KOMISJA EUROPEJSKA

Bruksela, dnia 15.9.2022

COM(2022) 454 final

2022/0272(COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi i zmieniające rozporządzenie (UE) 2019/1020

(Tekst mający znaczenie dla EOG)

{SEC(2022) 321 final} - {SWD(2022) 282 final} - {SWD(2022) 283 final}

UZASADNIENIE

1.KONTEKST WNIOSKU

•Przyczyny i cele wniosku

Chociaż obowiązujące przepisy dotyczące rynku wewnętrznego mają zastosowanie do niektórych produktów z elementami cyfrowymi, większość sprzętu i oprogramowania nie jest obecnie objęta żadnymi przepisami UE regulującymi ich cyberbezpieczeństwo. W szczególności obecne ramy prawne UE nie odnoszą się do cyberbezpieczeństwa oprogramowania niewbudowanego, nawet jeśli naruszenia bezpieczeństwa w wyniku cyberataku w coraz większym stopniu są wymierzone w podatności tych produktów, co powoduje znaczne koszty społeczne i gospodarcze. Jest wiele przykładów istotnych cyberataków będących wynikiem nieoptymalnego bezpieczeństwa produktu, takich jak robak oprogramowania szantażującego WannaCry, który wykorzystał podatność Windows i w 2017 r. zainfekował 200 000 komputerów w 150 krajach, powodując szkody o wartości miliardów USD, atak na łańcuch dostaw Kaseya VSA, podczas którego użyto oprogramowania zarządzającego siecią Kaseya do zaatakowania ponad 1 000 przedsiębiorstw i zmuszenia sieci supermarketów do zamknięcia wszystkich należących do niej 500 sklepów w całej Szwecji, lub liczne incydenty hakowania aplikacji bankowych w celu kradzieży środków pieniężnych od nieświadomych konsumentów.

•Wzajemne powiązania z przepisami obowiązującymi w tej dziedzinie polityki

Na ramy UE składa się szereg horyzontalnych aktów prawnych, które obejmują niektóre aspekty związane z cyberbezpieczeństwem z różnych punktów widzenia (produkty, usługi, zarządzanie kryzysowe i przestępstwa). W 2013 r. weszła w życie dyrektywa dotycząca ataków na systemy informatyczne 1 , którą ujednolicono podejście do kryminalizacji i kar za szereg przestępstw przeciwko systemom informatycznym. W sierpniu 2016 r. weszła w życie dyrektywa (UE) 2016/1148 w sprawie bezpieczeństwa sieci i systemów informatycznych („dyrektywa w sprawie bezpieczeństwa sieci i informacji”) 2 , która stanowiła pierwszy akt prawny w ogólnounijnych przepisach dotyczących cyberbezpieczeństwa. Trwa proces rewizji tej dyrektywy – w zmienionej dyrektywie [dyrektywie XXX/XXXX (NIS 2)] podniesiony zostanie wspólny unijny poziom ambicji. W 2019 r. wszedł w życie unijny akt o cyberbezpieczeństwie 3 , którego celem jest zwiększenie bezpieczeństwa produktów ICT, usług ICT i procesów ICT przez wprowadzenie dobrowolnych europejskich ram certyfikacji cyberbezpieczeństwa 4 .

O zapewnieniu cyberbezpieczeństwa całego łańcucha dostaw można mówić tylko wówczas, gdy wszystkie jego elementy są cyberbezpieczne. W wyżej wymienionych przepisach UE występują jednak znaczące luki w tym zakresie, ponieważ nie obejmują one obowiązkowych wymogów dotyczących bezpieczeństwa produktów z elementami cyfrowymi.

Chociaż proponowany akt dotyczący cyberodporności obejmuje produkty z elementami cyfrowymi wprowadzane do obrotu, celem dyrektywy [dyrektywy XXX/XXX (NIS 2)] jest zapewnienie wysokiego poziomu cyberbezpieczeństwa usług świadczonych przez podmioty niezbędne i istotne. W dyrektywie [dyrektywie XXX/XXXX (NIS 2)] zobowiązano państwa członkowskie do zapewnienia, aby podmioty niezbędne i istotne objęte zakresem jej stosowania, takie jak świadczeniodawcy opieki zdrowotnej lub dostawcy usług w chmurze oraz podmioty administracji publicznej, wprowadzały odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w zakresie cyberbezpieczeństwa. Środki te obejmują między innymi wymóg zapewnienia bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku wykrycia podatności i ich ujawnianie. W dyrektywie [dyrektywie XXX/XXXX (NIS 2)] zobowiązano Komisję do przyjęcia aktów wykonawczych określających wymogi techniczne i metodyczne dotyczące tych środków w terminie 21 miesięcy od daty wejścia w życie tej dyrektywy w odniesieniu do niektórych rodzajów podmiotów, takich jak dostawcy usług w chmurze. W odniesieniu do wszystkich innych podmiotów Komisja może przyjąć akt wykonawczy określający wymogi techniczne i metodyczne, jak również wymogi sektorowe. Ramy te zapewnią wdrożenie specyfikacji technicznych i środków podobnych do zasadniczych wymogów cyberbezpieczeństwa określonych w akcie dotyczącym cyberodporności również w odniesieniu do projektowania, opracowywania i postępowania w przypadku wykrycia podatności oprogramowania dostarczanego jako usługa (oprogramowanie jako usługa). Może to być na przykład środek zapewniający wysoki poziom cyberbezpieczeństwa w takich przypadkach jak systemy elektronicznej dokumentacji medycznej (EHR), w tym gdy są dostarczane w postaci oprogramowania jako usługa (SaaS) lub opracowywane w ramach instytucji zdrowia publicznego (wewnętrznie), zgodnie z proponowanym [rozporządzeniem w sprawie europejskiej przestrzeni danych dotyczących zdrowia].

•Wzajemne powiązania z innymi politykami Unii

2.PODSTAWA PRAWNA, POMOCNICZOŚĆ I PROPORCJONALNOŚĆ

•Podstawa prawna

Art. 114 TFUE może być stosowany jako podstawa prawna, aby zapobiegać występowaniu takich przeszkód wynikających z niejednolitego rozwoju ustawodawstw krajowych i rozbieżnych podejść do rozwiązania problemu braku pewności prawa i luk w istniejących ramach prawnych 8 . Ponadto Trybunał Sprawiedliwości uznał, że niejednolite stosowanie wymagań technicznych może stanowić ważną przesłankę do zastosowania art. 114 TFUE 9 .

Obecne ramy prawne UE mające zastosowanie do produktów z elementami cyfrowymi opierają się na art. 114 TFUE i obejmują szereg aktów prawnych, w tym przepisy dotyczące konkretnych produktów i obejmujące aspekty związane z bezpieczeństwem czy ogólne przepisy dotyczące odpowiedzialności za produkty. Obejmują one jednak tylko niektóre aspekty związane z cyberbezpieczeństwem materialnych produktów cyfrowych i, w stosownych przypadkach, oprogramowania wbudowanego w te produkty. Na szczeblu krajowym państwa członkowskie zaczynają wprowadzać środki krajowe, którymi nakładają na sprzedawców produktów cyfrowych wymóg zwiększenia cyberbezpieczeństwa 10 . Jednocześnie cyberbezpieczeństwo produktów cyfrowych ma szczególnie wyraźny wymiar transgraniczny, ponieważ produkty wytwarzane w jednym państwie są często wykorzystywane przez organizacje i konsumentów na całym rynku wewnętrznym. Incydenty, które początkowo dotyczą jednego podmiotu lub państwa członkowskiego, często w ciągu kilku minut rozprzestrzeniają się na inne organizacje, sektory i państwa członkowskie.

Różne akty przyjęte dotychczas na szczeblu unijnym i krajowym oraz różne unijne i krajowe inicjatywy jedynie częściowo rozwiązują stwierdzone problemy i stwarzają ryzyko niejednolitego rozwoju ustawodawstwa na rynku wewnętrznym, co pogłębia brak pewności prawa po stronie zarówno sprzedawców, jak i użytkowników tych produktów, a także wiąże się z nakładaniem na przedsiębiorstwa niepotrzebnych obciążeń związanych z przestrzeganiem szeregu wymogów dotyczących podobnych rodzajów produktów.

Proponowane rozporządzenie może się przyczynić do ujednolicenia i usprawnienia otoczenia regulacyjnego UE przez wprowadzenie wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi, a także do uniknięcia nakładania się wymogów wynikających z różnych aktów prawnych. To z kolei może zagwarantować większą pewność prawa podmiotom gospodarczym i użytkownikom w całej Unii, a także umożliwić lepszą harmonizację jednolitego rynku europejskiego, co przełoży się na dogodniejsze warunki dla podmiotów chcących wejść na rynek UE.

•Pomocniczość (w przypadku kompetencji niewyłącznych)

Wyraźnie transgraniczny charakter cyberbezpieczeństwa w ujęciu ogólnym i rosnąca liczba zagrożeń i incydentów, których skutki uboczne są odczuwalne w innych krajach oraz dotykają inne sektory i produkty, oznaczają, że państwa członkowskie nie są w stanie skutecznie osiągnąć celów niniejszego wniosku samodzielnie. Krajowe podejścia do rozwiązywania tych problemów, w szczególności podejścia zakładające wprowadzanie obowiązkowych wymogów, pogłębią brak pewności prawa i stworzą dodatkowe bariery prawne. Przedsiębiorstwa mogą stracić możliwość płynnej ekspansji na inne państwa członkowskie, co pozbawi użytkowników korzyści płynących z oferowanych przez nie produktów.

Wspólne działanie na szczeblu UE jest zatem konieczne, aby wzbudzić większe zaufanie użytkowników i poprawić atrakcyjność unijnych produktów z elementami cyfrowymi. Przyniosłoby to również korzyści jednolitemu rynkowi cyfrowemu i całemu rynkowi wewnętrznemu, gdyż zapewniłoby pewność prawa i równe warunki działania producentom produktów z elementami cyfrowymi.

•Proporcjonalność

Jeżeli chodzi o proporcjonalność proponowanego rozporządzenia, środki przewidziane w rozważanych wariantach strategicznych nie wykraczałyby poza to, co jest konieczne do osiągnięcia celów ogólnych i szczegółowych, i nie wiązałyby się z nieproporcjonalnymi kosztami. Dokładniej rzecz ujmując, rozważana interwencja zapewniłaby zabezpieczenie produktów z elementami cyfrowymi w całym ich cyklu życia i w sposób proporcjonalny do występującego ryzyka dzięki ukierunkowanym na osiągnięcie celów i neutralnym pod względem technologicznym wymogom, które pozostają rozsądne i zasadniczo odpowiadają interesom zaangażowanych podmiotów.

Zasadnicze wymogi cyberbezpieczeństwa zawarte we wniosku opierają się na powszechnie stosowanych normach, a ponadto w późniejszym procesie normalizacyjnym uwzględniono by specyfikę techniczną przedmiotowych produktów. Oznacza to, że tam gdzie jest to konieczne z uwagi na dany poziom ryzyka, środki kontroli bezpieczeństwa zostałyby dostosowane. Ponadto planowane przepisy horyzontalne przewidują ocenę przez stronę trzecią jedynie w przypadku produktów krytycznych. Obejmuje to jedynie wąski fragment rynku produktów z elementami cyfrowymi. Wpływ na MŚP będzie zależał od ich obecności na rynku tych konkretnych kategorii produktów.

Jeżeli chodzi o proporcjonalność kosztów oceny zgodności, przy ustalaniu wysokości pobieranych opłat jednostki notyfikowane przeprowadzające takie oceny jako strona trzecia brałyby pod uwagę wielkość przedsiębiorstwa. Przewidziano również rozsądny okres przejściowy wynoszący 24 miesiące na przygotowanie się do wdrożenia, co powinno zapewnić właściwym rynkom czas na przygotowanie się przy jednoczesnym wskazaniu jasnego kierunku inwestycji w badania i rozwój. Wszelkie koszty przestrzegania przepisów ponoszone przez przedsiębiorstwa zostałyby zrównoważone korzyściami płynącymi z wyższego poziomu bezpieczeństwa produktów z elementami cyfrowymi, a ostatecznie wzrostem zaufania użytkowników do tych produktów.

•Wybór instrumentu

3.WYNIKI OCEN EX POST, KONSULTACJI Z ZAINTERESOWANYMI STRONAMI I OCEN SKUTKÓW

•Konsultacje z zainteresowanymi stronami

·pierwsze badanie przeprowadzone przez konsorcjum w składzie ICF, Wavestone, Carsa i CEPS, opublikowane w grudniu 2021 r. 11 , w którym zidentyfikowano szereg niedoskonałości rynku i oceniono możliwość interwencji regulacyjnej;

·otwarte konsultacje publiczne z udziałem obywateli, zainteresowanych stron i ekspertów w dziedzinie cyberbezpieczeństwa, w których otrzymano 176 odpowiedzi i dzięki którym udało się zgromadzić różne opinie i doświadczenia wszystkich grup zainteresowanych stron;

·warsztaty zorganizowane w ramach badania wspierającego prace przygotowawcze Komisji nad aktem dotyczącym cyberodporności, w których wzięło udział około 100 przedstawicieli ze wszystkich 27 państw członkowskich reprezentujących różne zainteresowane strony;

·rozmowy ze specjalistami, które pozwoliły lepiej zrozumieć obecne wyzwania w zakresie cyberbezpieczeństwa związane z produktami z elementami cyfrowymi oraz omówić warianty strategiczne dotyczące potencjalnej interwencji regulacyjnej;

·dwustronne rozmowy z krajowymi organami ds. cyberbezpieczeństwa, sektorem prywatnym i organizacjami konsumenckimi;

·ukierunkowane działania informacyjne skierowane do głównych zainteresowanych stron będących MŚP.

•Gromadzenie i wykorzystanie wiedzy eksperckiej

 •Ocena skutków

·Podejście oparte na prawie miękkim i środki dobrowolne (wariant 1): w przypadku tego wariantu nie zakłada się interwencji regulacyjnej o charakterze obowiązkowym. Zamiast tego Komisja wydawałaby komunikaty, wytyczne, zalecenia i potencjalne kodeksy postępowania w celu zachęcania do stosowania środków dobrowolnych. Systemy krajowe, dobrowolne lub obowiązkowe, byłyby nadal opracowywane, aby zrekompensować brak unijnych przepisów horyzontalnych.

·Interwencja regulacyjna ad hoc dotycząca cyberbezpieczeństwa materialnych produktów z elementami cyfrowymi i odpowiedniego oprogramowania wbudowanego (wariant 2): wariant ten wiązałby się z interwencją regulacyjną ad hoc dotyczącą konkretnych produktów, która ograniczałaby się do dodania lub zmiany wymogów cyberbezpieczeństwa w już istniejących przepisach lub wprowadzenia nowych przepisów w miarę pojawiania się nowych zagrożeń, w tym potencjalnie dotyczących oprogramowania niewbudowanego.

Warianty 3 i 4 wiążą się z horyzontalną interwencją regulacyjną o różnym zakresie, w dużej mierze zgodną z nowymi ramami prawnymi. W ramach tych określono zasadnicze wymogi jako warunek wprowadzania niektórych produktów na rynek wewnętrzny. W nowych ramach prawnych zazwyczaj przewiduje się również ocenę zgodności – proces przeprowadzany przez producenta w celu wykazania, czy spełniono określone wymogi dotyczące produktu.

·Podejście mieszane, w tym horyzontalne przepisy bezwzględnie obowiązujące dotyczące cyberbezpieczeństwa materialnych produktów z elementami cyfrowymi i odpowiedniego oprogramowania wbudowanego, a także podejście stopniowe do oprogramowania niewbudowanego (wariant 3): wariant ten zakładałby przyjęcie rozporządzenia wprowadzającego horyzontalne wymogi cyberbezpieczeństwa w odniesieniu do wszystkich materialnych produktów z elementami cyfrowymi i wbudowanego w nie oprogramowania jako warunek wprowadzenia do obrotu i obejmowałby dwa podwarianty z obowiązkową oceną przeprowadzoną przez stronę trzecią i bez takiej oceny (3(i) i 3(ii)). Oprogramowanie niewbudowane nie byłoby uregulowane.

·Horyzontalna interwencja regulacyjna wprowadzająca wymogi cyberbezpieczeństwa w odniesieniu do szerokiego zakresu materialnych i niematerialnych produktów z elementami cyfrowymi, w tym oprogramowania niewbudowanego (wariant 4): wariant ten przypomina wariant 3, z wyjątkiem zakresu. Wariant 4 zakładałby uwzględnienie oprogramowania niewbudowanego (z dwoma podwariantami obejmującymi odpowiednio tylko krytyczne (4a) lub całe oprogramowanie (4b)) w zakresie stosowania potencjalnego rozporządzenia. W przypadku każdego z podwariantów rozważono by te same podwarianty związane z oceną zgodności, co w przypadku wariantu 3.

Ten wariant strategiczny wnosi również wartość dodaną, ponieważ obejmuje aspekty dotyczące dochowania należytej staranności i całego cyklu życia po wprowadzeniu do obrotu produktów z elementami cyfrowymi, aby zapewnić między innymi odpowiednie informacje na temat wsparcia w zakresie zabezpieczeń i zapewnienia aktualizacji zabezpieczeń. Ten wariant strategiczny byłby również najskuteczniejszym uzupełnieniem niedawnego przeglądu ram prawnych dotyczących bezpieczeństwa sieci i systemów informatycznych dzięki zapewnieniu warunków wstępnych wzmocnienia bezpieczeństwa łańcucha dostaw.

Preferowany wariant może przynieść znaczące korzyści dla poszczególnych zainteresowanych stron. W przypadku przedsiębiorstw pozwoli on zapobiec rozbieżnym przepisom dotyczącym bezpieczeństwa produktów z elementami cyfrowymi oraz obniżyć koszty przestrzegania związanych z nimi przepisów dotyczących cyberbezpieczeństwa. Może się on przyczynić do zmniejszenia liczby cyberincydentów, obniżenia kosztów postępowania w przypadku incydentu oraz uniknięcia nadszarpnięcia reputacji. W przypadku całej UE szacuje się, że inicjatywa może doprowadzić do obniżenia kosztów związanych z incydentami dotyczącymi przedsiębiorstw o około 180–290 mld EUR rocznie. Inicjatywa może spowodować wzrost obrotu ze względu na coraz większy popyt na produkty z elementami cyfrowymi. Może poprawić światową reputację przedsiębiorstw, co spowodowałoby wzrost popytu również spoza UE. Jeżeli chodzi o użytkowników, preferowany wariant może zwiększyć przejrzystość zabezpieczeń i ułatwić korzystanie z produktów z elementami cyfrowymi. Konsumenci i obywatele odniosą także korzyść polegającą na lepszej ochronie ich praw podstawowych, takich jak prywatność i ochrona danych.

•Sprawność regulacyjna i uproszczenie

•Prawa podstawowe

Oczekuje się, że wszystkie warianty strategiczne w pewnym stopniu poprawią ochronę podstawowych praw i wolności, takich jak prywatność, ochrona danych osobowych, wolność prowadzenia działalności gospodarczej oraz ochrona własności lub godności i integralności osoby. W szczególności preferowany wariant strategiczny 4, obejmujący horyzontalną interwencję regulacyjną i szeroki zakres polityki, byłby najskuteczniejszy w tym względzie, ponieważ jest bardziej prawdopodobne, że przyczyni się do zmniejszenia liczby i dotkliwości incydentów, w tym naruszeń ochrony danych osobowych. Wariant ten może również zwiększyć pewność prawa i zapewnić równe warunki działania podmiotom gospodarczym, a także zwiększyć zaufanie użytkowników i poprawić atrakcyjność unijnych produktów z elementami cyfrowymi ogółem, zapewniając tym samym ochronę własności i poprawę warunków prowadzenia działalności gospodarczej przez podmioty gospodarcze.

4.WPŁYW NA BUDŻET

Aby zrealizować zadania przydzielone Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) na mocy niniejszego rozporządzenia, ENISA będzie musiała ponownie przydzielić zasoby ludzkie odpowiadające około 4,5 EPC. Komisja będzie musiała przydzielić zasoby odpowiadające 7 EPC, aby wywiązać się ze swoich obowiązków związanych z egzekwowaniem przepisów wynikających z niniejszego rozporządzenia.

5.ELEMENTY FAKULTATYWNE

•Plany wdrożenia i monitorowanie, ocena i sprawozdania

Komisja będzie monitorować wdrażanie i stosowanie tych nowych przepisów oraz zgodność z nimi w celu oceny ich skuteczności. W rozporządzeniu Komisja zostanie wezwana do dokonania oceny i przeglądu oraz przedłożenia publicznego sprawozdania w tym zakresie Parlamentowi Europejskiemu i Radzie przed upływem 36 miesięcy od daty rozpoczęcia stosowania, a następnie co cztery lata.

•Szczegółowe objaśnienia poszczególnych przepisów wniosku

Przepisy ogólne (rozdział I)

Rozporządzeniem, którego dotyczy niniejszy wniosek, ustanawia się: a) przepisy dotyczące wprowadzania do obrotu produktów z elementami cyfrowymi w celu zapewnienia cyberbezpieczeństwa takich produktów; b) zasadnicze wymogi dotyczące projektowania, opracowywania i produkcji produktów z elementami cyfrowymi oraz obowiązki podmiotów gospodarczych w odniesieniu do tych produktów w zakresie cyberbezpieczeństwa; c) zasadnicze wymogi dotyczące procedur postępowania w przypadku wykrycia podatności wprowadzonych przez producentów w celu zapewnienia cyberbezpieczeństwa produktów z elementami cyfrowymi w całym cyklu życia oraz obowiązki podmiotów gospodarczych w odniesieniu do tych procedur; d) przepisy dotyczące nadzoru rynku i egzekwowania wyżej wymienionych przepisów i wymogów.

Proponowane rozporządzenie będzie miało zastosowanie do wszystkich produktów z elementami cyfrowymi, których przeznaczenie i racjonalnie przewidywalne wykorzystanie obejmuje bezpośrednie lub pośrednie logiczne lub fizyczne połączenie danych z urządzeniem lub siecią.

Proponowane rozporządzenie nie będzie miało zastosowania do produktów z elementami cyfrowymi objętych zakresem rozporządzenia (UE) 2017/745 [tj. do wyrobów medycznych stosowanych u ludzi oraz wyposażenia takich wyrobów] oraz rozporządzenia (UE) 2017/746 [tj. do wyrobów medycznych do diagnostyki in vitro stosowanych u ludzi oraz wyposażenia takich wyrobów], ponieważ oba te rozporządzenia zawierają wymogi dotyczące wyrobów, w tym dotyczące oprogramowania i ogólnych obowiązków producentów, obejmujące cały cykl życia produktów, a także procedury oceny zgodności. Niniejsze rozporządzenie nie będzie miało zastosowania do produktów z elementami cyfrowymi, które zostały certyfikowane zgodnie z rozporządzeniem (UE) 2018/1139 [w sprawie wysokiego jednolitego poziomu bezpieczeństwa lotnictwa cywilnego], ani do produktów, do których stosuje się rozporządzenie (UE) 2019/2144 [w sprawie wymogów dotyczących homologacji typu pojazdów silnikowych i ich przyczep oraz układów, komponentów i oddzielnych zespołów technicznych przeznaczonych do tych pojazdów].

Produkty krytyczne z elementami cyfrowymi podlegają szczególnym procedurom oceny zgodności i są podzielone na klasy I i II, jak określono w załączniku III, które odzwierciedlają ich poziom ryzyka w cyberprzestrzeni, przy czym klasa II oznacza większe ryzyko. Produkt z elementami cyfrowymi uznaje się za krytyczny i w związku z tym uwzględnia się go w załączniku III, biorąc pod uwagę wpływ potencjalnych podatności takiego produktu wpływających na cyberbezpieczeństwo. Przy określaniu ryzyka w cyberprzestrzeni uwzględnia się związane z cyberbezpieczeństwem funkcje produktu z elementami cyfrowymi oraz jego przeznaczenie we wrażliwych środowiskach, takich jak otoczenie przemysłowe.

Komisja jest również uprawniona do przyjmowania aktów delegowanych w celu uzupełnienia niniejszego rozporządzenia przez określenie kategorii produktów wysoce krytycznych z elementami cyfrowymi, w odniesieniu do których producenci mają obowiązek uzyskać europejski certyfikat cyberbezpieczeństwa w ramach europejskiego programu certyfikacji cyberbezpieczeństwa, aby wykazać zgodność z zasadniczymi wymogami określonymi w załączniku I lub jego częściach. Przy określaniu takich kategorii produktów wysoce krytycznych z elementami cyfrowymi Komisja uwzględnia poziom ryzyka w cyberprzestrzeni związanego z kategorią produktów z elementami cyfrowymi w świetle co najmniej jednego kryterium branego pod uwagę przy sporządzaniu wykazu produktów krytycznych z elementami cyfrowymi zawartego w załączniku III, a także w kontekście oceny, czy ta kategoria produktów jest wykorzystywana przez podmioty niezbędne takie jak podmioty, o których mowa w załączniku [załączniku I] do dyrektywy [dyrektywy XXX/XXXX (NIS 2)], czy wspomniane podmioty polegają na tej kategorii produktów lub czy będzie ona miała potencjalne przyszłe znaczenie dla działalności tych podmiotów, bądź czy jest ona istotna dla odporności całego łańcucha dostaw produktów z elementami cyfrowymi na zdarzenia powodujące zakłócenia.

Obowiązki podmiotów gospodarczych (rozdział II)

Wniosek obejmuje obowiązki producentów, importerów i dystrybutorów na podstawie przepisów odniesienia przewidzianych w decyzji 768/2008/WE. Zgodnie z zasadniczymi wymogami cyberbezpieczeństwa i obowiązkami w tym zakresie wszystkie produkty z elementami cyfrowymi udostępnia się na rynku wyłącznie wówczas, gdy – jeżeli są należycie dostarczane, prawidłowo zainstalowane, utrzymywane i wykorzystywane zgodnie z ich przeznaczeniem lub w warunkach, które można racjonalnie przewidzieć – spełniają zasadnicze wymogi cyberbezpieczeństwa określone w niniejszym rozporządzeniu.

Zgodnie z zasadniczymi wymogami i obowiązkami producenci będą zobowiązani do uwzględnienia kwestii cyberbezpieczeństwa w projektowaniu, opracowywaniu i produkcji produktów z elementami cyfrowymi, do zachowania należytej staranności w odniesieniu do aspektów bezpieczeństwa przy projektowaniu i opracowywaniu swoich produktów, do zachowania przejrzystości w odniesieniu do aspektów cyberbezpieczeństwa, które należy podać do wiadomości klientów, do zapewnienia wsparcia w zakresie zabezpieczeń (aktualizacji) w sposób proporcjonalny oraz do spełnienia wymogów dotyczących postępowania w przypadku wykrycia podatności.

Zostaną ustanowione obowiązki dla podmiotów gospodarczych, począwszy od producentów, aż po dystrybutorów i importerów, w odniesieniu do wprowadzania do obrotu produktów z elementami cyfrowymi, stosownie do ich roli i zadań w łańcuchu dostaw.

Zgodność produktu z elementami cyfrowymi (rozdział III)

W przypadku produktów z elementami cyfrowymi spełniających normy zharmonizowane lub części norm zharmonizowanych, do których odniesienie opublikowano w Dzienniku Urzędowym Unii Europejskiej, zakłada się, że spełniają one zasadnicze wymogi określone w rozporządzeniu, którego dotyczy niniejszy wniosek. W przypadku gdy normy zharmonizowane nie istnieją lub są niewystarczające lub jeżeli występują nieuzasadnione opóźnienia w procedurze normalizacji, lub jeżeli wniosek Komisji nie zostanie zaakceptowany przez europejskie organizacje normalizacyjne, Komisja może – w drodze aktów wykonawczych – przyjąć wspólne specyfikacje.

Ponadto produkty z elementami cyfrowymi, które uzyskały certyfikację lub w odniesieniu do których wydano unijną deklarację zgodności bądź certyfikat w ramach europejskiego programu certyfikacji cyberbezpieczeństwa zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/881 i w przypadku których Komisja określiła w akcie wykonawczym, że mogą zapewnić domniemanie zgodności z niniejszym rozporządzeniem, uznaje się za zgodne z zasadniczymi wymogami określonymi w niniejszym rozporządzeniu lub jego częściach w zakresie, w jakim unijna deklaracja zgodności bądź certyfikat cyberbezpieczeństwa lub ich części obejmują te wymogi.

Aby uniknąć nałożenia na producentów nadmiernego obciążenia administracyjnego, w stosownych przypadkach Komisja powinna określić, czy certyfikat cyberbezpieczeństwa wydany w ramach takiego europejskiego programu certyfikacji cyberbezpieczeństwa zwalnia producentów z obowiązku przeprowadzenia oceny zgodności przez stronę trzecią, jak przewidziano w niniejszym rozporządzeniu w odniesieniu do odpowiednich wymogów.

Producent dokonuje oceny zgodności produktu z elementami cyfrowymi i swoimi własnymi procedurami postępowania w przypadku wykrycia podatności w celu wykazania zgodności z zasadniczymi wymogami określonymi w załączniku I, stosując jedną z procedur określonych w załączniku VI. Producenci produktów krytycznych klasy I i II stosują odpowiednie moduły niezbędne do osiągnięcia zgodności. Producenci produktów krytycznych klasy II muszą zaangażować stronę trzecią do oceny zgodności.

Notyfikacja jednostek oceniających zgodność (rozdział IV)

Prawidłowe funkcjonowanie jednostek notyfikowanych ma zasadnicze znaczenie dla zagwarantowania wysokiego cyberbezpieczeństwa oraz zaufania wszystkich zainteresowanych stron do systemu nowego podejścia. Dlatego też, zgodnie z decyzją 768/2008/WE, we wniosku określono wymogi dotyczące organów krajowych odpowiedzialnych za jednostki oceniające zgodność (jednostki notyfikowane). W związku z tym ostateczną odpowiedzialność za wyznaczanie i monitorowanie jednostek notyfikowanych ponoszą państwa członkowskie. Państwa członkowskie wyznaczają organ notyfikujący, który odpowiada za opracowanie i stosowanie procedur koniecznych do oceny i notyfikowania jednostek oceniających zgodność oraz do monitorowania jednostek notyfikowanych.

Nadzór rynku i egzekwowanie przepisów (rozdział V)

Zgodnie z rozporządzeniem (UE) 2019/1020 nadzór rynku na terytorium danego państwa członkowskiego sprawują krajowe organy nadzoru rynku. Państwa członkowskie mogą wyznaczyć do pełnienia funkcji organu nadzoru rynku dowolny istniejący lub nowy organ, w tym ustanowione właściwe organy krajowe, o których mowa w art. [art. X] dyrektywy [dyrektywy XXX/XXXX (NIS 2)], lub wyznaczone krajowe organy ds. certyfikacji cyberbezpieczeństwa, o których mowa w art. 58 rozporządzenia (UE) 2019/881. Podmioty gospodarcze powinny w pełni współpracować z organami nadzoru rynku i innymi właściwymi organami.

Przekazane uprawnienia i procedury komitetowe (rozdział VI)

Aby zapewnić możliwość dostosowania ram regulacyjnych w stosownych przypadkach, przekazuje się Komisji uprawnienia do przyjmowania na podstawie art. 290 TFUE aktów w celu aktualizacji wykazu produktów krytycznych klasy I i II oraz określenia definicji tych produktów; określenia, czy konieczne jest ograniczenie lub wyłączenie w odniesieniu do produktów z elementami cyfrowymi objętych innymi przepisami unijnymi określającymi wymogi zapewniające taki sam poziom ochrony jak niniejsze rozporządzenie; wprowadzenia obowiązku certyfikacji niektórych produktów wysoce krytycznych z elementami cyfrowymi w oparciu o kryteria określone w niniejszym rozporządzeniu; określenia minimalnego zakresu deklaracji zgodności UE oraz uzupełnienia elementów, które należy uwzględnić w dokumentacji technicznej.

Komisja jest również uprawniona do przyjmowania aktów wykonawczych w celu: określenia formatu lub elementów dotyczących obowiązków w zakresie zgłaszania incydentów oraz zestawienia podstawowych materiałów do produkcji oprogramowania; określania europejskich programów certyfikacji cyberbezpieczeństwa, które można stosować w celu wykazania zgodności z zasadniczymi wymogami lub ich częściami określonymi w niniejszym rozporządzeniu; przyjęcia wspólnych specyfikacji; ustanowienia specyfikacji technicznych dotyczących umieszczania oznakowania CE; przyjęcia na poziomie Unii środków naprawczych lub ograniczających w wyjątkowych okolicznościach, które uzasadniają niezwłoczną interwencję w celu utrzymania prawidłowego funkcjonowania rynku wewnętrznego.

Poufność i kary (rozdział VII)

Wszystkie strony stosujące niniejsze rozporządzenie powinny przestrzegać zasady poufności informacji i danych uzyskanych podczas wykonywania swoich zadań.

Aby zapewnić skuteczne egzekwowanie obowiązków przewidzianych w niniejszym rozporządzeniu, każdy organ nadzoru rynku powinien być uprawniony do nakładania lub żądania nałożenia administracyjnych kar pieniężnych. Podobnie w niniejszym rozporządzeniu określono maksymalne poziomy administracyjnych kar pieniężnych, które powinno się przewidzieć w przepisach krajowych za nieprzestrzeganie obowiązków określonych w niniejszym rozporządzeniu.

Przepisy przejściowe i końcowe (rozdział VIII)

Aby dać producentom, jednostkom notyfikowanym i państwom członkowskim czas na dostosowanie się do nowych wymogów, proponowane rozporządzenie zacznie być stosowane [24 miesięcy] po wejściu w życie, z wyjątkiem obowiązków w zakresie zgłaszania incydentów nałożonych na producentów, które zaczną mieć zastosowanie [12 miesięcy] po wejściu w życie.

2022/0272 (COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi i zmieniające rozporządzenie (UE) 2019/1020

(Tekst mający znaczenie dla EOG)

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 114,

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego 13 ,

uwzględniając opinię Komitetu Regionów 14 ,

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą,

a także mając na uwadze, co następuje:

(1)Należy koniecznie poprawić funkcjonowanie rynku wewnętrznego przez ustanowienie jednolitych ram prawnych w zakresie zasadniczych wymogów cyberbezpieczeństwa dotyczących wprowadzania produktów z elementami cyfrowymi na rynek unijny. Należy rozwiązać dwa główne problemy, które zwiększają koszty dla użytkowników i społeczeństwa: niski poziom cyberbezpieczeństwa produktów z elementami cyfrowymi, który przejawia się w powszechnych podatnościach oraz niewystarczającym i niespójnym dostarczaniu aktualizacji zabezpieczeń w celu wyeliminowania tych podatności, oraz niedostateczne zrozumienie i dostęp do informacji przez użytkowników, co uniemożliwia im wybór produktów o odpowiednich właściwościach w zakresie cyberbezpieczeństwa lub korzystanie z nich w sposób bezpieczny.

(2)Niniejsze rozporządzenie ma na celu stworzenie warunków brzegowych dla rozwoju bezpiecznych produktów z elementami cyfrowymi przez zapewnienie, aby sprzęt i oprogramowanie były wprowadzane do obrotu z mniejszą liczbą podatności, a także aby producenci poważnie traktowali bezpieczeństwo w całym cyklu życia produktu. Ma również na celu stworzenie warunków umożliwiających użytkownikom uwzględnianie cyberbezpieczeństwa przy wyborze produktów z elementami cyfrowymi i korzystaniu z nich.

(3)Odpowiednie obowiązujące obecnie przepisy Unii obejmują szereg grup przepisów horyzontalnych, które na różne sposoby odnoszą się do niektórych aspektów związanych z cyberbezpieczeństwem, w tym środków mających na celu poprawę bezpieczeństwa cyfrowego łańcucha dostaw. Istniejące przepisy Unii związane z cyberbezpieczeństwem, w tym [dyrektywa XXX/XXXX (NIS 2)] i rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 15 , nie przewidują jednak bezpośrednio obowiązkowych wymogów dotyczących bezpieczeństwa produktów z elementami cyfrowymi.

(4)Chociaż obowiązujące przepisy Unii mają zastosowanie do niektórych produktów z elementami cyfrowymi, nie istnieją horyzontalne unijne ramy regulacyjne ustanawiające kompleksowe wymogi cyberbezpieczeństwa dotyczące wszystkich produktów z elementami cyfrowymi. Różne akty przyjęte dotychczas na szczeblu unijnym i krajowym oraz różne unijne i krajowe inicjatywy jedynie częściowo rozwiązują stwierdzone problemy związane z cyberbezpieczeństwem i stwarzają ryzyko niejednolitego rozwoju ustawodawstwa na rynku wewnętrznym, co pogłębia brak pewności prawa po stronie zarówno producentów, jak i użytkowników tych produktów, a także wiąże się z nakładaniem na przedsiębiorstwa niepotrzebnych obciążeń związanych z przestrzeganiem szeregu wymogów dotyczących podobnych rodzajów produktów. Cyberbezpieczeństwo tych produktów ma szczególnie wyraźny wymiar transgraniczny, ponieważ produkty wytwarzane w jednym państwie są często wykorzystywane przez organizacje i konsumentów na całym rynku wewnętrznym. W związku z tym konieczne jest uregulowanie tej dziedziny na poziomie Unii. Należy zharmonizować unijne otoczenie regulacyjne przez wprowadzenie wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi. Należy ponadto zagwarantować pewność podmiotom gospodarczym i użytkownikom w całej Unii, a także zapewnić lepszą harmonizację jednolitego rynku, co przełoży się na dogodniejsze warunki dla podmiotów chcących wejść na rynek Unii.

(5)Na poziomie Unii – w różnych dokumentach programowych i politycznych, takich jak Strategia UE w zakresie cyberbezpieczeństwa na cyfrową dekadę 16 , konkluzje Rady z dnia 2 grudnia 2020 r. i z dnia 23 maja 2022 r. lub rezolucja Parlamentu Europejskiego z dnia 10 czerwca 2021 r. 17 – wezwano do wprowadzenia konkretnych unijnych wymogów cyberbezpieczeństwa w odniesieniu do produktów cyfrowych lub podłączonych do internetu, przy czym szereg państw na świecie z własnej inicjatywy wprowadziło środki mające na celu rozwiązanie tej kwestii. W sprawozdaniu z wyników końcowych Konferencji w sprawie przyszłości Europy 18 obywatele wezwali do zwiększenia roli UE w przeciwdziałaniu zagrożeniom cyberbezpieczeństwa.

(6)Aby zwiększyć ogólny poziom cyberbezpieczeństwa wszystkich produktów z elementami cyfrowymi wprowadzanych na rynek wewnętrzny, należy ustanowić ukierunkowane na cel i neutralne technologicznie zasadnicze wymogi cyberbezpieczeństwa dotyczące tych produktów, które to wymogi byłyby stosowane horyzontalnie.

(7)W określonych warunkach wszystkie produkty z elementami cyfrowymi zintegrowane lub połączone z większym elektronicznym systemem informacyjnym mogą służyć jako wektor ataku dla podmiotów działających w złym zamiarze. W rezultacie nawet sprzęt i oprogramowanie uważane za mniej krytyczne mogą ułatwić rozpoczęcie ataku na urządzenie lub sieć, umożliwiając podmiotom działającym w złym zamiarze uzyskanie uprzywilejowanego dostępu do systemu lub przenikanie między różnymi systemami. Producenci powinni zatem zapewnić, aby wszystkie produkty z elementami cyfrowymi, które można podłączyć do internetu, były projektowane i opracowywane zgodnie z zasadniczymi wymogami określonymi w niniejszym rozporządzeniu. Dotyczy to zarówno produktów, które można podłączyć fizycznie za pomocą interfejsów sprzętowych, jak i produktów podłączanych na poziomie logicznym, np. za pomocą gniazd sieciowych, potoków, plików, interfejsów programowania aplikacji lub wszelkich innych rodzajów interfejsów oprogramowania. Ponieważ zagrożenia cyberbezpieczeństwa mogą rozprzestrzeniać się za pośrednictwem różnych produktów z elementami cyfrowymi, zanim dotrą do określonego celu, na przykład dzięki łącznemu wykorzystaniu wielu różnych exploitów, producenci powinni również zapewnić cyberbezpieczeństwo tych produktów, które są jedynie pośrednio połączone z innymi urządzeniami lub sieciami.

(8)Dzięki ustanowieniu wymogów cyberbezpieczeństwa dotyczących wprowadzania do obrotu produktów z elementami cyfrowymi produkty te będą bezpieczniejsze zarówno dla konsumentów, jak i dla przedsiębiorstw. Obejmuje to również wymogi dotyczące wprowadzania do obrotu produktów konsumenckich z elementami cyfrowymi przeznaczonych dla konsumentów podatnych na zagrożenia, takich jak zabawki i nianie elektroniczne.

(9)Niniejsze rozporządzenie zapewnia wysoki poziom cyberbezpieczeństwa produktów z elementami cyfrowymi. Nie reguluje się w nim usług, takich jak oprogramowanie jako usługa (SaaS), z wyjątkiem rozwiązań w zakresie zdalnego przetwarzania danych związanego z produktem z elementami cyfrowymi, rozumianego jako wszelkie przetwarzanie danych na odległość, na potrzeby którego oprogramowanie zostało zaprojektowane i opracowane przez producenta danego produktu lub na odpowiedzialność producenta danego produktu, a którego brak spowodowałby, że produkt z elementami cyfrowymi nie mógłby wykonywać jednej ze swoich funkcji. [Dyrektywa XXX/XXXX (NIS 2)] wprowadza wymogi cyberbezpieczeństwa i wymogi w zakresie zgłaszania incydentów w odniesieniu do podmiotów niezbędnych i istotnych takich jak infrastruktura krytyczna w celu zwiększenia odporności usług świadczonych przez te podmioty. [Dyrektywa XXX/XXXX (NIS 2)] ma zastosowanie do usług w chmurze oraz modeli świadczenia usług w chmurze takich jak oprogramowanie jako usługa. W zakres tej dyrektywy wchodzą wszystkie podmioty świadczące usługi w chmurze w Unii, które osiągają lub przekraczają próg dla średnich przedsiębiorstw.

(10)Aby nie utrudniać innowacji ani prowadzenia badań, niniejsze rozporządzenie nie powinno obejmować wolnego i otwartego oprogramowania, tworzonego lub dostarczanego poza działalnością handlową. Dotyczy to w szczególności oprogramowania, w tym jego kodu źródłowego i jego zmodyfikowanych wersji, które jest bezpłatnie dostępne dla każdego, z którego można korzystać oraz które można modyfikować i rozpowszechniać. Działalność handlowa związana z oprogramowaniem może obejmować nie tylko pobieranie zapłaty za produkt, ale również pobieranie opłat za usługi wsparcia technicznego, udostępnianie platformy oprogramowania, za pośrednictwem której producent zarabia na innych usługach, lub wykorzystywanie danych osobowych z powodów innych niż tylko poprawa bezpieczeństwa, kompatybilności lub interoperacyjności oprogramowania.

(11)Bezpieczny internet jest niezbędny do funkcjonowania infrastruktury krytycznej i dla całego społeczeństwa. Celem [dyrektywy XXX/XXX (NIS 2)] jest zapewnienie wysokiego poziomu cyberbezpieczeństwa usług świadczonych przez podmioty niezbędne i istotne, w tym przez dostawców infrastruktury cyfrowej, którzy wspierają główne funkcje otwartego internetu, zapewniają dostęp do internetu oraz usługi internetowe. Ważne jest zatem, aby produkty z elementami cyfrowymi, które są niezbędne dostawcom infrastruktury cyfrowej do zapewnienia funkcjonowania internetu, były opracowywane w sposób bezpieczny oraz aby spełniały ugruntowane standardy bezpieczeństwa internetowego. Celem niniejszego rozporządzenia, które ma zastosowanie do wszelkiego sprzętu i oprogramowania, które można podłączyć do internetu, jest również ułatwienie dostawcom infrastruktury cyfrowej spełnienia wymogów dotyczących łańcucha dostaw określonych w [dyrektywie XXX/XXXX (NIS 2)] przez zapewnienie, aby produkty z elementami cyfrowymi wykorzystywane przez tych dostawców do świadczenia usług były opracowywane w sposób bezpieczny oraz aby dostawcy ci w odpowiednim czasie otrzymywali aktualizacje zabezpieczeń takich produktów.

(12)Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/745 19 ustanawia przepisy dotyczące wyrobów medycznych, a rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/746 20 ustanawia przepisy dotyczące wyrobów medycznych do diagnostyki in vitro. Oba rozporządzenia dotyczą ryzyka w cyberprzestrzeni i zastosowano w nich szczególne podejścia, do których odniesiono się również w niniejszym rozporządzeniu. W szczególności w rozporządzeniach (UE) 2017/745 i (UE) 2017/746 określono zasadnicze wymogi dotyczące wyrobów medycznych, które funkcjonują za pośrednictwem systemu elektronicznego lub które same są oprogramowaniem. W zakres tych rozporządzeń wchodzą również niektóre rodzaje oprogramowania niewbudowanego, a przyjęto w nim także podejście oparte na całym cyklu życia. Wymogi te zobowiązują producentów do opracowywania i tworzenia produktów z zastosowaniem zasad zarządzania ryzykiem oraz podejścia obejmującego określenie wymogów dotyczących środków bezpieczeństwa IT, jak również odpowiednich procedur oceny zgodności. Ponadto od grudnia 2019 r. obowiązują szczegółowe wytyczne dotyczące cyberbezpieczeństwa wyrobów medycznych, w których przedstawiono wskazówki, jak producenci wyrobów medycznych, w tym wyrobów do diagnostyki in vitro, mogą spełnić wszystkie odpowiednie zasadnicze wymogi określone w załączniku I do każdego z tych rozporządzeń w odniesieniu do cyberbezpieczeństwa 21 . Produkty z elementami cyfrowymi, do których zastosowanie ma którekolwiek z tych rozporządzeń, nie powinny zatem podlegać niniejszemu rozporządzeniu.

(13)Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/2144 22 ustanawia wymogi dotyczące homologacji typu pojazdów oraz ich układów i komponentów, wprowadza pewne wymogi cyberbezpieczeństwa, m.in. dotyczące funkcjonowania certyfikowanego systemu zarządzania cyberbezpieczeństwem, aktualizacji oprogramowania, obejmujące politykę i procesy organizacji dotyczące ryzyka w cyberprzestrzeni związanego z całym cyklem życia pojazdów, wyposażenia i usług zgodnie z mającymi zastosowanie regulaminami Organizacji Narodów Zjednoczonych dotyczącymi specyfikacji technicznych i cyberbezpieczeństwa 23 , a także przewiduje określone procedury oceny zgodności. W obszarze lotnictwa głównym celem rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1139 24 jest ustanowienie i utrzymanie wysokiego, jednolitego poziomu bezpieczeństwa lotnictwa cywilnego w Unii. Ustanowiono w nim ramy zasadniczych wymogów dotyczących zdatności do lotu lotniczych wyrobów, części i wyposażenia, w tym oprogramowania, w których uwzględniono obowiązki w zakresie ochrony przed zagrożeniami dla bezpieczeństwa informacji. Produkty z elementami cyfrowymi, do których zastosowanie ma rozporządzenie (UE) 2019/2144, oraz produkty certyfikowane zgodnie z rozporządzeniem (UE) 2018/1139 nie podlegają zatem zasadniczym wymogom i procedurom oceny zgodności określonym w niniejszym rozporządzeniu. Proces certyfikacji określony w rozporządzeniu (UE) 2018/1139 gwarantuje poziom pewności, który jest celem również niniejszego rozporządzenia.

(14)W niniejszym rozporządzeniu ustanawia się horyzontalne przepisy dotyczące cyberbezpieczeństwa, które nie ograniczają się do konkretnych sektorów ani niektórych produktów z elementami cyfrowymi. Można jednak wprowadzić unijne przepisy sektorowe lub dotyczące konkretnych produktów określające wymogi odnoszące się do wszystkich lub niektórych rodzajów ryzyka objętych zasadniczymi wymogami określonymi w niniejszym rozporządzeniu. W takich przypadkach stosowanie niniejszego rozporządzenia do produktów z elementami cyfrowymi objętych innymi przepisami unijnymi ustanawiającymi wymogi odnoszące się do wszystkich lub niektórych rodzajów ryzyka objętych zasadniczymi wymogami określonymi w załączniku I do niniejszego rozporządzenia może zostać ograniczone lub podlegać wyłączeniu, jeżeli takie ograniczenie lub wyłączenie jest spójne z ogólnymi ramami regulacyjnymi mającymi zastosowanie do tych produktów i jeżeli przepisy sektorowe zapewniają taki sam poziom ochrony jak ten przewidziany w niniejszym rozporządzeniu. Komisja jest uprawniona do przyjmowania aktów delegowanych w celu zmiany niniejszego rozporządzenia polegającej na wskazaniu takich produktów i przepisów. Niniejsze rozporządzenie zawiera przepisy szczegółowe precyzujące jego powiązania z obowiązującymi przepisami Unii, do których należy stosować takie ograniczenia lub wyłączenia.

(15)Rozporządzenie delegowane (UE) 2022/30 stanowi, że zasadnicze wymagania określone w art. 3 ust. 3 lit. d) (niepożądany wpływ na sieć i wykorzystanie zasobów sieciowych w nieodpowiedni sposób), lit. e) (dane osobowe i prywatność) oraz lit. f) (oszustwa) dyrektywy 2014/53/UE mają zastosowanie do określonych urządzeń radiowych. W [decyzji wykonawczej Komisji XXX/2022 w sprawie wniosku o normalizację do europejskich organizacji normalizacyjnych] ustanowiono wymogi dotyczące opracowania konkretnych norm doprecyzowujących sposób, w jaki należy zrealizować te trzy zestawy zasadniczych wymagań. Zasadnicze wymogi ustanowione w niniejszym rozporządzeniu obejmują wszystkie elementy zasadniczych wymagań, o których mowa w art. 3 ust. 3 lit. d), e) i f) dyrektywy 2014/53/UE. Co więcej, zasadnicze wymogi ustanowione w niniejszym rozporządzeniu są zgodne z celami wymogów dotyczących określonych norm zawartych w tym zleceniu normalizacji. Ponadto, jeżeli Komisja uchyli lub zmieni rozporządzenie delegowane (UE) 2022/30 z takim skutkiem, że przestanie ono mieć zastosowanie do określonych produktów objętych tym rozporządzeniem, Komisja i europejskie organizacje normalizacyjne powinny uwzględnić prace normalizacyjne przeprowadzone w kontekście decyzji wykonawczej Komisji C(2022) 5637 w sprawie wniosku o normalizację odnośnie do rozporządzenia delegowanego (UE) 2022/30 dotyczącego dyrektywy w sprawie urządzeń radiowych przy przygotowywaniu i opracowywaniu norm zharmonizowanych w celu ułatwienia wykonania niniejszego rozporządzenia.

(16)Dyrektywa 85/374/EWG 25 ma charakter uzupełniający w stosunku do niniejszego rozporządzenia. W dyrektywie tej określono przepisy dotyczące odpowiedzialności za produkty wadliwe, tak aby osoby poszkodowane mogły dochodzić kompensaty za szkodę wyrządzoną przez takie produkty. Ustanowiono w niej zasadę, że producent produktu jest odpowiedzialny za szkody spowodowane brakiem bezpieczeństwa produktu niezależnie od winy („odpowiedzialność na zasadzie ryzyka”). W przypadku gdy brak bezpieczeństwa polega na braku aktualizacji zabezpieczeń po wprowadzeniu produktu do obrotu, a produkt ten spowoduje szkodę, producenta można pociągnąć do odpowiedzialności. W niniejszym rozporządzeniu należy określić obowiązki producenta w zakresie zapewnienia takich aktualizacji zabezpieczeń.

(17)Niniejsze rozporządzenie nie powinno naruszać przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 26 , w tym przepisów dotyczących ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w dziedzinie ochrony danych mających świadczyć o zgodności z tym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. Takie operacje mogą być realizowane w produktach z elementami cyfrowymi. Najważniejszymi elementami rozporządzenia (UE) 2016/679 są uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych, jak również ogólnie pojęte cyberbezpieczeństwo. Dzięki zapewnieniu ochrony konsumentów i organizacji przed ryzykiem w cyberprzestrzeni ustanowione w niniejszym rozporządzeniu zasadnicze wymogi cyberbezpieczeństwa mają się też przyczynić do zwiększenia ochrony danych osobowych oraz prywatności osób fizycznych. Należy rozważyć możliwości synergii zarówno w obszarze normalizacji, jak i certyfikacji w zakresie aspektów cyberbezpieczeństwa w ramach współpracy między Komisją, europejskimi organizacjami normalizacyjnymi, Agencją Unii Europejskiej ds. Cyberbezpieczeństwa, Europejską Radą Ochrony Danych ustanowioną rozporządzeniem (UE) 2016/679 oraz krajowymi organami nadzorczymi odpowiedzialnymi za ochronę danych. Należy także zapewnić synergię między niniejszym rozporządzeniem a unijnymi przepisami o ochronie danych w dziedzinie nadzoru rynku i egzekwowania przepisów. W tym celu krajowe organy nadzoru rynku wyznaczone na podstawie niniejszego rozporządzenia powinny współpracować z organami nadzorującymi egzekwowanie unijnych przepisów o ochronie danych. Te ostatnie organy powinny także mieć dostęp do informacji istotnych dla realizacji ich zadań. 

(18)W zakresie, w jakim ich produkty wchodzą w zakres niniejszego rozporządzenia, wydawcy europejskich portfeli tożsamości cyfrowej, o których mowa w art. [art. 6a ust. 2 rozporządzenia (UE) nr 910/2014 zmienionego przez wniosek dotyczący rozporządzenia zmieniającego rozporządzenie (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej], powinni przestrzegać zarówno zasadniczych wymogów horyzontalnych ustanowionych w niniejszym rozporządzeniu, jak i szczególnych wymogów bezpieczeństwa ustanowionych w art. [art. 6a rozporządzenia (UE) nr 910/2014 zmienionego przez wniosek dotyczący rozporządzenia zmieniającego rozporządzenie (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej]. W celu ułatwienia zapewnienia zgodności wydawcy portfeli powinni mieć możliwość wykazania zgodności europejskich portfeli tożsamości cyfrowej z wymogami określonymi odpowiednio w obu aktach przez certyfikowanie swoich produktów w ramach europejskiego programu certyfikacji cyberbezpieczeństwa ustanowionego na podstawie rozporządzenia (UE) 2019/881, w odniesieniu do którego Komisja określiła, w drodze aktu wykonawczego, domniemanie zgodności z niniejszym rozporządzeniem w zakresie, w jakim certyfikat lub jego części obejmują te wymogi.

(19)Niektóre zadania przewidziane w niniejszym rozporządzeniu powinny być wykonywane przez ENISA zgodnie z art. 3 ust. 2 rozporządzenia (UE) 2019/881. W szczególności ENISA powinna otrzymywać od producentów zgłoszenia aktywnie wykorzystywanych podatności zawartych w produktach z elementami cyfrowymi, jak również zgłoszenia incydentów wpływających na bezpieczeństwo tych produktów. ENISA powinna także przekazywać te zgłoszenia właściwym zespołom reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) lub odpowiednio właściwym pojedynczym punktom kontaktowym państw członkowskich wyznaczonych zgodnie z art. [art. X] dyrektywy [dyrektywy XXX/XXXX (NIS 2)] oraz informować właściwe organy nadzoru rynku o zgłoszonej podatności. Na podstawie gromadzonych przez siebie informacji ENISA powinna co dwa lata przygotowywać sprawozdanie techniczne na temat pojawiających się tendencji w zakresie ryzyka w cyberprzestrzeni dotyczącego produktów z elementami cyfrowymi oraz przedkładać je grupie współpracy, o której mowa w dyrektywie [dyrektywie XXX/XXXX (NIS 2)]. Co więcej, zważywszy na jej wiedzę specjalistyczną i mandat, ENISA powinna mieć możliwość wspierania procesu wdrażania niniejszego rozporządzenia. W szczególności powinna mieć możliwość proponowania wspólnych działań, które miałyby być prowadzone przez organy nadzoru rynku, w oparciu o wskazania lub informacje dotyczące potencjalnej niezgodności z niniejszym rozporządzeniem produktów z elementami cyfrowymi w kilku państwach członkowskich lub wskazywania kategorii produktów, w odniesieniu do których należy zorganizować równoczesne skoordynowane działania kontrolne. W wyjątkowych okolicznościach, na wniosek Komisji, ENISA powinna mieć możliwość przeprowadzania ocen w odniesieniu do określonych produktów z elementami cyfrowymi, które stwarzają istotne ryzyko w cyberprzestrzeni, w przypadku gdy natychmiastowa interwencja jest niezbędna do utrzymania prawidłowego funkcjonowania rynku wewnętrznego.

(20)Produkty z elementami cyfrowymi powinny posiadać oznakowanie CE świadczące o ich zgodności z niniejszym rozporządzeniem, aby umożliwić ich swobodny przepływ na rynku wewnętrznym. Państwa członkowskie nie powinny stwarzać nieuzasadnionych przeszkód dla wprowadzania do obrotu produktów z elementami cyfrowymi zgodnych z wymogami określonymi w niniejszym rozporządzeniu i posiadających oznakowanie CE.

(21)Aby zapewnić producentom możliwość wydawania oprogramowania do celów testowania przed poddaniem produktów ocenie zgodności, państwa członkowskie nie powinny uniemożliwiać udostępniania nieukończonego oprogramowania, takiego jak wersje alfa, wersje beta lub kandydaci do wydania (ang. release candidate), o ile dana wersja jest udostępniana wyłącznie na okres niezbędny do jej przetestowania i uzyskania informacji zwrotnych. Producenci powinni zagwarantować, że oprogramowanie udostępniane na tych warunkach będzie wydawane dopiero po przeprowadzeniu oceny ryzyka oraz że będzie ono zgodne, w możliwie jak najszerszym zakresie, z wymogami bezpieczeństwa dotyczącymi właściwości produktów z elementami cyfrowymi nałożonymi w niniejszym rozporządzeniu. Producenci powinni także w możliwie jak najszerszym zakresie wdrożyć wymogi dotyczące postępowania w przypadku wykrycia podatności. Producenci nie powinni zmuszać użytkowników do aktualizacji do wersji, które wydano wyłącznie do celów testowania.

(22)W celu zapewnienia, aby produkty z elementami cyfrowymi po wprowadzeniu ich do obrotu nie stwarzały ryzyka w cyberprzestrzeni dla osób i organizacji, należy określić zasadnicze wymogi dotyczące takich produktów. Jeżeli takie produkty są następnie modyfikowane za pomocą środków fizycznych lub cyfrowych w sposób nieprzewidziany przez producenta i mogący oznaczać, że nie spełniają one już odpowiednich zasadniczych wymogów, taką modyfikację należy uznać za istotną. Na przykład aktualizacje lub naprawy oprogramowania można uznać za operacje w zakresie utrzymania pod warunkiem, że nie modyfikują one produktu już wprowadzonego do obrotu w sposób, który może wpływać na jego zgodność z obowiązującymi wymogami lub zmienić przeznaczenie, pod kątem którego dokonano oceny produktu. Podobnie jak w przypadku fizycznych napraw lub modyfikacji produkt z elementami cyfrowymi należy uznać za istotnie zmodyfikowany przez zmianę oprogramowania, jeżeli aktualizacja oprogramowania zmienia pierwotnie zamierzone funkcje, rodzaj lub działanie produktu, a zmian tych nie przewidziano we wstępnej ocenie ryzyka, lub gdy z powodu aktualizacji oprogramowania zmienił się charakter zagrożenia lub zwiększył się poziom ryzyka.

(23)Zgodnie z powszechnie przyjętym pojęciem istotnej zmiany w odniesieniu do produktów objętych unijnym prawodawstwem harmonizacyjnym za każdym razem, gdy następuje istotna modyfikacja, która może wpłynąć na zgodność produktu z niniejszym rozporządzeniem, lub gdy zmienia się przeznaczenie produktu, należy zweryfikować zgodność produktu z elementami cyfrowymi oraz, w stosownych przypadkach, poddać go nowej ocenie zgodności. W stosownych przypadkach, jeśli producent przeprowadza ocenę zgodności z udziałem strony trzeciej, należy powiadomić stronę trzecią o zmianach, które mogą prowadzić do istotnych modyfikacji.

(24)Odnawianie, utrzymanie i naprawa produktu z elementami cyfrowymi, zgodnie z definicją zawartą w rozporządzeniu [rozporządzeniu w sprawie ekoprojektu], niekoniecznie prowadzą do istotnej modyfikacji produktu, na przykład jeśli nie zmienią się przeznaczenie oraz funkcje oraz jeśli nie wpłynie to na poziom ryzyka. Unowocześnienie produktu przez producenta może jednak prowadzić do zmian w projektowaniu i opracowywaniu produktu i z tego względu może wpływać na przeznaczenie produktu oraz jego zgodność z wymogami określonymi w niniejszym rozporządzeniu.

(25)Produkt z elementami cyfrowymi należy uznać za krytyczny, jeśli negatywny wpływ wykorzystywania potencjalnych podatności wpływających na cyberbezpieczeństwo w produkcie może być dotkliwy, między innymi z uwagi na funkcje związane z cyberbezpieczeństwem lub przeznaczenie. W szczególności podatności w produktach z elementami cyfrowymi posiadających funkcje związane z cyberbezpieczeństwem, takie jak zabezpieczenia, mogą prowadzić do rozprzestrzeniania się problemów z bezpieczeństwem w całym łańcuchu dostaw. Dotkliwość wpływu cyberincydentu może zwiększyć się także wówczas, gdy uwzględnia się przeznaczenie produktu, np. wykorzystanie go w środowisku przemysłowym lub w kontekście podmiotu niezbędnego takiego jak podmioty, o których mowa w załączniku [załączniku I] do dyrektywy [dyrektywy XXX/ XXXX (NIS 2)], lub w odniesieniu do działania funkcji krytycznych lub wrażliwych, takich jak przetwarzanie danych osobowych.

(26)Produkty krytyczne z elementami cyfrowymi należy poddać bardziej rygorystycznym procedurom oceny zgodności przy jednoczesnym zachowaniu proporcjonalnego podejścia. W tym celu produkty krytyczne z elementami cyfrowymi należy podzielić na dwie klasy, odzwierciedlające poziom ryzyka w cyberprzestrzeni powiązanego z tymi kategoriami produktów. Potencjalny cyberincydent z udziałem produktów klasy II może prowadzić do poważniejszych negatywnych skutków niż incydent z udziałem produktów klasy I, na przykład z uwagi na charakter funkcji tych produktów związanej z cyberbezpieczeństwem lub ich przeznaczenie do wykorzystania w środowiskach wrażliwych, i z tego względu powinien on podlegać bardziej rygorystycznej procedurze oceny zgodności.

(27)Kategorie produktów krytycznych z elementami cyfrowymi, o których mowa w załączniku III do niniejszego rozporządzenia, należy rozumieć jako produkty, których podstawowa funkcjonalność jest jedną z funkcjonalności wymienionych w załączniku III do niniejszego rozporządzenia. Na przykład w załączniku III do niniejszego rozporządzenia wymieniono produkty, które na podstawie ich podstawowej funkcjonalności zdefiniowano jako mikroprocesory do zastosowań ogólnych w klasie II. W związku z tym mikroprocesory do zastosowań ogólnych podlegają obowiązkowej ocenie zgodności przez stronę trzecią. Taka sytuacja nie ma miejsca w przypadku innych produktów niewymienionych wprost w załączniku III do niniejszego rozporządzenia, które mogą zawierać mikroprocesor do zastosowań ogólnych. Komisja powinna przyjąć akty delegowane [przed upływem 12 miesięcy od wejścia w życie niniejszego rozporządzenia] w celu określenia definicji kategorii produktów objętych klasą I i klasą II wymienionych w załączniku III.

(28)W niniejszym rozporządzeniu odniesiono się w sposób ukierunkowany do ryzyka w cyberprzestrzeni. Produkty z elementami cyfrowymi mogą jednak stwarzać inne ryzyko w zakresie bezpieczeństwa, które nie jest związane z cyberbezpieczeństwem. Takie rodzaje ryzyka powinny nadal być uregulowane przez inne właściwe przepisy unijne dotyczące produktów. W przypadku braku innego mającego zastosowanie unijnego prawodawstwa harmonizacyjnego te rodzaje ryzyka powinny podlegać rozporządzeniu [rozporządzeniu w sprawie ogólnego bezpieczeństwa produktów]. Z tego względu, w świetle ukierunkowanego charakteru niniejszego rozporządzenia, jako odstępstwo od art. 2 ust. 1 akapit trzeci lit. b) rozporządzenia [rozporządzenia w sprawie ogólnego bezpieczeństwa produktów] zastosowanie do produktów z elementami cyfrowymi, jeżeli nie podlegają one szczegółowym wymogom nałożonym przez inne unijne prawodawstwo harmonizacyjne w rozumieniu [art. 3 pkt 25 rozporządzenia w sprawie ogólnego bezpieczeństwa produktów], w odniesieniu do ryzyka w zakresie bezpieczeństwa nieobjętego niniejszym rozporządzeniem powinny mieć rozdział III sekcja 1, rozdziały V i VII oraz rozdziały IX–XI rozporządzenia [rozporządzenia w sprawie ogólnego bezpieczeństwa produktów].

(29)Produkty z elementami cyfrowymi sklasyfikowane jako systemy sztucznej inteligencji wysokiego ryzyka zgodnie z art. 6 rozporządzenia 27 [rozporządzenia w sprawie sztucznej inteligencji], wchodzące w zakres niniejszego rozporządzenia, powinny spełniać zasadnicze wymogi określone w niniejszym rozporządzeniu. Jeżeli systemy sztucznej inteligencji wysokiego ryzyka spełniają zasadnicze wymogi niniejszego rozporządzenia, należy je uznać za zgodne z wymogami w zakresie cyberbezpieczeństwa określonymi w art. [art. 15] rozporządzenia [rozporządzenia w sprawie sztucznej inteligencji] w takim zakresie, w jakim wymogi te są objęte deklaracją zgodności UE lub jej częściami wydanymi na podstawie niniejszego rozporządzenia. Jeśli chodzi o procedury oceny zgodności dotyczące zasadniczych wymogów cyberbezpieczeństwa w odniesieniu do produktu z elementami cyfrowymi objętego niniejszym rozporządzeniem i sklasyfikowanego jako system sztucznej inteligencji wysokiego ryzyka, co do zasady zastosowanie powinny mieć nie przepisy niniejszego rozporządzenia, ale odpowiednie przepisy art. 43 rozporządzenia [rozporządzenia w sprawie sztucznej inteligencji]. Zasada ta nie powinna jednak powodować zmniejszenia niezbędnego poziomu bezpieczeństwa w odniesieniu do produktów krytycznych z elementami cyfrowymi objętych niniejszym rozporządzeniem. Z tego względu, na zasadzie odstępstwa od tej zasady, systemy sztucznej inteligencji wysokiego ryzyka, które wchodzą w zakres rozporządzenia [rozporządzenia w sprawie sztucznej inteligencji] i są również kwalifikowane jako produkty krytyczne z elementami cyfrowymi na podstawie niniejszego rozporządzenia oraz do których zastosowanie ma procedura oceny zgodności opierająca się na kontroli wewnętrznej, o której mowa w załączniku VI do rozporządzenia [rozporządzenia w sprawie sztucznej inteligencji], powinny podlegać przepisom niniejszego rozporządzenia dotyczącym oceny zgodności w zakresie zasadniczych wymogów niniejszego rozporządzenia. W tym przypadku do wszystkich pozostałych aspektów objętych rozporządzeniem [rozporządzeniem w sprawie sztucznej inteligencji] należy stosować odpowiednie przepisy dotyczące oceny zgodności opierającej się na kontroli wewnętrznej określone w załączniku VI do rozporządzenia [rozporządzenia w sprawie sztucznej inteligencji].

(30)Produkty maszynowe wchodzące w zakres rozporządzenia [wniosku dotyczącego rozporządzenia w sprawie maszyn], które są produktami z elementami cyfrowymi w rozumieniu niniejszego rozporządzenia i w odniesieniu do których wydano deklarację zgodności na podstawie niniejszego rozporządzenia, należy uznać za zgodne z zasadniczymi wymaganiami w zakresie ochrony zdrowia i bezpieczeństwa określonymi w [sekcjach 1.1.9 i 1.2.1 załącznika III] do rozporządzenia [wniosku dotyczącego rozporządzenia w sprawie maszyn] w odniesieniu do zabezpieczenia przed uszkodzeniem oraz bezpieczeństwa i niezawodności układów sterowania w zakresie, w jakim zgodność z tymi wymaganiami wykazano w deklaracji zgodności UE wydanej na podstawie niniejszego rozporządzenia.

(31)Rozporządzenie [wniosek dotyczący rozporządzenia w sprawie europejskiej przestrzeni danych dotyczących zdrowia] uzupełnia zasadnicze wymogi określone w niniejszym rozporządzeniu. Systemy elektronicznej dokumentacji medycznej wchodzące w zakres rozporządzenia [wniosku dotyczącego rozporządzenia w sprawie europejskiej przestrzeni danych dotyczących zdrowia], które stanowią produkty z elementami cyfrowymi w rozumieniu niniejszego rozporządzenia, powinny zatem także być zgodne z zasadniczymi wymogami określonymi w niniejszym rozporządzeniu. Ich producenci powinni wykazać zgodność produktów zgodnie z przepisami rozporządzenia [wniosku dotyczącego rozporządzenia w sprawie europejskiej przestrzeni danych dotyczących zdrowia]. W celu ułatwienia zapewnienia zgodności producentom umożliwia się sporządzanie jednej dokumentacji technicznej zawierającej elementy wymagane przez oba akty prawne. Ponieważ niniejsze rozporządzenie nie obejmuje oprogramowania jako usługi, systemy elektronicznej dokumentacji medycznej oferowane w ramach modelu udzielania licencji na oprogramowanie jako usługę oraz jego dostawy nie wchodzą w zakres niniejszego rozporządzenia. Podobnie systemy elektronicznej dokumentacji medycznej, które są opracowywane i wykorzystywane wewnętrznie, nie wchodzą w zakres niniejszego rozporządzenia, ponieważ nie są one wprowadzane do obrotu.

(32)W celu zapewnienia, aby produkty z elementami cyfrowymi były bezpieczne zarówno w momencie wprowadzenia ich do obrotu, jak i przez cały cykl ich życia, konieczne jest określenie zasadniczych wymogów w zakresie postępowania w przypadku wykrycia podatności oraz zasadniczych wymogów cyberbezpieczeństwa w odniesieniu do właściwości produktów z elementami cyfrowymi. Chociaż producenci powinni przestrzegać wszystkich zasadniczych wymogów w zakresie postępowania w przypadku wykrycia podatności oraz zapewnić, aby wszystkie ich produkty dostarczano bez żadnych znanych i możliwych do wykorzystania podatności, powinni oni określić, jakie inne zasadnicze wymogi dotyczące właściwości produktu są istotne dla danego rodzaju produktu. W tym celu producenci powinni przeprowadzić ocenę ryzyka w cyberprzestrzeni związanego z produktem z elementami cyfrowymi, aby zidentyfikować istotne ryzyko oraz wskazać istotne zasadnicze wymogi, jak również aby właściwie zastosować odpowiednie normy zharmonizowane lub wspólne specyfikacje.

(33)W celu poprawy bezpieczeństwa produktów z elementami cyfrowymi wprowadzanych na rynek wewnętrzny niezbędne jest określenie zasadniczych wymogów. Zasadnicze wymogi powinny pozostawać bez uszczerbku dla unijnych skoordynowanych ocen ryzyka krytycznych łańcuchów dostaw ustanowionych na mocy [art. X] dyrektywy [dyrektywy XXX/XXXX (NIS 2)] 28 , które uwzględniają zarówno techniczne, jak i – w stosownych przypadkach – pozatechniczne czynniki ryzyka, takie jak nadmierny wpływ państw trzecich na dostawców. Co więcej, powinny one pozostawać bez uszczerbku dla prerogatyw państw członkowskich w odniesieniu do określania dodatkowych wymogów, które uwzględniają czynniki pozatechniczne w celu zapewnienia wysokiego poziomu odporności, w tym te określone w zaleceniu (UE) 2019/534, w unijnej skoordynowanej ocenie ryzyka w zakresie bezpieczeństwa sieci 5G oraz w unijnym zestawie narzędzi na potrzeby cyberbezpieczeństwa sieci 5G uzgodnionym przez grupę współpracy NIS, o której mowa w [dyrektywie XXX/XXXX (NIS 2)].

(34)W celu zapewnienia, aby krajowe zespoły CSIRT oraz pojedyncze punkty kontaktowe wyznaczone zgodnie z art. [art. X] dyrektywy [dyrektywy XX/XXXX (NIS 2)] otrzymywały informacje niezbędne do realizacji swoich zadań oraz podniesienia ogólnego poziomu cyberbezpieczeństwa podmiotów niezbędnych i istotnych, a także w celu zapewnienia skutecznego funkcjonowania organów nadzoru rynku producenci produktów z elementami cyfrowymi powinni zgłaszać ENISA podatności, które są aktywnie wykorzystywane. Ponieważ większość produktów z elementami cyfrowymi jest wprowadzana na obrotu na całym rynku wewnętrznym, każdą podatność wykorzystywaną w produkcie z elementami cyfrowymi należy uznać za zagrożenie dla funkcjonowania rynku wewnętrznego. Producenci powinni także rozważyć ujawnianie naprawionych podatności w europejskiej bazie danych dotyczących podatności utworzonej na podstawie dyrektywy [dyrektywy XX/XXXX (NIS 2)] i zarządzanej przez ENISA lub w jakiejkolwiek innej publicznie dostępnej bazie danych dotyczących podatności.

(35)Producenci powinni także zgłaszać do ENISA wszelkie incydenty wpływające na bezpieczeństwo produktu z elementami cyfrowymi. Niezależnie od obowiązków w zakresie zgłaszania incydentów nałożonych w dyrektywie [dyrektywie XXX/XXXX (NIS 2)] na podmioty niezbędne i istotne, konieczne jest, aby ENISA, pojedyncze punkty kontaktowe wyznaczone przez państwa członkowskie zgodnie z art. [art. X] dyrektywy [dyrektywy XXX/XXXX (NIS 2)] oraz organy nadzoru rynku otrzymywały od producentów produktów z elementami cyfrowymi informacje umożliwiające im ocenę bezpieczeństwa tych produktów. Aby zapewnić użytkownikom możliwość szybkiego reagowania na incydenty wpływające na bezpieczeństwo należących do nich produktów z elementami cyfrowymi, producenci powinni informować także użytkowników o wszelkich takich incydentach, a w stosownych przypadkach o wszelkich środkach naprawczych, które użytkownicy mogą zastosować w celu złagodzenia skutków incydentu, na przykład publikując odpowiednie informacje na swoich stronach internetowych lub, jeżeli producent jest w stanie skontaktować się z użytkownikami i jeżeli jest to uzasadnione przez ryzyko, docierając bezpośrednio do użytkowników.

(36)Producenci produktów z elementami cyfrowymi powinni wdrożyć politykę skoordynowanego ujawniania podatności, aby ułatwić zgłaszanie podatności przez osoby lub podmioty. W polityce skoordynowanego ujawniania podatności należy określić ustrukturyzowany proces, w ramach którego podatności zgłaszane są producentowi w sposób umożliwiający mu zdiagnozowanie i wyeliminowanie takich podatności, zanim szczegółowe informacje dotyczące podatności zostaną ujawnione osobom trzecim lub podane do wiadomości publicznej. Biorąc pod uwagę fakt, że informacje na temat możliwych do wykorzystania podatności w powszechnie używanych produktach z elementami cyfrowymi mogą być sprzedawane po wysokich cenach na czarnym rynku, producenci takich produktów powinni mieć możliwość korzystania z programów, będących częścią ich polityki skoordynowanego ujawniania podatności, których celem jest zachęcanie do zgłaszania podatności przez zagwarantowanie osobom lub podmiotom uznania oraz wynagrodzenia za ich starania (tak zwane programy wynagrodzeń za wykryte błędy, ang. bug bounty).

(37)Aby ułatwić analizę podatności, producenci powinni identyfikować i dokumentować komponenty zawarte w produkcie z elementami cyfrowymi, w tym przez sporządzenie zestawienia podstawowych materiałów do produkcji oprogramowania. Dzięki zestawieniu podstawowych materiałów do produkcji oprogramowania osoby lub podmioty, które produkują, nabywają lub obsługują oprogramowanie, mogą uzyskać informacje podnoszące ich poziom zrozumienia łańcucha dostaw, co przynosi liczne korzyści, w szczególności pomaga producentom i użytkownikom w śledzeniu znanych i nowo pojawiających się podatności oraz ryzyka. Szczególnie istotne jest zapewnienie przez producentów, aby ich produkty nie zawierały opracowanych przez strony trzecie komponentów, w których mogą występować podatności.

(38)W celu ułatwienia oceny zgodności z wymogami określonymi w niniejszym rozporządzeniu należy przyjąć domniemanie zgodności produktów z elementami cyfrowymi, które są zgodne z normami zharmonizowanymi, w których zasadnicze wymogi niniejszego rozporządzenia przełożono na szczegółowe specyfikacje techniczne oraz które przyjęto zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 1025/2012 29 . W rozporządzeniu (UE) nr 1025/2012 przewidziano procedurę sprzeciwu wobec norm zharmonizowanych, w przypadku gdy normy takie nie spełniają w pełni wymogów niniejszego rozporządzenia.

(39)W rozporządzeniu (UE) 2019/881 ustanowiono europejskie ramy dobrowolnej certyfikacji cyberbezpieczeństwa dotyczącej produktów, procesów i usług ICT. Europejskie programy certyfikacji cyberbezpieczeństwa mogą obejmować produkty z elementami cyfrowymi objęte niniejszym rozporządzeniem. Niniejsze rozporządzenie powinno stworzyć synergię z rozporządzeniem (UE) 2019/881. W celu ułatwienia oceny zgodności z wymogami określonymi w niniejszym rozporządzeniu produkty z elementami cyfrowymi, które uzyskały certyfikację lub w odniesieniu do których wydano deklarację zgodności w ramach programu certyfikacji cyberbezpieczeństwa zgodnie z rozporządzeniem (UE) 2019/881, co zostało określone przez Komisję w akcie wykonawczym, uznaje się za zgodne z zasadniczymi wymogami określonymi w niniejszym rozporządzeniu w zakresie, w jakim certyfikat cyberbezpieczeństwa bądź deklaracja zgodności lub ich części obejmują te wymogi. W świetle niniejszego rozporządzenia należy ocenić potrzebę nowych europejskich programów certyfikacji cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi. W takich przyszłych europejskich programach certyfikacji cyberbezpieczeństwa obejmujących produkty z elementami cyfrowymi należy uwzględnić zasadnicze wymogi określone w niniejszym rozporządzeniu oraz ułatwiać zapewnienie zgodności z niniejszym rozporządzeniem. Komisja powinna być uprawniona do określania, w drodze aktów wykonawczych, europejskich programów certyfikacji cyberbezpieczeństwa, które można stosować w celu wykazania zgodności z zasadniczymi wymogami określonymi w niniejszym rozporządzeniu. Co więcej, aby uniknąć nałożenia na producentów nadmiernego obciążenia administracyjnego, w stosownych przypadkach Komisja powinna określić, czy certyfikat cyberbezpieczeństwa wydany w ramach takich europejskich programów certyfikacji cyberbezpieczeństwa zwalnia producentów z obowiązku przeprowadzenia oceny zgodności przez stronę trzecią, jak przewidziano w niniejszym rozporządzeniu w odniesieniu do odpowiednich wymogów.

(40)Po wejściu w życie aktu wykonawczego określającego [rozporządzenia wykonawczego Komisji (UE) nr …/... z dnia XXX w sprawie europejskiego programu certyfikacji cyberbezpieczeństwa opartego na wspólnych kryteriach] (EUCC), który dotyczy sprzętu komputerowego objętego niniejszym rozporządzeniem, takiego jak sprzętowe moduły bezpieczeństwa i mikroprocesory, Komisja może określić, w drodze aktu wykonawczego, w jaki sposób EUCC zapewnia domniemanie zgodności z zasadniczymi wymogami, o których mowa w załączniku I do niniejszego rozporządzenia lub jego części. Co więcej, w takim akcie wykonawczym można określić, w jaki sposób certyfikat wydany w ramach EUCC zwalnia producentów z obowiązku przeprowadzenia oceny przez stronę trzecią, wymaganej w niniejszym rozporządzeniu w odniesieniu do odpowiednich wymogów.

(41)W przypadkach, w których nie przyjęto żadnych norm zharmonizowanych lub w których normy zharmonizowane nie realizują zasadniczych wymogów niniejszego rozporządzenia w wystarczającym stopniu, Komisja powinna mieć możliwość przyjęcia wspólnych specyfikacji w drodze aktów wykonawczych. Powodem opracowania takich wspólnych specyfikacji zamiast opierania się na normach zharmonizowanych może być odmowa realizacji zlecenia normalizacji przez którąkolwiek z europejskich organizacji normalizacyjnych, nieuzasadniona zwłoka w ustanowieniu właściwych norm zharmonizowanych lub brak zgodności opracowanych norm z wymogami niniejszego rozporządzenia lub z wnioskiem Komisji. W celu ułatwienia oceny zgodności z zasadniczymi wymogami określonymi w niniejszym rozporządzeniu należy przyjąć domniemanie zgodności w odniesieniu do produktów z elementami cyfrowymi, które są zgodne ze wspólnymi specyfikacjami przyjętymi przez Komisję zgodnie z niniejszym rozporządzeniem w celu wyrażenia szczegółowych specyfikacji technicznych dotyczących tych wymogów.

(42)Producenci powinni sporządzić deklarację zgodności UE zawierającą wymagane na podstawie niniejszego rozporządzenia informacje na temat zgodności produktów z elementami cyfrowymi z zasadniczymi wymogami zawartymi w niniejszym rozporządzeniu oraz, w stosownych przypadkach, w innym właściwym unijnym prawodawstwie harmonizacyjnym, którym objęty jest produkt. Inne przepisy Unii również mogą nakładać na producentów obowiązek sporządzenia deklaracji zgodności UE. Aby zagwarantować skuteczny dostęp do informacji do celów nadzoru rynku, należy sporządzić jedną deklarację zgodności UE dotyczącą zgodności ze wszystkimi właściwymi aktami Unii. Aby zmniejszyć obciążenie administracyjne podmiotów gospodarczych, należy umożliwić, aby ta jedna deklaracja zgodności UE mogła mieć formę folderu złożonego z odpowiednich poszczególnych deklaracji zgodności.

(43)Oznakowanie CE, symbolizujące zgodność produktu, jest widoczną konsekwencją całego procesu obejmującego ocenę zgodności w szerokim znaczeniu. Ogólne zasady regulujące oznakowanie CE ustanowiono w rozporządzeniu Parlamentu Europejskiego i Rady (WE) nr 765/2008 30 . W niniejszym rozporządzeniu należy ustanowić zasady regulujące umieszczanie oznakowania CE na produktach z elementami cyfrowymi. Oznakowanie CE powinno być jedynym oznakowaniem gwarantującym, że produkty z elementami cyfrowymi spełniają wymogi niniejszego rozporządzenia.

(44)Aby podmioty gospodarcze mogły wykazać zgodność z zasadniczymi wymogami określonymi w niniejszym rozporządzeniu, a organy nadzoru rynku mogły zapewnić zgodność produktów z elementami cyfrowymi udostępnianych na rynku z tymi wymogami, należy ustanowić procedury oceny zgodności. Decyzją Parlamentu Europejskiego i Rady nr 768/2008/WE 31 ustanowiono moduły procedur oceny zgodności proporcjonalnie do poziomu występującego ryzyka oraz wymaganego poziomu bezpieczeństwa. Aby zapewnić spójność między sektorami oraz uniknąć wariantów ad hoc, na tych modułach oparto procedury oceny zgodności odpowiednie do celów weryfikacji zgodności produktów z elementami cyfrowymi z zasadniczymi wymogami określonymi w niniejszym rozporządzeniu. W procedurze oceny zgodności należy zbadać i zweryfikować wymogi dotyczące zarówno produktu, jak i procesu, obejmujące cały cykl życia produktów z elementami cyfrowymi, w tym planowanie, projektowanie, opracowywanie lub produkcję, testowanie i utrzymanie produktu.

(45)Co do zasady ocenę zgodności produktów z elementami cyfrowymi powinien przeprowadzać producent na własną odpowiedzialność zgodnie z procedurą na podstawie modułu A określonego w decyzji 768/2008/WE. Producent powinien zachować elastyczność co do możliwości wyboru bardziej rygorystycznej procedury oceny zgodności z udziałem strony trzeciej. Jeżeli produkt sklasyfikowano jako produkt krytyczny klasy I, niezbędny jest zwiększony poziom pewności w celu wykazania zgodności z zasadniczymi wymogami określonymi w niniejszym rozporządzeniu. Jeśli producent chce przeprowadzić ocenę zgodności na własną odpowiedzialność (moduł A), powinien stosować normy zharmonizowane, wspólne specyfikacje lub programy certyfikacji cyberbezpieczeństwa na podstawie rozporządzenia (UE) 2019/881 wskazane przez Komisję w akcie wykonawczym. Jeśli producent nie stosuje takich norm zharmonizowanych, wspólnych specyfikacji ani programów certyfikacji cyberbezpieczeństwa, powinien przeprowadzić ocenę zgodności z udziałem strony trzeciej. Uwzględniając obciążenie administracyjne nałożone na producenta oraz fakt, że cyberbezpieczeństwo odgrywa ważną rolę na etapie projektowania i opracowywania materialnych i niematerialnych produktów z elementami cyfrowymi, wybrano procedury oceny zgodności oparte odpowiednio na modułach B+C lub module H określonych w decyzji 768/2008/WE jako najbardziej odpowiednie do celów przeprowadzenia oceny zgodności produktów krytycznych z elementami cyfrowymi w sposób proporcjonalny i skuteczny. Producent, który organizuje przeprowadzenie oceny zgodności przez stronę trzecią, może wybrać procedurę, która najlepiej odpowiada jego procesom projektowania i produkcji. Biorąc pod uwagę jeszcze większe ryzyko w cyberprzestrzeni związane z używaniem produktów sklasyfikowanych jako produkty krytyczne klasy II, ocena zgodności powinna zawsze obejmować stronę trzecią.

(46)Chociaż tworzenie materialnych produktów z elementami cyfrowymi zazwyczaj wymaga od producentów podejmowania istotnych starań na etapach projektowania, opracowywania i produkcji, tworzenie produktów z elementami cyfrowymi w formie oprogramowania jest skoncentrowane prawie wyłącznie na projektowaniu i opracowywaniu, natomiast etap produkcji odgrywa mniej znaczącą rolę. Niemniej jednak w wielu przypadkach oprogramowanie przed wprowadzeniem do obrotu nadal należy skompilować, zbudować, zapakietować, udostępnić do pobierania lub skopiować na nośniki fizyczne. Działania te należy uznać za działania odpowiadające produkcji przy stosowaniu odpowiednich modułów oceny zgodności w celu weryfikacji zgodności produktu z zasadniczymi wymaganiami niniejszego rozporządzenia na etapach projektowania, opracowywania i produkcji.

(47)Do celów oceny zgodności produktów z elementami cyfrowymi przeprowadzanej przez osobę trzecią krajowe organy notyfikujące powinny notyfikować Komisji i pozostałym państwom członkowskim jednostki oceniające zgodność, pod warunkiem że spełniają one szereg wymogów, w szczególności dotyczących niezależności, kompetencji i braku konfliktu interesów.

(48)W celu zapewnienia spójnego poziomu jakości podczas przeprowadzania oceny zgodności produktów z elementami cyfrowymi należy także określić wymogi w odniesieniu do organów notyfikujących i innych organów uczestniczących w ocenianiu, notyfikowaniu i monitorowaniu jednostek notyfikowanych. System określony w niniejszym rozporządzeniu należy uzupełnić o system akredytacji przewidziany w rozporządzeniu (WE) nr 765/2008. Ponieważ akredytacja stanowi istotny środek weryfikacji kompetencji jednostek oceniających zgodność, powinno się stosować ją również do celów notyfikacji.

(49)Za preferowaną metodę wykazywania kompetencji technicznych jednostek oceniających zgodność krajowe organy publiczne w całej Unii powinny uznać przejrzystą akredytację zgodną z rozporządzeniem (WE) nr 765/2008, zapewniającą niezbędny poziom zaufania do certyfikatów zgodności. Organy krajowe mogą jednak uznać, że dysponują odpowiednimi środkami do samodzielnego przeprowadzenia takiej oceny. W takich przypadkach w celu zapewnienia odpowiedniego stopnia wiarygodności ocen przeprowadzanych przez inne organy krajowe organy te powinny przedstawić Komisji i innym państwom członkowskim niezbędne dowody w postaci dokumentów wykazujące, że poddane ocenie jednostki oceniające zgodność spełniają odpowiednie wymogi regulacyjne.

(50)Jednostki oceniające zgodność często zlecają realizację części zadań związanych z oceną zgodności podwykonawcom lub korzystają z usług jednostek zależnych. W celu zapewnienia poziomu bezpieczeństwa wymaganego w przypadku produktu z elementami cyfrowymi, który ma zostać wprowadzony do obrotu, zasadnicze znaczenie ma to, aby w ramach wykonywania zadań oceny zgodności podwykonawcy i spółki zależne spełniali te same wymogi co jednostki notyfikowane.

(51)Organ notyfikujący powinien wysłać notyfikację jednostki oceniającej zgodność Komisji i pozostałym państwom członkowskim za pomocą systemu informacyjnego NANDO. NANDO jest elektronicznym narzędziem do notyfikacji, opracowanym i zarządzanym przez Komisję, w którym można znaleźć wykaz wszystkich jednostek notyfikowanych.

(52)Ponieważ jednostki notyfikowane mają możliwość oferowania swoich usług w całej Unii, należy zapewnić pozostałym państwom członkowskim i Komisji możliwość wnoszenia sprzeciwu wobec jednostek notyfikowanych. Istotne zatem jest ustalenie terminu, w jakim możliwe będzie wyjaśnienie jakichkolwiek wątpliwości lub obaw co do kompetencji jednostek oceniających zgodność, zanim zaczną one prowadzić działalność jako jednostki notyfikowane.

(53)Z punktu widzenia konkurencyjności bardzo ważne jest, aby jednostki notyfikowane stosowały procedury oceny zgodności bez tworzenia zbędnego obciążenia dla podmiotów gospodarczych. Z tego samego powodu oraz w celu zapewnienia równego traktowania podmiotów gospodarczych należy zapewnić spójność stosowania procedur oceny zgodności pod względem technicznym. Najlepszym sposobem na osiągnięcie tego celu jest odpowiednia koordynacja jednostek notyfikowanych i współpraca między nimi.

(54)Nadzór rynku jest instrumentem istotnym dla zapewnienia właściwego i jednolitego stosowania przepisów Unii. Dlatego właściwe jest stworzenie ram prawnych, w których nadzór rynku może być sprawowany w sposób odpowiedni. Do produktów z elementami cyfrowymi objętymi niniejszym rozporządzeniem stosuje się przepisy dotyczące nadzoru rynku unijnego oraz kontroli produktów wprowadzanych na rynek Unii przewidziane w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2019/1020 32 .

(55)Zgodnie z rozporządzeniem (UE) 2019/1020 nadzór rynku na terytorium danego państwa członkowskiego sprawują organy nadzoru rynku. Niniejsze rozporządzenie nie powinno uniemożliwiać państwom członkowskim wyboru właściwych organów do wykonywania tych zadań. Każde państwo członkowskie powinno wyznaczyć na swoim terytorium co najmniej jeden organ nadzoru rynku. Państwa członkowskie mogą wyznaczyć do pełnienia funkcji organu nadzoru rynku dowolny istniejący lub nowy organ, w tym właściwe organy krajowe, o których mowa w art. [art. X] dyrektywy [dyrektywy XXX/XXXX (NIS 2)], lub wyznaczone krajowe organy ds. certyfikacji cyberbezpieczeństwa, o których mowa w art. 58 rozporządzenia (UE) 2019/881. Podmioty gospodarcze powinny w pełni współpracować z organami nadzoru rynku i innymi właściwymi organami. Każde państwo członkowskie powinno poinformować Komisję i pozostałe państwa członkowskie o swoich organach nadzoru rynku oraz obszarach kompetencji każdego z tych organów, a także zagwarantować zasoby i umiejętności niezbędne do wykonywania zadań z zakresu nadzoru związanych z niniejszym rozporządzeniem. Zgodnie z art. 10 ust. 2 i 3 rozporządzenia (UE) 2019/1020 każde państwo członkowskie powinno wyznaczyć jednolity urząd łącznikowy, który powinien być odpowiedzialny między innymi za reprezentowanie skoordynowanego stanowiska organów nadzoru rynku oraz wspomaganie współpracy między organami nadzoru rynku w różnych państwach członkowskich.

(56)Na podstawie art. 30 ust. 2 rozporządzenia (UE) 2019/1020 należy ustanowić specjalną grupę współpracy administracyjnej (grupę ADCO) w celu jednolitego stosowania niniejszego rozporządzenia. Grupa ADCO powinna składać się z przedstawicieli wyznaczonych krajowych organów nadzoru rynku oraz – w razie potrzeby – z przedstawicieli jednolitych urzędów łącznikowych. Komisja powinna wspierać współpracę między organami nadzoru rynku i zachęcać do takiej współpracy za pośrednictwem Unijnej Sieci ds. Zgodności Produktów ustanowionej na mocy art. 29 rozporządzenia (UE) 2019/1020 i składającej się z przedstawicieli każdego państwa członkowskiego, w tym przedstawiciela każdego z jednolitych urzędów łącznikowych, o których mowa w art. 10 rozporządzenia (UE) 2019/1020, oraz – fakultatywnie – eksperta krajowego, przewodniczących grup ADCO oraz przedstawicieli Komisji. Komisja powinna uczestniczyć w posiedzeniach Sieci, jej podgrup i odpowiedniej grupy ADCO. Powinna także wspierać tę grupę ADCO za pośrednictwem sekretariatu wykonawczego zapewniającego wsparcie techniczne i logistyczne.

(57)W celu zapewnienia terminowych, proporcjonalnych i skutecznych środków dotyczących produktów z elementami cyfrowymi stwarzającymi istotne ryzyko w cyberprzestrzeni należy przewidzieć unijną procedurę ochronną, w ramach której zainteresowane strony będą informowane o planowanych środkach dotyczących takich produktów. Powinna ona również umożliwiać organom nadzoru rynku podejmowanie w razie potrzeby – we współpracy z zainteresowanymi podmiotami gospodarczymi – działań na wcześniejszym etapie. W przypadku gdy państwa członkowskie i Komisja osiągną porozumienie co do zasadności środka przyjętego przez państwo członkowskie, nie należy wymagać dalszego zaangażowania Komisji, z wyjątkiem przypadków, w których niezgodność można przypisać brakom w normie zharmonizowanej.

(58)W określonych przypadkach produkt z elementami cyfrowymi, który jest zgodny z niniejszym rozporządzeniem, może jednak stwarzać istotne ryzyko w cyberprzestrzeni lub stwarzać ryzyko dla zdrowia lub bezpieczeństwa osób, dla wypełnienia obowiązków wynikających z prawa Unii lub prawa krajowego mających na celu ochronę praw podstawowych, dostępności, autentyczności, integralności lub poufności usług oferowanych przy użyciu elektronicznego systemu informacyjnego przez podmioty niezbędne takie jak podmioty, o których mowa w [załączniku I do dyrektywy XXX/XXXX (NIS 2)], lub dla innych aspektów ochrony interesu publicznego. Z tego względu niezbędne jest ustanowienie zasad gwarantujących zmniejszenie tego rodzaju ryzyka. W związku z tym organy nadzoru rynku powinny wprowadzić środki w celu nałożenia na podmioty gospodarcze obowiązku zapewnienia, aby produkt przestał stwarzać dane ryzyko, odzyskania produktu lub wycofania go, w zależności od ryzyka. Gdy tylko organ nadzoru rynku ograniczy swobodny przepływ lub zakaże swobodnego przepływu produktu, państwo członkowskie powinno bezzwłocznie powiadomić Komisję i pozostałe państwa członkowskie o środkach tymczasowych, podając powody oraz uzasadnienie tej decyzji. W przypadku gdy organ nadzoru rynku wprowadza takie środki w odniesieniu do produktów stwarzających ryzyko, Komisja powinna niezwłocznie rozpocząć konsultacje z odnośnymi państwami członkowskimi i zainteresowanym podmiotem gospodarczym lub zainteresowanymi podmiotami gospodarczymi oraz dokonać oceny tego środka krajowego. Na podstawie wyników tej oceny Komisja powinna zdecydować, czy środek krajowy jest uzasadniony czy nie. Komisja powinna skierować swoją decyzję do wszystkich państw członkowskich i natychmiast przekazać ją państwom członkowskim oraz stosownemu podmiotowi lub stosownym podmiotom gospodarczym. Jeśli środek zostanie uznany za uzasadniony, Komisja może również rozważyć przyjęcie wniosków dotyczących zmiany właściwych przepisów Unii.

(59)W przypadku produktów z elementami cyfrowymi stwarzających istotne ryzyko w cyberprzestrzeni oraz w przypadkach, w których istnieją powody, aby przypuszczać, że produkty te nie są zgodne z niniejszym rozporządzeniem, lub w przypadku produktów, które są zgodne z niniejszym rozporządzeniem, ale stwarzają inne istotne ryzyko, takie jak ryzyko dla zdrowia lub bezpieczeństwa osób, praw podstawowych lub świadczenia usług przez podmioty niezbędne takie jak podmioty, o których mowa w [załączniku I do dyrektywy XXX/XXXX (NIS 2)], Komisja może zwrócić się do ENISA o przeprowadzenie oceny. Na podstawie tej oceny Komisja może przyjąć, w drodze aktów wykonawczych, środki naprawcze lub ograniczające na szczeblu Unii, w tym nakaz wycofania z obrotu lub odzyskania przedmiotowych produktów w rozsądnym terminie, stosownym do charakteru ryzyka. Komisja może skorzystać z takiej interwencji wyłącznie w wyjątkowych okolicznościach, które uzasadniają niezwłoczną interwencję w celu utrzymania prawidłowego funkcjonowania rynku wewnętrznego oraz wyłącznie wówczas, gdy organy nadzoru nie wprowadziły żadnych skutecznych środków w celu zaradzenia sytuacji. Takimi wyjątkowymi okolicznościami mogą być sytuacje nadzwyczajne, w których przykładowo niezgodny produkt jest szeroko udostępniany przez producenta w kilku państwach członkowskich i wykorzystywany także w kluczowych sektorach przez podmioty objęte zakresem [dyrektywy XXX/XXXX (NIS 2)], mimo że zawiera znane podatności, które są wykorzystywane przez podmioty działające w złym zamiarze i w odniesieniu do których producent nie zapewnia dostępnych poprawek. W takich sytuacjach nadzwyczajnych Komisja może interweniować wyłącznie na czas trwania wyjątkowych okoliczności oraz jeśli niezgodność z niniejszym rozporządzeniem lub istotne ryzyko stwarzane przez produkt się utrzymują.

(60)W przypadkach, w których istnieją przesłanki wskazujące na niezgodność z niniejszym rozporządzeniem w kilku państwach członkowskich, organy nadzoru rynku powinny mieć możliwość podjęcia wspólnych działań z innymi organami w celu weryfikacji zgodności oraz identyfikacji ryzyka w cyberprzestrzeni dotyczącego produktów z elementami cyfrowymi.

(61)Jednoczesne skoordynowane działania kontrolne („akcje kontrolne”) są określonymi akcjami kontrolnymi przeprowadzanymi przez organy nadzoru rynku, które mogą jeszcze bardziej wzmocnić bezpieczeństwo produktu. Akcje kontrolne należy przeprowadzać w szczególności wówczas, gdy tendencje rynkowe, skargi konsumentów lub inne przesłanki wskazują, że określone kategorie produktów są często uznawane za stwarzające ryzyko w cyberprzestrzeni. ENISA powinna składać wnioski dotyczące kategorii produktów, w odniesieniu do których organy nadzoru rynku mogą organizować akcje kontrolne, między innymi na podstawie otrzymywanych zgłoszeń podatności produktu oraz incydentów.

(62)Aby w razie potrzeby zapewnić możliwość dostosowania ram regulacyjnych, należy przekazać Komisji uprawnienia do przyjmowania na podstawie art. 290 Traktatu aktów w celu aktualizacji wykazu produktów krytycznych zawartych w załączniku III oraz sprecyzowania definicji tych kategorii produktów. Należy też przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z tym artykułem w celu wskazania produktów z elementami cyfrowymi objętych innymi przepisami unijnymi, które zapewniają taki sam poziom ochrony jak niniejsze rozporządzenie, w których Komisja powinna określić, czy konieczne jest ograniczenie lub wyłączenie z zakresu niniejszego rozporządzenia, jak również – w stosownych przypadkach – zakres tego ograniczenia. Należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z tym artykułem w odniesieniu do potencjalnego upoważnienia do certyfikacji określonych produktów wysoce krytycznych z elementami cyfrowymi w oparciu o kryteria krytyczności wskazane w niniejszym rozporządzeniu, jak również do określenia minimalnego zakresu deklaracji zgodności UE oraz uzupełnienia elementów, które należy uwzględnić w dokumentacji technicznej. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa 33 . W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

(63)W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia należy powierzyć Komisji uprawnienia wykonawcze do: określenia formatu i elementów zestawienia podstawowych materiałów do produkcji oprogramowania, dokładniejszego określenia rodzaju informacji przekazywanych w zgłoszeniach aktywnie wykorzystywanych podatności oraz incydentów składanych w ENISA przez producentów oraz formatu tych zgłoszeń i procedury ich składania, określenia przyjętych na podstawie rozporządzenia (UE) 2019/881 europejskich programów certyfikacji cyberbezpieczeństwa, z których można korzystać w celu wykazania zgodności z zasadniczymi wymogami lub ich częściami wskazanymi w załączniku I do niniejszego rozporządzenia, przyjmowania wspólnych specyfikacji dotyczących zasadniczych wymogów określonych w załączniku I, określania specyfikacji technicznych dotyczących piktogramów lub wszelkich innych znaków związanych z bezpieczeństwem produktów z elementami cyfrowymi oraz mechanizmów służących promowaniu ich wykorzystania, podejmowania decyzji o zastosowaniu środków naprawczych lub ograniczających na szczeblu Unii w wyjątkowych okolicznościach, które uzasadniają natychmiastową interwencję w celu utrzymania prawidłowego funkcjonowania rynku wewnętrznego. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 34 .

(64)W celu zapewnienia opartej na zaufaniu i konstruktywnej współpracy organów nadzoru rynku na szczeblu unijnym i krajowym wszystkie strony zaangażowane w stosowanie niniejszego rozporządzenia powinny przestrzegać zasady poufności informacji i danych uzyskanych podczas wykonywania swoich zadań.

(65)Aby zapewnić skuteczne egzekwowanie obowiązków przewidzianych w niniejszym rozporządzeniu, każdy organ nadzoru rynku powinien być uprawniony do nakładania lub żądania nałożenia administracyjnych kar pieniężnych. Z tego względu należy określić maksymalne poziomy administracyjnych kar pieniężnych, które powinno się przewidzieć w przepisach krajowych za nieprzestrzeganie obowiązków określonych w niniejszym rozporządzeniu. Decydując o wysokości administracyjnej kary pieniężnej w każdym indywidualnym przypadku, należy uwzględnić wszystkie istotne okoliczności konkretnej sytuacji, a co najmniej te wyraźnie określone w niniejszym rozporządzeniu, w tym to, czy wobec tego samego podmiotu gospodarczego za podobne naruszenia inne organy nadzoru rynku zastosowały już administracyjne kary pieniężne. Mogą to być zarówno okoliczności obciążające, w sytuacjach, w których naruszenie popełnione przez ten sam podmiot gospodarczy utrzymuje się na terytorium państw członkowskich innych niż to, w którym już zastosowano administracyjną karę pieniężną, lub okoliczności łagodzące, które polegają na zapewnieniu, aby w każdej innej administracyjnej karze pieniężnej rozważanej przez inny organ nadzoru rynku dla tego samego podmiotu gospodarczego lub za taki sam rodzaj naruszenia uwzględniono, oprócz innych istotnych określonych okoliczności, karę oraz jej wysokość nałożoną w innych państwach członkowskich. We wszystkich takich przypadkach przy wymierzaniu łącznej administracyjnej kary pieniężnej, którą mogą zastosować organy nadzoru rynku kilku państw członkowskich wobec tego samego podmiotu gospodarczego za ten sam rodzaj naruszenia, należy zagwarantować poszanowanie zasady proporcjonalności.

(66)Jeżeli administracyjne kary pieniężne są nakładane na osoby niebędące przedsiębiorstwem, właściwy organ, ustalając właściwą wysokość kary pieniężnej, powinien brać pod uwagę ogólny poziom dochodów w danym państwie członkowskim oraz sytuację ekonomiczną tej osoby. Państwa członkowskie powinny określić, czy i w jakim zakresie administracyjnym karom pieniężnym powinny podlegać organy publiczne.

(67)W stosunkach z państwami trzecimi UE dąży do promowania międzynarodowego handlu produktami regulowanymi. W celu ułatwienia handlu można stosować szeroki zakres środków, w tym kilka instrumentów prawnych, takich jak dwustronne (międzyrządowe) umowy o wzajemnym uznawaniu oceny zgodności oraz znakowanie produktów regulowanych. Umowy o wzajemnym uznawaniu są zawierane między Unią a państwami trzecimi, które znajdują się na porównywalnym poziomie rozwoju technicznego oraz mają podobne podejście do oceny zgodności. Umowy te są oparte na wzajemnej akceptacji certyfikatów, znaków zgodności oraz raportów z badań wydawanych przez jednostki oceniające zgodność którejkolwiek ze stron zgodnie z prawodawstwem drugiej strony. Obecnie umowy o wzajemnym uznawaniu obowiązują w odniesieniu do kilku krajów. Umowy zawarto w odniesieniu do szeregu sektorów, które mogą różnić się w zależności od kraju. Aby jeszcze bardziej ułatwić handel, a także z uwagi na fakt, że łańcuchy dostaw produktów z elementami cyfrowymi mają charakter globalny, umowy o wzajemnym uznawaniu dotyczące oceny zgodności mogą być zawierane przez Unię w odniesieniu do produktów regulowanych na podstawie niniejszego rozporządzenia zgodnie z art. 218 TFUE. W kontekście wzmocnienia cyberodporności w wymiarze globalnym ważna jest także współpraca z krajami partnerskimi, gdyż w perspektywie długoterminowej przyczyni się ona do wzmocnienia ram cyberbezpieczeństwa zarówno w Unii, jak i poza nią.

(68)Komisja powinna okresowo dokonywać przeglądu niniejszego rozporządzenia, w drodze konsultacji z zainteresowanymi stronami, w szczególności w celu sprawdzenia, czy konieczne jest wprowadzenie zmian w świetle zmieniających się warunków społecznych, politycznych, technologicznych lub rynkowych.

(69)Podmiotom gospodarczym należy zapewnić wystarczająco dużo czasu na dostosowanie się do wymogów niniejszego rozporządzenia. Niniejsze rozporządzenie powinno mieć zastosowanie po upływie [24 miesięcy] od jego wejścia w życie, z wyjątkiem obowiązków w zakresie zgłaszania incydentów dotyczących aktywnie wykorzystywanych podatności oraz incydentów, które to przepisy powinny mieć zastosowanie po upływie [12 miesięcy] od wejścia w życie niniejszego rozporządzenia.

(70)Ponieważ cel niniejszego rozporządzenia nie może zostać osiągnięty w sposób wystarczający przez państwa członkowskie, natomiast ze względu na skutki działania możliwe jest lepsze jego osiągnięcie na poziomie Unii, Unia może podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tego celu.

(71)Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 Parlamentu Europejskiego i Rady skonsultowano się z Europejskim Inspektorem Ochrony Danych 35 , który wydał opinię dnia […] r.,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:

ROZDZIAŁ I

PRZEPISY OGÓLNE

Artykuł 1

Przedmiot

W niniejszym rozporządzeniu ustanawia się:

a)przepisy dotyczące wprowadzania do obrotu produktów z elementami cyfrowymi w celu zapewnienia cyberbezpieczeństwa takich produktów;

b)zasadnicze wymogi dotyczące projektowania, opracowywania i produkcji produktów z elementami cyfrowymi oraz obowiązki podmiotów gospodarczych w odniesieniu do tych produktów w zakresie cyberbezpieczeństwa;

c)zasadnicze wymogi dotyczące procedur postępowania w przypadku wykrycia podatności wprowadzonych przez producentów w celu zapewnienia cyberbezpieczeństwa produktów z elementami cyfrowymi w całym cyklu życia oraz obowiązki podmiotów gospodarczych w odniesieniu do tych procedur;

d)przepisy dotyczące nadzoru rynku i egzekwowania wyżej wymienionych przepisów i wymogów.

Artykuł 2

Zakres

1.Niniejsze rozporządzenie stosuje się do produktów z elementami cyfrowymi, których przeznaczenie lub racjonalnie przewidywalne wykorzystanie obejmuje bezpośrednie lub pośrednie logiczne lub fizyczne połączenie danych z urządzeniem lub siecią.

2.Niniejszego rozporządzenia nie stosuje się do produktów z elementami cyfrowymi, do których zastosowanie mają następujące akty Unii:

a)rozporządzenie (UE) 2017/745;

b)rozporządzenie (UE) 2017/746;

c)rozporządzenie (UE) 2019/2144.

3.Niniejszego rozporządzenia nie stosuje się do produktów z elementami cyfrowymi, które uzyskały certyfikację zgodnie z rozporządzeniem (UE) 2018/1139.

4.Stosowanie niniejszego rozporządzenia do produktów z elementami cyfrowymi objętych innymi przepisami unijnymi ustanawiającymi wymogi odnoszące się do wszystkich lub niektórych rodzajów ryzyka objętych zasadniczymi wymogami określonymi w załączniku I może zostać ograniczone lub podlegać wyłączeniu, jeżeli:

a)takie ograniczenie lub wyłączenie jest spójne z ogólnymi ramami regulacyjnymi mającymi zastosowanie do tych produktów oraz

b)przepisy sektorowe zapewniają taki sam poziom ochrony jak ten przewidziany w niniejszym rozporządzeniu.

Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 50 w celu zmiany niniejszego rozporządzenia polegającej na określeniu, czy takie ograniczenie lub wyłączenie jest niezbędne, określeniu odnośnych produktów i przepisów, jak również – w stosownych przypadkach – zakresu ograniczenia.

5.Niniejszego rozporządzenia nie stosuje się do produktów z elementami cyfrowymi opracowanych wyłącznie na potrzeby bezpieczeństwa narodowego lub do celów wojskowych ani do produktów zaprojektowanych specjalnie w celu przetwarzania informacji niejawnych.

Artykuł 3

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

1)„produkt z elementami cyfrowymi” oznacza oprogramowanie komputerowe lub sprzęt komputerowy oraz powiązane z nimi rozwiązania w zakresie zdalnego przetwarzania danych, w tym komponenty oprogramowania lub sprzętu, które mają zostać oddzielnie wprowadzone do obrotu;

2)„zdalne przetwarzanie danych” oznacza przetwarzanie danych na odległość, na potrzeby którego oprogramowanie zostało zaprojektowane i opracowane przez producenta lub na odpowiedzialność producenta, a którego brak spowodowałby, że produkt z elementami cyfrowymi nie mógłby wykonywać jednej ze swoich funkcji;

3)„produkt krytyczny z elementami cyfrowymi” oznacza produkt z elementami cyfrowymi, który stwarza ryzyko w cyberprzestrzeni zgodnie z kryteriami określonymi w art. 6 ust. 2 oraz którego podstawowa funkcjonalność jest określona w załączniku III;

4)„produkt wysoce krytyczny z elementami cyfrowymi” oznacza produkt z elementami cyfrowymi, który stwarza ryzyko w cyberprzestrzeni zgodnie z kryteriami określonymi w art. 6 ust. 5;

5)„technologia operacyjna” oznacza programowalne cyfrowe systemy lub urządzenia, które wchodzą w interakcje ze środowiskiem fizycznym lub zarządzają urządzeniami, które wchodzą w interakcje ze środowiskiem fizycznym;

6)„oprogramowanie” oznacza część elektronicznego systemu informacyjnego, która składa się z kodu komputerowego;

7)„sprzęt” oznacza fizyczny elektroniczny system informacyjny lub jego części zdolne do przetwarzania, przechowywania lub przekazywania danych cyfrowych;

8)„komponent” oznacza oprogramowanie lub sprzęt przeznaczone do zintegrowania z elektronicznym systemem informacyjnym;

9)„elektroniczny system informacyjny” oznacza system, w tym sprzęt elektryczny lub elektroniczny, zdolny do przetwarzania, przechowywania lub przekazywania danych cyfrowych;

10)„połączenie logiczne” oznacza wirtualną reprezentację połączenia danych zrealizowanego za pośrednictwem interfejsu oprogramowania;

11)„połączenie fizyczne” oznacza każde połączenie między elektronicznymi systemami informacyjnymi lub komponentami zrealizowane przy użyciu środków fizycznych, w tym za pośrednictwem interfejsów elektrycznych lub mechanicznych, przewodów lub fal radiowych;

12)„połączenie pośrednie” oznacza połączenie z urządzeniem lub siecią, które nie jest nawiązywane bezpośrednio, lecz jako część większego systemu, który można bezpośrednio połączyć z takim urządzeniem lub siecią;

13)„uprawnienie” oznacza prawo dostępu przyznane konkretnym użytkownikom lub programom, aby umożliwić im wykonywanie działań istotnych dla bezpieczeństwa w ramach elektronicznego systemu informacyjnego;

14)„podwyższone uprawnienie” oznacza prawo dostępu przyznane konkretnym użytkownikom lub programom, aby umożliwić im wykonywanie rozszerzonego zakresu działań istotnych dla bezpieczeństwa w ramach elektronicznego systemu informacyjnego, które w razie nadużycia lub naruszenia może ułatwić podmiotowi działającemu w złym zamiarze uzyskanie szerszego dostępu do zasobów systemu lub organizacji;

15)„punkt końcowy” oznacza każde urządzenie, które jest połączone z siecią i służy jako punkt wejścia do tej sieci;

16)„zasoby sieciowe lub obliczeniowe” oznaczają funkcjonalność z zakresu danych lub sprzętu lub oprogramowania, która jest dostępna lokalnie albo za pośrednictwem sieci lub innego urządzenia podłączonego do internetu;

17)„podmiot gospodarczy” oznacza producenta, upoważnionego przedstawiciela, importera, dystrybutora lub każdą inną osobę fizyczną lub prawną, na której spoczywają obowiązki określone w niniejszym rozporządzeniu;

18)„producent” oznacza każdą osobę fizyczną lub prawną, która opracowuje lub wytwarza produkty z elementami cyfrowymi lub zleca zaprojektowanie, opracowanie lub wytworzenie produktów z elementami cyfrowymi i wprowadza te produkty do obrotu pod własną nazwą lub znakiem towarowym, odpłatnie lub nieodpłatnie;

19)„upoważniony przedstawiciel” oznacza każdą osobę fizyczną lub prawną, która ma miejsce zamieszkania lub siedzibę w Unii i otrzymała od producenta pisemne upoważnienie do występowania w jego imieniu w zakresie określonych zadań;

20)„importer” oznacza każdą osobę fizyczną lub prawną, która ma miejsce zamieszkania lub siedzibę w Unii i wprowadza do obrotu produkt z elementami cyfrowymi opatrzony nazwą handlową lub znakiem towarowym osoby fizycznej lub prawnej mającej miejsce zamieszkania lub siedzibę poza granicami Unii;

21)„dystrybutor” oznacza każdą osobę fizyczną lub prawną w łańcuchu dostaw, inną niż producent lub importer, która udostępnia produkt z elementami cyfrowymi na rynku unijnym bez zmiany jego właściwości;

22)„wprowadzenie do obrotu” oznacza udostępnienie produktu z elementami cyfrowymi na rynku Unii po raz pierwszy;

23)„udostępnienie na rynku” oznacza dostarczenie produktu z elementami cyfrowymi do celów dystrybucji lub używania na rynku Unii w ramach działalności handlowej, odpłatnie lub nieodpłatnie;

24)„przeznaczenie” oznacza zastosowanie, do którego produkt z elementami cyfrowymi został przeznaczony przez jego producenta, w tym określony kontekst i warunki wykorzystywania, wskazane w informacjach dostarczonych przez producenta w instrukcji obsługi, materiałach promocyjnych lub sprzedażowych i oświadczeniach, jak również w dokumentacji technicznej;

25)„racjonalnie przewidywalne wykorzystanie” oznacza zastosowanie, które niekoniecznie jest przeznaczeniem podanym przez producenta w instrukcji obsługi, materiałach promocyjnych lub sprzedażowych i oświadczeniach, jak również w dokumentacji technicznej, ale które prawdopodobnie wynika z dającego się racjonalnie przewidzieć zachowania człowieka, operacji technicznych lub interakcji;

26)„racjonalnie przewidywalne niewłaściwe wykorzystanie” oznacza wykorzystanie produktu z elementami cyfrowymi w sposób niezgodny z jego przeznaczeniem, które może jednak wynikać z dającego się racjonalnie przewidzieć zachowania człowieka lub interakcji z innymi systemami;

27)„organ notyfikujący” oznacza organ krajowy, który odpowiada za opracowanie i stosowanie procedur koniecznych do oceny, wyznaczania i notyfikowania jednostek oceniających zgodność oraz za ich monitorowanie;

28)„ocena zgodności” oznacza proces weryfikacji, czy spełniono zasadnicze wymogi określone w załączniku I;

29)„jednostka oceniająca zgodność” oznacza jednostkę zdefiniowaną w art. 2 pkt 13 rozporządzenia (UE) nr 765/2008;

30)„jednostka notyfikowana” oznacza jednostkę oceniającą zgodność wyznaczoną zgodnie z art. 33 niniejszego rozporządzenia i innym stosownym unijnym prawodawstwem harmonizacyjnym;

31)„istotna modyfikacja” oznacza zmianę w produkcie z elementami cyfrowymi po jego wprowadzeniu do obrotu, która wpływa na zgodność produktu z elementami cyfrowymi z zasadniczymi wymogami określonymi w sekcji 1 załącznika I lub powoduje zmianę przeznaczenia, w odniesieniu do którego oceniono produkt z elementami cyfrowymi;

32)„oznakowanie zgodności CE” oznacza oznakowanie, za pomocą którego producent wskazuje, że produkt z elementami cyfrowymi i procedury wprowadzone przez producenta spełniają zasadnicze wymogi określone w załączniku I i innych mających zastosowanie przepisach Unii harmonizujących warunki wprowadzania produktów do obrotu („unijne prawodawstwo harmonizacyjne”), przewidujących umieszczanie takiego oznakowania;

33)„organ nadzoru rynku” oznacza organ nadzoru rynku zgodnie z definicją zawartą w art. 3 pkt 4 rozporządzenia (UE) 2019/1020;

34)„norma zharmonizowana” oznacza normę zharmonizowaną zgodnie z definicją zawartą w art. 2 pkt 1 lit. c) rozporządzenia (UE) nr 1025/2012;

35)„ryzyko w cyberprzestrzeni” oznacza ryzyko zgodnie z definicją zawartą w art. [art. X] dyrektywy [dyrektywy XXX/XXXX (NIS 2)];

36)„istotne ryzyko w cyberprzestrzeni” oznacza ryzyko w cyberprzestrzeni, w przypadku którego, na podstawie jego charakterystyki technicznej, można założyć wysokie prawdopodobieństwo wystąpienia incydentu, który mógłby doprowadzić do poważnych negatywnych skutków, w tym przez spowodowanie znacznej straty materialnej lub niematerialnej lub znacznego zakłócenia;

37)„zestawienie podstawowych materiałów do produkcji oprogramowania” oznacza formalny zapis zawierający szczegóły i relacje w łańcuchu dostaw składników wchodzących w skład elementów oprogramowania komputerowego produktu z elementami cyfrowymi;

38)„podatność” oznacza podatność zgodnie z definicją zawartą w art. [art. X] dyrektywy [dyrektywy XXX/XXXX (NIS 2)];

39)„aktywnie wykorzystywana podatność” oznacza podatność, w przypadku której istnieją wiarygodne dowody, że podmiot wprowadził do systemu kod złośliwy bez zgody właściciela systemu;

40)„dane osobowe” oznaczają dane zgodnie z definicją zawartą w art. 4 pkt 1 rozporządzenia (UE) 2016/679.

Artykuł 4

Swobodny przepływ

1.Państwa członkowskie nie mogą – w odniesieniu do spraw objętych zakresem niniejszego rozporządzenia – utrudniać udostępniania na rynku produktów z elementami cyfrowymi zgodnych z niniejszym rozporządzeniem.

2.Podczas targów, wystaw i pokazów lub podobnych imprez państwa członkowskie nie mogą uniemożliwiać prezentowania i używania produktu z elementami cyfrowymi, który nie jest zgodny z niniejszym rozporządzeniem.

3.Państwa członkowskie nie mogą uniemożliwiać udostępniania nieukończonego oprogramowania, które nie jest zgodne z niniejszym rozporządzeniem, pod warunkiem że oprogramowanie to jest udostępniane jedynie na ograniczony okres wymagany do celów testowania oraz że widoczny znak wyraźnie wskazuje, że nie jest ono zgodne z niniejszym rozporządzeniem i nie będzie dostępne na rynku do celów innych niż testowanie.

Artykuł 5

Wymogi dotyczące produktów z elementami cyfrowymi

Produkty z elementami cyfrowymi udostępnia się na rynku tylko wtedy, gdy:

1)spełniają one zasadnicze wymogi przewidziane w sekcji 1 załącznika I, pod warunkiem że zostały one prawidłowo zainstalowane oraz są prawidłowo utrzymywane i wykorzystywane zgodnie z ich przeznaczeniem lub w warunkach, które można racjonalnie przewidzieć, a także – w stosownych przypadkach – są aktualizowane, oraz

2)procedury wprowadzone przez producenta są zgodne z zasadniczymi wymogami określonymi w sekcji 2 załącznika I.

Artykuł 6

Produkty krytyczne z elementami cyfrowymi

1.Produkty z elementami cyfrowymi należące do kategorii wskazanej w załączniku III uważa się za produkty krytyczne z elementami cyfrowymi. Produkty, których podstawowa funkcjonalność należy do jednej z kategorii wymienionych w załączniku III do niniejszego rozporządzenia, uważa się za należące do tej kategorii. Kategorie produktów krytycznych z elementami cyfrowymi dzieli się na klasy I i II, jak określono w załączniku III, które odzwierciedlają poziom ryzyka w cyberprzestrzeni związanego z tymi produktami.

2.Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 50 w celu zmiany załącznika III przez uwzględnienie w wykazie kategorii produktów krytycznych z elementami cyfrowymi nowej kategorii lub usunięcie z tego wykazu istniejącej kategorii. Przy ocenianiu potrzeby zmiany wykazu zawartego w załączniku III Komisja bierze pod uwagę poziom ryzyka w cyberprzestrzeni związanego z kategorią produktów z elementami cyfrowymi. Przy określaniu poziomu ryzyka w cyberprzestrzeni bierze się pod uwagę co najmniej jedno z następujących kryteriów:

a)funkcjonalność produktu z elementami cyfrowymi związaną z cyberbezpieczeństwem oraz posiadanie przez produkt z elementami cyfrowymi co najmniej jednej z następujących cech:

(i)został zaprojektowany do eksploatacji przez użytkowników z podwyższonym uprawnieniem lub z uprawnieniami do zarządzania;

(ii)ma bezpośredni lub uprzywilejowany dostęp do zasobów sieciowych lub obliczeniowych;

(iii)jest przeznaczony do kontrolowania dostępu do danych lub technologii operacyjnej;

(iv)pełni funkcję krytyczną dla zaufania, w szczególności funkcje bezpieczeństwa, takie jak kontrola sieci, ochrona punktów końcowych i ochrona sieci.

b)przeznaczenie do stosowania w środowiskach wrażliwych, w tym w środowisku przemysłowym lub przez podmioty niezbędne takie jak podmioty, o których mowa w załączniku [załączniku I] do dyrektywy [dyrektywy XXX/XXXX (NIS 2)];

c)przeznaczenie do wykonywania funkcji krytycznych lub wrażliwych, takich jak przetwarzanie danych osobowych;

d)potencjalny zakres niekorzystnego wpływu, w szczególności pod względem jego nasilenia i możliwości oddziaływania na wiele osób;

e)zakres, w jakim wykorzystywanie produktów z elementami cyfrowymi spowodowało już stratę materialną lub niematerialną lub zakłócenie lub wzbudziło istotne obawy co do możliwości wystąpienia niekorzystnego wpływu.

3.Komisja jest uprawniona do przyjęcia aktu delegowanego zgodnie z art. 50 w celu uzupełnienia niniejszego rozporządzenia przez określenie definicji kategorii produktów w klasie I i klasie II zgodnie z załącznikiem III. Akt delegowany przyjmuje się [w terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia].

4.Produkty krytyczne z elementami cyfrowymi podlegają procedurom oceny zgodności, o których mowa w art. 24 ust. 2 i 3.

5.Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 50 w celu uzupełnienia niniejszego rozporządzenia przez określenie kategorii produktów wysoce krytycznych z elementami cyfrowymi, w odniesieniu do których producenci mają obowiązek uzyskać europejski certyfikat cyberbezpieczeństwa w ramach europejskiego programu certyfikacji cyberbezpieczeństwa zgodnie z rozporządzeniem (UE) 2019/881, aby wykazać zgodność z zasadniczymi wymogami określonymi w załączniku I lub jego częściach. Przy określaniu takich kategorii produktów wysoce krytycznych z elementami cyfrowymi Komisja uwzględnia poziom ryzyka w cyberprzestrzeni związanego z kategorią produktów z elementami cyfrowymi w świetle co najmniej jednego z kryteriów wymienionych w ust. 2, a także w kontekście oceny, czy ta kategoria produktów jest:

a)wykorzystywana przez podmioty niezbędne takie jak podmioty, o których mowa w załączniku [załączniku I] do dyrektywy [dyrektywy XXX/XXXX (NIS 2)], czy wspomniane podmioty polegają na tej kategorii produktów lub czy będzie ona miała potencjalne przyszłe znaczenie dla działalności tych podmiotów lub

b)istotna dla odporności całego łańcucha dostaw produktów z elementami cyfrowymi na zdarzenia powodujące zakłócenia.

Artykuł 7

Ogólne bezpieczeństwo produktów

Na zasadzie odstępstwa od art. 2 ust. 1 akapit trzeci lit. b) rozporządzenia [rozporządzenia w sprawie ogólnego bezpieczeństwa produktów], w przypadku gdy produkty z elementami cyfrowymi nie podlegają szczególnym wymogom określonym w innym unijnym prawodawstwie harmonizacyjnym w rozumieniu [art. 3 pkt 25 rozporządzenia w sprawie ogólnego bezpieczeństwa produktów], zastosowanie do tych produktów w odniesieniu do zagrożeń dla bezpieczeństwa nieobjętych niniejszym rozporządzeniem mają rozdział III sekcja 1, rozdziały V i VII oraz rozdziały IX–XI rozporządzenia [rozporządzenia w sprawie ogólnego bezpieczeństwa produktów].

Artykuł 8

Systemy sztucznej inteligencji wysokiego ryzyka

1.Produkty z elementami cyfrowymi sklasyfikowane jako systemy sztucznej inteligencji wysokiego ryzyka zgodnie z art. [art. 6] rozporządzenia [rozporządzenia w sprawie sztucznej inteligencji], które wchodzą w zakres niniejszego rozporządzenia i spełniają zasadnicze wymogi określone w sekcji 1 załącznika I do niniejszego rozporządzenia oraz w przypadku których procedury wprowadzone przez producenta są zgodne z zasadniczymi wymogami określonymi w sekcji 2 załącznika I, uznaje się za spełniające wymogi dotyczące cyberbezpieczeństwa określone w art. [art. 15] rozporządzenia [rozporządzenia w sprawie sztucznej inteligencji], bez uszczerbku dla innych wymogów dotyczących dokładności i solidności zawartych w wyżej wymienionym artykule oraz w zakresie, w jakim osiągnięcie poziomu ochrony określonego w tych wymogach wykazano w deklaracji zgodności UE wydanej na podstawie niniejszego rozporządzenia.

2.W przypadku produktów i wymogów cyberbezpieczeństwa, o których mowa w ust. 1, stosuje się odpowiednią procedurę oceny zgodności wymaganą na mocy art. [art. 43] rozporządzenia [rozporządzenia w sprawie sztucznej inteligencji]. Do celów tej oceny jednostki notyfikowane, które są uprawnione do kontroli zgodności systemów sztucznej inteligencji wysokiego ryzyka zgodnie z rozporządzeniem [rozporządzeniem w sprawie sztucznej inteligencji], są również uprawnione do kontroli zgodności systemów sztucznej inteligencji wysokiego ryzyka objętych zakresem niniejszego rozporządzenia z wymogami określonymi w załączniku I do niniejszego rozporządzenia, pod warunkiem że zgodność tych jednostek notyfikowanych z wymogami określonymi w art. 29 niniejszego rozporządzenia oceniono w kontekście procedury notyfikacyjnej zgodnie z rozporządzeniem [rozporządzeniem w sprawie sztucznej inteligencji].

3.Na zasadzie odstępstwa od ust. 2 produkty krytyczne z elementami cyfrowymi wymienione w załączniku III do niniejszego rozporządzenia, które muszą być objęte procedurami oceny zgodności, o których mowa w art. 24 ust. 2 lit. a) i b) oraz art. 24 ust. 3 lit. a) i b) niniejszego rozporządzenia, i które są również sklasyfikowane jako systemy sztucznej inteligencji wysokiego ryzyka zgodnie z art. [art. 6] rozporządzenia [rozporządzenia w sprawie sztucznej inteligencji] i do których stosuje się procedurę oceny zgodności opierającą się na kontroli wewnętrznej, o której mowa w załączniku [załączniku VI] do rozporządzenia [rozporządzenia w sprawie sztucznej inteligencji], podlegają procedurom oceny zgodności wymaganym zgodnie z niniejszym rozporządzeniem w zakresie, w jakim dotyczy to zasadniczych wymogów niniejszego rozporządzenia.

Artykuł 9

Produkty maszynowe

Produkty maszynowe objęte zakresem rozporządzenia [wniosku dotyczącego rozporządzenia w sprawie maszyn], które są produktami z elementami cyfrowymi w rozumieniu niniejszego rozporządzenia i w odniesieniu do których wydano deklarację zgodności UE na podstawie niniejszego rozporządzenia, uznaje się za zgodne z zasadniczymi wymaganiami w zakresie ochrony zdrowia i bezpieczeństwa określonymi w załączniku [sekcjach 1.1.9 i 1.2.1 załącznika III] do rozporządzenia [wniosku dotyczącego rozporządzenia w sprawie maszyn] w odniesieniu do zabezpieczenia przed uszkodzeniem oraz bezpieczeństwa i niezawodności układów sterowania oraz w zakresie, w jakim osiągnięcie poziomu ochrony przewidzianego w tych wymaganiach wykazano w deklaracji zgodności UE wydanej na podstawie niniejszego rozporządzenia.

ROZDZIAŁ II

OBOWIĄZKI PODMIOTÓW GOSPODARCZYCH

Artykuł 10

Obowiązki producentów

1.Wprowadzając produkt z elementami cyfrowymi do obrotu, producenci zapewniają, aby został on zaprojektowany, opracowany i wyprodukowany zgodnie z zasadniczymi wymogami określonymi w sekcji 1 załącznika I.

2.Aby spełnić obowiązek określony w ust. 1, producenci przeprowadzają ocenę ryzyka w cyberprzestrzeni związanego z produktem z elementami cyfrowymi i uwzględniają wynik tej oceny na etapie planowania, projektowania, opracowywania, produkcji, dostarczania i utrzymania produktu z elementami cyfrowymi w celu zminimalizowania ryzyka w cyberprzestrzeni, zapobiegania incydentom i zminimalizowania skutków takich incydentów, w tym w odniesieniu do zdrowia i bezpieczeństwa użytkowników.

3.Wprowadzając produkt z elementami cyfrowymi do obrotu, producent włącza ocenę ryzyka w cyberprzestrzeni do dokumentacji technicznej określonej w art. 23 i załączniku V. W przypadku produktów z elementami cyfrowymi, o których mowa w art. 8 i art. 24 ust. 4, podlegających również innym aktom Unii, ocena ryzyka w cyberprzestrzeni może być częścią oceny ryzyka wymaganej na podstawie tych odpowiednich aktów Unii. Jeżeli niektóre zasadnicze wymogi nie mają zastosowania do wprowadzonego do obrotu produktu z elementami cyfrowymi, producent zamieszcza w tej dokumentacji wyraźne uzasadnienie.

4.W celu wypełnienia obowiązku określonego w ust. 1 producenci dokładają należytej staranności przy integrowaniu z produktami z elementami cyfrowymi komponentów pochodzących od stron trzecich. Producenci zapewniają, aby takie komponenty nie naruszały bezpieczeństwa produktu z elementami cyfrowymi.

5.Producent systematycznie dokumentuje, w sposób proporcjonalny do charakteru i ryzyka w cyberprzestrzeni, istotne aspekty cyberbezpieczeństwa dotyczące produktu z elementami cyfrowymi, w tym podatności, o których się dowiedział, oraz wszelkie istotne informacje przekazane przez strony trzecie, a także, w stosownych przypadkach, aktualizuje ocenę ryzyka produktu.

6.Przy wprowadzaniu produktu z elementami cyfrowymi do obrotu oraz przez cały przewidywany okres eksploatacji produktu lub przez okres pięciu lat od wprowadzenia produktu do obrotu, w zależności od tego, który z tych okresów jest krótszy, producenci zapewniają skuteczne i zgodne z zasadniczymi wymogami określonymi w sekcji 2 załącznika I postępowanie w przypadku wykrycia podatności.

Producenci muszą posiadać odpowiednią politykę i stosowne procedury, w tym politykę regulującą skoordynowane ujawnianie podatności, o której mowa w sekcji 2 pkt 5 załącznika I, do celów przetwarzania i eliminowania potencjalnych podatności produktu z elementami cyfrowymi, zgłoszonych przez źródła wewnętrzne lub zewnętrzne.

7.Przed wprowadzeniem produktu z elementami cyfrowymi do obrotu producenci sporządzają dokumentację techniczną, o której mowa w art. 23.

Producenci przeprowadzają wybrane procedury oceny zgodności, o których mowa w art. 24, lub zlecają ich przeprowadzenie.

W przypadku wykazania zgodności produktu z elementami cyfrowymi z zasadniczymi wymogami określonymi w sekcji 1 załącznika I oraz zgodności procedur wprowadzonych przez producenta z zasadniczymi wymogami określonymi w sekcji 2 załącznika I w wyniku przeprowadzenia takiej procedury oceny zgodności producenci sporządzają deklarację zgodności UE zgodnie z art. 20 i umieszczają oznakowanie zgodności CE zgodnie z art. 22.

8.Producenci przechowują dokumentację techniczną i deklarację zgodności UE – w stosownych przypadkach – do dyspozycji organów nadzoru rynku przez okres dziesięciu lat po wprowadzeniu produktu z elementami cyfrowymi do obrotu.

9.Producenci zapewniają wprowadzenie procedur mających na celu utrzymanie zgodności produktów z elementami cyfrowymi, które są częścią serii produkcyjnej. Producent odpowiednio uwzględnia zmiany w procesie rozwoju i produkcji lub w projekcie lub właściwościach produktu z elementami cyfrowymi oraz zmiany w normach zharmonizowanych, europejskich programach certyfikacji cyberbezpieczeństwa lub wspólnych specyfikacjach, o których mowa w art. 19, w odniesieniu do których deklaruje się zgodność produktu z elementami cyfrowymi lub przez stosowanie których weryfikuje się jego zgodność.

10.Producenci zapewniają, aby do produktów z elementami cyfrowymi dołączano informacje i instrukcje określone w załączniku II, w postaci elektronicznej lub fizycznej. Takie informacje i instrukcje podaje się w języku łatwo zrozumiałym dla użytkowników. Muszą być one jasne, zrozumiałe, przystępne i czytelne. Umożliwiają one bezpieczną instalację, obsługę i bezpieczne użytkowanie produktów z elementami cyfrowymi.

11.Producenci dołączają do produktu z elementami cyfrowymi deklarację zgodności UE albo umieszczają w instrukcjach oraz informacjach określonych w załączniku II adres strony internetowej, na której jest dostępna deklaracja zgodności UE.

12.Od chwili wprowadzenia do obrotu i przez cały oczekiwany okres eksploatacji produktu lub przez okres pięciu lat po wprowadzeniu do obrotu produktu z elementami cyfrowymi, w zależności od tego, który z tych okresów jest krótszy, producenci, którzy wiedzą lub mają powody, by sądzić, że produkt z elementami cyfrowymi lub procedury wprowadzone przez producenta nie są zgodne z zasadniczymi wymogami określonymi w załączniku I, niezwłocznie wprowadzają środki naprawcze niezbędne do zapewnienia zgodności tego produktu z elementami cyfrowymi lub procedur producenta, do wycofania produktu z obrotu lub odzyskania go, w stosownych przypadkach.

13.Na uzasadniony wniosek organu nadzoru rynku producenci przekazują temu organowi, w łatwo zrozumiałym dla niego języku, wszelkie informacje i dokumentację – w formie papierowej lub elektronicznej – niezbędne do wykazania zgodności produktu z elementami cyfrowymi i procedur wprowadzonych przez producenta z zasadniczymi wymogami określonymi w załączniku I. Na żądanie tego organu współpracują z nim w zakresie wszelkich środków wprowadzonych w celu wyeliminowania ryzyka w cyberprzestrzeni, jakie stwarza produkt z elementami cyfrowymi wprowadzony przez nich do obrotu.

14.Producent, który zaprzestaje działalności i w rezultacie nie jest w stanie spełnić obowiązków ustanowionych w niniejszym rozporządzeniu, informuje o tej sytuacji przed zaprzestaniem działalności odpowiednie organy nadzoru rynku, a także, za pomocą wszelkich dostępnych środków i w możliwie jak najszerszym zakresie, użytkowników odnośnych produktów z elementami cyfrowymi wprowadzonych do obrotu.

15.Komisja może w drodze aktów wykonawczych określić format i elementy zestawienia podstawowych materiałów do produkcji oprogramowania określonego w sekcji 2 pkt 1 załącznika I. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 51 ust. 2.

Artykuł 11

Obowiązki producentów w zakresie zgłaszania incydentów

1.Producent bez zbędnej zwłoki, a w każdym razie w terminie 24 godzin od uzyskania informacji o jakiejkolwiek aktywnie wykorzystywanej podatności zawartej w produkcie z elementami cyfrowymi zgłasza taką podatność ENISA. W zgłoszeniu tym podaje się szczegóły dotyczące tej podatności oraz, w stosownych przypadkach, wszelkie wprowadzone środki naprawcze lub łagodzące. Po otrzymaniu zgłoszenia ENISA bez zbędnej zwłoki, chyba że opóźnienie wynika z uzasadnionych przyczyn związanych z ryzykiem w cyberprzestrzeni, przekazuje je do CSIRT wyznaczonego do celów skoordynowanego ujawniania podatności w zainteresowanym państwie członkowskim zgodnie z art. [art. X] dyrektywy [dyrektywy XXX/XXXX (NIS 2)], a także informuje organ nadzoru rynku o zgłoszonej podatności.

2.Producent bez zbędnej zwłoki, a w każdym razie w terminie 24 godzin od uzyskania informacji o jakimkolwiek incydencie mającym wpływ na bezpieczeństwo produktu z elementami cyfrowymi zgłasza taki incydent ENISA. ENISA bez zbędnej zwłoki, chyba że opóźnienie wynika z uzasadnionych przyczyn związanych z ryzykiem w cyberprzestrzeni, przekazuje zgłoszenia do pojedynczego punktu kontaktowego wyznaczonego w zainteresowanym państwie członkowskim zgodnie z art. [art. X] dyrektywy [dyrektywy XXX/XXXX (NIS 2)], a także informuje organ nadzoru rynku o zgłoszonych incydentach. W zgłoszeniu incydentu należy zawrzeć informacje na temat dotkliwości i wpływu incydentu oraz, w stosownych przypadkach, wskazać, czy producent podejrzewa, że incydent jest spowodowany działaniami niezgodnymi z prawem lub czynami dokonanymi w złym zamiarze, lub uważa, że ma on wpływ transgraniczny.

3.ENISA przekazuje europejskiej sieci organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (EU-CyCLONe) ustanowionej na mocy art. [art. X] dyrektywy [dyrektywy XXX/XXXX (NIS 2)] informacje zgłoszone zgodnie z ust. 1 i 2, jeżeli takie informacje są istotne z perspektywy skoordynowanego zarządzania cyberincydentami i cyberkryzysami na dużą skalę na szczeblu operacyjnym.

4.Po powzięciu informacji o wystąpieniu incydentu producent bez zbędnej zwłoki informuje użytkowników produktu z elementami cyfrowymi o takim incydencie oraz, w razie potrzeby, o środkach naprawczych, które użytkownik może wdrożyć w celu złagodzenia skutków incydentu.