(1)

Iċ-ċibersigurtà hija waħda mill-isfidi ewlenin għall-Unjoni. L-għadd u l-varjetà ta’ apparati konnessi se jiżdiedu b’mod esponenzjali fis-snin li ġejjin. L-attakki ċibernetiċi jirrappreżentaw kwistjoni ta’ interess pubbliku peress li għandhom impatt kritiku mhux biss fuq l-ekonomija tal-Unjoni, iżda wkoll fuq id-demokrazija kif ukoll is-sikurezza u s-saħħa tal-konsumatur. Għalhekk, huwa meħtieġ li jissaħħaħ l-approċċ tal-Unjoni għaċ-ċibersigurtà, tiġi indirizzata r-reżiljenza ċibernetika fil-livell tal-Unjoni u jittejjeb il-funzjonament tas-suq intern billi jiġi stabbilit qafas legali uniformi għar-rekwiżiti essenzjali taċ-ċibersigurtà għall-introduzzjoni ta’ prodotti b’elementi diġitali fis-suq tal-Unjoni. Jenħtieġ li jiġu indirizzati żewġ problemi ewlenin li jżidu l-kostijiet għall-utenti u għas-soċjetà: livell baxx ta’ ċibersigurtà tal-prodotti b’elementi diġitali, rifless minn vulnerabbiltajiet mifruxa u l-forniment insuffiċjenti u inkonsistenti ta’ aġġornamenti tas-sigurtà biex dawn jiġu indirizzati, u fehim u aċċess insuffiċjenti għall-informazzjoni min-naħa tal-utenti, u dan iżommhom milli jagħżlu prodotti bi proprjetajiet taċ-ċibersigurtà adegwati jew milli jużawhom b’mod sigur.

(2)

Dan ir-Regolament għandu l-għan li jistabbilixxi l-kundizzjonijiet limiti għall-iżvilupp ta’ prodotti siguri b’elementi diġitali billi jiżgura li l-prodotti tal-hardware u tas-software jiġu introdotti fis-suq b’anqas vulnerabbiltajiet u li l-manifatturi jieħdu s-sigurtà bis-serjetà matul iċ-ċiklu tal-ħajja ta’ prodott. Dan għandu l-għan ukoll li joħloq kundizzjonijiet li jippermettu lill-utenti jqisu ċ-ċibersigurtà meta jagħżlu u jużaw prodotti b’elementi diġitali, pereżempju billi tittejjeb it-trasparenza fir-rigward tal-perjodu ta’ appoġġ għall-prodotti b’elementi diġitali mqiegħda għad-dispożizzjoni fis-suq.

(3)

Il-liġi rilevanti tal-Unjoni li tinsab fis-seħħ bħalissa tinkludi diversi settijiet ta’ regoli orizzontali li jindirizzaw ċerti aspetti marbuta maċ-ċibersigurtà minn angoli differenti, inklużi miżuri biex tittejjeb is-sigurtà tal-katina tal-provvista diġitali. Madankollu, il-liġi eżistenti tal-Unjoni relatata maċ-ċibersigurtà, inklużi r-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill (3) u d-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill (4), ma tkoprix direttament ir-rekwiżiti obbligatorji għas-sigurtà tal-prodotti b’elementi diġitali.

(4)

Filwaqt li l-liġi eżistenti tal-Unjoni tapplika għal ċerti prodotti b’elementi diġitali, ma hemm l-ebda qafas regolatorju orizzontali tal-Unjoni li jistabbilixxi rekwiżiti komprensivi taċ-ċibersigurtà għall-prodotti kollha b’elementi diġitali. Id-diversi atti u inizjattivi meħuda s’issa fil-livelli tal-Unjoni u f’dak nazzjonali jindirizzaw biss parzjalment il-problemi u r-riskji identifikati relatati maċ-ċibersigurtà, u b’hekk joħolqu frammentazzjoni leġiżlattiva fis-suq intern, u b’hekk iżidu fl-inċertezza legali kemm għall-manifatturi kif ukoll għall-utenti ta’ dawk il-prodotti u jżidu piż bla bżonn fuq in-negozji u l-organizzazzjonijiet biex jikkonformaw ma’ għadd ta’ rekwiżiti u obbligi għal tipi simili ta’ prodotti. Iċ-ċibersigurtà ta’ dawk il-prodotti għandha dimensjoni transfruntiera partikolarment b’saħħitha, peress li l-prodotti b’elementi diġitali manifatturati fi Stat Membru jew pajjiż terz wieħed spiss jintużaw minn organizzazzjonijiet u konsumaturi fis-suq intern kollu. Minħabba dan, il-qasam irid jiġi rregolat fil-livell tal-Unjoni biex jiġu żgurati qafas regolatorju armonizzat u ċertezza legali għall-utenti, l-organizzazzjonijiet u n-negozji, inklużi l-intrapriżi mikro u l-intrapriżi żgħar u ta’ daqs medju kif definiti fl-Anness għar-Rakkomandazzjoni tal-Kummissjoni 2003/361/KE (5). Ix-xenarju regolatorju tal-Unjoni jenħtieġ li jiġi armonizzat billi jiġu introdotti rekwiżiti orizzontali taċ-ċibersigurtà għall-prodotti b’elementi diġitali. Barra minn hekk, jenħtieġ li tiġi żgurata ċ-ċertezza legali għall-operaturi ekonomiċi u għall-utenti madwar l-Unjoni, kif ukoll armonizzazzjoni aħjar tas-suq intern u proporzjonalità għall-intrapriżi mikro u l-intrapriżi żgħar u ta’ daqs medju, li joħolqu kundizzjonijiet aktar vijabbli għall-operaturi ekonomiċi li għandhom l-għan li jidħlu fis-suq tal-Unjoni.

(5)

Fir-rigward tal-intrapriżi mikro u l-intrapriżi żgħar u ta’ daqs medju, meta tiġi ddeterminata l-kategorija li intrapriża taqa’ fiha, id-dispożizzjonijiet tal-Anness tar-Rakkomandazzjoni 2003/361/KE jenħtieġ li jiġu applikati fl-intier tagħhom. Għalhekk, meta jiġi kkalkulat l-għadd tal-persunal u l-limiti massimi finanzjarji li jiddeterminaw il-kategoriji tal-intrapriżi, jenħtieġ li jiġu applikati wkoll id-dispożizzjonijiet tal-Artikolu 6 tal-Anness għar-Rakkomandazzjoni 2003/361/KE dwar l-istabbiliment tad-data ta’ intrapriża b’kunsiderazzjoni ta’ tipi speċifiċi ta’ intrapriżi, bħal intrapriżi sħab jew intrapriżi assoċjati.

(6)

Jenħtieġ li l-Kummissjoni tipprovdi gwida biex tassisti lill-operaturi ekonomiċi, b’mod partikolari lill-intrapriżi mikro u lill-intrapriżi żgħar u ta’ daqs medju, fl-applikazzjoni ta’ dan ir-Regolament. Tali gwida jenħtieġ li tkopri, fost l-oħrajn, il-kamp ta’ applikazzjoni ta’ dan ir-Regolament, b’mod partikolari, l-ipproċessar ta’ data mill-bogħod u l-implikazzjonijiet tiegħu għall-iżviluppaturi tas-software liberu u b’sors miftuħ, l-applikazzjoni tal-kriterji użati biex jiġu ddeterminati l-perjodi ta’ appoġġ għall-prodotti b’elementi diġitali, l-interazzjoni bejn dan ir-Regolament u liġi oħra tal-Unjoni u l-kunċett ta’ modifika sostanzjali.

(7)

Fil-livell tal-Unjoni, diversi dokumenti programmatiċi u politiċi, bħall-komunikazzjoni konġunta tal-Kummissjoni u tar-Rappreżentant Għoli tal-Unjoni għall-Affarijiet Barranin u l-Politika ta’ Sigurtà tas-16 ta’ Diċembru 2020, intitolata “L-Istrateġija tal-UE dwar iċ-Ċibersigurtà għad-Deċennju Diġitali”, il-Konklużjonijiet tal-Kunsill tat-2 ta’ Diċembru 2020 dwar iċ-ċibersigurtà ta’ apparati konnessi u tat-23 ta’ Mejju 2022 dwar l-iżvilupp tal-pożizzjoni tal-Unjoni Ewropea f’dak li jikkonċerna ċ-ċibersigurtà u r-riżoluzzjoni tal-Parlament Ewropew tal-10 ta’ Ġunju 2021 dwar l-Istrateġija tal-UE dwar iċ-Ċibersigurtà għad-Deċennju Diġitali (6), appellaw għal rekwiżiti speċifiċi taċ-ċibersigurtà tal-Unjoni għal prodotti diġitali jew konnessi, u diversi pajjiżi terzi introduċew miżuri biex jindirizzaw din il-kwistjoni fuq inizjattiva tagħhom stess. Fir-rapport finali tal-Konferenza dwar il-Futur tal-Ewropa, iċ-ċittadini talbu “rwol aktar b’saħħtu għall-UE fil-ġlieda kontra t-theddid għaċ-ċibersigurtà”. Sabiex l-Unjoni jkollha rwol internazzjonali ewlieni fil-qasam taċ-ċibersigurtà, huwa importanti li jiġi stabbilit qafas regolatorju ambizzjuż.

(8)

Sabiex jiżdied il-livell ġenerali taċ-ċibersigurtà tal-prodotti kollha b’elementi diġitali introdotti fis-suq intern, huwa meħtieġ li għal dawk il-prodotti jiġu introdotti rekwiżiti essenzjali taċ-ċibersigurtà orjentati lejn l-objettivi u newtrali mil-lat teknoloġiku li japplikaw orizzontalment.

(9)

F’ċerti kundizzjonijiet, il-prodotti kollha b’elementi diġitali integrati f’sistema akbar ta’ informazzjoni elettronika jew konnessi magħha jistgħu jservu bħala vettur ta’ attakk għal atturi malizzjużi. B’riżultat ta’ dan, anke l-hardware u s-software meqjusa bħala anqas kritiċi jistgħu jiffaċilitaw il-kompromess inizjali ta’ apparat jew ta’ network, u dan jippermetti lil atturi malizzjużi jiksbu aċċess privileġġjat għal sistema jew jiċċaqilqu lateralment minn naħa għal oħra tas-sistemi. Għalhekk, jenħtieġ li l-manifatturi jiżguraw li l-prodotti b’elementi diġitali kollha jkunu ddisinjati u żviluppati f’konformità mar-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament. Dak l-obbligu jirrigwarda kemm il-prodotti li jistgħu jiġu konnessi fiżikament permezz ta’ interfaċċi tal-hardware kif ukoll prodotti li huma konnessi b’mod loġiku, bħal permezz ta’ sokits tan-network, pajpijiet, fajls, interfaċċi għall-ipprogrammar tal-applikazzjonijiet jew kwalunkwe tip ieħor ta’ interfaċċa tas-software. Peress li t-theddid ċibernetiku jista’ jinxtered permezz ta’ diversi prodotti b’elementi diġitali qabel ma tintlaħaq ċerta mira, pereżempju billi jingħaqqdu flimkien diversi tipi ta’ vulnerabbiltà, il-manifatturi jenħtieġ li jiżguraw ukoll iċ-ċibersigurtà ta’ prodotti b’elementi diġitali li huma biss indirettament konnessi ma’ apparati jew networks oħra.

(10)

Billi jiġu stabbiliti rekwiżiti taċ-ċibersigurtà għall-introduzzjoni fis-suq ta’ prodotti b’elementi diġitali, huwa maħsub li tissaħħaħ iċ-ċibersigurtà ta’ dawk il-prodotti kemm għall-konsumaturi kif ukoll għan-negozji. Dawk ir-rekwiżiti se jiżguraw ukoll li ċ-ċibersigurtà titqies tul il-ktajjen tal-provvista, u b’hekk il-prodotti finali b’elementi diġitali u l-komponenti tagħhom isiru aktar siguri. Dan jinkludi wkoll rekwiżiti għall-introduzzjoni fis-suq ta’ prodotti tal-konsumatur b’elementi diġitali maħsuba għal konsumaturi vulnerabbli, bħal ġugarelli u sistemi ta’ monitoraġġ tat-trabi. Il-prodotti tal-konsumatur b’elementi diġitali kkategorizzati f’dan ir-Regolament bħala prodotti importanti b’elementi diġitali jippreżentaw riskju ogħla għaċ-ċibersigurtà billi jwettqu funzjoni li ġġorr riskju sinifikanti ta’ effetti negattivi f’termini tal-intensità u l-kapaċità tagħha li tkun ta’ dannu għas-saħħa, is-sigurtà jew is-sikurezza tal-utenti ta’ tali prodotti, u jenħtieġ li jgħaddu minn proċedura ta’ valutazzjoni ta’ konformità aktar stretta. Dan japplika għal tali prodotti bħal prodotti intelliġenti tad-dar b’funzjonalitajiet tas-sigurtà, inkluż serraturi intelliġenti tal-bibien, sistemi ta’ monitoraġġ tat-trabi u sistemi tal-allarm, ġugarelli konnessi u teknoloġija tas-saħħa personali li tintlibes. Barra minn hekk, il-proċeduri ta’ valutazzjoni ta’ konformità aktar stretti li prodotti oħra b’elementi diġitali kkategorizzati f’dan ir-Regolament bħala prodotti importanti jew kritiċi b’elementi diġitali huma meħtieġa li jgħaddu minnhom, se jikkontribwixxu għall-prevenzjoni ta’ impatti negattivi potenzjali fuq il-konsumaturi tal-isfruttament tal-vulnerabbiltajiet.

(11)

L-iskop ta’ dan ir-Regolament huwa li jiżgura livell għoli ta’ ċibersigurtà tal-prodotti b’elementi diġitali u s-soluzzjonijiet integrati tagħhom għall-ipproċessar ta’ data mill-bogħod. Jenħtieġ li tali soluzzjonijiet ta’ pproċessar ta’ data mill-bogħod jiġu definiti bħala pproċessar ta’ data mill-bogħod li għalih ikun iddisinjat u żviluppat is-software mill-manifattur tal-prodott b’elementi diġitali kkonċernat jew taħt ir-responsabbiltà tal-manifattur, u li n-nuqqas tiegħu jipprevjeni l-prodott b’elementi diġitali milli jwettaq waħda mill-funzjonijiet tiegħu. Dak l-approċċ jiżgura li tali prodotti jkunu protetti b’mod adegwat fl-intier tagħhom mill-manifatturi tagħhom, irrispettivament minn jekk id-data tiġix ipproċessata jew tinħażinx lokalment fuq l-apparat tal-utent jew mill-bogħod mill-manifattur. Fl-istess ħin, l-ipproċessar jew il-ħżin mill-bogħod jaqa’ fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament biss sa fejn ikun meħtieġ li prodott b’elementi diġitali jwettaq il-funzjonijiet tiegħu. Tali pproċessar jew ħżin mill-bogħod jinkludi s-sitwazzjoni fejn applikazzjoni mobbli tirrikjedi aċċess għal interfaċċa għall-ipprogrammar tal-applikazzjonijiet jew għal bażi tad-data pprovduta permezz ta’ servizz żviluppat mill-manifattur. F’każ bħal dan, is-servizz jaqa’ fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament bħala soluzzjoni ta’ pproċessar ta’ data mill-bogħod. Ir-rekwiżiti li jikkonċernaw is-soluzzjonijiet ta’ pproċessar ta’ data mill-bogħod li jaqgħu fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament għalhekk ma jinvolvux miżuri tekniċi, operattivi jew organizzattivi li għandhom l-għan li jimmaniġġjaw ir-riskji għas-sigurtà tan-network u tas-sistemi tal-informazzjoni ta’ manifattur b’mod ġenerali.

(12)

Is-soluzzjonijiet tal-cloud jikkostitwixxu soluzzjonijiet ta’ pproċessar ta’ data mill-bogħod skont it-tifsira ta’ dan ir-Regolament biss jekk jissodisfaw id-definizzjoni stabbilita f’dan ir-Regolament. Pereżempju, il-funzjonalitajiet ibbażati fuq il-cloud ipprovduti minn manifattur ta’ apparati intelliġenti tad-dar li jippermettu lill-utenti jikkontrollaw l-apparat mill-bogħod jaqgħu fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament. Min-naħa l-oħra, is-siti web li ma jappoġġjawx il-funzjonalità ta’ prodott b’elementi diġitali, jew servizzi tal-cloud iddisinjati u żviluppati barra mir-responsabbiltà ta’ manifattur ta’ prodott b’elementi diġitali ma jaqgħux fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament. Id-Direttiva (UE) 2022/2555 tapplika għas-servizzi tal-cloud computing u għall-mudelli tas-servizzi tal-cloud, bħas-Software bħala Servizz (SaaS), il-Pjattaforma bħala Servizz (PaaS) jew l-Infrastruttura bħala Servizz (IaaS). L-entitajiet li jipprovdu servizzi tal-cloud computing fl-Unjoni li jikkwalifikaw bħala intrapriżi ta’ daqs medju skont l-Artikolu 2 tal-Anness tar-Rakkomandazzjoni 2003/361/KE, jew li jaqbżu l-limiti massimi għall-intrapriżi ta’ daqs medju previsti fil-paragrafu 1 ta’ dak l-Artikolu, jaqgħu fil-kamp ta’ applikazzjoni ta’ dik id-Direttiva.

(13)

F’konformità mal-objettiv ta’ dan ir-Regolament li jitneħħew l-ostakli għall-moviment liberu ta’ prodotti b’elementi diġitali, jenħtieġ li l-Istati Membri ma jimpedixxux, għall-kwistjonijiet koperti minn dan ir-Regolament, it-tqegħid għad-dispożizzjoni fis-suq ta’ prodotti b’elementi diġitali li jikkonformaw ma’ dan ir-Regolament. Għalhekk, għal kwistjonijiet armonizzati minn dan ir-Regolament, l-Istati Membri ma jistgħux jimponu rekwiżiti addizzjonali taċ-ċibersigurtà għat-tqegħid fis-suq ta’ prodotti b’elementi diġitali. Madankollu, kwalunkwe entità, pubblika jew privata, tista’ tistabbilixxi rekwiżiti addizzjonali għal dawk stabbiliti f’dan ir-Regolament għall-akkwist jew l-użu ta’ prodotti b’elementi diġitali għall-iskopijiet speċifiċi tiegħu, u għalhekk tista’ tagħżel li tuża prodotti b’elementi diġitali li jissodisfaw rekwiżiti taċ-ċibersigurtà aktar stretti jew aktar speċifiċi minn dawk applikabbli għat-tqegħid għad-dispożizzjoni fis-suq skont dan ir-Regolament. Mingħajr preġudizzju għad-Direttivi 2014/24/UE (7) u 2014/25/UE (8) tal-Parlament Ewropew u tal-Kunsill, meta jakkwistaw prodotti b’elementi diġitali, li jridu jikkonformaw mar-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament, inklużi dawk relatati mal-ġestjoni tal-vulnerabbiltà, jenħtieġ li l-Istati Membri jiżguraw li tali rekwiżiti jitqiesu fil-proċess tal-akkwist u li titqies ukoll il-kapaċità tal-manifatturi li japplikaw b’mod effettiv il-miżuri taċ-ċibersigurtà u jimmaniġġjaw it-theddid ċibernetiku. Barra minn hekk, id-Direttiva (UE) 2022/2555 tistabbilixxi miżuri ta’ ġestjoni tar-riskji għaċ-ċibersigurtà għall-entitajiet essenzjali u importanti kif imsemmija fl-Artikolu 3 ta’ dik id-Direttiva li jistgħu jinvolvu miżuri ta’ sigurtà tal-katina tal-provvista li jirrikjedu l-użu minn tali entitajiet ta’ prodotti b’elementi diġitali li jissodisfaw rekwiżiti taċ-ċibersigurtà aktar stretti minn dawk stabbiliti f’dan ir-Regolament. Għalhekk, f’konformità mad-Direttiva (UE) 2022/2555 u f’konformità mal-prinċipju ta’ armonizzazzjoni minima tagħha, l-Istati Membri jistgħu jimponu rekwiżiti addizzjonali taċ-ċibersigurtà għall-użu ta’ prodotti tat-teknoloġiji tal-informazzjoni u tal-komunikazzjoni (ICT) minn entitajiet essenzjali jew importanti skont dik id-Direttiva sabiex jiżguraw livell ogħla ta’ ċibersigurtà, dment li tali rekwiżiti jkunu konsistenti mal-obbligi tal-Istati Membri stabbiliti fil-liġi tal-Unjoni. Kwistjonijiet mhux koperti minn dan ir-Regolament jistgħu jinkludu fatturi mhux tekniċi relatati ma’ prodotti b’elementi diġitali u l-manifatturi tagħhom. Għalhekk, l-Istati Membri jistgħu jistabbilixxu miżuri nazzjonali, inklużi restrizzjonijiet fuq prodotti b’elementi diġitali jew fornituri ta’ tali prodotti li jqisu fatturi mhux tekniċi. Il-miżuri nazzjonali relatati ma’ tali fatturi huma meħtieġa li jikkonformaw mal-liġi tal-Unjoni.

(14)

Dan ir-Regolament jenħtieġ li jkun mingħajr preġudizzju għar-responsabbiltà tal-Istati Membri li jissalvagwardjaw is-sigurtà nazzjonali, f’konformità mal-liġi tal-Unjoni. Jenħtieġ li l-Istati Membri jkunu jistgħu jissoġġettaw il-prodotti b’elementi diġitali li jiġu akkwistati għal skopijiet ta’ sigurtà jew ta’ difiża nazzjonali għal miżuri addizzjonali, dment li tali miżuri jkunu konsistenti mal-obbligi tal-Istati Membri stabbiliti fil-liġi tal-Unjoni.

(15)

Dan ir-Regolament japplika għall-operaturi ekonomiċi biss fir-rigward ta’ prodotti b’elementi diġitali mqiegħda għad-dispożizzjoni fis-suq, u b’hekk jiġu fornuti għad-distribuzzjoni jew għall-użu fis-suq tal-Unjoni matul attività kummerċjali. Il-provvista matul attività kummerċjali tista’ tiġi kkaratterizzata mhux biss billi jiġi impost prezz għal prodott b’elementi diġitali, iżda wkoll billi jiġi impost prezz għas-servizzi ta’ appoġġ tekniku fejn dan ma jservix biss għall-irkupru tal-kostijiet reali, permezz ta’ intenzjoni ta’ monetizzazzjoni, pereżempju billi tiġi pprovduta pjattaforma tas-software li permezz tagħha l-manifattur ikejjel is-servizzi l-oħra, billi bħala kundizzjoni għall-użu jkun meħtieġ l-ipproċessar ta’ data personali għal raġunijiet għajr esklużivament għat-titjib tas-sigurtà, il-kompatibbiltà jew l-interoperabbiltà tas-software, jew billi jiġu aċċettati donazzjonijiet li jaqbżu l-kostijiet assoċjati mad-disinn, l-iżvilupp u l-forniment ta’ prodott b’elementi diġitali. Jenħtieġ li l-aċċettazzjoni ta’ donazzjonijiet mingħajr l-intenzjoni li jsir profitt ma titqiesx bħala attività kummerċjali.

(16)

Il-prodotti b’elementi diġitali pprovduti bħala parti mill-konsenja ta’ servizz li għalih tiġi imposta tariffa biss biex jiġu rkuprati l-kostijiet reali direttament relatati mal-operat ta’ dak is-servizz, bħal fil-każ ta’ ċerti prodotti b’elementi diġitali pprovduti minn entitajiet tal-amministrazzjoni pubblika, jenħtieġ li ma jitqisux għal dawk ir-raġunijiet biss bħala attività kummerċjali għall-iskopijiet ta’ dan ir-Regolament. Barra minn hekk, il-prodotti b’elementi diġitali li jiġu żviluppati jew modifikati minn entità tal-amministrazzjoni pubblika esklużivament għall-użu proprju tagħha jenħtieġ li ma jitqisux li huma mqiegħda għad-dispożizzjoni fis-suq skont it-tifsira ta’ dan ir-Regolament.

(17)

Software u data li huma kondiviżi b’mod miftuħ u fejn l-utenti jistgħu liberament jaċċessaw, jużaw, jimmodifikaw u jiddistribwixxu mill-ġdid verżjonijiet modifikati tagħhom, jistgħu jikkontribwixxu għar-riċerka u l-innovazzjoni fis-suq. Biex jitrawmu l-iżvilupp u l-użu ta’ software liberu u b’sors miftuħ, b’mod partikolari minn intrapriżi mikro u intrapriżi żgħar u ta’ daqs medju, inklużi negozji ġodda, individwi, organizzazzjonijiet mingħajr skop ta’ qligħ, u organizzazzjonijiet ta’ riċerka akkademika, l-applikazzjoni ta’ dan ir-Regolament għal prodotti b’elementi diġitali li jikkwalifikaw bħala software liberu u b’sors miftuħ fornut għad-distribuzzjoni jew għall-użu matul attività kummerċjali jenħtieġ li tqis in-natura tal-mudelli differenti ta’ żvilupp ta’ software distribwit u żviluppat skont liċenzji ta’ software liberu u b’sors miftuħ.

(18)

Software liberu u b’sors miftuħ huwa mifhum bħala software li l-kodiċi tas-sors tiegħu huwa kondiviż b’mod miftuħ u li l-liċenzjar tiegħu jipprevedi d-drittijiet kollha li jagħmluh liberament aċċessibbli, li jista’ jintuża, u li huwa modifikabbli u ridistribwibbli. Is-software liberu u b’sors miftuħ huwa żviluppat, miżmum u mqassam b’mod miftuħ, inkluż permezz ta’ pjattaformi online. Fir-rigward tal-operaturi ekonomiċi li jaqgħu fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament, software liberu u b’sors miftuħ biss imqiegħed għad-dispożizzjoni fis-suq, u għalhekk ikun fornut għad-distribuzzjoni jew għall-użu matul attività kummerċjali, jenħtieġ li jaqa’ fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament. Is-sempliċi ċirkostanzi li fihom il-prodott b’elementi diġitali jkun ġie żviluppat, jew kif l-iżvilupp ikun ġie ffinanzjat, għalhekk jenħtieġ li ma jitqisux meta jiġi ddeterminat jekk in-natura ta’ dik l-attività hijiex kummerċjali jew mhux kummerċjali. B’mod aktar speċifiku, għall-iskopijiet ta’ dan ir-Regolament u fir-rigward tal-operaturi ekonomiċi li jaqgħu fil-kamp ta’ applikazzjoni tiegħu, biex jiġi żgurat li jkun hemm distinzjoni ċara bejn il-fażijiet tal-iżvilupp u tal-provvista, il-provvista ta’ prodotti b’elementi diġitali li jikkwalifikaw bħala software liberu u b’sors miftuħ li mhumiex monetizzati mill-manifatturi tagħhom jenħtieġ li ma titqiesx li hija attività kummerċjali. Barra minn hekk, il-provvista ta’ prodotti b’elementi diġitali li jikkwalifikaw bħala komponenti ta’ software liberu u b’sors miftuħ maħsuba għall-integrazzjoni minn manifatturi oħra fil-prodotti tagħhom stess b’elementi diġitali jenħtieġ li titqies biss bħala tqegħid għad-dispożizzjoni fis-suq jekk ikun monetizzat mill-manifattur oriġinali tiegħu. Pereżempju, is-sempliċi fatt li prodott tas-software b’sors miftuħ b’elementi diġitali jirċievi appoġġ finanzjarju mill-manifatturi jew li l-manifatturi jikkontribwixxu għall-iżvilupp ta’ tali prodott jenħtieġ li fih innifsu ma jiddeterminax li l-attività hija ta’ natura kummerċjali. Barra minn hekk, is-sempliċi preżenza ta’ rilaxxi regolari jenħtieġ li fiha nnifisha ma twassalx għall-konklużjoni li prodott b’elementi diġitali jiġi fornut matul attività kummerċjali. Fl-aħħar nett, għall-iskopijiet ta’ dan ir-Regolament, l-iżvilupp ta’ prodotti b’elementi diġitali li jikkwalifikaw bħala software liberu u b’sors miftuħ minn organizzazzjonijiet mingħajr skop ta’ qligħ jenħtieġ li ma jitqiesx bħala attività kummerċjali dment li l-organizzazzjoni tiġi stabbilita b’tali mod li tiżgura li l-qligħ kollu wara l-kostijiet jintuża biex jintlaħqu l-objettivi mingħajr skop ta’ qligħ. Dan ir-Regolament ma japplikax għal persuni fiżiċi jew ġuridiċi li jikkontribwixxu b’kodiċi tas-sors għal prodotti b’elementi diġitali li jikkwalifikaw bħala software liberu u b’sors miftuħ li mhumiex taħt ir-responsabbiltà tagħhom.

(19)

Filwaqt li titqies l-importanza għaċ-ċibersigurtà ta’ ħafna prodotti b’elementi diġitali li jikkwalifikaw bħala software liberu u b’sors miftuħ li jiġu ppubblikati, iżda li ma jitqegħdux għad-dispożizzjoni fis-suq skont it-tifsira ta’ dan ir-Regolament, il-persuni ġuridiċi li jipprovdu appoġġ fuq bażi sostnuta għall-iżvilupp ta’ tali prodotti li huma maħsuba għal attivitajiet kummerċjali, u li għandhom rwol ewlieni fl-iżgurar tal-vijabbiltà ta’ dawk il-prodotti (amministraturi tas-software b’sors miftuħ), jenħtieġ li jkunu soġġetti għal reġim regolatorju ħafif u mfassal apposta. L-amministraturi tas-software b’sors miftuħ jinkludu ċerti fondazzjonijiet kif ukoll entitajiet li jiżviluppaw u jippubblikaw software liberu u b’sors miftuħ f’kuntest ta’ negozju, inkluż entitajiet mingħajr skop ta’ qligħ. Ir-reġim regolatorju jenħtieġ li jqis in-natura speċifika u l-kompatibbiltà tagħhom mat-tip ta’ obbligi imposti. Jenħtieġ li jkopri biss prodotti b’elementi diġitali li jikkwalifikaw bħala software liberu u b’sors miftuħ li fl-aħħar mill-aħħar huma maħsuba għal attivitajiet kummerċjali, bħal pereżempju għall-integrazzjoni f’servizzi kummerċjali jew fi prodotti monetizzati b’elementi diġitali. Għall-iskopijiet ta’ dak ir-reġim regolatorju, intenzjoni għall-integrazzjoni fi prodotti monetizzati b’elementi diġitali tinkludi każijiet fejn il-manifatturi li jintegraw komponent fil-prodotti tagħhom stess b’elementi diġitali jew jikkontribwixxu għall-iżvilupp ta’ dak il-komponent b’mod regolari jew jipprovdu assistenza finanzjarja regolari biex jiżguraw il-kontinwità ta’ prodott tas-software. L-għoti ta’ appoġġ sostnut għall-iżvilupp ta’ prodott b’elementi diġitali jinkludi iżda mhuwiex limitat għall-hosting u l-ġestjoni ta’ pjattaformi ta’ kollaborazzjoni għall-iżvilupp tas-software, il-hosting ta’ kodiċi tas-sors jew ta’ software, ir-regolamentazzjoni jew il-ġestjoni ta’ prodotti b’elementi diġitali li jikkwalifikaw bħala software liberu u b’sors miftuħ kif ukoll it-tmexxija tal-iżvilupp ta’ tali prodotti. Minħabba li r-reġim regolatorju ħafif u mfassal apposta ma jissuġġettax lil dawk li jaġixxu bħala amministraturi tas-software b’sors miftuħ għall-istess obbligi bħal dawk li jaġixxu bħala manifatturi skont dan ir-Regolament, jenħtieġ li dawn ma jitħallewx iwaħħlu l-markatura CE mal-prodotti b’elementi diġitali li huma jappoġġjaw l-iżvilupp tagħhom.

(20)

L-uniku att għall-hosting ta’ prodotti b’elementi diġitali fuq repożitorji miftuħa, inkluż permezz ta’ maniġers ta’ pakketti jew fuq pjattaformi ta’ kollaborazzjoni, fih innifsu ma jikkostitwixxix it-tqegħid għad-dispożizzjoni fis-suq ta’ prodott b’elementi diġitali. Il-fornituri ta’ tali servizzi jenħtieġ li jitqiesu li huma distributuri jekk jagħmlu tali software disponibbli fis-suq u b’hekk jipprovduh għad-distribuzzjoni jew għall-użu fis-suq tal-Unjoni matul attività kummerċjali biss.

(21)

Sabiex tappoġġja u tiffaċilita d-diliġenza dovuta tal-manifatturi li jintegraw komponenti ta’ software liberu u b’sors miftuħ li mhumiex soġġetti għar-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament fil-prodotti tagħhom b’elementi diġitali, jenħtieġ li l-Kummissjoni tkun tista’ tistabbilixxi programmi volontarji ta’ attestament tas-sigurtà, jew permezz ta’ att delegat li jissupplimenta dan ir-Regolament jew billi titlob skema Ewropea ta’ ċertifikazzjoni taċ-ċibersigurtà skont l-Artikolu 48 tar-Regolament (UE) 2019/881 li tqis l-ispeċifiċitajiet tal-mudelli ta’ żvilupp ta’ software liberu u b’sors miftuħ. Il-programmi ta’ attestament tas-sigurtà jenħtieġ li jitfasslu b’tali mod li mhux biss il-persuni fiżiċi jew ġuridiċi li jiżviluppaw jew jikkontribwixxu għall-iżvilupp ta’ prodott b’elementi diġitali li jikkwalifika bħala software liberu u b’sors miftuħ ikunu jistgħu jibdew jew jiffinanzjaw attestament tas-sigurtà iżda wkoll partijiet terzi, bħal manifatturi li jintegraw tali prodotti fil-prodotti tagħhom stess b’elementi diġitali, utenti, jew amministrazzjonijiet pubbliċi tal-Unjoni u dawk nazzjonali.

(22)

Fid-dawl tal-objettivi pubbliċi taċ-ċibersigurtà ta’ dan ir-Regolament u sabiex jittejjeb l-għarfien tas-sitwazzjoni tal-Istati Membri fir-rigward tad-dipendenza tal-Unjoni fuq il-komponenti tas-software u b’mod partikolari fuq komponenti tas-software potenzjalment liberi u b’sors miftuħ, grupp ta’ kooperazzjoni amministrattiva (ADCO) dedikat stabbilit b’dan ir-Regolament jenħtieġ li jkun jista’ jiddeċiedi li jwettaq b’mod konġunt valutazzjoni tad-dipendenza tal-Unjoni. L-awtoritajiet tas-sorveljanza tas-suq jenħtieġ li jkunu jistgħu jitolbu lill-manifatturi ta’ kategoriji ta’ prodotti b’elementi diġitali stabbiliti mill-ADCO jissottomettu l-lista ta’ materjali tas-software (SBOMs) li jkunu ġġeneraw skont dan ir-Regolament. Sabiex tiġi protetta l-kunfidenzjalità tal-SBOMs, l-awtoritajiet tas-sorveljanza tas-suq jenħtieġ li jissottomettu informazzjoni rilevanti dwar id-dipendenzi lill-ADCO b’mod anonimizzat u aggregat.

(23)

L-effettività tal-implimentazzjoni ta’ dan ir-Regolament se tiddependi wkoll fuq id-disponibbiltà ta’ ħiliet adegwati fiċ-ċibersigurtà. Fil-livell tal-Unjoni, diversi dokumenti programmatiċi u politiċi, inkluża l-komunikazzjoni tal-Kummissjoni tat-18 ta’ April 2023“Inxejnu d-distakk tat-talent fiċ-ċibersigurtà biex nixprunaw il-kompetittività, it-tkabbir u r-reżiljenza tal-UE” u l-Konklużjonijiet tal-Kunsill tat-22 ta’ Mejju 2023 dwar il-Politika tal-UE dwar id-Difiża Ċibernetika rrikonoxxew id-distakk tal-ħiliet fiċ-ċibersigurtà fl-Unjoni u l-ħtieġa li jiġu indirizzati tali sfidi bħala kwistjoni ta’ prijorità, kemm fis-settur pubbliku kif ukoll f’dak privat. Bil-ħsieb li tiġi żgurata implimentazzjoni effettiva ta’ dan ir-Regolament, l-Istati Membri jenħtieġ li jiżguraw li jkun hemm disponibbli riżorsi adegwati għall-persunal xieraq tal-awtoritajiet tas-sorveljanza tas-suq u tal-korpi ta’ valutazzjoni ta’ konformità biex iwettqu l-kompiti tagħhom kif stabbiliti f’dan ir-Regolament. Dawk il-miżuri jenħtieġ li jtejbu l-mobbiltà tal-forza tax-xogħol fil-qasam taċ-ċibersigurtà u l-mogħdijiet tal-karriera assoċjati magħhom. Jenħtieġ li jikkontribwixxu wkoll biex il-forza tax-xogħol taċ-ċibersigurtà ssir aktar reżiljenti u inklużiva, anke f’termini ta’ ġeneru. Għalhekk, jenħtieġ li l-Istati Membri jieħdu miżuri biex jiżguraw li dawk il-kompiti jitwettqu minn professjonisti mħarrġa b’mod adegwat, bil-ħiliet meħtieġa fiċ-ċibersigurtà. Bl-istess mod, jenħtieġ li l-manifatturi jiżguraw li l-persunal tagħhom ikollu l-ħiliet meħtieġa biex jikkonforma mal-obbligi tagħhom kif stabbiliti f’dan ir-Regolament. L-Istati Membri u l-Kummissjoni, f’konformità mal-prerogattivi u l-kompetenzi tagħhom u l-kompiti speċifiċi kkonferiti lilhom b’dan ir-Regolament, jenħtieġ li jieħdu miżuri biex jappoġġjaw lill-manifatturi u b’mod partikolari lill-intrapriżi mikro u lill-intrapriżi żgħar u ta’ daqs medju, inkluż in-negozji ġodda, anke f’oqsma bħall-iżvilupp tal-ħiliet, għall-iskopijiet ta’ konformità mal-obbligi tagħhom kif stabbiliti f’dan ir-Regolament. Barra minn hekk, peress li d-Direttiva (UE) 2022/2555 tirrikjedi li l-Istati Membri jadottaw politiki li jippromwovu u jiżviluppaw taħriġ dwar iċ-ċibersigurtà u l-ħiliet fiċ-ċibersigurtà bħala parti mill-istrateġiji nazzjonali tagħhom taċ-ċibersigurtà, l-Istati Membri jistgħu jikkunsidraw ukoll, meta jadottaw tali strateġiji, li jindirizzaw il-ħtiġijiet tal-ħiliet fiċ-ċibersigurtà li jirriżultaw minn dan ir-Regolament, inkluż dawk relatati mat-taħriġ mill-ġdid u t-titjib tal-ħiliet.

(24)

Internet sigur huwa indispensabbli għall-funzjonament tal-infrastrutturi kritiċi u għas-soċjetà kollha kemm hi. Id-Direttiva (UE) 2022/2555 għandha l-għan li tiżgura livell għoli ta’ ċibersigurtà tas-servizzi pprovduti minn entitajiet essenzjali u importanti kif imsemmija fl-Artikolu 3 ta’ dik id-Direttiva, inklużi l-fornituri tal-infrastruttura diġitali li jappoġġjaw il-funzjonijiet ewlenin tal-Internet miftuħ, jiżguraw l-aċċess għall-Internet u jipprovdu s-servizzi tal-Internet. Għalhekk huwa importanti li l-prodotti b’elementi diġitali meħtieġa għall-fornituri tal-infrastruttura diġitali jiżguraw li l-funzjonament tal-Internet jiġi żviluppat b’mod sigur u li jikkonformaw ma’ standards stabbiliti sew tas-sigurtà tal-Internet. Dan ir-Regolament, li japplika għall-prodotti tal-hardware u tas-software kollha li jistgħu jiġu konnessi, għandu wkoll l-għan li jiffaċilita l-konformità tal-fornituri tal-infrastruttura diġitali mar-rekwiżiti tal-katina tal-provvista skont id-Direttiva (UE) 2022/2555 billi jiżgura li l-prodotti b’elementi diġitali li jużaw għall-forniment tas-servizzi tagħhom jiġu żviluppati b’mod sigur u li jkollhom aċċess f’waqtu għal aġġornamenti tas-sigurtà għal tali prodotti.

(25)

Ir-Regolament (UE) 2017/745 tal-Parlament Ewropew u tal-Kunsill (9) jistabbilixxi regoli dwar apparati mediċi u r-Regolament (UE) 2017/746 tal-Parlament Ewropew u tal-Kunsill (10) jistabbilixxi regoli dwar apparati mediċi dijanjostiċi in vitro. Dawk ir-Regolamenti jindirizzaw ir-riskji għaċ-ċibersigurtà u jsegwu approċċi partikolari li wkoll huma indirizzati f’dan ir-Regolament. B’mod aktar speċifiku, ir-Regolamenti (UE) 2017/745 u (UE) 2017/746 jistabbilixxu rekwiżiti essenzjali għall-apparat mediku li jiffunzjona permezz ta’ sistema elettronika jew apparat li huwa stess ikun software. Ċertu software mhux inkorporat u l-approċċ taċ-ċiklu tal-ħajja kollu wkoll huma koperti minn dawk ir-Regolamenti. Dawk ir-rekwiżiti jagħtu mandat lill-manifatturi biex jiżviluppaw u jibnu l-prodotti tagħhom billi japplikaw il-prinċipji tal-ġestjoni tar-riskju u billi jistabbilixxu rekwiżiti li jikkonċernaw il-miżuri ta’ sigurtà tal-IT, kif ukoll proċeduri korrispondenti ta’ valutazzjoni ta’ konformità. Barra minn hekk, minn Diċembru 2019, hemm fis-seħħ gwida speċifika dwar iċ-ċibersigurtà għall-apparat mediku, li tipprovdi lill-manifatturi tal-apparat mediku, inkluż l-apparat dijanjostiku in vitro, bi gwida dwar kif għandhom jiġu ssodisfati r-rekwiżiti essenzjali rilevanti kollha stabbiliti fl-Anness I ta’ dawk ir-Regolamenti fir-rigward taċ-ċibersigurtà. Għalhekk, jenħtieġ li l-prodotti b’elementi diġitali li għalihom japplikaw xi wieħed minn dawk ir-Regolamenti ma jkunux soġġetti għal dan ir-Regolament.

(26)

Il-prodotti b’elementi diġitali li huma żviluppati jew modifikati esklużivament għal skopijiet ta’ sigurtà jew ta’ difiża nazzjonali jew għal prodotti li huma mfassla speċifikament biex jipproċessaw informazzjoni kklassifikata ma jaqgħux fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament. L-Istati Membri huma mħeġġa jiżguraw l-istess livell jew livell ogħla ta’ protezzjoni għal dawk il-prodotti bħal ta’ dawk li jaqgħu fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament.

(27)

Ir-Regolament (UE) 2019/2144 tal-Parlament Ewropew u tal-Kunsill (11) jistabbilixxi rekwiżiti għall-approvazzjoni tat-tip ta’ vetturi, u tas-sistemi u l-komponenti tagħhom, jintroduċi ċerti rekwiżiti taċ-ċibersigurtà, fosthom dwar it-tħaddim ta’ sistema ta’ ġestjoni taċ-ċibersigurtà ċċertifikata, dwar aġġornamenti tas-software, ikopri l-politiki u l-proċessi tal-organizzazzjonijiet għar-riskji għaċ-ċibersigurtà relatati maċ-ċiklu tal-ħajja kollu tal-vetturi, tat-tagħmir u tas-servizzi f’konformità mar-regolamenti applikabbli tan-Nazzjonijiet Uniti dwar l-ispeċifikazzjonijiet tekniċi u ċ-ċibersigurtà, b’mod partikolari r-Regolament Nru 155 tan-NU – Dispożizzjonijiet uniformi dwar l-approvazzjoni ta’ vetturi fir-rigward taċ-ċibersigurtà u s-sistema tal-ġestjoni taċ-ċibersigurtà (12) u jipprevedi proċeduri speċifiċi ta’ valutazzjoni ta’ konformità.Fil-qasam tal-avjazzjoni, l-objettiv prinċipali tar-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill (13) huwa li jistabbilixxi u jżomm livell uniformi għoli ta’ sikurezza tal-avjazzjoni ċivili fl-Unjoni. Huwa joħloq qafas għar-rekwiżiti essenzjali għall-ajrunavigabbiltà għal prodotti, partijiet u tagħmir ajrunawtiċi, inkluż software li jinkludi l-obbligi għall-protezzjoni kontra t-theddid għas-sigurtà tal-informazzjoni. Il-proċess ta’ ċertifikazzjoni skont ir-Regolament (UE) 2018/1139 jiżgura l-livell ta’ assigurazzjoni mmirat minn dan ir-Regolament. Għalhekk, jenħtieġ li l-prodotti b’elementi diġitali li għalihom japplika r-Regolament (UE) 2019/2144 u l-prodotti ċċertifikati f’konformità mar-Regolament (UE) 2018/1139 ma jkunux soġġetti għar-rekwiżiti essenzjali taċ-ċibersigurtà u l-proċeduri ta’ valutazzjoni ta’ konformità stabbiliti f’dan ir-Regolament.

(28)

Dan ir-Regolament jistabbilixxi regoli orizzontali dwar iċ-ċibersigurtà li ma humiex speċifiċi għas-setturi jew għal ċerti prodotti b’elementi diġitali. Madankollu, jistgħu jiġu introdotti regoli settorjali jew speċifiċi għall-prodott tal-Unjoni, li jistabbilixxu rekwiżiti li jindirizzaw ir-riskji kollha jew uħud minnhom koperti mir-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament. F’każijiet bħal dawn, l-applikazzjoni ta’ dan ir-Regolament għal prodotti b’elementi diġitali koperti minn regoli oħra tal-Unjoni li jistabbilixxu rekwiżiti li jindirizzaw ir-riskji kollha jew uħud minnhom koperti mir-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament jaf tkun limitata jew eskluża meta tali limitazzjoni jew esklużjoni tkun konsistenti mal-qafas regolatorju ġenerali li japplika għal dawk il-prodotti u fejn ir-regoli settorjali jiksbu mill-anqas l-istess livell ta’ protezzjoni bħal dak previst minn dan ir-Regolament. Jenħtieġ li l-Kummissjoni tingħata s-setgħa li tadotta atti delegati biex tissupplimenta dan ir-Regolament billi tidentifika tali prodotti u regoli. Għal-liġi eżistenti tal-Unjoni fejn jenħtieġ li japplikaw tali limitazzjonijiet jew esklużjonijiet, dan ir-Regolament fih dispożizzjonijiet speċifiċi biex jiċċara r-rabta tiegħu ma’ dik il-liġi tal-Unjoni.

(29)

Sabiex jiġi żgurat li l-prodotti b’elementi diġitali mqiegħda għad-dispożizzjoni fis-suq ikunu jistgħu jissewwew b’mod effettiv u li d-durabbiltà tagħhom tiġi estiża, jenħtieġ li tiġi pprovduta eżenzjoni għall-ispare parts. Dik l-eżenzjoni jenħtieġ li tkopri kemm l-ispare parts li għandhom l-iskop li jsewwu l-prodotti tradizzjonali mqiegħda għad-dispożizzjoni qabel id-data tal-applikazzjoni ta’ dan ir-Regolament u għall-ispare parts li diġà għaddew minn proċedura ta’ valutazzjoni ta’ konformità skont dan ir-Regolament.

(30)

Ir-Regolament Delegat tal-Kummissjoni (UE) 2022/30 (14) jispeċifika li għadd ta’ rekwiżiti essenzjali stabbiliti fl-Artikolu 3(3), il-punti (d), (e) u (f), tad-Direttiva 2014/53/UE tal-Parlament Ewropew u tal-Kunsill (15), relatati mal-ħsara u l-użu ħażin tan-network tar-riżorsi tan-network, id-data personali u l-privatezza, u l-frodi, japplikaw għal ċertu tagħmir tar-radju. Id-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni C(2022) 5637 tal-5 ta’ Awwissu 2022 dwar talba ta’ standardizzazzjoni lill-Kumitat Ewropew għall-Istandardizzazzjoni u lill-Kumitat Ewropew għall-Istandardizzazzjoni Elettroteknika tistabbilixxi rekwiżiti għall-iżvilupp ta’ standards speċifiċi li jkomplu jispeċifikaw kif dawk ir-rekwiżiti essenzjali jenħtieġ li jiġu indirizzati. Ir-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament jinkludu l-elementi kollha tar-rekwiżiti essenzjali msemmija fl-Artikolu 3(3), il-punti (d), (e) u (f), tad-Direttiva 2014/53/UE. Barra minn hekk, ir-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament huma allinjati mal-objettivi tar-rekwiżiti għal standards speċifiċi inklużi f’dik it-talba ta’ standardizzazzjoni. Għalhekk, meta l-Kummissjoni tħassar jew temenda r-Regolament Delegat (UE) 2022/30 bil-konsegwenza li ma jibqax japplika għal ċerti prodotti soġġetti għal dan ir-Regolament, il-Kummissjoni u l-organizzazzjonijiet Ewropej tal-istandardizzazzjoni jenħtieġ li jqisu l-ħidma ta’ standardizzazzjoni mwettqa fil-kuntest tad-Deċiżjoni ta’ Implimentazzjoni C(2022) 5637 fit-tħejjija u l-iżvilupp ta’ standards armonizzati biex tiġi ffaċilitata l-implimentazzjoni ta’ dan ir-Regolament. Matul il-perjodu ta’ tranżizzjoni għall-applikazzjoni ta’ dan ir-Regolament, jenħtieġ li l-Kummissjoni tipprovdi gwida lill-manifatturi soġġetti għal dan ir-Regolament li huma wkoll soġġetti għar-Regolament Delegat (UE) 2022/30 biex tiġi ffaċilitata d-dimostrazzjoni ta’ konformità maż-żewġ Regolamenti.

(31)

Id-Direttiva (UE) 2024/2853 tal-Parlament Ewropew u tal-Kunsill (16) hija komplementari għal dan ir-Regolament. Dik id-Direttiva tistabbilixxi regoli ta’ responsabbiltà għal prodotti difettużi sabiex il-persuni li jkunu ġarrbu dannu jkunu jistgħu jitolbu kumpens meta dannu jkun ġie kkawżat minn prodotti difettużi. Dan jistabbilixxi l-prinċipju li l-manifattur ta’ prodott huwa responsabbli għad-danni kkawżati minn nuqqas ta’ sikurezza fil-prodott tiegħu irrispettivament mit-tort (responsabbiltà stretta). Meta tali nuqqas ta’ sikurezza jikkonsisti f’nuqqas ta’ aġġornamenti tas-sigurtà wara l-introduzzjoni fis-suq tal-prodott, u dan jikkawża dannu, tista’ tiġi skattata r-responsabbiltà tal-manifattur. L-obbligi għall-manifatturi li jikkonċernaw il-fornimenti ta’ tali aġġornamenti tas-sigurtà jenħtieġ li jiġu stabbiliti f’dan ir-Regolament.

(32)

Dan ir-Regolament jenħtieġ li jkun mingħajr preġudizzju għar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (17), fosthom għad-dispożizzjonijiet relatati mal-istabbiliment ta’ mekkaniżmi għaċ-ċertifikazzjoni tal-protezzjoni tad-data u ta’ siġilli u marki tal-protezzjoni tad-data, għall-iskop li tintwera l-konformità tal-operazzjonijiet ta’ pproċessar mill-kontrolluri u mill-proċessuri ma’ dak ir-Regolament. Tali operazzjonijiet jistgħu jiġu inkorporati fi prodott b’elementi diġitali. Il-protezzjoni tad-data mid-disinn u b’mod awtomatiku, u ċ-ċibersigurtà b’mod ġenerali, huma elementi ewlenin tar-Regolament (UE) 2016/679. Billi jipproteġu lill-konsumaturi u lill-organizzazzjonijiet mir-riskji għaċ-ċibersigurtà, ir-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament għandhom jikkontribwixxu wkoll għat-tisħiħ tal-protezzjoni tad-data personali u tal-privatezza tal-individwi. Is-sinerġiji kemm dwar l-istandardizzazzjoni kif ukoll iċ-ċertifikazzjoni tal-aspetti taċ-ċibersigurtà jenħtieġ li jitqiesu permezz tal-kooperazzjoni bejn il-Kummissjoni, l-organizzazzjonijiet Ewropej tal-istandardizzazzjoni, l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA), il-Bord Ewropew għall-Protezzjoni tad-Data stabbilit bir-Regolament (UE) 2016/679, u l-awtoritajiet superviżorji nazzjonali tal-protezzjoni tad-data. Jenħtieġ li jinħolqu wkoll sinerġiji bejn dan ir-Regolament u l-liġi tal-Unjoni dwar il-protezzjoni tad-data fil-qasam tas-sorveljanza u l-infurzar tas-suq. Għal dak l-għan, l-awtoritajiet nazzjonali tas-sorveljanza tas-suq maħtura skont dan ir-Regolament jenħtieġ li jikkooperaw mal-awtoritajiet li jissorveljaw l-applikazzjoni tal-liġi tal-Unjoni dwar il-protezzjoni tad-data. Dan tal-aħħar jenħtieġ li jkollu wkoll aċċess għall-informazzjoni rilevanti għat-twettiq tal-kompiti tiegħu.

(33)

Sa fejn il-prodotti tagħhom jaqgħu fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament, il-fornituri tal-Kartieri Ewropej tal-Identità Diġitali kif imsemmi fl-Artikolu 5a(2) tar-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill (18), jenħtieġ li jikkonformaw kemm mar-rekwiżiti essenzjali orizzontali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament kif ukoll mar-rekwiżiti speċifiċi ta’ sigurtà stabbiliti fl-Artikolu 5a tar-Regolament (UE) Nru 910/2014. Sabiex tiġi ffaċilitata l-konformità, jenħtieġ li l-fornituri tal-kartieri jkunu jistgħu juru l-konformità tal-Kartieri Ewropej tal-Identità Diġitali mar-rekwiżiti stabbiliti f’dan ir-Regolament u fir-Regolament (UE) Nru 910/2014, rispettivament, billi jiċċertifikaw il-prodotti tagħhom skont skema Ewropea ta’ ċertifikazzjoni taċ-ċibersigurtà stabbilita skont ir-Regolament (UE) 2019/881 u li għalihom il-Kummissjoni speċifikat permezz ta’ atti delegati, preżunzjoni ta’ konformità ma’ dan ir-Regolament, sa fejn iċ-ċertifikat, jew partijiet minnu, ikopri dawk ir-rekwiżiti.

(34)

Meta jintegraw komponenti miksuba minn partijiet terzi fi prodotti b’elementi diġitali matul il-fażi tad-disinn u tal-iżvilupp, jenħtieġ li l-manifatturi, sabiex jiżguraw li l-prodotti jiġu ddisinjati, żviluppati u prodotti f’konformità mar-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament, jeżerċitaw diliġenza dovuta fir-rigward ta’ dawk il-komponenti, inklużi komponenti ta’ software liberu u b’sors miftuħ li ma jkunux tqiegħdu fis-suq. Il-livell xieraq ta’ diliġenza dovuta jiddependi min-natura u l-livell tar-riskju għaċ-ċibersigurtà assoċjat ma’ komponent partikolari, u jenħtieġ li, għal dak l-iskop, iqis waħda jew aktar mill-azzjonijiet li ġejjin: il-verifika, kif applikabbli, li l-manifattur ta’ komponent ikun wera konformità ma’ dan ir-Regolament, inkluż billi jivverifika jekk il-komponent għandux diġà il-markatura CE; il-verifika li komponent jirċievi aġġornamenti regolari tas-sigurtà, bħal bil-verifika tal-istorja tal-aġġornamenti tas-sigurtà tiegħu; il-verifika li komponent ikun ħieles minn vulnerabbiltajiet irreġistrati fil-bażi tad-data Ewropea dwar il-vulnerabbiltà stabbilita skont l-Artikolu 12(2) tad-Direttiva (UE) 2022/2555 jew f’bażijiet tad-data oħra dwar il-vulnerabbiltà aċċessibbli għall-pubbliku; jew it-twettiq ta’ testijiet addizzjonali ta’ sigurtà. L-obbligi tal-ġestjoni tal-vulnerabbiltà stabbiliti f’dan ir-Regolament, li l-manifatturi jridu jikkonformaw magħhom meta jintroduċu prodott b’elementi diġitali fis-suq u għall-perjodu ta’ appoġġ, japplikaw għall-prodotti b’elementi diġitali fl-intier tagħhom, inkluż għall-komponenti integrati kollha. Meta, fl-eżerċizzju tad-diliġenza dovuta, il-manifattur tal-prodott b’elementi diġitali jidentifika vulnerabbiltà f’komponent, inkluż f’komponent liberu u b’sors miftuħ, jenħtieġ li jinforma lill-persuna jew lill-entità li timmanifattura jew li twettaq il-manutenzjoni tal-komponent, jindirizza u jirrimedja l-vulnerabbiltà, u, fejn applikabbli, jipprovdi lill-persuna jew lill-entità bis-sett ta’ sigurtà applikat.

(35)

Immedjatament wara l-perjodu ta’ tranżizzjoni għall-applikazzjoni ta’ dan ir-Regolament, manifattur ta’ prodott b’elementi diġitali li jintegra komponent wieħed jew aktar miksub minn partijiet terzi li huma wkoll soġġetti għal dan ir-Regolament jista’ ma jkunx jista’ jivverifika, bħala parti mill-obbligu tiegħu ta’ diliġenza dovuta, li l-manifatturi ta’ dawk il-komponenti jkunu wrew konformità ma’ dan ir-Regolament billi jivverifikaw, pereżempju, jekk il-komponenti jkollhomx diġà l-markatura CE. Dan jista’ jkun il-każ fejn il-komponenti jkunu ġew integrati qabel ma dan ir-Regolament isir applikabbli għall-manifatturi ta’ dawk il-komponenti. F’każ bħal dan, manifattur li jintegra tali komponenti jenħtieġ li jeżerċita diliġenza dovuta permezz ta’ mezzi oħra.

(36)

Jenħtieġ li l-prodotti b’elementi diġitali jkollhom il-markatura CE sabiex jindikaw b’mod viżibbli, leġġibbli u li ma titħassarx il-konformità tagħhom ma’ dan ir-Regolament b’tali mod li jkunu jistgħu jiċċaqilqu liberament fis-suq intern. Jenħtieġ li l-Istati Membri ma joħolqux ostakli mhux ġustifikati għall-introduzzjoni fis-suq jew fis-servizz ta’ prodotti b’elementi diġitali li jikkonformaw mar-rekwiżiti stabbiliti f’dan ir-Regolament u jkollhom il-markatura CE fuqhom. Barra min hekk, f’fieri kummerċjali, wirjiet u dimostrazzjonijiet jew avvenimenti simili, l-Istati Membri jenħtieġ li ma jimpedixxux il-preżentazzjoni jew l-użu ta’ prodott b’elementi diġitali li ma jikkonformax ma’ dan ir-Regolament, inklużi l-prototipi tiegħu, dment li l-prodott ikun ippreżentat b’sinjal viżibbli li jindika b’mod ċar li l-prodott ma jikkonformax ma’ dan ir-Regolament u li ma għandux jitqiegħed għad-dispożizzjoni fis-suq sakemm jagħmel dan.

(37)

Sabiex jiġi żgurat li l-manifatturi jkunu jistgħu jirrilaxxaw software għall-iskopijiet tal-ittestjar qabel ma jissottomettu l-prodotti tagħhom b’elementi diġitali għall-valutazzjoni ta’ konformità, jenħtieġ li l-Istati Membri ma jimpedixxux it-tqegħid għad-dispożizzjoni ta’ software mhux lest, bħal verżjonijiet alfa, verżjonijiet beta jew il-kandidati għar-rilaxx, dment li s-software mhux lest isir disponibbli biss għaż-żmien meħtieġ biex dan jiġi ttestjat u jinġabar il-feedback. Jenħtieġ li l-manifatturi jiżguraw li s-software li jsir disponibbli f’dawk il-kundizzjonijiet jiġi rilaxxat biss wara valutazzjoni tar-riskju u li jikkonforma sa fejn ikun possibbli mar-rekwiżiti tas-sigurtà relatati mal-proprjetajiet tal-prodotti b’elementi diġitali stabbiliti f’dan ir-Regolament. Jenħtieġ li l-manifatturi jimplimentaw ukoll ir-rekwiżiti tal-ġestjoni tal-vulnerabbiltà sa fejn ikun possibbli. Jenħtieġ li l-manifatturi ma jisfurzawx lill-utenti jaġġornaw il-verżjonijiet rilaxxati biss għal skopijiet ta’ ttestjar.

(38)

Sabiex jiġi żgurat li l-prodotti b’elementi diġitali, meta jiġu introdotti fis-suq, ma joħolqux riskji għaċ-ċibersigurtà tal-persuni u l-organizzazzjonijiet, jenħtieġ li jiġu stabbiliti rekwiżiti essenzjali taċ-ċibersigurtà għal tali prodotti. Dawk ir-rekwiżiti essenzjali taċ-ċibersigurtà, inklużi r-rekwiżiti għall-ġestjoni tal-vulnerabbiltà, japplikaw għal kull prodott individwali b’elementi diġitali meta jiġi introdott fis-suq, irrispettivament minn jekk il-prodott b’elementi diġitali huwiex manifatturat bħala unità individwali jew f’serje. Pereżempju, għal tip ta’ prodott, kull prodott individwali b’elementi diġitali jenħtieġ li jkun irċieva s-software korrettiv jew l-aġġornamenti kollha tas-sigurtà disponibbli biex jiġu indirizzati kwistjonijiet rilevanti ta’ sigurtà meta jiġi introdott fis-suq. Meta l-prodotti b’elementi diġitali jiġu modifikati sussegwentement, b’mezzi fiżiċi jew diġitali, b’mod li ma jkunx previst mill-manifattur fil-valutazzjoni tar-riskju inizjali u li jista’ jimplika li ma għadhomx jissodisfaw ir-rekwiżiti essenzjali taċ-ċibersigurtà, jenħtieġ li l-modifika titqies li hija sostanzjali. Pereżempju, it-tiswijiet jistgħu jiġu assimilati mal-operazzjonijiet ta’ manutenzjoni dment li ma jimmodifikawx prodott b’elementi diġitali li jkun diġà ġie introdott fis-suq b’tali mod li l-konformità mar-rekwiżiti applikabbli tista’ tiġi affettwata, jew li l-iskop maħsub li għalih ikun ġie vvalutat il-prodott jaf jinbidel.

(39)

Bħal fil-każ ta’ tiswijiet jew modifiki fiżiċi, prodott b’elementi diġitali jenħtieġ li jitqies li huwa modifikat sostanzjalment minn bidla fis-software meta l-aġġornament tas-software jimmodifika l-iskop maħsub ta’ dak il-prodott u dawk il-bidliet ma jkunux previsti mill-manifattur fil-valutazzjoni tar-riskju inizjali, jew meta n-natura tal-periklu tkun inbidlet jew il-livell tar-riskju għaċ-ċibersigurtà jkun żdied minħabba l-aġġornament tas-software, u l-verżjoni aġġornata tal-prodott titqiegħed għad-dispożizzjoni fis-suq. Meta aġġornament tas-sigurtà, li huwa mfassal biex inaqqas il-livell ta’ riskju għaċ-ċibersigurtà ta’ prodott b’elementi diġitali, ma jimmodifikax l-iskop maħsub ta’ prodott b’elementi diġitali, dan ma jitqiesx bħala modifika sostanzjali. Dan normalment jinkludi sitwazzjonijiet fejn aġġornament tas-sigurtà jinvolvi biss aġġustamenti żgħar tal-kodiċi tas-sors. Pereżempju, dan jista’ jkun il-każ meta aġġornament tas-sigurtà jindirizza vulnerabbiltà magħrufa, inkluż billi jimmodifika l-funzjonijiet jew il-prestazzjoni ta’ prodott b’elementi diġitali għall-iskop uniku li jitnaqqas il-livell ta’ riskju għaċ-ċibersigurtà. Bl-istess mod, aġġornament minuri tal-funzjonalità, bħal titjib viżwali jew iż-żieda ta’ pittogrammi jew lingwi ġodda fl-interfaċċa tal-utent ġeneralment jenħtieġ li ma titqisx bħala modifika sostanzjali. Min-naħa l-oħra, meta l-aġġornament tal-karatteristiċi jimmodifika il-funzjonijiet maħsuba oriġinali jew it-tip jew il-prestazzjoni ta’ prodott b’elementi diġitali u jissodisfa l-kriterji msemmija hawn fuq, jenħtieġ li dan jitqies li huwa modifika sostanzjali, peress li ż-żieda ta’ karatteristiċi ġodda tipikament twassal għal superfiċje ta’ attakk usa’, u b’hekk jiżdied ir-riskju għaċ-ċibersigurtà. Pereżempju, dan jista’ jkun il-każ meta jiżdied element tal-input ġdid ma’ applikazzjoni, li jirrikjedi li l-manifattur jiżgura validazzjoni tal-input adegwata. Fil-valutazzjoni ta’ jekk aġġornament ta’ karatteristika jitqiesx li huwa modifika sostanzjali, mhuwiex rilevanti jekk jiġix ipprovdut bħala aġġornament separat jew flimkien ma’ aġġornament tas-sigurtà. Il-Kummissjoni jenħtieġ li toħroġ gwida dwar kif jiġi ddeterminat x’jikkostitwixxi modifika sostanzjali.

(40)

Filwaqt li titqies in-natura iterattiva tal-iżvilupp tas-software, il-manifatturi li jkunu introduċew fis-suq verżjonijiet sussegwenti ta’ prodott tas-software bħala riżultat ta’ modifika sostanzjali sussegwenti ta’ dak il-prodott jenħtieġ li jkunu jistgħu jipprovdu aġġornamenti tas-sigurtà għall-perjodu ta’ appoġġ biss għall-verżjoni tal-prodott tas-software li jkunu introduċew l-aħħar fis-suq. Jenħtieġ li jkunu jistgħu jagħmlu dan biss jekk l-utenti tal-verżjonijiet tal-prodott preċedenti rilevanti jkollhom aċċess għall-verżjoni tal-prodott li jkun ġie introdott l-aħħar fis-suq mingħajr ħlas u ma jġarrbux kostijiet addizzjonali biex jaġġustaw l-ambjent tal-hardware jew tas-software li fih joperaw il-prodott. Dan jista’, pereżempju, jkun il-każ fejn aġġornament tas-sistema operattiva tad-desktop ma jkunx jirrikjedi hardware ġdid, bħal unità ċentrali ta’ pproċessar aktar rapida jew aktar memorja. Madankollu, il-manifattur jenħtieġ li jkompli jikkonforma, għall-perjodu ta’ appoġġ, ma’ rekwiżiti oħra għall-ġestjoni tal-vulnerabbiltà, bħal pereżempju li jkollu fis-seħħ politika dwar id-divulgazzjoni kkoordinata tal-vulnerabbiltajiet jew miżuri biex tiġi ffaċilitata l-kondiviżjoni ta’ informazzjoni dwar vulnerabbiltajiet potenzjali għall-verżjonijiet modifikati sostanzjalment sussegwenti kollha tal-prodott tas-software introdott fis-suq. Il-manifatturi jenħtieġ li jkunu jistgħu jipprovdu aġġornamenti minuri tas-sigurtà jew tal-funzjonalità li ma jikkostitwixxux modifika sostanzjali biss għall-aħħar verżjoni jew subverżjoni ta’ prodott tas-software li ma jkunx ġie modifikat b’mod sostanzjali. Fl-istess ħin, meta prodott tal-hardware, bħal smartphone, ma jkunx kompatibbli mal-aħħar verżjoni tas-sistema operattiva li oriġinarjament ikun ġie fornut magħha, il-manifattur jenħtieġ li jkompli jipprovdi aġġornamenti tas-sigurtà mill-anqas għall-aħħar verżjoni kompatibbli tas-sistema operattiva għall-perjodu ta’ appoġġ.

(41)

F’konformità mal-kunċett stabbilit b’mod komuni ta’ modifika sostanzjali għall-prodotti rregolati mil-leġiżlazzjoni tal-Unjoni dwar l-armonizzazzjoni, meta sseħħ modifika sostanzjali li jaf taffettwa l-konformità ta’ prodott b’elementi diġitali ma’ dan ir-Regolament jew meta jinbidel l-iskop maħsub ta’ dak il-prodott, huwa xieraq li l-konformità tal-prodott b’elementi diġitali tiġi vverifikata u li, fejn applikabbli, din tgħaddi minn valutazzjoni ta’ konformità ġdida. Fejn applikabbli, jekk il-manifattur iwettaq valutazzjoni ta’ konformità li tinvolvi parti terza, bidla li tista’ twassal għal modifika sostanzjali jenħtieġ li tiġi notifikata lill-parti terza.

(42)

Meta prodott b’elementi diġitali huwa soġġett għal “rinnovazzjoni”, “manutenzjoni” u “tiswija”, kif definit fl-Artikolu 2, il-punti (18), (19) u (20), tar-Regolament (UE) 2024/1781 tal-Parlament Ewropew u tal-Kunsill (19), dan mhux neċessarjament iwassal għal modifika sostanzjali tal-prodott, pereżempju jekk l-iskop u l-funzjonalitajiet maħsuba ma jinbidlux u l-livell ta’ riskju jibqa’ mhux affettwat. Madankollu, l-aġġornament ta’ prodott b’elementi diġitali mill-manifattur jista’ jwassal għal bidliet fid-disinn u fl-iżvilupp tal-prodott u għalhekk jista’ jaffettwa l-iskop maħsub tiegħu u l-konformità mar-rekwiżiti stabbiliti f’dan ir-Regolament.

(43)

Jenħtieġ li l-prodotti b’elementi diġitali jitqiesu li huma importanti jekk l-impatt negattiv tal-isfruttament tal-vulnerabbiltajiet potenzjali taċ-ċibersigurtà fil-prodott ikun serju minħabba, fost l-oħrajn, il-funzjonalità relatata maċ-ċibersigurtà jew funzjoni li ġġorr riskju sinifikanti ta’ effetti negattivi f’termini tal-intensità u l-kapaċità tagħha li tfixkel, tikkontrolla jew tikkawża ħsara lil għadd kbir ta’ prodotti oħra b’elementi diġitali jew għas-saħħa, is-sigurtà jew is-sikurezza tal-utenti tagħha permezz ta’ manipulazzjoni diretta, bħal funzjoni tas-sistema ċentrali, inkluż il-ġestjoni tan-network, il-kontroll tal-konfigurazzjoni, il-virtwalizzazzjoni jew l-ipproċessar ta’ data personali. B’mod partikolari, il-vulnerabbiltajiet fi prodotti b’elementi diġitali li għandhom funzjonalità relatata maċ-ċibersigurtà, bħal boot managers, jistgħu jwasslu għal propagazzjoni ta’ kwistjonijiet ta’ sigurtà tul il-katina tal-provvista. Is-severità tal-impatt ta’ inċident taċ-ċibersigurtà tista’ tiżdied ukoll meta l-prodott primarjament iwettaq funzjoni tas-sistema ċentrali, inkluż il-ġestjoni tan-network, il-kontroll tal-konfigurazzjoni, il-virtwalizzazzjoni jew l-ipproċessar ta’ data personali.

(44)

Jenħtieġ li ċerti kategoriji ta’ prodotti b’elementi diġitali jkunu soġġetti għal proċeduri aktar stretti ta’ valutazzjoni ta’ konformità, filwaqt li jinżamm approċċ proporzjonat. Għal dak l-iskop, il-prodotti importanti b’elementi diġitali jenħtieġ li jinqasmu f’żewġ klassijiet, li jirriflettu l-livell ta’ riskju għaċ-ċibersigurtà marbut ma’ dawk il-kategoriji ta’ prodotti. Inċident li jinvolvi prodotti importanti b’elementi diġitali fil-klassi II jaf iwassal għal impatti negattivi akbar minn inċident li jinvolvi prodotti importanti b’elementi diġitali fil-klassi I, pereżempju minħabba n-natura tal-funzjoni tagħhom relatata maċ-ċibersigurtà jew il-prestazzjoni ta’ funzjoni oħra li ġġorr riskju sinifikanti ta’ effetti negattivi. Bħala indikazzjoni ta’ impatti negattivi akbar bħal dawn, il-prodotti b’elementi diġitali li jaqgħu fil-klassi II jistgħu jew iwettqu funzjonalità relatata maċ-ċibersigurtà jew funzjoni oħra li ġġorr riskju sinifikanti ta’ effetti negattivi li jkun ogħla minn dawk elenkati fil-klassi I, jew jissodisfaw iż-żewġ kriterji msemmija hawn fuq. Għalhekk, prodotti importanti b’elementi diġitali fil-klassi II jenħtieġ li jkunu soġġetti għal proċedura ta’ valutazzjoni ta’ konformità aktar stretta.

(45)

Prodotti importanti b’elementi diġitali kif imsemmija f’dan ir-Regolament jenħtieġ li jinftiehmu bħala prodotti li għandhom il-funzjonalità ewlenija ta’ kategorija ta’ prodotti importanti b’elementi diġitali stabbilita f’dan ir-Regolament. Pereżempju, dan ir-Regolament jistabbilixxi kategoriji ta’ prodotti importanti b’elementi diġitali li huma ddefiniti mill-funzjonalità ewlenija tagħhom bħala firewalls jew sistemi ta’ detezzjoni jew prevenzjoni ta’ intrużjoni fil-klassi II. B’riżultat ta’ dan, firewalls jew sistemi ta’ detezzjoni jew prevenzjoni ta’ intrużjoni huma soġġetti għal valutazzjoni ta’ konformità obbligatorja ta’ partijiet terzi. Dan ma huwiex il-każ għal prodotti oħra b’elementi diġitali mhux ikkategorizzati bħala prodotti importanti b’elementi diġitali li jistgħu jintegraw firewalls jew sistemi ta’ detezzjoni jew prevenzjoni ta’ intrużjoni. Il-Kummissjoni jenħtieġ li tadotta att delegat biex tispeċifika d-deskrizzjoni teknika tal-kategoriji ta’ prodotti importanti b’elementi diġitali fil-klassi I u l-klassi II kif stabbilit f’dan ir-Regolament.

(46)

Il-kategoriji ta’ prodotti kritiċi b’elementi diġitali stabbiliti f’dan ir-Regolament għandhom funzjonalità relatata maċ-ċibersigurtà u jwettqu funzjoni li ġġorr riskju sinifikanti ta’ effetti negattivi f’termini tal-intensità u l-kapaċità tagħha li tfixkel, tikkontrolla jew tikkawża ħsara lil għadd kbir ta’ prodotti oħra b’elementi diġitali permezz ta’ manipulazzjoni diretta. Barra minn hekk, dawk il-kategoriji ta’ prodotti b’elementi diġitali jitqiesu bħala dipendenzi kritiċi għall-entitajiet essenzjali kif imsemmija fl-Artikolu 3(1) tad-Direttiva (UE) 2022/2555. Il-kategoriji ta’ prodotti kritiċi b’elementi diġitali stabbiliti f’anness għal dan ir-Regolament, minħabba l-kritikalità tagħhom, diġà jużaw diversi forom ta’ ċertifikazzjoni, u huma koperti wkoll mill-iskema Ewropea ta’ ċertifikazzjoni taċ-ċibersigurtà bbażata fuq kriterji komuni (EUCC) stabbilita fir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2024/482 (20). Għalhekk, sabiex tiġi żgurata protezzjoni taċ-ċibersigurtà adegwata komuni ta’ prodotti kritiċi b’elementi diġitali fl-Unjoni, jista’ jkun adegwat u proporzjonat li tali kategoriji ta’ prodotti, permezz ta’ att delegat, jiġu soġġetti għal ċertifikazzjoni Ewropea obbligatorja taċ-ċibersigurtà fejn skema Ewropea rilevanti ta’ ċertifikazzjoni taċ-ċibersigurtà li tkopri dawk il-prodotti tkun diġà fis-seħħ u l-Kummissjoni tkun wettqet valutazzjoni tal-impatt potenzjali fuq is-suq taċ-ċertifikazzjoni obbligatorja prevista. Dik il-valutazzjoni jenħtieġ li tikkunsidra kemm in-naħa tal-provvista kif ukoll dik tad-domanda, inkluż jekk hemmx biżżejjed domanda għall-prodotti b’elementi diġitali kkonċernati kemm mill-Istati Membri kif ukoll mill-utenti għaċ-ċertifikazzjoni Ewropea taċ-ċibersigurtà li għandha tkun meħtieġa, kif ukoll l-iskopijiet li għalihom huma maħsuba li jintużaw il-prodotti b’elementi diġitali, inkluż id-dipendenza kritika fuqhom mill-entitajiet essenzjali kif imsemmija fl-Artikolu 3(1) tad-Direttiva (UE) 2022/2555. Il-valutazzjoni jenħtieġ li tanalizza wkoll l-effetti potenzjali taċ-ċertifikazzjoni obbligatorja fuq id-disponibbiltà ta’ dawk il-prodotti fuq is-suq intern u l-kapaċitajiet u t-tħejjija tal-Istati Membri għall-implimentazzjoni tal-iskemi Ewropej rilevanti ta’ ċertifikazzjoni taċ-ċibersigurtà.

(47)

L-atti delegati li jirrikjedu ċertifikazzjoni obbligatorja Ewropea taċ-ċibersigurtà jenħtieġ li jiddeterminaw il-prodotti b’elementi diġitali li għandhom il-funzjonalità ewlenija ta’ kategorija ta’ prodotti kritiċi b’elementi diġitali stabbiliti f’dan ir-Regolament li għandhom ikunu soġġetti għal ċertifikazzjoni obbligatorja, kif ukoll il-livell ta’ assigurazzjoni meħtieġ, li jenħtieġ li jkun mill-anqas “sostanzjali”. Il-livell ta’ assigurazzjoni meħtieġ jenħtieġ li jkun proporzjonat għal-livell ta’ riskju għaċ-ċibersigurtà assoċjat mal-prodott b’elementi diġitali. Pereżempju, meta l-prodott b’elementi diġitali jkollu l-funzjonalità ewlenija ta’ kategorija ta’ prodotti kritiċi b’elementi diġitali stabbilita f’dan ir-Regolament u jkun maħsub għall-użu f’ambjent sensittiv jew kritiku, bħal prodotti maħsuba għall-użu ta’ entitajiet essenzjali kif imsemmija fl-Artikolu 3(1) tad-Direttiva (UE) 2022/2555, dan jista’ jirrikjedi l-ogħla livell ta’ assigurazzjoni.

(48)

Sabiex tiġi żgurata protezzjoni taċ-ċibersigurtà adegwata komuni fl-Unjoni ta’ prodotti b’elementi diġitali li għandhom il-funzjonalità ewlenija ta’ kategorija ta’ prodotti kritiċi b’elementi diġitali stabbilita f’dan ir-Regolament, il-Kummissjoni jenħtieġ li tingħata wkoll is-setgħa li tadotta atti delegati biex temenda dan ir-Regolament billi żżid jew tirtira kategoriji ta’ prodotti kritiċi b’elementi diġitali li għalihom il-manifatturi jistgħu jkunu meħtieġa jiksbu ċertifikat Ewropew taċ-ċibersigurtà taħt skema Ewropea ta’ ċertifikazzjoni taċ-ċibersigurtà skont ir-Regolament (UE) 2019/881 biex juru l-konformità ma’ dan ir-Regolament. Kategorija ġdida ta’ prodotti kritiċi b’elementi diġitali tista’ tiżdied ma’ dawk il-kategoriji jekk ikun hemm dipendenza kritika fuqhom mill-entitajiet essenzjali kif imsemmija fl-Artikolu 3(1) tad-Direttiva (UE) 2022/2555 jew, jekk ikunu affettwati minn inċidenti jew meta jkun fihom vulnerabbiltajiet sfruttati, dan jista’ jwassal għal tfixkil fil-ktajjen tal-provvista kritiċi. Meta tivvaluta l-ħtieġa taż-żieda jew l-irtirar ta’ kategoriji ta’ prodotti kritiċi b’elementi diġitali permezz ta’ att delegat, jenħtieġ li l-Kummissjoni tkun tista’ tqis jekk l-Istati Membri identifikawx fil-livell nazzjonali prodotti b’elementi diġitali li għandhom rwol kritiku għar-reżiljenza tal-entitajiet essenzjali kif imsemmija fl-Artikolu 3(1) tad-Direttiva (UE) 2022/2555 u li qed jiffaċċjaw dejjem aktar attakki ċibernetiċi fil-katina tal-provvista, b’effetti potenzjali ta’ tfixkil serju. Barra minn hekk, jenħtieġ li l-Kummissjoni tkun tista’ tqis l-eżitu tal-valutazzjoni tar-riskju tas-sigurtà kkoordinata fil-livell tal-Unjoni tal-ktajjen tal-provvista kritiċi mwettqa f’konformità mal-Artikolu 22 tad-Direttiva (UE) 2022/2555.

(49)

Jenħtieġ li l-Kummissjoni tiżgura li firxa wiesgħa ta’ partijiet ikkonċernati rilevanti jiġu kkonsultati b’mod strutturat u regolari fit-tħejjija tal-miżuri għall-implimentazzjoni ta’ dan ir-Regolament. Dan jenħtieġ li jkun il-każ b’mod partikolari meta l-Kummissjoni tivvaluta l-ħtieġa ta’ aġġornamenti potenzjali għal-listi ta’ kategoriji ta’ prodotti importanti jew kritiċi b’elementi diġitali, fejn rilevanti l-manifatturi jenħtieġ li jiġu kkonsultati u l-fehmiet tagħhom jitqiesu sabiex jiġu analizzati r-riskji għaċ-ċibersigurtà kif ukoll il-bilanċ tal-kostijiet u l-benefiċċji tad-deżinjazzjoni ta’ tali kategoriji ta’ prodotti bħala importanti jew kritiċi.

(50)

Dan ir-Regolament jindirizza r-riskji għaċ-ċibersigurtà b’mod immirat. Madankollu, il-prodotti b’elementi diġitali jaf joħolqu riskji oħra għas-sikurezza, li mhumiex dejjem relatati maċ-ċibersigurtà iżda jistgħu jkunu konsegwenza ta’ ksur ta’ sigurtà. Dawk ir-riskji jenħtieġ li jkomplu jiġu regolati minn leġiżlazzjoni rilevanti tal-Unjoni dwar l-armonizzazzjoni għajr dan ir-Regolament. Jekk ma tkun applikabbli l-ebda leġiżlazzjoni tal-Unjoni dwar l-armonizzazzjoni għajr dan ir-Regolament, jenħtieġ li dawn ikunu soġġetti għar-Regolament (UE) 2023/988 tal-Parlament Ewropew u tal-Kunsill (21). Għalhekk, fid-dawl tan-natura mmirata ta’ dan ir-Regolament, bħala deroga mill-Artikolu 2(1), it-tielet subparagrafu, il-punt (b), tar-Regolament (UE) 2023/988, il-Kapitolu III, it-Taqsima 1, il-Kapitoli V u VII, u l-Kapitoli IX sa XI tar-Regolament (UE) 2023/988 jenħtieġ lijapplikaw għal prodotti b’elementi diġitali fir-rigward tar-riskji għas-sikurezza mhux koperti minn dan ir-Regolament, jekk dawk il-prodotti ma jkunux soġġetti għal rekwiżiti speċifiċi stabbiliti fil-leġiżlazzjoni tal-Unjoni dwar l-armonizzazzjoni għajr dan id-dokument fi ħdan it-tifsira tal-Artikolu 3, il-punt (27), tar-Regolament (UE) 2023/988.

(51)

Il-prodotti b’elementi diġitali kklassifikati bħala sistemi tal-IA b’riskju kbir skont l-Artikolu 6 tar-Regolament (UE) 2024/1689 tal-Parlament Ewropew u tal-Kunsill (22) li jaqgħu fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament jenħtieġ li jikkonformaw mar-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament. Meta dawk is-sistemi tal-IA b’riskju kbir jissodisfaw ir-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament, jenħtieġ li jitqiesu li jikkonformaw mar-rekwiżiti taċ-ċibersigurtà stabbiliti fl-Artikolu 15 tar-Regolament (UE) 2024/1689 sa fejn dawk ir-rekwiżiti jkunu koperti mid-dikjarazzjoni ta’ konformità tal-UE jew partijiet minnha maħruġa skont dan ir-Regolament. Għal dak l-iskop, il-valutazzjoni tar-riskji għaċ-ċibersigurtà assoċjati ma’ prodott b’elementi diġitali kklassifikat bħala sistema tal-IA b’riskju kbir skont ir-Regolament (UE) 2024/1689 li jrid jitqies waqt il-fażijiet tal-ippjanar, tad-disinn, tal-iżvilupp, tal-produzzjoni, tal-konsenja u tal-manutenzjoni ta’ tali prodott, kif meħtieġ skont dan ir-Regolament, jenħtieġ li jqis ir-riskji għar-reżiljenza ċibernetika ta’ sistema tal-IA fir-rigward tat-tentattivi minn partijiet terzi mhux awtorizzati biex ibiddlu l-użu, l-imġiba jew il-prestazzjoni tagħha, inkluż vulnerabbiltajiet speċifiċi għall-IA bħall-avvelenament tad-data jew l-attakki avversarjali, kif ukoll, kif rilevanti, ir-riskji għad-drittijiet fundamentali, f’konformità mar-Regolament (UE) 2024/1689. Fir-rigward tal-proċeduri ta’ valutazzjoni ta’ konformità relatati mar-rekwiżiti essenzjali taċ-ċibersigurtà għal prodott b’elementi diġitali li jaqa’ fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament u kklassifikat bħala sistema tal-IA b’riskju kbir, fl-Artikolu 43 tar-Regolament (UE) 2024/1689 jenħtieġ li japplikaw bħala regola minflok id-dispożizzjonijiet rilevanti ta’ dan ir-Regolament. Madankollu, jenħtieġ li dik ir-regola ma tirriżultax fi tnaqqis tal-livell meħtieġ ta’ assigurazzjoni għal prodotti importanti jew kritiċi b’elementi diġitali kif imsemmi f’dan ir-Regolament. Għalhekk, b’deroga minn dik ir-regola, sistemi ta’ IA b’riskju kbir li jaqgħu fil-kamp ta’ applikazzjoni tar-Regolament (UE) 2024/1689 li huma wkoll prodotti importanti jew kritiċi b’elementi diġitali kif imsemmi f’dan ir-Regolament u li għalihom tapplika l-proċedura ta’ valutazzjoni ta’ konformità bbażata fuq il-kontroll intern imsemmija fl-Anness VI tar-Regolament (UE) 2024/1689, jenħtieġ li jkunu soġġetti għall-proċeduri ta’ valutazzjoni ta’ konformità previsti f’dan ir-Regolament sa fejn huma kkonċernati r-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament. F’każ bħal dan, għall-aspetti l-oħrajn kollha koperti mir-Regolament (UE) 2024/1689 jenħtieġ li japplikaw id-dispożizzjonijiet rilevanti dwar il-valutazzjoni ta’ konformità abbażi tal-kontroll intern stabbilit fl-Anness VI ta’ dak ir-Regolament.

(52)

Sabiex tittejjeb is-sigurtà tal-prodotti b’elementi diġitali introdotti fis-suq intern, huwa meħtieġ li jiġu stabbiliti rekwiżiti essenzjali taċ-ċibersigurtà applikabbli għal tali prodotti. Dawk ir-rekwiżiti essenzjali taċ-ċibersigurtà jenħtieġ li jkunu mingħajr preġudizzju għall-valutazzjonijiet tar-riskju tas-sigurtà kkoordinati fil-livell tal-Unjoni tal-ktajjen tal-provvista kritiċi previsti fl-Artikolu 22 tad-Direttiva (UE) 2022/2555, li jqisu kemm il-fatturi ta’ riskju tekniċi kif ukoll, fejn rilevanti, dawk mhux tekniċi, bħall-influwenza bla bżonn minn pajjiż terz fuq il-fornituri. Barra minn hekk, jenħtieġ li jkunu mingħajr preġudizzju għall-prerogattiva tal-Istati Membri li jistabbilixxu rekwiżiti addizzjonali li jqisu fatturi mhux tekniċi bl-iskop li jiġi żgurat livell għoli ta’ reżiljenza, inklużi dawk definiti fir-Rakkomandazzjoni tal-Kummissjoni (UE) 2019/534 (23), fil-valutazzjoni tar-riskju kkoordinata tal-UE taċ-ċibersigurtà tan-networks tal-5G u fis-sett ta’ għodod tal-UE għaċ-ċibersigurtà tal-5G maqbula mill-Grupp ta’ Kooperazzjoni stabbilit skont l-Artikolu 14 tad-Direttiva (UE) 2022/2555.

(53)

Il-manifatturi ta’ prodotti li jaqgħu fil-kamp ta’ applikazzjoni tar-Regolament (UE) 2023/1230 tal-Parlament Ewropew u tal-Kunsill (24) li huma wkoll prodotti b’elementi diġitali kif definiti f’dan ir-Regolament jenħtieġ li jikkonformaw kemm mar-rekwiżiti essenzjali stabbiliti f’dan ir-Regolament kif ukoll mar-rekwiżiti essenzjali taċ-ċibersigurtà tas-saħħa u s-sikurezza stabbiliti fir-Regolament (UE) 2023/1230. Ir-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament u ċerti rekwiżiti essenzjali stabbiliti fir-Regolament (UE) 2023/1230 jistgħu jindirizzaw riskji simili għaċ-ċibersigurtà. Għalhekk, il-konformità mar-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament tista’ tiffaċilita l-konformità mar-rekwiżiti essenzjali li jkopru wkoll ċerti riskji għaċ-ċibersigurtà kif stabbilit fir-Regolament (UE) 2023/1230, u b’mod partikolari dawk li jirrigwardaw il-protezzjoni kontra l-korruzzjoni u s-sikurezza u l-affidabbiltà tas-sistemi ta’ kontroll stabbiliti fit-taqsimiet 1.1.9 u 1.2.1 tal-Anness III ta’ dak ir-Regolament. Tali sinerġiji jridu jintwerew mill-manifattur, pereżempju billi jiġu applikati, meta disponibbli, standards armonizzati jew speċifikazzjonijiet tekniċi oħra li jkopru r-rekwiżiti essenzjali taċ-ċibersigurtà rilevanti wara valutazzjoni tar-riskju li tkopri dawk ir-riskji għaċ-ċibersigurtà. Il-manifattur jenħtieġ li jsegwi wkoll il-proċeduri applikabbli ta’ valutazzjoni ta’ konformità stabbiliti f’dan ir-Regolament u fir-Regolament (UE) 2023/1230. Il-Kummissjoni u l-organizzazzjonijiet Ewropej tal-istandardizzazzjoni, fil-ħidma preparatorja li tappoġġja l-implimentazzjoni ta’ dan ir-Regolament u tar-Regolament (UE) 2023/1230 u l-proċessi ta’ standardizzazzjoni relatati, jenħtieġ li jippromwovu l-konsistenza fil-mod kif ir-riskji għaċ-ċibersigurtà għandhom jiġu vvalutati u fil-mod kif dawk ir-riskji għandhom jiġu koperti minn standards armonizzati fir-rigward tar-rekwiżiti essenzjali rilevanti. B’mod partikolari, jenħtieġ li l-Kummissjoni u l-organizzazzjonijiet Ewropej tal-istandardizzazzjoni jqisu dan ir-Regolament fit-tħejjija u l-iżvilupp ta’ standards armonizzati biex jiffaċilitaw l-implimentazzjoni tar-Regolament (UE) 2023/1230 fir-rigwardb’mod partikolari tal-aspetti taċ-ċibersigurtà relatati mal-protezzjoni kontra l-korruzzjoni u s-sikurezza u l-affidabbiltà tas-sistemi ta’ kontroll stabbiliti fit-taqsimiet 1.1.9 u 1.2.1 tal-Anness III ta’ dak ir-Regolament. Jenħtieġ li l-Kummissjoni tipprovdi gwida biex tappoġġja lill-manifatturi soġġetti għal dan ir-Regolament li huma wkoll soġġetti għar-Regolament (UE) 2023/1230, b’mod partikolari biex tiffaċilita d-dimostrazzjoni ta’ konformità mar-rekwiżiti essenzjali rilevanti stabbiliti f’dan ir-Regolament u fir-Regolament (UE) 2023/1230.

(54)

Sabiex jiġi żgurat li l-prodotti b’elementi diġitali jkunu siguri kemm fil-mument li jiġu introdotti fis-suq kif ukoll matul iż-żmien li l-prodott b’elementi diġitali jkun mistenni li jkun qed jintuża, huwa meħtieġ li jiġu stabbiliti rekwiżiti essenzjali taċ-ċibersigurtà għall-ġestjoni tal-vulnerabbiltà u rekwiżiti essenzjali taċ-ċibersigurtà relatati mal-proprjetajiet tal-prodotti b’elementi diġitali. Filwaqt li l-manifatturi jenħtieġ li jikkonformaw mar-rekwiżiti essenzjali taċ-ċibersigurtà kollha relatati mal-ġestjoni tal-vulnerabbiltà matul il-perjodu ta’ appoġġ, jenħtieġ li huma jiddeterminaw liema rekwiżiti essenzjali taċ-ċibersigurtà oħra relatati mal-proprjetajiet tal-prodott huma rilevanti għat-tip ta’ prodott b’elementi diġitalikkonċernat. Għal dak l-iskop, jenħtieġ li l-manifatturi jwettqu valutazzjoni tar-riskji għaċ-ċibersigurtà assoċjati ma’ prodott b’elementi diġitali biex jidentifikaw ir-riskji rilevanti u r-rekwiżiti essenzjali taċ-ċibersigurtà rilevanti sabiex iqiegħdu għad-dispożizzjoni l-prodotti tagħhom b’elementi diġitali mingħajr vulnerabbiltajiet magħrufa sfruttabbli li jista’ jkollhom impatt fuq is-sigurtà ta’ dawk il-prodotti u biex japplikaw b’mod xieraq standards armonizzati, speċifikazzjonijiet komuni jew standards Ewropej jew internazzjonali xierqa.

(55)

Meta ċerti rekwiżiti essenzjali taċ-ċibersigurtà ma jkunux applikabbli għal prodott b’elementi diġitali, jenħtieġ li l-manifattur jinkludi ġustifikazzjoni ċara fil-valutazzjoni tar-riskju għaċ-ċibersigurtà inkluża fid-dokumentazzjoni teknika. Dan jista’ jkun il-każ meta rekwiżit essenzjali taċ-ċibersigurtà jkun inkompatibbli man-natura ta’ prodott b’elementi diġitali. Pereżempju, l-iskop maħsub ta’ prodott b’elementi diġitali jista’ jirrikjedi li l-manifattur isegwi standards tal-interoperabbiltà rikonoxxuti b’mod wiesa’ anke jekk il-karatteristiċi tas-sigurtà tiegħu ma jibqgħux jitqiesu li huma tal-ogħla livell ta’ żvilupp tekniku. Bl-istess mod, liġi oħra tal-Unjoni tirrikjedi li l-manifatturi japplikaw rekwiżiti speċifiċi tal-interoperabbiltà. Meta rekwiżit essenzjali taċ-ċibersigurtà ma jkunx applikabbli għal prodott b’elementi diġitali, iżda l-manifattur ikun identifika riskji għaċ-ċibersigurtà fir-rigward ta’ dak ir-rekwiżit essenzjali taċ-ċibersigurtà, jenħtieġ li jieħu miżuri biex jindirizza dawk ir-riskji b’mezzi oħra, pereżempju billi jillimita l-iskop maħsub tal-prodott għal ambjenti fdati jew billi jinforma lill-utenti dwar dawk ir-riskji.

(56)

Waħda mill-aktar miżuri importanti li l-utenti għandhom jieħdu sabiex jipproteġu l-prodotti tagħhom b’elementi diġitali minn attakki ċibernetiċi hija li jinstallaw l-aħħar aġġornamenti tas-sigurtà disponibbli malajr kemm jista’ jkun. Għalhekk, il-manifatturi jenħtieġ li jiddisinjaw il-prodotti tagħhom u jistabbilixxu proċessi biex jiżguraw li l-prodotti b’elementi diġitali jinkludu funzjonijiet li jippermettu n-notifika, id-distribuzzjoni, it-tniżżil u l-installazzjoni ta’ aġġornamenti tas-sigurtà b’mod awtomatiku, b’mod partikolari fil-każ ta’ prodotti tal-konsumatur. Jenħtieġ li jipprovdu wkoll il-possibbiltà li jiġi approvat it-tniżżil u l-installazzjoni tal-aġġornamenti tas-sigurtà bħala pass finali. L-utenti jenħtieġ li jżommu l-kapaċità li jiddiżattivaw aġġornamenti awtomatiċi, b’mekkaniżmu ċar u faċli biex jintuża, appoġġjat minn struzzjonijiet ċari dwar kif l-utenti jistgħu jagħżlu li ma jipparteċipawx. Ir-rekwiżiti relatati mal-aġġornamenti awtomatiċi kif stabbiliti f’anness ta’ dan ir-Regolament mhumiex applikabbli għal prodotti b’elementi diġitali primarjament maħsuba biex jiġu integrati bħala komponenti fi prodotti oħra. Dawn ma japplikawx ukoll għal prodotti b’elementi diġitali li għalihom l-utenti ma jkunux jistennew b’mod raġonevoli aġġornamenti awtomatiċi, inklużi prodotti b’elementi diġitali maħsuba biex jintużaw f’networks tal-ICT professjonali, u speċjalment f’ambjenti kritiċi u industrijali fejn aġġornament awtomatiku jista’ jikkawża interferenza mal-operazzjonijiet. Irrispettivament minn jekk prodott b’elementi diġitali jkunx iddisinjat biex jirċievi aġġornamenti awtomatiċi jew le, il-manifattur tiegħu jenħtieġ li jinforma lill-utenti dwar il-vulnerabbiltajiet u jagħmel l-aġġornamenti tas-sigurtà disponibbli mingħajr dewmien. Meta prodott b’elementi diġitali jkollu interfaċċa tal-utent jew mezzi tekniċi simili li jippermettu interazzjoni diretta mal-utenti tiegħu, il-manifattur jenħtieġ li jagħmel użu minn tali karatteristiċi biex jinforma lill-utenti li l-prodott tagħhom b’elementi diġitali jkun wasal fi tmiem il-perjodu ta’ appoġġ. In-notifiki jenħtieġ li jkunu limitati għal dak li huwa meħtieġ sabiex jiġi żgurat ir-riċeviment effettiv ta’ din l-informazzjoni u jenħtieġ li dawn ma jkollhomx impatt negattiv fuq l-esperjenza tal-utent tal-prodott b’elementi diġitali.

(57)

Sabiex tittejjeb it-trasparenza tal-proċessi tal-ġestjoni tal-vulnerabbiltà u biex jiġi żgurat li l-utenti ma jkunux meħtieġa jinstallaw aġġornamenti ġodda tal-funzjonalità għall-iskop uniku li jirċievu l-aħħar aġġornamenti tas-sigurtà, il-manifatturi jenħtieġ li jiżguraw, fejn ikun teknikament fattibbli, li aġġornamenti ġodda tas-sigurtà jiġu pprovduti separatament mill-aġġornamenti tal-funzjonalità.

(58)

Il-komunikazzjoni konġunta tal-Kummissjoni u tar-Rappreżentant Għoli tal-Unjoni għall-Affarijiet Barranin u l-Politika ta’ Sigurtà tal-20 ta’ Ġunju 2023 intitolata “L-Istrateġija Ewropea ta’ Sigurtà Ekonomika” iddikjarat li l-Unjoni jeħtieġ li timmassimizza l-benefiċċji tal-ftuħ ekonomiku tagħha filwaqt li timminimizza r-riskji minn dipendenzi ekonomiċi fuq bejjiegħa b’riskju għoli, permezz ta’ qafas strateġiku komuni għas-sigurtà ekonomika tal-Unjoni. Id-dipendenzi fuq fornituri b’riskju għoli ta’ prodotti b’elementi diġitali jistgħu joħolqu riskju strateġiku li jenħtieġ li jiġi indirizzat fil-livell tal-Unjoni, speċjalment meta l-prodotti b’elementi diġitali jkunu maħsuba għall-użu minn entitajiet essenzjali kif imsemmija fl-Artikolu 3(1) tad-Direttiva (UE) 2022/2555. Tali riskji jistgħu jkunu marbuta, iżda mhux limitati, mal-ġuriżdizzjoni applikabbli għall-manifattur, il-karatteristiċi tas-sjieda korporattiva tiegħu u r-rabtiet ta’ kontroll ma’ gvern ta’ pajjiż terz fejn ikun stabbilit, b’mod partikolari meta pajjiż terz jinvolvi ruħu fi spjunaġġ ekonomiku jew imġiba irresponsabbli tal-Istat fiċ-ċiberspazju u l-leġiżlazzjoni tiegħu tippermetti aċċess arbitrarju għal kwalunkwe tip ta’ operazzjonijiet jew data ta’ kumpanija, inkluża data kummerċjalment sensittiva, u jista’ jimponi obbligi għal skopijiet ta’ intelligence mingħajr kontrolli u bilanċi demokratiċi, mekkaniżmi ta’ sorveljanza, proċess dovut jew id-dritt ta’ appell quddiem qorti jew tribunal indipendenti. Meta jiddeterminaw is-sinifikat ta’ riskju għaċ-ċibersigurtà skont it-tifsira ta’ dan ir-Regolament, il-Kummissjoni u l-awtoritajiet tas-sorveljanza tas-suq, skont ir-responsabbiltajiet tagħhom kif stabbiliti f’dan ir-Regolament, jenħtieġ li jikkunsidraw ukoll fatturi ta’ riskju mhux tekniċi, b’mod partikolari dawk stabbiliti bħala riżultat ta’ valutazzjonijiet tar-riskju kkoordinati fil-livell tal-Unjoni ta’ ktajjen tal-provvista kritiċi mwettqa f’konformità mal-Artikolu 22 tad-Direttiva (UE) 2022/2555.

(59)

Għall-iskop li tiġi żgurata s-sigurtà tal-prodotti b’elementi diġitali wara l-introduzzjoni tagħhom fis-suq, jenħtieġ li l-manifatturi jiddeterminaw il-perjodu ta’ appoġġ, li jenħtieġ li jirriflettu ż-żmien li l-prodott b’elementi diġitali huwa mistenni li jkun qed jintuża. Fid-determinazzjoni ta’ perjodu ta’ appoġġ, manifattur jenħtieġ li jqis b’mod partikolari l-aspettattivi raġonevoli tal-utent, in-natura tal-prodott, kif ukoll il-liġi rilevanti tal-Unjoni li tiddetermina l-ħajja tal-prodotti b’elementi diġitali. Jenħtieġ ukoll li l-manifatturi jkunu jistgħu jqisu fatturi rilevanti oħra. Il-kriterji jenħtieġ li jiġu applikati b’mod li jiżgura l-proporzjonalità fid-determinazzjoni tal-perjodu ta’ appoġġ. Fuq talba, manifattur jenħtieġ li jipprovdi lill-awtoritajiet tas-sorveljanza tas-suq bl-informazzjoni li tkun tqieset biex jiġi ddeterminat il-perjodu ta’ appoġġ ta’ prodott b’elementi diġitali.

(60)

Il-perjodu ta’ appoġġ li għalih il-manifattur jiżgura l-ġestjoni effettiva tal-vulnerabbiltajiet jenħtieġ li ma jkunx anqas minn ħames snin, sakemm il-ħajja tal-prodott b’elementi diġitali ma tkunx anqas minn ħames snin, f’liema każ il-manifattur jenħtieġ li jiżgura l-ġestjoni tal-vulnerabbiltà għal dik il-ħajja. Meta ż-żmien li l-prodott b’elementi diġitali jkun raġonevolment mistenni li jkun qed jintuża jkun itwal minn ħames snin, kif spiss ikun il-każ għal komponenti tal-hardware bħal motherboards jew mikroproċessuri, apparati tan-network bħal routers, modems jew swiċċijiet, kif ukoll software, bħal sistemi operattivi jew għodod għall-editjar tal-vidjow, jenħtieġ li l-manifatturi jiżguraw perjodi ta’ appoġġ itwal skont kif ikun meħtieġ. B’mod partikolari, il-prodotti b’elementi diġitali maħsuba għall-użu f’ambjenti industrijali, bħas-sistemi ta’ kontroll industrijali, spiss jintużaw għal perjodi ta’ żmien ferm itwal. Manifattur jenħtieġ li jkun jista’ jiddefinixxi perjodu ta’ appoġġ ta’ anqas minn ħames snin biss meta dan ikun iġġustifikat min-natura tal-prodott b’elementi diġitali kkonċernat u meta dak il-prodott ikun mistenni li jkun qed jintuża għal anqas minn ħames snin, f’liema każ il-perjodu ta’ appoġġ jenħtieġ li jikkorrispondi għaż-żmien tal-użu mistenni. Pereżempju, il-ħajja ta’ applikazzjoni għat-traċċar tal-kuntatti maħsuba għall-użu matul pandemija tista’ tkun limitata għad-durata tal-pandemija. Barra minn hekk, xi applikazzjonijiet tas-software jistgħu min-natura tagħhom ikunu disponibbli biss abbażi ta’ mudell ta’ abbonament, b’mod partikolari meta l-applikazzjoni ma tibqax disponibbli għall-utent u konsegwentement ma tibqax tintuża aktar ladarba jiskadi l-abbonament.

(61)

Meta prodotti b’elementi diġitali jilħqu t-tmiem tal-perjodi ta’ appoġġ tagħhom, sabiex jiġi żgurat li l-vulnerabbiltajiet ikunu jistgħu jiġu ttrattati wara tmiem il-perjodu ta’ appoġġ, jenħtieġ li l-manifatturi jikkunsidraw li jirrilaxxaw il-kodiċi tas-sors ta’ tali prodotti b’elementi diġitali jew lil impriżi oħra li jimpenjaw ruħhom li jestendu l-forniment ta’ servizzi ta’ ġestjoni tal-vulnerabbiltà jew lill-pubbliku. Meta l-manifatturi jirrilaxxaw il-kodiċi tas-sors lil impriżi oħra, jenħtieġ li jkunu jistgħu jipproteġu s-sjieda tal-prodott b’elementi diġitali u jipprevjenu t-tixrid tal-kodiċi tas-sors lill-pubbliku, pereżempju permezz ta’ arranġamenti kuntrattwali.

(62)

Sabiex jiġi żgurat li l-manifatturi madwar l-Unjoni jiddeterminaw perjodi ta’ appoġġ simili għal prodotti komparabbli b’elementi diġitali, l-ADCO jenħtieġ li jippubblika statistika dwar il-perjodi medji ta’ appoġġ determinati mill-manifatturi għall-kategoriji ta’ prodotti b’elementi diġitali u joħroġ gwida li tindika perjodi ta’ appoġġ xierqa għal tali kategoriji. Barra minn hekk, bil-ħsieb li jiġi żgurat approċċ armonizzat fis-suq intern kollu, jenħtieġ li l-Kummissjoni tkun tista’ tadotta atti delegati biex tispeċifika perjodi minimi ta’ appoġġ għal kategoriji ta’ prodotti speċifiċi fejn id-data pprovduta mill-awtoritajiet tas-sorveljanza tas-suq tissuġġerixxi li l-perjodi ta’ appoġġ determinati mill-manifatturi huma jew sistematikament mhux konformi mal-kriterji għad-determinazzjoni tal-perjodi ta’ appoġġ kif stabbiliti f’dan ir-Regolament jew li l-manifatturi fi Stati Membri differenti jiddeterminaw b’mod mhux ġustifikat perjodi ta’ appoġġ differenti.

(63)

Jenħtieġ li l-manifatturi jistabbilixxu punt uniku ta’ kuntatt li jippermetti lill-utenti jikkomunikaw faċilment magħhom, inkluż għall-iskop li jirrapportaw dwar il-vulnerabbiltajiet tal-prodott b’element diġitali u jirċievu informazzjoni dwarhom. Jenħtieġ li jagħmlu l-punt uniku ta’ kuntatt faċilment aċċessibbli għall-utenti u jindikaw b’mod ċar id-disponibbiltà tiegħu, filwaqt li jżommu din l-informazzjoni aġġornata. Meta l-manifatturi jagħżlu li joffru għodod awtomatizzati, eż. chat boxes, huma jenħtieġ li joffru wkoll numru tat-telefown jew mezzi diġitali oħra ta’ kuntatt, bħal indirizz tal-posta elettronika jew formola ta’ kuntatt. Il-punt uniku ta’ kuntatt jenħtieġ li ma jiddependix esklużivament fuq għodod awtomatizzati.

(64)

Il-manifatturi jenħtieġ li jagħmlu l-prodotti tagħhom b’elementi diġitali disponibbli fis-suq b’konfigurazzjoni ta’ sigurtà prestabbilita u jipprovdu aġġornamenti tas-sigurtà lill-utenti mingħajr ħlas. Jenħtieġ li l-manifatturi jkunu jistgħu jiddevjaw biss mir-rekwiżiti essenzjali taċ-ċibersigurtà fir-rigward ta’ prodotti mfassla apposta li jkunu mgħammra għal skop partikolari għal utent kummerċjali partikolari u meta kemm il-manifattur kif ukoll l-utent ikunu qablu b’mod espliċitu ma’ sett differenti ta’ termini kuntrattwali.

(65)

Il-manifatturi jenħtieġ li jinnotifikaw simultanjament permezz tal-pjattaforma unika ta’ rapportar kemm lill-iskwadra ta’ rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (CSIRT) maħtura bħala koordinatur kif ukoll lill-ENISA dwar vulnerabbiltajiet sfruttati b’mod attiv li jinsabu fi prodotti b’elementi diġitali, kif ukoll inċidenti serji li jkollhom impatt fuq is-sigurtà ta’ dawk il-prodotti. In-notifiki jenħtieġ li jiġu sottomessi bl-użu tal-punt tat-tmiem tan-notifika elettronika ta’ CSIRT maħtura bħala koordinatur u jenħtieġ li jkunu aċċessibbli simultanjament għall-ENISA.

(66)

Il-manifatturi jenħtieġ li jinnotifikaw il-vulnerabbiltajiet sfruttati b’mod attiv biex jiżguraw li s-CSIRTs maħtura bħala koordinaturi, u l-ENISA, ikollhom ħarsa ġenerali adegwata lejn dawn il-vulnerabbiltajiet u jiġu pprovduti bl-informazzjoni meħtieġa biex iwettqu l-kompiti tagħhom kif stabbilit fid-Direttiva (UE) 2022/2555 u jgħollu l-livell ġenerali taċ-ċibersigurtà ta’ entitajiet essenzjali u importanti kif imsemmija fl-Artikolu 3 ta’ dik id-Direttiva, kif ukoll biex jiġi żgurat il-funzjonament effettiv tal-awtoritajiet tas-sorveljanza tas-suq. Peress li l-biċċa l-kbira tal-prodotti b’elementi diġitali huma kkummerċjalizzati fis-suq intern kollu, kwalunkwe vulnerabbiltà sfruttata fi prodott b’elementi diġitali jenħtieġ li titqies li hija theddida għall-funzjonament tas-suq intern. Jenħtieġ li l-ENISA, bi qbil mal-manifattur, tiddivulga vulnerabbiltajiet fissi għall-bażi tad-data Ewropea dwar il-vulnerabbiltà stabbilita skont l-Artikolu 12(2) tad-Direttiva (UE) 2022/2555. Il-bażi tad-data Ewropea dwar il-vulnerabbiltà se tassisti lill-manifatturi jidentifikaw vulnerabbiltajiet magħrufa sfruttabbli fil-prodotti tagħhom, sabiex jiżguraw li prodotti siguri jitqiegħdu għad-dispożizzjoni fis-suq.

(67)

Il-manifatturi jenħtieġ li jinnotifikaw ukoll kwalunkwe inċident serju li jkollu impatt fuq is-sigurtà tal-prodott b’elementi diġitali lis-CSIRT maħtura bħala koordinatur u lill-ENISA. Sabiex jiġi żgurat li l-utenti jkunu jistgħu jirreaġixxu malajr għal inċidenti serji li jkollhom impatt fuq is-sigurtà tal-prodotti b’elementi diġitali tagħhom, jenħtieġ li l-manifatturi jinfurmaw ukoll lill-utenti tagħhom dwar kwalunkwe inċident bħal dan u, fejn applikabbli, dwar kwalunkwe miżura korrettiva li l-utenti jistgħu jużaw biex itaffu l-impatt tal-inċident, pereżempju billi jippubblikaw informazzjoni rilevanti fuq is-siti web tagħhom jew, fejn il-manifattur ikun jista’ jikkuntattja lill-utenti u fejn ikun iġġustifikat mir-riskji għaċ-ċibersigurtà, billi jilħaq direttament lill-utenti.

(68)

Il-vulnerabbiltajiet sfruttati b’mod attiv jikkonċernaw każijiet fejn manifattur jistabbilixxi li ksur ta’ sigurtà li jaffettwa lill-utenti tiegħu jew lil kwalunkwe persuna fiżika jew ġuridika oħra jkun irriżulta minn attur malizzjuż li jagħmel użu minn difett f’wieħed mill-prodotti b’elementi diġitali mqiegħda għad-dispożizzjoni fis-suq mill-manifattur. Eżempji ta’ vulnerabbiltajiet bħal dawn jistgħu jkunu dgħufijiet fl-identifikazzjoni ta’ prodott u fil-funzjonijiet ta’ awtentikazzjoni. Il-vulnerabbiltajiet li jiġu skoperti mingħajr intenzjoni malizzjuża għall-iskopijiet ta’ ttestjar, investigazzjoni, korrezzjoni jew divulgazzjoni bona fide biex jippromwovu s-sigurtà jew is-sikurezza tas-sid tas-sistema u tal-utenti tiegħu jenħtieġ li ma jkunux soġġetti għal notifika obbligatorja. Inċidenti severi li jkollhom impatt fuq is-sigurtà tal-prodott b’elementi diġitali, min-naħa l-oħra, jirreferu għal sitwazzjonijiet fejn inċident taċ-ċibersigurtà jaffettwa l-proċessi tal-iżvilupp, tal-produzzjoni jew tal-manutenzjoni tal-manifattur b’tali mod li dan jista’ jirriżulta f’riskju akbar għaċ-ċibersigurtà għall-utenti jew għal persuni oħra. Inċident serju bħal dan jista’ jinkludi sitwazzjoni fejn min iwettaq l-attakk ikun irnexxielu jintroduċi kodiċi malizzjuż fil-kanal tar-rilaxx li permezz tiegħu l-manifattur jirrilaxxa aġġornamenti tas-sigurtà lill-utenti.

(69)

Biex jiġi żgurat li n-notifiki jkunu jistgħu jixxerrdu malajr lis-CSIRTs rilevanti kollha maħtura bħala koordinaturi u biex il-manifatturi jkunu jistgħu jissottomettu notifika waħda f’kull stadju tal-proċess ta’ notifika, jenħtieġ li l-ENISA tistabbilixxi pjattaforma unika ta’ rapportar b’punti finali nazzjonali ta’ notifika elettronika. L-operazzjonijiet ta’ kuljum tal-pjattaforma unika ta’ rapportar jenħtieġ li jiġu ġestiti u miżmuma mill-ENISA. Is-CSIRTs maħtura bħala koordinaturi jenħtieġ li jinfurmaw lill-awtoritajiet tas-sorveljanza tas-suq rispettivi tagħhom dwar vulnerabbiltajiet jew inċidenti notifikati. Il-pjattaforma unika ta’ rapportar jenħtieġ li titfassal b’tali mod li tiżgura l-kunfidenzjalità tan-notifiki, b’mod partikolari fir-rigward tal-vulnerabbiltajiet li għalihom għadu mhux disponibbli aġġornament tas-sigurtà. Barra minn hekk, jenħtieġ li l-ENISA tistabbilixxi proċeduri biex tittratta l-informazzjoni b’mod sigur u kunfidenzjali. Abbażi tal-informazzjoni li tiġbor, l-ENISA jenħtieġ li tħejji rapport tekniku biennali dwar ix-xejriet emerġenti fir-rigward tar-riskji għaċ-ċibersigurtà fil-prodotti b’elementi diġitali u tippreżentah lill-Grupp ta’ Kooperazzjoni stabbilit skont l-Artikolu 14 tad-Direttiva (UE) 2022/2555.

(70)

F’ċirkostanzi eċċezzjonali u b’mod partikolari fuq talba mill-manifattur, is-CSIRT maħtura bħala koordinatur li inizjalment tirċievi notifika jenħtieġ li tkun tista’ tiddeċiedi li ddewwem id-disseminazzjoni tagħha lis-CSIRTs rilevanti l-oħra maħtura bħala koordinaturi permezz tal-pjattaforma unika ta’ rapportar fejn dan jista’ jiġi ġġustifikat għal raġunijiet relatati maċ-ċibersigurtà u għal perjodu ta’ żmien li jkun strettament meħtieġ. Is-CSIRT maħtura bħala koordinatur jenħtieġ li tinforma minnufih lill-ENISA dwar id-deċiżjoni li jkun hemm dewmien u għal liema raġunijiet, kif ukoll meta jkollha l-ħsieb li tkompli d-disseminazzjoni. Jenħtieġ li l-Kummissjoni tiżviluppa, permezz ta’ att delegat, speċifikazzjonijiet dwar it-termini u l-kundizzjonijiet għal meta jkunu jistgħu jiġu applikati raġunijiet relatati maċ-ċibersigurtà u jenħtieġ li tikkoopera man-network tas-CSIRTs stabbilit skont l-Artikolu 15 tad-Direttiva (UE) 2022/2555, u mal-ENISA fit-tħejjija tal-abbozz tal-att delegat. Eżempji ta’ raġunijiet relatati maċ-ċibersigurtà jinkludu proċedura ta’ divulgazzjoni kkoordinata kontinwa tal-vulnerabbiltajiet jew sitwazzjonijiet li fihom manifattur huwa mistenni jipprovdi miżura ta’ mitigazzjoni dalwaqt u r-riskji għaċ-ċibersigurtà ta’ tixrid immedjat permezz tal-pjattaforma unika ta’ rapportar jegħlbu l-benefiċċji tagħha. Jekk tintalab mis-CSIRT maħtura bħala koordinatur, jenħtieġ li l-ENISA tkun tista’ tappoġġja lil dik is-CSIRT fl-applikazzjoni ta’ raġunijiet relatati maċ-ċibersigurtà b’rabta mad-dewmien tat-tixrid tan-notifika abbażi tal-informazzjoni li l-ENISA tkun irċeviet mingħand dik is-CSIRT dwar id-deċiżjoni li tinżamm notifika għal dawk ir-raġunijiet relatati maċ-ċibersigurtà. Barra minn hekk, f’ċirkostanzi partikolarment eċċezzjonali, jenħtieġ li l-ENISA ma tirċevix id-dettalji kollha ta’ notifika ta’ vulnerabbiltà sfruttata b’mod attiv b’mod simultanju. Dan ikun il-każ meta, fin-notifika tiegħu, il-manifattur jimmarka li l-vulnerabbiltà notifikata tkun ġiet sfruttata b’mod attiv minn attur malizzjuż u li, skont l-informazzjoni disponibbli, din ma tkun ġiet sfruttata f’ebda Stat Membru ieħor għajr dak tas-CSIRT maħtura bħala koordinatur li lilu l-manifattur ikun innotifika l-vulnerabbiltà, meta kwalunkwe tixrid ulterjuri immedjat tal-vulnerabbiltà notifikata x’aktarx jirriżulta fil-provvista ta’ informazzjoni li d-divulgazzjoni tagħha tmur kontra l-interessi essenzjali ta’ dak l-Istat Membru, jew meta l-vulnerabbiltà notifikata toħloq riskju imminenti għoli għaċ-ċibersigurtà li jirriżulta mit-tixrid ulterjuri. F’każijiet bħal dawn, l-ENISA tirċievi biss aċċess simultanju għall-informazzjoni li tkun saret notifika mill-manifattur, informazzjoni ġenerali dwar il-prodott b’elementi diġitali kkonċernat, l-informazzjoni dwar in-natura ġenerali tal-isfruttament u informazzjoni dwar il-fatt li dawk ir-raġunijiet ta’ sigurtà jkunu tqajmu mill-manifattur u li għalhekk jinżamm il-kontenut sħiħ tan-notifika. In-notifika sħiħa jenħtieġ li mbagħad issir disponibbli għall-ENISA u għal CSIRTs rilevanti oħra maħtura bħala koordinaturi meta s-CSIRT maħtura bħala koordinatur li inizjalment tirċievi n-notifika ssib li dawk ir-raġunijiet ta’ sigurtà, li jirriflettu ċirkostanzi partikolarment eċċezzjonali kif stabbilit f’dan ir-Regolament, ma jibqgħux jeżistu. Meta, abbażi tal-informazzjoni disponibbli, l-ENISA tqis li hemm riskju sistemiku li jaffettwa s-sigurtà tas-suq intern, jenħtieġ li l-ENISA tirrakkomanda lis-CSIRT riċeventi biex ixxerred in-notifika sħiħa lis-CSIRTs l-oħra maħtura bħala koordinaturi u lill-ENISA nnifisha.

(71)

Meta l-manifatturi jagħtu notifika ta’ vulnerabbiltà sfruttata b’mod attiv jew inċident serju li jkollu impatt fuq is-sigurtà tal-prodott b’elementi diġitali, jenħtieġ li jindikaw kemm iqisu sensittiva l-informazzjoni notifikata rrapportata. Is-CSIRT maħtura bħala koordinatur li inizjalment tirċievi n-notifika jenħtieġ li tieħu kont ta’ din l-informazzjoni meta tivvaluta jekk in-notifika tagħtix lok għal ċirkostanzi eċċezzjonali li jiġġustifikaw dewmien fid-disseminazzjoni tan-notifika lis-CSIRTs rilevanti l-oħra maħtura bħala koordinaturi abbażi ta’ motivi ġustifikati relatati maċ-ċibersigurtà. Jenħtieġ li tieħu kont ukoll ta’ dik l-informazzjoni meta tkun qed tivvaluta jekk in-notifika ta’ vulnerabbiltà sfruttata b’mod attiv tagħtix lok għal ċirkostanzi partikolarment eċċezzjonali li jiġġustifikaw li n-notifika sħiħa ma tkunx disponibbli simultanjament għall-ENISA. Fl-aħħar nett, is-CSIRTs maħtura bħala koordinaturi jenħtieġ li jkunu jistgħu jieħu kont ta’ dik l-informazzjoni meta jiddeterminaw miżuri xierqa biex itaffu r-riskji li jirriżultaw minn tali vulnerabbiltajiet u inċidenti.

(72)

Sabiex jiġi ssimplifikat ir-rapportar tal-informazzjoni meħtieġa skont dan ir-Regolament, fid-dawl ta’ rekwiżiti oħra ta’ rapportar komplementari stabbiliti fil-liġi tal-Unjoni, bħar-Regolament (UE) 2016/679, ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill (25), id-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill (26) u d-Direttiva (UE) 2022/2555, kif ukoll biex jitnaqqas il-piż amministrattiv għall-entitajiet, l-Istati Membri huma mħeġġa jikkunsidraw li jipprovdu punti ta’ dħul uniċi fil-livell nazzjonali għal tali rekwiżiti ta’ rapportar. Jenħtieġ li l-użu ta’ tali punti ta’ dħul nazzjonali uniċi għar-rapportar ta’ inċidenti tas-sigurtà skont ir-Regolament (UE) 2016/679 u d-Direttiva 2002/58/KE ma jaffettwax l-applikazzjoni tad-dispożizzjonijiet tar-Regolament (UE) 2016/679 u tad-Direttiva 2002/58/KE, b’mod partikolari dawk relatati mal-indipendenza tal-awtoritajiet imsemmija fihom. Meta tistabbilixxi l-pjattaforma unika ta’ rapportar imsemmija f’dan ir-Regolament, l-ENISA jenħtieġ li tqis il-possibbiltà li l-punti tat-tmiem nazzjonali tan-notifika elettronika msemmija f’dan ir-Regolament jiġu integrati fil-punti ta’ dħul nazzjonali uniċi li jistgħu jintegraw ukoll notifiki oħra meħtieġa mil-liġi tal-Unjoni.

(73)

Meta tistabbilixxi l-pjattaforma unika ta’ rapportar imsemmija f’dan ir-Regolament u sabiex tibbenefika mill-esperjenza tal-passat, jenħtieġ li l-ENISA tikkonsulta istituzzjonijiet jew aġenziji oħra tal-Unjoni li jkunu qed jimmaniġġjaw pjattaformi jew bażijiet tad-data soġġetti għal rekwiżiti stretti ta’ sigurtà, bħall-Aġenzija tal-Unjoni Ewropea għat-Tmexxija Operattiva ta’ Sistemi tal-IT fuq Skala Kbira fl-Ispazju ta’ Libertà, Sigurtà u Ġustizzja (eu-LISA). Jenħtieġ ukoll li l-ENISA tanalizza komplementarjetajiet potenzjali mal-bażi tad-data Ewropea dwar il-vulnerabbiltajiet stabbilita skont l-Artikolu 12(2) tad-Direttiva (UE) 2022/2555.

(74)

Il-manifatturi u persuni fiżiċi u ġuridiċi oħra jenħtieġ li jkunu jistgħu jinnotifikaw lil CSIRT maħtura bħala koordinatur jew lill-ENISA, fuq bażi volontarja, b’kwalunkwe vulnerabbiltà li tinsab fi prodott b’elementi diġitali, theddid ċibernetiku li jista’ jaffettwa l-profil tar-riskju ta’ prodott b’elementi diġitali, kwalunkwe inċident li jkollu impatt fuq is-sigurtà tal-prodott b’elementi diġitali kif ukoll kważi aċċidenti li setgħu rriżultaw f’inċident bħal dan.

(75)

L-Istati Membri jenħtieġ li jkollhom bħala mira l-indirizzar, sa fejn ikun possibbli, tal-isfidi ffaċċjati mir-riċerkaturi vulnerabbli, inkluż l-esponiment potenzjali tagħhom għal responsabbiltà kriminali, f’konformità mal-leġiżlazzjoni nazzjonali. Peress li l-persuni fiżiċi u ġuridiċi li jagħmlu r-riċerka dwar il-vulnerabbiltajiet jistgħu f’xi Stati Membri jkunu esposti għal responsabbiltà kriminali u ċivili, l-Istati Membri huma mħeġġa jadottaw linji gwida fir-rigward tan-nuqqas ta’ prosekuzzjoni tar-riċerkaturi dwar is-sigurtà tal-informazzjoni u eżenzjoni mir-responsabbiltà ċivili għall-attivitajiet tagħhom.

(76)

Jenħtieġ li l-manifatturi ta’ prodotti b’elementi diġitali jistabbilixxu politiki ta’ divulgazzjoni kkoordinata tal-vulnerabbiltajiet biex jiffaċilitaw ir-rapportar tal-vulnerabbiltajiet minn individwi jew entitajiet jew direttament lill-manifattur jew indirettament, u meta mitlub b’mod anonimu, permezz ta’ CSIRTs maħtura bħala koordinaturi għall-finijiet ta’ divulgazzjoni kkoordinata tal-vulnerabbiltajiet f’konformità mal-Artikolu 12(1) tad-Direttiva (UE) 2022/2555. Politika ta’ divulgazzjoni kkoordinata tal-vulnerabbiltajiet tal-manifatturi jenħtieġ li tispeċifika proċess strutturat li permezz tiegħu l-vulnerabbiltajiet divulgazzjoni jiġu rrapportati lil manifattur b’mod li jippermetti lill-manifattur iwettaq dijanjostika u rimedju għal tali vulnerabbiltajiet qabel ma tiġi żvelata informazzjoni dettaljata dwar il-vulnerabbiltà lil partijiet terzi jew lill-pubbliku. Barra minn hekk, il-manifatturi jenħtieġ li jikkunsidraw ukoll jippubblikaw il-politiki ta’ sigurtà tagħhom f’format li jinqara mill-magni. Minħabba l-fatt li l-informazzjoni dwar il-vulnerabbiltajiet li jistgħu jiġu sfruttati fi prodotti b’elementi diġitali użati b’mod diffuż tista’ tinbiegħ bi prezzijiet għoljin fis-suq illeċitu, jenħtieġ li l-manifatturi ta’ tali prodotti jkunu jistgħu jużaw programmi, bħala parti mill-politiki tagħhom ta’ kkoordinata tal-vulnerabbiltajiet, biex jinċentivaw ir-rapportar tal-vulnerabbiltajiet billi jiġi żgurat li l-individwi jew l-entitajiet jirċievu rikonoxximent u kumpens għall-isforzi tagħhom. Dan huma l-hekk imsejħa “programmi ta’ premju għas-sejbien ta’ difetti”.

(77)

Sabiex tiġi ffaċilitata l-analiżi tal-vulnerabbiltà, il-manifatturi jenħtieġ li jidentifikaw u jiddokumentaw il-komponenti li jinsabu fil-prodotti b’elementi diġitali, fosthom billi jfasslu SBOM. SBOM tista’ tipprovdi lil dawk li jimmanifatturaw, jixtru, u joperaw software b’informazzjoni li ttejjeb il-fehim tagħhom tal-katina tal-provvista, li għandha diversi benefiċċji, b’mod partikolari tgħin lill-manifatturi u lill-utenti biex isegwu vulnerabbiltajiet u riskji għaċ-ċibersigurtà magħrufa li jkunu għadhom kemm jitfaċċaw. Huwa partikolarment importanti li l-manifatturi jiżguraw li l-prodotti tagħhom b’elementi diġitali ma jkunx fihom komponenti vulnerabbli żviluppati minn partijiet terzi. Jenħtieġ li l-manifatturi ma jkunux obbligati jagħmlu l-SBOM pubbliku.

(78)

Skont il-mudelli kummerċjali kumplessi ġodda marbuta mal-bejgħ online, negozju li jopera online jista’ jipprovdi varjetà ta’ servizzi. Skont in-natura tas-servizzi pprovduti fir-rigward ta’ prodott partikolari b’elementi diġitali, l-istess entità tista’ taqa’ taħt kategoriji differenti ta’ mudelli ta’ negozju jew operaturi ekonomiċi. Meta entità tipprovdi servizzi tal-intermedjazzjoni online biss għal prodott partikolari b’elementi diġitali u tkun biss fornitur ta’ suq online, kif definit fl-Artikolu 3, il-punt 14 tar-Regolament (UE) 2023/988, din ma tikkwalifikax bħala wieħed mit-tipi ta’ operatur ekonomiku kif definit f’dan ir-Regolament. Meta l-istess entità tkun fornitur ta’ suq online u taġixxi wkoll ta’ operatur ekonomiku kif definit f’dan ir-Regolament għall-bejgħ ta’ prodotti partikolari b’elementi diġitali, jenħtieġ li tkun soġġetta għall-obbligi tsabbilit f’dan ir-Regolament għal dak it-tip ta’ operatur ekonomiku. Pereżempju, jekk il-fornitur ta’ suq online jiddistribwixxi wkoll prodott b’elementi diġitali, allura, fir-rigward tal-bejgħ ta’ dak il-prodott, dan jitqies li huwa distributur. Bl-istess mod, jekk l-entità inkwistjoni tbigħ il-prodotti b’elementi diġitali tad-ditta tagħha stess, hija titqies manifattur u b’hekk ikollha tikkonforma mar-rekwiżiti applikabbli għall-manifatturi. Barra minn hekk, ċerti entitajiet jistgħu jitqiesu fornituri ta’ servizz ta’ eżekuzzjoni kif definit fl-Artikolu 3, il-punt (11), tar-Regolament (UE) 2019/1020 tal-Parlament Ewropew u tal-Kunsill (27) jekk joffru tali servizzi. Tali każijiet ikollhom jiġu vvalutati fuq bażi ta’ każ b’każ. Fid-dawl tar-rwol prominenti li għandhom is-swieq online biex jippermettu l-kummerċ elettroniku, jenħtieġ li jagħmlu ħilithom biex jikkooperaw mal-awtoritajiet tas-sorveljanza tas-suq tal-Istati Membri sabiex jikkontribwixxu għall-iżgurar li l-prodotti b’elementi diġitali mixtrija permezz tas-swieq online jikkonformaw mar-rekwiżiti taċ-ċibersigurtà stabbiliti f’dan ir-Regolament.

(79)

Sabiex tiġi ffaċilitata l-valutazzjoni tal-konformità mar-rekwiżiti stabbiliti f’dan ir-Regolament, jenħtieġ li jkun hemm preżunzjoni ta’ konformità għall-prodotti b’elementi diġitali li huma konformi mal-istandards armonizzati, li jittrasformaw ir-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament fi speċifikazzjonijiet tekniċi dettaljati, u li huma adottati skont ir-Regolament (UE) Nru 1025/2012 tal-Parlament Ewropew u tal-Kunsill (28). Dak r-Regolament jipprevedi proċedura għal oġġezzjonijiet għal standards armonizzati meta dawk l-istandards ma jissodisfawx kompletament ir-rekwiżiti stabbiliti f’dan ir-Regolament. Jenħtieġ li l-proċess ta’ standardizzazzjoni jiżgura rappreżentanza bbilanċjata tal-interessi u parteċipazzjoni effettiva tal-partijiet ikkonċernati tas-soċjetà ċivili, inklużi l-organizzazzjonijiet tal-konsumaturi. Jenħtieġ li jitqiesu wkoll l-istandards internazzjonali li huma konformi mal-livell ta’ protezzjoni taċ-ċibersigurtà previst mir-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament, sabiex jiġu ffaċilitati l-iżvilupp ta’ standards armonizzati u l-implimentazzjoni ta’ dan ir-Regolament, kif ukoll biex tiġi ffaċilitata l-konformità għall-kumpaniji, b’mod partikolari l-mikrointrapriżi u l-intrapriżi żgħar u ta’ daqs medju u dawk li joperaw globalment.

(80)

L-iżvilupp f’waqtu ta’ standards armonizzati matul il-perjodu ta’ tranżizzjoni għall-applikazzjoni ta’ dan ir-Regolament u d-disponibbiltà tagħhom qabel id-data tal-applikazzjoni ta’ dan ir-Regolament se jkunu partikolarment importanti għall-implimentazzjoni effettiva tiegħu. Dan huwa, b’mod partikolari, il-każ għal prodotti importanti b’elementi diġitali li jaqgħu taħt il-klassi I. Id-disponibbiltà ta’ standards armonizzati se tippermetti lill-manifatturi ta’ tali prodotti jwettqu l-valutazzjonijiet tal-konformità permezz tal-proċedura ta’ kontroll intern u tista’ għalhekk tevita konġestjonijiet u dewmien fl-attivitajiet tal-korpi ta’ valutazzjoni tal-konformità.

(81)

Ir-Regolament (UE) 2019/881 jistabbilixxi qafas volontarju Ewropew għall-prodotti tal-ICT, il-proċessi tal-ICT u s-servizzi tal-ICT. L-iskemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà jipprovdu qafas komuni ta’ fiduċja għall-utenti biex jużaw prodotti b’elementi diġitali li jidħlu fl-ambitu ta’ dan ir-Regolament. Dan ir-Regolament jenħtieġ b’mod konsegwenti li joħloq sinerġiji mar-Regolament (UE) 2019/881. Sabiex tiġi ffaċilitata l-valutazzjoni tal-konformità mar-rekwiżiti stabbiliti f’dan ir-Regolament, il-prodotti b’elementi diġitali li huma ċċertifikati jew li għalihom inħarġet dikjarazzjoni ta’ konformità taħt skema Ewropea taċ-ċibersigurtà skont ir-Regolament (UE) 2019/881 li ġiet identifikata mill-Kummissjoni f’att ta’ implimentazzjoni, għandhom ikunu preżunti konformi mar-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament sa fejn iċ-ċertifikat Ewropew taċ-ċibersigurtà jew id-dikjarazzjoni Ewropea ta’ konformità jew partijiet minnu jkopru dawk ir-rekwiżiti. Il-ħtieġa għal skemi Ewropej ġodda taċ-ċertifikazzjoni taċ-ċibersigurtà għal prodotti b’elementi diġitali jenħtieġ li tiġi vvalutata fid-dawl ta’ dan ir-Regolament, anki fit-tħejjija tal-programm ta’ ħidma kontinwu tal-Unjoni b’mod koformi mar-Regolament (UE) 2019/881. Meta jkun hemm bżonn ta’ skema ġdida li tkopri prodotti b’elementi diġitali, inkluż sabiex tiġi ffaċilitata l-konformità ma’ dan ir-Regolament, il-Kummissjoni tista’ titlob lill-ENISA tħejji skemi kandidati f’konformità mal-Artikolu 48 tar-Regolament (UE) 2019/881. Tali skemi Ewropej futuri taċ-ċertifikazzjoni taċ-ċibersigurtà li jkopru prodotti b’elementi diġitali jenħtieġ li jqisu r-rekwiżiti essenzjali taċ-ċibersigurtà u l-proċeduri ta’ valutazzjoni tal-konformità kif stabbiliti f’dan ir-Regolament u jiffaċilitaw il-konformità ma’ dan ir-Regolament. Għall-iskemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà li jidħlu fis-seħħ qabel id-dħul fis-seħħ ta’ dan ir-Regolament, jistgħu jkunu meħtieġa aktar speċifikazzjonijiet dwar aspetti dettaljati ta’ kif tista’ tapplika preżunzjoni ta’ konformità. Jenħtieġ li l-Kummissjoni, permezz ta’ atti delegati, tingħata s-setgħa li tispeċifika f’liema kundizzjonijiet l-iskemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà jistgħu jintużaw biex tintwera l-konformità mar-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament. Barra minn hekk, sabiex jiġi evitat piż amministrattiv bla bżonn, m’hemmx obbligu għall-manifatturi li jwettqu valutazzjoni tal-konformità minn parti terza kif previst f’dan ir-Regolament għal rekwiżiti korrispondenti fejn ċertifikat Ewropew taċ-ċibersigurtà jkun inħareġ fil-qafas ta’ tali skemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà tal-anqas fuq livell “sostanzjali”.

(82)

Mad-dħul fis-seħħ tal-att ta’ implimentazzjoni li jistabbilixxi r-Regolament ta’ Implimentazzjoni (UE) 2024/482 li jikkonċerna prodotti li jidħlu fl-ambitu ta’ dan ir-Regolament, bħal moduli tas-sigurtà tal-hardware u mikroproċessuri, il-Kummissjoni jenħtieġ li tkun tista’ tispeċifika, permezz ta’ att delegat, kif l-EUCC tipprovdi preżunzjoni ta’ konformità mar-rekwiżiti essenzjali taċ-ċibersigurtà kif stabbiliti f’dan ir-Regolament jew partijiet minnu. Barra minn hekk, tali att delegat jista’ jispeċifika kif ċertifikat maħruġ skont l-EUCC jelimina l-obbligu għall-manifatturi li jwettqu valutazzjoni minn parti terza kif meħtieġ skont dan ir-Regolament għar-rekwiżiti korrispondenti.

(83)

Il-qafas Ewropew ta’ standardizzazzjoni attwali li huwa bbażat fuq il-prinċipji ta’ Approċċ Ġdid stabbiliti fir-Riżoluzzjoni tal-Kunsill tas-7 ta’ Mejju 1985 dwar approċċ ġdid għall-armonizzazzjoni teknika u l-istandards u fuq ir-Regolament (UE) Nru 1025/2012, jirrappreżenta l-qafas awtomatiku biex jiġu elaborati standards li jipprevedu preżunzjoni ta’ konformità mar-rekwiżiti essenzjali taċ-ċibersigurtà rilevanti stabbilti f’dan ir-Regolament. L-istandards Ewropej jenħtieġ li jkunu mmexxija mis-suq, iqisu l-interess pubbliku, kif ukoll l-objettivi ta’ politika ddikjarati b’mod ċar fit-talba tal-Kummissjoni lil waħda jew aktar mill-organizzazzjonijiet Ewropej tal-istandardizzazzjoni biex jabbozzaw standards armonizzati, fi żmien skadenza stabbilita, u jkunu bbażati fuq kunsens. Madankollu, fin-nuqqas ta’ referenzi rilevanti għal standards armonizzati, jenħtieġ li l-Kummissjoni tkun tista’ tadotta atti ta’ implimentazzjoni li jistabbilixxi speċifikazzjonijiet komuni għar-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament, dment li meta tagħmel dan tirrispetta debitament ir-rwol u l-funzjonijiet tal-organizzazzjonijiet Ewropej tal-istandardizzazzjoni, bħala soluzzjoni eċċezzjonali ta’ riżerva biex jiġi ffaċilitat l-obbligu tal-manifattur li jikkonforma ma’ dawk ir-rekwiżiti essenzjali taċ-ċibersigurtà, meta l-proċess ta’ standardizzazzjoni jiġi mblukkat jew meta jkun hemm dewmien fl-istabbiliment ta’ standards ta’ armonizzazzjoni xierqa. Jekk tali dewmien ikun dovut għall-kumplessità teknika tal-istandard inkwistjoni, jenħtieġ li dan jiġi kkunsidrat mill-Kummissjoni qabel ma tikkunsidra jekk għandiex tistabbilixxi speċifikazzjonijiet komuni.

(84)

Bil-ħsieb li jiġu stabbiliti, bl-aktar mod effiċjenti, l-ispeċifikazzjonijiet komuni li jkopru r-rekwiżiti essenzjali taċ-ċibersigurtà ta’ dan ir-Regolament, jenħtieġ li l-Kummissjoni tinvolvi lill-partijiet ikkonċernati rilevanti fil-proċess.

(85)

“Perjodu raġonevoli” jfisser, fir-rigward tal-pubblikazzjoni ta’ referenza għall-istandards armonizzati fil-Ġurnal Uffiċjali tal-Unjoni Ewropea f’konformità mar-Regolament (UE) Nru 1025/2012, perjodu li matulu l-pubblikazzjoni fil-Ġurnal Uffiċjali tal-Unjoni Ewropea tar-referenza għall-istandard, ir-rettifika tagħha jew l-emenda tagħha tkun mistennija u li jenħtieġ li ma jaqbiżx sena wara l-iskadenza għall-abbozzar ta’ standard Ewropew stabbilit f’konformità mar-Regolament (UE) Nru 1025/2012.

(86)

Sabiex tiġi ffaċilitata l-valutazzjoni tal-konformità mar-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti minn dan ir-Regolament, jenħtieġ li jkun hemm preżunzjoni ta’ konformità għall-prodotti b’elementi diġitali li jkunu konformi mal-ispeċifikazzjonijiet komuni adottati mill-Kummissjoni skont dan ir-Regolament għall-fini tal-espressjoni ta’ speċifikazzjonijiet tekniċi dettaljati ta’ dawk ir-rekwiżiti.

(87)

L-applikazzjoni ta’ standards armonizzati, speċifikazzjonijiet komuni jew skemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà adottati skont ir-Regolament (UE) 2019/881 li jipprovdu preżunzjoni ta’ konformità fir-rigward tar-rekwiżiti essenzjali taċ-ċibersigurtà applikabbli għall-prodotti b’elementi diġitali se tiffaċilita l-valutazzjoni tal-konformità mill-manifatturi. Jekk il-manifattur jagħżel li ma japplikax dawn il-mezzi għal ċerti rekwiżiti, huwa għandu jindika fid-dokumentazzjoni teknika tiegħu kif il-konformità tintlaħaq mod ieħor. Barra minn hekk, l-applikazzjoni ta’ standards armonizzati, speċifikazzjonijiet komuni jew skemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà adottati skont ir-Regolament (UE) 2019/881 li jipprovdu preżunzjoni ta’ konformità mill-manifatturi tiffaċilita l-verifika tal-konformità tal-prodotti ma’ elementi diġitali mill-awtoritajiet tas-sorveljanza tas-suq. Għalhekk, il-manifatturi ta’ prodotti b’elementi diġitali huma mħeġġa japplikaw tali standards armonizzati, speċifikazzjonijiet komuni jew skemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà.

(88)

Jenħtieġ li l-manifatturi jfasslu dikjarazzjoni ta’ konformità tal-UE biex jipprovdu l-informazzjoni meħtieġa skont dan ir-Regolament dwar il-konformità tal-prodotti b’elementi diġitali mar-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament u, fejn applikabbli, tal-leġiżlazzjoni rilevanti l-oħra tal-Unjoni dwar l-armonizzazzjoni li biha huwa kopert il-prodott b’elementi diġitali. Il-manifatturi jaf ikunu meħtieġa wkoll li jfasslu dikjarazzjoni ta’ konformità tal-UE permezz ta’ atti ġuridiċi oħra tal-Unjoni. Biex ikun żgurat aċċess effettiv għall-informazzjoni għal finijiet ta’ sorveljanza tas-suq, jenħtieġ li titfassal dikjarazzjoni ta’ konformità unika tal-UE fir-rigward tal-konformità mal-atti ġuridiċi kollha tal-Unjoni. Sabiex jitnaqqas il-piż amministrattiv fuq l-operaturi ekonomiċi, jenħtieġ li jkun possibbli li dik id-dikjarazzjoni unika ta’ konformità tal-UE tkun dossier magħmul minn dikjarazzjonijiet individwali rilevanti ta’ konformità.

(89)

Il-markatura CE, li tindika l-konformità ta’ prodott, hija l-konsegwenza viżibbli ta’ proċess sħiħ li jinkludi l-valutazzjoni tal-konformità f’sens wiesa’. Il-prinċipji ġenerali li jirregolaw il-markatura CE huma stabbiliti fir-Regolament (KE) Nru 765/2008 tal-Parlament Ewropew u tal-Kunsill (29). F’dan ir-Regolament għandhom jiġu stabbiliti regoli li jirregolaw it-twaħħil tal-markatura CE fuq prodotti b’elementi diġitali. Jenħtieġ li l-markatura CE tkun l-unika markatura, li tiggarantixxi li l-prodotti b’elementi diġitali jikkonformaw mar-rekwiżiti stabbiliti f’dan ir-Regolament.

(90)

Sabiex l-operaturi ekonomiċi jkunu jistgħu juru l-konformità mar-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament u sabiex l-awtoritajiet tas-sorveljanza tas-suq ikunu jistgħu jiżguraw li l-prodotti b’elementi diġitali mqiegħda fis-suq jikkonformaw ma’ dawk ir-rekwiżiti, huwa meħtieġ li jiġu previsti proċeduri ta’ valutazzjoni ta’ konformità. Id-Deċiżjoni Nru 768/2008/KE tal-Parlament Ewropew u tal-Kunsill (30) tistabbilixxi moduli għall-proċeduri ta’ valutazzjoni ta’ konformità fi proporzjon mal-livell ta’ riskju involut u l-livell ta’ sigurtà meħtieġ. Sabiex tiġi żgurata l-koerenza transsettorjali u jiġu evitati varjanti ad hoc, il-proċeduri ta’ valutazzjoni ta’ konformità adegwati għall-verifika tal-konformità tal-prodotti b’elementi diġitali mar-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament jenħtieġ li jiġu bbażati fuq dawk il-moduli. Il-proċeduri ta’ valutazzjoni ta’ konformità jenħtieġ li jeżaminaw u jivverifikaw kemm ir-rekwiżiti relatati mal-prodott kif ukoll dawk relatati mal-proċess li jkopru ċ-ċiklu tal-ħajja kollu tal-prodotti b’elementi diġitali, inklużi l-ippjanar, id-disinn, l-iżvilupp jew il-produzzjoni, l-ittestjar u l-manutenzjoni tal-prodott b’elementi diġitali.

(91)

Il-valutazzjoni ta’ konformità tal-prodotti b’elementi diġitali, li mhumiex elenkati bħala prodotti importanti jew kritiċi b’elementi diġitali f’dan ir-Regolament, tista’ titwettaq mill-manifattur taħt ir-responsabbiltà tiegħu stess skont il-proċedura ta’ kontroll intern ibbażata fuq il-modulu A tad-Deċiżjoni Nru 768/2008/KE, b’mod konformità ma’ dan ir-Regolament. Dan japplika wkoll għal każijiet fejn manifattur jagħżel li ma japplikax kompletament jew parzjalment standard armonizzat applikabbli, speċifikazzjoni komuni jew skema Ewropea ta’ ċertifikazzjoni taċ-ċibersigurtà. Il-manifattur iżomm il-flessibbiltà li jagħżel proċedura ta’ valutazzjoni ta’ konformità aktar stretta li tinvolvi parti terza. Skont il-proċedura ta’ valutazzjoni ta’ konformità tal-kontroll intern, il-manifattur jiżgura u jiddikjara fuq ir-responsabbiltà unika tiegħu li l-prodott b’elementi diġitali u l-proċessi tal-manifattur jissodisfaw ir-rekwiżiti essenzjali taċ-ċibersigurtà applikabbli stabbiliti f’dan ir-Regolament. Jekk prodott importanti b’elementi diġitali jaqa’ fil-klassi I, hija meħtieġa assigurazzjoni addizzjonali biex tintwera l-konformità mar-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament. Jenħtieġ li l-manifattur japplika standards armonizzati, speċifikazzjonijiet komuni jew skemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà adottati skont ir-Regolament (UE) 2019/881, li jkunu ġew identifikati mill-Kummissjoni f’att ta’ implimentazzjoni, jekk ikun irid iwettaq il-valutazzjoni ta’ konformità taħt ir-responsabbiltà tiegħu stess (modulu A). Jekk il-manifattur ma japplikax tali standards armonizzati, speċifikazzjonijiet komuni jew skemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà, il-manifattur jenħtieġ li jgħaddi minn valutazzjoni tal-konformità li tinvolvi parti terza (abbażi tal-moduli B u C jew il-modulu H). Filwaqt li jitqies il-piż amministrattiv fuq il-manifatturi u l-fatt li ċ-ċibersigurtà għandha rwol importanti fil-fażi tad-disinn u tal-iżvilupp ta’ prodotti tanġibbli u intanġibbli b’elementi diġitali, il-proċeduri ta’ valutazzjoni ta’ konformità bbażati fuq il-moduli B u C jew il-modulu H tad-Deċiżjoni Nru 768/2008/KE ntgħażlu bħala l-aktar proċeduri xierqa għall-valutazzjoni tal-konformità ta’ prodotti importanti b’elementi diġitali b’mod proporzjonat u effettiv. Il-manifattur li jwettaq il-valutazzjoni tal-konformità minn parti terza jista’ jagħżel il-proċedura li tkun l-aktar adattata għall-proċess tad-disinn u tal-produzzjoni tiegħu. Minħabba r-riskju saħansitra akbar taċ-ċibersigurtà relatat mal-użu ta’ prodotti importanti b’elementi diġitali li jaqgħu taħt il-klassi II, il-valutazzjoni ta’ konformità jenħtieġ li dejjem tinvolvi parti terza, anke meta l-prodott jikkonforma bis-sħiħ jew parzjalment ma’ standards armonizzati, speċifikazzjonijiet komuni jew skemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà. Il-manifatturi ta’ prodotti importanti b’elementi diġitali li jikkwalifikaw bħala software liberu u b’sors miftuħ jenħtieġ li jkunu jistgħu jsegwu l-proċedura ta’ kontroll intern ibbażata fuq il-modulu A, dment li jagħmlu d-dokumentazzjoni teknika disponibbli għall-pubbliku.

(92)

Filwaqt li l-ħolqien ta’ prodotti tanġibbli b’elementi diġitali normalment jirrikjedi li l-manifatturi jagħmlu sforzi sostanzjali matul il-fażijiet tad-disinn, tal-iżvilupp u tal-produzzjoni, il-ħolqien ta’ prodotti b’elementi diġitali fil-forma ta’ software jiffoka kważi esklużivament fuq id-disinn u l-iżvilupp, filwaqt li l-fażi tal-produzzjoni għandha rwol żgħir. Madankollu, f’ħafna każijiet, il-prodotti tas-software ikunu għad iridu jiġu kkompilati, mibnija, imballati, magħmula disponibbli għat-tniżżil jew ikkupjati fuq media fiżika qabel ma jiġu introdotti fis-suq. Dawk l-attivitajiet jenħtieġ li jitqiesu li huma attivitajiet li jammontaw għall-produzzjoni meta jiġu applikati l-moduli rilevanti ta’ valutazzjoni tal-konformità biex tiġi vverifikata l-konformità tal-prodott mar-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’dan ir-Regolament fil-fażijiet kollha tad-disinn, tal-iżvilupp u tal-produzzjoni.

(93)

Fir-rigward tal-mikrointrapriżi u l-intrapriżi żgħar, sabiex tiġi żgurata l-proporzjonalità, huwa xieraq li jittaffew il-kostijiet amministrattivi mingħajr ma jiġi affettwat il-livell ta’ protezzjoni taċ-ċibersigurtà tal-prodotti b’elementi diġitali li jidħlu fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament jew il-kundizzjonijiet ekwi fost il-manifatturi. Għalhekk huwa xieraq li l-Kummissjoni tistabbilixxi formola simplifikata ta’ dokumentazzjoni teknika mmirata lejn il-ħtiġijiet tal-mikrointrapriżi u tal-intrapriżi ż-żgħar. Il-formola tad-dokumentazzjoni teknika simplifikata adottata mill-Kummissjoni jenħtieġ li tkopri l-elementi applikabbli kollha relatati mad-dokumentazzjoni teknika stabbilita f’dan ir-Regolament u tispeċifika kif mikrointrapriża jew intrapriża żgħira tista’ tipprovdi l-elementi mitluba b’mod konċiż, bħad-deskrizzjoni tad-disinn, l-iżvilupp u l-produzzjoni tal-prodott b’elementi diġitali. B’dan il-mod, il-formola tikkontribwixxi biex jittaffa l-piż tal-konformità amministrattiva billi tipprovdi lill-intrapriżi kkonċernati b’ċertezza legali dwar il-firxa u l-livell tad-dettall tal-informazzjoni li għandha tiġi pprovduta. Il-mikrointrapriżi u l-intrapriżi żgħar jenħtieġ li jkunu jistgħu jagħżlu li jipprovdu l-elementi applikabbli relatati mad-dokumentazzjoni teknika f’forma estensiva u ma jiħdux vantaġġ mill-formola teknika simplifikata disponibbli għalihom.

(94)

Sabiex tiġi promossa u protetta l-innovazzjoni, huwa importanti li l-interessi tal-manifatturi li huma intrapriżi mikro jew intrapriżi żgħar jew ta’ daqs medju, b’mod partikolari l-intrapriżi mikro u l-intrapriżi żgħar, inklużi n-negozji ġodda, jitqiesu b’mod partikolari. Għal dak l-għan, l-Istati Membri jistgħu jiżviluppaw inizjattivi li huma mmirati lejn manifatturi li huma mikrointrapriżi jew intrapriżi żgħar, inkluż dwar it-taħriġ, is-sensibilizzazzjoni, il-komunikazzjoni tal-informazzjoni, attivitajiet ta’ ttestjar u ta’ valutazzjoni ta’ konformità minn partijiet terzi, kif ukoll l-istabbiliment ta’ ambjenti ta’ esperimentazzjoni. Il-kostijiet tat-traduzzjoni relatati mad-dokumentazzjoni obbligatorja, bħad-dokumentazzjoni teknika u l-informazzjoni u l-istruzzjonijiet għall-utent meħtieġa skont dan ir-Regolament, u l-komunikazzjoni mal-awtoritajiet, jistgħu jikkostitwixxu kost sinifikanti għall-manifatturi, b’mod partikolari dawk ta’ daqs iżgħar. Għalhekk, l-Istati Membri jenħtieġ li jkunu jistgħu jikkunsidraw li waħda mil-lingwi determinati u aċċettati minnhom għad-dokumentazzjoni tal-manifatturi rilevanti u għall-komunikazzjoni mal-manifatturi tkun waħda li tinftiehem b’mod wiesa’ mill-akbar għadd ta’ utenti possibbli.

(95)

Sabiex tiġi żgurata applikazzjoni bla xkiel ta’ dan ir-Regolament, l-Istati Membri jenħtieġ li jiżguraw, qabel id-data tal-applikazzjoni ta’ dan ir-Regolament, li jkun hemm għadd suffiċjenti ta’ korpi notifikati fl-Unjoni biex iwettqu l-valutazzjonijiet ta’ konformità. Il-Kummissjoni jenħtieġ li tipprova tassisti lill-Istati Membri u partijiet rilevanti oħra f’dan l-isforz, sabiex jiġu evitati ostakli u tfixkil għad-dħul fis-suq għall-manifatturi. L-attivitajiet ta’ taħriġ immirati mmexxija mill-Istati Membri, inkluż fejn xieraq bl-appoġġ tal-Kummissjoni, jistgħu jikkontribwixxu għad-disponibbiltà ta’ professjonisti speċjalizzati inkluż biex jappoġġjaw l-attivitajiet tal-korpi notifikati skont dan ir-Regolament. Barra minn hekk, fid-dawl tal-kostijiet li tista’ tinvolvi l-valutazzjoni ta’ konformità minn parti terza, jenħtieġ li jiġu kkunsidrati l-inizjattivi ta’ finanzjament fil-livell tal-Unjoni u dak nazzjonali li għandhom bħala għan li jtaffu tali kostijiet għall-mikrointrapriżi u l-intrapriżi ż-żgħar.

(96)

Sabiex tiġi żgurata l-proporzjonalità, il-korpi ta’ valutazzjoni ta’ konformità, meta jistabbilixxu t-tariffi għall-proċeduri ta’ valutazzjoni ta’ konformità, jenħtieġ li jqisu l-interessi u l-ħtiġijiet speċifiċi tal-intrapriżi mikro u tal-intrapriżi żgħar u ta’ daqs medju, inklużi n-negozji ġodda. B’mod partikolari, il-korpi ta’ valutazzjoni ta’ konformità jenħtieġ li japplikaw il-proċedura ta’ eżami u t-testijiet rilevanti previsti f’dan ir-Regolament biss fejn xieraq u skont approċċ ibbażat fuq ir-riskju.

(97)

L-objettivi tal-ambjenti ta’ esperimentazzjoni regolatorja jenħtieġ li jrawmu l-innovazzjoni u l-kompetittività għan-negozji billi jistabbilixxu ambjenti tal-ittestjar ikkontrollati qabel it-tqegħid fis-suq ta’ prodotti b’elementi diġitali. Jenħtieġ li l-ambjenti ta’ esperimentazzjoni regolatorja jikkontribwixxu għat-titjib taċ-ċertezza legali għall-atturi kollha li jidħlu fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament u jiffaċilitaw u jaċċelleraw l-aċċess għas-suq tal-Unjoni għall-prodotti b’elementi diġitali, b’mod partikolari meta pprovduti minn intrapriżi mikro u intrapriżi żgħar, inklużi negozji ġodda.

(98)

Sabiex titwettaq valutazzjoni ta’ konformità minn parti terza għal prodotti b’elementi diġitali, il-korpi ta’ valutazzjoni ta’ konformità jenħtieġ li jiġu nnotifikati mill-awtoritajiet notifikanti nazzjonali lill-Kummissjoni u lill-Istati Membri l-oħra, sakemm ikunu konformi ma’ sett ta’ rekwiżiti, b’mod partikolari dwar l-indipendenza, il-kompetenza u n-nuqqas ta’ kunflitti ta’ interess.

(99)

Sabiex jiġi żgurat livell konsistenti ta’ kwalità fil-prestazzjoni tal-valutazzjoni ta’ konformità tal-prodotti b’elementi diġitali, huwa neċessarju wkoll li jiġu stabbiliti rekwiżiti għall-awtoritajiet notifikanti u korpi oħrajn involuti fil-valutazzjoni, in-notifika u l-monitoraġġ tal-korpi notifikati. Is-sistema stabbilita f’dan ir-Regolament għandha tkun komplementata mis-sistema ta’ akkreditazzjoni kif previst mir-Regolament (KE) Nru 765/2008. Billi l-akkreditazzjoni hija mezz essenzjali ta’ verifika tal-kompetenza ta’ korpi tal-valutazzjoni ta’ konformità, hija għandha tintuża wkoll għal finijiet ta’ notifika.

(100)

Jenħtieġ li jerġgħu jiġu vvalutati u nnotifikati mill-ġdid skont dan ir-Regolament il-korpi ta’ valutazzjoni ta’ konformità li jkunu ġew akkreditati u notifikati skont il-liġi tal-Unjoni li tistabbilixxi rekwiżiti simili għal dawk stabbiliti f’dan ir-Regolament, bħal korp ta’ valutazzjoni ta’ konformità li jkun ġie nnotifikat fil-qafas ta’ skema Ewropea ta’ ċertifikazzjoni taċ-ċibersigurtà adottata skont ir-Regolament (UE) 2019/881 jew innotifikat skont ir-Regolament Delegat (UE) 2022/30. Madankollu, is-sinerġiji jistgħu jiġu definiti mill-awtoritajiet rilevanti fir-rigward ta’ kwalunkwe rekwiżit sovrappost sabiex jiġi evitat piż finanzjarju u amministrattiv bla bżonn u biex jiġi żgurat proċess ta’ notifika bla xkiel u f’waqtu.

(101)

L-akkreditazzjoni trasparenti kif prevista mir-Regolament (KE) Nru 765/2008, li tiżgura l-livell neċessarju ta’ fiduċja fiċ-ċertifikati tal-konformità, jenħtieġ li tkun ikkunsidrata mill-awtoritajiet pubbliċi nazzjonali fl-Unjoni kollha bħala l-mezz preferut biex tintwera’ l-kompetenza teknika tal-korpi tal-valutazzjoni ta’ konformità. Madankollu, l-awtoritajiet nazzjonali jistgħu jqisu li għandhom f’idejhom il-mezzi xierqa biex jagħmlu dik l-evalwazzjoni huma stess. F’dawn il-każijiet, sabiex ikun żgurat livell xieraq ta’ kredibbiltà tal-evalwazzjonijiet imwettqa minn awtoritajiet nazzjonali oħra, dwan jenħtieġ li jipprovdu lill-Kummissjoni u lill-Istati Membri l-oħrajn l-evidenza dokumentarja meħtieġa li turi li l-korpi ta’ valutazzjoni ta’ konformità evalwati jissodisfaw ir-rekwiżiti regolatorji rilevanti.

(102)

Il-korpi tal-valutazzjoni ta’ konformità sikwit jagħtu b’subkuntrattar partijiet mill-attivitajiet tagħhom marbuta mal-valutazzjoni ta’ konformità jew jgħadduh lil sussidjarju. Biex ikun salvagwardat il-livell għoli ta’ protezzjoni meħtieġ għal prodott b’elementi diġitali li għandu jiġi introdott fis-suq, huwa essenzjali li s-subkuntratturi u s-sussidjarji tal-valutazzjoni ta’ konformità jissodisfaw l-istess rekwiżiti bħall-korpi notifikati fir-rigward tat-twettiq ta’ kompiti ta’ valutazzjoni ta’ konformità.

(103)

In-notifika ta’ korp ta’ valutazzjoni ta’ konformità jenħtieġ li tintbagħat mill-awtorità notifikanti lill-Kummissjoni u lill-Istati Membri l-oħra permezz tas-sistema ta’ informazzjoni New Approach Notified and Designated Organisations (NANDO). Is-sistema ta’ informazzjoni NANDO hija l-għodda elettronika ta’ notifika żviluppata u ġestita mill-Kummissjoni fejn tista’ tinstab lista tal-korpi notifikati kollha.

(104)

Ladarba korpi notifikati jistgħu joffru s-servizzi tagħhom fit-territorju kollu tal-Unjoni, huwa xieraq li l-Istati Membri l-oħra u l-Kummissjoni jingħataw l-opportunità li jagħmlu oġġezzjonijiet li jikkonċernaw korp notifikat. Huwa għalhekk importanti li jkun previst perjodu li matulu kull dubju jew preokkupazzjoni dwar il-kompetenza tal-korpi tal-valutazzjoni ta’ konformità jkunu jistgħu jiġu kkjarifikati qabel ma jibdew jaħdmu bħala korpi notifikati.

(105)

Fl-interessi tal-kompetittività, huwa kruċjali li l-korpi notifikati japplikaw il-proċeduri tal-valutazzjoni ta’ konformità mingħajr ma joħolqu piż bla bżonn għall-operaturi ekonomiċi. Għall-istess raġuni, u biex ikun żgurat trattament ugwali għall-operaturi ekonomiċi, għandha tkun żgurata l-konsistenza fl-applikazzjoni teknika tal-proċeduri tal-valutazzjoni ta’ konformità. Dak jista’ jinkiseb l-aħjar permezz ta’ koordinazzjoni u kooperazzjoni xierqa bejn il-korpi notifikati.

(106)

Is-sorveljanza tas-suq hija strument essenzjali biex tiġi żgurata l-applikazzjoni xierqa u uniformi tal-liġi tal-Unjoni. Huwa għalhekk xieraq li jiġi stabbilit qafas legali li, fi ħdanu, is-sorveljanza tas-suq tkun tista’ titwettaq b’mod xieraq. Ir-regoli dwar is-sorveljanza tas-suq tal-Unjoni u l-kontroll tal-prodotti li jidħlu fis-suq tal-Unjoni previsti mir-Regolament (UE) 2019/1020 japplikaw għal prodotti b’elementi diġitali li jidħlu fl-ambitu ta’ dan ir-Regolament.

(107)

F’konformità mar-Regolament (UE) 2019/1020, awtorità tas-sorveljanza tas-suq twettaq sorveljanza tas-suq fit-territorju tal-Istat Membru li jaħtarha. Jenħtieġ li dan ir-Regolament ma jimpedixxix lill-Istati Membri milli jagħżlu l-awtoritajiet kompetenti biex iwettqu kompiti relatati mas-sorveljanza tas-suq. Kull Stat Membru għandu jaħtar awtorità tas-sorveljanza tas-suq waħda jew aktar fit-territorju tiegħu. L-Istati Membri jenħtieġ li jkunu jistgħu jagħżlu li jaħtru kwalunkwe awtorità eżistenti jew ġdida biex taġixxi bħala awtorità tas-sorveljanza tas-suq, inklużi l-awtoritajiet kompetenti maħtura jew stabbiliti skont l-Artikolu 8 tad-Direttiva (UE) 2022/2555, l-awtoritajiet nazzjonali responsabbli għaċ-ċertifikazzjoni taċ-ċibersigurtà maħtura skont l-Artikolu 58 tar-Regolament (UE) 2019/881 jew l-awtoritajiet tas-sorveljanza tas-suq maħtura għall-finijiet tad-Direttiva 2014/53/UE. L-operaturi ekonomiċi jenħtieġ li jikkooperaw bis-sħiħ mal-awtoritajiet tas-sorveljanza tas-suq u ma’ awtoritajiet kompetenti oħra. Kull Stat Membru jenħtieġ li jgħarraf lill-Kummissjoni u lill-Istati Membri l-oħra bl-awtoritajiet tas-sorveljanza tas-suq tiegħu u bl-oqsma ta’ kompetenza ta’ kull waħda minn dawk l-awtoritajiet u jenħtieġ li jiżgura r-riżorsi u l-ħiliet meħtieġa biex jitwettqu l-kompiti ta’ sorveljanza tas-suq relatati ma’ dan ir-Regolament. Skont l-Artikolu 10(2) u (3) tar-Regolament (UE) 2019/1020, kull Stat Membru jenħtieġ li jaħtar uffiċċju ta’ kollegament uniku li jenħtieġ li jkun responsabbli, fost l-oħrajn, għar-rappreżentanza tal-pożizzjoni koordinata tal-awtoritajiet tas-sorveljanza tas-suq u għall-assistenza fil-kooperazzjoni bejn l-awtoritajiet tas-sorveljanza tas-suq fi Stati Membri differenti.

(108)

Jenħtieġ li jiġi stabbilit ADCO ddedikat għar-reżiljenza ċibernetika tal-prodotti b’elementi diġitali, inkarigat b’mod speċifiku mill-applikazzjoni uniformi ta’ dan ir-Regolament, skont l-Artikolu 30(2) tar-Regolament (UE) 2019/1020. L-ADCO jenħtieġ li jkun magħmul minn rappreżentanti tal-awtoritajiet tas-sorveljanza tas-suq maħtura u, jekk xieraq, rappreżentanti tal-uffiċċji uniċi ta’ kollegament. Il-Kummissjoni jenħtieġ li tappoġġa u tħeġġeġ il-kooperazzjoni bejn l-awtoritajiet tas-sorveljanza tas-suq permezz tan-Network tal-Unjoni għall-Konformità tal-Prodotti, stabbilit skont l-Artikolu 29 tar-Regolament (UE) 2019/1020 u li jinkludi rappreżentanti minn kull Stat Membru, inkluż rappreżentant ta’ kull uffiċċju uniku ta’ kollegament kif imsemmi fl-Artikolu 10 ta’ dak ir-Regolament u espert nazzjonali fakultattiv, il-presidenti tal-ADCOs, u rappreżentanti mill-Kummissjoni. Jenħtieġ li l-Kummissjoni tipparteċipa fil-laqgħat tan-Network tal-Unjoni għall-Konformità tal-Prodotti, tas-subgruppi tiegħu u tal-ADCO. Hija għandha tassisti wkoll lill-ADCO permezz ta’ segretarjat eżekuttiv li jipprovdi appoġġ tekniku u loġistiku. L-ADCO jista’ jistieden ukoll esperti indipendenti biex jipparteċipaw, u jikkollaboraw ma’ ADCOs oħra, bħal kif stabbilit fid-Direttiva 2014/53/UE.

(109)

L-awtoritajiet tas-sorveljanza tas-suq, permezz tal-ADCO stabbilit f’dan ir-Regolament, jenħtieġ li jikkooperaw mill-qrib u jenħtieġ li jkunu jistgħu jiżviluppaw dokumenti ta’ gwida biex jiffaċilitaw l-attivitajiet ta’ sorveljanza tas-suq fil-livell nazzjonali, pereżempju billi jiżviluppaw l-aħjar prattiki u indikaturi biex jivverifikaw b’mod effettiv il-konformità tal-prodotti b’elementi diġitali ma’ dan ir-Regolament.

(110)

Sabiex jiġu żgurati miżuri f’waqthom, proporzjonati u effettivi fir-rigward ta’ prodotti b’elementi diġitali li jippreżentaw riskju sinifikanti għaċ-ċibersigurtà, jenħtieġ li tiġi prevista proċedura ta’ salvagwardja tal-Unjoni li skontha l-partijiet interessati jiġu informati b’miżuri maħsuba li jittieħdu fir-rigward ta’ tali prodotti. Dan għandu jippermetti lill-awtoritajiet tas-sorveljanza tas-suq, b’kooperazzjoni mal-operaturi ekonomiċi rilevanti, jaġixxu fi stadju aktar bikri fejn neċessarju. Meta l-Istati Membri u l-Kummissjoni jaqblu dwar il-ġustifikazzjoni ta’ miżura meħuda minn Stat Membru, ma jkunx meħtieġ involviment ulterjuri tal-Kummissjoni, ħlief fejn in-nuqqas ta’ konformità jkun jista’ jiġi attribwit għal nuqqasijiet ta’ standard armonizzat.

(111)

F’ċerti każijiet, prodott b’elementi diġitali li jikkonforma ma’ dan ir-Regolament jista’ madankollu jippreżenta riskju sinifikanti għaċ-ċibersigurtà jew joħloq riskju għas-saħħa jew għas-sikurezza tal-persuni, għall-konformità mal-obbligi li jirriżultaw mil-liġi tal-Unjoni jew dik nazzjonali maħsuba biex jipproteġu d-drittijiet fundamentali, għad-disponibbiltà, għall-awtentiċità, għall-integrità jew għall-kunfidenzjalità tas-servizzi offruti bl-użu ta’ sistema ta’ informazzjoni elettronika minn entitajiet essenzjali kif imsemmiija fl-Artikolu 3(1) tad-Direttiva (UE) 2022/2555 jew għal aspetti oħra tal-protezzjoni tal-interess pubbliku. Għalhekk huwa meħtieġ li jiġu stabbiliti regoli li jiżguraw il-mitigazzjoni ta’ dawk ir-riskji. B’riżultat ta’ dan, l-awtoritajiet tas-sorveljanza tas-suq jenħtieġ li jieħdu miżuri biex jirrikjedu lill-operatur ekonomiku biex jiżgura li l-prodott ma jibqax jippreżenta dak ir-riskju, jew biex isejħu lura jew jirtirah, skont ir-riskju. Hekk kif awtorità tas-sorveljanza tas-suq tirrestrinġi jew tipprojbixxi l-moviment liberu ta’ prodott b’elementi diġitali b’mod tali, jenħtieġ li l-Istat Membru jinnotifika mingħajr dewmien lill-Kummissjoni u lill-Istati Membri l-oħra bil-miżuri provviżorji, u jindika r-raġunijiet u l-ġustifikazzjoni għad-deċiżjoni. Meta awtorità tas-sorveljanza tas-suq tadotta tali miżuri kontra prodotti b’elementi diġitali li jippreżentaw riskju, jenħtieġ li l-Kummissjoni tidħol f’konsultazzjoni mingħajr dewmien mal-Istati Membri u mal-operatur ekonomiku jew mal-operaturi ekonomiċi rilevanti u tevalwa l-miżura nazzjonali. Abbażi tar-riżultati ta’ din il-valutazzjoni, jenħtieġ li l-Kummissjoni tiddeċiedi jekk il-miżura nazzjonali hijiex iġġustifikata jew le. Il-Kummissjoni jenħtieġ li tindirizza d-deċiżjoni tagħha lill-Istati Membri kollha u tikkomunikaha minnufih lilhom u lill-operatur ekonomiku jew l-operaturi ekonomiċi rilevanti. Jekk il-miżura titqies li hija ġustifikata, jenħtieġ li l-Kummissjoni tikkunsidra wkoll jekk tadottax proposti għar-reviżjoni tal-liġi rilevanti tal-Unjoni.

(112)

Għal prodotti b’elementi diġitali li jippreżentaw riskju sinifikanti għaċ-ċibersigurtà, u fejn ikun hemm raġuni biex wieħed jemmen li ma jikkonformawx ma’ dan ir-Regolament, jew għal prodotti li jikkonformaw ma’ dan ir-Regolament, iżda li jippreżentaw riskji importanti oħra, bħal riskji għas-saħħa jew għas-sikurezza tal-persuni, għall-konformità mal-obbligi li jirriżultaw mil-liġi tal-Unjoni jew dik nazzjonali maħsuba biex jipproteġu d-drittijiet fundamentali, jew għad-disponibbiltà, għall-awtentiċità, għall-integrità jew għall-kunfidenzjalità tas-servizzi offruti bl-użu ta’ sistema ta’ informazzjoni elettronika minn entitajiet essenzjali kif imsemmija fl-Artikolu 3(1) tad-Direttiva (UE) 2022/2555, jenħtieġ li l-Kummissjoni tkun tista’ titlob lill-ENISA twettaq evalwazzjoni. Abbażi ta’ dik l-evalwazzjoni, jenħtieġ li l-Kummissjoni tkun tista’ tadotta, permezz ta’ atti ta’ implimentazzjoni, miżuri korrettivi jew restrittivi fil-livell tal-Unjoni, inkluż li tesiġi li l-prodotti b’elementi diġitali kkonċernati jiġu rtirati mis-suq jew imsejħa lura, fi żmien perjodu raġonevoli, li jkun proporzjonat għan-natura tar-riskju. Jenħtieġ li l-Kummissjoni jkun jista’ jkollha rikors għal intervent bħal dan biss f’ċirkostanzi eċċezzjonali li jiġġustifikaw intervent immedjat biex tippreserva l-funzjonament tajjeb tas-suq intern, u biss meta ma tkun ittieħdet l-ebda miżura effettiva mill-awtoritajiet tas-sorveljanza tas-suq biex jirrimedjaw is-sitwazzjoni. Tali ċirkostanzi eċċezzjonali jistgħu jkunu sitwazzjonijiet ta’ emerġenza fejn, pereżempju, prodott b’elementi diġitali mhux konformi jkun sar disponibbli b’mod wiesa’ mill-manifattur f’diversi Stati Membri, użat ukoll f’setturi ewlenin minn entitajiet li jidħlu fil-kamp ta’ applikazzjoni tad-Direttiva (UE) 2022/2555, u dan waqt li jkun fih vulnerabbiltajiet magħrufa li qed jiġu sfruttati minn atturi malizzjużi u li għalihom il-manifattur ma jipprovdix software korrettiv disponibbli. Jenħtieġ li l-Kummissjoni tkun tista’ tintervjeni f’sitwazzjonijiet ta’ emerġenza bħal dawn biss għat-tul taċ-ċirkostanzi eċċezzjonali u jekk in-nuqqas ta’ konformità ma’ dan ir-Regolament jew ir-riskji importanti ppreżentati jippersistu.

(113)

Fejn ikun hemm indikazzjonijiet ta’ nuqqas ta’ konformità ma’ dan ir-Regolament f’diversi Stati Membri, jenħtieġ li l-awtoritajiet tas-sorveljanza tas-suq ikunu jistgħu jwettqu attivitajiet konġunti ma’ awtoritajiet oħra, bil-għan li jivverifikaw il-konformità u jidentifikaw ir-riskji għaċ-ċibersigurtà ta’ prodotti b’elementi diġitali.

(114)

L-azzjonijiet simultanji kkoordinati ta’ kontroll (sweeps) huma azzjonijiet ta’ infurzar speċifiċi mwettqa mill-awtoritajiet tas-sorveljanza tas-suq li jistgħu jkomplu jtejbu s-sigurtà tal-prodott. B’mod partikolari, is-sweeps jenħtieġ li jitwettqu fejn ix-xejriet tas-suq, l-ilmenti tal-konsumaturi jew indikazzjonijiet oħra jissuġġerixxu li ċerti kategoriji ta’ prodotti b’elementi diġitali sikwit jinstabu li jippreżentaw riskji serji għaċ-ċibersigurtà. Barra minn hekk, meta jiddeterminaw il-kategoriji ta’ prodotti li għandhom jiġu soġġetti għal sweeps, l-awtoritajiet tas-sorveljanza tas-suq jenħtieġ li jqisu wkoll ċirkostanzi relatati ma’ fatturi ta’ riskju mhux tekniċi. Għal dak l-għan, jenħtieġ li l-awtoritajiet tas-sorveljanza tas-suq ikunu jistgħu jqisu r-riżultati tal-valutazzjonijiet tar-riskju għas-sigurtà kkoordinati fil-livell tal-Unjoni tal-ktajjen tal-provvista kritiċi mwettqa f’konformità mal-Artikolu 22 tad-Direttiva (UE) 2022/2555, inklużi ċirkostanzi relatati ma’ fatturi ta’ riskju mhux tekniċi. L-ENISA jenħtieġ li tippreżenta proposti lill-awtoritajiet tas-sorveljanza tas-suq għal kategoriji ta’ prodotti b’elementi diġitali li għalihom jistgħu jiġu organizzati sweeps, abbażi, fost l-oħrajn, tan-notifiki dwar il-vulnerabbiltajiet u l-inċidenti li tirċievi.

(115)

Fid-dawl tal-għarfien espert u l-mandat tagħha, l-ENISA jenħtieġ li tkun tista’ tappoġġa l-proċess għall-implimentazzjoni ta’ dan ir-Regolament. B’mod partikolari, l-ENISA jenħtieġ li tkun tista’ tipproponi attivitajiet konġunti li għandhom jitwettqu mill-awtoritajiet tas-sorveljanza tas-suq abbażi ta’ indikazzjonijiet jew informazzjoni dwar nuqqas potenzjali ta’ konformità ma’ dan ir-Regolament ta’ prodotti b’elementi diġitali f’diversi Stati Membri jew tidentifika kategoriji ta’ prodotti li għalihom jenħtieġ li jiġu organizzati sweeps. F’ċirkostanzi eċċezzjonali, l-ENISA jenħtieġ li tkun tista’ twettaq, fuq talba tal-Kummissjoni, evalwazzjonijiet fir-rigward ta’ prodotti speċifiċi b’elementi diġitali li jippreżentaw riskju sinifikanti għaċ-ċibersigurtà, fejn ikun meħtieġ intervent immedjat biex jiġi ppreservat il-funzjonament tajjeb tas-suq intern.

(116)

Dan ir-Regolament jikkonferixxi ċerti kompiti lill-ENISA li għalihom jeħtieġu riżorsi xierqa f’termini kemm ta’ għarfien espert kif ukoll ta’ riżorsi umani sabiex l-ENISA tkun tista’ twettaq dawk il-kompiti b’mod effettiv. Il-Kummissjoni se tipproponi r-riżorsi baġitarji meħtieġa għall-pjan ta’ stabbiliment tal-ENISA, skont il-proċedura stabbilita fl-Artikolu 29 tar-Regolament (UE) 2019/881, meta tħejji l-abbozz tal-baġit ġenerali tal-Unjoni. Matul dak il-proċess, il-Kummissjoni se tikkunsidra t-totalità tar-riżorsi tal-ENISA biex tkun tista’ twettaq il-kompiti tagħha, inklużi dawk mogħtija lill-ENISA skont dan ir-Regolament.

(117)

Sabiex jiġi żgurat li l-qafas regolatorju jkun jista’ jiġi adattat fejn meħtieġ, jenħtieġ li tiġi delegata lill-Kummissjoni s-setgħa li tadotta atti skont l-Artikolu 290 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea (TFUE) fir-rigward tal-aġġornament ta’ anness għal dan ir-Regolament li jelenka l-prodotti importanti b’elementi diġitali. Jenħtieġ li l-Kummissjoni tingħata s-setgħa li tadotta atti f’konformità ma’ dak l-Artikolu biex tidentifika prodotti b’elementi diġitali koperti minn regoli oħra tal-Unjoni li jiksbu l-istess livell ta’ protezzjoni bħal dan ir-Regolament, u jiġi speċifikat jekk limitazzjoni jew esklużjoni mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament tkunx meħtieġa kif ukoll il-kamp ta’ applikazzjoni ta’ dik il-limitazzjoni, jekk applikabbli. Is-setgħa ta’ adozzjoni ta’ atti f’konformità ma’ dak l-Artikolu jenħtieġ li tiġi ddelegata wkoll lill-Kummissjoni fir-rigward tal-mandat potenzjali għaċ-ċertifikazzjoni skont skema Ewropea ta’ ċertifikazzjoni taċ-ċibersigurtà tal-prodotti kritiċi b’elementi diġitali stabbiliti f’anness għal dan ir-Regolament, kif ukoll biex tiġi aġġornata l-lista ta’ prodotti kritiċi b’elementi diġitali abbażi tal-kriterji tal-kritikalità stabbiliti f’dan ir-Regolament, u biex jiġu speċifikati l-iskemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà adottati skont ir-Regolament (UE) 2019/881 li jistgħu jintużaw biex tintwera l-konformità mar-rekwiżiti essenzjali taċ-ċibersigurtà jew partijiet minnhom kif stabbilit f’anness għal dan ir-Regolament. Is-setgħa li tadotta atti jenħtieġ li tiġi ddelegata wkoll lill-Kummissjoni biex jiġi speċifikat il-perjodu minimu ta’ appoġġ għal kategoriji ta’ prodotti speċifiċi fejn id-data tas-sorveljanza tas-suq tissuġġerixxi perjodi ta’ appoġġ inadegwati, kif ukoll biex jiġu speċifikati t-termini u l-kundizzjonijiet għall-applikazzjoni tal-motivi relatati maċ-ċibersigurtà fir-rigward tad-dewmien tad-disseminazzjoni tan-notifiki ta’ vulnerabbiltajiet sfruttati b’mod attiv. Barra minn hekk, jenħtieġ li l-Kummissjoni tingħata s-setgħa li tadotta atti biex jiġu stabbiliti programmi volontarji ta’ attestazzjoni tas-sigurtà għall-valutazzjoni tal-konformità ta’ prodotti b’elementi diġitali li jikkwalifikaw bħala software liberu u b’sors miftuħ mar-rekwiżiti essenzjali taċ-ċibersigurtà kollha jew ma’ ċerti rekwiżiti essenzjali jew obbligi oħra stabbiliti f’dan ir-Regolament, kif ukoll biex jiġi speċifikat il-kontenut minimu tad-dikjarazzjoni ta’ konformità tal-UE u biex jiġu ssupplimentati l-elementi li għandhom jiġu inklużi fid-dokumentazzjoni teknika. Huwa partikolarment importanti li l-Kummissjoni twettaq konsultazzjonijiet xierqa matul ix-xogħol tagħha ta’ tħejjija, ukoll fil-livell ta’ esperti, u li dawk il-konsultazzjonijiet jiġu mwettqa f’konformità mal-prinċipji stipulati fil-Ftehim Interistituzzjonali tat-13 ta’ April 2016 dwar it-Tfassil Aħjar tal-Liġijiet (31). B’mod partikolari, biex tiġi żgurata parteċipazzjoni ugwali fit-tħejjija ta’ atti delegati, il-Parlament Ewropew u l-Kunsill jirċievu d-dokumenti kollha fl-istess ħin li jirċevuhom l-esperti tal-Istati Membri, u l-esperti tagħhom ikollhom aċċess sistematiku għal-laqgħat tal-gruppi tal-esperti tal-Kummissjoni li jittrattaw it-tħejjija ta’ atti delegati. Is-setgħa ta’ adozzjoni ta’ atti delegati skont dan ir-Regolament jenħtieġ li tingħata lill-Kummissjoni għal perjodu ta’ ħames snin mill-10 ta’ Diċembru 2024. Jenħtieġ li l-Kummissjoni tfassal rapport fir-rigward tad-delega ta’ setgħa mhux aktar tard minn disa’ xhur qabel it-tmiem tal-perjodu ta’ ħames snin. Jenħtieġ li d-delega ta’ setgħa tiġi estiża awtomatikament għal perjodi ta’ żmien identiċi, ħlief jekk il-Parlament Ewropew jew il-Kunsill joġġezzjonaw għal tali estensjoni mhux aktar tard minn tliet xhur qabel it-tmiem ta’ kull perjodu.

(118)

Sabiex ikunu żgurati kundizzjonijiet uniformi għall-implimentazzjoni ta’ dan ir-Regolament, jenħtieġ li jingħataw setgħat ta’ implimentazzjoni lill-Kummissjoni sabiex tispeċifika d-deskrizzjoni teknika tal-kategoriji ta’ prodotti importanti b’elementi diġitali stabbiliti f’anness ta’ dan ir-Regolament, tispeċifika l-format u l-elementi tas-SBOM, tkompli tispeċifika l-format u l-proċedura tan-notifiki dwar il-vulnerabbiltajiet sfruttati b’mod attiv u inċidenti serji li jkollhom impatt fuq is-sigurtà tal-prodotti b’elementi diġitali sottomessi mill-manifatturi, tistabbilixxi speċifikazzjonijiet komuni li jkopru r-rekwiżiti tekniċi li jipprovdu mezz għall-konformità mar-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti fl-Anness I ta’ dan ir-Regolament, tistabbilixxi speċifikazzjonijiet tekniċi għat-tikketti, pittogrammi jew kwalunkwe marka oħra relatata mas-sigurtà tal-prodotti b’elementi diġitali, il-perjodu ta’ appoġġ tagħhom u l-mekkaniżmi biex jiġi promoss l-użu tagħhom u biex tiżdied is-sensibilizzazzjoni tal-pubbliku dwar is-sigurtà tal-prodotti b’elementi diġitali, tispeċifika l-formola ta’ dokumentazzjoni simplifikata mmirata lejn il-ħtiġijiet tal-intrapriżi mikro u tal-intrapriżi żgħar, u tiddeċiedi dwar miżuri korrettivi jew restrittivi fil-livell tal-Unjoni f’ċirkostanzi eċċezzjonali li jiġġustifikaw intervent immedjat biex jiġi ppreservat il-funzjonament tajjeb tas-suq intern. Jenħtieġ li dawk is-setgħat ikunu eżerċitati f’konformità mar-Regolament (UE) Nru 182/2011 tal-Parlament Ewropew u tal-Kunsil (32).

(119)

Sabiex tiġi żgurata l-kooperazzjoni ta’ fiduċja u kostruttiva tal-awtoritajiet tas-sorveljanza tas-suq fil-livell tal-Unjoni u f’dak nazzjonali, il-partijiet kollha involuti fl-applikazzjoni ta’ dan ir-Regolament jenħtieġ li jirrispettaw il-kunfidenzjalità tal-informazzjoni u tad-data li jiksbu huma u jwettqu dmirijiethom.

(120)

Biex jiġi żgurat infurzar effettiv tal-obbligi stabbiliti f’dan ir-Regolament, kull awtorità tas-sorveljanza tas-suq jenħtieġ li jkollha s-setgħa li timponi jew li titlob l-impożizzjoni ta’ multi amministrattivi. Għalhekk, jenħtieġ li jiġu stabbiliti livelli massimi għal multi amministrattivi li għandhom jiġu previsti mil-liġi nazzjonali għan-nuqqas ta’ konformità mal-obbligi stabbiliti f’dan ir-Regolament. Meta tittieħed deċiżjoni dwar l-ammont tal-multa amministrattiva f’kull każ individwali, jenħtieġ li jitqiesu ċ-ċirkostanzi rilevanti kollha tas-sitwazzjoni speċifika u bħala minimu dawk stabbiliti b’mod espliċitu f’dan ir-Regolament, inkluż jekk il-manifattur kienx intrapriża mikro jew intrapriża żgħira jew ta’ daqs medju, inkluż negozju ġdid, u jekk il-multi amministrattivi kinux diġà ġew applikati mill-istess awtoritajiet tas-sorveljanza tas-suq jew awtoritajiet tas-sorveljanza tas-suq oħra lill-istess operatur ekonomiku għal ksur simili. Tali ċirkostanzi jistgħu jkunu jew aggravanti, f’sitwazzjonijiet fejn il-ksur mill-istess operatur ekonomiku jippersisti fit-territorju ta’ Stati Membri oħra għajr dak fejn tkun diġà ġiet applikata multa amministrattiva, jew mitiganti, biex jiġi żgurat li kwalunkwe multa amministrattiva oħra kkunsidrata minn awtorità oħra tas-sorveljanza tas-suq għall-istess operatur ekonomiku jew għall-istess tip ta’ ksur jenħtieġ li tkun diġà qed tqis, flimkien ma’ ċirkostanzi speċifiċi rilevanti oħra, penali imposta fi Stati Membri oħra u l-ammont tagħha. Fil-każijiet kollha bħal dawn, il-multa amministrattiva kumulattiva li tista’ tiġi applikata mill-awtoritajiet tas-sorveljanza tas-suq ta’ bosta Stati Membri lill-istess operatur ekonomiku għall-istess tip ta’ ksur jenħtieġ li tiżgura r-rispett tal-prinċipju tal-proporzjonalità. Minħabba li l-multi amministrattivi ma japplikawx għall-intrapriżi mikro jew l-intrapriżi żgħar talli jonqsu milli jissodisfaw l-iskadenza ta’ 24 siegħa għan-notifika ta’ twissija bikrija ta’ vulnerabbiltajiet sfruttati b’mod attiv jew inċidenti serji li jkollhom impatt fuq is-sigurtà tal-prodott b’elementi diġitali, u lanqas għall-amministraturi tas-software b’sors miftuħ għal kwalunkwe ksur ta’ dan ir-Regolament, u soġġett għall-prinċipju li l-penali jenħtieġ li jkunu effettivi, proporzjonati u dissważivi, jenħtieġ li l-Istati Membri ma jimponux tipi oħra ta’ penali b’karattru pekunarju fuq dawk l-entitajiet.

(121)

Fejn jiġu imposti multi amministrattivi fuq persuna li mhijiex intrapiża, l-awtorità kompetenti jenħtieġ li tqis il-livell ġenerali tal-introjtu fl-Istat Membru kif ukoll is-sitwazzjoni ekonomika tal-persuna meta tikkunsidra l-ammont adatt għall-multa. Jenħtieġ ikunu l-Istati Membri li jiddeterminaw jekk l-awtoritajiet pubbliċi jenħtieġx ikunu soġġetti għal multi amministrattivi u sa liema punt.

(122)

Jenħtieġ li l-Istati Membri jeżaminaw, filwaqt li jqisu ċ-ċirkostanzi nazzjonali, il-possibbiltà li jużaw id-dħul mill-penali kif previst f’dan ir-Regolament jew l-ekwivalenti finanzjarju tagħhom biex jappoġġjaw il-politiki taċ-ċibersigurtà u jżidu l-livell taċ-ċibersigurtà fl-Unjoni billi, fost l-oħrajn, iżidu l-għadd ta’ professjonisti kwalifikati taċ-ċibersigurtà, isaħħu l-bini tal-kapaċità għall-intrapriżi mikro u l-intrapriżi żgħar u ta’ daqs medju u jtejbu s-sensibilizzazzjoni tal-pubbliku dwar it-theddid ċibernetiku.

(123)

Fir-relazzjonijiet tagħha ma’ pajjiżi terzi, l-Unjoni tagħmel ħilitha biex tippromwovi l-kummerċ internazzjonali fi prodotti regolati. Tista’ tiġi applikata varjetà wiesgħa ta’ miżuri sabiex jiġi ffaċilitat il-kummerċ, inklużi diversi strumenti legali bħal ftehimiet bilaterali (intergovernattivi) dwar rikonoxximent reċiproku (MRA) għall-valutazzjoni ta’ konformità u l-immarkar ta’ prodotti regolati. L-MRAs huma stabbiliti bejn l-Unjoni u pajjiżi terzi, li huma fuq livell komparabbli ta’ żvilupp tekniku u li għandhom approċċ kompatibbli fir-rigward tal-valutazzjoni ta’ konformità. Dawk il-ftehimiet huma bbażati fuq l-aċċettazzjoni reċiproka taċ-ċertifikati, tal-marki ta’ konformità u tar-rapporti test maħruġa mill-korpi tal-valutazzjoni ta’ konformità ta’ kull parti f’konformità mal-leġiżlazzjoni tal-parti l-oħra. Bħalissa, hemm MRAs fis-seħħ ma’ bosta pajjiżi terzi. Dawk l-MRAs huma konklużi f’numru ta’ setturi speċifiċi, li jaf ivarjaw minn pajjiż terz għal ieħor. Sabiex jiġi ffaċilitat aktar il-kummerċ, u filwaqt li jiġi rikonoxxut li l-ktajjen tal-provvista ta’ prodotti b’elementi diġitali huma globali, l-MRAs li jikkonċernaw il-valutazzjoni ta’ konformità jistgħu jiġu konklużi għal prodotti regolati f’dan ir-Regolament mill-Unjoni f’konformità mal-Artikolu 218 tat-TFUE. Il-kooperazzjoni ma’ pajjiżi terzi sħab hija importanti wkoll, sabiex tissaħħaħ ir-reżiljenza ċibernetika globalment, peress li fuq perjodu ta’ żmien twil dan se jikkontribwixxi għal qafas taċ-ċibersigurtà msaħħaħ kemm fl-Unjoni kif ukoll ’il barra minnha.

(124)

Il-konsumaturi jenħtieġ li jkunu intitolati jinfurzaw id-drittijiet tagħhom fir-rigward tal-obbligi imposti fuq l-operaturi ekonomiċi fil-qafas ta’ dan ir-Regolament permezz ta’ azzjonijiet rappreżentattivi f’konformità mad-Direttiva (UE) 2020/1828 tal-Parlament Ewropew u tal-Kunsill (33). Għal dak il-għan, jenħtieġ li dan ir-Regolament jipprevedi li d-Direttiva (UE) 2020/1828 tkun applikabbli għall-azzjonijiet rappreżentattivi li jikkonċernaw ksur ta’ dan ir-Regolament li jagħmlu ħsara jew li jistgħu jagħmlu ħsara lill-interessi kollettivi tal-konsumaturi. L-Anness I ta’ dik id-Direttiva jenħtieġ għalhekk li jiġi emendat skont dan. Huwa f’idejn l-Istati Membri li jiżguraw li dawk l-emendi jkunu riflessi fil-miżuri ta’ traspożizzjoni adottati f’konformità ma’ dik id-Direttiva, għalkemm l-adozzjoni ta’ miżuri ta’ traspożizzjoni nazzjonali f’dak ir-rigward mhijiex kundizzjoni għall-applikabbiltà ta’ dik id-Direttiva għal dawk l-azzjonijiet rappreżentattivi. L-applikabbiltà ta’ dik id-Direttiva għall-azzjonijiet rappreżentattivi mressqa kontra l-ksur mill-operaturi ekonomiċi tad-dispożizzjonijiet ta’ dan ir-Regolament li jagħmlu ħsara, jew li jistgħu jagħmlu ħsara, lill-interessi kollettivi tal-konsumaturi, jenħtieġ li tibda mill-11 ta’ Diċembru 2027.

(125)

Il-Kummissjoni jenħtieġ li tevalwa u twettaq rieżami perjodiku ta’ dan ir-Regolament, f’konsultazzjoni mal-partijiet ikkonċernati rilevanti, b’mod partikolari biex tiddetermina l-ħtieġa ta’ modifika fid-dawl ta’ bidliet fil-kundizzjonijiet politiċi, teknoloġiċi, tas-soċjetà jew tas-suq. Dan ir-Regolament se jiffaċilita l-konformità mal-obbligi tas-sigurtà tal-katina tal-provvista tal-entitajiet li jidħlu fil-kamp ta’ applikazzjoni tar-Regolament (UE) 2022/2554 u tad-Direttiva (UE) 2022/2555 li jużaw prodotti b’elementi diġitali. Jenħtieġ li l-Kummissjoni tevalwa, bħala parti minn dak ir-rieżami perjodiku, l-effetti kkombinati tal-qafas taċ-ċibersigurtà tal-Unjoni.

(126)

Jenħtieġ li l-operaturi ekonomiċi jingħataw żmien biżżejjed biex jadattaw għar-rekwiżiti stabbiliti f’dan ir-Regolament. Jenħtieġ li dan ir-Regolament japplika mill-11 ta’ Diċembru 2027, bl-eċċezzjoni tal-obbligi ta’ rapportar dwar vulnerabbiltajiet sfruttati b’mod attiv u inċidenti serji li jkollhom impatt fuq is-sigurtà ta’ prodotti b’elementi diġitali, li jenħtieġ li japplikaw mill-11 ta’ Settembru 2026 u tad-dispożizzjonijiet dwar in-notifika tal-korp ta’ valutazzjoni ta’ konformità, li jenħtieġ li japplikaw mill-11 ta’ Ġunju 2026.

(127)

Huwa importanti li jingħata appoġġ lill-intrapriżi mikro u lill-intrapriżi żgħar u ta’ daqs medju, inkluż negozji ġodda, fl-implimentazzjoni ta’ dan ir-Regolament u li jiġu minimizzati r-riskji għall-implimentazzjoni li jirriżultaw min-nuqqas ta’ għarfien u għarfien espert fis-suq, kif ukoll sabiex tiġi ffaċilitata l-konformità tal-manifatturi mal-obbligi tagħhom stabbiliti f’dan ir-Regolament. Il-programm Ewropa Diġitali u programmi rilevanti oħra tal-Unjoni jipprovdu appoġġ finanzjarju u tekniku li jippermetti lil dawk l-intrapriżi jikkontribwixxu għat-tkabbir tal-ekonomija tal-Unjoni u għat-tisħiħ tal-livell komuni taċ-ċibersigurtà fl-Unjoni. Iċ-Ċentru Ewropew ta’ Kompetenza fil-qasam taċ-Ċibersigurtà u ċ-Ċentri Nazzjonali ta’ Koordinazzjoni kif ukoll iċ-Ċentri Ewropej tal-Innovazzjoni Diġitali stabbiliti mill-Kummissjoni u mill-Istati Membri fil-livell tal-Unjoni jew nazzjonali jistgħu jappoġġjaw ukoll lill-kumpaniji u lill-organizzazzjonijiet tas-settur pubbliku u jistgħu jikkontribwixxu għall-implimentazzjoni ta’ dan ir-Regolament. Fil-qafas til-missjonijiet u l-oqsma ta’ kompetenza rispettivi tagħhom, huma jistgħu jipprovdu appoġġ tekniku u xjentifiku lill-intrapriżi mikro u lill-intrapriżi żgħar u ta’ daqs medju, bħal pereżempju għall-attivitajiet ta’ ttestjar u l-valutazzjonijiet ta’ konformità minn partijiet terzi. Dawn jistgħu jrawmu wkoll l-użu ta’ għodod biex jiffaċilitaw l-implimentazzjoni ta’ dan ir-Regolament.

(128)

Barra minn hekk, jenħtieġ li l-Istati Membri jikkunsidraw jieħdu azzjoni komplementari intiżi biex jipprovdu gwida u appoġġ għall-intrapriżi mikro u għall-intrapriżi żgħar u ta’ daqs medju, bħall-istabbiliment ta’ ambjenti ta’ esperimentazzjoni regolatorja, ċentri speċjalizzati għall-komunikazzjoni. Sabiex jissaħħaħ il-livell ta’ ċibersigurtà fl-Unjoni, l-Istati Membri jistgħu jikkunsidraw ukoll li jipprovdu appoġġ għall-iżvilupp ta’ kapaċità u ħiliet relatati maċ-ċibersigurtà ta’ prodotti b’elementi diġitali, li jtejbu r-reżiljenza ċibernetika tal-operaturi ekonomiċi, b’mod partikolari tal-intrapriżi mikro u l-intrapriżi żgħar u ta’ daqs medju, u li jrawwmu s-sensibilizzazzjoni pubblika dwar iċ-ċibersigurtà ta’ prodotti b’elementi diġitali.

(129)

Minħabba li l-objettivi ta’ dan ir-Regolament ma jistgħux jinkisbu b’mod suffiċjenti mill-Istati Membri iżda jista’ pjuttost, minħabba l-iskala tal-azzjoni, jinkisbu aħjar fil-livell tal-Unjoni, l-Unjoni tista’ tadotta miżuri, f’konformità mal-prinċipju tas-sussidjarjetà kif stabbilit fl-Artikolu 5 tat-Trattat tal-Unjoni Ewropea. F’konformità mal-prinċipju ta’ proporzjonalità kif stabbilit f’dak l-Artikolu, dan ir-Regolament ma jmurx lil hinn minn dak li huwa meħtieġ sabiex jinkisbu dawk l-objettivi.

(130)

Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat skont l-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (34) u ta l-opinjoni tiegħu fid-9 ta’ Novembru 2022 (35),