(1)

Kiberdrošība ir viens no svarīgākajiem Savienībai risināmajiem uzdevumiem. Savienoto ierīču skaits un dažādība turpmākajos gados ļoti strauji pieaugs. Kiberuzbrukumi ir sabiedrības interešu jautājums, jo tie ārkārtīgi lielā mērā ietekmē ne tikai Savienības ekonomiku, bet arī demokrātiju un patērētāju drošību un veselību. Tādēļ ir jāstiprina Savienības pieeja attiecībā uz kiberdrošību, jāpievēršas kibernoturībai Savienības līmenī un jāuzlabo iekšējā tirgus darbība, nosakot vienotu tiesisko regulējumu kiberdrošības pamatprasībām attiecībā uz produktu ar digitāliem elementiem laišanu Savienības tirgū. Būtu jārisina divas galvenās problēmas, kas rada papildu izmaksas lietotājiem un sabiedrībai, proti, zems kiberdrošības līmenis produktiem ar digitāliem elementiem, ko atspoguļo plaši izplatītas ievainojamības un nepietiekama un nekonsekventa drošības atjauninājumu nodrošināšana to novēršanai, un nepietiekama lietotāju izpratne un piekļuve informācijai, kas neļauj lietotājiem izvēlēties produktus ar atbilstošām kiberdrošības īpašībām vai tos izmantot drošā veidā.

(2)

Šīs regulas mērķis ir noteikt robežnosacījumus drošu produktu ar digitāliem elementiem izstrādei, nodrošinot, ka aparatūras un programmatūras produkti tiek laisti tirgū ar mazāk ievainojamībām un ka ražotājiem ir nopietna attieksme pret drošību visā produkta aprites ciklā. Tās mērķis ir arī radīt apstākļus, kas lietotājiem, izvēloties un lietojot produktus ar digitāliem elementiem, dod iespēju ņemt vērā kiberdrošību, piemēram, uzlabojot pārredzamību par tirgū pieejamo produktu ar digitāliem elementiem atbalsta periodu.

(3)

Attiecīgie patlaban spēkā esošie Savienības tiesību akti ietver vairākus horizontālo noteikumu kopumus, kas no dažādiem skatupunktiem pievēršas noteiktiem ar kiberdrošību saistītiem aspektiem, ieskaitot pasākumus digitālās piegādes ķēdes drošības uzlabošanai. Tomēr spēkā esošie Savienības tiesību akti attiecībā uz kiberdrošību, to vidū Eiropas Parlamenta un Padomes Regula (ES) 2019/881 (3) un Eiropas Parlamenta un Padomes Direktīva (ES) 2022/2555 (4), tieši neaptver produktu ar digitāliem elementiem drošības obligātās prasības.

(4)

Lai gan spēkā esošie Savienības tiesību akti attiecas uz noteiktiem produktiem ar digitāliem elementiem, nav horizontāla Savienības tiesiskā regulējuma, kas noteiktu visaptverošas kiberdrošības prasības attiecībā uz visiem produktiem ar digitāliem elementiem. Dažādie ES un valstu līmenī līdz šim īstenotie tiesību akti un iniciatīvas tikai daļēji risina konstatētās ar kiberdrošību saistītās problēmas un riskus, izraisot likumdošanas sadrumstalotību iekšējā tirgū, palielinot juridisko nenoteiktību gan šo produktu ražotājiem, gan lietotājiem un radot nevajadzīgu slogu uzņēmumiem un organizācijām, lai tie izpildītu vairākas prasības un pienākumus attiecībā uz līdzīgiem produktu veidiem. Minēto produktu kiberdrošībai ir īpaši izteikta pārrobežu dimensija, jo vienā dalībvalstī vai trešā valstī ražotus produktus ar digitāliem elementiem bieži izmanto organizācijas un patērētāji visā iekšējā tirgū. Tāpēc šī joma ir jāreglamentē Savienības līmenī, lai nodrošinātu saskaņotu tiesisko regulējumu un juridisko noteiktību lietotājiem, organizācijām un uzņēmumiem, tostarp mikrouzņēmumiem un maziem un vidējiem uzņēmumiem, kā definēts Komisijas Ieteikuma 2003/361/EK (5) pielikumā. Savienības regulatīvā vide būtu jāsaskaņo, ieviešot horizontālas kiberdrošības prasības attiecībā uz produktiem ar digitāliem elementiem. Turklāt būtu jānodrošina juridiskā noteiktība attiecībā uz uzņēmējiem un lietotājiem visā Savienībā, kā arī iekšējā tirgus labāka saskaņošana un samērīgums mikrouzņēmumiem un vidējiem un maziem uzņēmumiem, radot labvēlīgākus apstākļus uzņēmējiem, kuru mērķis ir ienākt Savienības tirgū.

(5)

Attiecībā uz mikrouzņēmumiem un maziem un vidējiem uzņēmumiem Ieteikuma 2003/361/EK pielikuma noteikumi būtu jāpiemēro pilnībā, kad tiek noteikta kategorija, kurā ietilpst attiecīgais uzņēmums. Tāpēc, aprēķinot darbinieku skaitu un finanšu maksimālo apjomu, pēc kā nosaka uzņēmumu kategorijas, būtu jāpiemēro arī Ieteikuma 2003/361/EK pielikuma 6. panta noteikumi par uzņēmuma datu noteikšanu, un jāņem vērā konkrēti uzņēmumu veidi, piemēram, partneruzņēmumi vai saistīti uzņēmumi.

(6)

Komisijai būtu jāsniedz norādījumi, lai palīdzētu uzņēmējiem, jo īpaši mikrouzņēmumiem un maziem un vidējiem uzņēmumiem, piemērot šo regulu. Šādiem norādījumiem cita starpā būtu jāaptver šīs regulas darbības joma, jo īpaši attālināta datu apstrāde un tās ietekme uz brīvi pieejamas atvērtā pirmkoda programmatūras izstrādātājiem, to kritēriju piemērošana, kurus izmanto atbalsta periodu noteikšanai produktiem ar digitāliem elementiem, šīs regulas un citu Savienības tiesību aktu mijiedarbība un būtisku modifikāciju jēdziens.

(7)

Savienības līmenī dažādos programmatiskos un politiskos dokumentos, piemēram, Komisijas un Savienības Augstā pārstāvja ārlietās un drošības politikas jautājumos 2020. gada 16. decembra kopīgajā paziņojumā “ES kiberdrošības stratēģija digitālajai desmitgadei”, Padomes 2020. gada 2. decembra secinājumos par savienoto ierīču kiberdrošību un 2022. gada 23. maija secinājumos par Eiropas Savienības pozīcijas izstrādi kiberjautājumos, kā arī Eiropas Parlamenta 2021. gada 10. jūnija rezolūcijā par ES kiberdrošības stratēģiju digitālajai desmitgadei (6) ir pausts aicinājums noteikt īpašas Savienības kiberdrošības prasības digitāliem vai savienotiem produktiem, un visā pasaulē vairākas valstis ievieš pasākumus, lai risinātu šo jautājumu pēc savas iniciatīvas. Konferences par Eiropas nākotni galīgajā ziņojumā pilsoņi aicināja stiprināt ES lomu cīņā pret kiberdraudiem. Lai Savienība starptautiskā mērogā kiberdrošības jomā varētu ieņemt vadošo lomu, ir svarīgi izveidot vērienīgu tiesisko regulējumu.

(8)

Lai palielinātu vispārējo kiberdrošības līmeni visiem iekšējā tirgū laistiem produktiem ar digitāliem elementiem, attiecībā uz šiem produktiem ir jāievieš uz mērķi vērstas un tehnoloģiski neitrālas kiberdrošības pamatprasības, kuras piemēro horizontāli.

(9)

Noteiktos apstākļos visi produkti ar digitāliem elementiem, kas integrēti lielākā elektroniskā informācijas sistēmā vai savienoti ar to, var kalpot par ļaundaru uzbrukuma vektoru. Tā rezultātā pat tāda aparatūra un programmatūra, kas tiek uzskatīta par mazāk kritiski svarīgu, var sekmēt ierīces vai tīkla sākotnējo apdraudējumu, ļaujot ļaundariem iegūt privileģētu piekļuvi sistēmai vai horizontāli pārvietoties starp sistēmām. Tāpēc ražotājiem būtu jānodrošina, ka visi produkti ar digitāliem elementiem tiek projektēti un izstrādāti saskaņā ar šajā regulā noteiktajām kiberdrošības pamatprasībām. Šī prasība attiecas gan uz produktiem, kurus var fiziski savienot ar aparatūras saskarņu palīdzību, gan produktiem, kuri ir loģiski savienoti, piemēram, izmantojot tīkla ligzdas, programmkanālus, datnes, lietojumprogrammu saskarnes vai cita veida programmatūras saskarnes. Tā kā kiberdraudi pirms noteikta mērķa sasniegšanas var izplatīties ar dažādiem produktiem ar digitāliem elementiem, piemēram, saķēdējot kopā vairākus ievainojamības izmantotājus, ražotājiem būtu arī jānodrošina to produktu ar digitāliem elementiem kiberdrošība, kuri ir tikai netieši savienoti ar citām ierīcēm vai tīkliem.

(10)

Nosakot kiberdrošības prasības produktu ar digitāliem elementiem laišanai tirgū, ir paredzēts uzlabot šo produktu kiberdrošību gan patērētājiem, gan uzņēmumiem. Šīs prasības arī nodrošinās, ka visās piegādes ķēdēs tiks pievērsta uzmanība kiberdrošībai, padarot galaproduktus ar digitāliem elementiem un to komponentus drošākus. Tas ietver arī prasības tādu patēriņa produktu ar digitāliem elementiem laišanai tirgū, kas paredzēti neaizsargātiem patērētājiem, piemēram, rotaļlietu un bērnu uzraudzības sistēmu laišanai tirgū. Patēriņa produkti ar digitāliem elementiem, kas šajā regulā klasificēti kā nozīmīgi produkti ar digitāliem elementiem, rada augstāku kiberdrošības risku, jo tie veic funkciju, kas rada būtisku negatīvas ietekmes risku, ņemot vērā tās intensitāti un spēju kaitēt šādu preču lietotāju veselībai, drošībai vai drošumam, un tiem būtu jāpiemēro stingrāka atbilstības novērtēšanas procedūra. Tas attiecas uz tādiem produktiem kā viedās mājas produkti ar drošības funkcijām, tostarp viedajām durvju slēdzenēm, bērnu uzraudzības sistēmām un signalizācijas sistēmām, savienotajām rotaļlietām un personīgajām valkājamām veselības tehnoloģijām. Turklāt stingrākas atbilstības novērtēšanas procedūras, kas jāveic attiecībā uz citiem produktiem ar digitāliem elementiem, kuri šajā regulā klasificēti kā nozīmīgi vai kritiski svarīgi produkti ar digitāliem elementiem, palīdzēs novērst iespējamo negatīvo ietekmi uz patērētājiem, ko varētu radīt ievainojamību izmantošana.

(11)

Šīs regulas mērķis ir nodrošināt augstu kiberdrošības līmeni produktiem ar digitāliem elementiem un to integrētas attālinātas datu apstrādes risinājumiem. Šādi attālinātas datu apstrādes risinājumi būtu jādefinē kā attālināta datu apstrāde, kurai programmatūru ir projektējis un izstrādājis attiecīgā produkta ar digitāliem elementiem ražotājs vai tas darīts tā vārdā un kuras neesamība liegtu produktam ar digitāliem elementiem pildīt kādu no savām funkcijām. Šī pieeja nodrošina, ka ražotāji šādus produktus pilnībā pienācīgi aizsargā neatkarīgi no tā, vai datus apstrādā vai glabā lokāli lietotāja ierīcē, vai arī ražotājs tos apstrādā vai glabā attālināti. Tajā pašā laikā apstrāde vai glabāšana attālināti ietilpst šīs regulas darbības jomā tikai tiktāl, ciktāl tas ir nepieciešams, lai produkts ar digitāliem elementiem varētu pildīt savas funkcijas. Šāda apstrāde vai attālināta glabāšana ietver situāciju, kad mobilajai lietojumprogrammai nepieciešama piekļuve lietojumprogrammas saskarnei vai datubāzei, ko nodrošina ar ražotāja izstrādāta pakalpojuma palīdzību. Šādā gadījumā pakalpojums ietilpst šīs regulas darbības jomā kā attālinātas datu apstrādes risinājums. Tāpēc prasības attiecībā uz attālinātas datu apstrādes risinājumiem, kas ietilpst šīs regulas darbības jomā, neietver tehniskus, operatīvus vai organizatoriskus pasākumus, kuru mērķis ir pārvaldīt ražotāja tīkla un informācijas sistēmu drošības riskus kopumā.

(12)

Mākoņdatošanas risinājumi ir attālinātas datu apstrādes risinājumi šīs regulas nozīmē tikai tad, ja tie atbilst šajā regulā noteiktajai definīcijai. Piemēram, mākoņdatošanas iespējotas funkcijas, ko nodrošina viedo mājas ierīču ražotājs un kas ļauj lietotājiem kontrolēt ierīci no attāluma, ietilpst šīs regulas darbības jomā. No otras puses, šīs regulas darbības jomā neietilpst tīmekļa vietnes, kas neatbalsta produkta ar digitāliem elementiem funkcionalitāti, vai mākoņpakalpojumi, kas projektēti un izstrādāti ārpus produkta ar digitāliem elementiem ražotāja atbildības. Direktīva (ES) 2022/2555 attiecas uz mākoņdatošanas pakalpojumiem un mākoņdatošanas pakalpojumu modeļiem, piemēram, programmatūru kā pakalpojumu (SaaS), platformu kā pakalpojumu (PaaS) vai infrastruktūru kā pakalpojumu (IaaS). Vienības, kas sniedz mākoņdatošanas pakalpojumus Savienībā un kas saskaņā ar Ieteikuma 2003/361/EK pielikuma 2. pantu uzskatāmas par vidējiem uzņēmumiem vai pārsniedz minētā panta 1. punktā noteiktās maksimālās robežas vidējiem uzņēmumiem, ietilpst minētās direktīvas darbības jomā.

(13)

Rīkojoties saskaņā ar šīs regulas mērķi novērst šķēršļus produktu ar digitāliem elementiem brīvai apritei, aspektos, kurus aptver šī regula, dalībvalstīm nevajadzētu kavēt tādu produktu ar digitāliem elementiem pieejamību tirgū, kuri atbilst šai regulai. Tāpēc aspektos, kas tiek saskaņoti ar šo regulu, dalībvalstis nevar noteikt papildu kiberdrošības prasības attiecībā uz to, ka produktus ar digitāliem elementiem dara pieejamus tirgū. Tomēr jebkura publiska vai privāta vienība var noteikt papildu prasības līdzās šajā regulā noteiktajām prasībām attiecībā uz produktu ar digitāliem elementiem iepirkumu vai izmantošanu saviem konkrētajiem mērķiem un tādējādi var izvēlēties izmantot produktus ar digitāliem elementiem, kas atbilst stingrākām vai specifiskākām kiberdrošības prasībām nekā tās, kas piemērojamas nolūkā darīt tos pieejamus tirgū saskaņā ar šo regulu. Neskarot Eiropas Parlamenta un Padomes Direktīvas 2014/24/ES (7) un 2014/25/ES (8), dalībvalstīm, iepērkot produktus ar digitāliem elementiem, kuriem jāatbilst šajā regulā noteiktajām kiberdrošības pamatprasībām, tostarp tām, kas attiecas uz ievainojamību novēršanu, būtu jānodrošina, ka šādas prasības tiek ņemtas vērā iepirkuma procesā un ka tiek ņemta vērā arī ražotāju spēja efektīvi piemērot kiberdrošības pasākumus un pārvaldīt kiberdraudus. Turklāt Direktīvā (ES) 2022/2555 ir noteikti kiberdrošības riska pārvaldības pasākumi minētās direktīvas 3. pantā minētām būtiskām un svarīgām vienībām, kas var ietvert piegādes ķēdes drošības pasākumus, kuri paredz, ka šādas vienības izmanto produktus ar digitāliem elementiem, kuri atbilst stingrākām kiberdrošības prasībām nekā šajā regulā noteiktās. Tāpēc saskaņā ar Direktīvu (ES) 2022/2555 un tajā paredzēto minimālās saskaņošanas principu dalībvalstis var noteikt papildu kiberdrošības prasības informācijas un komunikācijas tehnoloģiju (IKT) produktu izmantošanai būtiskās vai svarīgās vienībās saskaņā ar minēto direktīvu, lai nodrošinātu augstāku kiberdrošības līmeni, ar nosacījumu, ka šādas prasības atbilst Savienības tiesību aktos noteiktajiem dalībvalstu pienākumiem. Jautājumi, uz kuriem šī regula neattiecas, var ietvert netehniskus faktorus, kas saistīti ar produktiem ar digitāliem elementiem un to ražotājiem. Tāpēc dalībvalstis, ņemot vērā netehniskus faktorus, var noteikt valsts pasākumus, tostarp ierobežojumus attiecībā uz produktiem ar digitāliem elementiem vai šādu produktu piegādātājiem. Valsts pasākumiem, kas saistīti ar šādiem faktoriem, ir jāatbilst Savienības tiesību aktiem.

(14)

Šai regulai nevajadzētu skart dalībvalstu atbildību par valsts drošības aizsardzību saskaņā ar Savienības tiesību aktiem. Dalībvalstīm vajadzētu būt iespējai uz produktiem ar digitāliem elementiem, kurus iepērk vai izmanto valsts drošības vai aizsardzības vajadzībām, attiecināt papildu pasākumus ar noteikumu, ka šādi pasākumi ir saskaņā ar dalībvalstu pienākumiem, kas noteikti Savienības tiesību aktos.

(15)

Šo regulu piemēro uzņēmējiem tikai attiecībā uz produktiem ar digitāliem elementiem, kas darīti pieejami tirgū, tātad, veicot komercdarbību, piegādāti izplatīšanai vai izmantošanai Savienības tirgū. Piegādei, veicot komercdarbību, var būt raksturīga ne tikai cenas noteikšana par produktu ar digitāliem elementiem, bet arī cenas noteikšana par tehniskā atbalsta pakalpojumiem, ja to ar nolūku izteikt naudas izteiksmē dara ne tikai faktisko izmaksu atgūšanai, piemēram, nodrošinot programmatūras platformu, ar kuras palīdzību ražotājs monetizē citus pakalpojumus, kā lietošanas nosacījumu izvirzot personas datu apstrādi tādu iemeslu dēļ, kas nav tikai programmatūras drošības, savietojamības vai sadarbspējas uzlabošana, vai pieņemot ziedojumus, kas pārsniedz uz produkta ar digitāliem elementiem projektēšanu, izstrādi un piegādi attiecināmās izmaksas. Ziedojumu pieņemšana bez nodoma gūt peļņu nebūtu jāuzskata par komercdarbību.

(16)

Produkti ar digitāliem elementiem, kas tiek nodrošināti kā daļa no sniegta pakalpojuma, par kuru maksa tiek iekasēta tikai tādēļ, lai atgūtu faktiskās izmaksas, kas tieši saistītas ar minētā pakalpojuma sniegšanu, kā tas var būt dažu valsts pārvaldes struktūru nodrošinātu produktu ar digitāliem elementiem gadījumā, šā iemesla dēļ vien nebūtu jāuzskata par komercdarbību šīs regulas izpratnē. Turklāt produkti ar digitāliem elementiem, kurus valsts pārvaldes struktūra izstrādājusi vai modificējusi vienīgi savai lietošanai, nebūtu jāuzskata par tādiem, kas darīti pieejami tirgū šīs regulas izpratnē.

(17)

Programmatūra un dati, kas ir atvērti koplietojami un kam lietotāji var brīvi piekļūt, izmantot, modificēt un tālāk izplatīt tos vai pārveidotas to versijas, var sekmēt pētniecību un inovācijas tirgū. Lai veicinātu brīvi pieejamas atvērtā pirmkoda programmatūras izstrādi un ieviešanu, jo īpaši attiecībā uz mikrouzņēmumiem un maziem un vidējiem uzņēmumiem, tostarp jaunuzņēmumiem, privātpersonām, bezpeļņas organizācijām un akadēmiskās pētniecības organizācijām, šīs regulas piemērošanā produktiem ar digitāliem elementiem, kas kvalificējami kā brīvi pieejama atvērtā pirmkoda programmatūra, ko piegādā izplatīšanai vai izmantošanai komercdarbības gaitā, būtu jāņem vērā saskaņā ar brīvi pieejamas atvērtā pirmkoda programmatūras licencēm izplatītās un izstrādātās programmatūras dažādu izstrādes modeļu raksturs.

(18)

Brīvi pieejama atvērtā pirmkoda programmatūra ir programmatūra, kuras pirmkods ir atvērti koplietojams un kuras licencēšana paredz visas tiesības padarīt to brīvi pieejamu, lietojamu, modificējamu un tālāk izplatāmu. Brīvi pieejamu atvērtā pirmkoda programmatūru izstrādā, uztur un izplata atvērti, tostarp tiešsaistes platformās. Attiecībā uz uzņēmējiem, kas ietilpst šīs regulas darbības jomā, šīs regulas darbības jomā būtu jāiekļauj tikai tāda brīvi pieejama atvērtā pirmkoda programmatūra, kas darīta pieejama tirgū un tādējādi piegādāta izplatīšanai vai izmantošanai komercdarbības procesā. Tāpēc, nosakot šīs darbības komerciālo vai nekomerciālo raksturu, nevajadzētu ņemt vērā tikai apstākļus, kādos produkts ar digitāliem elementiem ir izstrādāts, vai to, kā šī izstrāde ir finansēta. Konkrētāk, lai panāktu skaidru nošķiršanu starp izstrādes un piegādes posmu, šajā regulā un attiecībā uz uzņēmējiem, kas ietilpst tās darbības jomā, par komercdarbību nebūtu jāuzskata tādu produktu ar digitāliem elementiem nodrošināšana, kas kvalificējami kā brīvi pieejama atvērtā pirmkoda programmatūra un kurus to ražotāji nemonetizē. Turklāt tādu produktu ar digitāliem elementiem piegāde, kas kvalificējami kā brīvi pieejamas atvērtā pirmkoda programmatūras komponenti, kuri paredzēti citiem ražotājiem integrēšanai to produktos ar digitāliem elementiem, būtu jāuzskata par darīšanu pieejamu tirgū tikai tad, ja šo komponentu sākotnējais ražotājs tos monetizējis. Piemēram, tas vien, ka atvērtā pirmkoda programmatūras produkts ar digitāliem elementiem saņem finansiālu atbalstu no ražotājiem vai ka ražotāji piedalās šāda produkta izstrādē, pats par sevi nenozīmē, ka darbība ir komerciāla rakstura. Turklāt produkta regulārai izlaišanai pašai par sevi nevajadzētu būt pamatam secināt, ka produkts ar digitāliem elementiem tiek piegādāts komercdarbības procesā. Visbeidzot, šajā regulā bezpeļņas organizāciju veikta produktu ar digitāliem elementiem, kas kvalificējami kā brīvi pieejama atvērtā pirmkoda programmatūra, izstrāde nebūtu jāuzskata par komercdarbību, ja organizācija ir izveidota tā, lai nodrošinātu, ka visi ieņēmumi pēc izmaksu segšanas tiek izmantoti bezpeļņas mērķu sasniegšanai. Šī regula neattiecas uz fiziskām vai juridiskām personām, kas ar pirmkodu sniedz ieguldījumu produktos ar digitāliem elementiem, kas kvalificējami kā brīvi pieejama atvērtā pirmkoda programmatūra un par kuriem tās nav atbildīgas.

(19)

Ņemot vērā to, cik svarīgi kiberdrošībai ir daudzi produkti ar digitāliem elementiem, kas kvalificējami kā brīvi pieejama atvērtā pirmkoda programmatūra, kura ir publicēta, bet nav darīta pieejama tirgū šīs regulas nozīmē, būtu jāpiemēro atvieglots un pielāgots regulatīvais režīms tām juridiskajām personām, kuras pastāvīgi atbalsta komercdarbībai paredzētu produktu izstrādi un kurām ir galvenā loma minēto produktu dzīvotspējas nodrošināšanā (atvērtā pirmkoda programmatūras pārziņi). Pie atvērtā pirmkoda programmatūras pārziņiem pieder noteikti fondi, kā arī vienības, kas izstrādā un publicē brīvi pieejamu atvērtā pirmkoda programmatūru uzņēmējdarbības kontekstā, tostarp bezpeļņas organizācijas. Regulatīvajā režīmā būtu jāņem vērā to īpašais raksturs un saderība ar uzlikto pienākumu veidu. Tam būtu jāattiecas tikai uz produktiem ar digitāliem elementiem, kas kvalificējami kā brīvi pieejama atvērtā pirmkoda programmatūra un kas galu galā ir paredzēti komerciālai darbībai, piemēram, integrēšanai komercpakalpojumos vai naudas izteiksmē izteiktos produktos ar digitāliem elementiem. Minētā regulatīvā režīma nolūkos nodoms integrēt naudas izteiksmē izteiktos produktos ar digitāliem elementiem ietver gadījumus, kad ražotāji, kas kādu komponentu integrē savos produktos ar digitāliem elementiem, vai nu regulāri piedalās minētā komponenta izstrādē, vai sniedz regulāru finansiālu palīdzību ar mērķi nodrošināt programmatūras produkta nepārtrauktību. Pastāvīga atbalsta sniegšana produkta ar digitāliem elementiem izstrādei ietver, bet neaprobežojas ar programmatūras izstrādes sadarbības platformu mitināšanu un pārvaldību, pirmkoda vai programmatūras mitināšanu, produktu ar digitāliem elementiem, kas kvalificējami kā brīvi pieejama atvērtā pirmkoda programmatūra, pārvaldību vai vadību, kā arī šādu produktu izstrādes vadību. Ņemot vērā to, ka atvieglotajā un pielāgotajā regulatīvajā režīmā vienībām, kas darbojas kā atvērtā pirmkoda programmatūras pārziņi, nav noteikti tādi paši pienākumi kā ražotājiem saskaņā ar šo regulu, tiem nebūtu jāļauj uzlikt CE zīmi produktiem ar digitāliem elementiem, kuru izstrādi tie atbalsta.

(20)

Produktu ar digitāliem elementiem mitināšana atvērtos repozitorijos, tostarp izmantojot pakotņu pārvaldītājus vai sadarbības platformas, pati par sevi nav uzskatāma par produkta ar digitāliem elementiem darīšanu pieejamu tirgū. Šādu pakalpojumu sniedzēji būtu jāuzskata par izplatītājiem tikai tad, ja tie šādu programmatūru dara pieejamu tirgū un tādējādi piegādā to izplatīšanai vai izmantošanai Savienības tirgū, veicot komercdarbību.

(21)

Lai atbalstītu un atvieglotu to ražotāju pienācīgas rūpības pienākuma veikšanu, kuri savos produktos ar digitāliem elementiem integrē brīvi pieejamas atvērtā pirmkoda programmatūras komponentus, uz kuriem neattiecas šajā regulā noteiktās kiberdrošības pamatprasības, Komisijai vajadzētu būt iespējai izveidot brīvprātīgas drošības atestācijas programmas vai nu ar deleģēto aktu, ar ko papildina šo regulu, vai pieprasot Eiropas kiberdrošības sertifikācijas shēmu saskaņā ar Regulas (ES) 2019/881 48. pantu, kurā ņemtas vērā brīvi pieejamas atvērtā pirmkoda programmatūras izstrādes modeļu īpatnības. Drošības atestācijas programmas būtu jāveido tā, lai ne tikai fiziskas vai juridiskas personas, kas izstrādā vai palīdz izstrādāt produktu ar digitāliem elementiem, kas kvalificējami kā brīvi pieejama atvērtā pirmkoda programmatūra, bet arī trešās personas, piemēram, ražotāji, kas integrē šādus produktus savos produktos ar digitāliem elementiem, lietotāji vai Savienības un valstu publiskās pārvaldes iestādes, varētu ierosināt vai finansēt drošības atestāciju.

(22)

Ņemot vērā šīs regulas publiskos kiberdrošības mērķus un ar mērķi uzlabot dalībvalstu informētību par situāciju attiecībā uz Savienības atkarību no programmatūras komponentiem un jo īpaši par potenciāli brīvi pieejamiem atvērtā pirmkoda programmatūras komponentiem, ar šo regulu izveidotajai īpašajai administratīvās sadarbības grupai (ADCO) vajadzētu būt iespējai pieņemt lēmumu kopīgi veikt Savienības atkarības novērtējumu. Tirgus uzraudzības iestādēm vajadzētu būt iespējai pieprasīt, lai to kategoriju produktu ražotāji, kuriem ir ADCO noteiktie digitālie elementi, iesniegtu programmatūras materiālu komplektus (SBOM), ko tie ir sagatavojuši saskaņā ar šo regulu. Lai aizsargātu SBOM konfidencialitāti, tirgus uzraudzības iestādēm attiecīgā informācija par atkarību būtu jāiesniedz ADCO anonimizētā un apkopotā veidā.

(23)

Šīs regulas īstenošanas efektivitāte būs atkarīga arī no atbilstošu kiberdrošības prasmju pieejamības. Savienības līmenī dažādos programmatiskos un politiskos dokumentos, tostarp Komisijas 2023. gada 18. aprīļa paziņojumā “Kiberdrošības talantu deficīta pārvarēšana ES konkurētspējas, izaugsmes un noturības vairošanai” un Padomes 2023. gada 22. maija secinājumos par ES kiberaizsardzības politiku ir atzīts kiberdrošības prasmju trūkums Savienībā un nepieciešamība prioritārā kārtā risināt šādas problēmas gan publiskajā, gan privātajā sektorā. Lai panāktu šīs regulas efektīvu īstenošanu, dalībvalstīm būtu jānodrošina, ka tirgus uzraudzības iestādēm un atbilstības novērtēšanas struktūrām ir pieejami pietiekami resursi pienācīgam nodrošinājumam ar darbiniekiem savu uzdevumu veikšanai, kā noteikts šajā regulā. Minētajiem pasākumiem būtu jāveicina darbaspēka mobilitāte kiberdrošības jomā un ar to saistītās karjeras iespējas. Tiem būtu arī jāpalīdz padarīt kiberdrošības darbaspēku noturīgāku un iekļaujošāku, arī dzimumu līdztiesības ziņā. Tāpēc dalībvalstīm būtu jāveic pasākumi ar mērķi panākt, ka minētos uzdevumus veic atbilstoši apmācīti speciālisti, kuriem ir nepieciešamās kiberdrošības prasmes. Tāpat ražotājiem būtu jānodrošina, ka viņu darbiniekiem ir nepieciešamās prasmes savu pienākumu izpildei, kā noteikts šajā regulā. Dalībvalstīm un Komisijai saskaņā ar savām prerogatīvām, kompetencēm un konkrētajiem uzdevumiem, kas tām uzticēti ar šo regulu, būtu jāveic pasākumi ražotāju un jo īpaši mikrouzņēmumu un mazo un vidējo uzņēmumu, tostarp jaunuzņēmumu, atbalstam, arī tādās jomās kā prasmju attīstība, lai tie varētu izpildīt savus pienākumus, ka noteikts šajā regulā. Turklāt, tā kā Direktīvā (ES) 2022/2555 ir noteikts, ka dalībvalstīm kā daļa no valsts kiberdrošības stratēģijām ir jāpieņem politika, kas veicina un attīsta apmācību kiberdrošības un kiberdrošības prasmju jomā, dalībvalstis, pieņemot šādas stratēģijas, var arī apsvērt iespēju pievērsties arī no šīs regulas izrietošajām kiberdrošības prasmju vajadzībām, tostarp saistībā ar pārkvalificēšanos un prasmju pilnveidi.

(24)

Drošs internets ir neaizstājams kritiski svarīgās infrastruktūras darbībai un sabiedrībai kopumā. Direktīvas (ES) 2022/2555 mērķis ir nodrošināt augstu kiberdrošības līmeni pakalpojumiem, ko sniedz būtiskas un svarīgas vienības, kā norādīts minētās direktīvas 3. pantā, to vidū digitālās infrastruktūras nodrošinātāji, kuri atbalsta atvērtā interneta pamatfunkcijas, nodrošina piekļuvi internetam un sniedz interneta pakalpojumus. Tāpēc ir svarīgi, lai produkti ar digitāliem elementiem, kas digitālās infrastruktūras nodrošinātājiem ir nepieciešami, lai nodrošinātu interneta darbību, tiktu izstrādāti drošā veidā un lai tie atbilstu vispāratzītiem interneta drošības standartiem. Šīs regulas, kas attiecas uz visiem savienojamiem aparatūras un programmatūras produktiem, mērķis ir arī sekmēt digitālās infrastruktūras nodrošinātāju atbilstību piegādes ķēdes prasībām saskaņā ar Direktīvu (ES) 2022/2555, nodrošinot, ka produkti ar digitāliem elementiem, ko tie izmanto savu pakalpojumu sniegšanai, tiek izstrādāti drošā veidā un ka tiem ir piekļuve šādu produktu savlaicīgiem drošības atjauninājumiem.

(25)

Eiropas Parlamenta un Padomes Regulā (ES) 2017/745 (9) ir paredzēti noteikumi par medicīniskajām ierīcēm, un Eiropas Parlamenta un Padomes Regulā (ES) 2017/746 (10) – par in vitro diagnostikas medicīniskajām ierīcēm. Šīs regulas pievēršas kiberdrošības riskiem un izmanto konkrētas pieejas, kas ir izskatītas arī šajā regulā. Konkrētāk, Regulā (ES) 2017/745 un Regulā (ES) 2017/746 ir noteiktas pamatprasības attiecībā uz medicīniskajām ierīcēm, kuras darbojas ar elektroniskas sistēmas starpniecību vai kuras pašas ir programmatūra. Minētās regulas attiecas arī uz noteiktu neiegulto programmatūru un visa aprites cikla pieeju. Šīs prasības nosaka, ka ražotājiem jāizstrādā un jāveido savi produkti, piemērojot riska pārvaldības principus un nosakot prasības attiecībā uz IT drošības pasākumiem, kā arī attiecīgas atbilstības novērtēšanas procedūras. Turklāt kopš 2019. gada decembra ir spēkā īpaši norādījumi par medicīnisko ierīču kiberdrošību, kuros medicīnisko ierīču, ieskaitot in vitro diagnostikas ierīces, ražotājiem ir sniegti norādījumi par to, kā izpildīt visas attiecīgās minēto regulu I pielikumā noteiktās pamatprasības attiecībā uz kiberdrošību. Tāpēc šai regulai nebūtu jāattiecas uz produktiem ar digitāliem elementiem, kam piemēro kādu no minētajām regulām.

(26)

Šī regula neattiecas uz produktiem ar digitāliem elementiem, kas izstrādāti vai modificēti tikai valsts drošības vai aizsardzības vajadzībām, vai produktiem, kas īpaši projektēti klasificētas informācijas apstrādei. Dalībvalstis tiek aicinātas nodrošināt šiem produktiem tādu pašu vai augstāku aizsardzības līmeni kā produktiem, uz kuriem attiecas šī regula.

(27)

Eiropas Parlamenta un Padomes Regulā (ES) 2019/2144 (11) ir noteiktas prasības transportlīdzekļu un to sistēmu un komponentu tipa apstiprināšanai, ieviešot konkrētas kiberdrošības prasības, arī attiecībā uz sertificētas kiberdrošības pārvaldības sistēmas darbību, programmatūras atjauninājumiem, ietverot organizāciju politiku un procesus attiecībā uz kiberdrošības riskiem, kas saistīti ar transportlīdzekļu, iekārtu un pakalpojumu visu aprites ciklu, saskaņā ar piemērojamajiem Apvienoto Nāciju Organizācijas noteikumiem par tehniskajām specifikācijām un kiberdrošību, jo īpaši ANO Noteikumiem Nr. 155 jeb Vienotajiem noteikumiem par transportlīdzekļu apstiprināšanu attiecībā uz kiberdrošību un kiberdrošības pārvaldības sistēmu (12), un paredzot īpašas atbilstības novērtēšanas procedūras. Aviācijas jomā Eiropas Parlamenta un Padomes Regulas (ES) 2018/1139 (13) galvenais mērķis ir izveidot un uzturēt vienādi augstu civilās aviācijas drošības līmeni Savienībā. Ar to izveido pamatprasību sistēmu attiecībā uz lidojumderīgumu aeronavigācijas produktiem, daļām un ierīcēm, ieskaitot programmatūru, kurā iekļauti pienākumi aizsargāt pret informācijas drošības apdraudējumiem. Saskaņā ar Regulu (ES) 2018/1139 noteiktais sertifikācijas process nodrošina tādu uzticamības līmeni, kas atbilst šīs regulas mērķim. Tāpēc uz produktiem ar digitāliem elementiem, kam piemēro Regulu (ES) 2019/2144, un uz produktiem, kas sertificēti saskaņā ar Regulu (ES) 2018/1139, nebūtu jāattiecas šajā regulā noteiktajām kiberdrošības pamatprasībām un atbilstības novērtēšanas procedūrām.

(28)

Šajā regulā ir noteikti horizontālie kiberdrošības noteikumi, kas nav paredzēti konkrētām nozarēm vai konkrētiem produktiem ar digitāliem elementiem. Tomēr noteiktām nozarēm vai konkrētiem produktiem paredzētus Savienības noteikumus būtu iespējams ieviest, nosakot prasības, kuras piemēro visiem vai dažiem riskiem, uz kuriem attiecas šajā regulā noteiktās kiberdrošības pamatprasības. Šādos gadījumos šīs regulas piemērošanu produktiem ar digitāliem elementiem, kas ietverti citos Savienības noteikumos, kuros ir noteiktas visiem vai dažiem tiem riskiem piemērojamas prasības, uz kuriem attiecas šajā regulā noteiktās kiberdrošības pamatprasības, var ierobežot vai izslēgt, ja šāds ierobežojums vai izslēgšana atbilst vispārējam tiesiskajam regulējumam, ko piemēro minētajiem produktiem, un ja nozares noteikumi nodrošina vismaz tādu pašu aizsardzības līmeni, kāds paredzēts šajā regulā. Komisija būtu jāpilnvaro pieņemt deleģētos aktus, lai papildinātu šo regulu, identificējot šādus produktus un noteikumus. Attiecībā uz spēkā esošajiem Savienības tiesību aktiem, kuros būtu jāpiemēro šādi ierobežojumi vai izslēgšana, šajā regulā ir ietverti īpaši noteikumi, lai precizētu tās saistību ar minētajiem Savienības tiesību aktiem.

(29)

Lai nodrošinātu, ka produktus ar digitāliem elementiem, kas darīti pieejami tirgū, var efektīvi remontēt un pagarināt to ilgizturību, būtu jāparedz izņēmums attiecībā uz rezerves daļām. Minētajam izņēmumam būtu jāattiecas gan uz tādām rezerves daļām, kas paredzētas senāku produktu remontam, kuri darīti pieejami pirms šīs regulas piemērošanas dienas, gan uz tādām rezerves daļām, kurām jau ir veikta atbilstības novērtēšanas procedūra saskaņā ar šo regulu.

(30)

Komisijas Deleģētajā regulā (ES) 2022/30 (14) ir norādīts, ka virkne Eiropas Parlamenta un Padomes Direktīvas 2014/53/ES (15) 3. panta 3. punkta d), e) un f) apakšpunktā noteikto pamatprasību, kas attiecas uz kaitējumu tīklam un tīkla resursu pārmērīgu izmantošanu, personas datiem un privātumu un krāpšanu, piemēro noteiktām radioiekārtām. Komisijas Īstenošanas lēmumā C(2022) 5637 (2022. gada 5. augusts) par standartizācijas pieprasījumu Eiropas Standartizācijas komitejai un Eiropas Elektrotehnikas standartizācijas komitejai ir noteiktas prasības īpašu standartu izstrādei, papildus precizējot, kā šīs trīs pamatprasības būtu jārisina. Šajā regulā noteiktās kiberdrošības pamatprasības ietver visus Direktīvas 2014/53/ES 3. panta 3. punkta d), e) un f) apakšpunktā minēto pamatprasību elementus. Turklāt šajā regulā noteiktās kiberdrošības pamatprasības ir saskaņotas ar minētajā standartizācijas pieprasījumā iekļauto īpašo standartu prasību mērķiem. Tāpēc gadījumā, kad Komisija atceļ vai groza Deleģēto regulu (ES) 2022/30, kā rezultātā tā vairs nav piemērojama noteiktiem produktiem, uz kuriem attiecas šī regula, Komisijai un Eiropas standartizācijas organizācijām būtu jāņem vērā standartizācijas darbs, kas veikts saistībā ar Īstenošanas lēmumu C(2022)5637, saskaņoto standartu sagatavošanā un izstrādē ar mērķi sekmēt šīs regulas īstenošanu. Šīs regulas piemērošanai noteiktā pārejas periodā Komisijai būtu jāsniedz norādījumi ražotājiem, uz kuriem attiecas šī regula un arī Deleģētā regula (ES) 2022/30, lai sekmētu pierādīšanu par atbilstību abām regulām.

(31)

Eiropas Parlamenta un Padomes Direktīva (ES) 2024/2853 (16) papildina šo regulu. Minētajā direktīvā ir paredzēti noteikumi par atbildību attiecībā uz produktiem ar trūkumiem, lai aizskartās personas varētu pieprasīt kompensāciju, ja kaitējumu ir izraisījuši produkti ar trūkumiem. Tajā ir noteikts princips, saskaņā ar kuru produkta ražotājs neatkarīgi no vainas ir atbildīgs par kaitējumu, ko izraisījis viņa produkta drošuma trūkums (“stingrā atbildība”). Ja šāds drošības trūkums izpaužas kā drošības atjauninājumu trūkums pēc produkta laišanas tirgū un tas rada kaitējumu, varētu iestāties ražotāja atbildība. Šajā regulā būtu jānosaka ražotāju pienākumi, kas attiecas uz šādu drošības atjauninājumu nodrošināšanu.

(32)

Šai regulai nebūtu jāskar Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (17), ieskaitot noteikumus, kas attiecas uz datu aizsardzības sertifikācijas mehānismu ieviešanu un datu aizsardzības zīmogiem un marķējumu, kam uzskatāmi jāparāda datu pārziņu un apstrādātāju veikto apstrādes darbību atbilstība minētajai regulai. Šādas darbības varētu iestrādāt produktā ar digitāliem elementiem. Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma, kā arī kiberdrošība kopumā ir Regulas (ES) 2016/679 galvenie elementi. Aizsargājot patērētājus un organizācijas no kiberdrošības riskiem, šajā regulā noteiktajām kiberdrošības pamatprasībām ir arī jāpalīdz uzlabot personas datu un personu privātuma aizsardzību. Būtu jāapsver sinerģija gan standartizācijas, gan sertifikācijas jomā attiecībā uz kiberdrošības aspektiem, kurā izmantotu sadarbību starp Komisiju, Eiropas standartizācijas organizācijām, Eiropas Savienības Kiberdrošības aģentūru (ENISA), ar Regulu (ES) 2016/679 izveidoto Eiropas Datu aizsardzības kolēģiju un valstu datu aizsardzības uzraudzības iestādēm. Sinerģija starp šo regulu un Savienības datu aizsardzības tiesību aktiem būtu jāizveido arī tirgus uzraudzības un izpildes panākšanas jomā. Šajā nolūkā atbilstīgi šai regulai izraudzītajām valstu tirgus uzraudzības iestādēm būtu jāsadarbojas ar iestādēm, kuras uzrauga Savienības datu aizsardzības tiesību aktu piemērošanu. Tām vajadzētu būt arī piekļuvei informācijai, kas ir būtiska tām paredzēto uzdevumu veikšanai.

(33)

Eiropas digitālās identitātes maku nodrošinātājiem, kas minēti Eiropas Parlamenta un Padomes Regulas (ES) Nr. 910/2014 (18) 5.a panta 2. punktā, ciktāl to produkti ietilpst šīs regulas darbības jomā, būtu jāievēro gan šajā regulā noteiktās horizontālās kiberdrošības pamatprasības, gan īpašās drošības prasības, kas noteiktās Regulas (ES) Nr. 910/2014 5.a pantā. Lai sekmētu atbilstību, maku nodrošinātājiem būtu jāspēj pierādīt Eiropas digitālās identitātes maku atbilstību attiecīgi šajā regulā un Regulā (ES) Nr. 910/2014 noteiktajām prasībām, sertificējot savus produktus saskaņā ar Eiropas kiberdrošības sertifikācijas shēmu, kas izveidota atbilstīgi Regulai (ES) 2019/881 un attiecībā uz kuru Komisija, izmantojot deleģētos aktus, ir precizējusi pieņēmumu par atbilstību šai regulai, ciktāl sertifikāts vai tā daļas attiecas uz minētajām prasībām.

(34)

Projektēšanas un izstrādes posmā integrējot no trešām personām iegūtus komponentus produktos ar digitāliem elementiem, ražotājiem, lai nodrošinātu, ka produkti tiek projektēti, izstrādāti un ražoti saskaņā ar šajā regulā noteiktajām kiberdrošības pamatprasībām, būtu jāievēro pienācīgas rūpības pienākums attiecībā uz minētajiem komponentiem, tostarp brīvi pieejamas atvērtā pirmkoda programmatūras komponentiem, kas nav darīti pieejami tirgū. Atbilstošais pienācīgas rūpības pienākuma līmenis ir atkarīgs no kiberriska veida un līmeņa, kas saistīts ar komponentu, un šajā nolūkā būtu jāņem vērā viena vai vairākas no turpmāk minētajām darbībām: attiecīgā gadījumā verificējot, vai komponenta ražotājs ir pierādījis atbilstību šai regulai, tostarp pārbaudot, vai sastāvdaļai jau ir CE zīme; verificējot, vai komponents regulāri saņem drošības atjauninājumus, piemēram, kontrolējot tā drošības atjauninājumu vēsturi; verificējot, vai komponentam nav kāda no ievainojamībām, kas reģistrētas saskaņā ar Direktīvas (ES) 2022/2555 12. panta 2. punktu izveidotajā Eiropas ievainojamību datubāzē vai citās publiski pieejamās ievainojamību datubāzēs, vai veicot papildu drošības testus. Šajā regulā noteiktie ievainojamības novēršanas pienākumi, kas ražotājiem jāievēro, laižot tirgū produktu ar digitāliem elementiem, un arī atbalsta periodā, attiecas uz produktiem ar digitāliem elementiem kopumā, tostarp uz visiem integrētajiem komponentiem. Ja, īstenojot pienācīgas rūpības pienākumu, produkta ar digitāliem elementiem ražotājs konstatē ievainojamību komponentā, tostarp brīvi pieejama atvērtā pirmkoda komponentā, tam būtu jāinformē persona vai vienība, kas ražo vai uztur komponentu, jāpievēršas ievainojamībai un tā jānovērš un attiecīgā gadījumā jāsniedz personai vai vienībai drošības risinājums, kas ticis piemērots.

(35)

Tūlīt pēc šīs regulas piemērošana noteiktā pārejas perioda beigām ražotājs, kas izgatavo produktu ar digitāliem elementiem, kurā ir integrēts viens vai vairāki komponenti, kas iegūti no trešām personām, uz kurām arī attiecas šī regula, var nespēt pienācīgas rūpības pienākuma īstenošanā, piemēram, pārbaudot, vai komponentiem jau ir CE zīme, verificēt, vai minēto komponentu ražotāji ir pierādījuši atbilstību šai regulai. Tas var notikt, ja komponenti ir integrēti vēl pirms šo regulu sāk piemērot šo komponentu ražotājiem. Šādā gadījumā ražotājam, kas integrē šādus komponentus, pienācīgas rūpības pienākums jāīsteno ar citiem līdzekļiem.

(36)

Produkti ar digitāliem elementiem būtu jāmarķē ar CE zīmi, kas redzami, salasāmi un neizdzēšami norādītu uz to atbilstību šai regulai, lai tos varētu laist brīvā apritē iekšējā tirgū. Dalībvalstīm nebūtu jārada nepamatoti šķēršļi tādu produktu ar digitāliem elementiem laišanai tirgū, kas atbilst šajā regulā noteiktajām prasībām un ir marķēti ar CE zīmi. Turklāt tirdzniecības gadatirgos, izstādēs un demonstrācijās vai līdzīgos pasākumos dalībvalstīm nebūtu jāaizliedz tāda produkta ar digitāliem elementiem, kas neatbilst šai regulai, tostarp to prototipu, prezentācija vai izmantošana, ar noteikumu, ka uz produkta ir redzama zīme, kas skaidri norāda, ka produkts neatbilst šai regulai un ka to nedrīkst darīt pieejamu tirgū, kamēr tas neatbilst šai regulai.

(37)

Lai nodrošinātu, ka ražotāji pirms savu produktu ar digitāliem elementiem atbilstības novērtēšanas var izlaist programmatūru testēšanas vajadzībām, dalībvalstīm nevajadzētu liegt darīt pieejamu nepabeigtu programmatūru, piemēram, alfa versijas, beta versijas vai izlaišanas kandidātus, ar nosacījumu, ka nepabeigta programmatūra ir pieejama tikai uz laiku, kas nepieciešams tās testēšanai un atsauksmju saņemšanai. Ražotājiem būtu jānodrošina, ka programmatūra, kas darīta pieejama saskaņā ar šiem nosacījumiem, tiek izlaista tikai pēc riska novērtējuma un ka tā, ciktāl iespējams, atbilst šajā regulā noteiktajām drošības prasībām attiecībā uz produktu ar digitāliem elementiem īpašībām. Ražotājiem pēc iespējas būtu jāīsteno arī ievainojamību novēršanas prasības. Ražotājiem nevajadzētu piespiest lietotājus veikt jaunināšanu uz versijām, kas ir izlaistas tikai testēšanas vajadzībām.

(38)

Lai nodrošinātu, ka, laižot tirgū produktus ar digitāliem elementiem, tie nerada kiberdrošības riskus personām un organizācijām, šādiem produktiem būtu jānosaka kiberdrošības pamatprasības. Šīs kiberdrošības pamatprasības, tostarp ievainojamības pārvaldības prasības, piemēro katram atsevišķam produktam ar digitāliem elementiem, kad to laiž tirgū, neatkarīgi no tā, vai produkts ar digitāliem elementiem tiek ražots kā atsevišķa vienība vai sērijveidā. Piemēram, attiecībā uz produkta tipu katram atsevišķam produktam ar digitāliem elementiem, kad tas tiek laists tirgū, būtu jāsaņem visi pieejamie drošības labojumi vai atjauninājumi ar mērķi risināt attiecīgās drošības problēmas. Ja šādi produkti ar digitāliem elementiem pēc tam ar fiziskiem vai digitāliem līdzekļiem tiek modificēti tā, kā ražotājs nav paredzējis sākotnējā riska novērtējumā, un tas varētu nozīmēt, ka tie vairs neatbilst attiecīgajām kiberdrošības pamatprasībām, modifikācija būtu jāuzskata par būtisku. Piemēram, remontu varētu pielīdzināt uzturēšanas darbībām ar noteikumu, ka tie nemodificē jau tirgū laistu produktu ar digitāliem elementiem tā, ka var tikt ietekmēta atbilstība piemērojamajām prasībām, vai ka var tikt mainīts paredzētais nolūks, attiecībā uz kuru produkts ir izvērtēts.

(39)

Tāpat kā fizisku remontu vai modifikāciju gadījumā, arī produkts ar digitāliem elementiem būtu jāuzskata par būtiski modificētu ar programmatūras izmaiņām, ja programmatūras atjauninājums modificē produkta paredzēto nolūku un ražotājs šīs izmaiņas nav paredzējis sākotnējā riska novērtējumā vai ja programmatūras atjauninājuma dēļ ir mainījies apdraudējuma raksturs vai palielinājies kiberdrošības riska līmenis, un atjauninātā produkta versija ir darīta pieejama tirgū. Ja drošības atjauninājums, kura mērķis ir samazināt produkta ar digitāliem elementiem kiberdrošības riska līmeni, nemodificē produkta ar digitāliem elementiem paredzēto nolūku, tas netiek uzskatīts par būtisku modifikāciju. Tas parasti attiecas uz situācijām, kad drošības atjauninājumi ietver tikai nelielas pirmkoda korekcijas. Piemēram, tas varētu būt gadījums, kad ar drošības atjauninājumu tiek novērsta zināma ievainojamība, tostarp tiek modificētas produkta ar digitāliem elementiem funkcijas vai veiktspēja tikai ar mērķi samazināt kiberdrošības riska līmeni. Tāpat arī nelielu funkcionalitātes atjauninājumu, piemēram, vizuālu uzlabojumu vai jaunu piktogrammu vai valodu pievienošanu lietotāja saskarnei lietotāja saskarnei, parasti nebūtu jāuzskata par būtisku modifikāciju. Turpretī, ja elementu atjauninājums modificē sākotnēji paredzētās funkcijas vai produkta ar digitāliem elementiem veidu vai veiktspēju un atbilst iepriekš minētajiem kritērijiem, tas būtu jāuzskata par būtisku modifikāciju, jo jaunu elementu pievienošana parasti rada plašāku uzbrukuma virsmu, tādējādi palielinot kiberdrošības risku. Piemēram, tas varētu būt gadījums, kad lietojumprogrammai tiek pievienots jauns ievades elements, tāpēc ražotājam ir jānodrošina atbilstoša ievades validācija. Novērtējot, vai elementa atjauninājums ir uzskatāms par būtisku modifikāciju, nav svarīgi, vai tas tiek sniegts kā atsevišķs atjauninājums vai kopā ar drošības atjauninājumu. Komisijai būtu jāizdod norādījumi par to, kā noteikt, kas ir būtiska modifikācija.

(40)

Ņemot vērā programmatūras izstrādes iteratīvo raksturu, ražotājiem, kuri ir laiduši tirgū programmatūras produkta turpmākās versijas vēlāku šā produkta būtiskas modifikācijas rezultātā, atbalsta periodā būtu jāspēj nodrošināt drošības atjauninājumus tikai tai programmatūras produkta versijai, kuru tie laiduši tirgū pēdējo. Tiem vajadzētu būt iespējai to darīt tikai tad, ja attiecīgo iepriekšējo produkta versiju lietotājiem bez maksas ir pieejama pēdējā tirgū laistā produkta versija un viņiem nerodas papildu izmaksas, lai pielāgotu aparatūras vai programmatūras vidi, kurā viņi izmanto produktu. Tas varētu būt, piemēram, gadījums, kad datora operētājsistēmas atjaunināšanai nav vajadzīga jauna aparatūra, piemēram, ātrāks centrālais procesors vai lielāka atmiņa. Tomēr atbalsta periodā ražotājam būtu jāturpina ievērot citas ievainojamības novēršanas prasības, piemēram, jāievieš politika koordinētai ievainojamības atklāšanai vai pasākumi, kas sekmē informācijas apmaiņu par iespējamām ievainojamībām attiecībā uz visām turpmākajām būtiski modificētajām programmatūras produkta versijām, kas laistas tirgū. Ražotājiem vajadzētu būt iespējai sniegt nelielus drošības vai funkcionalitātes atjauninājumus, kas nav būtiskas modifikācijas, tikai attiecībā uz programmatūras produkta jaunāko versiju vai apakšversiju, kas nav būtiski modificēta. Tajā pašā laikā, ja aparatūras produkts, piemēram, viedtālrunis, nav savietojams ar tās operētājsistēmas jaunāko versiju, ar kuru tas sākotnēji piegādāts, ražotājam atbalsta periodā būtu jāturpina nodrošināt drošības atjauninājumus vismaz jaunākajai saderīgajai operētājsistēmas versijai.

(41)

Saskaņā ar vispāratzīto jēdzienu par produktu būtisku modifikāciju, ko reglamentē Savienības saskaņošanas tiesību akti, ikreiz, kad notiek būtiska modifikācija, kas var ietekmēt produkta ar digitāliem elementiem atbilstību šai regulai, vai ja mainās minētā produkta paredzētais nolūks, ir lietderīgi pārbaudīt produkta ar digitāliem elementiem atbilstību un attiecīgā gadījumā veikt jaunu atbilstības novērtēšanu. Attiecīgā gadījumā, ja ražotājs veic atbilstības novērtēšanu, kurā tiek iesaistīta trešā persona, par izmaiņām, kas varētu izraisīt būtisku modifikāciju, būtu jāinformē trešā persona.

(42)

Ja uz produktu ar digitāliem elementiem attiecas “atjaunošana”, “uzturēšana” un “remontēšana”, kā definēts Eiropas Parlamenta un Padomes Regulas (ES) 2024/1781 (19) 2. panta 18., 19. un 20. punktā, tad tas ne vienmēr izraisa produkta būtisku modifikāciju, piemēram, ja paredzētais lietojums un funkcijas netiek mainītas un netiek ietekmēts riska līmenis. Tomēr ražotāja veikta produkta jaunināšana varētu izraisīt izmaiņas produkta projektēšanā un izstrādē un tādējādi varētu ietekmēt produkta paredzēto nolūku un atbilstību šajā regulā noteiktajām prasībām. Tomēr ražotāja veikta produkta ar digitāliem elementiem jaunināšana varētu izraisīt izmaiņas produkta projektēšanā un izstrādē un tāpēc varētu ietekmēt tā paredzēto nolūku un atbilstību šajā regulā noteiktajām prasībām.

(43)

Produkti ar digitāliem elementiem būtu jāuzskata par svarīgiem, ja produkta iespējamo kiberdrošības ievainojamību izmantošanas negatīvā ietekme var būt nopietna, inter alia ar kiberdrošību saistītas funkcionalitātes vai funkcijas dēļ, kam piemīt būtisks nelabvēlīgas ietekmes risks saistībā ar intensitāti un spēju traucēt, kontrolēt vai nodarīt kaitējumu lielam skaitam citu produktu ar digitāliem elementiem vai tā lietotāju veselībai, drošībai vai drošumam, izmantojot tiešas manipulācijas, piemēram, saistībā ar centrālām sistēmas funkcijām, tostarp tīkla pārvaldību, konfigurācijas kontroli, virtualizāciju vai personas datu apstrādi. Jo īpaši tādu produktu ar digitāliem elementiem ievainojamība, kam ir ar kiberdrošību saistīta funkcionalitāte, piemēram, sāknēšanas pārvaldnieki, var izraisīt drošības problēmu izplatīšanos visā piegādes ķēdē. Kiberdrošības incidenta ietekmes nopietnības pakāpe var pieaugt arī tad, ja produkts galvenokārt veic centrālas sistēmas funkcijas, tostarp tīkla pārvaldības, konfigurācijas kontroles, virtualizācijas vai personas datu apstrādes funkcijas.

(44)

Dažām produktu ar digitāliem elementiem kategorijām būtu jāpiemēro stingrākas atbilstības novērtēšanas procedūras, vienlaikus saglabājot samērīgu pieeju. Šajā nolūkā nozīmīgi produkti ar digitāliem elementiem būtu jāiedala divās klasēs, kas atspoguļo ar šīm produktu kategorijām saistītā kiberdrošības riska līmeni. Incidentam, kurā iesaistīti nozīmīgi II klasē ietilpstoši produkti ar digitāliem elementiem, varētu būt lielāka negatīvā ietekme nekā incidentam, kurā iesaistīti nozīmīgi I klasē ietilpstoši produkti ar digitāliem elementiem, piemēram, attiecīgo produktu ar kiberdrošību saistītās funkcijas rakstura vai citas funkcijas veiktspējas dēļ, kas saistīta ar ievērojamu negatīvas ietekmes risku. Par šādu lielāku negatīvu ietekmi liecina tas, ka produkti ar digitāliem elementiem, kas ietilpst II klasē, varētu vai nu pildīt ar kiberdrošību saistītu funkciju, vai citu funkciju, kas saistīta ar būtisku negatīvas ietekmes risku, kurš ir lielāks nekā I klasē uzskaitītajiem produktiem, vai arī atbilst abiem iepriekš minētajiem kritērijiem. Tāpēc nozīmīgiem produktiem ar digitāliem elementiem, kas ietilpst II klasē, būtu jāpiemēro stingrāka atbilstības novērtēšanas procedūra.

(45)

Šajā regulā minētie nozīmīgie produkti ar digitāliem elementiem būtu jāsaprot kā produkti, kuriem ir šajā regulā noteiktās svarīgo produktu ar digitāliem elementiem kategorijas pamatfunkcijas. Piemēram, šajā regulā ir noteiktas tādu svarīgu produktu ar digitāliem elementiem kategorijas, kas pēc to pamatfunkcijas ir noteikti kā II klases ugunsmūri vai ielaušanās atklāšanas vai novēršanas sistēmas. Tādējādi uz ugunsmūriem un ielaušanās atklāšanas vai novēršanas sistēmām attiecas obligāta trešās personas veikta atbilstības novērtēšana. Tas neattiecas uz citiem produktiem ar digitāliem elementiem, kas nav klasificēti kā nozīmīgi produkti ar digitāliem elementiem, kuros var būt integrēti ugunsmūri vai ielaušanās atklāšanas vai novēršanas sistēmas. Komisijai būtu jāpieņem īstenošanas akts, lai precizētu I un II klases svarīgo produktu ar digitāliem elementiem kategoriju tehnisko aprakstu, kā noteikts šajā regulā.

(46)

Šajā regulā noteiktajām kritiski svarīgu produktu ar digitāliem elementiem kategorijām ir ar kiberdrošību saistīta funkcionalitāte, un tās veic funkciju, kas rada būtisku negatīvas ietekmes risku, ņemot vērā intensitāti un spēju tiešas manipulācijas rezultātā traucēt, kontrolēt vai nodarīt kaitējumu lielam skaitam citu produktu ar digitāliem elementiem. Turklāt minētās produktu ar digitāliem elementiem kategorijas tiek uzskatītas par kritisku atkarību būtiskām vienībām, kā minēts Direktīvas (ES) 2022/2555 3. panta 1. punktā. Šīs regulas pielikumā minētām kritiski svarīgu produktu ar digitāliem elementiem kategorijām to kritiskuma dēļ jau plaši piemēro dažādus sertifikācijas veidus un uz tām attiecas arī uz kopīgiem kritērijiem balstīta Eiropas kiberdrošības sertifikācijas shēma (EUCC), kas noteikta Komisijas Īstenošanas regulā (ES) 2024/482 (20). Tāpēc, lai Savienībā nodrošinātu kopēju pienācīgu kiberdrošības aizsardzību kritiski svarīgiem produktiem ar digitāliem elementiem, varētu būt atbilstoši un samērīgi ar deleģēto aktu šādām produktu kategorijām noteikt obligātu Eiropas kiberdrošības sertifikāciju, ja jau ir ieviesta attiecīga Eiropas kiberdrošības sertifikācijas shēma, kas attiecas uz šiem produktiem, un Komisija ir veikusi paredzētās obligātās sertifikācijas iespējamās ietekmes uz tirgu novērtējumu. Minētajā novērtējumā būtu jāņem vērā gan piedāvājuma, gan pieprasījuma aspekts, tostarp tas, vai ir pietiekams pieprasījums pēc attiecīgajiem produktiem ar digitāliem elementiem gan no dalībvalstīm, gan lietotājiem, lai būtu nepieciešama Eiropas kiberdrošības sertifikācija, kā arī mērķi, kādiem produktus ar digitāliem elementiem paredzēts izmantot, tostarp būtisko vienību kritiskā atkarība no tiem, kā minēts Direktīvas (ES) 2022/2555 3. panta 1. punktā. Novērtējumā būtu jāanalizē arī obligātās sertifikācijas iespējamā ietekme uz minēto produktu pieejamību iekšējā tirgū un dalībvalstu spējas un gatavība īstenot attiecīgās Eiropas kiberdrošības sertifikācijas shēmas.

(47)

Deleģētajos aktos, kas paredz obligātu Eiropas kiberdrošības sertifikāciju, būtu jānosaka produkti ar digitāliem elementiem, kuriem ir šajā regulā noteiktas kritiski svarīgu produktu ar digitāliem elementiem kategorijas pamatfunkcijas, uz kuriem attiecas obligāta sertifikācija, kā arī nepieciešamais apliecinājuma līmenis, kam vajadzētu būt vismaz būtiskam. Nepieciešamajam apliecinājuma līmenim vajadzētu būt samērīgam ar kiberdrošības riska līmeni, kas saistīts ar produktu ar digitāliem elementiem. Piemēram, ja produktam ar digitāliem elementiem ir šajā regulā noteiktas kritiski svarīgu produktu ar digitāliem elementiem kategorijas pamatfunkcija un tas ir paredzēts lietošanai jutīgā vai kritiskā vidē, piemēram, produktiem, kas paredzēti būtisko vienību lietošanai, kā minēts Direktīvas (ES) 2022/2555 3. panta 1. punktā, tam var būt nepieciešams augstākais apliecinājuma līmenis.

(48)

Lai Savienībā nodrošinātu to produktu ar digitāliem elementiem kopīgu pienācīgu kiberdrošības aizsardzību, kuriem ir šajā regulā noteiktas kritiski svarīgu produktu ar digitāliem elementiem kategorijas pamatfunkcijas, Komisija būtu arī jāpilnvaro pieņemt deleģētos aktus šīs regulas grozīšanai, pievienojot vai svītrojot kritiski svarīgu produktu ar digitāliem elementiem kategorijas, kuru ražotājiem nolūkā pierādīt atbilstību šai regulai varētu pieprasīt iegūt Eiropas kiberdrošības sertifikātu saskaņā ar Eiropas kiberdrošības sertifikācijas shēmu atbilstīgi Regulai (ES) 2019/881. Šīm kategorijām var pievienot jaunu kritiski svarīgu produktu ar digitāliem elementiem kategoriju, ja no tām ir kritiski atkarīgas būtiskās vienības, kā minēts Direktīvas (ES) 2022/2555 3. panta 1. punktā, vai ja tās skar incidenti vai arī ja tās satur izmantotas ievainojamības, kas varētu izraisīt traucējumus kritiski svarīgās piegādes ķēdēs. Novērtējot nepieciešamību ar deleģēto aktu pievienot vai svītrot kritiski svarīgu produktu ar digitāliem elementiem kategorijas, Komisijai vajadzētu būt iespējai ņemt vērā to, vai dalībvalstis valsts līmenī ir identificējušas produktus ar digitāliem elementiem, kuriem ir kritiski svarīga nozīme būtisko vienību noturībā, kā minēts Direktīvas (ES) 2022/2555 3. panta 1. punktā, un kuri arvien biežāk piegādes ķēdē saskaras ar kiberuzbrukumiem ar iespējamu nopietnu traucējošu ietekmi. Turklāt Komisijai vajadzētu būt iespējai ņemt vērā rezultātus, kas gūti saskaņā ar Direktīvas (ES) 2022/2555 22. pantu veiktajā Savienības līmeņa koordinētā kritiski svarīgo piegādes ķēžu drošības riska novērtējumā.

(49)

Komisijai būtu jānodrošina, ka, sagatavojot pasākumus šīs regulas īstenošanai, strukturēti un regulāri notiek apspriešanās ar plašu attiecīgo ieinteresēto personu loku. Tam jo īpaši būtu jāattiecas uz gadījumiem, kad Komisija novērtē vajadzību pēc potenciāliem atjauninājumiem svarīgu vai kritiski svarīgu produktu ar digitāliem elementiem kategoriju sarakstos, kad būtu jāapspriežas ar attiecīgajiem ražotājiem un jāņem vērā viņu viedoklis, lai analizētu kiberdrošības riskus, kā arī izmaksu un ieguvumu līdzsvaru, nosakot šādas produktu kategorijas kā svarīgas vai kritiski svarīgas.

(50)

Šī regula mērķtiecīgi pievēršas kiberdrošības riskiem. Tomēr produkti ar digitāliem elementiem vienmēr var radīt arī citus drošības riskus, kas ne vienmēr ir saistīti ar kiberdrošību, bet var izrietēt no drošības pārkāpuma. Minētie riski arī turpmāk būtu jāreglamentē ar attiecīgajiem Savienības saskaņošanas tiesību aktiem, kas nav šī regula. Ja nav piemērojami citi Savienības saskaņošanas tiesību akti, izņemot šo regulu, uz tiem būtu jāattiecina Eiropas Parlamenta un Padomes Regula (ES) 2023/988 (21). Tāpēc, ņemot vērā šīs regulas mērķtiecīgo raksturu, atkāpjoties no Regulas (ES) 2023/988 2. panta 1. punkta trešās daļas b) apakšpunkta, ja uz produktiem ar digitāliem elementiem Regulas (ES) 2023/988 3. panta 27. punkta nozīmē neattiecas īpašas prasības, kas noteiktas citos Savienības saskaņošanas tiesību aktos, kuri nav šī regula, tad minētajiem produktiem attiecībā uz šajā regulā neietvertiem drošības riskiem būtu jāpiemēro Regulas (ES) 2023/988 III nodaļas 1. iedaļa, V un VII nodaļa un IX–XI nodaļa.

(51)

Produktiem ar digitāliem elementiem, kas klasificēti kā augsta riska MI sistēmas saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2024/1689 (22) 6. pantu un kas ietilpst šīs regulas darbības jomā, būtu jāatbilst šajā regulā noteiktajām kiberdrošības pamatprasībām. Ja šīs augsta riska MI sistēmas atbilst šīs regulas kiberdrošības pamatprasībām, būtu jāuzskata, ka tās atbilst Regulas (ES) 2024/1689 15. pantā noteiktajām kiberdrošības prasībām, ciktāl uz šīm prasībām attiecas ES atbilstības deklarācija vai tās daļas, kas izdotas atbilstīgi šai regulai. Šim nolūkam to kiberdrošības risku novērtēšanā, kas saistīti ar produktu ar digitāliem elementiem, kurš, ievērojot Regulu (ES) 2024/1689, klasificēts kā augsta riska MI sistēma, un kas jāņem vērā šāda produkta plānošanas, projektēšanas, izstrādes, ražošanas, piegādes un uzturēšanas posmos, kā prasa šī regula, būtu jāņem vērā riski MI sistēmas kibernoturībai attiecībā uz nepilnvarotu trešo personu mēģinājumiem mainīt tās lietošanu, uzvedību vai veiktspēju, tostarp MI specifiskas ievainojamības, piemēram, datu saindēšana vai ļaunprātīgi uzbrukumi, kā arī attiecīgā gadījumā riski pamattiesībām saskaņā ar Regulu (ES) 2024/1689. Attiecībā uz atbilstības novērtēšanas procedūrām, kas saistītas ar kiberdrošības pamatprasībām produktam ar digitāliem elementiem, kurš ietilpst šīs regulas darbības jomā un kurš ir klasificēts kā augsta riska MI sistēma, šīs regulas attiecīgo noteikumu vietā parasti būtu jāpiemēro Regulas (ES) 2024/1689 43. pants. Tomēr minētā noteikuma piemērošanai nevajadzētu samazināt nepieciešamo uzticamības līmeni attiecībā uz šajā regulā minētajiem svarīgajiem vai kritiski svarīgajiem produktiem ar digitāliem elementiem. Tāpēc, atkāpjoties no minētā noteikuma, augsta riska MI sistēmām, kuras ietilpst Regulas (ES) 2024/1689 darbības jomā un kuras, kā minēts šajā regulā, arī tiek kvalificētas kā nozīmīgi vai kritiski svarīgi produkti ar digitāliem elementiem, un uz kurām attiecas Regulas (ES) 2024/1689 VI pielikumā minētā uz iekšējo kontroli pamatotā atbilstības novērtēšanas procedūra, būtu jāpiemēro šajā regulā paredzētie atbilstības novērtēšanas noteikumi, ciktāl tas attiecas uz šajā regulā noteiktajām kiberdrošības pamatprasībām. Šādā gadījumā attiecībā uz visiem pārējiem Regulā (ES) 2024/1689 ietvertajiem aspektiem būtu jāpiemēro attiecīgie uz iekšējo kontroli pamatotas atbilstības novērtēšanas noteikumi, kas izklāstīti minētās regulas VI pielikumā.

(52)

Lai uzlabotu drošību attiecībā uz produktiem ar digitāliem elementiem, kurus laiž iekšējā tirgū, ir jānosaka šādiem produktiem piemērojamas kiberdrošības pamatprasības. Šīm kiberdrošības pamatprasībām nebūtu jāskar Savienības līmenī koordinētie kritisko piegādes ķēžu drošības riska novērtējumi, kas noteikti Direktīvas (ES) 2022/2555 22. pantā, un kuros tiek ņemti vērā gan tehniski, gan attiecīgā gadījumā netehniski riska faktori, piemēram, trešās valsts neatļauta ietekme uz piegādātājiem. Turklāt tām nebūtu jāskar dalībvalstu prerogatīvas noteikt papildu prasības, kurās augsta noturības līmeņa nodrošināšanai tiek ņemti vērā netehniski faktori, arī tie, kas noteikti Komisijas Ieteikumā (ES) 2019/534 (23), ES koordinētajā 5G tīklu kiberdrošības riska novērtējumā un ES rīkkopā par 5G kiberdrošību, kuru saskaņojusi sadarbības grupa, kas izveidota, ievērojot Direktīvas (ES) 2022/2555 14. pantu.

(53)

Tādu produktu ražotājiem, kuri ietilpst Eiropas Parlamenta un Padomes Regulas (ES) 2023/1230 (24) darbības jomā un kuri ir arī produkti ar digitāliem elementiem, kā definēts šajā regulā, būtu jāievēro gan šajā regulā noteiktās kiberdrošības pamatprasības, gan Regulā (ES) 2023/1230 noteiktās veselības un drošības pamatprasības. Šajā regulā noteiktās kiberdrošības pamatprasības un dažas Regulā (ES) 2023/1230 noteiktās pamatprasības varētu attiekties uz līdzīgiem kiberdrošības riskiem. Tāpēc atbilstība šajā regulā noteiktajām kiberdrošības pamatprasībām varētu sekmēt atbilstību pamatprasībām, kas aptver arī konkrētus kiberdrošības riskus, kā noteikts Regulā (ES) 2023/1230, un jo īpaši prasībām attiecībā uz aizsardzību pret korupciju un kontroles sistēmu drošumu un uzticamību, kas noteiktas minētās Regulas III pielikuma 1.1.9. un 1.2.1. iedaļā. Šāda sinerģija ražotājam ir jāpierāda, piemēram, pēc minēto kiberdrošības risku aptveroša riska novērtējuma veikšanas piemērojot saskaņotos standartus, ja tādi ir pieejami, vai citas tehniskās specifikācijas, kas attiecas uz attiecīgajām kiberdrošības pamatprasībām. Ražotājam būtu arī jāievēro piemērojamās atbilstības novērtēšanas procedūras, kas noteiktas šajā regulā un Regulā (ES) 2023/1230. Komisijai un Eiropas standartizācijas organizācijām, veicot sagatavošanas darbus ar mērķi atbalstīt šīs regulas un Regulas (ES) 2023/1230 īstenošanu un ar to saistītos standartizācijas procesus, būtu jāveicina konsekvence attiecībā uz to, kā jānovērtē kiberdrošības riski un kā šie riski jāiekļauj saskaņotajos standartos, ņemot vērā attiecīgās pamatprasības. Jo īpaši Komisijai un Eiropas standartizācijas organizācijām šī regula būtu jāņem vērā, sagatavojot un izstrādājot saskaņotos standartus ar mērķi sekmēt Regulas (ES) 2023/1230 īstenošanu, jo īpaši attiecībā uz kiberdrošības aspektiem, kas saistīti ar aizsardzību pret korupciju un kontroles sistēmu drošumu un uzticamību, kā noteikts minētās regulas III pielikuma 1.1.9. un 1.2.1. iedaļā. Komisijai būtu jāsniedz norādījumi nolūkā atbalstīt ražotājus, uz kuriem attiecas šī regula un arī Regula (ES) 2023/1230, jo īpaši, lai sekmētu atbilstības pierādīšanu attiecīgajām šajā regulā un Regulā (ES) 2023/1230 noteiktajām pamatprasībām.

(54)

Lai nodrošinātu, ka produkti ar digitāliem elementiem ir droši gan brīdī, kad tos laiž tirgū, gan arī laikā, kad produktu ar digitāliem elementiem paredzēts lietot, ir jānosaka kiberdrošības pamatprasības ievainojamību novēršanai un kiberdrošības pamatprasības attiecībā uz produktu ar digitāliem elementiem īpašībām. Lai gan ražotājiem visā atbalsta periodā būtu jāievēro visas ar ievainojamību novēršanu saistītās kiberdrošības pamatprasības, tiem būtu jānosaka, kuras citas ar produktu īpašībām saistītas kiberdrošības pamatprasības ir būtiskas attiecīgajam produktu ar digitāliem elementiem veidam. Šajā nolūkā ražotājiem būtu jāveic ar produktu ar digitāliem elementiem saistīto kiberdrošības risku novērtējums, lai konstatētu attiecīgos riskus un attiecīgās kiberdrošības pamatprasības, kā arī lai darītu pieejamus savus produktus ar digitāliem elementiem bez zināmām izmantojamām ievainojamībām, kas varētu ietekmēt šo produktu drošību, un pienācīgi piemērotu atbilstošus saskaņotos standartus, kopīgas specifikācijas vai Eiropas vai starptautiskos standartus.

(55)

Ja noteiktas kiberdrošības pamatprasības produktam ar digitāliem elementiem nav piemērojamas, ražotājam tehniskajā dokumentācijā iekļautajā kiberdrošības riska novērtējumā būtu jāiekļauj skaidrs pamatojums. Tas varētu būt gadījumos, kad kiberdrošības pamatprasība nav saderīga ar produkta ar digitāliem elementiem būtību. Piemēram, produkta ar digitāliem elementiem paredzētā nolūka dēļ ražotājam var būt jāievēro vispāratzīti sadarbspējas standarti pat tad, ja tā drošības elementi vairs netiek uzskatīti par jaunākajiem iespējamiem. Tāpat arī citos Savienības tiesību aktos ražotājiem tiek prasīts piemērot īpašas sadarbspējas prasības. Ja kiberdrošības pamatprasība nav piemērojama produktam ar digitāliem elementiem, bet ražotājs ir identificējis kiberdrošības riskus saistībā ar šo kiberdrošības pamatprasību, tam būtu jāveic pasākumi, lai novērstu šos riskus ar citiem līdzekļiem, piemēram, ierobežojot produkta paredzēto nolūku līdz uzticamai videi vai informējot lietotājus par šiem riskiem.

(56)

Viens no vissvarīgākajiem pasākumiem, kas lietotājiem jāveic nolūkā aizsargāt savus produktus ar digitāliem elementiem pret kiberuzbrukumiem, ir pēc iespējas drīzāk instalēt jaunākos pieejamos drošības atjauninājumus. Tāpēc ražotājiem būtu jāprojektē savi produkti un jāievieš procesi tā, lai nodrošinātu, ka produkti ar digitāliem elementiem ietver funkcijas, kas ļauj automātiski paziņot, izplatīt, lejupielādēt un instalēt drošības atjauninājumus, jo īpaši patēriņa produktu gadījumā. Tiem būtu jānodrošina arī iespēja kā pēdējo soli apstiprināt drošības atjauninājumu lejupielādi un instalēšanu. Būtu jāsaglabā iespēja lietotājiem deaktivizēt automātiskos atjauninājumus ar skaidru un viegli lietojamu mehānismu, ko papildina skaidri norādījumi par to, kā lietotāji var atteikties. Šīs regulas pielikumā noteiktās prasības attiecībā uz automātiskajiem atjauninājumiem nav piemērojamas produktiem ar digitāliem elementiem, kurus galvenokārt paredzēts integrēt kā komponentus citos produktos. Tie neattiecas arī uz produktiem ar digitāliem elementiem, attiecībā uz kuriem lietotāji pamatoti negaida automātiskus atjauninājumus, tostarp produktiem ar digitāliem elementiem, kas paredzēti izmantošanai profesionālos IKT tīklos, un jo īpaši kritiskās un rūpnieciskās vidēs, kur automātisks atjauninājums varētu radīt darbības traucējumus. Neatkarīgi no tā, vai produkts ar digitāliem elementiem ir paredzēts automātisku atjauninājumu saņemšanai vai nav, tā ražotājam būtu jāinformē lietotāji par ievainojamībām un nekavējoties jānodrošina drošības atjauninājumu pieejamība. Ja produktam ar digitāliem elementiem ir lietotāja saskarne vai līdzīgi tehniski līdzekļi, kas nodrošina tiešu mijiedarbību ar tā lietotājiem, ražotājam būtu jāizmanto šādas iespējas, lai informētu lietotājus, ka produkta ar digitāliem elementiem atbalsta periods ir beidzies. Paziņojumiem būtu jāaprobežojas tikai ar to, kas nepieciešams šīs informācijas efektīvas saņemšanas nodrošināšanai, un tiem nevajadzētu negatīvi ietekmēt produkta ar digitāliem elementiem lietošanas pieredzi.

(57)

Lai uzlabotu ievainojamības novēršanas procesu pārredzamību un nodrošinātu, ka lietotājiem nav jāinstalē jauni funkcionalitātes atjauninājumi tikai tādēļ, lai saņemtu jaunākos drošības atjauninājumus, ražotājiem būtu jānodrošina, ja tas ir tehniski iespējams, ka jaunie drošības atjauninājumi tiek nodrošināti atsevišķi no funkcionalitātes atjauninājumiem.

(58)

Komisijas un Savienības Augstā pārstāvja ārlietās un drošības politikas jautājumos 2023. gada 20. jūnija kopīgajā paziņojumā “Par Eiropas ekonomiskās drošības stratēģiju” ir norādīts, ka Savienībai, izmantojot vienotu Savienības ekonomiskās drošības stratēģisko satvaru, ir maksimāli jāpalielina ieguvumi no savas ekonomiskās atvērtības, vienlaikus līdz minimumam samazinot riskus, ko rada ekonomiskā atkarība no augsta riska piegādātājiem. Atkarība no produktu ar digitāliem elementiem augsta riska piegādātājiem var radīt stratēģisku risku, kas jānovērš Savienības līmenī, jo īpaši tad, ja produkti ar digitāliem elementiem ir paredzēti izmantošanai būtiskajās vienībās, kā minēts Direktīvas (ES) 2022/2555 3. panta 1. punktā. Šādi riski var būt saistīti, bet neaprobežojas ar ražotājam piemērojamo jurisdikciju, tā korporatīvo īpašumtiesību iezīmēm un kontroles saiknēm ar kādas trešās valsts valdību, kurā tas ir iedibināts, jo īpaši to, vai trešās valsts iesaistās ekonomiskajā spiegošanā vai bezatbildīgā valsts rīcībā kibertelpā un tās tiesību akti ļauj patvaļīgi piekļūt jebkāda veida uzņēmuma darbībai vai datiem, tostarp komerciāli sensitīviem datiem, un var uzlikt pienākumus izlūkošanas mērķiem, nepastāvot demokrātiskai kontrolei un līdzsvaram, pārraudzības mehānismam, pienācīgam procesam vai tiesībām vērsties neatkarīgā tiesā. Nosakot kiberdrošības riska nozīmīgumu šīs regulas nozīmē, Komisijai un tirgus uzraudzības iestādēm saskaņā ar šajā regulā noteiktajiem pienākumiem būtu jāņem vērā arī ar tehniku nesaistīti riska faktori, jo īpaši tie, kas konstatēti Savienības līmenī koordinētos kritisko piegādes ķēžu drošības riska novērtējumos saskaņā ar Direktīvas (ES) 2022/2555 22. pantu.

(59)

Lai nodrošinātu produktu ar digitāliem elementiem drošību pēc to laišanas tirgū, ražotājiem būtu jānosaka atbalsta periods, kurā būtu jāatspoguļo produkta ar digitāliem elementiem paredzamais lietošanas laiks. Nosakot atbalsta periodu, ražotājam jo īpaši būtu jāņem vērā lietotāju pamatotās cerības, produkta raksturs, kā arī attiecīgie Savienības tiesību akti, kas nosaka produktu ar digitāliem elementiem darbmūžu. Ražotājiem vajadzētu būt iespējai ņemt vērā arī citus būtiskus faktorus. Kritēriji būtu jāpiemēro tā, lai nodrošinātu proporcionalitāti atbalsta perioda noteikšanā. Ražotājam pēc pieprasījuma būtu jāsniedz tirgus uzraudzības iestādēm informācija, kas tika ņemta vērā atbalsta periodu produktam ar digitāliem elementiem noteikšanā.

(60)

Atbalsta periodam, kurā ražotājs nodrošina efektīvu rīcību attiecībā uz ievainojamībām, nevajadzētu būt īsākam par pieciem gadiem, ja vien produkta ar digitāliem elementiem darbmūžs nav īsāks par pieciem gadiem, un tādā gadījumā ražotājam jānodrošina ievainojamību novēršana šā darbmūža laikā. Ja pamatoti paredzams, ka produkts ar digitāliem elementiem tiks izmantots ilgāk nekā piecus gadus, kā tas bieži ir aparatūras komponentu gadījumā, piemēram, mātesplatēm vai mikroprocesoriem, tīkla ierīcēm, piemēram, maršrutētājiem, modemiem vai slēdžiem, kā arī programmatūrai, piemēram, operētājsistēmām vai video rediģēšanas rīkiem, ražotājiem attiecīgi būtu jānodrošina garāki atbalsta periodi. Jo īpaši izstrādājumi ar digitāliem elementiem, kas paredzēti izmantošanai rūpnieciskos apstākļos, piemēram, rūpnieciskās vadības sistēmas, bieži tiek izmantoti ievērojami ilgāku laiku. Ražotājam vajadzētu būt iespējai noteikt par pieciem gadiem īsāku atbalsta periodu tikai tad, ja to pamato attiecīgā produkta ar digitāliem elementiem raksturs un ja paredzams, ka produkts tiks lietots mazāk nekā piecus gadus, un šādā gadījumā atbalsta periodam būtu jāatbilst paredzamajam lietošanas laikam. Piemēram, kontaktu izsekošanas lietotnes, kas paredzēta lietošanai pandēmijas laikā, darbmūžs varētu būt ierobežots līdz pandēmijas ilgumam. Turklāt dažas lietojumprogrammas pēc būtības var būt pieejamas tikai uz abonēšanas modeļa pamata, jo īpaši tad, ja pēc abonēšanas termiņa beigām lietojumprogramma kļūst nepieejama lietotājam un attiecīgi vairs nav izmantojama.

(61)

Kad pienāk produktu ar digitāliem elementiem atbalsta perioda beigas, tad ražotājiem būtu jāapsver šādu produktu ar digitāliem elementiem pirmkoda nodošana citiem uzņēmumiem, kas apņemas paplašināt ievainojamību novēršanas pakalpojumu sniegšanu, vai arī sabiedrībai, lai tādā veidā tiktu nodrošināts, ka ievainojamības var novērst pēc atbalsta perioda beigām. Ja ražotāji nodod pirmkodu citiem uzņēmumiem, tiem jāspēj aizsargāt produkta ar digitāliem elementiem īpašumtiesības un jānovērš pirmkoda izplatīšana sabiedrībai, piemēram, izmantojot līgumiskas vienošanās.

(62)

Lai nodrošinātu, ka ražotāji visā Savienībā nosaka līdzīgus atbalsta periodus salīdzināmiem produktiem ar digitāliem elementiem, ADCO būtu jāpublicē statistikas dati par ražotāju noteiktajiem vidējiem atbalsta periodiem produktu ar digitāliem elementiem kategorijām un jāizdod vadlīnijas, kurās norādīti attiecīgie atbalsta periodi šādām kategorijām. Turklāt, lai nodrošinātu saskaņotu pieeju visā iekšējā tirgū, Komisijai vajadzētu būt iespējai pieņemt deleģētos aktus, lai noteiktu minimālos atbalsta periodus konkrētām produktu kategorijām, ja tirgus uzraudzības iestāžu sniegtie dati liecina, ka ražotāju noteiktie atbalsta periodi vai nu sistemātiski neatbilst šajā regulā noteiktajiem atbalsta periodu noteikšanas kritērijiem, vai arī ražotāji dažādās dalībvalstīs nepamatoti nosaka atšķirīgus atbalsta periodus.

(63)

Ražotājiem būtu jāizveido vienots kontaktpunkts, kas ļauj lietotājiem viegli sazināties ar tiem, tostarp nolūkā ziņot un saņemt informāciju par produkta ar digitāliem elementiem ievainojamībām. Tām būtu jānodrošina, ka vienotais kontaktpunkts ir viegli piekļūstams lietotājiem un skaidri jānorāda tā pieejamība, pastāvīgi atjauninot šo informāciju. Ja ražotāji izvēlas piedāvāt automatizētus rīkus, piemēram, sarunu botus, tiem būtu jāpiedāvā arī tālruņa numurs vai citi digitāli saziņas līdzekļi, piemēram, e-pasta adrese vai saziņas veidlapa. Vienotajam kontaktpunktam nevajadzētu paļauties tikai uz automatizētiem rīkiem.

(64)

Ražotājiem būtu jānodrošina, ka viņu produkti ar digitāliem elementiem ir pieejami tirgū ar drošu noklusējuma konfigurāciju, un bez maksas būtu jānodrošina lietotājiem drošības atjauninājumi. Ražotājiem vajadzētu būt iespējai atkāpties no kiberdrošības pamatprasībām tikai attiecībā uz īpaši pielāgotiem produktiem, kas konkrētam komerciālajam lietotājam ir uzstādīti konkrētam nolūkam, un ja gan ražotājs, gan lietotājs ir skaidri vienojušies par atšķirīgiem līguma noteikumiem.

(65)

Ražotājiem, izmantojot vienoto ziņošanas platformu, vienlaicīgi jāziņo gan par koordinatoru izraudzītajai datordrošības incidentu reaģēšanas vienībai (CSIRT), gan ENISA par aktīvi izmantotām ievainojamībām, kas ir produktos ar digitāliem elementiem, kā arī par nopietniem incidentiem, kas ietekmē minēto produktu drošību. Paziņojumi būtu jāiesniedz, izmantojot par koordinatoru izraudzītas CSIRT elektroniskās paziņošanas galapunktu, un tiem vajadzētu būt vienlaikus pieejamiem ENISA.

(66)

Ražotājiem būtu jāziņo par aktīvi izmantotām ievainojamībām, lai nodrošinātu, ka par koordinatoru izraudzītām CSIRT un ENISA ir pietiekams pārskats par šādām ievainojamībām un tās saņem informāciju, kas nepieciešama to uzdevumu izpildei, kā noteikts Direktīvā (ES) 2022/2555 un būtisko un svarīgo vienību vispārējā kiberdrošības līmeņa paaugstināšanai, kā norādīts minētās direktīvas 3. pantā, kā arī lai nodrošinātu tirgus uzraudzības iestāžu efektīvu darbību. Tā kā lielākā daļa produktu ar digitāliem elementiem tiek tirgoti visā iekšējā tirgū, jebkura izmantota ievainojamība attiecībā uz produktu ar digitāliem elementiem būtu jāuzskata par apdraudējumu iekšējā tirgus darbībai. ENISA, vienojoties ar ražotāju, būtu jāpublisko izlabotās ievainojamības Eiropas ievainojamību datubāzē, kas izveidota, ievērojot Direktīvas (ES) 2022/2555 12. panta 2. punktu. Eiropas ievainojamību datubāzei vajadzētu palīdzēt ražotājiem atklāt zināmas izmantojamas ievainojamības viņu produktos, lai tā tiktu nodrošināts, ka tirgū tiek darīti pieejami droši produkti.

(67)

Ražotājiem būtu arī jāpaziņo par koordinatoru izraudzītai CSIRT un ENISA par jebkuru nopietnu incidentu, kas ietekmē produkta ar digitāliem elementiem drošību. Lai nodrošinātu, ka lietotāji var ātri reaģēt uz nopietniem incidentiem, kas ietekmē viņu produktu ar digitāliem elementiem drošību, ražotājiem būtu jāinformē arī savi lietotāji par jebkuru šādu incidentu un attiecīgā gadījumā par jebkādiem korektīviem pasākumiem, ko lietotāji var veikt, lai mazinātu incidenta ietekmi, piemēram, publicējot attiecīgu informāciju savās tīmekļvietnēs vai, ja ražotājs spēj sazināties ar lietotājiem un ja kiberdrošības riski to pamato, tiešā veidā vēršoties pie lietotājiem.

(68)

Aktīvi izmantotas ievainojamības attiecas uz gadījumiem, kad ražotājs konstatē, ka drošības pārkāpums, kas ietekmē tā lietotājus vai jebkuru citu fizisku vai juridisku personu, ir radies ļaundaru darbības rezultātā, izmantojot nepilnības kādā no produktiem ar digitāliem elementiem, ko ražotājs darījis pieejamu tirgū. Šādu ievainojamību piemēri varētu būt trūkumi produkta identifikācijas un autentifikācijas funkcijās. Nebūtu obligāti jāziņo par ievainojamībām, kas tiek atklātas bez ļaunprātīga nolūka godprātīgas testēšanas, izmeklēšanas, labošanas vai izpaušanas nolūkā ar mērķi veicināt sistēmas īpašnieka un tās lietotāju drošību vai drošumu. Savukārt nopietni incidenti, kas ietekmē produkta ar digitāliem elementiem drošību, attiecas uz situācijām, kad kiberdrošības incidents ietekmē ražotāja izstrādes, ražošanas vai uzturēšanas procesus tādā veidā, ka tas varētu palielināt kiberdrošības risku lietotājiem vai citām personām. Šāds nopietns incidents varētu būt situācija, kad uzbrucējs ir veiksmīgi ieviesis ļaunprātīgu kodu izplatīšanas kanālā, ar kura starpniecību ražotājs izlaiž drošības atjauninājumus lietotājiem.

(69)

Lai nodrošinātu, ka paziņojumus var ātri izplatīt visām attiecīgajām par koordinatoriem izraudzītajām CSIRT, un lai ražotāji varētu iesniegt vienu paziņojumu katrā paziņošanas procesa posmā, ENISA būtu jāizveido vienotā ziņošanas platforma ar valstu elektroniskās paziņošanas galapunktiem. Vienotās ziņošanas platformas ikdienas darbības būtu jāpārvalda un jāuztur ENISA. Par koordinatoriem izraudzītajām CSIRT būtu jāinformē to attiecīgās tirgus uzraudzības iestādes par paziņotajām ievainojamībām vai incidentiem. Vienotā ziņošanas platforma būtu jāveido tā, lai tā nodrošinātu paziņojumu konfidencialitāti, jo īpaši attiecībā uz ievainojamībām, par kurām vēl nav pieejams drošības atjauninājums. Turklāt ENISA būtu jāievieš procedūras drošai un konfidenciālai informācijas apstrādei. Pamatojoties uz savākto informāciju, ENISA reizi divos gados būtu jāsagatavo tehniskais ziņojums par jaunākajām tendencēm attiecībā uz kiberdrošības riskiem produktos ar digitāliem elementiem, un tas jāiesniedz sadarbības grupai, kas izveidota saskaņā ar Direktīvas (ES) 2022/2555 14. pantu.

(70)

Ārkārtas apstākļos un jo īpaši pēc ražotāja pieprasījuma tai par koordinatoru izraudzītajai CSIRT, kas sākotnēji saņem paziņojumu, vajadzētu būt iespējai nolemt atlikt tā izplatīšanu citām attiecīgajām par koordinatoriem izraudzītajām CSIRT, izmantojot vienoto ziņošanas platformu, ja to var pamatot ar kiberdrošību saistītu iemeslu dēļ un tik ilgi, cik absolūti nepieciešams. Par koordinatoru izraudzītajai CSIRT būtu nekavējoties jāinformē ENISA par lēmumu atlikt izplatīšanu un par to, kādu iemeslu dēļ tas notiek, kā arī par to, kad tā plāno izplatīšanu veikt. Komisijai, izmantojot deleģēto aktu, būtu jāizstrādā specifikācijas par to, kādos gadījumos varētu piemērot ar kiberdrošību saistītus pamatojumus, un deleģētā akta projekta sagatavošanā būtu jāsadarbojas ar CSIRT tīklu, kas izveidots saskaņā ar Direktīvas (ES) 2022/2555 15. pantu, un ENISA. Ar kiberdrošību saistītu iemeslu piemēri ir notiekoša koordinēta ievainojamību atklāšanas procedūra vai situācijas, kurās ir paredzams, ka ražotājs drīzumā nodrošinās risku mazinošu pasākumu, un kiberdrošības riski, kas saistīti ar tūlītēju izplatīšanu, izmantojot vienoto ziņošanas platformu, ir lielāki par ieguvumiem. Ja to pieprasa par koordinatoru izraudzītā CSIRT, ENISA būtu jāspēj atbalstīt šo CSIRT ar kiberdrošību saistītu iemeslu piemērošanā saistībā ar paziņojuma izplatīšanas atlikšanu, pamatojoties uz informāciju, ko ENISA ir saņēmusi no šīs CSIRT par lēmumu aizturēt paziņojumu minēto kiberdrošības iemeslu dēļ. Turklāt īpašos izņēmuma apstākļos ENISA nebūtu vienlaicīgi jāsaņem sīkāka informācija par paziņojumu par aktīvi izmantotu ievainojamību. Tā tas būtu gadījumā, ja ražotājs savā paziņojumā norāda, ka paziņoto ievainojamību ir aktīvi izmantojis ļaundaris un ka saskaņā ar pieejamo informāciju tā ir izmantota tikai tajā dalībvalstī, kurā ir par koordinatoru izraudzītā CSIRT, kam ražotājs ir paziņojis par šo ievainojamību, ja paziņotās ievainojamības tūlītēja tālāka izplatīšana, visticamāk, novestu pie informācijas sniegšanas, kuras izpaušana būtu pretrunā minētās dalībvalsts būtiskām interesēm, vai ja paziņotā ievainojamība rada nenovēršamu augstu kiberdrošības risku, kas izriet no tālākas izplatīšanas. Šādos gadījumos ENISA vienlaicīgi saņems piekļuvi tikai informācijai par to, ka ražotājs ir iesniedzis paziņojumu, vispārīgai informācijai par attiecīgo produktu ar digitāliem elementiem, informācijai par izmantošanas vispārīgo raksturu un informācijai par to, ka šos drošības apsvērumus ir norādījis ražotājs un ka tāpēc netiek izpausts pilns paziņojuma saturs. Pilns paziņojums pēc tam būtu jādara pieejams ENISA un citām attiecīgajām par koordinatoriem izraudzītajām CSIRT, kad par koordinatoru izraudzītā CSIRT, kura sākotnēji saņēma paziņojumu, konstatē, ka šie drošības apsvērumi, kas atspoguļo šajā regulā noteiktos īpašos izņēmuma apstākļus, vairs nepastāv. Ja, pamatojoties uz pieejamo informāciju, ENISA uzskata, ka pastāv sistēmisks risks, kas ietekmē drošību iekšējā tirgū, ENISA būtu jāiesaka saņēmējai CSIRT izplatīt pilnīgu paziņojumu pārējām par koordinatoriem izraudzītajām CSIRT, un pašai ENISA.

(71)

Ja ražotāji paziņo par aktīvi izmantotu ievainojamību vai nopietnu incidentu, kas ietekmē produkta ar digitāliem elementiem drošību, tiem būtu jānorāda, cik sensitīva, viņuprāt, ir paziņotā informācija. Par koordinatoru izraudzītajai CSIRT, kas sākotnēji saņem paziņojumu, šī informācija būtu jāņem vērā, novērtējot, vai paziņojuma dēļ rodas izņēmuma apstākļi, kas attaisno paziņojuma izplatīšanas aizkavēšanu citām attiecīgajām par koordinatoriem izraudzītajām CSIRT, balstoties uz pamatotiem ar kiberdrošību saistītiem iemesliem. Tai būtu arī jāņem vērā šī informācija, novērtējot, vai paziņojums par aktīvi izmantotu ievainojamību rada īpašus izņēmuma apstākļus, kas attaisno to, ka pilns paziņojums nav vienlaicīgi pieejams ENISA. Visbeidzot, par koordinatoriem izraudzītajām CSIRT vajadzētu būt iespējai ņemt vērā šo informāciju, nosakot piemērotus pasākumus no šādām ievainojamībām un incidentiem izrietošo risku mazināšanai.

(72)

Lai vienkāršotu šajā regulā prasītās informācijas paziņošanu, ņemot vērā citas papildu ziņošanas prasības, kas noteiktas Savienības tiesību aktos, piemēram, Regulā (ES) 2016/679, Eiropas Parlamenta un Padomes Regulā (ES) 2022/2554 (25), Eiropas Parlamenta un Padomes Direktīvā 2002/58/EK (26) un Direktīvā (ES) 2022/2555, kā arī lai samazinātu administratīvo slogu vienībām, dalībvalstis tiek mudinātas apsvērt iespēju valsts līmenī nodrošināt vienotus kontaktpunktus šādām ziņošanas prasībām. Šāda vienota kontaktpunkta izmantošanai ziņošanai par drošības incidentiem saskaņā ar Regulu (ES) 2016/679 un Direktīvu 2002/58/EK nevajadzētu ietekmēt Regulas (ES) 2016/679 un Direktīvas 2002/58/EK noteikumu piemērošanu, jo īpaši to noteikumu, kas attiecas uz tajās minēto iestāžu neatkarību. Izveidojot šajā regulā minēto vienoto ziņošanas platformu, ENISA būtu jāņem vērā iespēja šajā regulā minētos valstu elektroniskās paziņošanas galapunktus integrēt valsts vienotajos kontaktpunktos, kuros var integrēt arī cita veida paziņošanu, kas prasīta saskaņā ar Savienības tiesību aktiem.

(73)

Izveidojot šajā regulā minēto vienoto ziņošanas platformu un lai izmantotu iepriekšējo pieredzi, ENISA būtu jāapspriežas ar citām Savienības iestādēm vai aģentūrām, kas pārvalda platformas vai datubāzes, uz kurām attiecas stingras drošības prasības, piemēram, ar Eiropas Savienības Aģentūru lielapjoma IT sistēmu darbības pārvaldībai brīvības, drošības un tiesiskuma telpā (eu-LISA). ENISA būtu arī jāanalizē iespējamā savstarpējā papildināmība ar Eiropas ievainojamību datubāzi, kas izveidota saskaņā ar Direktīvas (ES) 2022/2555 12. panta 2. punktu.

(74)

Ražotājiem un citām fiziskām un juridiskām personām vajadzētu būt iespējai brīvprātīgi paziņot par koordinatoru izraudzītajai CSIRT vai ENISA par jebkuru ievainojamību, kas ir produktā ar digitāliem elementiem, par kiberdraudiem, kas varētu ietekmēt produkta ar digitāliem elementiem riska profilu, par jebkuru incidentu, kas ietekmē produkta ar digitāliem elementiem drošību, kā arī par situācijām, kad šādi incidenti varētu būt gandrīz notikuši.

(75)

Dalībvalstīm būtu jācenšas, cik vien iespējams, risināt problēmas, kas skar ievainojamības pētniekus, tostarp to, ka saskaņā ar valsts tiesību aktiem tiem var tikt noteikta kriminālatbildība. Ņemot vērā to, ka dažās dalībvalstīs fiziskām un juridiskām personām, kas pēta ievainojamības, var draudēt kriminālatbildība un civiltiesiskā atbildība, dalībvalstis tiek mudinātas pieņemt vadlīnijas par informācijas drošības pētnieku nesodīšanu un atbrīvojumu no civiltiesiskās atbildības par viņu darbībām.

(76)

Produktu ar digitāliem elementiem ražotājiem būtu jāievieš koordinēta ievainojamības atklāšanas politika, lai sekmētu personu vai vienību ziņošanu par ievainojamībām vai nu tieši ražotājam, vai netieši, un, ja tas tiek pieprasīts, anonīmi, ar CSIRT starpniecību, kas izraudzītas par koordinatoriem koordinētai ievainojamību atklāšanai saskaņā ar Direktīvas (ES) 2022/2555 12. panta 1. punktu. Ražotāju koordinētai ievainojamības atklāšanas politikai vajadzētu būt strukturētam procesam, kurā par ievainojamību tiek ziņots ražotājam tādā veidā, lai ražotājs varētu diagnosticēt un novērst šādas ievainojamības, pirms sīkāka informācija par to tiek darīta zināma trešām personām vai sabiedrībai. Turklāt ražotājiem būtu arī jāapsver iespēja publicēt savu drošības politiku mašīnlasāmā formātā. Ņemot vērā to, ka informāciju par izmantojamām ievainojamībām plaši lietotos produktos ar digitāliem elementiem var pārdot par augstām cenām melnajā tirgū, šādu produktu ražotājiem vajadzētu būt iespējai izmantot programmas, lai savas koordinētās ievainojamības atklāšanas politikas satvarā stimulētu ziņošanu par ievainojamībām, nodrošinot, ka personas vai vienības saņem atzinību un kompensāciju par saviem centieniem. Tas attiecas uz tā sauktajām ievainojamību atklāšanas atlīdzinājuma programmām.

(77)

Lai sekmētu ievainojamības analīzi, ražotājiem būtu jāidentificē un jādokumentē produktu ar digitāliem elementiem komponenti, arī sagatavojot SBOM. Tiem, kas ražo, pērk un ekspluatē programmatūru, SBOM var sniegt informāciju, kas uzlabo viņu izpratni par piegādes ķēdi, sniedzot vairākus ieguvumus, un tas jo īpaši palīdz ražotājiem un lietotājiem veikt zināmu nesen konstatētu ievainojamību un kiberdrošības risku izsekošanu. Ražotājiem ir īpaši svarīgi nodrošināt, ka viņu produkti ar digitāliem elementiem nesatur trešo personu izstrādātus komponentus ar ievainojamību. Ražotājiem nevajadzētu būt pienākumam publiskot SBOM.

(78)

Atbilstoši jaunajiem sarežģītajiem uzņēmējdarbības modeļiem, kas saistīti ar pārdošanu tiešsaistē, uzņēmums, kas darbojas tiešsaistē, var sniegt dažādus pakalpojumus. Atkarībā no tā, kādi pakalpojumi tiek sniegti saistībā ar konkrētu produktu ar digitāliem elementiem, viena un tā pati vienība var tikt iedalīta dažādās uzņēmējdarbības modeļu vai uzņēmēju kategorijās. Ja vienība sniedz tikai tiešsaistes starpniecības pakalpojumus konkrētam produktam ar digitāliem elementiem un ir tikai tiešsaistes tirdzniecības vietas nodrošinātājs, kā definēts Regulas (ES) 2023/988 3. panta 14. punktā, tā nav uzskatāma par vienu no šajā regulā definētajiem uzņēmēju veidiem. Ja viena un tā pati vienība ir tiešsaistes tirdzniecības vietas nodrošinātājs un darbojas arī kā šajā regulā definētais uzņēmējs, kad tā pārdod konkrētus produktus ar digitāliem elementiem, uz to būtu jāattiecina šajā regulā noteiktie pienākumi, kas attiecas uz šāda veida uzņēmējiem. Piemēram, ja tiešsaistes tirdzniecības vietas nodrošinātājs arī izplata produktu ar digitāliem elementiem, tad attiecībā uz minētā produkta pārdošanu tas būtu uzskatāms par izplatītāju. Līdzīgi, ja attiecīgā vienība pārdod sava zīmola produktus ar digitāliem elementiem, tā tiktu uzskatīta par ražotāju, un tādējādi tai būtu jāievēro ražotājiem piemērojamās prasības. Turklāt dažas vienības var kvalificēt kā izpildes pakalpojumu sniedzējus, kā definēts Eiropas Parlamenta un Padomes Regulas (ES) 2019/1020 (27) 3. panta 11. punktā, ja tās piedāvā šādus pakalpojumus. Tāpēc šādi gadījumi būtu jāizvērtē katrs atsevišķi. Ņemot vērā tiešsaistes tirdzniecības vietu nozīmīgo lomu elektroniskās komercijas veicināšanā, tām būtu jācenšas sadarboties ar dalībvalstu tirgus uzraudzības iestādēm, lai palīdzētu nodrošināt, ka produkti ar digitāliem elementiem, kas iegādāti tiešsaistes tirdzniecības vietās, atbilst šajā regulā noteiktajām kiberdrošības prasībām.

(79)

Lai sekmētu atbilstības izvērtēšanu attiecībā uz šajā regulā noteiktajām prasībām, būtu jānosaka pieņēmums par atbilstību attiecībā uz produktiem ar digitāliem elementiem, kas atbilst saskaņotajiem standartiem, kuros šajā regulā noteiktās kiberdrošības pamatprasības pārveidotas sīki izstrādātās tehniskajās specifikācijās un kuri tiek pieņemti saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 1025/2012 (28). Šajā regulā paredzēta kārtība iebildumu iesniegšanai par saskaņotajiem standartiem, ja minētie standarti pilnībā neatbilst šajā regulā noteiktajām prasībām. Standartizācijas procesam būtu jānodrošina līdzsvarota interešu pārstāvība un efektīva pilsoniskās sabiedrības pārstāvju, tostarp patērētāju organizāciju, līdzdalība. Būtu jāņem vērā arī starptautiskie standarti, kas atbilst kiberdrošības aizsardzības līmenim, kas paredzēts šajā regulā noteiktajās kiberdrošības pamatprasībās, lai sekmētu saskaņoto standartu izstrādi un šīs regulas īstenošanu, kā arī uzņēmumiem, jo īpaši mikrouzņēmumiem, mazajiem un vidējiem uzņēmumiem un uzņēmumiem, kas darbojas visā pasaulē, atvieglotu atbilstības panākšanu.

(80)

Šīs regulas efektīvai īstenošanai īpaši svarīga būs savlaicīga saskaņoto standartu izstrāde šīs regulas piemērošanai noteiktajā pārejas periodā un to pieejamība pirms regulas piemērošanas dienas. Tas jo īpaši attiecas uz nozīmīgiem produktiem ar digitāliem elementiem, kas ietilpst I klasē. Saskaņoto standartu pieejamība ļaus šādu produktu ražotājiem veikt atbilstības novērtēšanu, izmantojot iekšējās kontroles procedūru, un tādējādi varēs izvairīties no sastrēgumposmiem un kavējumiem atbilstības novērtēšanas struktūru darbībā.

(81)

Ar Regulu (ES) 2019/881 ir izveidots brīvprātīgs Eiropas kiberdrošības sertifikācijas satvars IKT produktiem, IKT procesiem un IKT pakalpojumiem. Eiropas kiberdrošības sertifikācijas shēmas nodrošina vienotu uzticības satvaru, lai lietotāji varētu izmantot produktus ar digitāliem elementiem, kuri ietilpst šīs regulas darbības jomā. Tādējādi šai regulai būtu jārada sinerģija ar Regulu (ES) 2019/881. Lai sekmētu atbilstības novērtēšanu šajā regulā noteiktajām prasībām, tiek uzskatīts, ka produkti ar digitāliem elementiem, kas ir sertificēti vai par kuriem izdots atbilstības apliecinājums saskaņā ar Eiropas kiberdrošības shēmu atbilstīgi Regulai (ES) 2019/881 un kurus Komisija identificējusi īstenošanas aktā, atbilst šajā regulā noteiktajām kiberdrošības pamatprasībām, ciktāl Eiropas kiberdrošības sertifikāts vai atbilstības apliecinājums vai tā daļas attiecas uz minētajām prasībām. Nepieciešamība pēc jaunām Eiropas kiberdrošības sertifikācijas shēmām attiecībā uz produktiem ar digitāliem elementiem būtu jāizvērtē, ņemot vērā šo regulu, tostarp sagatavojot Savienības mainīgo darba programmu saskaņā ar Regulu (ES) 2019/881. Ja ir vajadzīga jauna shēma, kas aptvertu produktus ar digitāliem elementiem, tostarp nolūkā sekmēt atbilstību šai regulai, Komisija var lūgt ENISA sagatavot kandidātshēmas saskaņā ar Regulas (ES) 2019/881 48. pantu. Šādās turpmākās Eiropas kiberdrošības sertifikācijas shēmās, kas attiecas uz produktiem ar digitāliem elementiem, būtu jāņem vērā šajā regulā noteiktās kiberdrošības pamatprasības un atbilstības novērtēšanas procedūras, un tām būtu jāsekmē atbilstība šai regulai. Eiropas kiberdrošības sertifikācijas shēmām, kas stājas spēkā pirms šīs regulas stāšanās spēkā, var būt nepieciešamas papildu specifikācijas par detalizētiem aspektiem attiecībā uz to, kā būtu piemērojams pieņēmums par atbilstību. Komisija būtu jāpilnvaro ar deleģētajiem aktiem precizēt, ar kādiem nosacījumiem Eiropas kiberdrošības sertifikācijas shēmas var izmantot, lai pierādītu atbilstību šajā regulā noteiktajām kiberdrošības pamatprasībām. Turklāt, lai novērstu nevajadzīgu administratīvo slogu, ražotājiem nevajadzētu būt pienākumam nodrošināt trešās personas veiktu atbilstības novērtējumu, kā tas šajā regulā noteikts saistībā ar attiecīgajām prasībām, ja saskaņā ar šādām Eiropas kiberdrošības sertifikācijas shēmām ir izdots kiberdrošības sertifikāts vismaz būtiskā līmenī.

(82)

Stājoties spēkā Īstenošanas regulai (ES) 2024/482, kas attiecas uz produktiem, kuri ietilpst šīs regulas darbības jomā, piemēram, aparatūras drošības moduļiem un mikroprocesoriem, Komisija vajadzētu būt iespējai ar deleģēto aktu precizēt, kā EUCC izdara pieņēmumu par atbilstību šajā regulā vai tās daļās noteiktajām kiberdrošības pamatprasībām. Turklāt šādā deleģētajā aktā var precizēt veidu, kā atbilstīgi EUCC izdots sertifikāts atceļ ražotāju pienākumu nodrošināt trešās personas veiktu novērtējumu, kas attiecībā uz atbilstošajām prasībām noteikts saskaņā ar šo regulu.

(83)

Pašreizējais Eiropas standartizācijas regulējums, kura pamatā ir gan jaunās pieejas principi, kas noteikti Padomes 1985. gada 7. maija Rezolūcijā par jaunu pieeju tehniskajai saskaņošanai un standartiem, gan Regula (ES) Nr. 1025/2012, pēc noklusējuma veido satvaru tādu standartu izstrādei, kuri nodrošina pieņēmumu par atbilstību attiecīgajām šajā regulā noteiktajām kiberdrošības pamatprasībām. Eiropas standartiem vajadzētu būt tādiem, ko virzījis tirgus, un tajos būtu jāņem vērā sabiedrības intereses, kā arī politikas mērķi, kas skaidri norādīti Komisijas pieprasījumā vienai vai vairākām Eiropas standartizācijas organizācijām izstrādāt saskaņotos standartus noteiktā termiņā, un tiem vajadzētu būt balstītiem uz konsensu. Tomēr, ja nav attiecīgu atsauču uz saskaņotajiem standartiem, Komisijai vajadzētu būt iespējai pieņemt īstenošanas aktus, ar kuriem nosaka kopīgās specifikācijas šajā regulā noteiktajām kiberdrošības pamatprasībām, ar noteikumu, ka, to darot, tā pienācīgi ņem vērā Eiropas standartizācijas organizāciju lomu un funkcijas, un tas būtu ārkārtas alternatīvs risinājums, ar kuru atvieglo ražotāja pienākumu ievērot šīs kiberdrošības pamatprasības, ja standartizācijas process ir bloķēts vai ja kavējas atbilstīgu saskaņoto standartu izstrāde. Ja šāda kavēšanās ir saistīta ar attiecīgā standarta tehnisko sarežģītību, Komisijai tas būtu jāņem vērā, pirms tiek apsvērta kopīgo specifikāciju izstrāde.

(84)

Lai visefektīvākajā veidā izstrādātu kopīgās specifikācijas, kas aptver šajā regulā noteiktās kibredrošības pamatprasības, Komisijai šajā procesā būtu jāiesaista attiecīgās ieinteresētās personas.

(85)

“Saprātīgs laikposms” attiecībā uz atsauču uz saskaņotajiem standartiem publicēšanu Eiropas Savienības Oficiālajā Vēstnesī saskaņā ar Regulu (ES) Nr. 1025/2012 ir laikposms, kurā Eiropas Savienības Oficiālajā Vēstnesī paredzēts publicēt atsauci uz standartu, tā labojumu vai grozījumu un kurš nedrīkstētu pārsniegt vienu gadu pēc Eiropas standarta izstrādes termiņa, kas noteikts saskaņā ar Regulu (ES) Nr. 1025/2012.

(86)

Lai sekmētu novērtējumu par atbilstību šajā regulā noteiktajām kiberdrošības pamatprasībām, būtu jānosaka pieņēmums par atbilstību attiecībā uz produktiem ar digitāliem elementiem, kas atbilst kopīgajām specifikācijām, kuras Komisija saskaņā ar šo regulu pieņēmusi nolūkā formulēt minēto prasību detalizētas tehniskās specifikācijas.

(87)

To saskaņoto standartu, kopīgo specifikāciju vai Eiropas kiberdrošības sertifikācijas shēmu piemērošana, kas pieņemti saskaņā ar Regulu (ES) 2019/881 un kas paredz pieņēmumu par atbilstību attiecībā uz kiberdrošības pamatprasībām, kuras piemērojamas produktiem ar digitāliem elementiem, atvieglos ražotāju veikto atbilstības novērtēšanu. Ja ražotājs izvēlas nepiemērot šādus līdzekļus noteiktām prasībām, tam savā tehniskajā dokumentācijā ir jānorāda, kā atbilstība tiek panākta citādi. Turklāt, ja tiktu piemēroti saskaņotie standarti, kopīgas specifikācijas vai Eiropas kiberdrošības sertifikācijas shēmas, kas pieņemtas saskaņā ar Regulu (ES) 2019/881 un paredz ražotāju pieņēmumu par atbilstību, tad tirgus uzraudzības iestādēm būtu iespēja vieglāk pārbaudīt produktu ar digitāliem elementiem atbilstību. Tāpēc produktu ar digitāliem elementiem ražotāji tiek mudināti piemērot šādus saskaņotos standartus, kopīgas specifikācijas vai Eiropas kiberdrošības sertifikācijas shēmas.

(88)

Ražotājiem būtu jāsagatavo ES atbilstības deklarācija, tajā sniedzot šajā regulā prasīto informāciju par produktu ar digitāliem elementiem atbilstību kiberdrošības pamatprasībām, kas noteiktas šajā regulā, un vajadzības gadījumā prasībām, kas noteiktas citos attiecīgos Savienības saskaņošanas tiesību aktos, kuros ietverts konkrētais produkts ar digitāliem elementiem. Ražotājiem var pieprasīt arī sagatavot ES atbilstības deklarāciju attiecībā uz citiem Savienības tiesību aktiem. Lai nodrošinātu efektīvu piekļuvi informācijai tirgus uzraudzības nolūkā, būtu jāsagatavo vienota ES atbilstības deklarācija par atbilstību visiem attiecīgajiem Savienības tiesību aktiem. Lai uzņēmējiem samazinātu administratīvo slogu, vajadzētu būt iespējamam, ka minēto vienoto ES atbilstības deklarāciju veido dokumentācija, kas sastāv no atsevišķām atbilstības deklarācijām.

(89)

CE zīme, kas norāda uz produkta atbilstību, ir redzamais rezultāts veselam procesam, kas plašākā nozīmē ietver arī atbilstības novērtēšanu Vispārējie principi, kas reglamentē CE zīmi, ir noteikti Eiropas Parlamenta un Padomes Regulā (EK) Nr. 765/2008 (29). Noteikumi attiecībā uz CE zīmes uzlikšanu produktiem ar digitāliem elementiem būtu jānosaka šajā regulā. CE zīmei vajadzētu būt vienīgajai, kas garantē, ka produkti ar digitāliem elementiem atbilst prasībām, kas noteiktas šajā regulā.

(90)

Lai uzņēmēji varētu pierādīt atbilstību kiberdrošības pamatprasībām, kas noteiktas šajā regulā, un lai tirgus uzraudzības iestādes varētu nodrošināt, ka produkti ar digitāliem elementiem, kas darīti pieejami tirgū, atbilst šīm prasībām, ir jāparedz atbilstības novērtēšanas procedūras. Eiropas Parlamenta un Padomes Lēmumā Nr. 768/2008/EK (30) ir noteikti atbilstības novērtēšanas procedūru moduļi proporcionāli konkrētā riska līmenim un nepieciešamajam drošības līmenim. Lai nodrošinātu saskaņotību starp nozarēm un izvairītos no ad hoc variantiem, atbilstības novērtēšanas procedūrām, kas piemērotas tam, lai verificētu produktu atbilstību šajā regulā noteiktajām kiberdrošības pamatprasībām, būtu jābalstās uz minētajiem moduļiem. Atbilstības novērtēšanas procedūrās būtu jāpārbauda un jāverificē gan ar produktu, gan procesu saistītās prasības, ietverot visu aprites ciklu, kas attiecas uz produktiem ar digitāliem elementiem, ieskaitot produkta ar digitāliem elementiem plānošanu, projektēšanu, izstrādi vai ražošanu, testēšanu un uzturēšanu.

(91)

Atbilstības novērtēšana attiecībā uz produktiem ar digitāliem elementiem, kas šajā regulā nav uzskaitīti kā nozīmīgi vai kritiski svarīgi produkti ar digitāliem elementiem, var veikt ražotājs uz savu atbildību, ievērojot iekšējās kontroles procedūru, kas pamatota uz Lēmuma Nr. 768/2008/EK A moduli, rīkojoties saskaņā ar šo regulu. Tas attiecas arī uz gadījumiem, kad ražotājs izvēlas pilnībā vai daļēji neizmantot piemērojamo saskaņoto standartu, kopīgo specifikāciju vai Eiropas kiberdrošības sertifikācijas shēmu. Ražotājam saglabā rīcības brīvību izvēlēties stingrāku atbilstības novērtēšanas procedūru, kurā tiktu iesaistīta trešā persona. Saskaņā ar iekšējās kontroles atbilstības novērtēšanas procedūru ražotājs uz savu atbildību nodrošina un deklarē, ka produkts ar digitāliem elementiem un ražotāja procesi atbilst kiberdrošības pamatprasībām, kas noteiktas šajā regulā. Ja svarīgs produkts ar digitāliem elementiem ietilpst I klasē, ir vajadzīga papildu garantija, lai pierādītu atbilstību šajā regulā noteiktajām kiberdrošības pamatprasībām. Ražotājam, ja tas vēlas veikt atbilstības novērtēšanu uz savu atbildību (A modulis), būtu jāpiemēro saskaņotie standarti, kopīgās specifikācijas vai Eiropas kiberdrošības sertifikācijas shēmas, kas pieņemtas, ievērojot Regulu (ES) 2019/881, un kuras Komisija identificējusi īstenošanas aktā. Ja ražotājs nepiemēro šādus saskaņotos standartus, kopīgās specifikācijas vai Eiropas kiberdrošības sertifikācijas shēmas, ražotājam būtu jāveic atbilstības novērtēšana, kurā tiek iesaistīta trešā persona (pamatojoties uz B un C modeli vai H moduli). Ņemot vērā administratīvo slogu ražotājiem un to, ka kiberdrošībai ir svarīga nozīme materiālo un nemateriālo produktu ar digitāliem elementiem projektēšanas un izstrādes posmā, nolūkā samērīgi un efektīvi novērtēt svarīgu produktu ar digitāliem elementiem atbilstību kā vispiemērotākās ir izvēlētas atbilstības novērtēšanas procedūras, kas attiecīgi pamatojas uz Lēmuma Nr. 768/2008/EK B un C moduli vai H moduli. Ražotājs, kas īsteno trešās personas veiktu atbilstības novērtēšanu, var izvēlēties procedūru, kas ir vislabāk piemērota tā projektēšanas un ražošanas procesam. Ņemot vērā vēl lielāku kiberdrošības risku, kas saistīts ar tādu svarīgu produktu ar digitāliem elementiem lietošanu, kuri klasificēti kā II klases produkti, atbilstības izvērtēšanā vienmēr būtu jāiesaista trešā persona, turklāt pat tad, ja produkts pilnībā vai daļēji atbilst saskaņotajiem standartiem, kopīgajām specifikācijām vai Eiropas kiberdrošības sertifikācijas shēmām. Ražotājiem, kas ražo svarīgus produktus ar digitāliem elementiem, kuri kvalificējami kā brīvi pieejama atvērtā pirmkoda programmatūra, vajadzētu būt iespējai ievērot iekšējās kontroles procedūru, kuras pamatā ir A modulis, ar nosacījumu, ka tie dara publiski pieejamu tehnisko dokumentāciju.

(92)

Lai gan materiālo produktu ar digitāliem elementiem izveide parasti prasa no ražotājiem ievērojamas pūles visos projektēšanas, izstrādes un ražošanas posmos, produktu ar digitāliem elementiem izveide programmatūras veidā gandrīz pilnībā ir koncentrēta uz projektēšanu un izstrādi, savukārt ražošanas posmam ir maznozīmīgāka loma. Tomēr daudzos gadījumos programmatūras produkti pirms to laišanas tirgū vēl ir jākompilē, jāizgatavo, jākomplektē, jādara pieejami lejupielādēšanai vai jāpārkopē fiziskajos datu nesējos. Piemērojot attiecīgos atbilstības novērtēšanas moduļus nolūkā pārbaudīt produkta atbilstību šajā regulā noteiktajām kiberdrošības pamatprasībām visos projektēšanas, izstrādes un ražošanas posmos, šīs darbības būtu jāuzskata par ražošanu veidojošām darbībām.

(93)

Attiecībā uz mikrouzņēmumiem un maziem uzņēmumiem ir lietderīgi mazināt administratīvās izmaksas, lai tā nodrošinātu proporcionalitāti, taču neietekmējot šīs regulas darbības jomā ietilpstošo produktu ar digitāliem elementiem kiberdrošības aizsardzības līmeni vai vienlīdzīgus konkurences apstākļus ražotājiem. Tāpēc Komisijai ir lietderīgi izveidot vienkāršotu tehniskās dokumentācijas veidlapu, kas paredzēta mikrouzņēmumu un mazo uzņēmumu vajadzībām. Komisijas pieņemtajai vienkāršotajai tehniskās dokumentācijas veidlapai būtu jāaptver visi šajā regulā noteiktie piemērojamie elementi, kas saistīti ar tehnisko dokumentāciju, un jānorāda, kā mikrouzņēmums vai mazais uzņēmums var kodolīgi sniegt pieprasītos elementus, piemēram, produkta ar digitāliem elementiem projektēšanas, izstrādes un ražošanas aprakstu. Tādējādi veidlapa palīdzētu atvieglot administratīvās atbilstības slogu, nodrošinot attiecīgajiem uzņēmumiem juridisko noteiktību par sniedzamās informācijas apjomu un detalizētību. Mikrouzņēmumiem un mazajiem uzņēmumiem vajadzētu būt iespējai izvēlēties sniegt ar tehnisko dokumentāciju saistītos piemērojamos elementus arī plašā formā un neizmantot tiem pieejamo vienkāršoto tehnisko formu.

(94)

Lai veicinātu un aizsargātu inovācijas, ir svarīgi īpaši ņemt vērā ražotāju, kuri ir mikrouzņēmumi vai mazie vai vidējie uzņēmumi, jo īpaši mikrouzņēmumi un mazie uzņēmumi, tostarp jaunuzņēmumi, intereses. Šajā nolūkā dalībvalstis varētu izstrādāt iniciatīvas, kas vērstas uz ražotājiem, kuri ir mikrouzņēmumi vai mazie uzņēmumi, tostarp attiecībā uz apmācību, izpratnes veicināšanu, informācijas izplatīšanu, testēšanu un trešo personu atbilstības novērtēšanas darbībām, kā arī izmēģināšanas vides (smilškastu) izveidi. Ievērojamus izdevumus ražotājiem, jo īpaši tiem, kas ir mazāki, var radīt tulkošanas izmaksas, kas saistītas gan ar šajā regulā prasīto obligāto dokumentāciju, piemēram, tehnisko dokumentāciju un informāciju un norādījumiem lietotājam, gan saziņu ar iestādēm. Tāpēc dalībvalstīm vajadzētu būt iespējai uzskatīt, ka viena no valodām, ko tās noteikušas un akceptējušas attiecīgajai ražotāju dokumentācijas sagatavošanai un saziņai ar ražotājiem, ir valoda, kas ir plaši saprotama iespējami lielākam skaitam lietotāju.

(95)

Lai nodrošinātu šīs regulas raitu piemērošanu, dalībvalstīm pirms šīs regulas piemērošanas dienas būtu jācenšas nodrošināt, ka ir pieejams pietiekams skaits paziņoto struktūru, kas īsteno trešās personas veiktu atbilstības novērtēšanu. Komisijai būtu jācenšas palīdzēt dalībvalstīm un citām attiecīgajām pusēm šajos centienos, lai izvairītos no tā, ka ražotāji saskaras ar šķēršļiem un traucējumiem ienākšanai tirgū. Dalībvalstu vadīti mērķtiecīgi apmācības pasākumi, tostarp attiecīgā gadījumā ar Komisijas atbalstu, var veicināt kvalificētu speciālistu pieejamību, tostarp atbalstīt paziņoto struktūru darbības, kas veiktas saskaņā ar šo regulu. Turklāt, ņemot vērā izmaksas, ko var radīt trešās personas veikta atbilstības novērtēšana, būtu jāapsver iespēja finansēt Savienības un valstu līmeņa iniciatīvas, kuru mērķis ir mazināt šādas izmaksas mikrouzņēmumiem un mazajiem uzņēmumiem.

(96)

Lai nodrošinātu proporcionalitāti, atbilstības novērtēšanas struktūrām, nosakot maksu par atbilstības novērtēšanas procedūrām, būtu jāņem vērā mikrouzņēmumu un mazo un vidējo uzņēmumu, tostarp jaunuzņēmumu, specifiskās intereses un vajadzības. Jo īpaši atbilstības novērtēšanas struktūrām attiecīgā šajā regulā paredzētā pārbaudes procedūra un testi būtu jāpiemēro tikai vajadzības gadījumā un izmantojot uz risku balstītu pieeju.

(97)

Par “regulatīvo smilškastu” mērķiem būtu jānosaka uzņēmumu inovācijas un konkurētspējas veicināšana, kas tiktu panākta, izveidojot kontrolētu testēšanas vidi pirms produktu ar digitāliem elementiem laišanas tirgū. “Regulatīvajām smilškastēm” būtu jāpalīdz uzlabot juridisko noteiktību visiem dalībniekiem, kas ietilpst šīs regulas darbības jomā, un atvieglot un paātrināt produktu ar digitāliem elementiem piekļuvi Savienības tirgum, jo īpaši, ja tos nodrošina mikrouzņēmumi un mazie uzņēmumi, tostarp jaunuzņēmumi.

(98)

Lai īstenotu trešo personu veiktu atbilstības novērtēšanu produktiem ar digitāliem elementiem, valstu paziņojošajām iestādēm būtu jāpaziņo Komisijai un pārējām dalībvalstīm atbilstības novērtēšanas struktūras ar noteikumu, ka tās atbilst prasību kopumam, jo īpaši attiecībā uz neatkarību, kompetenci un interešu konflikta neesamību.

(99)

Lai attiecībā uz produktiem ar digitāliem elementiem nodrošinātu saskaņotu atbilstības novērtēšanas kvalitātes līmeni, ir arī jānosaka prasības paziņojošajām iestādēm un citām struktūrām, kuras piedalās paziņoto struktūru novērtēšanā, paziņošanā un pārraudzīšanā. Šajā regulā noteiktā sistēma būtu jāpapildina ar akreditācijas sistēmu, kas paredzēta Regulā (EK) Nr. 765/2008. Akreditācija ir svarīgs līdzeklis, kā verificēt atbilstības novērtēšanas struktūru kompetenci, tāpēc tā arī būtu jāizmanto paziņošanā.

(100)

Atbilstības novērtēšanas struktūras, kas ir akreditētas un paziņotas saskaņā ar Savienības tiesību aktiem, kuros noteiktas prasībām, kas ir līdzīgas šajā regulā noteiktajām prasībām, piemēram, atbilstības novērtēšanas struktūra, kas paziņota Eiropas kiberdrošības sertifikācijas shēmai, kura pieņemta, ievērojot Regulu (ES) 2019/881, vai paziņota saskaņā ar Deleģēto regulu (ES) 2022/30, būtu no jauna jānovērtē un jāpaziņo saskaņā ar šo regulu. Tomēr attiecīgās iestādes var noteikt sinerģiju attiecībā uz prasībām, kas pārklājas, lai novērstu nevajadzīgu finansiālo un administratīvo slogu un nodrošinātu raitu un savlaicīgu paziņošanas procesu.

(101)

Regulā (EK) Nr. 765/2008 paredzētā pārredzamā akreditācija, kas nodrošina atbilstības sertifikātu vajadzīgo uzticamību, valstu publiskā sektora iestādēm visā Savienībā būtu jāuzskata par vēlamāko līdzekli, kā pierādīt atbilstības novērtēšanas struktūru tehnisko kompetenci. Tomēr valstu iestādes var uzskatīt, ka tām ir piemēroti līdzekļi, ar ko pašām veikt minēto izvērtēšanu. Šādos gadījumos, lai nodrošinātu citu valsts iestāžu veiktās izvērtēšanas pienācīgu uzticamības līmeni, valsts iestādēm būtu jāiesniedz Komisijai un pārējām dalībvalstīm vajadzīgie dokumentārie pierādījumi, ka izvērtētās atbilstības novērtēšanas struktūras atbilst attiecīgajām regulatīvajām prasībām.

(102)

Atbilstības novērtēšanas struktūras bieži slēdz apakšlīgumus par kādām to darbības daļām saistībā ar atbilstības novērtēšanu vai izmanto meitasuzņēmumu. Lai nodrošinātu tāda līmeņa aizsardzību, kāda nepieciešama tirgū laižamajam produktam ar digitāliem elementiem, ir ļoti svarīgi, lai atbilstības novērtēšanā iesaistītie apakšuzņēmēji un meitasuzņēmumi attiecībā uz atbilstības novērtēšanas uzdevumu veikšanu atbilstu tādām pašām prasībām, kādām atbilst paziņotās struktūras.

(103)

Paziņojošajai iestādei atbilstības novērtēšanas struktūras paziņojums būtu jānosūta Komisijai un pārējām dalībvalstīm, izmantojot atbilstīgi jaunajai pieejai paziņoto un izraudzīto organizāciju (NANDO) informācijas sistēmu. NANDO informācijas sistēma ir Komisijas izstrādāts un pārvaldīts elektroniskās paziņošanas rīks, kurā ir atrodams visu paziņoto struktūru saraksts.

(104)

Paziņotās struktūras var piedāvāt savus pakalpojumus visā Savienībā, tāpēc ir lietderīgi dot pārējām dalībvalstīm un Komisijai iespēju iebilst pret paziņoto struktūru. Tādēļ ir svarīgi noteikt laikposmu, kurā var novērst visas šaubas vai bažas par atbilstības novērtēšanas struktūru kompetenci, pirms tās sāk darboties kā paziņotās struktūras.

(105)

Konkurētspējas nolūkos ir svarīgi, lai paziņotās struktūras piemērotu atbilstības novērtēšanas procedūras, neradot lieku slogu uzņēmējiem. Tā paša iemesla dēļ, kā arī lai nodrošinātu vienlīdzīgu attieksmi pret uzņēmējiem, jānodrošina saskaņotība atbilstības novērtēšanas procedūru tehniskajā piemērošanā. Vislabāk to var panākt ar atbilstīgu koordinēšanu un sadarbību starp paziņotajām struktūrām.

(106)

Tirgus uzraudzība ir būtisks instruments Savienības tiesību aktu pareizas un vienotas piemērošanas nodrošināšanā. Tādēļ ir lietderīgi ieviest tiesisko regulējumu, saskaņā ar kuru tirgus uzraudzību var veikt pienācīgā veidā. Regulā (ES) 2019/1020 paredzētos noteikumus par Savienības tirgus uzraudzību un kontroli attiecībā uz produktiem, ko ieved Savienības tirgū, piemēro produktiem ar digitāliem elementiem, kas ietilpst šīs regulas darbības jomā.

(107)

Saskaņā ar Regulu (ES) 2019/1020 tirgus uzraudzības iestāde veic tirgus uzraudzību tās dalībvalsts teritorijā, kura to ir izraudzījusi. Šai regulai nebūtu jāliedz dalībvalstīm izraudzīties kompetentās iestādes tirgus uzraudzības uzdevumu veikšanai. Katrai dalībvalstij savā teritorijā būtu jāizraugās viena vai vairākas tirgus uzraudzības iestādes. Dalībvalstīm būtu jāspēj izraudzīties jebkuru esošu vai jaunu iestādi, kas darbosies kā tirgus uzraudzības iestāde, tostarp kompetentās iestādes, kas izraudzītas vai izveidotas saskaņā ar Direktīvas (ES) 2022/2555 8. pantu, valsts kiberdrošības sertifikācijas iestādes, kas izraudzītas saskaņā ar Regulas (ES) 2019/881 58. pantu, vai tirgus uzraudzības iestādes, kas izraudzītas Direktīvas 2014/53/ES vajadzībām. Uzņēmējiem būtu pilnībā jāsadarbojas ar tirgus uzraudzības iestādēm un citām kompetentajām iestādēm. Katrai dalībvalstij būtu jāinformē Komisija un pārējās dalībvalstis par savām tirgus uzraudzības iestādēm un par katras minētās iestādes kompetences jomām un jānodrošina ar šo regulu saistīto tirgus uzraudzības uzdevumu veikšanai vajadzīgie resursi un prasmes. Saskaņā ar Regulas (ES) 2019/1020 10. panta 2. un 3. punktu katrai dalībvalstij būtu jāizraugās vienotais sadarbības birojs, kam inter alia vajadzētu atbildēt par tirgus uzraudzības iestāžu saskaņotas nostājas pārstāvēšanu un palīdzības sniegšanu dažādu dalībvalstu tirgus uzraudzības iestāžu sadarbībā.

(108)

Šīs regulas vienotai piemērošanai būtu jāizveido ADCO produktu ar digitāliem elementiem kibernoturībai, ievērojot Regulas (ES) 2019/1020 30. panta 2. punktu. ADCO sastāvā vajadzētu būt izraudzīto tirgus uzraudzības iestāžu pārstāvjiem un attiecīgā gadījumā arī vienoto sadarbības biroju pārstāvjiem. Komisijai būtu jāatbalsta un jāsekmē sadarbība starp tirgus uzraudzības iestādēm, izmantojot Savienības produktu atbilstības tīklu, kas izveidots saskaņā ar Regulas (ES) 2019/1020 29. pantu, un kurā piedalās pārstāvji no katras dalībvalsts, to vidū pārstāvis no katra vienotā sadarbības biroja, kā norādīts minētās regulas 10. pantā, kā arī fakultatīvs valsts eksperts, ADCO priekšsēdētāji un Komisijas pārstāvji. Komisijai būtu jāpiedalās Savienības produktu atbilstības tīkla, tā apakšgrupu un ADCO sanāksmēs. Tai arī būtu jāpalīdz ADCO, nodrošinot izpildsekretariātu, kas sniedz tehnisko un loģistikas atbalstu. ADCO var arī uzaicināt piedalīties neatkarīgus ekspertus, un tās sadarboties ar citām ADCO, piemēram, tām, kas izveidotas saskaņā ar Direktīvu 2014/53/ES.

(109)

Tirgus uzraudzības iestādēm, izmantojot ADCO, kas izveidotas saskaņā ar šo regulu, būtu cieši jāsadarbojas un būtu jāspēj izstrādāt norādījumus, lai atvieglotu tirgus uzraudzības darbības valsts līmenī, piemēram, izstrādājot paraugpraksi un rādītājus, lai efektīvi pārbaudītu produktu ar digitāliem elementiem atbilstību šai regulai.

(110)

Lai nodrošinātu savlaicīgus, samērīgus un efektīvus pasākumus attiecībā uz produktiem ar digitāliem elementiem, kas rada būtisku kiberdrošības risku, būtu jānodrošina Savienības drošības procedūra, saskaņā ar kuru ieinteresētās personas tiek informētas par pasākumiem, kurus paredzēts veikt attiecībā uz šādiem produktiem. Tai arī būtu jādod iespēja tirgus uzraudzības iestādēm sadarbībā ar attiecīgajiem uzņēmējiem vajadzības gadījumā rīkoties savlaicīgāk. Ja dalībvalstis un Komisija vienojas par kādas dalībvalsts veiktā pasākuma pamatotību, Komisijai vairs nebūtu jāiesaistās, izņemot gadījumus, kad neatbilstība var būt izskaidrojama ar saskaņotā standarta nepilnībām.

(111)

Noteiktos gadījumos produkts ar digitāliem elementiem, kas atbilst šai regulai, tomēr var radīt būtisku kiberdrošības risku vai izraisīt risku cilvēka veselībai vai drošībai, atbilstībai Savienības vai valstu tiesību aktos noteiktajiem pienākumiem, kuru mērķis ir aizsargāt pamattiesības, to pakalpojumu pieejamību, autentiskumu, integritāti vai konfidencialitāti, kurus, izmantojot elektronisko informācijas sistēmu, piedāvā būtiskās vienības, kā minēts Direktīvas (ES) 2022/2555 3. panta 1. punktā, vai citiem sabiedrības interešu aizsardzības aspektiem. Tādēļ ir jāizveido noteikumi, kas nodrošina minēto risku mazināšanu. Tāpēc tirgus uzraudzības iestādēm būtu jāveic pasākumi, lai pieprasītu uzņēmējam nodrošināt, ka produkts vairs nerada šādu risku, vai atkarībā no riska to atsauktu vai izņemtu. Tiklīdz tirgus uzraudzības iestāde šādā veidā ierobežo vai aizliedz produkta ar digitāliem elementiem brīvu apriti, dalībvalstij būtu nekavējoties jāpaziņo Komisijai un pārējām dalībvalstīm par pagaidu pasākumiem, norādot šāda lēmuma iemeslus un pamatojumu. Ja tirgus uzraudzības iestāde pieņem šādus pasākumus attiecībā uz produktiem ar digitāliem elementiem, kuri rada risku, Komisijai nekavējoties būtu jāsāk apspriešanās ar dalībvalstīm un attiecīgo uzņēmēju vai uzņēmējiem un būtu jāizvērtē valsts pasākums. Pamatojoties uz šā izvērtējuma rezultātiem, Komisijai būtu jālemj, vai valsts pasākums ir vai nav pamatots. Komisijai savs lēmums būtu jāadresē visām dalībvalstīm un tas nekavējoties jāpaziņo tām un attiecīgajam uzņēmējam vai uzņēmējiem. Ja pasākums tiek uzskatīts par pamatotu, Komisijai būtu arī jāapsver iespēja pieņemt priekšlikumus attiecīgo Savienības tiesību aktu pārskatīšanai.

(112)

Attiecībā uz produktiem ar digitāliem elementiem, kas rada būtisku kiberdrošības risku, un ja ir pamats uzskatīt, ka tie neatbilst šai regulai, vai attiecībā uz produktiem, kas atbilst šai regulai, bet rada citus nozīmīgus riskus, piemēram, riskus cilvēka veselībai vai drošībai, atbilstībai Savienības vai valstu tiesību aktos noteiktajiem pienākumiem, ar kuriem paredzēts aizsargāt pamattiesības, vai tādu pakalpojumu pieejamībai, autentiskumam, integritātei vai konfidencialitātei, ko, izmantojot elektronisku informācijas sistēmu, piedāvā būtiskās vienības, kā minēts Direktīvas (ES) 2022/2555 3. panta 1. punktā, Komisijai vajadzētu būt iespējai pieprasīt ENISA veikt izvērtēšanu. Pamatojoties uz minēto izvērtējumu, Komisijai ar īstenošanas aktiem būtu jāspēj pieņemt korektīvus vai ierobežojošus pasākumus Savienības līmenī, tostarp pieprasot attiecīgos produktus ar digitāliem elementiem izņemt no tirgus vai atsaukt pienācīgā termiņā, kas samērīgs ar risku. Komisijai vajadzētu būt iespējai izmantot šādu intervenci tikai izņēmuma apstākļos, kas attaisno tūlītēju intervenci, lai saglabātu pareizu iekšējā tirgus darbību, un tikai tādā gadījumā, ja tirgus uzraudzības iestādes nav veikušas efektīvus pasākumus situācijas risināšanai. Šādi izņēmuma apstākļi var būt ārkārtas situācijas, kad, piemēram, ražotājs neatbilstīgu produktu ar digitāliem elementiem ir darījis plaši pieejamu vairākās dalībvalstīs, to arī galvenajās nozarēs lieto vienības, kas ietilpst Direktīvas (ES) 2022/2555 darbības jomā, lai gan tam ir zināmas ievainojamības, kuras izmanto ļaundari un attiecībā uz kurām ražotājs nenodrošina pieejamus programmatūras ielāpus. Komisijai šādās ārkārtas situācijās vajadzētu būt iespējai iejaukties tikai uz laiku, kamēr pastāv izņēmuma apstākļi, un tad, ja neatbilstība šai regulai vai radītie nozīmīgie riski saglabājas.

(113)

Gadījumos, kad vairākās dalībvalstīs ir pazīmes, kas liecina par neatbilstību šai regulai, tirgus uzraudzības iestādēm būtu jāspēj veikt kopīgas darbības ar citām iestādēm, lai pārbaudītu atbilstību un identificētu kiberdrošības riskus produktiem ar digitāliem elementiem.

(114)

Vienlaicīgas koordinētas kontroles darbības (“kontrolreidi”) ir tirgus uzraudzības iestāžu veiktas īpašas izpildes panākšanas darbības, kas var papildus uzlabot produktu drošību. Kontrolreidi jo īpaši būtu jāveic gadījumos, kad tirgus tendences, patērētāju sūdzības vai citas pazīmes liecina par bieži konstatētiem kiberdrošības riskiem, ko rada noteiktas produktu ar digitāliem elementiem kategorijas. Turklāt, nosakot produktu kategorijas, attiecībā uz kurām jāveic kontrolreidi, tirgus uzraudzības iestādēm būtu jāņem vērā arī apstākļi, kas saistīti ar netehniskiem riska faktoriem. Šajā nolūkā tirgus uzraudzības iestādēm būtu jāspēj ņemt vērā saskaņā ar Direktīvas (ES) 2022/2555 22. pantu veikto kritisko piegādes ķēžu koordinēto drošības riska novērtējumu rezultāti, tostarp apstākļi, kas saistīti ar netehniskiem riska faktoriem. ENISA būtu jāiesniedz tirgus uzraudzības iestādēm priekšlikumi par tām produktu ar digitāliem elementiem kategorijām, attiecībā uz kurām varētu rīkot kontrolreidus, inter alia pamatojoties uz tās saņemtajiem paziņojumiem par ievainojamībām un incidentiem.

(115)

Ņemot vērā ENISA speciālās zināšanas un pilnvaras, tai būtu jāspēj atbalstīt šīs regulas īstenošanas procesu. Jo īpaši ENISA būtu jāspēj ierosināt kopīgas darbības, kas tirgus uzraudzības iestādēm jāveic, pamatojoties uz norādēm vai informāciju par produktu ar digitāliem elementiem iespējamu neatbilstību šai regulai vairākās dalībvalstīs, vai noteikt produktu kategorijas, attiecībā uz kurām būtu jāorganizē kontrolreidi. Izņēmuma apstākļos ENISA būtu jāspēj pēc Komisijas pieprasījuma veikt izvērtēšanu attiecībā uz konkrētiem produktiem ar digitāliem elementiem, kas rada būtisku kiberdrošības risku, ja ir nepieciešama tūlītēja intervence ar mērķi saglabāt pareizu iekšējā tirgus darbību.

(116)

Ar šo regulu ENISA tiek uzticēti konkrēti uzdevumi, kam nepieciešami atbilstoši resursi gan attiecībā uz speciālajām zināšanām, gan cilvēkresursiem, lai ENISA varētu efektīvi veikt minētos uzdevumus. Sagatavojot Savienības vispārējā budžeta projektu, Komisija ierosinās ENISA štatu sarakstam nepieciešamos budžeta resursus saskaņā ar Regulas (ES) 2019/881 29. pantā noteikto procedūru. Minētā procesa laikā Komisija apsvērs ENISA vispārējos resursus, lai tā varētu pildīt savus uzdevumus, tostarp tos, kas ENISA uzticēti saskaņā ar šo regulu.

(117)

Lai nodrošinātu, ka vajadzības gadījumā tiesisko regulējumu var pielāgot, būtu jādeleģē Komisijai pilnvaras pieņemt aktus saskaņā ar Līguma par Eiropas Savienības darbību (LESD) 290. pantu attiecībā uz svarīgo produktu ar digitāliem elementiem saraksta atjaunināšanu un pievienošanu šīs regulas pielikumā. Saskaņā ar minēto pantu pilnvaras pieņemt aktus būtu jādeleģē Komisijai, lai identificētu produktus ar digitāliem elementiem, uz kuriem attiecas citi Savienības noteikumi, kas nodrošina tādu pašu aizsardzības līmeni kā šī regula, precizējot, vai būtu nepieciešams ierobežojums vai izslēgšana no šīs regulas darbības jomas, kā arī attiecīgā gadījumā minētā ierobežojuma darbības jomu. Saskaņā ar minēto pantu pilnvaras pieņemt aktus būtu jādeleģē Komisijai arī attiecībā uz šīs regulas pielikumā izklāstīto kritiski svarīgo produktu ar digitāliem elementiem iespējamo sertificēšanas pilnvarojumu Eiropas kiberdrošības sertifikācijas shēmas satvarā, kā arī lai atjauninātu kritiski svarīgo produktu ar digitāliem elementiem sarakstu, pamatojoties uz kritiskuma kritērijiem, kas izklāstīti šajā regulā, un lai precizētu konkrētas Eiropas kiberdrošības sertifikācijas shēmas, kas pieņemtas saskaņā ar Regulu (ES) 2019/881 un ko var izmantot, lai pierādītu atbilstību kiberdrošības pamatprasībām vai to daļām, kā izklāstīts šīs regulas pielikumā. Komisijai būtu jādeleģē arī pilnvaras pieņemt aktus, lai noteiktu minimālo atbalsta periodu konkrētām produktu kategorijām, kurās tirgus uzraudzības dati liecina par neatbilstošiem atbalsta periodiem, kā arī lai precizētu noteikumus ar kiberdrošību saistītu iemeslu piemērošanai attiecībā uz paziņojumu par aktīvi izmantotām ievainojamībām izplatīšanas aizkavēšanu. Turklāt Komisijai būtu jādeleģē pilnvaras pieņemt aktus, lai izveidotu brīvprātīgas drošības apliecinājuma programmas, ar kurām novērtē to, cik lielā mērā produkti ar digitāliem elementiem, kas kvalificējami kā brīvi pieejama atvērtā pirmkoda programmatūra, atbilst visām vai dažām šajā regulā noteiktajām kiberdrošības pamatprasībām vai citiem pienākumiem, kā arī lai precizētu ES atbilstības deklarācijas minimālo saturu un papildinātu tehniskajā dokumentācijā iekļaujamos elementus. Ir īpaši būtiski, lai Komisija, veicot sagatavošanas darbus, rīkotu atbilstīgas apspriešanās, tostarp ekspertu līmenī, un lai minētās apspriešanās tiktu rīkotas saskaņā ar principiem, kas noteikti 2016. gada 13. aprīļa Iestāžu nolīgumā par labāku likumdošanas procesu (31). Jo īpaši, lai deleģēto aktu sagatavošanā nodrošinātu vienādu dalību, Eiropas Parlaments un Padome visus dokumentus saņem vienlaicīgi ar dalībvalstu ekspertiem, un minēto iestāžu ekspertiem ir sistemātiska piekļuve Komisijas ekspertu grupu sanāksmēm, kurās notiek deleģēto aktu sagatavošana. Pilnvaras pieņemt deleģētos aktus saskaņā ar šo regulu Komisijai būtu jāpiešķir uz piecu gadu laikposmu no 2024. gada 10. decembra. Komisijai būtu jāsagatavo ziņojums par pilnvaru deleģēšanu vēlākais deviņus mēnešus pirms piecu gadu laikposma beigām. Pilnvaru deleģēšana būtu automātiski jāpagarina uz tāda paša ilguma laikposmiem, ja vien Eiropas Parlaments vai Padome neiebilst pret šādu pagarinājumu vēlākais trīs mēnešus pirms katra laikposma beigām.

(118)

Lai nodrošinātu vienādus nosacījumus šīs regulas īstenošanai, būtu jāpiešķir īstenošanas pilnvaras Komisijai precizēt šīs regulas pielikumā izklāstīto svarīgo produktu ar digitāliem elementiem kategoriju tehnisko aprakstu, precizēt SBOM formātu un elementus, sīkāk precizēt formātu un procedūru paziņojumiem par aktīvi izmantotām ievainojamībām un nopietniem incidentiem, kas ietekmē ražotāju iesniegto produktu ar digitāliem elementiem drošību, noteikt kopīgas specifikācijas, kas aptver tehniskās prasības, kuras nodrošina līdzekļus šīs regulas pielikumā noteikto kiberdrošības pamatprasību izpildei, noteikt tehniskās specifikācijas marķējumiem, piktogrammām vai jebkādām citām zīmēm, kas saistītas ar produktu ar digitāliem elementiem drošību, to atbalsta periodu un mehānismus to izmantošanas veicināšanai un sabiedrības labākai informēšanai par produktu ar digitāliem elementiem drošību, precizēt vienkāršoto dokumentācijas veidlapu, kas paredzēta mikrouzņēmumu un mazo uzņēmumu vajadzībām, un ārkārtas apstākļos kas pamato tūlītēju iejaukšanos, lai saglabātu iekšējā tirgus pienācīgu darbību, lemt par korektīviem vai ierobežojošiem pasākumiem Savienības līmenī. Minētās pilnvaras būtu jāizmanto saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 182/2011 (32).

(119)

Lai nodrošinātu tirgus uzraudzības iestāžu uzticamu un konstruktīvu sadarbību Savienības un valstu līmenī, visām šīs regulas piemērošanā iesaistītajām pusēm būtu jāievēro to uzdevumu izpildē iegūtās informācijas un datu konfidencialitāte.

(120)

Lai nodrošinātu šajā regulā noteikto pienākumu efektīvu izpildi, katrai tirgus uzraudzības iestādei vajadzētu būt pilnvarām uzlikt administratīvus naudas sodus vai pieprasīt to uzlikšanu. Tāpēc būtu jānosaka maksimālie administratīvo naudas sodu līmeņi, kas valstu tiesību aktos ir jāparedz attiecībā uz šajā regulā noteikto pienākumu neizpildi. Lemjot par administratīvā naudas soda apmēru katrā atsevišķā gadījumā, būtu jāņem vērā visi konkrētās situācijas attiecīgie apstākļi un vismaz tie, kas skaidri noteikti šajā regulā, tostarp tas, vai ražotājs ir mikrouzņēmums, mazais vai vidējais uzņēmums, arī jaunuzņēmums, un vai tā pati vai citas tirgus uzraudzības iestādes tam pašam uzņēmējam jau ir piemērojušas administratīvos naudas sodus par līdzīgiem pārkāpumiem. Šādi apstākļi varētu būt vai nu atbildību pastiprinoši – gadījumos, kad tā paša uzņēmēja pārkāpums turpinās citu dalībvalstu teritorijā, nevis tās dalībvalsts teritorijā, kurā jau ir ticis piemērots administratīvais naudas sods, – vai arī atbildību mīkstinoši, nodrošinot, ka attiecībā uz jebkuru citu administratīvo naudas sodu, ko cita tirgus uzraudzības iestāde apsver attiecībā uz to pašu uzņēmēju vai tāda paša veida pārkāpumu, kopā ar citiem attiecīgiem īpašiem apstākļiem jau būtu jāņem vērā citās dalībvalstīs uzliktais sods un tā apmērs. Visos šādos gadījumos attiecībā uz kumulatīvo administratīvo naudas sodu, ko vairāku dalībvalstu tirgus uzraudzības iestādes varētu piemērot vienam un tam pašam uzņēmējam par viena un tā paša veida pārkāpumu, būtu jānodrošina proporcionalitātes principa ievērošana. Ņemot vērā to, ka administratīvie naudas sodi neattiecas uz mikrouzņēmumiem vai mazajiem uzņēmumiem par to, ka nav ievērots 24 stundu termiņš agrīnās brīdināšanas paziņojumam par aktīvi izmantotām ievainojamībām vai nopietniem incidentiem, kas ietekmē produkta ar digitāliem elementiem drošību, nedz arī uz atvērtā pirmkoda programmatūras pārzini par jebkādiem šīs regulas pārkāpumiem, un ievērojot principu, ka sankcijām vajadzētu būt efektīvām, samērīgām un atturošām, dalībvalstīm nebūtu jāpiemēro minētajām vienībām cita veida finansiālas sankcijas.

(121)

Ja administratīvie naudas sodi tiek uzlikti personām, kas nav uzņēmums, kompetentajai iestādei, apsverot atbilstošo naudas soda apjomu, būtu jāņem vērā vispārējais ienākumu līmenis dalībvalstī, kā arī attiecīgās personas ekonomiskā situācija. Dalībvalstīm būtu jānosaka, vai un kādā apmērā administratīvie naudas sodi būtu piemērojami publiskām iestādēm.

(122)

Dalībvalstīm, ņemot vērā apstākļus valstī, būtu jāizskata iespēja izmantot ieņēmumus no šajā regulā paredzētajiem sodiem vai to finansiālo ekvivalentu, lai atbalstītu kiberdrošības politiku un paaugstinātu kiberdrošības līmeni Savienībā, cita starpā palielinot kvalificētu kiberdrošības speciālistu skaitu, stiprinot mikrouzņēmumu un mazo un vidējo uzņēmumu spēju veidošanu un uzlabojot sabiedrības informētību par kiberdraudiem.

(123)

Savienība attiecībās ar trešām valstīm inter alia cenšas veicināt reglamentēto produktu starptautisku tirdzniecību. Lai sekmētu tirdzniecību, var piemērot plašu pasākumu klāstu, ieskaitot vairākus juridiskus instrumentus, piemēram, divpusējus (starpvaldību) savstarpējas atzīšanas nolīgumus (SAN) par reglamentēto produktu atbilstības novērtēšanu un marķēšanu. SAN tiek izveidoti starp Savienību un trešām valstīm, kurām ir salīdzināms tehniskās attīstības līmenis un kurām ir saderīga pieeja attiecībā uz atbilstības novērtēšanu. Saskaņā ar minētajiem nolīgumiem tiek savstarpēji atzīti sertifikāti, atbilstības zīmes un testēšanas ziņojumi, ko vienas nolīguma puses atbilstības novērtēšanas struktūras ir izdevušas atbilstīgi otras nolīguma puses tiesību aktiem. Pašlaik ir spēkā SAN ar vairākām trešām valstīm. Minētie SAN attiecas uz vairākām konkrētām nozarēm, kas dažādās trešās valstīs var būt atšķirīgas. Lai papildus sekmētu tirdzniecību un atzīstot, ka produktu ar digitāliem elementiem piegādes ķēdes ir globālas, SAN par atbilstības novērtēšanu var noslēgt attiecībā uz produktiem, kurus atbilstīgi šai regulai reglamentē Savienība saskaņā ar LESD 218. pantu. Svarīga ir arī sadarbība ar trešām partnervalstīm, lai stiprinātu kibernoturību visā pasaulē, jo ilgtermiņā tā sekmēs kiberdrošības satvara stiprināšanu gan Savienībā, gan ārpus tās.

(124)

Patērētājiem vajadzētu būt tiesīgiem īstenot savas tiesības saistībā ar pienākumiem, kas ar šo regulu noteikti uzņēmējiem, un to darīt, izmantojot pārstāvības prasības, ievērojot Eiropas Parlamenta un Padomes Direktīvu (ES) 2020/1828 (33). Minētajā nolūkā šajā regulā būtu jāparedz, ka Direktīva (ES) 2020/1828 ir piemērojama pārstāvības prasībām par šīs regulas pārkāpumiem, kas kaitē vai var kaitēt patērētāju kolektīvajām interesēm. Tādēļ būtu attiecīgi jāgroza minētās direktīvas I pielikums. Dalībvalstu ziņā ir nodrošināt, ka minētie grozījumi tiek atspoguļoti to transponēšanas pasākumos, ko pieņem saskaņā ar minēto direktīvu, lai gan valsts transponēšanas pasākumu pieņemšana šajā sakarā nav nosacījums tam, lai minēto direktīvu piemērotu šīm pārstāvības prasībām. Minēto direktīvu būtu jāsāk piemērot pārstāvības prasībām par ražotāju un attiecīgā gadījumā importētāju, pilnvaroto pārstāvju un izpildes pakalpojumu sniedzēju izdarītiem šīs regulas noteikumu pārkāpumiem, kuri kaitē vai var kaitēt patērētāju kolektīvajām interesēm, no 2027. gada 11. decembra.

(125)

Komisijai, apspriežoties ar attiecīgajām ieinteresētajām personām, būtu periodiski jāizvērtē un jāpārskata šī regula, jo īpaši lai noteiktu izmaiņu veikšanas nepieciešamību, ņemot vērā izmaiņas sociālajos, politiskajos, tehnoloģiskajos vai tirgus apstākļos. Šī regula atvieglos to vienību atbilstību piegādes ķēdes drošības pienākumiem, kas ietilpst Regulas (ES) 2022/2554 un Direktīvas (ES) 2022/2555 darbības jomā un kas izmanto produktus ar digitāliem elementiem. Komisijai, veicot minēto periodisko pārskatīšanu, būtu jāizvērtē Savienības kiberdrošības satvara kopējā ietekme.

(126)

Uzņēmējiem būtu jādod pietiekami daudz laika, lai tie varētu pielāgoties prasībām, kas noteiktas šajā regulā. Šī regula būtu jāsāk piemērot no 2027. gada 11. decembra, izņemot ziņošanas pienākumus, kuri attiecas uz aktīvi izmantotām ievainojamībām un nopietniem incidentiem, kas ietekmē produktu ar digitāliem elementiem drošību, un kuri būtu jāsāk piemērot no 2026. gada 11. septembra, un izņemot noteikumus par atbilstības novērtēšanas struktūru paziņošanu, kuri būtu jāsāk piemērot no 2026. gada 11. jūnija.

(127)

Ir svarīgi sniegt atbalstu mikrouzņēmumiem un mazajiem un vidējiem uzņēmumiem, tostarp jaunuzņēmumiem, šīs regulas īstenošanā un līdz minimumam samazināt īstenošanas riskus, ko rada zināšanu un lietpratības trūkums tirgū, kā arī lai atvieglotu ražotāju atbilstības panākšanu šajā regulā noteiktajiem pienākumiem. Programma “Digitālā Eiropa” un citas attiecīgās Savienības programmas sniedz finansiālu un tehnisku atbalstu, kas ļauj minētajiem uzņēmumiem veicināt Savienības ekonomikas izaugsmi un kopējā kiberdrošības līmeņa stiprināšanu Savienībā. Arī Eiropas Kiberdrošības kompetenču centrs un nacionālie koordinācijas centri, kā arī Eiropas digitālās inovācijas centri, ko Komisija un dalībvalstis izveidojušas Savienības vai valstu līmenī, varētu atbalstīt uzņēmumus un publiskā sektora organizācijas un veicināt šīs regulas īstenošanu. Tās varētu savu attiecīgo uzdevumu un kompetences jomu satvarā sniegt tehnisku un zinātnisku atbalstu mikrouzņēmumiem un maziem un vidējiem uzņēmumiem, piemēram, testēšanas darbībām un trešo personu veiktiem atbilstības novērtējumiem. Tās varētu arī veicināt rīku ieviešanu, lai atvieglotu šīs regulas īstenošanu.

(128)

Turklāt dalībvalstīm būtu jāapsver iespēja veikt papildu darbības, kuru mērķis ir sniegt norādījumus un atbalstu mikrouzņēmumiem un maziem un vidējiem uzņēmumiem, tostarp izveidojot “regulatīvās smilškastes” un īpašus saziņas kanālus. Lai stiprinātu kiberdrošības līmeni Savienībā, dalībvalstis var arī apsvērt iespēju sniegt atbalstu, lai attīstītu spējas un prasmes, kas saistītas ar produktu ar digitāliem elementiem kiberdrošību, uzlabojot uzņēmēju, jo īpaši mikrouzņēmumu un mazo un vidējo uzņēmumu, kibernoturību un veicinot sabiedrības informētību par produktu ar digitāliem elementiem kiberdrošību.

(129)

Ņemot vērā to, ka šīs regulas mērķi nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, bet rīcības ietekmes dēļ to var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar Līguma par Eiropas Savienību 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu šajā regulā paredz vienīgi tos pasākumus, kas ir vajadzīgi minētā mērķa sasniegšanai.

(130)

Saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2018/1725 (34) 42. panta 1. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas 2022. gada 9. novembrī sniedza atzinumu (35),