sąjungos teisės aktais reikalaujama, kad gamintojai taikytų konkrečius sąveikumo reikalavimus. Jei esminis kibernetinio saugumo reikalavimas produktui su skaitmeniniais elementais netaikomas, tačiau gamintojas nustatė su tuo esminiu kibernetinio saugumo reikalavimu susijusią kibernetinio saugumo riziką, jis turėtų imtis priemonių tai rizikai sumažinti kitomis priemonėmis, pavyzdžiui, apribojant gaminio numatytąją paskirtį, kad jis būtų naudojamas tik patikimoje aplinkoje, arba informuodamas naudotojus apie tą riziką;

(56)

viena iš svarbiausių priemonių, kurių naudotojai turi imtis, kad nuo kibernetinių išpuolių apsaugotų savo produktus su skaitmeniniais elementais, yra kuo greičiau įdiegti naujausius turimus saugumo naujinius. Todėl gamintojai turėtų projektuoti savo gaminius ir įdiegti procesus taip, kad būtų užtikrinta, jog produktai su skaitmeniniais elementais turėtų funkcijas, leidžiančias automatiškai pranešti apie saugumo naujinius, juos platinti, atsisiųsti ir įdiegti, visų pirma, vartojimo gaminių atveju. Jie taip pat turėtų suteikti galimybę patvirtinti saugumo naujinių atsisiuntimą ir įdiegimą kaip galutinį etapą. Naudotojai turėtų išlaikyti galimybę išjungti automatinius naujinius naudojant aiškų ir lengvai naudojamą mechanizmą, kurį papildo aiškios instrukcijos, kaip naudotojai gali atsisakyti automatinių naujinių. Šio reglamento priede nustatyti reikalavimai, susiję su automatiniais naujiniais, netaikomi produktams su skaitmeniniais elementais, kurie visų pirma yra skirti būti integruotais į kitus gaminius kaip komponentai. Jie taip pat netaikomi produktams su skaitmeniniais elementais, kurių naudotojai pagrįstai nesitiki automatinių atnaujinimų, įskaitant produktus su skaitmeniniais elementais, skirtus naudoti profesionaliuose IRT tinkluose, ypač ypatingos svarbos ir pramoninėje aplinkose, kuriose automatinis atnaujinimas galėtų trukdyti veiklai. Nepriklausomai nuo to, ar produktas su skaitmeniniais elementais sukurtas taip, kad gautų automatinius naujinius, ar ne, jo gamintojas turėtų informuoti naudotojus apie pažeidžiamumą ir nedelsdamas pateikti saugumo naujinius. Jei produktas su skaitmeniniais elementais turi naudotojo sąsają arba panašias technines priemones, leidžiančias tiesioginę sąveiką su jo naudotojais, gamintojas turėtų naudotis tokiomis funkcijomis, kad informuotų naudotojus, kai baigiasi jų produkto su skaitmeniniais elementais palaikymo laikotarpis. Pranešimai turėtų apsiriboti tik tuo, kas būtina siekiant užtikrinti veiksmingą šios informacijos gavimą, ir neturėtų daryti neigiamo poveikio naudotojų patirčiai, susijusiai su produktu su skaitmeniniais elementais;

(57)

siekiant padidinti pažeidžiamumo tvarkymo procesų skaidrumą ir užtikrinti, kad nebūtų reikalaujama, jog naudotojai diegtų naujus funkcijų naujinius vien tam, kad gautų naujausius saugumo naujinius, gamintojai turėtų užtikrinti, kai tai techniškai įmanoma, kad nauji saugumo naujiniai būtų teikiami atskirai nuo funkcijų naujinių;

(58)

2023 m. birželio 20 d. Komisijos ir Sąjungos vyriausiojo įgaliotinio užsienio reikalams ir saugumo politikai bendrame komunikate „Europos ekonominio saugumo strategija“ nurodyta, kad Sąjunga turi kuo labiau padidinti savo ekonominio atvirumo naudą ir kartu kuo labiau sumažinti riziką, dėl ekonominės priklausomybės kylančią didelės rizikos pardavėjams, taikydama bendrą strateginę ekonominio saugumo sistemą. Priklausomybė nuo didelės rizikos produktų su skaitmeniniais elementais tiekėjų gali kelti strateginę riziką, kuri turi sprendžiama Sąjungos lygmeniu, ypač jei produktai su skaitmeniniais elementais yra skirti Direktyvos (ES) 2022/2555 3 straipsnio 1 dalyje nurodytų esminių subjektų naudojimui. Tokia rizika, be kita ko, gali būti susijusi su gamintojui taikoma jurisdikcija, jo įmonės nuosavybės ypatybėmis ir kontrolės sąsajomis su trečiosios valstybės, kurioje jis yra įsisteigęs, Vyriausybe, visų pirma tais atvejais, kai trečioji valstybė vykdo pramoninį šnipinėjimą arba vykdo neatsakingą valstybinę veiklą kibernetinėje erdvėje ir jos teisės aktais leidžiama savavališkai susipažinti su bet kokia įmonės veikla ar duomenimis, įskaitant neskelbtinus komercinius duomenis, ir gali būti nustatytos pareigos žvalgybos tikslais be demokratinės stabdžių ir atsvarų sistemos, priežiūros mechanizmų, tinkamo proceso ar teisės pateikti skundą nepriklausomam teismui arba tribunolui. Nustatant kibernetinio saugumo rizikos, kaip tai suprantama šiame reglamente, dydį, Komisija ir rinkos priežiūros institucijos, vykdydamos šiame reglamente nustatytas savo pareigas, taip pat turėtų apsvarstyti netechninius rizikos veiksnius, visų pirma tuos, kurie buvo nustatyti pagal Direktyvos (ES) 2022/2555 22 straipsnį atlikus Sąjungos lygmens koordinuotus ypatingos svarbos tiekimo grandinių saugumo rizikos vertinimus;

(59)

siekiant užtikrinti produktų su skaitmeniniais elementais saugumą po jų pateikimo rinkai, gamintojai turėtų nustatyti palaikymo laikotarpį, kuris turėtų atspindėti numatomą produkto su skaitmeniniais elementais naudojimo laiką. Nustatydamas palaikymo laikotarpį, gamintojas turėtų visų pirma atsižvelgti į pagrįstus naudotojų lūkesčius, produkto pobūdį, taip pat į atitinkamus Sąjungos teisės aktus, pagal kuriuos nustatoma produktų su skaitmeniniais elementais naudojimo trukmė. Gamintojai taip pat turėtų turėti galimybę atsižvelgti į kitus svarbius veiksnius. Kriterijai turėtų būti taikomi taip, kad nustatant palaikymo laikotarpį būtų užtikrintas proporcingumas. Gamintojas, gavęs prašymą, turėtų pateikti rinkos priežiūros institucijoms informaciją, į kurią buvo atsižvelgta nustatant produkto su skaitmeniniais elementais palaikymo laikotarpį;

(60)

palaikymo laikotarpis, kuriuo gamintojas užtikrina veiksmingą pažeidžiamumų valdymą, turėtų būti ne trumpesnis kaip penkeri metai, išskyrus atvejus, kai produkto su skaitmeniniais elementais naudojimo trukmė yra trumpesnė nei penkeri metai – tokiu atveju gamintojas turėtų užtikrinti pažeidžiamumo valdymą per tą naudojimo trukmę. Tais atvejais, kai pagrįstai tikimasi, kad produktas su skaitmeniniais elementais bus naudojamas ilgiau nei penkerius metus, kaip dažnai būna aparatinės įrangos komponentų, pavyzdžiui, pagrindinių plokščių ar mikroprocesorių, tinklo prietaisų, pavyzdžiui, maršruto parinktuvų, modemų ar perjungiklių, taip pat programinės įrangos, pavyzdžiui, operacinių sistemų ar vaizdo redagavimo priemonių, atveju, gamintojai turėtų atitinkamai užtikrinti ilgesnius palaikymo laikotarpius. Visų pirma, produktai su skaitmeniniais elementais, skirti naudoti pramoninėje aplinkoje, pavyzdžiui, pramoninės kontrolės sistemos, dažnai naudojami daug ilgesnį laiką. Gamintojas turėtų galėti nustatyti trumpesnį nei penkerių metų palaikymo laikotarpį tik tuo atveju, jei tai pateisinama atitinkamo produkto su skaitmeniniais elementais pobūdžiu ir kai numatoma, kad tas produktas bus naudojamas trumpiau nei penkerius metus – tokiu atveju palaikymo laikotarpis turėtų atitikti numatomą naudojimo laikotarpį. Pavyzdžiui, sąlytį turėjusių asmenų atsekimo programėlės, skirtos naudoti pandemijos metu, naudojimo trukmė galėtų būti apribota tik pandemijos laikotarpiu. Be to, kai kurios taikomosios programos dėl savo pobūdžio gali būti prieinamos tik taikant prenumeratos modelį, visų pirma jeigu pasibaigus prenumeratos galiojimui taikomoji programa tampa neprieinama naudotojui ir todėl ji tampa nebenaudojama;

(61)

tais atvejais, kai produktų su skaitmeniniais elementais palaikymo laikotarpiai baigia galioti, siekiant užtikrinti, kad pažeidžiamumus būtų galima pašalinti ir pasibaigus palaikymo laikotarpiui, gamintojai turėtų apsvarstyti galimybę tokių produktų su skaitmeniniais elementais pirminį kodą perduoti kitoms įmonėms, kurios įsipareigoja teikti pažeidžiamumo valdymo paslaugas, arba visuomenei. Kai gamintojai pirminį kodą perduoda kitoms įmonėms, jie turėtų turėti galimybę apsaugoti produkto su skaitmeniniais elementais nuosavybę ir užkirsti kelią pirminio kodo sklaidai visuomenei, pavyzdžiui, sudarydami sutartimi įformintus susitarimus;

(62)

siekiant užtikrinti, kad gamintojai visoje Sąjungoje nustatytų panašius palaikymo laikotarpius panašiems produktams su skaitmeniniais elementais, administracinio bendradarbiavimo grupė turėtų skelbti statistinius duomenis apie vidutinius palaikymo laikotarpius, kuriuos gamintojai nustatė tam tikrų kategorijų produktams su skaitmeniniais elementais, ir paskelbti gaires, kuriose būtų nurodyti tinkami tokių kategorijų produktų palaikymo laikotarpiai. Be to, siekiant užtikrinti suderintą požiūrį visoje vidaus rinkoje, Komisija turėtų turėti galimybę priimti deleguotuosius aktus, kuriais būtų nustatyti minimalūs konkrečių kategorijų gaminių palaikymo laikotarpiai, kai iš rinkos priežiūros institucijų pateiktų duomenų matyti, kad gamintojų nustatyti palaikymo laikotarpiai sistemingai neatitinka palaikymo laikotarpių nustatymo kriterijų, nustatytų šiame reglamente, arba kad gamintojai skirtingose valstybėse narėse nepagrįstai nustato skirtingus palaikymo laikotarpius;

(63)

gamintojai turėtų įsteigti vieną bendrą kontaktinį punktą, kuris leistų naudotojams lengvai su jais komunikuoti, be kita ko, siekiant teikti ir gauti informaciją apie produkto su skaitmeniniu elementu pažeidžiamumą. Jie turėtų užtikrinti, kad vienas bendras kontaktinis punktas būtų lengvai prieinamas naudotojams, ir aiškiai nurodyti jo prieinamumą, ir kad ši informacija būtų nuolat atnaujinama. Jei gamintojai nusprendžia siūlyti automatines priemones, pavyzdžiui, internetinių pokalbių laukelius, jie taip pat turėtų pasiūlyti telefono numerį arba kitas skaitmenines kontaktines priemones, pavyzdžiui, e. pašto adresą arba kontaktinę formą. Vienas bendras kontaktinis punktas neturėtų būti grindžiamas vien automatinėmis priemonėmis;

(64)

gamintojai turėtų tiekti rinkai savo produktus su skaitmeniniais elementais su saugia numatytąja konfigūracija ir teikti saugumo naujinius naudotojams nemokamai. Gamintojai turėtų turėti galimybę nukrypti nuo esminių kibernetinio saugumo reikalavimų tik pagal užsakymą pagamintų produktų, kurie yra pritaikyti konkrečiam verslo klientui pagal konkrečią paskirtį, atvejais ir kai tiek gamintojas, tiek naudotojas aiškiai sutiko su kitokiomis sutarties sąlygomis;

(65)

gamintojai per bendrą pranešimų teikimo platformą turėtų tuo pačiu metu pranešti koordinatore paskirtai Reagavimo į kompiuterių saugumo incidentus tarnybai (toliau - CSIRT) ir ENISA apie aktyviai išnaudojamus pažeidžiamumus, esančius produktuose su skaitmeniniais elementais, taip pat apie didelius incidentus, darančius poveikį tų produktų saugumui. Pranešimai turėtų būti teikiami naudojant koordinatore paskirtos CSIRT elektroninio pranešimo galinį įrenginį ir turėtų būti tuo pačiu metu prieinami ENISA;

(66)

siekiant užtikrinti, kad koordinatorėmis paskirtos CSIRT ir ENISA turėtų tinkamą pažeidžiamumų apžvalgą ir gautų informaciją, būtiną Direktyvoje (ES) 2022/2555 nustatytoms jų užduotims atlikti, bendram tos direktyvos 3 straipsnyje nurodytų esminių ir svarbių subjektų kibernetinio saugumo lygiui padidinti ir veiksmingam rinkos priežiūros institucijų veikimui užtikrinti, gamintojai turėtų pranešti apie aktyviai išnaudojamus pažeidžiamumus. Kadangi dauguma produktų su skaitmeniniais elementais parduodami visoje vidaus rinkoje, bet koks išnaudojamas produkto su skaitmeniniais elementais pažeidžiamumas turėtų būti laikomas grėsme vidaus rinkos veikimui. ENISA, susitarusi su gamintoju, turėtų atskleisti ištaisytus pažeidžiamumus Europos pažeidžiamumų duomenų bazėje, sukurtoje pagal Direktyvos (ES) 2022/2555 12 straipsnio 2 dalį. Europos pažeidžiamumų duomenų bazė padės gamintojams aptikti žinomus išnaudojamus pažeidžiamumus, rastus jų produktuose, siekiant užtikrinti, kad rinkai būtų tiekiami saugūs produktai;

(67)

gamintojai taip pat turėtų pranešti koordinatore paskirtai CSIRT ir ENISA apie bet kokį didelį incidentą, darantį poveikį produkto su skaitmeniniais elementais saugumui. Siekdami užtikrinti, kad naudotojai galėtų greitai reaguoti į didelius incidentus, darančius poveikį jų produktų su skaitmeniniais elementais saugumui, gamintojai taip pat turėtų informuoti savo naudotojus apie tokius incidentus ir, jei taikytina, apie visas taisomąsias priemones, kurių naudotojai gali imtis incidento poveikiui sumažinti, pavyzdžiui, skelbdami atitinkamą informaciją savo interneto svetainėje arba, jei gamintojas gali susisiekti su naudotojais ir jei tai pateisinama dėl kylančios kibernetinio saugumo rizikos, susisiekdami su naudotojais tiesiogiai;

(68)

aktyviai išnaudojami pažeidžiamumai kyla tais atvejais, kai gamintojas nustato, kad saugumo pažeidimą, darantį poveikį jo naudotojams ar bet kuriems kitiems fiziniams ar juridiniams asmenims, padarė piktavalis subjektas, pasinaudojęs vieno iš produktų su skaitmeniniais elementais, kuriuos gamintojas tiekė rinkai, silpnąja vieta. Tokių pažeidžiamumų pavyzdžiai galėtų būti produkto identifikavimo ir tapatumo nustatymo funkcijų trūkumai. Neturėtų būti privaloma pranešti apie nustatytus pažeidžiamumus be piktavalių ketinimų, susijusius su tikslais atlikti sąžiningus bandymus, tyrimą, taisymą ar atskleisti duomenis siekiant skatinti sistemos savininko ir jos naudotojų saugumą ar saugą. Kita vertus, dideli incidentai, darantys poveikį produkto su skaitmeniniais elementais saugumui, kyla tais atvejais, kai kibernetinio saugumo incidentas daro poveikį gamintojo kūrimo, gamybos ar techninės priežiūros procesams taip, kad dėl to galėtų padidėti kibernetinio saugumo rizika naudotojams ar kitiems asmenims. Pavyzdžiui, didelis incidentas galėtų būti situacija, kai užpuolikui pavyksta į sklaidos kanalą, kuriuo gamintojas naudotojams skelbia saugumo naujinius, įterpti piktavališką kodą;

(69)

siekiant užtikrinti, kad pranešimus būtų galima greitai išplatinti visoms susijusioms koordinatorėmis paskirtoms CSIRT ir sudaryti sąlygas gamintojams kiekvienu pranešimo proceso etapu pateikti vieną bendrą pranešimą, ENISA turėtų sukurti bendrą pranešimų teikimo platformą su nacionaliniais elektroninio pranešimo galiniais įrenginiais. Tos bendros pranešimų teikimo platformos kasdienę veiklą turėtų valdyti ir prižiūrėti ENISA. Koordinatorėmis paskirtos CSIRT turėtų informuoti savo atitinkamas rinkos priežiūros institucijas apie praneštus pažeidžiamumus ar incidentus. Bendra pranešimų teikimo platforma turėtų būti sukurta taip, kad būtų užtikrintas pranešimų konfidencialumas, visų pirma, kiek tai susiję su pažeidžiamumu, dėl kurio saugumo atnaujinimo dar nėra. Be to, ENISA turėtų nustatyti saugaus ir konfidencialaus informacijos tvarkymo procedūras. Remdamasi surinkta informacija ENISA turėtų kas dvejus metus parengti techninę ataskaitą apie besiformuojančias produktų su skaitmeniniais elementais kibernetinio saugumo rizikos tendencijas ir ją pateikti Bendradarbiavimo grupei, įsteigtai pagal Direktyvos (ES) 2022/2555 14 straipsnį;

(70)

išimtinėmis aplinkybėmis ir, visų pirma, gamintojo prašymu koordinatore paskirta CSIRT, kuri pirmoji gavo pranešimą, turėtų galėti nuspręsti atidėti jo platinimą kitoms susijusioms koordinatorėmis paskirtoms CSIRT per bendrą pranešimų teikimo platformą, kai tai galima pagrįsti su kibernetiniu saugumu susijusiomis priežastimis ir tokiu laikotarpiu, kuris yra tikrai būtinas. Koordinatore paskirta CSIRT turėtų nedelsdama informuoti ENISA apie sprendimą atidėti perdavimą ir nurodyti priežastis, taip pat informuoti apie tai, kada ji ketina toliau platinti pranešimą. Komisija, priimdama deleguotąjį aktą, turėtų parengti specifikacijas dėl sąlygų, kuriomis būtų galima taikyti su kibernetiniu saugumu susijusias priežastis, ir, rengdama deleguotojo akto projektą, turėtų bendradarbiauti su CSIRT tinklu, įsteigtu pagal Direktyvos (ES) 2022/2555 15 straipsnį, ir ENISA. Su kibernetiniu saugumu susijusių priežasčių pavyzdžiai apima nuolatinę koordinuoto pažeidžiamumo atskleidimo procedūrą arba situacijas, kai tikėtina, kad gamintojas netrukus turėtų pateikti rizikos mažinimo priemonę, o rizika kibernetiniam saugumui, susijusi su skubiu informacijos platinimu per bendrą pranešimų teikimo platformą, yra didesnė už jos naudą. Koordinatore paskirtos CSIRT prašymu ENISA turėtų galėti padėti tai CSIRT taikyti su kibernetiniu saugumu susijusias priežastis, susijusias su pranešimo platinimo atidėjimu remiantis iš tos CSIRT gauta informacija apie sprendimą atidėti pranešimą dėl tų su kibernetiniu saugumu susijusių priežasčių. Be to, ypač išimtinėmis aplinkybėmis ENISA neturėtų vienu metu gauti visos informacijos apie pranešimą apie aktyviai išnaudojamą pažeidžiamumą. Taip būtų daroma tuo atveju, kai gamintojas savo pranešime pažymi, kad piktavalis subjektas aktyviai naudojasi pažeidžiamumu, apie kurį pranešta, ir kad, remiantis turima informacija, juo buvo naudojamasi tik CSIRT, kuriai gamintojas pranešė apie pažeidžiamumą, valstybėje narėje, kai bet koks skubus tolesnis pažeidžiamumo, apie kurį pranešta, skleidimas greičiausiai lemtų informacijos, kurios atskleidimas prieštarautų tos valstybės narės esminiams interesams, teikimą arba kai pažeidžiamumas, apie kurį pranešta, kelia neišvengiamą didelę kibernetinio saugumo riziką dėl tolesnio pranešimo platinimo. Tokiais atvejais ENISA tuo pačiu metu galės susipažinti tik su informacija, kad gamintojas pateikė pranešimą, bendra informacija apie atitinkamą produktą su skaitmeniniais elementais, informacija apie bendrą pažeidžiamumo pobūdį ir informacija apie tai, kad gamintojas nurodė tas saugumo priežastis ir kad dėl to visas pranešimo turinys nepateikiamas. Išsamus pranešimas turėtų būti pateiktas ENISA ir kitoms susijusioms koordinatorėmis paskirtoms CSIRT, kai CSIRT, kuri pirmoji gavo pranešimą, nustato, kad tų saugumo priežasčių, susijusių su ypač išimtinėmis aplinkybėmis, nustatytomis šiame reglamente, nebėra. Tais atvejais, kai remdamasi turima informacija ENISA mano, kad esama sisteminės rizikos, darančios poveikį saugumui vidaus rinkoje, ENISA turėtų rekomenduoti pranešimą gavusiai CSIRT išplatinti visą pranešimo tekstą kitoms koordinatorėmis paskirtomis CSIRT ir pačiai ENISA;

(71)

kai gamintojai praneša apie aktyviai išnaudojamą pažeidžiamumą arba didelį incidentą, darantį poveikį produkto su skaitmeniniais elementais saugumui, jie turėtų nurodyti, kiek neskelbtina, jų nuomone, yra informacija, kurią jie pateikė. Koordinatore paskirta CSIRT, kuri pirmoji gavo pranešimą, turėtų atsižvelgti į šią informaciją vertindama, ar dėl pranešimo susiklosto išimtinės aplinkybės, pateisinančios pranešimo platinimo kitoms susijusioms koordinatorėmis paskirtoms CSIRT atidėjimą dėl pagrįstų su kibernetiniu saugumu susijusių priežasčių. Ji taip pat turėtų atsižvelgti į tą informaciją vertindama, ar dėl pranešimo apie aktyviai išnaudojamą pažeidžiamumą susidaro ypač išimtinės aplinkybės, pateisinančios tai, kad visas pranešimas ENISA nepateikiamas vienu metu. Galiausiai, koordinatorėmis paskirtos CSIRT turėtų galėti atsižvelgti į tą informaciją nustatydamos tinkamas priemones dėl tokio pažeidžiamumo ir incidentų kylančiai rizikai mažinti;

(72)

siekiant supaprastinti informacijos, kurios reikalaujama pagal šį reglamentą, teikimą, atsižvelgiant į kitus papildomus ataskaitų teikimo reikalavimus, nustatytus Sąjungos teisės aktuose, pavyzdžiui, Reglamente (ES) 2016/679, Europos Parlamento ir Tarybos reglamente (ES) 2022/2554 (25), Europos Parlamento ir Tarybos direktyvoje 2002/58/EB (26) ir Direktyvoje (ES) 2022/2555, taip pat sumažinti subjektams tenkančią administracinę naštą, valstybės narės raginamos apsvarstyti galimybę nacionaliniu lygmeniu įsteigti vienos bendros prieigos punktus tokių ataskaitų teikimo reikalavimams patenkinti. Tokių vienos bendros prieigos punktų naudojimas pranešimams apie saugumo incidentus teikti pagal Reglamentą (ES) 2016/679 ir Direktyvą 2002/58/EB neturėtų daryti poveikio Reglamento (ES) 2016/679 ir Direktyvos 2002/58/EB nuostatų, visų pirma susijusių su juose nurodytų institucijų nepriklausomumu, taikymui. Kurdama šiame reglamente nurodytą vieną bendrą pranešimų teikimo platformą, ENISA turėtų atsižvelgti į galimybę integruoti šiame reglamente nurodytus nacionalinius elektroninio pranešimo galinius įrenginius į nacionalinius vienos bendros prieigos punktus, kuriuose taip pat gali būti integruojami kiti pranešimai, kurių reikalaujama pagal Sąjungos teisę;

(73)

kurdama šiame reglamente nurodytą vieną bendrą ataskaitų teikimo platformą ir siekdama pasinaudoti ankstesne patirtimi, ENISA turėtų konsultuotis su kitomis Sąjungos institucijomis ar agentūromis, valdančiomis platformas ar duomenų bazes, kurioms taikomi griežti saugumo reikalavimai, pavyzdžiui, su Europos Sąjungos didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymo agentūra (eu-LISA). ENISA taip pat turėtų išnagrinėti galimą papildomumą su Europos pažeidžiamumų duomenų baze, sukurta pagal Direktyvos (ES) 2022/2555 12 straipsnio 2 dalį;

(74)

gamintojai bei kiti fiziniai ir juridiniai asmenys turėtų turėti galimybę koordinatore paskirtai CSIRT arba ENISA savanoriškai pranešti apie bet kokį produkto su skaitmeniniais elementais pažeidžiamumą, kibernetines grėsmes, kurios galėtų turėti įtakos produkto su skaitmeniniais elementais rizikos profiliui, visus incidentus, darančius poveikį produkto su skaitmeniniais elementais saugumui, taip pat apie vos neįvykusius incidentus, dėl kurių galėjo įvykti toks incidentas;

(75)

valstybės narės turėtų siekti kuo didesniu mastu reaguoti į iššūkius, su kuriais susiduria pažeidžiamumų tyrėjai, įskaitant jų galimą baudžiamosios atsakomybės riziką, laikantis nacionalinės teisės. Atsižvelgiant į tai, kad pažeidžiamumus tiriantiems fiziniams ir juridiniams asmenims kai kuriose valstybėse narėse gali kilti baudžiamosios ir civilinės atsakomybės rizika, valstybės narės raginamos priimti gaires dėl informacijos saugumo tyrėjų netraukimo baudžiamojon atsakomybėn ir atleidimo nuo civilinės atsakomybės už jų veiklą;

(76)

produktų su skaitmeniniais elementais gamintojai turėtų įdiegti koordinuoto pažeidžiamumų atskleidimo politiką, kad asmenys arba subjektai galėtų lengviau tiesiogiai gamintojams arba netiesiogiai pranešti apie pažeidžiamumus, o kai to prašoma anonimiškai – per pagal Direktyvos (ES) 2022/2555 12 straipsnio 1 dalį pažeidžiamumų atskleidimo tikslais koordinatorėmis paskirtas CSIRT. Gamintojų koordinuoto pažeidžiamumų atskleidimo politikoje turėtų būti nurodytas struktūruotas procesas, kuriuo gamintojui pranešama apie pažeidžiamumus taip, kad gamintojas galėtų nustatyti ir ištaisyti tokius pažeidžiamumus prieš atskleidžiant išsamią informaciją apie pažeidžiamumus trečiosioms šalims arba visuomenei. Be to, gamintojai taip pat turėtų apsvarstyti galimybę skelbti savo saugumo politiką kompiuterio skaitomu formatu. Atsižvelgiant į tai, kad informacija apie plačiai naudojamų produktų su skaitmeniniais elementais pažeidžiamumus, kuriuos galima išnaudoti, gali būti didelėmis kainomis parduodama juodojoje rinkoje, tokių produktų gamintojai, vykdydami koordinuoto pažeidžiamumų atskleidimo politiką, turėtų galėti naudoti programas, kuriomis skatinama pranešti apie pažeidžiamumus užtikrinant, kad asmenys arba subjektai už savo pastangas sulauktų pripažinimo ir kompensacijos. Tos programos – tai vadinamosios atlygio už surastus riktus programos;

(77)

kad būtų lengviau atlikti pažeidžiamumų analizę, gamintojai turėtų nustatyti ir dokumentuoti produktuose su skaitmeniniais elementais esančius komponentus, įskaitant parengdami PĮMŽ. PĮMŽ tiems, kurie gamina, perka ir valdo programinę įrangą, gali suteikti informacijos, kuri didina jų supratimą apie tiekimo grandinę, o tai turi daug privalumų – visų pirma tai padeda gamintojams ir naudotojams sekti žinomus naujus atskleistus pažeidžiamumus ir kibernetinio saugumo riziką. Gamintojams ypač svarbu užtikrinti, kad jų produktuose su skaitmeniniais elementais nebūtų pažeidžiamų komponentų, kuriuos sukuria trečiosios šalys. Gamintojai neturėtų būti įpareigoti viešai skelbti PĮMŽ;

(78)

pagal naujus sudėtingus verslo modelius, susijusius su pardavimu internetu, internetu veikianti įmonė gali teikti įvairias paslaugas. Priklausomai nuo teikiamų paslaugų, susijusių su konkrečiu produktu su skaitmeniniais elementais, pobūdžio, tas pats subjektas gali priklausyti skirtingoms verslo modelių ar ekonominės veiklos vykdytojų kategorijoms. Jei subjektas teikia tik internetines tarpininkavimo paslaugas konkrečiam produktui su skaitmeniniais elementais ir yra tik elektroninės prekyvietės, kaip apibrėžta Reglamento (ES) 2023/988 3 straipsnio 14 punkte, teikėjas, jis nėra priskiriamas vienai iš šiame reglamente apibrėžtų ekonominės veiklos vykdytojų rūšių. Jei tas pats subjektas yra elektroninės prekyvietės paslaugų teikėjas ir veikia kaip ekonominės veiklos vykdytojas, kaip apibrėžta šiame reglamente, parduodantis konkrečius produktus su skaitmeniniais elementais, jam turėtų būti taikomos pareigos, šiame reglamente nustatytos tos rūšies ekonominės veiklos vykdytojams. Pavyzdžiui, jei elektroninės prekyvietės paslaugos teikėjas taip pat platina produktą su skaitmeniniais elementais, tuomet to produkto pardavimo atžvilgiu jis būtų laikomas platintoju. Panašiai, jei aptariamas subjektas parduoda savo prekių ženklu pažymėtus produktus su skaitmeniniais elementais, jis būtų priskiriamas prie gamintojo ir todėl turėtų laikytis gamintojams taikomų reikalavimų. Be to, kai kurie subjektai gali būti priskiriami prie realizavimo paslaugų teikėjo, kaip apibrėžta Europos Parlamento ir Tarybos reglamento (ES) 2019/1020 (27) 3 straipsnio 11 punkte, jei jie siūlo tokias paslaugas. Tokius atvejus reikėtų vertinti atsižvelgiant į kiekvieną atvejį atskirai. Atsižvelgiant į svarbų elektroninių prekyviečių vaidmenį įgalinant elektroninę prekybą, turėtų būti stengiamasi, kad jos bendradarbiautų su valstybių narių rinkos priežiūros institucijomis, siekiant padėti užtikrinti, kad elektroninėse prekyvietėse įsigyti produktai su skaitmeniniais elementais atitiktų šiame reglamente nustatytus kibernetinio saugumo reikalavimus;

(79)

siekiant palengvinti atitikties šiame reglamente nustatytiems reikalavimams vertinimą, turėtų būti preziumuojama, kad produktai su skaitmeniniais elementais atitinka tuos reikalavimus, kai jie atitinka darniuosius standartus, kuriais šiame reglamente nustatyti esminiai kibernetinio saugumo reikalavimai paverčiami išsamiomis techninėmis specifikacijomis ir kurie priimami pagal Europos Parlamento ir Tarybos reglamentą (ES) Nr. 1025/2012 (28). Tame reglamente numatyta prieštaravimų darniesiems standartams procedūra, taikoma, jei tie standartai nevisiškai atitinka šiame reglamente nustatytus reikalavimus. Standartizacijos procesu turėtų būti užtikrintas subalansuotas interesų atstovavimas ir veiksmingas pilietinės visuomenės suinteresuotųjų subjektų, įskaitant vartotojų organizacijas, dalyvavimas. Taip pat turėtų būtu atsižvelgta į tarptautinius standartus, atitinkančius kibernetinio saugumo apsaugos lygį, kurio siekiama šiame reglamente nustatytais esminiais kibernetinio saugumo reikalavimais, siekiant sudaryti palankesnes sąlygas darniųjų standartų rengimui ir šio reglamento įgyvendinimui, taip pat sudaryti palankesnes sąlygas įmonėms, visų pirma labai mažoms įmonėms ir mažosioms bei vidutinėms įmonėms ir visame pasaulyje veikiančioms įmonėms, laikytis reikalavimų;

(80)

siekiant veiksmingai įgyvendinti šį reglamentą, ypač svarbu, kad šio reglamento taikymo pereinamuoju laikotarpiu būtų laiku parengti darnieji standartai ir kad jie būtų prieinami iki šio reglamento taikymo pradžios dienos. Tai visų pirma taikoma svarbiems produktams su skaitmeniniais elementais, priskiriamiems prie I klasės. Darniųjų standartų buvimas leis tokių produktų gamintojams atlikti atitikties vertinimus taikant vidaus kontrolės procedūrą, todėl gali padėti išvengti atitikties vertinimo įstaigų veiklos kliūčių ir vėlavimų;

(81)

Reglamentu (ES) 2019/881 sukuriama savanoriška IRT produktų, IRT procesų ir IRT paslaugų Europos kibernetinio saugumo sertifikavimo sistema. Europos kibernetinio saugumo sertifikavimo schemos suteikia naudotojams bendrą pasitikėjimo naudoti produktus su skaitmeniniais elementais, kurie patenka į šio reglamento taikymo sritį, sistemą. Todėl šiuo reglamentu turėtų būti sukuriama sinergija su Reglamentu (ES) 2019/881. Siekiant palengvinti atitikties šiame reglamente nustatytiems reikalavimams vertinimą, preziumuojama, kad produktai su skaitmeniniais elementais, kurie yra sertifikuoti arba kuriems išduotas atitikties pareiškimas pagal Europos kibernetinio saugumo schemą pagal Reglamentą (ES) 2019/881 ir kuriuos Komisija identifikavo įgyvendinimo akte, atitinka šiame reglamente nustatytus esminius kibernetinio saugumo reikalavimus tiek, kiek Europos kibernetinio saugumo sertifikatas arba atitikties pareiškimas, arba jų dalys apima tuos reikalavimus. Atsižvelgiant į šį reglamentą, turėtų būti įvertintas naujų Europos kibernetinio saugumo sertifikavimo schemų, skirtų produktams su skaitmeniniais elementais, poreikis, be kita ko, rengiant tęstinę Sąjungos darbo programą pagal Reglamentą (ES) 2019/881. Kai reikia naujos schemos, apimančios produktus su skaitmeniniais elementais, be kita ko, siekiant sudaryti palankesnes sąlygas laikytis šio reglamento, Komisija gali prašyti ENISA parengti potencialias schemas pagal Reglamento (ES) 2019/881 48 straipsnį. Tokiose būsimose Europos kibernetinio saugumo sertifikavimo schemose, apimančiose produktus su skaitmeniniais elementais, turėtų būti atsižvelgiama į šiame reglamente nustatytus esminius kibernetinio saugumo reikalavimus ir atitikties vertinimo procedūras ir palengvinamas šio reglamento reikalavimų laikymasis. Europos kibernetinio saugumo sertifikavimo schemų, kurios įsigalioja prieš įsigaliojant šiam reglamentui, atveju gali prireikti papildomų specifikacijų dėl išsamių aspektų, kaip gali būti taikoma atitikties prezumpcija. Komisijai turėtų būti suteikti įgaliojimai deleguotaisiais aktais nurodyti, kokiomis sąlygomis Europos kibernetinio saugumo sertifikavimo schemos gali būti naudojamos siekiant įrodyti atitiktį šiame reglamente nustatytiems esminiams kibernetinio saugumo reikalavimams. Be to, siekiant išvengti nepagrįstos administracinės naštos, gamintojai neturėtų būti įpareigoti atlikti trečiųjų šalių atitikties atitinkamiems reikalavimams vertinimo, kaip numatyta šiame reglamente, jei pagal tokias Europos kibernetinio saugumo sertifikavimo schemas yra išduotas bent „pakankamai aukšto“ saugumo užtikrinimo lygio Europos kibernetinio saugumo užtikrinimo sertifikatas;

(82)

įsigaliojus Įgyvendinimo reglamentui (ES) 2024/482, susijusiam su į šio reglamento taikymo sritį patenkančiais produktais, pavyzdžiui, aparatinės įrangos saugumo moduliais ir mikroprocesoriais, Komisija turėtų galėti deleguotuoju aktu nurodyti, kaip EUCC suteikia prezumpciją dėl atitikties šio reglamento priede ar jo dalyse nustatytiems esminiams kibernetinio saugumo reikalavimams. Be to, tokiame deleguotajame akte gali būti nurodyta, kaip pagal EUCC išduotas sertifikatas panaikina gamintojų pareigą atlikti trečiųjų šalių vykdomą atitinkamų reikalavimų atitikties vertinimą, kaip to reikalaujama pagal šį reglamentą;

(83)

dabartinė Europos standartizacijos sistema, kuri yra grindžiama naujojo požiūrio principais, išdėstytais 1985 m. gegužės 7 d. Tarybos rezoliucijoje dėl naujojo požiūrio į techninį derinimą ir standartus ir Reglamentu (ES) Nr. 1025/2012, yra numatytoji standartų, kuriuose numatoma atitikties atitinkamiems šiame reglamente nustatytiems esminiams kibernetinio saugumo reikalavimams prezumpcija, rengimo sistema. Europos standartai turėtų būti orientuoti į rinką, jais turėtų būti atsižvelgiama į viešąjį interesą ir į politikos tikslus, aiškiai nurodytus Komisijos prašyme vienai ar daugiau Europos standartizacijos organizacijų per nustatytą terminą parengti darniųjų standartų projektus, ir jie turi būti grindžiami bendru sutarimu. Tačiau jei nėra atitinkamų nuorodų į darniuosius standartus, Komisija turėtų galėti priimti įgyvendinimo aktus, kuriais nustatomos šiame reglamente nustatytų esminių kibernetinio saugumo reikalavimų bendrosios specifikacijos, su sąlyga, kad tai darydama ji deramai paisytų Europos standartizacijos organizacijų vaidmens ir funkcijų ir kad tai būtų išimtiniu atveju taikomas atsarginis sprendimas, sudarantis palankesnes sąlygas gamintojui įvykdyti pareigą laikytis tų esminių kibernetinio saugumo reikalavimų tuo atveju, kai standartizacijos procesas sustoja arba kai vėluojama parengti tinkamus darniuosius standartus. Jei toks vėlavimas atsiranda dėl aptariamo standarto techninio sudėtingumo, Komisija, prieš svarstydama, ar reikia nustatyti bendrąsias specifikacijas, turėtų į tai atsižvelgti;

(84)

siekiant kuo veiksmingiau nustatyti bendrąsias specifikacijas, kurios apimtų šiame reglamente nustatytus esminius kibernetinio saugumo reikalavimus, Komisija turėtų į šį procesą įtraukti atitinkamus suinteresuotuosius subjektus;

(85)

kiek tai susiję su nuorodos į darniuosius standartus paskelbimu Europos Sąjungos oficialiajame leidinyje pagal Reglamentą (ES) Nr. 1025/2012, pagrįstas laikotarpis reiškia laikotarpį, per kurį tikimasi Europos Sąjungos oficialiajame leidinyje paskelbti nuorodą į standartą, klaidų ištaisymą ar pakeitimą ir kuris neturėtų būti ilgesnis nei vieneri metai nuo Europos standarto parengimo termino, nustatyto pagal Reglamentą (ES) Nr. 1025/2012;

(86)

siekiant palengvinti atitikties šiame reglamente nustatytiems esminiams kibernetinio saugumo reikalavimams vertinimą, turėtų būti preziumuojama, kad produktai su skaitmeniniais elementais atitinka tuos reikalavimus, jei jie atitinka Komisijos pagal šį reglamentą priimtas bendrąsias specifikacijas, kad išreikštų išsamias tų reikalavimų technines specifikacijas;

(87)

taikant darniuosius standartus, bendrąsias specifikacijas arba Europos kibernetinio saugumo sertifikavimo schemas, priimtas pagal Reglamentą (ES) 2019/881, preziumuojant, kad laikomasi produktams su skaitmeniniais elementais taikomų esminių kibernetinio saugumo reikalavimų, gamintojams bus lengviau atlikti atitikties vertinimą. Jei gamintojas nusprendžia netaikyti tokių priemonių dėl tam tikrų reikalavimų, jis savo techniniuose dokumentuose turi nurodyti, kaip atitiktis užtikrinama kitais būdais. Be to, taikant darniuosius standartus, bendrąsias specifikacijas arba Europos kibernetinio saugumo sertifikavimo schemas, priimtas pagal Reglamentą (ES) 2019/881, preziumuojant, kad gamintojai laikosi reikalavimų, rinkos priežiūros institucijoms būtų lengviau tikrinti produktų su skaitmeniniais elementais atitiktį. Todėl produktų su skaitmeniniais elementais gamintojai skatinami taikyti tokius darniuosius standartus, bendrąsias specifikacijas arba Europos kibernetinio saugumo sertifikavimo schemas;

(88)

gamintojai turėtų parengti ES atitikties deklaraciją, kad pateiktų pagal šį reglamentą reikalaujamą informaciją apie produktų su skaitmeniniais elementais atitiktį šiame reglamente nustatytiems esminiams kibernetinio saugumo reikalavimams ir, jei taikytina, kitiems susijusiems Sąjungos derinamiesiems teisės aktams, reglamentuojantiems produktą su skaitmeniniais elementais. Iš gamintojų taip pat gali būti reikalaujama parengti ES atitikties deklaraciją pagal kitus Sąjungos teisės aktus. Siekiant užtikrinti efektyvią prieigą prie informacijos rinkos priežiūros tikslais, turėtų būti parengta viena ES atitikties deklaracija dėl atitikties visiems susijusiems Sąjungos teisės aktams. Siekiant sumažinti administracinę naštą ekonominės veiklos vykdytojams, turėtų būti įmanoma, kad ta viena ES atitikties deklaracija būtų byla, sudaryta iš atitinkamų atskirų atitikties deklaracijų;

(89)

CE ženklas, kuriuo rodoma produkto atitiktis, yra matomas viso proceso, apimančio atitikties vertinimą plačiąja prasme, rezultatas. Bendrieji ženklinimo CE ženklu principai nustatyti Europos Parlamento ir Tarybos reglamente (EB) Nr. 765/2008 (29). Šiame reglamente turėtų būti nustatytos produktų su skaitmeniniais elementais ženklinimo CE ženklu taisyklės. CE ženklas turėtų būti vienintelis ženklinimas kuriuo užtikrinama produktų su skaitmeniniais elementais atitiktis šiame reglamente nustatytiems reikalavimams;

(90)

siekiant sudaryti sąlygas ekonominės veiklos vykdytojams įrodyti atitiktį šiame reglamente nustatytiems esminiams kibernetinio saugumo reikalavimams, o rinkos priežiūros institucijoms – užtikrinti, kad rinkai patiekti produktai su skaitmeniniais elementais atitiktų tuos reikalavimus, būtina nustatyti atitikties vertinimo procedūras. Europos Parlamento ir Tarybos sprendime Nr. 768/2008/EB (30) nustatomi atitikties vertinimo procedūrų moduliai, atitinkantys susijusios rizikos lygį ir reikalaujamą saugumo lygį. Siekiant užtikrinti nuoseklumą tarp skirtingų sektorių ir išvengti ad hoc variantų, tais moduliais turėtų būti grindžiamos atitikties vertinimo procedūros, tinkamos tikrinti produktų su skaitmeniniais elementais atitiktį šiame reglamente nustatytiems esminiams kibernetinio saugumo reikalavimams. Atliekant atitikties vertinimo procedūras turėtų būti nagrinėjami ir tikrinami tiek su produktu, tiek su procesu susiję reikalavimai, apimantys visą produktų su skaitmeniniais elementais gyvavimo ciklą, įskaitant produkto su skaitmeniniais elementais planavimą, projektavimą, kūrimą ar gamybą, bandymus ir techninę priežiūrą;

(91)

produktų su skaitmeniniais elementais, kurie šiame reglamente nėra išvardyti kaip svarbūs arba ypatingos svarbos produktai su skaitmeniniais elementais, atitikties vertinimą savo atsakomybe gali atlikti gamintojas, taikydamas vidaus kontrolės procedūrą, pagrįstą Sprendimo Nr. 768/2008/EB A moduliu, laikantis šio reglamento. Tai taip pat taikoma tais atvejais, kai gamintojas pasirenka visiškai arba iš dalies netaikyti taikomo darniojo standarto, bendrosios specifikacijos arba Europos kibernetinio saugumo sertifikavimo schemos. Gamintojas gali lanksčiai pasirinkti griežtesnę atitikties vertinimo procedūrą, kurioje dalyvautų trečioji šalis. Pagal vidaus kontrolės atitikties vertinimo procedūrą gamintojas, prisiimdamas visą atsakomybę, užtikrina ir patvirtina, kad produktas su skaitmeniniais elementais ir gamintojo procesai atitinka taikytinus šiame reglamente nustatytus esminius kibernetinio saugumo reikalavimus. Jei svarbus produktas su skaitmeniniais elementais priskiriamas prie I klasės, reikia papildomo užtikrinimo, kad būtų įrodyta atitiktis šiame reglamente nustatytiems esminiams kibernetinio saugumo reikalavimams. Gamintojas turėtų taikyti Komisijos įgyvendinimo akte nurodytus darniuosius standartus, bendrąsias specifikacijas ar Europos kibernetinio saugumo sertifikavimo schemas, priimtas pagal Reglamentą (ES) 2019/881, jei jis nori atlikti atitikties vertinimą savo atsakomybe (A modulis). Jei gamintojas netaiko tokių darniųjų standartų, bendrųjų specifikacijų ar Europos kibernetinio saugumo sertifikavimo schemų, jis turėtų atlikti atitikties vertinimą, kuriame dalyvautų trečioji šalis (paremtą B ir C moduliais arba H moduliu). Atsižvelgiant į gamintojams tenkančią administracinę naštą ir į tai, kad materialių ir nematerialių produktų su skaitmeniniais elementais projektavimo ir kūrimo etape svarbus vaidmuo tenka kibernetiniam saugumui, pasirinktos atitikties vertinimo procedūros, pagrįstos Sprendimo Nr. 768/2008/EB B ir C moduliais arba H moduliu, kaip tinkamiausios siekiant proporcingai ir veiksmingai įvertinti svarbių produktų su skaitmeniniais elementais atitiktį. Trečiųjų šalių atitikties vertinimą atliekantis gamintojas gali pasirinkti geriausiai jo projektavimo ir gamybos procesui tinkančią procedūrą. Atsižvelgiant į dar didesnę kibernetinio saugumo riziką, susijusią su svarbių produktų su skaitmeniniais elementais, priskiriamų prie II klasės, naudojimu, atitikties vertinime visada turėtų dalyvauti trečioji šalis, net jei produktas visiškai arba iš dalies atitinka darniuosius standartus, bendrąsias specifikacijas arba Europos kibernetinio saugumo sertifikavimo schemas. Svarbių produktų su skaitmeniniais elementais, kurie gali būti laikomi laisvąja ir atvirąja programine įranga, gamintojai turėtų turėti galimybę laikytis A moduliu grindžiamos vidaus kontrolės procedūros, su sąlyga, kad techniniai dokumentai būtų prieinami visuomenei;

(92)

kurdami materialius produktus su skaitmeniniais elementais gamintojai paprastai turi dėti dideles pastangas projektavimo, kūrimo ir gamybos etapuose, tačiau kuriant programinės įrangos tipo produktus su skaitmeniniais elementais orientuojamasi beveik vien į projektavimą ir kūrimą, o gamybos etapo vaidmuo yra nedidelis. Nepaisant to, daugeliu atvejų programinės įrangos produktai vis tiek turi būti sukompiliuojami, sukuriami, supakuojami, pateikiami atsisiųsti arba nukopijuojami į fizinę laikmeną prieš pateikiant juos rinkai. Ta veikla turėtų būti laikoma apimančia gamybą, kai taikomi atitinkami atitikties vertinimo moduliai siekiant patikrinti, ar produktas atitinka šiame reglamente nustatytus esminius kibernetinio saugumo reikalavimus projektavimo, kūrimo ir gamybos etapuose;

(93)

kalbant apie labai mažas įmones ir mažąsias įmones, siekiant užtikrinti proporcingumą, tikslinga sumažinti administracines išlaidas nedarant poveikio produktų su skaitmeniniais elementais, kurie patenka į šio reglamento taikymo sritį, kibernetinio saugumo apsaugos lygiui arba vienodoms gamintojų sąlygoms. Todėl tikslinga, kad Komisija nustatytų supaprastintą techninių dokumentų formą, skirtą labai mažų įmonių ir mažųjų įmonių poreikiams. Komisijos patvirtinta supaprastinta techninių dokumentų forma turėtų apimti visus taikytinus elementus, susijusius su šiame reglamente nustatytais techniniais dokumentais, ir joje turėtų būti nurodyta, kaip labai maža įmonė arba mažoji įmonė gali glaustai pateikti prašomus elementus, pavyzdžiui, produkto su skaitmeniniais elementais projektavimo, kūrimo ir gamybos aprašymą. Tokiu būdu forma padėtų sumažinti administracinę reikalavimų laikymosi naštą, nes atitinkamoms įmonėms būtų užtikrintas teisinis tikrumas dėl teiktinos informacijos apimties ir išsamumo. Labai mažos įmonės ir mažosios įmonės turėtų turėti galimybę pasirinkti su techniniais dokumentais susijusius taikytinus elementus pateikti išsamiai ir nesinaudoti joms prieinama supaprastinta technine forma;

(94)

siekiant skatinti ir apsaugoti inovacijas, svarbu, kad būtų ypač atsižvelgiama į gamintojų, kurie yra labai mažos įmonės, mažosios ar vidutinės įmonės, visų pirma labai mažų įmonių ir mažųjų įmonių, įskaitant startuolius, interesus. Tuo tikslu valstybės narės galėtų parengti iniciatyvas, skirtas gamintojams, kurie yra labai mažos įmonės arba mažosios įmonės, be kita ko, susijusias su mokymu, informuotumo didinimu, informacijos komunikacija, bandymais ir trečiųjų šalių atitikties vertinimo veikla, taip pat apribotos bandomosios aplinkos sukūrimu. Vertimo išlaidos, susijusios su privalomais dokumentais, pavyzdžiui, techniniais dokumentais, naudotojui skirta informacija ir nurodymais, kurių reikalaujama pagal šį reglamentą, ir komunikacija su institucijomis gali lemti dideles išlaidas gamintojams, visų pirma mažesniems gamintojams. Todėl valstybės narės turėtų turėti galimybę laikyti, kad viena iš jų nustatytų ir priimtinų kalbų, vartojamų atitinkamiems tiekėjams rengiant dokumentus ir bendraujant su veiklos vykdytojais, yra ta kalba, kuri yra plačiai suprantama kuo didesniam naudotojų ratui;

(95)

siekiant užtikrinti sklandų šio reglamento taikymą, valstybės narės iki šio reglamento taikymo pradžios dienos turėtų stengtis užtikrinti, kad būtų pakankamai notifikuotųjų įstaigų trečiųjų šalių atliekamiems atitikties vertinimams atlikti. Komisija turėtų stengtis padėti valstybėms narėms ir kitoms susijusioms šalims siekti šio tikslo, kad būtų išvengta trukdžių ir kliūčių gamintojams patekti į rinką. Valstybių narių vadovaujama tikslinė mokymo veikla, be kita ko, atitinkamais atvejais padedant Komisijai, gali padėti užtikrinti kvalifikuotų specialistų prieinamumą, be kita ko, remiant notifikuotųjų įstaigų veiklą pagal šį reglamentą. Be to, atsižvelgiant į išlaidas, kurių gali atsirasti dėl trečiosios šalies atitikties vertinimo, reikėtų apsvarstyti galimybę finansuoti Sąjungos ir nacionalinio lygmens iniciatyvas, kuriomis siekiama sumažinti tokias labai mažų įmonių ir mažųjų įmonių išlaidas;

(96)

siekiant užtikrinti proporcingumą, atitikties vertinimo įstaigos, nustatydamos mokesčius už atitikties vertinimo procedūras, turėtų atsižvelgti į konkrečius labai mažų įmonių ir mažųjų bei vidutinių įmonių, įskaitant startuolius, interesus ir poreikius. Visų pirma, atitikties vertinimo įstaigos turėtų taikyti atitinkamą šiame reglamente numatytą nagrinėjimo procedūrą ir bandymus taikyti tik tada, kai tai tinkama, ir laikantis rizika grindžiamo požiūrio;

(97)

apribotos bandomosios reglamentavimo aplinkos tikslai turėtų būti skatinti įmonių inovacijas ir konkurencingumą sukuriant kontroliuojamą bandymų aplinką prieš pateikiant rinkai produktus su skaitmeniniais elementais. Bandomoji reglamentavimo aplinka turėtų padėti didinti teisinį tikrumą visiems subjektams, kuriems taikomas šis reglamentas, ir palengvinti bei paspartinti produktų su skaitmeniniais elementais patekimą į Sąjungos rinką, visų pirma, kai juos teikia labai mažos įmonės ir mažosios įmonės, įskaitant startuolius;

(98)

siekiant atlikti produktų su skaitmeniniais elementais atitikties trečiųjų šalių vertinimą, nacionalinės notifikuojančiosios institucijos turėtų notifikuoti Komisijai ir kitoms valstybėms narėms atitikties vertinimo įstaigas, jei jos atitinka tam tikrus reikalavimus, visų pirma, dėl nepriklausomumo, kompetencijos ir interesų konfliktų nebuvimo;

(99)

siekiant užtikrinti vienodą kokybės lygį atliekant produktų su skaitmeniniais elementais atitikties vertinimą, reikia taip pat nustatyti reikalavimus notifikuojančiosioms institucijoms ir kitoms įstaigoms, dalyvaujančioms atliekant notifikuotųjų įstaigų vertinimą, notifikavimą ir stebėseną. Šiame reglamente nustatytą sistemą turėtų papildyti akreditavimo sistema, numatyta Reglamente (EB) Nr. 765/2008. Kadangi akreditacija yra labai svarbi atitikties vertinimo įstaigų kompetencijos vertinimo priemonė, reikėtų ją taikyti ir notifikavimo tikslais;

(100)

atitikties vertinimo įstaigos, kurios buvo akredituotos ir notifikuotos pagal Sąjungos teisės aktus, kuriais nustatomi reikalavimai, panašūs į nustatytuosius šiame reglamente, pavyzdžiui, atitikties vertinimo įstaiga, kuri yra notifikuota pagal Europos kibernetinio saugumo sertifikavimo schemą, priimtą pagal Reglamentą (ES) 2019/881 arba notifikuota pagal Deleguotąjį reglamentą (ES) 2022/30, turėtų būti iš naujo įvertintos ir notifikuotos pagal šį reglamentą. Tačiau, siekiant išvengti nereikalingos finansinės ir administracinės naštos ir užtikrinti sklandų ir savalaikį notifikavimo procesą, atitinkamos institucijos gali nustatyti sąveiką, susijusią su bet kokiais sutampančiais reikalavimais;

(101)

Reglamente (EB) Nr. 765/2008 numatytą skaidrią akreditaciją, kuria užtikrinamas būtinas pasitikėjimo atitikties sertifikatais lygis, nacionalinės valdžios institucijos visoje Sąjungoje turėtų laikyti pageidautinu atitikties vertinimo įstaigų techninės kompetencijos įrodymo būdu. Vis dėlto nacionalinės institucijos gali manyti turinčios tam vertinimui atlikti tinkamų priemonių. Tokiais atvejais, siekiant užtikrinti tinkamą kitų nacionalinių institucijų atliktų vertinimų patikimumo lygį, jos turėtų pateikti Komisijai ir kitoms valstybėms narėms reikiamus dokumentinius įrodymus, kad įvertintos atitikties vertinimo įstaigos atitinka atitinkamus reguliavimo reikalavimus;

(102)

atitikties vertinimo įstaigos dalį savo veiklos, susijusios su atitikties vertinimu, dažnai paveda atlikti subrangovams arba patronuojamai įmonei. Siekiant išsaugoti reikalaujamą rinkai pateiktinų produktų su skaitmeniniais elementais apsaugos lygį, labai svarbu, kad atitikties vertinimą atliekantys subrangovai ir patronuojamosios įmonės atitiktų notifikuotosioms įstaigoms keliamus atitikties vertinimo užduočių atlikimo reikalavimus;

(103)

notifikuojančioji institucija turėtų siųsti notifikavimo pranešimą Komisijai ir kitoms valstybėms narėms apie atitikties vertinimo įstaigą per informacinę sistemą „Naujojo požiūrio paskelbtos ir paskirtos organizacijos“ (NANDO). Informacinė sistema NANDO yra Komisijos sukurta ir valdoma elektroninių pranešimų priemonė, kurioje galima rasti visų notifikuotųjų įstaigų sąrašą;

(104)

notifikuotosios įstaigos gali teikti paslaugas visoje Sąjungoje, todėl tikslinga suteikti kitoms valstybėms narėms ir Komisijai galimybę pareikšti prieštaravimus dėl notifikuotosios įstaigos. Todėl svarbu nustatyti laikotarpį, per kurį būtų galima išsiaiškinti visas abejones ar klausimus dėl atitikties vertinimo įstaigų kompetencijos prieš šioms įstaigoms pradedant veikti kaip notifikuotosioms įstaigoms;

(105)

dėl konkurencingumo labai svarbu, kad notifikuotosios įstaigos atitikties vertinimo procedūras taikytų taip, kad ekonominės veiklos vykdytojams nebūtų užkrauta nereikalinga našta. Dėl tos pačios priežasties ir siekiant užtikrinti vienodas sąlygas ekonominės veiklos vykdytojams, reikia užtikrinti atitikties vertinimo procedūrų techninio taikymo nuoseklumą. Geriausias būdas tai pasiekti – notifikuotosioms įstaigoms tinkamai koordinuoti tarpusavio veiksmus ir bendradarbiauti;

(106)

rinkos priežiūra yra svarbi priemonė užtikrinant tinkamą ir vienodą Sąjungos teisės taikymą. Todėl tikslinga sukurti teisinę sistemą, pagal kurią rinkos priežiūra galėtų būti vykdoma tinkamu būdu. Produktams su skaitmeniniais elementais, kurie patenka į šio reglamento taikymo sritį, taikomos Sąjungos rinkos priežiūros ir Sąjungos rinkai tiekiamų produktų kontrolės taisyklės, nustatytos Reglamente (ES) 2019/1020;

(107)

pagal Reglamentą (ES) 2019/1020 rinkos priežiūros institucija vykdo rinkos priežiūrą ją paskyrusios valstybės narės teritorijoje. Šiuo reglamentu neturėtų būti draudžiama valstybėms narėms pasirinkti kompetentingų institucijų rinkos priežiūros užduotims vykdyti. Kiekviena valstybė narė savo teritorijoje turėtų paskirti vieną ar daugiau rinkos priežiūros institucijų. Valstybės narės turėtų galėti nuspręsti paskirti bet kurią esamą arba naują instituciją, kuri veiktų kaip rinkos priežiūros institucija, įskaitant kompetentingas institucijas, paskirtas arba įsteigtas pagal Direktyvos (ES) 2022/2555 8 straipsnį, nacionalines kibernetinio saugumo sertifikavimo institucijas, paskirtas pagal Reglamento (ES) 2019/881 58 straipsnį arba rinkos priežiūros institucijas, paskirtas Direktyvos 2014/53/ES tikslais. Ekonominės veiklos vykdytojai turėtų visapusiškai bendradarbiauti su rinkos priežiūros institucijomis ir kitomis kompetentingomis institucijomis. Kiekviena valstybė narė turėtų informuoti Komisiją ir kitas valstybes nares apie savo rinkos priežiūros institucijas ir kiekvienos iš tų institucijų kompetencijos sritis bei užtikrinti būtinus išteklius ir įgūdžius, kad būtų galima vykdyti su šiuo reglamentu susijusias rinkos priežiūros užduotis. Pagal Reglamento (ES) 2019/1020 10 straipsnio 2 ir 3 dalis kiekviena valstybė narė turėtų paskirti bendrą ryšių palaikymo tarnybą, kuri, inter alia, turėtų būti atsakinga už rinkos priežiūros institucijų koordinuotos pozicijos atstovavimą ir pagalbą rinkos priežiūros institucijų bendradarbiavimui įvairiose valstybėse narėse;

(108)

siekiant vienodai taikyti šį reglamentą, pagal Reglamento (ES) 2019/1020 30 straipsnio 2 dalį turėtų būti sudaryta speciali administracinio bendradarbiavimo grupė, atsakinga už produktų su skaitmeniniais elementais kibernetinį atsparumą. Administracinio bendradarbiavimo grupę turėtų sudaryti paskirtos rinkos priežiūros institucijos ir, jei taikytina, bendrų ryšių palaikymo tarnybų atstovai. Komisija turėtų remti ir skatinti rinkos priežiūros institucijų bendradarbiavimą per Sąjungos gaminių atitikties tinklą, sukurtą pagal Reglamento (ES) 2019/1020 29 straipsnį ir apimantį kiekvienos valstybės narės atstovus, įskaitant kiekvienos bendros ryšių palaikymo tarnybos, nurodytos to reglamento 10 straipsnyje, atstovą ir neprivalomą nacionalinį ekspertą, administracinio bendradarbiavimo grupių pirmininkus ir Komisijos atstovus. Komisija turėtų dalyvauti Sąjungos gaminių atitikties tinklo, jo pogrupių ir administracinio bendradarbiavimo grupės posėdžiuose. Be to, ji turėtų padėti administracinio bendradarbiavimo grupei pasitelkdama vykdomąjį sekretoriatą, teikiantį techninę ir logistinę paramą. Administracinio bendradarbiavimo grupė taip pat gali kviesti nepriklausomus ekspertus dalyvauti ir palaikyti ryšius su kitomis administracinio bendradarbiavimo grupėmis, pavyzdžiui, pagal Direktyvą 2014/53/ES įsteigta grupe;

(109)

rinkos priežiūros institucijos, pasitelkdamos pagal šį reglamentą įsteigtą Administracinio bendradarbiavimo grupę, turėtų glaudžiai bendradarbiauti ir turėtų turėti galimybę parengti rekomendacinius dokumentus, kad būtų palengvinta rinkos priežiūros veikla nacionaliniu lygmeniu, pavyzdžiui, kurdamos geriausią praktiką ir rodiklius, skirtus veiksmingai tikrinti produktų su skaitmeniniais elementais atitiktį šiam reglamentui;

(110)

siekiant laiku, proporcingai ir veiksmingai taikyti priemones produktams su skaitmeniniais elementais, keliančiais didelę kibernetinio saugumo riziką, reikėtų nustatyti Sąjungos apsaugos procedūrą, pagal kurią suinteresuotosios šalys būtų informuojamos apie priemones, kurių ketinama imtis tokių produktų atžvilgiu. Tai taip pat turėtų suteikti galimybę rinkos priežiūros institucijoms, bendradarbiaujant su atitinkamais ekonominės veiklos vykdytojais, imtis veiksmų ankstesniame etape, kai tai yra būtina. Jei valstybės narės ir Komisija sutaria dėl valstybės narės taikomos priemonės pagrįstumo, neturėtų būti reikalaujama, kad Komisija imtųsi papildomų veiksmų, išskyrus atvejus, kai neatitiktis gali būti susijusi su darniojo standarto trūkumais;

(111)

tam tikrais atvejais produktas su skaitmeniniais elementais, kuris atitinka šį reglamentą, vis tiek gali kelti didelę kibernetinio saugumo riziką arba pavojų asmenų sveikatai ar saugai, pareigų pagal Sąjungos ar nacionalinę teisę, kuria siekiama saugoti pagrindines teises, vykdymui, paslaugų, kurias per elektroninę informacinę sistemą siūlo Direktyvos (ES) 2022/2555 3 straipsnio 1 dalyje nurodyti esminiai subjektai, prieinamumui, autentiškumui, vientisumui ar konfidencialumui, arba kitiems viešojo intereso apsaugos aspektams. Todėl būtina nustatyti taisykles, kurios užtikrintų tos rizikos mažinimą. Rinkos priežiūros institucijos turėtų imtis priemonių ir nustatyti ekonominės veiklos vykdytojui reikalavimą užtikrinti, kad, priklausomai nuo rizikos, produktas tos rizikos nebekeltų, arba būtų atšauktas ar pašalintas. Kai tik rinkos priežiūros institucija apriboja arba uždraudžia laisvą produkto su skaitmeniniais elementais judėjimą tokiu būdu, atitinkama valstybė narė turėtų nedelsdama pranešti Komisijai ir kitoms valstybėms narėms apie laikinąsias priemones nurodydama tokio sprendimo priėmimo priežastis ir pagrindimą. Jei rinkos priežiūros institucija imasi tokių priemonių dėl pavojų keliančių produktų su skaitmeniniais elementais, Komisija turėtų nedelsdama pradėti konsultacijas su valstybėmis narėmis ir atitinkamu ekonominės veiklos vykdytoju ar vykdytojais ir įvertinti nacionalinę priemonę. Remdamasi šio vertinimo rezultatais Komisija turėtų nuspręsti, ar ta nacionalinė priemonė pagrįsta, ar ne. Komisija sprendimą turėtų skirti visoms valstybėms narėms ir nedelsdama apie jį pranešti joms ir atitinkamam ekonominės veiklos vykdytojui ar vykdytojams. Jei priemonė laikoma pagrįsta, Komisija taip pat turėtų apsvarstyti galimybę priimti pasiūlymus peržiūrėti atitinkamus Sąjungos teisės aktus;

(112)

jei produktai su skaitmeniniais elementais kelia didelę kibernetinio saugumo riziką ir jei yra priežasčių manyti, kad jie neatitinka šio reglamento, arba jei produktai atitinka šį reglamentą, bet kelia kitą svarbią riziką, pavyzdžiui, pavojų asmenų sveikatai ar saugai, atitikčiai pareigoms pagal Sąjungos ar nacionalinės teisės aktus, kuriais siekiama apsaugoti pagrindines teises, ar paslaugų, kurias per elektroninę informacinę sistemą siūlo Direktyvos (ES) 2022/2555 3 straipsnio 1 dalyje nurodyti esminiai subjektai, prieinamumui, autentiškumui, vientisumui ar konfidencialumui, Komisija turėtų galėti prašyti ENISA atlikti vertinimą. Remdamasi tuo vertinimu Komisija turėtų galėti įgyvendinimo aktais priimti Sąjungos lygmens taisomąsias arba ribojamąsias priemones, įskaitant reikalavimą pašalinti atitinkamus produktus su skaitmeniniais elementais iš rinkos arba atšaukti juos per pagrįstą laikotarpį, atitinkantį rizikos pobūdį. Komisija turėtų galėti pasinaudoti tokia intervencija tik išimtinėmis aplinkybėmis, dėl kurių būtų pateisinama nedelsiant vykdyti intervenciją, kad būtų išsaugotas tinkamas vidaus rinkos veikimas, ir tik tais atvejais, kai rinkos priežiūros institucijos nesiėmė veiksmingų priemonių padėčiai ištaisyti. Tokios išimtinės aplinkybės gali būti ekstremaliosios situacijos, kai, pavyzdžiui, gamintojas ne vienoje valstybėje narėje platina reikalavimų neatitinkantį produktą su skaitmeniniais elementais, kurį pagrindiniuose sektoriuose naudoja ir subjektai, kurie patenka į Direktyvos (ES) 2022/2555 taikymo sritį, nors jame yra žinomų pažeidžiamumų, kuriais naudojasi piktavaliai subjektai ir kuriems ištaisyti gamintojas nepateikia pataisų. Tokiais nepaprastosios padėties atvejais Komisija turėtų galėti įsikišti tik tol, kol trunka išimtinės aplinkybės, ir jei neatitiktis šio reglamento reikalavimams arba svarbi rizika išlieka;

(113)

jei yra požymių, kad daugiau nei vienoje valstybėje narėje nesilaikoma šio reglamento, rinkos priežiūros institucijos turėtų galėti vykdyti bendrą veiklą su kitomis institucijomis, kad patikrintų produktų su skaitmeniniais elementais atitiktį ir nustatytų tų produktų kibernetinio saugumo riziką;

(114)

tuo pačiu metu atliekami koordinuoti kontrolės veiksmai (toliau – tikslinės patikros) yra konkretūs rinkos priežiūros institucijų vykdymo užtikrinimo veiksmai, kuriais galima dar labiau padidinti produktų saugumą. Visų pirma, tikslinės patikros turėtų būti vykdomos tais atvejais, kai rinkos tendencijos, vartotojų skundai ar kiti požymiai rodo, kad tam tikrų kategorijų produktams su skaitmeniniais elementais dažnai būdinga kibernetinio saugumo rizika. Be to, nustatant produktų, dėl kurių turi būti atliekamos tikslinės patikros, kategorijas, rinkos priežiūros institucijos taip pat turėtų atsižvelgti į su netechniniais rizikos veiksniais susijusias aplinkybes. Tuo tikslu rinkos priežiūros institucijos turėtų galėti atsižvelgti į Sąjungos lygmeniu koordinuojamų ypatingos svarbos tiekimo grandinių saugumo rizikos vertinimų, atliktų pagal Direktyvos (ES) 2022/2555 22 straipsnį, rezultatus, įskaitant su netechniniais rizikos veiksniais susijusias aplinkybes. ENISA turėtų rinkos priežiūros institucijoms teikti pasiūlymus dėl produktų su skaitmeniniais elementais kategorijų, kurioms galėtų būti organizuojamos tikslinės patikros, remdamasi, inter alia, ir savo gaunamais pranešimais apie pažeidžiamumus ir incidentus;

(115)

atsižvelgiant į savo patirtį ir įgaliojimus, ENISA turėtų galėti remti šio reglamento įgyvendinimo procesą. Visų pirma, ENISA turėtų galėti pasiūlyti bendrą veiklą, kurią vykdys rinkos priežiūros institucijos remdamosi įrodymais arba informacija apie galimą produktų su skaitmeniniais elementais neatitikimą reglamento reikalavimams keliose valstybėse narėse, arba nustatyti produktų kategorijas, dėl kurių turėtų būti organizuojamos tikslinės patikros. Išimtinėmis aplinkybėmis, Komisijos prašymu ENISA turėtų galėti atlikti konkrečių produktų su skaitmeniniais elementais vertinimus, kai jie kelia didelę kibernetinio saugumo riziką ir kai reikia nedelsiant įsikišti, kad būtų išsaugotas tinkamas vidaus rinkos veikimas;

(116)

šiuo reglamentu ENISA pavedamos tam tikros užduotys, kurioms reikia tinkamų tiek ekspertinių žinių, tiek žmogiškųjų išteklių, kad ENISA galėtų tas užduotis vykdyti veiksmingai. Rengdama Sąjungos bendrojo biudžeto projektą Komisija pasiūlys ENISA etatų planui reikalingus biudžeto išteklius pagal Reglamento (ES) 2019/881 29 straipsnyje nustatytą procedūrą. To proceso metu Komisija apsvarstys bendrus ENISA išteklius, kad ji galėtų vykdyti savo užduotis, įskaitant užduotis, pavestas ENISA pagal šį reglamentą;

(117)

siekiant užtikrinti, kad, prireikus, būtų galima pritaikyti reglamentavimo sistemą, pagal Sutarties dėl Europos Sąjungos veikimo 290 straipsnį Komisijai turėtų būti deleguoti įgaliojimai priimti aktus dėl šio reglamento priede išvardytų svarbių produktų su skaitmeniniais elementais atnaujinimo. Komisijai turėtų būti deleguoti įgaliojimai priimti aktus pagal tą straipsnį, kad būtų nustatyti produktai su skaitmeniniais elementais, kuriems taikomos kitos Sąjungos taisyklės, kuriomis užtikrinamas toks pat apsaugos lygis kaip ir šiuo reglamentu, nurodant, ar reikėtų apriboti šio reglamento taikymo sritį arba jo netaikyti ir, jei taikytina, tokio apribojimo taikymo sritį. Komisijai taip pat turėtų būti deleguoti įgaliojimai priimti aktus pagal tą straipsnį dėl galimo įgaliojimų sertifikuoti tam tikrus šio reglamento priede išvardytus ypatingos svarbos produktus su skaitmeniniais elementais suteikimo pagal Europos kibernetinio saugumo sertifikavimo schemą, taip pat dėl ypatingos svarbos produktų su skaitmeniniais elementais sąrašo atnaujinimo remiantis šiame reglamente nustatytais ypatingo svarbumo kriterijais ir dėl pagal Reglamentą (ES) 2019/881 priimtų Europos kibernetinio saugumo sertifikavimo schemų, kurios gali būti naudojamos atitikčiai šio reglamento priede nustatytiems esminiams kibernetinio saugumo reikalavimams ar jų dalims įrodyti, nustatymo. Komisijai taip pat turėtų būti deleguoti įgaliojimai priimti aktus, kuriais būtų nustatytas minimalus palaikymo laikotarpis konkrečioms produktų kategorijoms, kai iš rinkos priežiūros duomenų matyti, kad palaikymo laikotarpiai yra nepakankami, taip pat kuriais nustatomos su kibernetiniu saugumu susijusių priežasčių taikymo sąlygos, susijusios su pranešimų apie aktyviai išnaudojamus pažeidžiamumus perdavimo atidėjimu. Be to, Komisijai turėtų būti deleguoti įgaliojimai priimti aktus, kuriais nustatomos savanoriškos saugumo patvirtinimo programos, skirtos įvertinti produktų su skaitmeniniais elementais, kurie laikomi laisvąja ir atvirąja programine įranga, atitiktį visiems arba tam tikriems šiame reglamente nustatytiems esminiams kibernetinio saugumo reikalavimams ar kitoms pareigoms, taip pat kuriais nustatomas minimalus ES atitikties deklaracijos turinys ir papildomi elementai, kurie turi būti įtraukti į techninius dokumentus. Ypač svarbu, kad atlikdama parengiamąjį darbą Komisija tinkamai konsultuotųsi, taip pat ir su ekspertais, ir kad tos konsultacijos būtų vykdomos vadovaujantis 2016 m. balandžio 13 d. Tarpinstituciniame susitarime dėl geresnės teisėkūros (31) nustatytais principais. Visų pirma, siekiant užtikrinti vienodas galimybes dalyvauti atliekant su deleguotaisiais aktais susijusį parengiamąjį darbą, Europos Parlamentas ir Taryba visus dokumentus gauna tuo pačiu metu kaip ir valstybių narių ekspertai, o jų ekspertams sistemingai suteikiama galimybė dalyvauti Komisijos ekspertų grupių, kurios atlieka su deleguotaisiais aktais susijusį parengiamąjį darbą, posėdžiuose; Įgaliojimai priimti deleguotuosius aktus pagal šį reglamentą Komisijai turėtų būti suteikti penkerių metų laikotarpiui nuo 2024 m. gruodžio 10 d. Likus ne mažiau kaip devyniems mėnesiams iki penkerių metų laikotarpio pabaigos Komisija turėtų parengti naudojimosi deleguotaisiais įgaliojimais ataskaitą. Deleguotieji įgaliojimai turėtų būti savaime pratęsiami tokios pačios trukmės laikotarpiams, išskyrus atvejus, kai Europos Parlamentas arba Taryba pareiškia prieštaravimų dėl tokio pratęsimo likus ne mažiau kaip trims mėnesiams iki kiekvieno laikotarpio pabaigos;

(118)

siekiant užtikrinti vienodas šio reglamento įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai nustatyti šio reglamento priede nustatytų svarbių produktų su skaitmeniniais elementais kategorijų techninį aprašymą, nustatyti PĮMŽ formatą ir elementus, papildomai patikslinti gamintojų teikiamų pranešimų apie aktyviai išnaudojamus pažeidžiamumus ir didelius incidentus, darančius poveikį produktų su skaitmeniniais elementais saugumui, formatą ir procedūrą, nustatyti bendrąsias specifikacijas, apimančias techninius reikalavimus, kuriais sudaroma galimybė laikytis šio reglamento priede nustatytų esminių kibernetinio saugumo reikalavimų, nustatyti technines specifikacijas etiketėms, piktogramoms arba bet kokiems kitiems su produktų su skaitmeniniais elementais saugumu susijusiems ženklams, jų palaikymo laikotarpį ir mechanizmus, kuriais skatinamas jų naudojimas ir didinamas visuomenės informuotumas apie produktų su skaitmeniniais elementais saugumą, nustatyti supaprastintą dokumentų formą, skirtą labai mažų įmonių ir mažųjų įmonių poreikiams, ir Sąjungos lygmeniu priimti sprendimus dėl taisomųjų arba ribojamųjų priemonių išimtinėmis aplinkybėmis, dėl kurių būtų pagrįsta nedelsiant atlikti intervenciją, kad būtų išsaugotas tinkamas vidaus rinkos veikimas. Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (32);

(119)

siekiant užtikrinti pasitikėjimu grindžiamą ir konstruktyvų rinkos priežiūros institucijų bendradarbiavimą Sąjungos ir nacionaliniu lygmenimis, visi subjektai, taikantys šį reglamentą, turėtų laikytis informacijos ir duomenų, gautų vykdant savo užduotis, konfidencialumo;

(120)

siekiant užtikrinti veiksmingą šiame reglamente nustatytų pareigų vykdymą, kiekvienai rinkos priežiūros institucijai turėtų būti suteikti įgaliojimai skirti administracines baudas arba prašyti jas skirti. Todėl turėtų būti nustatyti maksimalūs nacionalinės teisės aktuose numatomi administracinių baudų dydžiai už šiame reglamente nustatytų pareigų nevykdymą. Priimant sprendimą dėl administracinės baudos dydžio kiekvienu konkrečiu atveju turėtų būti atsižvelgta į visas atitinkamas konkrečios situacijos aplinkybes ir bent jau į šiame reglamente aiškiai nustatytas aplinkybes, įskaitant tai, ar gamintojas yra labai maža įmonė arba mažoji ar vidutinė įmonė, įskaitant startuolius, ir į tai, ar tos pačios arba kitos rinkos priežiūros institucijos jau yra skyrusios administracines baudas tam pačiam ekonominės veiklos vykdytojui už panašų pažeidimą. Tokios aplinkybės galėtų būti sunkinančios tais atvejais, kai tas pats ekonominės veiklos vykdytojas toliau tęsia pažeidimą kitų valstybių narių nei tos, kurioje administracinė bauda jau paskirta, teritorijose, arba lengvinančios, siekiant užtikrinti, kad svarstant skirti bet kokią kitą administracinę baudą, kurią svarsto skirti kita rinkos priežiūros institucija tam pačiam ekonominės veiklos vykdytojui arba už tos pačios rūšies pažeidimą, jau būtų atsižvelgta į kitose valstybėse narėse skirtą baudą ir jos dydį kartu su kitomis svarbiomis konkrečiomis aplinkybėmis. Visais tokiais atvejais bendra administracinė bauda, kurią skirtingų valstybių narių rinkos priežiūros institucijos galėtų skirti tam pačiam ekonominės veiklos vykdytojui už tos pačios rūšies pažeidimą, turėtų atitikti proporcingumo principą. Atsižvelgiant į tai, kad administracinės baudos netaikomos labai mažoms įmonėms arba mažosioms įmonėms už tai, kad jos nesilaikė 24 valandų ankstyvojo perspėjimo apie aktyviai išnaudojamą pažeidžiamumą arba didelius incidentus, darančius poveikį produkto su skaitmeniniais elementais saugumui, termino, taip pat atvirosios programinės įrangos valdytojams už bet kokį šio reglamento pažeidimą, ir atsižvelgiant į principą, kad sankcijos turėtų būti veiksmingos, proporcingos ir atgrasomos, valstybės narės tiems subjektams neturėtų skirti kitų rūšių piniginio pobūdžio sankcijų;

(121)

jei administracinės baudos skiriamos asmeniui, kuris nėra įmonė, svarstydama, koks būtų tinkamas baudos dydis, kompetentinga institucija turėtų atsižvelgti į bendrą pajamų lygį valstybėje narėje ir į to asmens ekonominę padėtį. Valstybės narės turėtų nustatyti, ar ir kokiu mastu valdžios institucijoms turėtų būti skiriamos administracinės baudos;

(122)

valstybės narės, atsižvelgdamos į nacionalines aplinkybes, turėtų išnagrinėti galimybę naudoti pajamas iš šiame reglamente numatytų sankcijų arba jų finansinį ekvivalentą kibernetinio saugumo politikai remti ir kibernetinio saugumo lygiui Sąjungoje didinti, inter alia, didinant kvalifikuotų kibernetinio saugumo specialistų skaičių, stiprinant labai mažų įmonių ir mažųjų bei vidutinių įmonių pajėgumą ir didinant visuomenės informuotumą apie kibernetines grėsmes;

(123)

palaikydama santykius su trečiosiomis valstybėmis, Sąjunga siekia skatinti tarptautinę prekybą reglamentuojamais produktais. Siekiant palengvinti prekybą, gali būti taikomos įvairios priemonės, įskaitant keletą teisinių priemonių, pavyzdžiui, dvišalius (tarpvyriausybinius) abipusio pripažinimo susitarimus, skirtus reglamentuojamų produktų atitikties vertinimui ir ženklinimui. Abipusio pripažinimo susitarimai sudaromi tarp Sąjungos ir trečiųjų valstybių, kurios yra panašaus techninio išsivystymo lygio ir turi suderinamą atitikties vertinimo metodą. Tie susitarimai grindžiami abipusiu sertifikatų, atitikties ženklų ir bandymų ataskaitų, kurias išduoda bet kurios iš šalių atitikties vertinimo įstaigos, pripažinimu pagal kitos šalies teisės aktus. Šiuo metu abipusio pripažinimo susitarimai sudaryti su keliomis trečiosiomis valstybėmis. Tie abipusio pripažinimo susitarimai sudaromi dėl tam tikrų konkrečių sektorių, kurie skirtingose trečiosiose valstybėse gali skirtis. Siekiant papildomai palengvinti prekybą ir pripažįstant, kad produktų su skaitmeniniais elementais tiekimo grandinės yra pasaulinės, vadovaujantis SESV 218 straipsniu gali būti sudaromi abipusio pripažinimo susitarimai dėl produktų, kurie Sąjungoje reglamentuojami pagal šį reglamentą, atitikties vertinimo. Taip pat svarbu bendradarbiauti su trečiosiomis valstybėmis partnerėmis, kad kibernetinis atsparumas būtų sustiprintas visame pasaulyje, nes ilgainiui tai prisidės prie stipresnės kibernetinio saugumo sistemos tiek Sąjungos viduje, tiek už jos ribų;

(124)

vartotojai turėtų turėti teisę ginti savo teises, susijusias su šiame reglamente ekonominės veiklos vykdytojams nustatytomis pareigomis, pareikšdami atstovaujamuosius ieškinius pagal Europos Parlamento ir Tarybos direktyvą (ES) 2020/1828 (33). Tuo tikslu šiame reglamente turėtų būti nustatyta, kad Direktyva (ES) 2020/1828 taikoma atstovaujamiesiems ieškiniams dėl šio reglamento pažeidimų, kuriais pažeidžiami arba gali būti pažeisti kolektyviniai vartotojų interesai. Todėl tos direktyvos I priedas turėtų būti atitinkamai iš dalies pakeistas. Valstybės narės turi užtikrinti, kad tie pakeitimai būtų atspindėti jų perkėlimo į nacionalinę teisę priemonėse, patvirtintose pagal tą direktyvą, nors nacionalinių perkėlimo į nacionalinę teisę priemonių patvirtinimas tuo atžvilgiu nėra tos direktyvos taikytinumo tiems atstovaujamiesiems ieškiniams sąlyga. Tos direktyvos taikytinumas atstovaujamiesiems ieškiniams, pareikštiems dėl ekonominės veiklos vykdytojų padarytų šio reglamento pažeidimų, kuriais pažeidžiami arba gali būti pažeisti kolektyviniai vartotojų interesai, turėtų prasidėti nuo 2027 m. gruodžio 11 d.;

(125)

Komisija, konsultuodamasi su atitinkamais suinteresuotaisiais subjektais, turėtų periodiškai vertinti ir peržiūrėti šį reglamentą, visų pirma siekdama nustatyti, ar reikia jį keisti atsižvelgiant į kintančias visuomenines, politines, technologines ar rinkos sąlygas. Šiuo reglamentu bus sudarytos palankesnės sąlygos subjektams, kuriems taikomas Reglamentas (ES) 2022/2554 ir Direktyva (ES) 2022/2555 ir kurie naudoja produktus su skaitmeniniais elementais, laikytis tiekimo grandinės saugumo pareigų. Atlikdama tą periodinę peržiūrą Komisija turėtų įvertinti bendrą Sąjungos kibernetinio saugumo sistemos poveikį;

(126)

ekonominės veiklos vykdytojams turėtų būti skirta pakankamai laiko prisitaikyti prie šiame reglamente nustatytų reikalavimų. Šis reglamentas turėtų būti taikomas nuo 2027 m. gruodžio 11 d., išskyrus nuostatas dėl pareigos pranešti apie aktyviai išnaudojamus pažeidžiamumus ir didelius incidentus, darančius poveikį produktų su skaitmeniniais elementais saugumui, kurios turėtų būti taikomos nuo 2026 m. rugsėjo 11 d., ir nuostatas dėl atitikties vertinimo įstaigų notifikavimo, kurios turėtų būti taikomos nuo 2026 m. birželio 11 d.;

(127)

svarbu teikti paramą labai mažoms įmonėms ir mažosioms bei vidutinėms įmonėms, įskaitant startuolius, įgyvendinant šį reglamentą ir kuo labiau sumažinti įgyvendinimo riziką, kylančią dėl žinių ir patirties rinkoje trūkumo, taip pat siekiant sudaryti palankesnes sąlygas gamintojams laikytis šiame reglamente nustatytų pareigų. Pagal Skaitmeninės Europos programą ir kitas atitinkamas Sąjungos programas teikiama finansinė ir techninė parama, kad tos įmonės galėtų prisidėti prie Sąjungos ekonomikos augimo ir bendro kibernetinio saugumo lygio Sąjungoje stiprinimo. Europos kibernetinio saugumo kompetencijos centras ir nacionaliniai koordinavimo centrai, taip pat Komisijos ir valstybių narių Sąjungos ar nacionaliniu lygmeniu įsteigti Europos skaitmeninių inovacijų centrai taip pat galėtų remti įmones ir viešojo sektoriaus organizacijas ir galėtų prisidėti prie šio reglamento įgyvendinimo. Pagal savo atitinkamas misijas ir kompetencijos sritis jie galėtų teikti techninę ir mokslinę paramą labai mažoms įmonėms ir mažosioms bei vidutinėms įmonėms, pavyzdžiui, kai vykdoma bandymų veikla ir trečiųjų šalių atliekami atitikties vertinimai. Jie taip pat galėtų paskatinti diegti priemones, kuriomis būtų palengvintas šio reglamento įgyvendinimas;

(128)

be to, valstybės narės turėtų apsvarstyti galimybę imtis papildomų veiksmų, kuriais būtų siekiama teikti gaires ir paramą labai mažoms įmonėms ir mažosioms bei vidutinėms įmonėms, pavyzdžiui, sukurti apribotą bandomąją reglamentavimo aplinką ir specialius komunikacijos kanalus. Siekdamos padidinti kibernetinio saugumo lygį Sąjungoje, valstybės narės taip pat gali apsvarstyti galimybę teikti paramą su skaitmeninių elementų turinčių produktų kibernetiniu saugumu susijusiems pajėgumams ir įgūdžiams plėtoti, ekonominės veiklos vykdytojų, visų pirma labai mažų įmonių ir mažųjų bei vidutinių įmonių, kibernetiniam atsparumui gerinti ir visuomenės informuotumui apie produktų su skaitmeniniais elementais kibernetinį saugumą didinti;

(129)

kadangi šio reglamento tikslo valstybės narės negali deramai pasiekti, o dėl veiksmo poveikio to tikslo būtų geriau siekti Sąjungos lygmeniu, laikydamasi Europos Sąjungos sutarties 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šiuo reglamentu neviršijama to, kas būtina nurodytiems tikslams pasiekti;

(130)

vadovaujantis Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 (34) 42 straipsnio 1 dalimi, buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu ir jis pateikė nuomonę 2022 m. lapkričio 9 d. (35),