02024R2847 — PL — 20.11.2024 — 000.002
Dokument ten służy wyłącznie do celów informacyjnych i nie ma mocy prawnej. Unijne instytucje nie ponoszą żadnej odpowiedzialności za jego treść. Autentyczne wersje odpowiednich aktów prawnych, włącznie z ich preambułami, zostały opublikowane w Dzienniku Urzędowym Unii Europejskiej i są dostępne na stronie EUR-Lex. Bezpośredni dostęp do tekstów urzędowych można uzyskać za pośrednictwem linków zawartych w dokumencie
|
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2024/2847 z dnia 23 października 2024 r. w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828 (akt o cyberodporności) (Tekst mający znaczenie dla EOG) (Dz.U. L 2847 z 20.11.2024, s. 1) |
sprostowane przez:
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2024/2847
z dnia 23 października 2024 r.
w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828 (akt o cyberodporności)
(Tekst mający znaczenie dla EOG)
ROZDZIAŁ I
PRZEPISY OGÓLNE
Artykuł 1
Przedmiot
W niniejszym rozporządzeniu ustanawia się:
przepisy dotyczące udostępniania na rynku produktów z elementami cyfrowymi w celu zapewnienia cyberbezpieczeństwa takich produktów;
zasadnicze wymagania w zakresie cyberbezpieczeństwa dotyczące projektowania, opracowywania i produkcji produktów z elementami cyfrowymi oraz obowiązki podmiotów gospodarczych w odniesieniu do tych produktów w zakresie cyberbezpieczeństwa;
zasadnicze wymagania w zakresie cyberbezpieczeństwa dotyczące wprowadzanych przez producentów procedur postępowania w przypadku wykrycia podatności w celu zapewnienia cyberbezpieczeństwa produktów z elementami cyfrowymi przez okres oczekiwanego użytkowania produktu oraz obowiązki podmiotów gospodarczych w odniesieniu do tych procedur;
przepisy dotyczące nadzoru rynku, w tym monitorowania, i egzekwowania wymienionych w niniejszym artykule przepisów i wymagań.
Artykuł 2
Zakres
Niniejszego rozporządzenia nie stosuje się do produktów z elementami cyfrowymi, do których zastosowanie mają następujące akty prawne Unii:
rozporządzenie (UE) 2017/745;
rozporządzenie (UE) 2017/746;
rozporządzenie (UE) 2019/2144.
Stosowanie niniejszego rozporządzenia do produktów z elementami cyfrowymi objętych innymi przepisami unijnymi ustanawiającymi wymogi odnoszące się do wszystkich lub niektórych rodzajów ryzyka objętych zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I może zostać ograniczone lub podlegać wyłączeniu, jeżeli:
takie ograniczenie lub wyłączenie jest spójne z ogólnymi ramami regulacyjnymi mającymi zastosowanie do tych produktów; oraz
przepisy sektorowe zapewniają taki sam lub wyższy poziom ochrony niż przewidziany w niniejszym rozporządzeniu.
Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 61 w celu uzupełnienia niniejszego rozporządzenia przez określenie, czy takie ograniczenie lub wyłączenie jest niezbędne, określenie odnośnych produktów i przepisów, jak również – w stosownych przypadkach – zakresu ograniczenia.
Artykuł 3
Definicje
Do celów niniejszego rozporządzenia stosuje się następujące definicje:
„produkt z elementami cyfrowymi” oznacza oprogramowanie komputerowe lub sprzęt komputerowy oraz powiązane z nimi rozwiązania w zakresie zdalnego przetwarzania danych, w tym komponenty oprogramowania lub sprzętu, które są oddzielnie wprowadzane do obrotu;
„zdalne przetwarzanie danych” oznacza przetwarzanie danych na odległość, na potrzeby którego oprogramowanie zostało zaprojektowane i opracowane przez producenta lub na odpowiedzialność producenta, a którego brak spowodowałby, że produkt z elementami cyfrowymi nie mógłby wykonywać jednej ze swoich funkcji;
„cyberbezpieczeństwo” oznacza cyberbezpieczeństwo zdefiniowane w art. 2 pkt 1 rozporządzenia (UE) 2019/881;
„oprogramowanie” oznacza część elektronicznego systemu informacyjnego, która składa się z kodu komputerowego;
„sprzęt” oznacza fizyczny elektroniczny system informacyjny lub jego części zdolne do przetwarzania, przechowywania lub przekazywania danych cyfrowych;
„komponent” oznacza oprogramowanie lub sprzęt przeznaczone do zintegrowania z elektronicznym systemem informacyjnym;
„elektroniczny system informacyjny” oznacza system, w tym sprzęt elektryczny lub elektroniczny, zdolny do przetwarzania, przechowywania lub przekazywania danych cyfrowych;
„połączenie logiczne” oznacza wirtualną reprezentację połączenia danych zrealizowanego za pośrednictwem interfejsu oprogramowania;
„połączenie fizyczne” oznacza każde połączenie między elektronicznymi systemami informacyjnymi lub komponentami zrealizowane przy użyciu środków fizycznych, w tym za pośrednictwem interfejsów elektrycznych, optycznych lub mechanicznych, przewodów lub fal radiowych;
„połączenie pośrednie” oznacza połączenie z urządzeniem lub siecią, które nie jest nawiązywane bezpośrednio, lecz jako część większego systemu, który można bezpośrednio połączyć z takim urządzeniem lub siecią;
„punkt końcowy” oznacza każde urządzenie, które jest połączone z siecią i służy jako punkt wejścia do tej sieci;
„podmiot gospodarczy” oznacza producenta, upoważnionego przedstawiciela, importera, dystrybutora lub każdą inną osobę fizyczną lub prawną podlegającą obowiązkom związanym z wytwarzaniem produktów z elementami cyfrowymi lub udostępnianiem produktów z elementami cyfrowymi na rynku zgodnie z niniejszym rozporządzeniem;
„producent” oznacza osobę fizyczną lub prawną, która opracowuje lub wytwarza produkty z elementami cyfrowymi lub zleca zaprojektowanie, opracowanie lub wytworzenie produktów z elementami cyfrowymi i wprowadza te produkty do obrotu pod własną nazwą handlową lub znakiem towarowym, za opłatą, na zasadzie monetyzacji lub bezpłatnie;
„opiekun oprogramowania otwartego” oznacza osobę prawną inną niż producent, której celem jest systematyczne i stałe wsparcie na rzecz opracowywania konkretnych produktów z elementami cyfrowymi, kwalifikujących się jako wolne i otwarte oprogramowanie oraz przeznaczonych do celów komercyjnych, oraz która zapewnia prawidłowe funkcjonowanie tych produktów;
„upoważniony przedstawiciel” oznacza osobę fizyczną lub prawną, która ma miejsce zamieszkania lub siedzibę w Unii i otrzymała pisemne pełnomocnictwo producenta do wykonywania w jego imieniu określonych zadań;
„importer” oznacza osobę fizyczną lub prawną, która ma miejsce zamieszkania lub siedzibę w Unii i wprowadza do obrotu produkt z elementami cyfrowymi opatrzony nazwą handlową lub znakiem towarowym osoby fizycznej lub prawnej mającej miejsce zamieszkania lub siedzibę poza granicami Unii;
„dystrybutor” oznacza osobę fizyczną lub prawną w łańcuchu dostaw, inną niż producent lub importer, która udostępnia produkt z elementami cyfrowymi na rynku unijnym bez zmiany jego właściwości;
„konsument” oznacza osobę fizyczną działającą w celach niezwiązanych z jej działalnością handlową, gospodarczą, rzemieślniczą lub zawodową;
„mikroprzedsiębiorstwa”, „małe przedsiębiorstwa” oraz „średnie przedsiębiorstwa” oznaczają, odpowiednio, mikroprzedsiębiorstwa, małe przedsiębiorstwa i średnie przedsiębiorstwa zgodnie z definicją zawartą w załączniku do zalecenia 2003/361/WE;
„okres wsparcia” oznacza okres, w którym producent jest zobowiązany zapewniać, aby na podatności w zabezpieczeniach produktu z elementami cyfrowymi reagowano skutecznie i zgodnie z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część II;
„wprowadzenie do obrotu” oznacza udostępnienie produktu z elementami cyfrowymi na rynku Unii po raz pierwszy;
„udostępnienie na rynku” oznacza dostarczenie produktu z elementami cyfrowymi do celów dystrybucji lub używania na rynku Unii w ramach działalności handlowej, odpłatnie lub nieodpłatnie;
„przeznaczenie” oznacza zastosowanie, do którego produkt z elementami cyfrowymi został przeznaczony przez jego producenta, w tym określony kontekst i warunki wykorzystywania, wskazane w informacjach dostarczonych przez producenta w instrukcji obsługi, materiałach promocyjnych lub sprzedażowych i oświadczeniach, jak również w dokumentacji technicznej;
„racjonalnie przewidywalne wykorzystanie” oznacza zastosowanie, które niekoniecznie jest przeznaczeniem podanym przez producenta w instrukcji obsługi, materiałach promocyjnych lub sprzedażowych i oświadczeniach, jak również w dokumentacji technicznej, ale które najpewniej wynika z dającego się racjonalnie przewidzieć zachowania człowieka, operacji technicznych lub interakcji;
„racjonalnie przewidywalne niewłaściwe wykorzystanie” oznacza wykorzystanie produktu z elementami cyfrowymi niezgodnie z jego przeznaczeniem, które może jednak wynikać z dającego się racjonalnie przewidzieć zachowania człowieka lub interakcji z innymi systemami;
„organ notyfikujący” oznacza organ krajowy, który odpowiada za opracowanie i stosowanie procedur koniecznych do oceny, wyznaczania i notyfikowania jednostek oceniających zgodność oraz za ich monitorowanie;
„ocena zgodności” oznacza proces weryfikacji, czy spełniono zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I;
„jednostka oceniająca zgodność” oznacza jednostkę oceniającą zgodność w rozumieniu art. 2 pkt 13 rozporządzenia (WE) nr 765/2008;
„jednostka notyfikowana” oznacza jednostkę oceniającą zgodność wyznaczoną zgodnie z art. 43 i innym stosownym unijnym prawodawstwem harmonizacyjnym;
„istotna modyfikacja” oznacza zmianę w produkcie z elementami cyfrowymi po jego wprowadzeniu do obrotu, która wpływa na zgodność produktu z elementami cyfrowymi z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część I lub która powoduje zmianę przeznaczenia, w odniesieniu do którego oceniono produkt z elementami cyfrowymi;
„oznakowanie zgodności CE” oznacza oznakowanie, za pomocą którego producent wskazuje, że produkt z elementami cyfrowymi i procedury wprowadzone przez producenta spełniają zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I i innym mającym zastosowanie unijnym prawodawstwie harmonizacyjnym przewidującym umieszczanie takiego oznakowania;
„unijne prawodawstwo harmonizacyjne” oznacza przepisy Unii wymienione w załączniku I do rozporządzenia (UE) 2019/1020 oraz wszelkie inne przepisy Unii harmonizujące warunki wprowadzania do obrotu produktów, do których to rozporządzenie ma zastosowanie;
„organ nadzoru rynku” oznacza organ nadzoru rynku zgodnie z definicją w art. 3 pkt 4 rozporządzenia (UE) 2019/1020;
„norma międzynarodowa” oznacza normę międzynarodową zgodnie z definicją w art. 2 pkt 1 lit. a) rozporządzenia (UE) nr 1025/2012;
„norma europejska” oznacza normę europejską zgodnie z definicją w art. 2 pkt 1 lit. b) rozporządzenia (UE) nr 1025/2012;
„norma zharmonizowana” oznacza normę zharmonizowaną zgodnie z definicją zawartą w art. 2 pkt 1 lit. c) rozporządzenia (UE) nr 1025/2012;
„ryzyko w cyberprzestrzeni” oznacza potencjalną stratę lub potencjalne zakłócenie spowodowane incydentem i ma być wyrażone jako wypadkowa skali takiej straty lub zakłócenia oraz prawdopodobieństwa wystąpienia takiego incydentu;
„istotne ryzyko w cyberprzestrzeni” oznacza ryzyko w cyberprzestrzeni, w przypadku którego, na podstawie jego charakterystyki technicznej, można założyć wysokie prawdopodobieństwo wystąpienia incydentu, który mógłby doprowadzić do poważnych negatywnych skutków, w tym przez spowodowanie znacznej straty materialnej lub niematerialnej lub znacznego zakłócenia;
„zestawienie podstawowych materiałów do produkcji oprogramowania” oznacza formalny zapis zawierający szczegóły i relacje w łańcuchu dostaw składników wchodzących w skład elementów oprogramowania komputerowego produktu z elementami cyfrowymi;
„podatność” oznacza słabość, wrażliwość lub wadę produktu z elementami cyfrowymi, które można wykorzystać podczas cyberzagrożenia;
„nadająca się do wykorzystania podatność” oznacza podatność, która może zostać skutecznie wykorzystana przez atakującego w praktycznych warunkach eksploatacji;
„aktywnie wykorzystywana podatność” oznacza podatność, w przypadku której istnieją wiarygodne dowody, że podmiot działający w złych zamiarach wykorzystał ją w systemie bez zgody właściciela systemu;
„incydent” oznacza incydent zgodnie z definicją w art. 6 pkt 6 dyrektywy (UE) 2022/2555;
„incydent wywierający wpływ na bezpieczeństwo produktu z elementami cyfrowymi” oznacza incydent, który negatywnie wpływa lub może mieć negatywny wpływ na zdolność produktu z elementami cyfrowymi do ochrony dostępności, autentyczności, integralności lub poufności danych lub funkcji;
„potencjalne zdarzenie dla cyberbezpieczeństwa” oznacza potencjalne zdarzenie dla cyberbezpieczeństwa zgodnie z definicją w art. 6 pkt 5 dyrektywy (UE) 2022/2555;
„cyberzagrożenie” oznacza cyberzagrożenie zgodnie z definicją w art. 2 pkt 8 rozporządzenia (UE) 2019/881;
„dane osobowe” oznaczają dane osobowe zdefiniowane w art. 4 pkt 1 rozporządzenia (UE) 2016/679;
„wolne i otwarte oprogramowanie” oznacza oprogramowanie, którego kod źródłowy jest powszechnie dostępny, oferowane bezpłatnie i na otwartej licencji, która zapewnia wszystkim prawo do wolnego dostępu do niego, używania go, modyfikowania i redystrybucji;
„odzyskanie produktu” oznacza odzyskanie produktu zgodnie z definicją w art. 3 pkt 22 rozporządzenia (UE) 2019/1020;
„wycofanie z obrotu” oznacza wycofanie z obrotu zgodnie z definicją w art. 3 pkt 23 rozporządzenia (UE) 2019/1020;
„CSIRT wyznaczony jako koordynator” oznacza CSIRT wyznaczony na koordynatora zgodnie z art. 12 ust. 1 dyrektywy (UE) 2022/2555.
Artykuł 4
Swobodny przepływ
Artykuł 5
Zamawianie lub stosowanie produktów z elementami cyfrowymi
Artykuł 6
Wymagania dotyczące produktów z elementami cyfrowymi
Produkty z elementami cyfrowymi udostępnia się na rynku tylko wtedy, gdy:
spełniają one zasadnicze wymagania w zakresie cyberbezpieczeństwa przewidziane w załączniku I część I, pod warunkiem że zostały one prawidłowo zainstalowane oraz są prawidłowo utrzymywane i wykorzystywane zgodnie z ich przeznaczeniem lub w warunkach, które można racjonalnie przewidzieć, a także – w stosownych przypadkach – zainstalowano stosowne aktualizacje zabezpieczeń; oraz
procedury wprowadzone przez producenta są zgodne z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część II.
Artykuł 7
Ważne produkty z elementami cyfrowymi
Kategorie produktów z elementami cyfrowymi, o których mowa w ust. 1 niniejszego artykułu, podzielone na klasy I i II określone w załączniku III spełniają co najmniej jedno z następujących kryteriów:
produkt z elementami cyfrowymi pełni przede wszystkim funkcje kluczowe dla cyberbezpieczeństwa innych produktów, sieci lub usług, takie jak zabezpieczanie uwierzytelniania i dostępu, zapobieganie włamaniom i ich wykrywanie, ochrona punktów końcowych lub ochrona sieci;
produkt z elementami cyfrowymi pełni funkcję, taką jak funkcja systemu centralnego, w tym zarządzanie siecią, kontrola konfiguracji, wirtualizacja lub przetwarzanie danych osobowych, która wiąże się ze znacznym ryzykiem wystąpienia niekorzystnych skutków pod względem intensywności i zdolności do zakłócenia, kontrolowania lub spowodowania szkód w dużej liczbie innych produktów lub może zaszkodzić zdrowiu, bezpieczeństwu lub ochronie użytkowników poprzez bezpośrednią manipulację.
Akty delegowane, o których mowa w akapicie pierwszym niniejszego ustępu, przewidują w stosownych przypadkach minimalny okres przejściowy wynoszący 12 miesięcy, w szczególności gdy do klasy I lub II dodaje się nową kategorię ważnych produktów z elementami cyfrowymi lub przenosi z klasy I do II, jak określono w załączniku III, przed rozpoczęciem stosowania odpowiednich procedur oceny zgodności, o których mowa w art. 32 ust. 2 i 3, chyba że szczególnie pilna potrzeba uzasadnia skrócenie okresu przejściowego.
Artykuł 8
Produkty krytyczne z elementami cyfrowymi
Przed przyjęciem aktów delegowanych Komisja ocenia potencjalny wpływ planowanych środków na rynek i przeprowadza konsultacje z odpowiednimi interesariuszami, w tym z Europejską Grupą ds. Certyfikacji Cyberbezpieczeństwa, ustanowionej na mocy rozporządzenia (UE) 2019/881. W ocenie uwzględnia się gotowość i zdolność państw członkowskich do wdrożenia odpowiedniego europejskiego programu certyfikacji cyberbezpieczeństwa. Jeżeli nie przyjęto aktów delegowanych, o których mowa w akapicie pierwszym niniejszego ustępu, produkty z elementami cyfrowymi, które posiadają podstawową funkcjonalność kategorii produktu określonej w załączniku IV, podlegają procedurom oceny zgodności, o których mowa w art. 32 ust. 3.
Akty delegowane, o których mowa w akapicie pierwszym, przewidują co najmniej sześciomiesięczny okres przejściowy, chyba że szczególnie pilna potrzeba uzasadnia jego skrócenie.
Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 61 oraz do wprowadzania zmian w załączniku IV przez dodanie lub usunięcie kategorii produktów krytycznych z elementami cyfrowymi. Określając takie kategorie produktów krytycznych z elementami cyfrowymi i wymagany poziom zaufania, zgodnie z ust. 1 niniejszego artykułu, Komisja bierze pod uwagę kryteria, o których mowa w art. 7 ust. 2, oraz zapewnia, aby kategorie produktów z elementami cyfrowymi spełniały co najmniej jedno z następujących kryteriów:
krytyczną zależność podmiotów kluczowych, o których mowa w art. 3 dyrektywy (UE) 2022/2555 od kategorii produktów z elementami cyfrowymi;
incydenty i wykorzystane podatności dotyczące kategorii produktów z elementami cyfrowymi, które mogą prowadzić do poważnych zakłóceń w krytycznych łańcuchach dostaw na całym rynku wewnętrznym.
Przed przyjęciem aktów delegowanych Komisja przeprowadza ocenę, o której mowa w ust. 1.
Akty delegowane, o których mowa w akapicie pierwszym, przewidują co najmniej sześciomiesięczny okres przejściowy, chyba że szczególnie pilna potrzeba uzasadnia jego skrócenie.
Artykuł 9
Konsultacje z interesariuszami
Przygotowując środki do wdrożenia niniejszego rozporządzenia, Komisja konsultuje się z odpowiednimi interesariuszami, takimi jak właściwe organy państw członkowskich, przedsiębiorstwa sektora prywatnego, w tym mikroprzedsiębiorstwa oraz małe i średnie przedsiębiorstwa, środowiska opracowujące otwarte oprogramowanie, organizacje konsumenckie, środowiska akademickie oraz odpowiednie agencje i organy Unii, a także grupy eksperckie ustanowione na poziomie unijnym, oraz bierze pod uwagę ich opinie. W stosownych przypadkach Komisja konsultuje się z interesariuszami i zasięga ich opinii w ustrukturyzowany sposób, w przypadku gdy:
przygotowuje wytyczne, o których mowa w art. 26;
przygotowuje opisy techniczne kategorii produktów określonych w załączniku III zgodnie z art. 7 ust. 4, ocenia konieczność ewentualnych aktualizacji wykazu kategorii produktów zgodnie z art. 7 ust. 3 i art. 8 ust. 2 lub ocenia potencjalny wpływ na rynek, o którym mowa w art. 8 ust. 1, bez uszczerbku dla art. 61;
przygotowuje się do oceny i przeglądu niniejszego rozporządzenia.
Artykuł 10
Doskonalenie umiejętności w cyberodpornym środowisku cyfrowym
Do celów niniejszego rozporządzenia oraz aby odpowiedzieć na potrzeby specjalistów we wspomaganiu wdrażania niniejszego rozporządzenia, państwa członkowskie, w stosownych przypadkach przy wsparciu Komisji, Europejskiego Centrum Kompetencji w dziedzinie Cyberbezpieczeństwa i ENISA, przy pełnym poszanowaniu odpowiedzialności państw członkowskich w dziedzinie edukacji, propagują środki i strategie mające na celu:
rozwijanie umiejętności w zakresie cyberbezpieczeństwa oraz tworzenie narzędzi organizacyjnych i technologicznych w celu zapewnienia wystarczającej dostępności wykwalifikowanych specjalistów do wspierania działań organów nadzoru rynku i jednostek oceniających zgodność;
zacieśnienie współpracy między sektorem prywatnym, podmiotami gospodarczymi – w tym poprzez przekwalifikowanie lub podniesienie kwalifikacji pracowników producentów – konsumentami, dostawcami usług szkoleniowych oraz administracjami publicznymi, zwiększając tym samym możliwości dostępu młodych ludzi do miejsc pracy w sektorze cyberbezpieczeństwa.
Artykuł 11
Ogólne bezpieczeństwo produktów
Na zasadzie odstępstwa od art. 2 ust. 1 akapit trzeci lit. b) rozporządzenia (UE) 2023/988 rozdział III sekcja 1, rozdziały V i VII oraz rozdziały IX–XI tego rozporządzenia stosuje się do produktów z elementami cyfrowymi w odniesieniu do aspektów i zagrożeń lub kategorii zagrożeń nieobjętych niniejszym rozporządzeniem, jeżeli produkty te nie podlegają szczegółowym wymaganiom bezpieczeństwa określonym w innym „unijnym prawodawstwie harmonizacyjnym” zdefiniowanym w art. 3 pkt 27 rozporządzenia (UE) 2023/988.
Artykuł 12
Systemy sztucznej inteligencji wysokiego ryzyka
Bez uszczerbku dla wymagań dotyczących dokładności i solidności określonych w art. 15 rozporządzenia (UE) 2024/1689 produkty z elementami cyfrowymi, które wchodzą w zakres niniejszego rozporządzenia i są sklasyfikowane jako systemy sztucznej inteligencji wysokiego ryzyka zgodnie z art. 6 tego rozporządzenia, uznaje się za spełniające wymagania w zakresie cyberbezpieczeństwa określone w art. 15 tego rozporządzenia, jeżeli:
produkty te spełniają zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I część I;
procedury wprowadzone przez producenta są zgodne z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część II; oraz
osiągnięcie poziomu ochrony cyberbezpieczeństwa wymaganego na mocy art. 15 rozporządzenia (UE) 2024/1689 [zostało wykazane w deklaracji zgodności UE wydanej na mocy niniejszego rozporządzenia.
ROZDZIAŁ II
OBOWIĄZKI PODMIOTÓW GOSPODARCZYCH I PRZEPISY DOTYCZĄCE WOLNEGO I OTWARTEGO OPROGRAMOWANIA
Artykuł 13
Obowiązki producentów
Producenci określają okres wsparcia w taki sposób, aby odzwierciedlał on długość okresu, w którym produkt ma być użytkowany, biorąc pod uwagę w szczególności uzasadnione oczekiwania użytkowników, charakter produktu, w tym jego przeznaczenie, a także odpowiednie prawo Unii określające cykl życia produktów z elementami cyfrowymi. Przy określaniu okresu wsparcia producenci mogą również uwzględnić okresy wsparcia produktów z elementami cyfrowymi oferujących podobną funkcjonalność i wprowadzanych do obrotu przez innych producentów, dostępność środowiska operacyjnego, okresy wsparcia zintegrowanych komponentów, które zapewniają podstawowe funkcje i są pozyskiwane od stron trzecich, a także odpowiednie wytyczne przedstawione przez specjalną grupę współpracy administracyjnej (grupę ADCO) ustanowioną na mocy art. 52 ust. 15 i Komisję. Kwestie, które należy uwzględnić w celu określenia długości okresu wsparcia, rozpatruje się w sposób zapewniający proporcjonalność.
Bez uszczerbku dla akapitu drugiego okres wsparcia wynosi co najmniej pięć lat. Jeżeli oczekuje się, że produkt z elementami cyfrowymi będzie użytkowany krócej niż pięć lat, okres wsparcia odpowiada przewidywanemu czasowi użytkowania.
Uwzględniając zalecenia grupy ADCO, o których mowa w art. 52 ust. 16, Komisja może przyjmować akty delegowane zgodnie z art. 61 w celu uzupełnienia niniejszego rozporządzenia poprzez wyznaczenie minimalnego okresu wsparcia dla określonych kategorii produktów, w przypadku gdy dane z nadzoru rynku sugerują nieodpowiednie okresy wsparcia.
Producenci przedstawiają informacje, które uwzględniono przy określaniu okresu wsparcia produktu z elementami cyfrowymi, w dokumentacji technicznej określonej w załączniku VII.
Producenci muszą posiadać odpowiednią politykę i stosowne procedury, w tym politykę regulującą skoordynowane ujawnianie podatności, o której mowa w załączniku I część II pkt 5, do celów przetwarzania i eliminowania potencjalnych podatności produktu z elementami cyfrowymi, zgłoszonych przez źródła wewnętrzne lub zewnętrzne.
Producenci przeprowadzają wybrane procedury oceny zgodności, o których mowa w art. 32, lub zlecają ich przeprowadzenie.
W przypadku wykazania zgodności produktu z elementami cyfrowymi z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część I oraz zgodności procedur wprowadzonych przez producenta z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część II w wyniku przeprowadzenia takiej procedury oceny zgodności producenci sporządzają deklarację zgodności UE zgodnie z art. 28 i umieszczają oznakowanie zgodności CE zgodnie z art. 30.
Producenci zapewniają, aby pojedynczy punkt kontaktowy był łatwo rozpoznawalny dla użytkowników. Umieszczają oni również pojedynczy punkt kontaktowy w informacjach i instrukcjach dla użytkowników określonych w załączniku II.
Pojedynczy punkt kontaktowy umożliwia użytkownikom wybór preferowanych środków komunikacji i nie ogranicza tych środków do narzędzi zautomatyzowanych.
Jeżeli jest to technicznie wykonalne ze względu na charakter produktu z elementami cyfrowymi, producenci wyświetlają użytkownikom powiadomienie informujące ich, że zakończył się okres wsparcia ich produktu z elementami cyfrowymi.
Artykuł 14
Obowiązki producentów w zakresie zgłaszania
Do celów zgłoszenia, o którym mowa w ust. 1, producent przedkłada:
wczesne ostrzeżenie o aktywnie wykorzystywanej podatności, bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od momentu, w którym producent się o niej dowiedział, ze wskazaniem, w stosownych przypadkach, państw członkowskich, o których producent wie, że na ich terytorium został udostępniony jego produkt z elementami cyfrowymi;
o ile odpowiednie informacje nie zostały już przekazane, zgłoszenie podatności, bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od momentu, w którym producent dowiedział się o aktywnie wykorzystywanej podatności, z podaniem ogólnych informacji dostępnych na temat danego produktu z elementami cyfrowymi, ogólnego charakteru wykorzystania i danej podatności, a także wszelkich podjętych środków naprawczych lub łagodzących, a także środków naprawczych lub łagodzących, które mogą podjąć użytkownicy, a także ze wskazaniem, w stosownych przypadkach, w jakim stopniu producent uznaje zgłoszone informacje za szczególnie chronione;
o ile odpowiednie informacje nie zostały już przekazane, sprawozdanie końcowe, nie później niż 14 dni po udostępnieniu środka naprawczego lub łagodzącego, zawierające co najmniej następujące informacje:
opis podatności, w tym jej dotkliwości i skutków;
jeżeli są dostępne, informacje dotyczące każdego podmiotu działającego w złym zamiarze, który wykorzystał lub wykorzystuje podatność;
szczegółowe informacje dotyczące aktualizacji zabezpieczeń lub innych środków naprawczych, które zostały udostępnione w celu eliminacji podatności.
Do celów zgłoszenia, o którym mowa w ust. 3, producent przedkłada:
wczesne ostrzeżenie o poważnym incydencie mającym wpływ na bezpieczeństwo produktu z elementami cyfrowymi, bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od momentu, w którym producent się o nim dowiedział, obejmujące co najmniej informacje, czy istnieją podejrzenia, że poważny incydent został spowodowany działaniem bezprawnym lub działaniem dokonanym w złym zamiarze, ze wskazaniem również, w stosownych przypadkach, państw członkowskich, o których producent wie, że na ich terytorium udostępniono jego produkt z elementami cyfrowymi;
o ile odpowiednie informacje nie zostały już przekazane, zgłoszenie incydentu, bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od momentu, w którym producent dowiedział się o incydencie, w którym to zgłoszeniu podaje się ogólne informacje, jeżeli są dostępne, na temat rodzaju incydentu, a także wszelkie podjęte środki naprawcze lub łagodzące, a także środki naprawcze lub łagodzące, które mogą podjąć użytkownicy, a także wskazuje, w stosownych przypadkach, w jakim stopniu producent uznaje zgłoszone informacje za szczególnie chronione;
o ile odpowiednie informacje nie zostały już przekazane, sprawozdanie końcowe – w terminie jednego miesiąca od zgłoszenia incydentu zgodnie z lit. b), zawierające co najmniej następujące elementy:
szczegółowy opis incydentu, w tym jego dotkliwości i skutków;
rodzaj zagrożenia lub pierwotną przyczynę, która prawdopodobnie była źródłem incydentu;
zastosowane i bieżące środki ograniczające ryzyko.
Do celów ust. 3 incydent mający wpływ na bezpieczeństwo produktu z elementami cyfrowymi uznaje się za poważny, jeżeli:
negatywnie wpływa on lub może mieć negatywny wpływ na zdolność produktu z elementami cyfrowymi do ochrony dostępności, autentyczności, integralności lub poufności wrażliwych lub ważnych danych lub funkcji; lub
prowadził on lub może prowadzić do wprowadzenia lub uruchomienia kodu złośliwego w produkcie z elementami cyfrowymi lub w sieci i systemach informatycznych użytkownika produktu z elementami cyfrowymi.
Do celów niniejszego rozporządzenia uznaje się, że producent ma główną siedzibę w Unii w tym państwie członkowskim, w którym głównie podejmowane są decyzje związane z cyberbezpieczeństwem jego produktów z elementami cyfrowymi. Jeżeli nie można ustalić takiego państwa członkowskiego, uznaje się, że główna siedziba znajduje się w państwie członkowskim, w którym dany producent ma siedzibę o największej liczbie pracowników w Unii.
W przypadku gdy producent nie ma głównej siedziby w Unii, dokonuje on zgłoszeń, o których mowa w ust. 1 i 3, z wykorzystaniem punktu zgłoszeń elektronicznych CSIRT wyznaczonego na koordynatora w państwie członkowskim określonym zgodnie z następującą kolejnością i na podstawie informacji dostępnych producentowi:
państwo członkowskie, w którym ma siedzibę upoważniony przedstawiciel działający w imieniu producenta w odniesieniu do największej liczby produktów z elementami cyfrowymi tego producenta;
państwo członkowskie, w którym ma siedzibę importer wprowadzający do obrotu największą liczbę produktów z elementami cyfrowymi tego producenta;
państwo członkowskie, w którym ma siedzibę dystrybutor udostępniający na rynku największą liczbę produktów z elementami cyfrowymi tego producenta;
państwo członkowskie, w którym znajduje się największa liczba użytkowników produktów z elementami cyfrowymi tego producenta.
W odniesieniu do akapitu trzeciego lit. d) producent może przekazywać zgłoszenia dotyczące wszelkich późniejszych aktywnie wykorzystywanych podatności lub poważnego incydentu mających wpływ na bezpieczeństwo produktu z elementami cyfrowymi temu samemu CSIRT-owi wyznaczonemu na koordynatora, któremu uprzednio przekazał zgłoszenie.
Artykuł 15
Dobrowolne zgłaszanie
CSIRT wyznaczony na koordynatora może rozpatrywać zgłoszenia obowiązkowe priorytetowo w stosunku do zgłoszeń dobrowolnych.
Artykuł 16
Ustanowienie pojedynczej platformy sprawozdawczej
W wyjątkowych okolicznościach, w szczególności na wniosek producenta i w świetle poziomu wrażliwości zgłoszonych informacji wskazanego przez producenta zgodnie z art. 14 ust. 2 lit. a) niniejszego rozporządzenia, rozpowszechnienie zgłoszenia może zostać opóźnione z uzasadnionych przyczyn związanych z cyberbezpieczeństwem o absolutnie niezbędny okres, w tym w przypadku gdy podatność podlega skoordynowanej procedurze ujawniania, o której mowa w art. 12 ust. 1 dyrektywy (UE) 2022/2555. W przypadku gdy CSIRT podejmie decyzję o nieujawnianiu zgłoszenia, niezwłocznie informuje ENISA o tej decyzji i przedstawia zarówno uzasadnienie nieujawnienia zgłoszenia, jak i wskazanie, kiedy rozpowszechni zgłoszenie zgodnie z procedurą rozpowszechniania określoną w niniejszym ustępie. ENISA może poprzeć stanowisko CSIRT-u dotyczące zastosowania względów cyberbezpieczeństwa w odniesieniu do opóźnienia rozpowszechnienia zgłoszenia.
W szczególnie wyjątkowych okolicznościach, jeżeli producent wskazuje w zgłoszeniu, o którym mowa w art. 14 ust. 2 lit. b):
że zgłoszona podatność została aktywnie wykorzystana przez podmiot działający w złym zamiarze i, zgodnie z dostępnymi informacjami, nie została wykorzystana w żadnym innym państwie członkowskim niż to, którego CSIRT wyznaczono na koordynatora i któremu producent zgłosił podatność;
że jakiekolwiek natychmiastowe dalsze rozpowszechnienie zgłoszonej podatności prawdopodobnie doprowadziłoby do dostarczenia informacji, których ujawnienie byłoby sprzeczne z podstawowymi interesami tego państwa członkowskiego; lub
że dalsze rozpowszechnianie zgłoszenia podatności stwarza bezpośrednie wysokie ryzyko w cyberprzestrzeni;
jedynie informacje o tym, że producent dokonał zgłoszenia, ogólne informacje na temat produktu, informacje o ogólnym charakterze wykorzystania oraz informacje o tym, że powołano się na względy bezpieczeństwa, są jednocześnie udostępniane ENISA, aż do momentu rozpowszechnienia pełnego zgłoszenia wśród zainteresowanych CSIRT-ów i ENISA. Jeżeli na podstawie tych informacji ENISA uzna, że istnieje ryzyko systemowe mające wpływ na bezpieczeństwo na rynku wewnętrznym, zaleca CSIRT-owi, który otrzymał zgłoszenie, aby przekazał pełne zgłoszenie pozostałym CSIRT-om wyznaczonym na koordynatorów oraz samej ENISA.
Artykuł 17
Inne przepisy dotyczące sprawozdawczości
Artykuł 18
Upoważnieni przedstawiciele
Upoważniony przedstawiciel wykonuje zadania określone w pełnomocnictwie otrzymanym od producenta. Upoważniony przedstawiciel na żądanie organów nadzoru rynku przedstawia im kopię swojego pełnomocnictwa. Pełnomocnictwo umożliwia upoważnionemu przedstawicielowi wykonywanie co najmniej następujących obowiązków:
przechowywanie deklaracji zgodności UE, o której mowa w art. 28, oraz dokumentacji technicznej, o której mowa w art. 31, do dyspozycji organów nadzoru rynku przez okres co najmniej 10 lat po wprowadzeniu produktu z elementami cyfrowymi do obrotu lub przez okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy;
przekazywanie na uzasadniony wniosek organu nadzoru rynku wszelkich informacji i dokumentów niezbędnych do wykazania zgodności produktu z elementami cyfrowymi z wymogami;
na wniosek organów nadzoru rynku podejmowanie z nimi współpracy w działaniach mających na celu na wyeliminowanie ryzyka, jakie stwarza produkt z elementami cyfrowymi objęty pełnomocnictwem upoważnionego przedstawiciela.
Artykuł 19
Obowiązki importerów
Przed wprowadzeniem produktu z elementami cyfrowymi do obrotu importerzy zapewniają, aby:
producent przeprowadził odpowiednie procedury oceny zgodności, o których mowa w art. 32;
producent sporządził dokumentację techniczną;
produkt z elementami cyfrowymi nosił oznakowanie CE, o którym mowa w art. 30, oraz by towarzyszyła mu deklaracja zgodności UE, o której mowa w art. 13 ust. 20, oraz informacje i instrukcje dla użytkownika określone w załączniku II, w języku łatwo zrozumiałym dla użytkowników i organów nadzoru rynku;
producent spełnił wymogi określone w art. 13 ust. 15, 16 i 19.
Do celów niniejszego ustępu importerzy muszą być w stanie przedstawić niezbędne dokumenty potwierdzające spełnienie wymogów określonych w niniejszym artykule.
W przypadku gdy importer ma powody sądzić, że produkt z elementami cyfrowymi może stwarzać istotne ryzyko w cyberprzestrzeni w kontekście pozatechnicznych czynników ryzyka, importer informuje o tym organy nadzoru rynku. Po otrzymaniu takich informacji organy nadzoru rynku postępują zgodnie z procedurami, o których mowa w art. 54 ust. 2.
Po uzyskaniu informacji o podatności produktu z elementami cyfrowymi importerzy bez zbędnej zwłoki informują producenta o tej podatności. Ponadto, w przypadku gdy produkt z elementami cyfrowymi stwarza istotne ryzyko w cyberprzestrzeni, importerzy niezwłocznie informują o tym organy nadzoru rynku państw członkowskich, w których produkt z elementami cyfrowymi udostępniono na rynku, podając szczegółowe informacje, w szczególności na temat niezgodności oraz wszelkich wprowadzonych środków naprawczych.
Artykuł 20
Obowiązki dystrybutorów
Przed udostępnieniem produktu z elementami cyfrowymi na rynku dystrybutorzy sprawdzają, czy:
produkt z elementami cyfrowymi jest opatrzony oznakowaniem CE;
producent i importer wypełnili obowiązki określone w art. 13 ust. 15, 16, 18, 19 i 20 oraz art. 19 ust. 4 i dostarczyli dystrybutorowi wszystkie niezbędne dokumenty.
Po uzyskaniu informacji o podatności produktu z elementami cyfrowymi dystrybutorzy bez zbędnej zwłoki informują producenta o tej podatności. Ponadto, w przypadku gdy produkt z elementami cyfrowymi stwarza istotne ryzyko w cyberprzestrzeni, dystrybutorzy niezwłocznie informują o tym organy nadzoru rynku państw członkowskich, w których produkt z elementami cyfrowymi udostępniono na rynku, podając szczegółowe informacje, w szczególności na temat niezgodności oraz wszelkich wprowadzonych środków naprawczych.
Artykuł 21
Przypadki, w których obowiązki producentów mają zastosowanie do importerów i dystrybutorów
Importer lub dystrybutor uważany jest za producenta do celów niniejszego rozporządzenia i podlega on art. 13 i 14, jeżeli ten importer lub dystrybutor wprowadza produkt z elementami cyfrowymi do obrotu pod własną nazwą lub znakiem towarowym albo dokonuje istotnej modyfikacji produktu z elementami cyfrowymi już wprowadzonego do obrotu.
Artykuł 22
Inne przypadki, w których mają zastosowanie obowiązki producentów
Artykuł 23
Identyfikacja podmiotów gospodarczych
Na wniosek organów nadzoru rynku podmioty gospodarcze przekazują tym organom następujące informacje:
imię i nazwisko lub nazwę i adres każdego podmiotu gospodarczego, który dostarczył im produkt z elementami cyfrowymi;
o ile są dostępne – imię i nazwisko lub nazwę i adres każdego podmiotu gospodarczego, któremu dostarczyły produkt z elementami cyfrowymi.
Artykuł 24
Obowiązki opiekunów otwartego oprogramowania
Na uzasadniony wniosek organu nadzoru rynku opiekunowie otwartego oprogramowania dostarczają temu organowi, w języku łatwo zrozumiałym dla tego organu, dokumentację, o której mowa w ust. 1, w formie papierowej lub elektronicznej.
Artykuł 25
Poświadczanie bezpieczeństwa wolnego i otwartego oprogramowania
W celu ułatwienia wypełniania obowiązku należytej staranności określonego w art. 13 ust. 5, w szczególności w odniesieniu do producentów, którzy włączają do swoich produktów z elementami cyfrowymi komponenty wolnego i otwartego oprogramowania, Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 61 w celu uzupełnienia niniejszego rozporządzenia poprzez ustanowienie dobrowolnych programów poświadczania bezpieczeństwa umożliwiających twórcom lub użytkownikom produktów z elementami cyfrowymi kwalifikujących się jako wolne i otwarte oprogramowanie, a także innym stronom trzecim ocenę zgodności takich produktów ze wszystkimi lub niektórymi zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa lub innymi obowiązkami określonymi w niniejszym rozporządzeniu.
Artykuł 26
Wytyczne
W przypadku gdy Komisja zamierza przedstawić wytyczne, o których mowa w ust. 1, zajmuje się ona co najmniej następującymi aspektami:
zakres niniejszego rozporządzenia, ze szczególnym uwzględnieniem rozwiązań w zakresie zdalnego przetwarzania danych oraz wolnego i otwartego oprogramowania;
stosowanie okresów wsparcia w odniesieniu do poszczególnych kategorii produktów z elementami cyfrowymi;
wytyczne skierowane do producentów podlegających niniejszemu rozporządzeniu, którzy podlegają również unijnemu prawodawstwu harmonizacyjnemu innemu niż niniejsze rozporządzenie lub innym powiązanym aktom prawnym Unii;
pojęcie istotnej modyfikacji.
Komisja prowadzi również łatwo dostępny wykaz aktów delegowanych i wykonawczych przyjętych na podstawie niniejszego rozporządzenia.
ROZDZIAŁ III
ZGODNOŚĆ PRODUKTU Z ELEMENTAMI CYFROWYMI
Artykuł 27
Domniemanie zgodności
Komisja, zgodnie z art. 10 ust. 1 rozporządzenia (UE) nr 1025/2012, zwraca się do jednej lub kilku europejskich organizacji normalizacyjnych z wnioskiem o przygotowanie norm zharmonizowanych dotyczących zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I do niniejszego rozporządzenia. Sporządzając wnioski o normalizację na potrzeby niniejszego rozporządzenia, Komisja stara się uwzględnić istniejące europejskie i międzynarodowe normy w dziedzinie cyberbezpieczeństwa, które są już dostępne lub w trakcie opracowywania, aby uprościć opracowanie norm zharmonizowanych zgodnie z rozporządzeniem (UE) nr 1025/2012.
Te akty wykonawcze przyjmuje się wyłącznie wtedy, jeżeli spełnione są następujące warunki:
zgodnie z art. 10 ust. 1 rozporządzenia (UE) nr 1025/2012 Komisja zwróciła się do co najmniej jednej europejskiej organizacji normalizacyjnej z wnioskiem o przygotowanie zharmonizowanej normy dotyczącej zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I oraz:
wniosek ten nie został zaakceptowany;
normy zharmonizowane stanowiące odpowiedź na ten wniosek nie zostały dostarczone w terminie określonym zgodnie z art. 10 ust. 1 rozporządzenia (UE) nr 1025/2012; lub
normy zharmonizowane nie są zgodne z wnioskiem; oraz
w Dzienniku Urzędowym Unii Europejskiej nie opublikowano żadnego odniesienia do zharmonizowanych norm obejmujących odnośne zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I do niniejszego rozporządzenia zgodnie z rozporządzeniem (UE) nr 1025/2012 i nie przewiduje się opublikowania takiego odniesienia w rozsądnym terminie.
Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 62 ust. 2.
Artykuł 28
Deklaracja zgodności UE
Uproszczona deklaracja zgodności UE, o której mowa w art. 13 ust. 20, zawiera wzór określony w załączniku VI. Deklarację udostępnia się w językach wymaganych przez państwo członkowskie, w którym produkt z elementami cyfrowymi jest wprowadzany do obrotu lub udostępniany na rynku.
Artykuł 29
Ogólne zasady dotyczące oznakowania CE
Oznakowanie CE podlega ogólnym zasadom określonym w art. 30 rozporządzenia (WE) nr 765/2008.
Artykuł 30
Reguły i warunki dotyczące umieszczania oznakowania CE
Numer identyfikacyjny jednostki notyfikowanej umieszcza sama jednostka lub producent albo jego upoważniony przedstawiciel według wskazówek jednostki notyfikowanej.
Artykuł 31
Dokumentacja techniczna
Artykuł 32
Procedury oceny zgodności dotyczące produktów z elementami cyfrowymi
Producent dokonuje oceny zgodności produktu z elementami cyfrowymi i procedur wprowadzonych przez producenta w celu ustalenia, czy spełniono zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I. Producent wykazuje zgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa, stosując dowolną z następujących procedur:
procedurę kontroli wewnętrznej (zgodnie z modułem A) określoną w załączniku VIII;
procedurę badania typu UE (zgodnie z modułem B) określoną w załączniku VIII, po której następuje badanie zgodności z typem UE w oparciu o wewnętrzną kontrolę produkcji (zgodnie z modułem C) określoną w załączniku VIII;
ocenę zgodności opartą na pełnym zapewnieniu jakości (zgodnie z modułem H) określoną w załączniku VIII; lub
o ile jest dostępny i ma zastosowanie – europejski program certyfikacji cyberbezpieczeństwa zgodnie z art. 27 ust. 9.
Jeżeli przy ocenie zgodności ważnego produktu z elementami cyfrowymi należącego do klasy I, jak określono w załączniku III, oraz procedur wprowadzonych przez jego producenta z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I producent nie zastosował norm zharmonizowanych, wspólnych specyfikacji lub europejskich programów certyfikacji cyberbezpieczeństwa przynajmniej na „istotnym” poziomie uzasadnienia zaufania, o których mowa w art. 27, lub zastosował je tylko częściowo, bądź jeżeli takie normy zharmonizowane, wspólne specyfikacje lub europejskie programy certyfikacji cyberbezpieczeństwa nie istnieją, dany produkt z elementami cyfrowymi i procedury wprowadzone przez producenta podlegają w odniesieniu do tych zasadniczych wymagań w zakresie cyberbezpieczeństwa jednej z następujących procedur:
procedurze badania typu UE (zgodnie z modułem B) określonej w załączniku VIII, po której następuje badanie zgodności z typem UE w oparciu o wewnętrzną kontrolę produkcji (zgodnie z modułem C) określoną w załączniku VIII; lub
ocenie zgodności opartej na pełnym zapewnieniu jakości (zgodnie z modułem H) określonej w załączniku VIII.
Jeżeli produkt jest ważnym produktem z elementami cyfrowymi należącym do klasy II, jak określono w załączniku III, producent wykazuje zgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I, stosując dowolną z następujących procedur:
procedurę badania typu UE (zgodnie z modułem B) określoną w załączniku VIII, po której następuje badanie zgodności z typem UE w oparciu o wewnętrzną kontrolę produkcji (zgodnie z modułem C) określoną w załączniku VIII;
ocenę zgodności opartą na pełnym zapewnieniu jakości (zgodnie z modułem H) określoną w załączniku VIII; lub
jeżeli jest dostępny i ma zastosowanie – europejski program certyfikacji cyberbezpieczeństwa zgodnie z art. 27 ust. 9 niniejszego rozporządzenia przynajmniej na „istotnym” poziomie uzasadnienia zaufania zgodnie z rozporządzeniem (UE) 2019/881.
Produkty krytyczne z elementami cyfrowymi wymienione w załączniku IV wykazują zgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I za pomocą jednej z następujących procedur:
europejski program certyfikacji cyberbezpieczeństwa zgodnie z art. 8 ust. 1; lub
w przypadku gdy warunki określone w art. 8 ust. 1 nie są spełnione, którejkolwiek z procedur, o których mowa w ust. 3 niniejszego artykułu.
Artykuł 33
Środki wsparcia dla mikroprzedsiębiorstw małych i średnich przedsiębiorstw, w tym przedsiębiorstw typu start-up
W stosownych przypadkach państwa członkowskie podejmują następujące działania dostosowane do potrzeb mikroprzedsiębiorstw i małych przedsiębiorstw:
organizują specjalne działania uświadamiające i szkoleniowe dotyczące stosowania niniejszego rozporządzenia;
ustanawiają specjalny kanał komunikacji z mikroprzedsiębiorstwami i małymi przedsiębiorstwami oraz, w stosownych przypadkach, z lokalnymi organami publicznymi w celu udzielania porad i odpowiedzi na pytania dotyczące wdrażania niniejszego rozporządzenia;
wspierają działania w zakresie testowania i oceny zgodności, w tym w stosownych przypadkach przy wsparciu Europejskiego Centrum Kompetencji w dziedzinie Cyberbezpieczeństwa.
Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 62 ust. 2.
Artykuł 34
Umowy o wzajemnym uznawaniu
Uwzględniając poziom rozwoju technicznego i podejście do oceny zgodności państwa trzeciego, Unia może zawierać umowy o wzajemnym uznawaniu z państwami trzecimi, zgodnie z art. 218 TFUE, w celu wspierania i ułatwiania handlu międzynarodowego.
ROZDZIAŁ IV
NOTYFIKACJA JEDNOSTEK OCENIAJĄCYCH ZGODNOŚĆ
Artykuł 35
Notyfikacja
Artykuł 36
Organy notyfikujące
Artykuł 37
Wymogi dotyczące organów notyfikujących
Artykuł 38
Obowiązki informacyjne organów notyfikujących
Artykuł 39
Wymogi dotyczące jednostek notyfikowanych
Za taką osobę trzecią można uznać jednostkę należącą do stowarzyszenia przedsiębiorców lub zrzeszenia zawodowego reprezentującego przedsiębiorstwa zaangażowane w projektowanie, opracowywanie, produkcję, dostarczanie, montowanie, użytkowanie lub konserwację produktów z elementami cyfrowymi, które ocenia, pod warunkiem że wykazano jej niezależność i brak konfliktu interesów.
Jednostka oceniająca zgodność, jej kierownictwo najwyższego szczebla oraz pracownicy odpowiedzialni za realizację zadań związanych z oceną zgodności nie angażują się bezpośrednio w projektowanie, opracowywanie, przywóz, dystrybucję, produkcję, wprowadzanie do obrotu, instalację, użytkowanie lub konserwację produktów z elementami cyfrowymi, które oceniają, ani nie reprezentują stron zaangażowanych w taką działalność. Nie mogą oni angażować się w działalność, która może zagrażać niezależności ich osądów lub wiarygodności w odniesieniu do działań związanych z oceną zgodności będących przedmiotem notyfikacji. Dotyczy to w szczególności usług doradczych.
Jednostki oceniające zgodność zapewniają, aby działalność ich jednostek zależnych lub podwykonawców nie wpływała na poufność, obiektywizm ani bezstronność ich działalności związanej z oceną zgodności.
Przez cały czas i w odniesieniu do dowolnej procedury oceny zgodności oraz dowolnego rodzaju lub kategorii produktów z elementami cyfrowymi będących przedmiotem notyfikacji dana jednostka oceniająca zgodność musi dysponować:
niezbędnym personelem posiadającym wiedzę techniczną oraz wystarczające doświadczenie, odpowiednie do realizacji zadań związanych z oceną zgodności;
niezbędnymi opisami procedur, zgodnie z którymi należy przeprowadzać ocenę zgodności, zapewniającymi przejrzystość i powtarzalność tych procedur; jednostka musi posiadać odpowiednią politykę i stosowne procedury, dzięki którym możliwe jest odróżnienie zadań, jakie wykonuje jako jednostka notyfikowana, od pozostałych działań;
niezbędnymi procedurami służącymi wykonywaniu działań z należytym uwzględnieniem wielkości przedsiębiorstwa, sektora jego działalności, struktury przedsiębiorstwa, stopnia złożoności technologii danego produktu oraz masowego lub seryjnego charakteru procesu produkcji.
Jednostka oceniająca zgodność musi dysponować środkami niezbędnymi do prawidłowej realizacji zadań o charakterze technicznym i administracyjnym z zakresu oceny zgodności oraz mieć dostęp do wszelkiego niezbędnego wyposażenia lub wszelkich niezbędnych obiektów.
Personel odpowiedzialny za realizację działań związanych z oceną zgodności musi mieć:
gruntowne przeszkolenie zawodowe i techniczne, obejmujące wszystkie działania związane z oceną zgodności w zakresie będącym przedmiotem notyfikacji jednostki oceniającej zgodność;
dostateczną znajomość wymogów dotyczących ocen, które przeprowadzają, oraz odpowiednie uprawnienia do dokonywania takich ocen;
odpowiednią znajomość i zrozumienie zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I, obowiązujących norm zharmonizowanych i wspólnych specyfikacji oraz stosownych przepisów unijnego prawodawstwa harmonizacyjnego i aktów wykonawczych;
umiejętności wymagane do sporządzania certyfikatów, zapisów i sprawozdań potwierdzających, że oceny zostały przeprowadzone.
Wynagrodzenie kierownictwa najwyższego szczebla jednostki oceniającej zgodność oraz jej pracowników przeprowadzających ocenę nie może zależeć od liczby przeprowadzonych ocen ani od ich wyników.
Artykuł 40
Domniemanie zgodności jednostek notyfikowanych
Jeżeli jednostka oceniająca zgodność wykaże, że spełnia kryteria ustanowione w odpowiednich normach zharmonizowanych – lub ich częściach – do których odniesienia opublikowano w Dzienniku Urzędowym Unii Europejskiej, domniemuje się, że jednostka ta spełnia wymogi określone w art. 39, jeżeli mające zastosowanie normy zharmonizowane obejmują te wymogi.
Artykuł 41
Jednostki zależne i podwykonawcy jednostek notyfikowanych
Artykuł 42
Wniosek o notyfikację
Artykuł 43
Procedura notyfikacji
Wyłącznie taką jednostkę uznaje się za jednostkę notyfikowaną do celów niniejszego rozporządzenia.
Artykuł 44
Numery identyfikacyjne i wykazy jednostek notyfikowanych
Komisja przydziela jeden numer identyfikacyjny, nawet w przypadku gdy jednostka jest notyfikowana na mocy różnych aktów prawnych Unii.
Komisja zapewnia bieżącą aktualizację tego wykazu.
Artykuł 45
Zmiany w notyfikacji
Artykuł 46
Kwestionowanie kompetencji jednostek notyfikowanych
Artykuł 47
Obowiązki operacyjne jednostek notyfikowanych
Artykuł 48
Środek zaskarżenia od decyzji jednostek notyfikowanych
Państwa członkowskie zapewniają możliwość wniesienia środka zaskarżenia od decyzji jednostek notyfikowanych.
Artykuł 49
Obowiązki informacyjne jednostek notyfikowanych
Jednostki notyfikowane informują organ notyfikujący:
o każdym przypadku odmowy wydania, ograniczenia, zawieszenia lub cofnięcia certyfikatu;
o wszelkich okolicznościach, które mogą mieć negatywny wpływ na zakres i warunki notyfikacji;
o każdym przypadku zażądania przez organ nadzoru rynku udzielenia informacji dotyczących działań związanych z oceną zgodności;
na wniosek, o podejmowanych działaniach związanych z oceną zgodności wchodzących w zakres ich notyfikacji oraz o innych wykonywanych działaniach, w tym o działalności transgranicznej i podwykonawstwie.
Artykuł 50
Wymiana doświadczeń
Komisja organizuje wymianę doświadczeń między organami krajowymi państw członkowskich odpowiedzialnymi za strategię w zakresie notyfikacji.
Artykuł 51
Koordynacja jednostek notyfikowanych
ROZDZIAŁ V
NADZÓR RYNKU I EGZEKWOWANIE PRZEPISÓW
Artykuł 52
Nadzór rynku i kontrola produktów z elementami cyfrowymi na rynku Unii
Organy nadzorujące egzekwowanie unijnego prawa ochrony danych są uprawnione do żądania dostępu do wszelkiej dokumentacji sporządzonej lub prowadzonej na podstawie niniejszego rozporządzenia, jeżeli dostęp do tej dokumentacji jest niezbędny do wykonywania ich zadań. Organy te informują wyznaczone organy nadzoru rynku danego państwa członkowskiego o każdym takim żądaniu.
Grupa ADCO podaje do wiadomości publicznej, w przyjaznej dla użytkownika formie, odpowiednie statystyki dotyczące kategorii produktów z elementami cyfrowymi, w tym średnich okresów wsparcia, określonych przez producenta zgodnie z art. 13 ust. 8, a także zapewnia wytyczne zawierające orientacyjne okresy wsparcia dla kategorii produktów z elementami cyfrowymi.
Jeżeli dane wskazują, że okresy wsparcia dla określonych kategorii produktów z elementami cyfrowymi są niedostateczne, grupa ADCO może wydać zalecenia dla organów nadzoru rynku, aby skoncentrowały swoje działania na takich kategoriach produktów z elementami cyfrowymi.
Artykuł 53
Dostęp do danych i dokumentacji
Jeżeli jest to konieczne do oceny zgodności produktów z elementami cyfrowymi i procedur wprowadzonych przez ich producentów z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I, organom nadzoru rynku na uzasadniony wniosek przyznaje się dostęp, w języku łatwo zrozumiałym dla tych organów, do danych niezbędnych do oceny projektu, procesu opracowania, produkcji i postępowania w przypadku wykrycia podatności, w tym dostęp do powiązanej dokumentacji wewnętrznej dotyczącej odnośnego podmiotu gospodarczego.
Artykuł 54
Procedura na poziomie krajowym dotycząca produktów z elementami cyfrowymi stwarzających istotne ryzyko w cyberprzestrzeni
Jeżeli w trakcie tej oceny organ nadzoru rynku stwierdzi, że produkt z elementami cyfrowymi nie jest zgodny z wymogami określonymi w niniejszym rozporządzeniu, niezwłocznie zobowiązuje właściwy podmiot gospodarczy do podjęcia wszelkich odpowiednich działań naprawczych w celu zapewnienia zgodności produktu z elementami cyfrowymi z tymi wymogami, wycofania go z obrotu lub odzyskania go w wyznaczonym przez organ rozsądnym terminie, stosownym do charakteru ryzyka w cyberprzestrzeni, zgodnie z zaleceniami organu nadzoru rynku.
Organ nadzoru rynku informuje o tym odpowiednią jednostkę notyfikowaną. Art. 18 rozporządzenia (UE) 2019/1020 stosuje się do działań naprawczych.
Organ ten niezwłocznie notyfikuje te środki Komisji i pozostałym państwom członkowskim.
Informacje, o których mowa w ust. 5, obejmują wszelkie dostępne informacje szczegółowe, w szczególności dane niezbędne do identyfikacji niezgodnego z przepisami produktu z elementami cyfrowymi, pochodzenie tego produktu z elementami cyfrowymi, charakter domniemanej niezgodności i związanego z nią ryzyka, charakter i okres obowiązywania wprowadzonych środków krajowych oraz argumenty przedstawione przez właściwy podmiot gospodarczy. W szczególności organ nadzoru rynku wskazuje, czy niezgodność wynika z co najmniej jednej z następujących przyczyn:
niespełnienia przez produkt z elementami cyfrowymi lub procedury wprowadzone przez producenta zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I;
niedociągnięć w normach zharmonizowanych, europejskich programach certyfikacji cyberbezpieczeństwa lub wspólnych specyfikacjach, o których mowa w art. 27.
Artykuł 55
Unijna procedura ochronna
Artykuł 56
Procedura na poziomie Unii dotycząca produktów z elementami cyfrowymi stwarzających istotne ryzyko w cyberprzestrzeni
Artykuł 57
Zgodne produkty z elementami cyfrowymi, które stwarzają istotne ryzyko w cyberprzestrzeni
Organ nadzoru rynku państwa członkowskiego zobowiązuje podmiot gospodarczy do podjęcia wszelkich odpowiednich środków, jeżeli po przeprowadzeniu oceny na podstawie art. 54 stwierdzi, że chociaż produkt z elementami cyfrowymi i procedury wprowadzone przez producenta są zgodne z niniejszym rozporządzeniem, stwarzają one istotne ryzyko w cyberprzestrzeni, a także stwarzają ryzyko dla:
zdrowia lub bezpieczeństwa osób;
wypełnienia obowiązków wynikających z prawa Unii lub prawa krajowego mających na celu ochronę praw podstawowych;
dostępności, autentyczności, integralności lub poufności usług oferowanych przy użyciu elektronicznego systemu informacyjnego przez podmioty niezbędne, o których mowa w art. 3 ust. 1 dyrektywy (UE) 2022/2555; lub
innych aspektów ochrony interesu publicznego.
Środki, o których mowa w akapicie pierwszym, mogą obejmować środki mające na celu zapewnienie, aby dany produkt z elementami cyfrowymi i procedury wprowadzone przez producenta nie stwarzały już określonego ryzyka w momencie udostępnienia na rynku, wycofania z obrotu danego produktu z elementami cyfrowymi lub jego odzyskania, i są stosowne do charakteru tego ryzyka.
Artykuł 58
Formalna niezgodność z przepisami
Jeżeli organ nadzoru rynku państwa członkowskiego stwierdzi jedno z poniższych, wymaga od właściwego producenta usunięcia danej niezgodności:
umieszczenie oznakowania CE z naruszeniem art. 29 i 30;
nieumieszczenie oznakowania CE;
niesporządzenie deklaracji zgodności UE;
nieprawidłowe sporządzenie deklaracji zgodności UE;
w stosownych przypadkach nieumieszczenie numeru identyfikacyjnego jednostki notyfikowanej uczestniczącej w procedurze oceny zgodności;
niedostępna albo niekompletna dokumentacja techniczna.
Artykuł 59
Wspólne działania organów nadzoru rynku
Artykuł 60
Akcje kontrolne
ROZDZIAŁ VI
PRZEKAZANE UPRAWNIENIA I PROCEDURA KOMITETOWA
Artykuł 61
Wykonywanie przekazanych uprawnień
Artykuł 62
Procedura komitetowa
ROZDZIAŁ VII
POUFNOŚĆ I KARY
Artykuł 63
Poufność
Wszystkie strony zaangażowane w stosowanie niniejszego rozporządzenia przestrzegają zasady poufności informacji i danych uzyskanych podczas wykonywania swoich zadań i swojej działalności w taki sposób, aby chronić w szczególności:
prawa własności intelektualnej oraz poufne informacje handlowe lub tajemnice przedsiębiorstwa osoby fizycznej lub prawnej, w tym kod źródłowy, chyba że zastosowanie mają przypadki określone w art. 5 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/943 ( 2 );
skuteczne wdrożenie niniejszego rozporządzenia, zwłaszcza do celów inspekcji, postępowań przygotowawczych lub audytów;
interesy bezpieczeństwa publicznego i narodowego;
uczciwy przebieg postępowań karnych i administracyjnych.
Artykuł 64
Kary
Ustalając wysokość administracyjnej kary pieniężnej, w każdym indywidualnym przypadku uwzględnia się wszystkie istotne okoliczności danej sytuacji i zwraca się należytą uwagę na następujące kwestie:
charakter, wagę i czas trwania naruszenia oraz jego konsekwencje;
czy te same lub inne organy nadzoru rynku nałożyły już na ten sam podmiot gospodarczy administracyjne kary pieniężne za podobne naruszenie;
wielkość podmiotu gospodarczego dopuszczającego się naruszenia, zwłaszcza w przypadku mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw, w tym przedsiębiorstw typu start-up, a także jego udział w rynku.
►C1 Na zasadzie odstępstwa od ust. 2–9 administracyjne kary pieniężne, o których mowa w tych ustępach, nie mają zastosowania do: ◄
producentów kwalifikujących się jako mikroprzedsiębiorstwa lub małe przedsiębiorstwa w przypadku niedotrzymania terminu, o którym mowa w art. 14 ust. 2 lit. a) lub art. 14 ust. 4 lit. a);
wszelkich naruszeń niniejszego rozporządzenia przez opiekunów oprogramowania otwartego.
Artykuł 65
Powództwa przedstawicielskie
Do powództw przedstawicielskich wytaczanych przeciwko podmiotom gospodarczym za naruszenia przepisów niniejszego rozporządzenia szkodzące lub mogące szkodzić zbiorowym interesom konsumentów zastosowanie ma dyrektywa (UE) 2020/1828.
ROZDZIAŁ VIII
PRZEPISY PRZEJŚCIOWE I KOŃCOWE
Artykuł 66
Zmiana w rozporządzeniu (UE) 2019/1020
W załączniku I do rozporządzenia (UE) 2019/1020 dodaje się punkt w brzmieniu:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847 ( *1 ).
Artykuł 67
Zmiana dyrektywy (UE) 2020/1828
W załączniku I do dyrektywy (UE) 2020/1828 dodaje się punkt w brzmieniu:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2487 ( *2 ).
Artykuł 68
Zmiana rozporządzenia (UE) nr 168/2013
W części C1 w tabeli w załączniku II do rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 168/2013 ( 3 ) dodaje się pozycję w brzmieniu:
„
|
16 |
18 |
ochrona pojazdu przed cyberatakami |
|
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
”
Artykuł 69
Przepisy przejściowe
Artykuł 70
Ocena i przegląd
Artykuł 71
Wejście w życie i rozpoczęcie stosowania
Art. 14 stosuje się jednak od dnia 11 września 2026 r., a rozdział IV (art. 35–51) stosuje się od dnia 11 czerwca 2026 r.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
ZAŁĄCZNIK I
ZASADNICZE WYMAGANIA W ZAKRESIE CYBERBEZPIECZEŃSTWA
Część I Wymagania w zakresie cyberbezpieczeństwa dotyczące cech produktów z elementami cyfrowymi
1) Produkty z elementami cyfrowymi należy projektować, opracowywać i produkować tak, by zapewniały odpowiedni poziom cyberbezpieczeństwa stosownie do ryzyka;
2) Na podstawie oceny ryzyka w cyberprzestrzeni, o której mowa w art. 13 ust. 2, i w stosownych przypadkach produkty z elementami cyfrowymi:
są udostępniane bez żadnych znanych i możliwych do wykorzystania podatności;
są udostępniane na rynku w bezpiecznej konfiguracji domyślnej, obejmującej możliwość zresetowania produktu do stanu pierwotnego, chyba że producent i użytkownik biznesowy uzgodnią inaczej w odniesieniu do produktu z elementami cyfrowymi dostosowanego do indywidualnych potrzeb;
zapewniają możliwość eliminowania podatności przez aktualizacje zabezpieczeń, w tym w stosownych przypadkach automatyczne aktualizacje zabezpieczeń instalowane w odpowiednim czasie dzięki ustawieniom domyślnym, z jasnym i łatwym do zastosowania mechanizmem opt-out oraz z powiadamianiem użytkowników o dostępnych aktualizacjach oraz możliwości ich tymczasowego odroczenia;
zapewniają ochronę przed nieuprawnionym dostępem dzięki odpowiednim mechanizmom kontroli, w tym między innymi systemom uwierzytelniania, identyfikacji lub zarządzania dostępem, a także raportowania o potencjalnym nieuprawnionym dostępie;
zapewniają ochronę poufności przechowywanych, przekazywanych lub w inny sposób przetwarzanych danych, w tym danych osobowych lub innych, w tym przez szyfrowanie odpowiednich danych odłożonych lub danych przesyłanych z wykorzystaniem najnowocześniejszych mechanizmów oraz przez zastosowanie innych środków technicznych;
zapewniają ochronę integralności przechowywanych, przekazywanych lub w inny sposób przetwarzanych danych, w tym danych osobowych lub innych, komend, programów i konfiguracji przed wszelką manipulacją lub modyfikacją nieautoryzowaną przez użytkownika, a także powiadamiają o uszkodzeniach danych;
przetwarzają tylko te dane, w tym dane osobowe lub inne, które są adekwatne, stosowne oraz ograniczone do tego, co niezbędne w związku z przeznaczeniem produktu z elementami cyfrowymi (minimalizacja danych);
zapewniają ochronę dostępności najważniejszych i podstawowych funkcji, również po incydencie, w tym dzięki odporności na ataki typu „odmowa usługi” i środkom łagodzącym ich skutki;
minimalizują negatywny wpływ samych produktów lub urządzeń podłączonych do internetu na dostępność usług dostarczanych przez inne urządzenia lub sieci;
są projektowane, opracowywane i produkowane tak, by ograniczyć powierzchnię ataku, w tym interfejsów zewnętrznych;
są projektowane, opracowywane i produkowane tak, by zmniejszyć wpływ incydentu przy użyciu odpowiednich mechanizmów i technik łagodzenia skutków wykorzystania;
dostarczają informacje związane z bezpieczeństwem dzięki rejestrowaniu i monitorowaniu odpowiedniej aktywności wewnętrznej, w tym dostępu do danych, usług lub funkcji lub ich modyfikacji, z mechanizmem opt-out dla użytkownika;
dają użytkownikom możliwość bezpiecznego i łatwego usuwania na stałe wszystkich danych i ustawień, a jeżeli takie dane mogą być przekazywane do innych produktów lub systemów, zapewniają, że odbywa się to bezpiecznie.
Część II Wymagania dotyczące postępowania w przypadku wykrycia podatności
Producenci produktów z elementami cyfrowymi mają obowiązek:
identyfikowania i dokumentowania podatności i komponentów zawartych w produkcie z elementami cyfrowymi, w tym przez sporządzenie zestawienia podstawowych materiałów do produkcji oprogramowania w powszechnie używanym formacie nadającym się do odczytu maszynowego, obejmującego co najmniej zależności najwyższego poziomu produktów;
w odniesieniu do ryzyka, jakie stwarzają produkty z elementami cyfrowymi – bezzwłocznego reagowania na podatności i ich eliminowania, w tym przez udostępnianie aktualizacji zabezpieczeń; jeżeli jest to technicznie wykonalne, nowe aktualizacje zabezpieczeń dostarcza się oddzielnie od aktualizacji funkcji;
przeprowadzania skutecznych i regularnych testów i przeglądów bezpieczeństwa produktu z elementami cyfrowymi;
po udostępnieniu aktualizacji zabezpieczeń – udostępniania i publicznego ujawniania informacji o naprawionych podatnościach, w tym opisu podatności, informacji pozwalających użytkownikom zidentyfikować produkt z elementami cyfrowymi, którego te podatności dotyczą, skutków podatności i ich dotkliwości, a także jasnych i dostępnych informacji pomagających użytkownikom wyeliminować podatności; w należycie uzasadnionych przypadkach, jeżeli producenci uznają, że ryzyko dla bezpieczeństwa związane z publikacją przewyższa korzyści w zakresie bezpieczeństwa, mogą opóźnić podanie do wiadomości publicznej informacji o naprawionych podatnościach do czasu, gdy użytkownicy będą mogli wprowadzić odpowiednią poprawkę (patch);
wprowadzania i egzekwowania polityki skoordynowanego ujawniania podatności;
przyjmowania środków ułatwiających wymianę informacji o potencjalnych podatnościach w ich produkcie z elementami cyfrowymi, a także w komponentach strony trzeciej zawartych w tym produkcie, w tym przez udostępnienie adresu do kontaktu służącego do zgłaszania podatności wykrytych w produkcie z elementami cyfrowymi;
zapewniania mechanizmów bezpiecznej dystrybucji aktualizacji zabezpieczeń produktów z elementami cyfrowymi w celu zapewnienia naprawy lub ograniczenia podatności w odpowiednim czasie, a w przypadku aktualizacji zabezpieczeń – automatycznie;
zapewniania – gdy dostępne są aktualizacje zabezpieczeń służące rozwiązaniu zidentyfikowanych problemów bezpieczeństwa – ich rozpowszechniania bezzwłocznie i bezpłatnie, chyba że producent i użytkownik biznesowy uzgodnią inaczej w odniesieniu do produktu z elementami cyfrowymi dostosowanego do indywidualnych potrzeb, wraz z komunikatami doradczymi zawierającymi odpowiednie informacje dla użytkowników, w tym o potencjalnych działaniach, które należy podjąć.
ZAŁĄCZNIK II
INFORMACJE I INSTRUKCJE DLA UŻYTKOWNIKÓW
Produktowi z elementami cyfrowymi muszą towarzyszyć co najmniej następujące informacje:
imię i nazwisko lub nazwa, zarejestrowana nazwa handlowa lub zarejestrowany znak towarowy producenta oraz adres pocztowy, adres e-mail lub inna cyfrowa forma kontaktu, a jeżeli jest dostępna – również strona internetowa, za pomocą której można skontaktować się z producentem;
pojedynczy punkt kontaktowy, w którym można zgłosić i otrzymać informacje o podatnościach produktu z elementami cyfrowymi oraz o tym, gdzie można się zapoznać z polityką producenta w zakresie skoordynowanego ujawniania podatności;
nazwa i rodzaj oraz wszelkie dodatkowe informacje umożliwiające jednoznaczną identyfikację produktu z elementami cyfrowymi;
przeznaczenie produktu z elementami cyfrowymi, w tym środowisko bezpieczeństwa zapewnione przez producenta, a także zasadnicze funkcje produktu i informacje o zabezpieczeniach;
wszelkie znane lub dające się przewidzieć okoliczności wykorzystania produktu z elementami cyfrowymi zgodnie z przeznaczeniem lub w warunkach racjonalnie przewidywalnego niewłaściwego wykorzystania, które mogą powodować istotne ryzyko w cyberprzestrzeni;
w stosownych przypadkach adres strony internetowej, na której jest dostępna deklaracja zgodności UE;
rodzaj wsparcia technicznego w zakresie bezpieczeństwa oferowanego przez producenta oraz data zakończenia okresu wsparcia, przez który użytkownicy mogą spodziewać się, że podatności zostaną usunięte i otrzymywania aktualizacji zabezpieczeń;
szczegółowe instrukcje lub adres strony internetowej z takimi szczegółowymi instrukcjami oraz informacjami na temat:
środków niezbędnych do zapewnienia bezpiecznego użytkowania produktu z elementami cyfrowymi przy pierwszym uruchomieniu oraz przez cały okres użytkowania;
możliwego wpływu zmian w produkcie z elementami cyfrowymi na bezpieczeństwo danych;
sposobu instalowania aktualizacji istotnych dla bezpieczeństwa;
bezpiecznego wycofania produktu z elementami cyfrowymi z użytku, w tym informacji o tym, jak bezpiecznie usunąć dane użytkownika;
wyłączenia ustawień domyślnych umożliwiających automatyczną instalację aktualizacji zabezpieczeń, zgodnie z wymaganiami załącznika I część I pkt 2 lit. c);
jeżeli produkt z elementami cyfrowymi ma być integrowany z innymi produktami z elementami cyfrowymi – informacje niezbędne osobie integrującej do spełnienia zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I oraz wymagań dotyczących dokumentacji określonych w załączniku VII;
jeżeli producent zdecyduje, że udostępni użytkownikowi zestawienie podstawowych materiałów do produkcji oprogramowania, informacje o tym, gdzie można uzyskać dostęp do tego zestawienia.
ZAŁĄCZNIK III
WAŻNE PRODUKTY Z ELEMENTAMI CYFROWYMI
Klasa I
1. Oprogramowanie systemów zarządzania tożsamością i zarządzania uprzywilejowanym dostępem oraz odpowiedni sprzęt, w tym czytniki do uwierzytelniania i kontroli dostępu, także biometryczne
2. Samodzielne i wbudowane przeglądarki
3. Menedżery haseł
4. Oprogramowanie, które wyszukuje, usuwa lub poddaje kwarantannie złośliwe oprogramowanie
5. Produkty z elementami cyfrowymi z funkcją wirtualnej sieci prywatnej (VPN)
6. Systemy zarządzania siecią
7. Systemy zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM)
8. Menedżery uruchamiania systemu
9. Infrastruktura klucza publicznego i oprogramowanie do wystawiania certyfikatów cyfrowych
10. Fizyczne i wirtualne interfejsy sieciowe
11. Systemy operacyjne
12. Routery, modemy przeznaczone do podłączenia do internetu oraz przełączniki
13. Mikroprocesory z funkcjami bezpieczeństwa
14. Mikrokontrolery z funkcjami bezpieczeństwa
15. Specjalizowane układy scalone (ASIC) i bezpośrednio programowalne macierze bramek (FPGA) z funkcjami bezpieczeństwa
16. Wirtualni asystenci inteligentnego domu ogólnego przeznaczenia
17. Produkty inteligentnego domu z funkcjami bezpieczeństwa, w tym inteligentne zamki do drzwi, kamery systemów bezpieczeństwa, nianie elektroniczne i systemy alarmowe
18. Zabawki podłączone do internetu objęte dyrektywą Parlamentu Europejskiego i Rady 2009/48/WE ( 4 ) z interaktywnymi funkcjami społecznymi (np. mówienie lub filmowanie) lub z funkcją śledzenia lokalizacji
19. Produkty do noszenia lub umieszczania na ciele ludzkim mające monitorować stan zdrowia (np. śledzące aktywność fizyczną), do których nie stosuje się rozporządzenia (UE) 2017/745 ani rozporządzenia (UE) 2017/746, lub przedmioty osobiste do noszenia na ciele, które mają być używane przez dzieci i dla dzieci
Klasa II
1. Hiperwizory i systemy środowiska uruchomieniowego, które wspomagają zwirtualizowane wykonanie systemów operacyjnych i podobnych środowisk
2. Zapory sieciowe, systemy wykrywania włamań lub zapobiegania włamaniom
3. Mikroprocesory odporne na manipulacje
4. Mikrokontrolery odporne na manipulacje
ZAŁĄCZNIK IV
PRODUKTY KRYTYCZNE Z ELEMENTAMI CYFROWYMI
1. Urządzenia sprzętowe ze skrzynkami zabezpieczającymi
2. Bramy inteligentnych liczników w inteligentnych systemach pomiarowych zdefiniowanych w art. 2 pkt 23 dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/944 ( 5 ) oraz inne urządzenia do zaawansowanych celów bezpieczeństwa, w tym do bezpiecznego kryptoprzetwarzania
3. Karty inteligentne lub podobne urządzenia, w tym elementy zabezpieczające
ZAŁĄCZNIK V
DEKLARACJA ZGODNOŚCI UE
W deklaracji zgodności UE, o której mowa w art. 28, należy zamieścić wszystkie następujące informacje:
nazwę i rodzaj oraz wszelkie dodatkowe informacje umożliwiające jednoznaczną identyfikację produktu z elementami cyfrowymi
nazwę lub imię i nazwisko oraz adres producenta lub jego upoważnionego przedstawiciela
oświadczenie, że deklarację zgodności UE wydano na wyłączną odpowiedzialność dostawcy
przedmiot deklaracji (identyfikacja produktu z elementami cyfrowymi umożliwiająca identyfikowalność, w stosownych przypadkach wraz z fotografią)
oświadczenie, że opisany powyżej przedmiot deklaracji jest zgodny z odpowiednimi wymaganiami unijnego prawodawstwa harmonizacyjnego
odniesienia do wszelkich zastosowanych odpowiednich norm zharmonizowanych lub wszelkich innych wspólnych specyfikacji lub certyfikacji cyberbezpieczeństwa, z którymi deklaruje się zgodność
w stosownych przypadkach nazwę i numer jednostki notyfikowanej, opis przeprowadzonej procedury oceny zgodności oraz dane identyfikacyjne wydanego certyfikatu
informacje dodatkowe:
Podpisano w imieniu:
(miejsce i data wydania):
(imię i nazwisko, stanowisko) (podpis):
ZAŁĄCZNIK VI
UPROSZCZONA DEKLARACJA ZGODNOŚCI UE
Uproszczoną deklarację zgodności UE, o której mowa w art. 13 ust. 20, składa się w następującej formie:
ZAŁĄCZNIK VII
ZAWARTOŚĆ DOKUMENTACJI TECHNICZNEJ
Dokumentacja techniczna, o której mowa w art. 31, musi zawierać co najmniej te spośród następujących informacji, które mają zastosowanie do danego produktu z elementami cyfrowymi:
ogólny opis produktu z elementami cyfrowymi, w tym:
jego przeznaczenie;
wersje oprogramowania mające wpływ na zgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa;
jeżeli produkt z elementami cyfrowymi jest sprzętem – zdjęcia lub ilustracje przedstawiające cechy zewnętrzne, oznakowanie i układ wewnętrzny;
informacje i instrukcje dla użytkowników zgodnie z treścią załącznika II;
opis projektowania, opracowywania i produkcji produktu z elementami cyfrowymi oraz procedur postępowania w przypadku wykrycia podatności, w tym:
niezbędne informacje o projektowaniu i opracowaniu produktu z elementami cyfrowymi, w tym w stosownych przypadkach rysunki i schematy lub opis architektury systemu wyjaśniający, jak elementy oprogramowania współgrają ze sobą lub wzajemnie się uzupełniają oraz włączają się w ogólne przetwarzanie;
niezbędne informacje i specyfikacje wprowadzonych przez producenta procedur postępowania w przypadku wykrycia podatności, w tym zestawienie podstawowych materiałów do produkcji oprogramowania, politykę skoordynowanego ujawniania podatności, dowód, że podano adres do kontaktu do celów zgłaszania podatności, oraz opis rozwiązań technicznych wybranych na potrzeby bezpiecznej dystrybucji aktualizacji;
niezbędne informacje i specyfikacje dotyczące procesów produkcji i monitorowania produktu z elementami cyfrowymi oraz walidacji tych procesów;
ocenę ryzyka w cyberprzestrzeni, na wypadek którego zaprojektowano, opracowano, wyprodukowano, dostarczono i utrzymywano produkt z elementami cyfrowymi, zgodnie z art. 13, w tym w jakim sposób mają zastosowanie zasadnicze wymagania w zakresie cyberbezpieczeństwa określone załączniku I część I;
istotne informacje uwzględnione przy określaniu dla produktu z elementami cyfrowymi okresu wsparcia, o którym mowa w art. 13 ust. 8;
wykaz norm zharmonizowanych stosowanych w całości lub w części, do których odniesienia opublikowano w Dzienniku Urzędowym Unii Europejskiej, wspólne specyfikacje określone w art. 27 niniejszego rozporządzenia lub europejskie programy certyfikacji cyberbezpieczeństwa przyjęte zgodnie z rozporządzeniem (UE) 2019/881 według art. 27 ust. 8 niniejszego rozporządzenia oraz – jeżeli nie zastosowano takich norm zharmonizowanych, wspólnych specyfikacji lub europejskich systemów certyfikacji cyberbezpieczeństwa – opisy rozwiązań przyjętych w celu spełnienia zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I część I i II, w tym wykaz innych odpowiednich zastosowanych specyfikacji technicznych; w przypadku częściowego zastosowania norm zharmonizowanych, wspólnych specyfikacji lub europejskich programów certyfikacji cyberbezpieczeństwa w dokumentacji technicznej należy określić, które części zastosowano;
sprawozdania z prób przeprowadzonych w celu weryfikacji zgodności produktu z elementami cyfrowymi oraz procedur postępowania w przypadku wykrycia podatności z mającymi zastosowanie zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część I i II;
kopię deklaracji zgodności UE;
w stosownych przypadkach zestawienie podstawowych materiałów do produkcji oprogramowania, na uzasadniony wniosek organu nadzoru rynku, pod warunkiem że jest to niezbędne, aby organ ten mógł sprawdzić zgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I.
ZAŁĄCZNIK VIII
PROCEDURY OCENY ZGODNOŚCI
Część I Procedura oceny zgodności opierająca się na kontroli wewnętrznej (zgodnie z modułem A)
1. Kontrola wewnętrzna jest procedurą oceny zgodności, w której producent wypełnia obowiązki określone w pkt 2, 3 i 4 niniejszej części oraz zapewnia i deklaruje na swoją wyłączną odpowiedzialność, że produkt z elementami cyfrowymi spełnia wszystkie zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I część I, a producent spełnia zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I część II.
2. Producent sporządza dokumentację techniczną określoną w załączniku VII.
3. Projektowanie, opracowywanie i produkcja produktów z elementami cyfrowymi oraz postępowanie w przypadku wykrycia podatności
Producent stosuje wszelkie środki niezbędne, aby projektowanie, opracowywanie, produkcja i procedury postępowania w przypadku wykrycia podatności i ich monitoring zapewniały zgodność produkowanych lub opracowywanych produktów z elementami cyfrowymi i wprowadzonych przez producenta procedur z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część I i II.
4. Oznakowanie zgodności i deklaracja zgodności
4.1. Producent umieszcza oznakowanie CE na każdym produkcie z elementami cyfrowymi spełniającym mające zastosowanie wymagania określone w niniejszym rozporządzeniu.
4.2. Producent sporządza pisemną deklarację zgodności UE dla każdego produktu z elementami cyfrowymi zgodnie z art. 28 i przechowuje ją wraz z dokumentacją techniczną do dyspozycji organów krajowych przez okres 10 lat po wprowadzeniu do obrotu danego produktu z elementami cyfrowymi lub przez przewidywany okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy. W deklaracji zgodności UE należy wskazać produkt z elementami cyfrowymi, dla którego ją sporządzono. Kopię deklaracji zgodności UE udostępnia się na żądanie właściwym organom.
5. Upoważnieni przedstawiciele
Obowiązki producenta określone w pkt 4 mogą być, w jego imieniu i na jego odpowiedzialność, wypełniane przez upoważnionego przedstawiciela, pod warunkiem że zostały dane obowiązki określone w pełnomocnictwie.
Część II Badanie typu UE (zgodnie z modułem B)
1. Badanie typu UE jest elementem procedury oceny zgodności, w której jednostka notyfikowana bada projektowanie i opracowywanie techniczne produktu z elementami cyfrowymi oraz wprowadzone przez producenta procedury postępowania w przypadku wykrycia podatności, a także poświadcza, że produkt z elementami cyfrowymi spełnia zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I część I, a producent spełnia zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I część II.
2. Badanie typu UE polega na ocenie adekwatności projektowania i opracowywania technicznego produktu z elementami cyfrowymi przez zbadanie dokumentacji technicznej i dowodów potwierdzających, o których mowa w pkt 3, oraz zbadanie próbek co najmniej jednej z istotnych części produktu (połączenie typu produkcji i typu projektu).
3. Producent składa wniosek o badanie typu UE w jednej wybranej przez siebie jednostce notyfikowanej.
Wniosek taki zawiera:
nazwę lub imię i nazwisko oraz adres producenta, a jeżeli wniosek składa upoważniony przedstawiciel – również nazwę lub imię i nazwisko oraz adres tego upoważnionego przedstawiciela;
pisemną deklarację, że tego samego wniosku nie złożono w żadnej innej jednostce notyfikowanej;
dokumentację techniczną, która musi umożliwiać przeprowadzenie oceny zgodności produktu z elementami cyfrowymi z mającymi zastosowanie zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część I oraz oceny wprowadzonych przez producenta procedur postępowania w przypadku wykrycia podatności określonych w załączniku I część II, a także zawiera odpowiednią analizę i ocenę ryzyka; w dokumentacji technicznej należy określić mające zastosowanie wymagania i ująć, w stopniu właściwym dla oceny, projektowanie, produkcję i działanie produktu z elementami cyfrowymi; w stosownych przypadkach dokumentacja techniczna musi zawierać co najmniej elementy określone w załączniku VII;
dowody potwierdzające adekwatność projektowania technicznego i rozwiązań dotyczących opracowywania oraz procedur postępowania w przypadku wykrycia podatności; w dowodach tych należy wymienić wszelkie wykorzystane dokumenty, zwłaszcza jeśli nie zastosowano w pełni odpowiednich norm zharmonizowanych lub specyfikacji technicznych; w razie potrzeby dowody potwierdzające muszą obejmować wyniki testów przeprowadzonych przez odpowiednie laboratorium producenta lub przez inne laboratorium badawcze w jego imieniu i na jego odpowiedzialność.
4. Jednostka notyfikowana:
bada dokumentację techniczną i dowody potwierdzające, aby ocenić adekwatność projektowania i opracowywania technicznego produktu z elementami cyfrowymi w odniesieniu do zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I część I oraz wprowadzonych przez producenta procedur postępowania w przypadku wykrycia podatności w odniesieniu do zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I część II;
sprawdza czy egzemplarze opracowano lub wyprodukowano zgodnie z dokumentacją techniczną, i wskazuje elementy, które zaprojektowano i opracowano zgodnie z mającymi zastosowanie przepisami odpowiednich norm zharmonizowanych lub specyfikacji technicznych, jak również tych elementów, które zaprojektowano i opracowano bez stosowania odpowiednich przepisów tych norm;
prowadzi odpowiednie badania i testy lub zleca ich przeprowadzenia, aby – w przypadku gdy producent zdecydował się na zastosowanie rozwiązań określonych w odpowiednich normach zharmonizowanych lub specyfikacjach technicznych odnoszących się do wymagań przewidzianych w załączniku I – sprawdzić, czy zastosowano je prawidłowo;
prowadzi odpowiednie badania i testy lub zleca ich przeprowadzenia, aby – w przypadku gdy nie zastosowano rozwiązań określonych w odpowiednich normach zharmonizowanych lub specyfikacjach technicznych odnoszących się do wymagań przedstawionych w załączniku I – sprawdzić, czy rozwiązania przyjęte przez producenta spełniają odpowiednie zasadnicze wymagania w zakresie cyberbezpieczeństwa;
uzgadnia z producentem miejsca, w którym zostaną przeprowadzone badania i testy.
5. Jednostka notyfikowana sporządza sprawozdanie z oceny, w którym odnotowuje działania podjęte zgodnie z pkt 4 i ich rezultaty. Bez uszczerbku dla swoich obowiązków wobec organów notyfikujących jednostka notyfikowana udostępnia treść takiego sprawozdania, w całości lub w części, wyłącznie za zgodą producenta.
6. Jeżeli typ oraz procedury postępowania w przypadku wykrycia podatności spełniają zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I, jednostka notyfikowana wydaje producentowi certyfikat badania typu UE. Certyfikat musi zawierać imię i nazwisko lub nazwę i adres producenta, wnioski z badań, (ewentualne) warunki jego ważności oraz dane niezbędne do identyfikacji zatwierdzonego typu i procedur postępowania w przypadku wykrycia podatności. Do certyfikatu można dołączyć załącznik lub załączniki.
Certyfikat i załączniki do niego zawierają wszystkie istotne informacje umożliwiające ocenę zgodności wyprodukowanych lub opracowanych produktów z elementami cyfrowymi w odniesieniu do badanego typu i procedur postępowania w przypadku wykrycia podatności oraz kontrolę w trakcie eksploatacji.
Jeżeli typ oraz procedury postępowania w przypadku wykrycia podatności nie spełniają mających zastosowanie zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I, jednostka notyfikowana odmawia wydania certyfikatu badania typu UE oraz informuje o tym wnioskodawcę, przedstawiając szczegółowe uzasadnienie odmowy.
7. Jednostka notyfikowana śledzi wszelkie zmiany w powszechnie uznanym stanie wiedzy technicznej wskazujące, że zatwierdzony typ oraz zatwierdzone procedury postępowania w przypadku wykrycia podatności mogą nie spełniać już mających zastosowanie zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I, oraz musi ustalić, czy zmiany takie wymagają dalszego badania. Jeżeli tak jest, jednostka notyfikowana musi poinformować o tym producenta.
Producent informuje jednostkę notyfikowaną, która przechowuje dokumentację techniczną dotyczącą certyfikatu badania typu UE, o wszystkich modyfikacjach zatwierdzonego typu i zatwierdzonych procedur postępowania w przypadku wykrycia podatności mogących wpływać na zgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I lub warunkami ważności certyfikatu. Takie modyfikacje wymagają dodatkowego zatwierdzenia w formie dodatku do pierwotnego certyfikatu badania typu UE.
8. Jednostka notyfikowana prowadzi audyty okresowe, by zapewnić odpowiednie wdrażanie procesów postępowania w przypadku wykrycia podatności określonych w załączniku I część II.
9. Każda jednostka notyfikowana informuje właściwy organ notyfikujący o certyfikatach badania typu UE i wszelkich dodatkach do nich, które wydała lub cofnęła, oraz, okresowo lub na żądanie, udostępniać właściwemu organowi notyfikującemu wykaz tych certyfikatów i wszelkich dodatków do nich, których wydania odmówiła, które zawiesiła lub objęła innymi ograniczeniami.
Każda jednostka notyfikowana informuje pozostałe jednostki notyfikowane o certyfikatach badania typu UE i wszelkich dodatkach do nich, których wydania odmówiła, które cofnęła, zawiesiła lub objęła innymi ograniczeniami oraz, na żądanie, o certyfikatach i wszelkich dodatkach do nich, które wydała.
Komisja, państwa członkowskie i pozostałe jednostki notyfikowane mogą na żądanie otrzymać kopie certyfikatów badania typu UE lub dodatków do nich. Komisja i państwa członkowskie mogą otrzymać na żądanie kopię dokumentacji technicznej oraz wyniki badań przeprowadzonych przez jednostkę notyfikowaną. Jednostka notyfikowana przechowuje kopie certyfikatu badania typu UE, załączników i dodatków do niego, a także dokumentów technicznych, w tym dokumentacji przedłożonej przez producenta, do czasu wygaśnięcia ważności certyfikatu.
10. Producent przechowuje kopie certyfikatu badania typu UE, załączników i dodatków do niego wraz z dokumentacją techniczną do dyspozycji organów krajowych przez okres 10 lat po wprowadzeniu produktu z elementami cyfrowymi do obrotu lub przez okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy.
11. Upoważniony przedstawiciel producenta może złożyć wniosek, o którym mowa w pkt 3, oraz wypełniać obowiązki określone w pkt 7 i 10, pod warunkiem że dane obowiązki zostały określone w upoważnieniu.
Część III Zgodność z typem w oparciu o wewnętrzną kontrolę produkcji (zgodnie z modułem C)
1. Zgodność z typem w oparciu o wewnętrzną kontrolę produkcji to element procedury oceny zgodności, w której producent wypełnia obowiązki określone w pkt 2 i 3 niniejszej części oraz zapewnia i deklaruje, że dane produkty z elementami cyfrowymi są zgodne z typem opisanym w certyfikacie badania typu UE i spełniają zasadnicze wymagania w zakresie cyberbezpieczeństwa przewidziane w załączniku I część I, a producent spełnia zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I część II.
2. Produkcja
Producent stosuje wszelkie niezbędne środki, aby proces produkcji i jego monitorowanie zapewniały zgodność wyprodukowanych produktów z elementami cyfrowymi z zatwierdzonym typem opisanym w certyfikacie badania typu UE i z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa przewidzianymi w załączniku I część I, oraz zapewnia spełnianie zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I część II.
3. Oznakowanie zgodności i deklaracja zgodności
Producent umieszcza oznakowania CE na każdym egzemplarzu produktu z elementami cyfrowymi zgodnym z typem opisanym w certyfikacie badania typu UE i spełniającym mające zastosowanie wymagania określone w niniejszym rozporządzeniu.
Producent sporządza pisemną deklarację zgodności dla modelu produktu z elementami cyfrowymi i przechowuje ją do dyspozycji organów krajowych przez okres 10 lat po wprowadzeniu produktu do obrotu lub przez okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy. W deklaracji zgodności należy wskazać produkt, dla którego została ona sporządzona. Kopię deklaracji zgodności należy na żądanie udostępnić właściwym organom.
4. Upoważniony przedstawiciel
Obowiązki producenta określone w pkt 3 mogą być, w jego imieniu i na jego odpowiedzialność, wypełniane przez upoważnionego przedstawiciela, pod warunkiem że dane obowiązki zostały określone w pełnomocnictwie.
Część IV Zgodność oparta na pełnym zapewnieniu jakości (zgodnie z modułem H)
1. Zgodność oparta na pełnym zapewnieniu jakości jest procedurą oceny zgodności, w której producent wypełnia obowiązki określone w pkt 2 i 5 niniejszej części oraz zapewnia i deklaruje na swoją wyłączną odpowiedzialność, że dane produkty lub kategorie produktów z elementami cyfrowymi spełniają zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I część I, a wprowadzone przez producenta procedury postępowania w przypadku wykrycia podatności spełniają zasadnicze wymagania określone w załączniku I część II.
2. Projektowanie, opracowywanie, produkcja i postępowanie w przypadku wykrycia podatności w odniesieniu do produktów z elementami cyfrowymi
Producent ma zatwierdzony system jakości określony w pkt 3 w odniesieniu do projektowania i opracowywania danych produktów z elementami cyfrowymi, inspekcji i testowania produktów końcowych, postępowania w przypadku wykrycia podatności oraz utrzymania wydajności tych produktów przez cały okres wsparcia, a także podlega nadzorowi zgodnie z pkt 4.
3. System jakości
Producent składa w wybranej przez siebie jednostce notyfikowanej wniosek o ocenę jego systemu jakości dla danych produktów z elementami cyfrowymi.
Wniosek taki zawiera:
nazwę lub imię i nazwisko oraz adres producenta, a jeżeli wniosek składa upoważniony przedstawiciel – również nazwę lub imię i nazwisko oraz adres tego upoważnionego przedstawiciela;
dokumentację techniczną dla jednego modelu każdej kategorii produktów z elementami cyfrowymi, które mają być produkowane lub opracowywane; w stosownych przypadkach dokumentacja techniczna musi zawierać co najmniej elementy określone w załączniku VII;
dokumentację dotyczącą systemu jakości; oraz
pisemną deklarację, że tego samego wniosku nie złożono w żadnej innej jednostce notyfikowanej.
System jakości musi zapewniać zgodność produktów z elementami cyfrowymi z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część I oraz zgodność wprowadzonych przez producenta procedur postępowania w przypadku wykrycia podatności z wymaganiami określonymi w załączniku I część II.
Wszystkie elementy, wymagania i środki przyjęte przez producenta muszą być w systematyczny i uporządkowany sposób udokumentowane w formie pisemnych zaleceń, procedur i instrukcji. Dokumentacja systemu jakości musi umożliwiać spójną interpretację programów, planów, ksiąg i zapisów dotyczących jakości.
Dokumentacja ta zawiera w szczególności stosowny opis:
celów jakości i struktury organizacyjnej, obowiązków oraz uprawnień kierownictwa w odniesieniu do projektowania, opracowywania, jakości produktu i postępowania w przypadku wykrycia podatności;
specyfikacji technicznych projektowania i opracowywania, w tym norm, które będą stosowane, oraz – jeżeli dane normy zharmonizowane lub specyfikacje techniczne nie będą stosowane w pełni – środków, które zostaną wprowadzone, by zapewnić spełnienie zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I część I mających zastosowanie do produktów z elementami cyfrowymi;
specyfikacji procedur, w tym norm, które będą stosowane, oraz – jeżeli dane normy zharmonizowane lub specyfikacje techniczne nie będą stosowane w pełni – środków, które zostaną wprowadzone, by zapewnić spełnienie zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I część II mających zastosowanie do producenta;
kontroli projektowania i opracowywania oraz technik weryfikacji projektowania i opracowywania, procesów i systematycznych działań, które będą podejmowane podczas projektowania i opracowywania produktów z elementami cyfrowymi należących do danej kategorii produktów;
odpowiednich technik produkcji, kontroli jakości i zapewnienia jakości, procesów i systematycznych działań, które będą podejmowane;
badań i testów, które będą wykonywane przed rozpoczęciem, w trakcie i po zakończeniu produkcji oraz ich częstotliwości;
zapisów dotyczących jakości, takich jak sprawozdania z kontroli i dane z badań, dane dotyczące wzorcowania oraz sprawozdania dotyczące kwalifikacji odpowiedniego personelu;
środków monitorowania osiągania wymaganej jakości projektowania i produktu oraz skutecznego działania systemu jakości.
Jednostka notyfikowana ocenia systemu jakości w celu stwierdzenia, czy spełnia on wymagania, o których mowa w pkt 3.2.
Zakłada ona zgodność z tymi wymaganiami w odniesieniu do elementów systemu jakości zgodnych z odpowiednimi specyfikacjami normy krajowej wdrażającej odnośną normę zharmonizowaną lub specyfikację techniczną.
Oprócz doświadczenia w zakresie systemów zarządzania jakością co najmniej jeden członek zespołu audytowego musi mieć doświadczenie z zakresu oceny w dziedzinie danego produktu i danej technologii, a także znać mające zastosowanie wymagania określone w niniejszym rozporządzeniu. Audyt musi obejmować wizytę oceniającą w zakładzie producenta, jeżeli taki zakład istnieje. Zespół audytowy wykonuje przegląd dokumentacji technicznej, o której mowa w pkt 3.1 lit b), by zweryfikować zdolność producenta do identyfikowania mających zastosowanie wymagań określonych w niniejszym rozporządzeniu oraz do prowadzenia badań koniecznych do zapewnienia zgodności produktu z elementami cyfrowymi z tymi wymaganiami.
O decyzji powiadamia się producenta lub jego upoważnionego przedstawiciela.
Powiadomienie takie zawiera wnioski z audytu oraz uzasadnioną decyzję dotyczącą oceny.
Producent podejmuje się wypełnienia zobowiązań wynikających z zatwierdzonego systemu jakości oraz utrzymania go w taki sposób, aby pozostawał odpowiedni oraz wydajny.
Producent na bieżąco informuje jednostkę notyfikowaną, która zatwierdziła system jakości, o wszelkich zamierzonych modyfikacjach systemu jakości.
Jednostka notyfikowana ocenia proponowane zmiany oraz decyduje, czy zmodyfikowany system jakości nadal będzie spełniał wymagania, o których mowa w pkt 3.2, lub czy konieczna jest ponowna jego ocena.
Powiadamia ona producenta o swojej decyzji. Powiadomienie takie musi zawierać wnioski z badania oraz uzasadnioną decyzję dotyczącą oceny.
4. Nadzór, za który odpowiedzialna jest jednostka notyfikowana
Celem nadzoru jest sprawdzenie, czy producent należycie wypełnia obowiązki wynikające z zatwierdzonego systemu jakości.
Do celów oceny producent umożliwia jednostce notyfikowanej dostęp do miejsc projektowania, opracowywania, produkcji, kontroli, badań i magazynowania oraz przedstawia wszelkie niezbędne informacje, a w szczególności:
dokumentację systemu jakości;
zapisy dotyczące jakości przewidziane w projektowej części systemu jakości, takie jak wyniki analiz, obliczeń i badań;
zapisy dotyczące jakości przewidziane w produkcyjnej części systemu jakości, takie jak sprawozdania z inspekcji, dane uzyskane podczas badań, dane dotyczące wzorcowania i dane dotyczące kwalifikacji odpowiednich pracowników.
Jednostka notyfikowana ma przeprowadza okresowe audyty, by sprawdzić, czy producent utrzymuje i stosuje system jakości, oraz przekazuje producentowi sprawozdania z audytu.
5. Oznakowanie zgodności i deklaracja zgodności
Producent umieszcza oznakowania CE oraz, na odpowiedzialność jednostki notyfikowanej, o której mowa w pkt 3.1, jej numer identyfikacyjny na każdym egzemplarzu produktu z elementami cyfrowymi spełniającym wymagania określone w załączniku I część I.
Producent sporządza pisemną deklarację zgodności dla każdego modelu produktu i przechowuje ją do dyspozycji organów krajowych przez okres 10 lat po wprowadzeniu produktu z elementami cyfrowymi do obrotu lub przez okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy. W deklaracji zgodności należy wskazać produkt, dla którego została ona sporządzona.
Kopię deklaracji zgodności udostępnia się na żądanie właściwym organom.
6. Producent przechowuje do dyspozycji organów krajowych, przez co najmniej 10 lat od wprowadzenia do obrotu produktu z elementami cyfrowymi lub przez okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy, następujące dokumenty:
dokumentację techniczną, o której mowa w pkt 3.1;
dokumentację dotyczącą systemu jakości, o której mowa w pkt 3.1;
zatwierdzoną zmianę, o której mowa w pkt 3.5;
decyzje i sprawozdania jednostki notyfikowanej, o których mowa w pkt 3.5 i 4.3.
7. Każda jednostka notyfikowana informuje odpowiednia organy notyfikujące o wydanych lub cofniętych zatwierdzeniach systemów jakości oraz, okresowo lub na żądanie, udostępnia odpowiednim organom notyfikującym wykaz zatwierdzeń systemów jakości, których wydania odmówiono, które zawieszono lub poddano innym ograniczeniom.
Każda jednostka notyfikowana informuje pozostałe jednostki notyfikowane o zatwierdzeniach systemów jakości, których wydania odmówiła, które cofnęła lub zawiesiła oraz, na żądanie, o zatwierdzeniach systemów jakości, które wydała.
8. Upoważniony przedstawiciel
Obowiązki producenta określone w pkt 3.1, 3.5, 5 i 6 może w jego imieniu i na jego odpowiedzialność wypełniać jego upoważniony przedstawiciel, o ile dane obowiązki zostały określone w pełnomocnictwie.
W odniesieniu do niniejszego aktu złożone zostało oświadczenie, które jest dostępne w Dz.U. C, 2024/6786, 20.11.2024, ELI: http://data.europa.eu/eli/C/2024/6786/oj.
( ) Dyrektywa Parlamentu Europejskiego i Rady 2014/90/UE z dnia 23 lipca 2014 r. w sprawie wyposażenia morskiego i uchylająca dyrektywę Rady 96/98/WE (Dz.U. L 257 z 28.8.2014, s. 146).
( ) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem (Dz.U. L 157 z 15.6.2016, s. 1).
( *1 ) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847 z dnia 23 października 2024 r. w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828 (akt o cyberodporności) (Dz.U. L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).”.
( *2 ) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2487 z dnia 23 października 2024 r. w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828 (akt o cyberodporności) (Dz.U. L, 2024/2487, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).”.
( ) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 168/2013 z dnia 15 stycznia 2013 r. w sprawie homologacji i nadzoru rynku pojazdów dwu- lub trzykołowych oraz czterokołowców (Dz.U. L 60 z 2.3.2013, s. 52).
( ) Dyrektywa Parlamentu Europejskiego i Rady 2009/48/WE z dnia 18 czerwca 2009 r. w sprawie bezpieczeństwa zabawek (Dz.U. L 170 z 30.6.2009, s. 1).
( ) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/944 z dnia 5 czerwca 2019 r. w sprawie wspólnych zasad rynku wewnętrznego energii elektrycznej oraz zmieniająca dyrektywę 2012/27/UE (Dz.U. L 158 z 14.6.2019, s. 125).
( ) Dz.U. L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj.