This document is an excerpt from the EUR-Lex website
Document 02024R2847-20241120
Regulation (EU) 2024/2847 of the European Parliament and of the Council of 23 October 2024 on horizontal cybersecurity requirements for products with digital elements and amending Regulations (EU) No 168/2013 and (EU) 2019/1020 and Directive (EU) 2020/1828 (Cyber Resilience Act) (Text with EEA relevance)
Consolidated text: Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho, de 23 de outubro de 2024, relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais e que altera os Regulamentos (UE) n.o 168/2013 e (UE) 2019/1020 e a Diretiva (UE) 2020/1828 (Regulamento de Ciber-Resiliência) (Texto relevante para efeitos do EEE)
Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho, de 23 de outubro de 2024, relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais e que altera os Regulamentos (UE) n.o 168/2013 e (UE) 2019/1020 e a Diretiva (UE) 2020/1828 (Regulamento de Ciber-Resiliência) (Texto relevante para efeitos do EEE)
02024R2847 — PT — 20.11.2024 — 000.003
Este texto constitui um instrumento de documentação e não tem qualquer efeito jurídico. As Instituições da União não assumem qualquer responsabilidade pelo respetivo conteúdo. As versões dos atos relevantes que fazem fé, incluindo os respetivos preâmbulos, são as publicadas no Jornal Oficial da União Europeia e encontram-se disponíveis no EUR-Lex. É possível aceder diretamente a esses textos oficiais através das ligações incluídas no presente documento
|
REGULAMENTO (UE) 2024/2847 DO PARLAMENTO EUROPEU E DO CONSELHO de 23 de outubro de 2024 relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais e que altera os Regulamentos (UE) n.o 168/2013 e (UE) 2019/1020 e a Diretiva (UE) 2020/1828 (Regulamento de Ciber-Resiliência) (Texto relevante para efeitos do EEE) (JO L 2847 de 20.11.2024, p. 1) |
Retificado por:
REGULAMENTO (UE) 2024/2847 DO PARLAMENTO EUROPEU E DO CONSELHO
de 23 de outubro de 2024
relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais e que altera os Regulamentos (UE) n.o 168/2013 e (UE) 2019/1020 e a Diretiva (UE) 2020/1828 (Regulamento de Ciber-Resiliência)
(Texto relevante para efeitos do EEE)
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1.o
Objeto
O presente regulamento estabelece o seguinte:
Regras para a disponibilização no mercado de produtos com elementos digitais, a fim de garantir a cibersegurança desses produtos;
Requisitos essenciais de cibersegurança para a conceção, o desenvolvimento e a produção de produtos com elementos digitais e as obrigações dos operadores económicos em relação a esses produtos no que diz respeito à cibersegurança;
Requisitos essenciais de cibersegurança para os processos de tratamento de vulnerabilidades aplicados pelos fabricantes de modo a garantir a cibersegurança dos produtos com elementos digitais durante o período de utilização prevista dos produtos, bem como as obrigações dos operadores económicos em relação a esses processos;
Regras relativas à fiscalização do mercado, designadamente à supervisão, e à aplicação das regras e dos requisitos referidos no presente artigo.
Artigo 2.o
Âmbito de aplicação
O presente regulamento não é aplicável aos produtos com elementos digitais aos quais sejam aplicáveis os seguintes atos jurídicos da União:
Regulamento (UE) 2017/745;
Regulamento (UE) 2017/746;
Regulamento (UE) 2019/2144.
A aplicação do presente regulamento aos produtos com elementos digitais abrangidos por outras regras da União que estabeleçam requisitos que deem resposta à totalidade ou a parte dos riscos abrangidos pelos requisitos essenciais de cibersegurança previstos no anexo I pode ser limitada ou excluída, se:
Tal limitação ou exclusão for congruente com o regime regulamentar global aplicável a esses produtos; e
As regras setoriais permitirem alcançar o mesmo nível de proteção que o previsto no presente regulamento ou um nível superior.
A Comissão fica habilitada a adotar atos delegados nos termos do artigo 61.o de forma a completar o presente regulamento, especificando se tal limitação ou exclusão é necessária, os produtos e as regras em causa, bem como o âmbito da limitação, se for caso disso.
Artigo 3.o
Definições
Para efeitos do presente regulamento, entende-se por:
«Produto com elementos digitais», um produto de software ou hardware e as suas soluções de tratamento remoto de dados, incluindo componentes de software ou hardware que sejam colocados no mercado separadamente;
«Tratamento remoto de dados», tratamento de dados à distância para o qual o software tenha sido concebido e desenvolvido pelo fabricante ou sob a sua responsabilidade e cuja inexistência impediria o produto com elementos digitais de desempenhar uma das suas funções;
«Cibersegurança», cibersegurança na aceção do artigo 2.o, ponto 1, do Regulamento (UE) 2019/881;
«Software», a parte de um sistema de informação eletrónico que consiste em código de computador;
«Hardware», um sistema de informação eletrónico físico, ou partes do mesmo, capaz de tratar, armazenar ou transmitir dados digitais;
«Componente», software ou hardware destinado a ser integrado num sistema de informação eletrónico;
«Sistema de informação eletrónico», um sistema, incluindo equipamento elétrico ou eletrónico, capaz de tratar, armazenar ou transmitir dados digitais;
«Conexão lógica», uma representação virtual de uma conexão de dados efetuada através de uma interface de software;
«Conexão física», uma conexão entre sistemas de informação eletrónicos ou componentes efetuada por meios físicos, nomeadamente através de interfaces elétricas, óticas ou mecânicas, cabos ou ondas radioelétricas;
«Conexão indireta», uma conexão a um dispositivo ou a uma rede que não ocorre diretamente, mas sim como parte de um sistema maior diretamente conectável a esse dispositivo ou rede;
«Ponto terminal», qualquer dispositivo conectado a uma rede e que serve de ponto de entrada nessa rede;
«Operador económico», o fabricante, o mandatário, o importador, o distribuidor ou outra pessoa singular ou coletiva sujeita a obrigações relacionadas com o fabrico de produtos com elementos digitais ou com a disponibilização de produtos com elementos digitais no mercado em conformidade com o presente regulamento;
«Fabricante», uma pessoa singular ou coletiva que desenvolva ou fabrique produtos com elementos digitais, ou que os mande conceber, desenvolver ou fabricar, e os comercialize em seu nome ou sob a sua marca, a título oneroso, monetizado ou gratuito;
«Administrador de software de código-fonte aberto», uma pessoa coletiva, que não um fabricante, cujo propósito ou objetivo consiste em prestar apoio sistemático e contínuo ao desenvolvimento de produtos específicos com elementos digitais que sejam considerados software livre e de código-fonte aberto e se destinem a atividades comerciais, e que garante a viabilidade desses produtos;
«Mandatário», uma pessoa singular ou coletiva, estabelecida na União, mandatada por escrito pelo fabricante para praticar determinados atos em seu nome;
«Importador», uma pessoa singular ou coletiva estabelecida na União que coloque no mercado um produto com elementos digitais que ostente o nome ou a marca de uma pessoa singular ou coletiva estabelecida fora da União;
«Distribuidor», uma pessoa singular ou coletiva inserida na cadeia de abastecimento, distinta do fabricante e do importador, que disponibiliza um produto com elementos digitais no mercado da União sem alterar as suas propriedades;
«Consumidor», uma pessoa singular que age com fins que não se incluam no âmbito da sua atividade comercial, empresarial, artesanal ou profissional;
«Microempresas», «pequenas empresas» e «médias empresas», microempresas, pequenas empresas e médias empresas, respetivamente, na aceção do anexo da Recomendação 2003/361/CE;
«Período de apoio», o período durante o qual um fabricante deve assegurar que as vulnerabilidades de um produto com elementos digitais são tratadas de forma eficaz e em conformidade com os requisitos essenciais de cibersegurança constantes da parte II do anexo I;
«Colocação no mercado», a primeira disponibilização de um produto com elementos digitais no mercado da União;
«Disponibilização no mercado», a oferta de um produto com elementos digitais para distribuição ou utilização no mercado da União no âmbito de uma atividade comercial, a título oneroso ou gratuito;
«Finalidade prevista», a utilização à qual o fabricante destina o produto com elementos digitais, incluindo o contexto específico e as condições de utilização, conforme especificada nas informações facultadas pelo fabricante nas instruções de utilização, nos materiais e declarações promocionais ou de venda, bem como na documentação técnica;
«Utilização razoavelmente previsível», utilização que não é necessariamente a finalidade prevista indicada pelo fabricante nas instruções de utilização, nos materiais e declarações promocionais ou de venda, bem como na documentação técnica, mas que pode resultar de comportamentos humanos ou de operações ou interações técnicas razoavelmente previsíveis;
«Utilização indevida razoavelmente previsível», a utilização de um produto com elementos digitais de uma forma não conforme com a sua finalidade prevista, mas que pode resultar de comportamentos humanos ou de interações com outros sistemas razoavelmente previsíveis;
«Autoridade notificadora», a autoridade nacional responsável por estabelecer e executar os procedimentos necessários para a avaliação, designação e notificação de organismos de avaliação da conformidade e pelo controlo dos mesmos;
«Avaliação da conformidade», o processo de verificação do cumprimento dos requisitos essenciais de cibersegurança constantes do anexo I;
«Organismo de avaliação da conformidade», um organismo de avaliação da conformidade na aceção do artigo 2.o, ponto 13, do Regulamento (CE) n.o 765/2008;
«Organismo notificado», um organismo de avaliação da conformidade designado nos termos do artigo 43.o ou de outra legislação de harmonização da União aplicável;
«Modificação substancial», uma alteração do produto com elementos digitais após a sua colocação no mercado que afete a conformidade do produto com elementos digitais com os requisitos essenciais de cibersegurança constantes da parte I do anexo I, ou que resulte numa modificação da finalidade prevista para a qual o produto com elementos digitais foi avaliado;
«Marcação CE», a marcação através da qual um fabricante indica que um produto com elementos digitais e os processos por si aplicados estão em conformidade com os requisitos essenciais de cibersegurança constantes do anexo I e de outra legislação de harmonização da União aplicável que preveja a sua aposição;
«Legislação de harmonização da União», legislação da União enumerada no anexo I do Regulamento (UE) 2019/1020 e qualquer outra legislação destinada a harmonizar as condições de comercialização dos produtos aos quais esse regulamento se aplica;
«Autoridade de fiscalização do mercado», uma autoridade de fiscalização do mercado na aceção do artigo 3.o, ponto 4, do Regulamento (UE) 2019/1020;
«Norma internacional», uma norma internacional na aceção do artigo 2.o, ponto 1, alínea a), do Regulamento (UE) n.o 1025/2012;
«Norma europeia», uma norma europeia na aceção do artigo 2.o, ponto 1, alínea b), do Regulamento (UE) n.o 1025/2012;
«Norma harmonizada», uma norma harmonizada na aceção do artigo 2.o, ponto 1, alínea c), do Regulamento (UE) n.o 1025/2012;
«Risco de cibersegurança», o potencial de perda ou perturbação causada por um incidente, expresso como uma combinação da magnitude dessa perda ou perturbação e da probabilidade de ocorrência do incidente;
«Risco de cibersegurança significativo», um risco de cibersegurança que, com base nas suas características técnicas, se possa considerar altamente suscetível de dar origem a um incidente com impacto negativo grave, causando, nomeadamente, perturbações ou perdas materiais ou imateriais consideráveis;
«Lista de materiais do software», um registo formal que contém informações pormenorizadas e as relações na cadeia de abastecimento dos componentes incluídos nos elementos de software de um produto com elementos digitais;
«Vulnerabilidade», um ponto fraco, uma suscetibilidade ou uma falha de um produto com elementos digitais passível de ser explorado por uma ciberameaça;
«Vulnerabilidade passível de ser explorada», uma vulnerabilidade com potencial para ser efetivamente utilizada por um adversário em condições operacionais práticas;
«Vulnerabilidade ativamente explorada», uma vulnerabilidade relativamente à qual existem provas fiáveis da sua exploração num sistema por parte de um agente mal-intencionado sem a autorização do proprietário do sistema;
«Incidente», um incidente na aceção do artigo 6.o, ponto 6, da Diretiva (UE) 2022/2555;
«Incidente com impacto na segurança de um produto com elementos digitais», um incidente que afeta ou pode afetar negativamente a capacidade de um produto com elementos digitais de proteger a disponibilidade, autenticidade, integridade ou confidencialidade dos dados ou das funções;
«Quase incidente», um quase incidente na aceção do artigo 6.o, ponto 5, da Diretiva (UE) 2022/2555;
«Ciberameaça», uma ciberameaça na aceção do artigo 2.o, ponto 8, do Regulamento (UE) 2019/881;
«Dados pessoais», dados pessoais na aceção do artigo 4.o, ponto 1, do Regulamento (UE) 2016/679;
«Software livre e de código-fonte aberto», software cujo código-fonte é partilhado abertamente e que é disponibilizado ao abrigo de uma licença gratuita e de código-fonte aberto que prevê todos os direitos para que o software seja livremente acessível, utilizável, modificável e redistribuível;
«Recolha», recolha na aceção do artigo 3.o, ponto 22, do Regulamento (UE) 2019/1020;
«Retirada», retirada na aceção do artigo 3.o, ponto 23, do Regulamento (UE) 2019/1020;
«CSIRT designada coordenadora», uma CSIRT designada coordenadora nos termos do artigo 12.o, n.o 1, da Diretiva (UE) 2022/2555.
Artigo 4.o
Livre circulação
Artigo 5.o
Aquisição ou utilização de produtos com elementos digitais
Artigo 6.o
Requisitos aplicáveis aos produtos com elementos digitais
Os produtos com elementos digitais só podem ser disponibilizados no mercado se:
Cumprirem os requisitos essenciais de cibersegurança constantes da parte I do anexo I, na condição de serem corretamente instalados, mantidos, utilizados para a respetiva finalidade prevista ou em condições razoavelmente previsíveis e, se for caso disso, de terem sido instaladas as atualizações de segurança necessárias; e
Os processos aplicados pelo fabricante cumprirem os requisitos essenciais de cibersegurança constantes da parte II do anexo I.
Artigo 7.o
Produtos importantes com elementos digitais
As categorias de produtos com elementos digitais a que se refere o n.o 1 do presente artigo, divididas nas classes I e II constantes do anexo III, satisfazem, pelo menos, um dos seguintes critérios:
O produto com elementos digitais desempenha essencialmente funções cruciais para a cibersegurança de outros produtos, redes ou serviços, como a proteção da autenticação e do acesso, a prevenção e deteção de intrusões, a segurança dos pontos terminais ou a proteção das redes;
O produto com elementos digitais desempenha uma função que acarreta um risco significativo de efeitos adversos quanto à sua intensidade e capacidade para perturbar, controlar ou causar danos a vários outros produtos ou à saúde, segurança ou proteção dos seus utilizadores através de manipulação direta, como uma função central do sistema, em particular a gestão de redes, o controlo das configurações, a virtualização ou o tratamento de dados pessoais.
Os atos delegados a que se refere o primeiro parágrafo do presente número preveem, se for caso disso, um período de transição mínimo de 12 meses, em especial se for aditada uma nova categoria de produtos importantes com elementos digitais à classe I ou II ou for transferida da classe I para a classe II constantes do anexo III, antes da aplicação dos procedimentos de avaliação da conformidade pertinentes a que se refere o artigo 32.o, n.os 2 e 3, salvo se, por imperativos de urgência, se justificar um período de transição mais curto.
Artigo 8.o
Produtos críticos com elementos digitais
Antes de adotar esses atos delegados, a Comissão procede a uma avaliação do potencial impacto das medidas previstas no mercado e consulta as partes interessadas pertinentes, inclusive o grupo europeu para a certificação da cibersegurança criado nos termos do Regulamento (UE) 2019/881. A avaliação deve ter em conta o grau de preparação e de capacidade dos Estados-Membros para a aplicação do sistema europeu de certificação da cibersegurança pertinente. Caso não tenham sido adotados os atos delegados a que se refere o primeiro parágrafo do presente número, os produtos com elementos digitais cuja funcionalidade principal seja a de uma categoria de produtos constante do anexo IV estão sujeitos aos procedimentos de avaliação da conformidade a que se refere o artigo 32.o, n.o 3.
Os atos delegados a que se refere o primeiro parágrafo preveem um período de transição mínimo de seis meses, salvo se, por imperativos de urgência, se justificar um período de transição mais curto.
A Comissão fica habilitada a adotar atos delegados nos termos do artigo 61.o para alterar o anexo IV aditando ou retirando categorias de produtos críticos com elementos digitais. Ao determinar tais categorias de produtos críticos com elementos digitais e o nível de garantia exigido, em conformidade com o n.o 1 do presente artigo, a Comissão deve ter em conta os critérios a que se refere o artigo 7.o, n.o 2, e assegurar que as categorias de produtos com elementos digitais cumpram pelo menos um dos seguintes critérios:
Existe uma dependência crítica das entidades essenciais a que se refere o artigo 3.o da Diretiva (UE) 2022/2555 em relação à categoria de produtos com elementos digitais;
Os incidentes e as vulnerabilidades exploradas relativos à categoria de produtos com elementos digitais poderiam provocar perturbações graves em cadeias de abastecimento críticas em todo o mercado interno.
Antes de adotar esses atos delegados, a Comissão procede a uma avaliação do tipo a que se refere o n.o 1.
Os atos delegados a que se refere o primeiro parágrafo preveem um período de transição mínimo de seis meses, salvo se, por imperativos de urgência, se justificar um período de transição mais curto.
Artigo 9.o
Consulta das partes interessadas
Ao preparar as medidas de execução do presente regulamento, a Comissão consulta e tem em conta os pontos de vista das partes interessadas pertinentes, como as autoridades competentes dos Estados-Membros, empresas do setor privado, nomeadamente microempresas e pequenas e médias empresas, a comunidade de software de código-fonte aberto, as associações de consumidores, o meio académico e as agências e organismos competentes da União, além de grupos de peritos criados à escala da União. Em particular, a Comissão, se for caso disso, consulta e recolhe de forma estruturada os pontos de vista dessas partes interessadas ao:
Elaborar as orientações a que se refere o artigo 26.o;
Elaborar as descrições técnicas das categorias de produtos constantes do anexo III em conformidade com o artigo 7.o, n.o 4, avaliar a necessidade de potenciais atualizações da lista de categorias de produtos em conformidade com o artigo 7.o, n.o 3, e o artigo 8.o, n.o 2, ou realizar a avaliação do potencial impacto no mercado a que se refere o artigo 8.o, n.o 1, sem prejuízo do disposto no artigo 61.o;
Levar a cabo trabalho preparatório para a avaliação e reexame do presente regulamento.
Artigo 10.o
Reforço das competências num ambiente digital de ciber-resiliência
Para efeitos do presente regulamento e com vista a dar resposta às necessidades dos profissionais em apoio da aplicação do presente regulamento, os Estados-Membros, com o apoio da Comissão, do Centro Europeu de Competências em Cibersegurança e da ENISA, se for caso disso, no pleno respeito da responsabilidade dos Estados-Membros no domínio da educação, promovem medidas e estratégias destinadas a:
Desenvolver competências de cibersegurança e criar instrumentos organizacionais e tecnológicos para assegurar a disponibilidade de profissionais qualificados suficientes, no intuito de apoiar as atividades das autoridades de fiscalização do mercado e dos organismos de avaliação da conformidade;
Intensificar a colaboração entre o setor privado, os operadores económicos, nomeadamente através da requalificação ou da melhoria das competências dos trabalhadores dos fabricantes, dos consumidores, dos prestadores de serviços de formação e das administrações públicas, alargando, desta forma, as opções para os jovens acederem a empregos no setor da cibersegurança.
Artigo 11.o
Segurança geral dos produtos
Em derrogação do artigo 2.o, n.o 1, terceiro parágrafo, alínea b), do Regulamento (UE) 2023/988,o capítulo III, secção 1, os capítulos V e VII e os capítulos IX a XI desse regulamento aplicam-se aos produtos com elementos digitais no que respeita aos aspetos e riscos ou às categorias de riscos não abrangidos pelo presente regulamento nos casos em que esses produtos não estejam sujeitos a requisitos de segurança específicos estabelecidos noutra «legislação de harmonização da União», na aceção do artigo 3.o, ponto 27, do Regulamento (UE) 2023/988.
Artigo 12.o
Sistemas de IA de risco elevado
Sem prejuízo dos requisitos de exatidão e solidez previstos no artigo 15.o do Regulamento (UE) 2024/1689, os produtos com elementos digitais que sejam abrangidos pelo âmbito de aplicação do presente regulamento e que sejam classificados como sistemas de IA de risco elevado nos termos do artigo 6.o desse regulamento são considerados conformes com os requisitos de cibersegurança estabelecidos no artigo 15.o desse regulamento nos casos em que:
Esses produtos satisfazem os requisitos essenciais de cibersegurança constantes da parte I do anexo I;
Os processos aplicados pelo fabricante cumprem os requisitos essenciais de cibersegurança constantes da parte II do anexo I; e
A consecução do nível de proteção de cibersegurança exigido nos termos do artigo 15.o do Regulamento (UE) 2024/1689 é demonstrada na declaração UE de conformidade emitida ao abrigo do presente regulamento.
CAPÍTULO II
OBRIGAÇÕES DOS OPERADORES ECONÓMICOS E DISPOSIÇÕES EM RELAÇÃO AO SOFTWARE LIVRE E DE CÓDIGO-FONTE ABERTO
Artigo 13.o
Obrigações dos fabricantes
Os fabricantes devem determinar o período de apoio de modo que reflita o período durante o qual se prevê que o produto seja utilizado, tendo em conta, em especial, as expectativas razoáveis dos utilizadores, a natureza do produto, incluindo a sua finalidade prevista, assim como a legislação pertinente da União que determina a vida útil dos produtos com elementos digitais. Ao determinarem o período de apoio, os fabricantes podem também ter em conta os períodos de apoio dos produtos com elementos digitais que oferecem uma funcionalidade semelhante colocados no mercado por outros fabricantes, a disponibilidade do ambiente operacional, os períodos de apoio dos componentes integrados que têm um papel essencial e provêm de terceiros, assim como as orientações pertinentes dadas pelo grupo de cooperação administrativa (ADCO) específico criado nos termos do artigo 52.o, n.o 15, e pela Comissão. Os aspetos a ter em conta para determinar o período de apoio devem ser considerados de um modo que garanta a proporcionalidade.
Sem prejuízo do disposto no segundo parágrafo, o período de apoio é de, pelo menos, cinco anos. Caso se preveja que o produto com elementos digitais seja utilizado durante menos de cinco anos, o período de apoio deve corresponder ao tempo de utilização previsto.
Tendo em conta as recomendações do ADCO a que se refere o artigo 52.o, n.o 16, a Comissão pode adotar atos delegados, nos termos do artigo 61.o, para completar o presente regulamento, especificando o período mínimo de apoio para categorias específicas de produtos sempre que os dados de fiscalização do mercado sugiram períodos de apoio inadequados.
Os fabricantes devem incluir, na documentação técnica, as informações que foram tidas em conta para determinar o período de apoio de um produto com elementos digitais em conformidade com o anexo VII.
Os fabricantes devem dispor de políticas e procedimentos adequados, incluindo as políticas de divulgação coordenada de vulnerabilidades referidas na parte II, ponto 5, do anexo I para tratar e corrigir potenciais vulnerabilidades no produto com elementos digitais comunicadas por fontes internas ou externas.
Os fabricantes devem executar ou mandar executar os procedimentos de avaliação da conformidade escolhidos a que se refere o artigo 32.o.
Sempre que a conformidade do produto com elementos digitais com os requisitos essenciais de cibersegurança constantes da parte I do anexo I, e dos processos aplicados pelo fabricante com os requisitos essenciais de cibersegurança constantes da parte II do anexo I, tenha sido demonstrada através desse procedimento de avaliação da conformidade, os fabricantes devem elaborar a declaração de conformidade UE nos termos do artigo 28.o e apor a marcação CE nos termos do artigo 30.o.
Os fabricantes devem assegurar que o ponto de contacto único seja facilmente identificável pelos utilizadores. Devem também incluir o ponto de contacto único nas informações e instruções destinadas ao utilizador previstas no anexo II.
O ponto de contacto único deve permitir aos utilizadores escolher os seus meios de comunicação preferidos e não deve limitar esses meios a ferramentas automatizadas.
Sempre que seja tecnicamente viável tendo em conta a natureza do produto com elementos digitais, os fabricantes devem apresentar uma notificação aos utilizadores informando-os de que o seu produto com elementos digitais atingiu o fim do respetivo período de apoio.
Artigo 14.o
Obrigações dos fabricantes em matéria de comunicação de informações
Para efeitos da notificação referida no n.o 1, o fabricante deve apresentar:
Uma notificação de alerta precoce de uma vulnerabilidade ativamente explorada, sem demora injustificada e, em todo o caso, no prazo de 24 horas após o fabricante ter tomado conhecimento da mesma, indicando, se for caso disso, os Estados-Membros em cujo território o fabricante tem conhecimento de que o seu produto com elementos digitais foi disponibilizado;
Uma notificação de vulnerabilidade, sem demora injustificada e, em todo o caso, no prazo de 72 horas após o fabricante ter tomado conhecimento da vulnerabilidade ativamente explorada, a menos que as informações pertinentes já tenham sido facultadas, que deve conter informações gerais, conforme disponíveis, sobre o produto com elementos digitais em causa, a natureza geral da exploração e da vulnerabilidade em causa, bem como quaisquer medidas corretivas ou de atenuação tomadas e as medidas corretivas ou de atenuação que os utilizadores podem tomar, e que deve também indicar, se for caso disso, de que forma o fabricante considera sensíveis as informações notificadas;
A menos que as informações pertinentes já tenham sido facultadas, o mais tardar, 14 dias após a disponibilização de uma medida corretiva ou de atenuação, um relatório final que inclua, pelo menos, os seguintes elementos:
uma descrição da vulnerabilidade, incluindo a sua gravidade e o seu impacto,
quando disponíveis, informações relativas a qualquer agente mal-intencionado que tenha explorado ou que esteja a explorar a vulnerabilidade,
pormenores sobre a atualização de segurança ou outras medidas corretivas que tenham sido disponibilizadas para remediar a vulnerabilidade.
Para efeitos da notificação referida no n.o 3, o fabricante deve apresentar:
Uma notificação de alerta precoce de um incidente grave com impacto na segurança do produto com elementos digitais, sem demora injustificada e, em todo o caso, no prazo de 24 horas após o fabricante ter tomado conhecimento do mesmo, incluindo, pelo menos, se há suspeitas de que o incidente foi causado por um ato ilícito ou mal-intencionado e indicando, se for caso disso, os Estados-Membros em cujo território o fabricante tem conhecimento de que o seu produto com elementos digitais foi disponibilizado;
Uma notificação de incidente, sem demora injustificada e, em todo o caso, no prazo de 72 horas após o fabricante ter tomado conhecimento do incidente, a menos que as informações pertinentes já tenham sido facultadas, que deve conter informações gerais, se disponíveis, sobre a natureza do incidente, uma avaliação inicial do incidente, bem como quaisquer medidas corretivas ou de atenuação tomadas e medidas corretivas ou de atenuação que os utilizadores podem tomar, e que deve também indicar, se for caso disso, de que forma o fabricante considera sensíveis as informações notificadas;
A menos que as informações pertinentes já tenham sido facultadas, no prazo de um mês após a apresentação da notificação de incidente mencionada na alínea b), um relatório final que contenha, no mínimo, os seguintes elementos:
uma descrição pormenorizada do incidente, incluindo a sua gravidade e o seu impacto,
o tipo de ameaça ou provável causa primária suscetível de ter desencadeado o incidente,
medidas de atenuação aplicadas e em curso;
Para efeitos do n.o 3, um incidente com impacto na segurança do produto com elementos digitais é considerado grave se:
Afeta ou pode afetar negativamente a capacidade de um produto com elementos digitais de proteger a disponibilidade, autenticidade, integridade ou confidencialidade dos dados ou das funções sensíveis ou importantes; ou
Provoca ou é capaz de provocar a introdução ou execução de código mal-intencionado num produto com elementos digitais ou nas redes e sistemas de informação de um utilizador do produto com elementos digitais.
Para efeitos do presente regulamento, considera-se que um fabricante tem o seu estabelecimento principal na União no Estado-Membro em que são predominantemente tomadas as decisões relacionadas com a cibersegurança dos seus produtos com elementos digitais. Se não for possível determinar esse Estado-Membro, considera-se que o estabelecimento principal se situa no Estado-Membro em que o fabricante em causa tem o estabelecimento com o maior número de trabalhadores na União.
Se um fabricante não tiver um estabelecimento principal na União, deve apresentar as notificações a que se referem os n.os 1 e 3 utilizando o terminal de notificação eletrónica da CSIRT designada como coordenadora no Estado-Membro determinado de acordo com a seguinte ordem e com base nas informações de que o fabricante dispõe:
O Estado-Membro em que está estabelecido o mandatário que atua em nome do fabricante para o maior número de produtos com elementos digitais desse fabricante;
O Estado-Membro em que está estabelecido o importador que coloca no mercado o maior número de produtos com elementos digitais desse fabricante;
O Estado-Membro em que está estabelecido o distribuidor que disponibiliza no mercado o maior número de produtos com elementos digitais desse fabricante;
O Estado-Membro em que se situa o maior número de utilizadores de produtos com elementos digitais desse fabricante.
Em relação ao terceiro parágrafo, alínea d), o fabricante pode apresentar notificações relacionadas com qualquer posterior vulnerabilidade ativamente explorada ou incidente grave com impacto na segurança do produto com elementos digitais à mesma CSIRT designada como coordenadora à qual notificou pela primeira vez.
Artigo 15.o
Transmissão voluntária de informações
A CSIRT designada coordenadora pode dar prioridade ao tratamento das notificações obrigatórias em relação às notificações voluntárias.
Artigo 16.o
Criação de uma plataforma única de comunicação de informações
Em circunstâncias excecionais e especialmente a pedido do fabricante e tendo em conta o grau de sensibilidade das informações notificadas – tal como indicado pelo fabricante nos termos do artigo 14.o, n.o 2, alínea a), do presente regulamento –, a divulgação da notificação pode ser adiada com base em motivos fundamentados relacionados com a cibersegurança durante um período de tempo estritamente necessário, incluindo nos casos em que uma vulnerabilidade esteja sujeita a um procedimento de divulgação coordenada de vulnerabilidades a que se refere o artigo 12.o, n.o 1, da Diretiva (UE) 2022/2555. Caso uma CSIRT decida reter uma notificação, deve informar imediatamente a ENISA da decisão e apresentar uma justificação para a mesma, bem como indicar quando irá divulgar a notificação em conformidade com o procedimento de divulgação previsto no presente número. A ENISA pode apoiar a CSIRT na invocação de motivos relacionados com a cibersegurança para o adiamento da divulgação da notificação.
Em circunstâncias particularmente excecionais, se na notificação referida no artigo 14.o, n.o 2, alínea b), o fabricante indicar:
Que a vulnerabilidade notificada foi ativamente explorada por um agente mal-intencionado e que, de acordo com as informações disponíveis, não foi explorada em nenhum outro Estado-Membro além do da CSIRT designada como coordenadora à qual o fabricante notificou a vulnerabilidade;
Que qualquer nova divulgação imediata da vulnerabilidade notificada é suscetível de resultar na prestação de informações cuja divulgação seria contrária aos interesses essenciais desse Estado-Membro; ou
Que a vulnerabilidade notificada representa um elevado risco iminente de cibersegurança decorrente de uma maior divulgação;
apenas são disponibilizadas simultaneamente à ENISA a informação de que o fabricante efetuou uma notificação, informações gerais sobre o produto, a informação sobre a natureza geral da exploração e a informação de que foram invocados motivos relacionados com a segurança, até que a notificação completa seja divulgada às CSIRT em causa e à ENISA. Se a ENISA, com base nessas informações, considerar que existe um risco sistémico que afeta a segurança no mercado interno, ela recomenda à CSIRT destinatária que divulgue a notificação completa às outras CSIRT designadas como coordenadoras e à própria ENISA.
Artigo 17.o
Outras disposições relacionadas com a comunicação
Artigo 18.o
Mandatários
O mandatário pratica os atos especificados no mandato conferido pelo fabricante. O mandatário deve facultar uma cópia do mandato às autoridades de fiscalização do mercado, mediante pedido. O mandato deve permitir ao mandatário praticar, pelo menos, os seguintes atos:
Manter à disposição das autoridades de fiscalização do mercado a declaração de conformidade UE referida no artigo 28.o e a documentação técnica referida no artigo 31.o durante, pelo menos, 10 anos após a data de colocação do produto com elementos digitais no mercado ou durante o período de apoio, consoante o que for mais longo;
Mediante pedido fundamentado da autoridade de fiscalização do mercado, facultar-lhe toda a informação e a documentação necessárias para demonstrar a conformidade do produto com elementos digitais;
Cooperar com as autoridades de fiscalização do mercado, a pedido destas, no que se refere a todas as medidas tomadas para eliminar os riscos decorrentes do produto com elementos digitais abrangido pelo seu mandato.
Artigo 19.o
Obrigações dos importadores
Antes de colocarem um produto com elementos digitais no mercado, os importadores devem assegurar que:
O fabricante aplicou os procedimentos de avaliação da conformidade adequados a que se refere o artigo 32.o;
O fabricante elaborou a documentação técnica;
O produto com elementos digitais ostenta a marcação CE referida no artigo 30.o e é acompanhado da declaração de conformidade UE referida no artigo 13.o, n.o 20, e das informações e instruções de utilização previstas no anexo II numa língua que possa ser facilmente compreendida pelos utilizadores e pelas autoridades de fiscalização do mercado;
O fabricante respeitou os requisitos previstos no artigo 13.o, n.os 15, 16 e 19.
Para efeitos do presente número, os importadores devem poder apresentar os documentos necessários que comprovem o cumprimento dos requisitos estabelecidos no presente artigo.
Sempre que um importador tenha motivos para crer que um produto com elementos digitais pode apresentar um risco de cibersegurança significativo à luz de fatores de risco não técnicos, o importador deve informar desse facto as autoridades de fiscalização do mercado. Após a receção dessas informações, as autoridades de fiscalização do mercado devem seguir os procedimentos referidos no artigo 54.o, n.o 2.
Ao tomarem conhecimento de uma vulnerabilidade no produto com elementos digitais, os importadores devem informar o fabricante, sem demora injustificada, dessa vulnerabilidade. Além disso, se o produto com elementos digitais apresentar um risco de cibersegurança significativo, os importadores devem informar imediatamente desse facto as autoridades de fiscalização do mercado dos Estados-Membros em cujo mercado disponibilizaram o produto com elementos digitais, fornecendo-lhes as informações relevantes, sobretudo no que se refere à não conformidade e às medidas corretivas aplicadas.
Artigo 20.o
Obrigações dos distribuidores
Antes de disponibilizarem um produto com elementos digitais no mercado, os distribuidores devem certificar-se de que:
O produto com elementos digitais ostenta a marcação CE;
O fabricante e o importador cumpriram as obrigações estabelecidas no artigo 13.o, n.os 15, 16, 18, 19 e 20, e no artigo 19.o, n.o 4, e facultaram todos os documentos necessários ao distribuidor.
Ao tomarem conhecimento de uma vulnerabilidade no produto com elementos digitais, os distribuidores devem informar o fabricante, sem demora injustificada, dessa vulnerabilidade. Além disso, se o produto com elementos digitais apresentar um risco de cibersegurança significativo, os distribuidores devem informar imediatamente desse facto as autoridades de fiscalização do mercado dos Estados-Membros em cujo mercado disponibilizaram o produto com elementos digitais, facultando-lhes as informações relevantes, sobretudo no que se refere à não conformidade e às medidas corretivas aplicadas.
Artigo 21.o
Casos em que as obrigações dos fabricantes se aplicam aos importadores e distribuidores
Para efeitos do presente regulamento, os importadores ou os distribuidores são considerados fabricantes e ficam sujeitos ao disposto nos artigos 13.o e 14.o, sempre que esses importadores ou distribuidores coloquem no mercado um produto com elementos digitais em seu nome ou ao abrigo de uma marca sua ou efetuem uma modificação substancial de um produto com elementos digitais já colocado no mercado.
Artigo 22.o
Outros casos em que se aplicam as obrigações dos fabricantes
Artigo 23.o
Identificação dos operadores económicos
Os operadores económicos devem, mediante pedido, facultar às autoridades de fiscalização do mercado as seguintes informações:
Nome e endereço de qualquer operador económico que lhes tenha fornecido um produto com elementos digitais;
Sempre que disponíveis, nome e endereço de qualquer operador económico a quem tenham fornecido um produto com elementos digitais.
Artigo 24.o
Obrigações dos administradores de software de código-fonte aberto
Na sequência de um pedido fundamentado de uma autoridade de fiscalização do mercado, os administradores de software de código-fonte aberto devem facultar a essa autoridade – numa língua que possa ser facilmente compreendida por essa autoridade – a documentação referida no n.o 1, em papel ou em suporte eletrónico.
Artigo 25.o
Certificado de segurança do software livre e de código-fonte aberto
Com vista a facilitar o cumprimento da obrigação de exercer a diligência devida, estabelecida no artigo 13.o, n.o 5, em particular no que diz respeito aos fabricantes que integram componentes de software livre e de código-fonte aberto nos seus produtos com elementos digitais, a Comissão fica habilitada a adotar atos delegados em conformidade com o artigo 61.o para completar o presente regulamento estabelecendo programas voluntários de certificação de segurança que permitam aos programadores ou aos utilizadores de produtos com elementos digitais que sejam considerados software livre e de código-fonte aberto, bem como a terceiros, avaliar a conformidade desses produtos com a totalidade ou parte dos requisitos essenciais de cibersegurança ou de outras obrigações estabelecidos no presente regulamento.
Artigo 26.o
Orientações
Sempre que pretenda emitir orientações nos termos do n.o 1, a Comissão deve ter em conta, pelo menos, os seguintes aspetos:
O âmbito de aplicação do presente regulamento, com especial ênfase em soluções de tratamento remoto de dados e de software livre e de código-fonte aberto;
A aplicação de períodos de apoio em relação a categorias específicas de produtos com elementos digitais;
Orientações dirigidas aos fabricantes abrangidos pelo presente regulamento que estejam também sujeitos a legislação de harmonização da União distinta do presente regulamento ou a outros atos jurídicos conexos da União;
O conceito de modificação substancial.
A Comissão deve igualmente manter uma lista de fácil acesso que indique os atos delegados e de execução adotados nos termos do presente regulamento.
CAPÍTULO III
CONFORMIDADE DO PRODUTO COM ELEMENTOS DIGITAIS
Artigo 27.o
Presunção da conformidade
A Comissão, em conformidade com o artigo 10.o, n.o 1, do Regulamento (UE) n.o 1025/2012, deve solicitar a uma ou várias organizações europeias de normalização que elaborem normas harmonizadas para os requisitos essenciais de cibersegurança previstos no anexo I do presente regulamento. Ao elaborar pedidos de normalização para o presente regulamento, a Comissão deve procurar ter em conta as normas europeias e internacionais existentes em matéria de cibersegurança que estejam em vigor ou em fase de desenvolvimento, a fim de simplificar a conceção de normas harmonizadas, em conformidade com o Regulamento (UE) n.o 1025/2012.
Os referidos atos de execução só são adotados se estiverem preenchidas as seguintes condições:
A Comissão solicitou, nos termos do artigo 10.o, n.o 1, do Regulamento (UE) n.o 1025/2012, a uma ou várias organizações europeias de normalização a elaboração de normas harmonizadas relativas aos requisitos essenciais de cibersegurança estabelecidos no anexo I, e:
o pedido não foi aceite,
as normas harmonizadas que dão resposta a esse pedido não foram elaboradas dentro do prazo fixado nos termos do artigo 10.o, n.o 1, do Regulamento (UE) n.o 1025/2012, ou
as normas harmonizadas não estão em conformidade com o pedido; e
Não se encontra publicada no Jornal Oficial da União Europeia qualquer referência a normas harmonizadas que abranjam os requisitos essenciais de cibersegurança pertinentes previstos no anexo I do presente regulamento, em conformidade com o Regulamento (UE) n.o 1025/2012, e não se prevê a publicação de tal referência dentro de um prazo razoável.
Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 62.o, n.o 2.
Artigo 28.o
Declaração de conformidade UE
A declaração de conformidade UE simplificada a que se refere o artigo 13.o, n.o 20, respeita o modelo que consta do anexo VI. Deve ser disponibilizada nas línguas exigidas pelo Estado-Membro em cujo mercado o produto com elementos digitais é colocado ou disponibilizado.
Artigo 29.o
Princípios gerais da marcação CE
A marcação CE está sujeita aos princípios gerais enunciados no artigo 30.o do Regulamento (CE) n.o 765/2008.
Artigo 30.o
Regras e condições para a aposição da marcação CE
O número de identificação do organismo notificado é aposto pelo próprio organismo ou, segundo as suas instruções, pelo fabricante ou pelo seu mandatário.
Artigo 31.o
Documentação técnica
Artigo 32.o
Procedimentos de avaliação da conformidade dos produtos com elementos digitais
O fabricante deve realizar uma avaliação da conformidade do produto com elementos digitais e dos processos por ele aplicados de forma a determinar se são cumpridos os requisitos essenciais de cibersegurança constantes do anexo I. Cabe ao fabricante demonstrar a conformidade com os requisitos essenciais de cibersegurança recorrendo a qualquer dos seguintes procedimentos:
O procedimento de controlo interno (com base no módulo A) constante do anexo VIII;
O procedimento de exame UE de tipo (com base no módulo B) previsto no anexo VIII, seguido da conformidade com o tipo UE baseada no controlo interno da produção (com base no módulo C) prevista no anexo VIII;
Uma avaliação da conformidade baseada na garantia de qualidade total (com base no módulo H) prevista no anexo VIII; ou
Se disponível e aplicável, um sistema europeu de certificação da cibersegurança, nos termos do artigo 27.o, n.o 9.
Sempre que, ao avaliar a conformidade de um produto importante com elementos digitais pertencente à classe I, conforme estabelecido no anexo III, e dos processos aplicados pelo seu fabricante com os requisitos essenciais de cibersegurança constantes do anexo I, o fabricante não tiver aplicado ou tiver aplicado apenas parcialmente normas harmonizadas, especificações comuns ou sistemas europeus de certificação da cibersegurança cujo nível de garantia corresponda, no mínimo, a «substancial» referidos no artigo 27.o, ou quando não existam tais normas harmonizadas, especificações comuns ou sistemas europeus de certificação da cibersegurança, o produto com elementos digitais em causa e os processos aplicados pelo fabricante devem ser objeto, no que respeita a esses requisitos essenciais de cibersegurança, de qualquer dos seguintes procedimentos:
O procedimento de exame UE de tipo (com base no módulo B) previsto no anexo VIII, seguido da conformidade com o tipo UE baseada no controlo interno da produção (com base no módulo C) prevista no anexo VIII; ou
A avaliação da conformidade baseada na garantia de qualidade total (com base no módulo H) prevista no anexo VIII.
Sempre que o produto for um produto importante com elementos digitais pertencente à classe II, previsto no anexo III, o fabricante deve demonstrar a conformidade com os requisitos essenciais de cibersegurança constantes do anexo I recorrendo a qualquer dos seguintes procedimentos:
O procedimento de exame UE de tipo (com base no módulo B) previsto no anexo VIII, seguido da conformidade com o tipo UE baseada no controlo interno da produção (com base no módulo C) prevista no anexo VIII;
A avaliação da conformidade baseada na garantia de qualidade total (com base no módulo H) prevista no anexo VIII; ou
Se disponível e aplicável, um sistema europeu de certificação da cibersegurança nos termos do artigo 27.o, n.o 9, do presente regulamento cujo nível de garantia corresponda, no mínimo, a «substancial» em conformidade com o Regulamento (UE) 2019/881.
A conformidade dos produtos críticos com elementos digitais enumerados no anexo IV com os requisitos essenciais de cibersegurança constantes do anexo I deve ser demonstrada recorrendo a um dos seguintes procedimentos:
Um sistema europeu de certificação da cibersegurança, em conformidade com o artigo 8.o, n.o 1; ou
Se as condições previstas no artigo 8.o, n.o 1, não estiverem preenchidas, qualquer dos procedimentos a que se refere o n.o 3 do presente artigo.
Artigo 33.o
Medidas de apoio para as microempresas e as pequenas e médias empresas, incluindo as empresas em fase de arranque
Os Estados-Membros devem, se adequado, empreender as seguintes ações, adaptadas às necessidades das microempresas e das pequenas empresas:
Organizar atividades específicas de sensibilização e formação sobre a aplicação do presente regulamento;
Criar um canal específico para a comunicação com as microempresas e as pequenas empresas e, se for caso disso, com as autoridades públicas locais, a fim de prestar aconselhamento e responder a perguntas sobre a aplicação do presente regulamento;
Apoiar as atividades de ensaio e de avaliação da conformidade, nomeadamente, se for caso disso, com o apoio do Centro Europeu de Competências em Cibersegurança.
Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 62.o, n.o 2.
Artigo 34.o
Acordos de reconhecimento mútuo
Tendo em conta o nível de desenvolvimento técnico e a abordagem em matéria de avaliação da conformidade de um país terceiro, a União pode celebrar acordos de reconhecimento mútuo com países terceiros, nos termos do artigo 218.o do TFUE, com o objetivo de promover e facilitar o comércio internacional.
CAPÍTULO IV
NOTIFICAÇÃO DOS ORGANISMOS DE AVALIAÇÃO DA CONFORMIDADE
Artigo 35.o
Notificação
Artigo 36.o
Autoridades notificadoras
Artigo 37.o
Requisitos relativos às autoridades notificadoras
Artigo 38.o
Obrigação de informação das autoridades notificadoras
Artigo 39.o
Requisitos aplicáveis aos organismos notificados
Pode considerar-se como organismo terceiro qualquer organismo que pertença a uma organização empresarial ou associação profissional representativa de empresas envolvidas em atividades de conceção, desenvolvimento, produção, fornecimento, montagem, utilização ou manutenção dos produtos com elementos digitais que avalia, desde que prove a respetiva independência e a inexistência de conflitos de interesses.
Os organismos de avaliação da conformidade, a sua direção de topo e o pessoal encarregado de executar as tarefas de avaliação da conformidade não podem intervir diretamente na conceção, no desenvolvimento, na produção, na importação, na distribuição, na comercialização, na instalação, na utilização ou na manutenção desses produtos com elementos digitais que avaliam, nem representar as partes envolvidas nessas atividades. Não podem exercer nenhuma atividade suscetível de pôr em causa a independência da sua apreciação ou a sua integridade no desempenho das atividades de avaliação da conformidade para as quais são notificados. Esta disposição é aplicável nomeadamente aos serviços de consultoria.
Os organismos de avaliação da conformidade devem certificar-se de que as atividades das suas filiais ou dos seus subcontratados não afetam a confidencialidade, a objetividade e a imparcialidade das suas atividades de avaliação da conformidade.
Em todas as circunstâncias e para cada procedimento de avaliação da conformidade e para cada tipo ou categoria de produtos com elementos digitais para os quais tenham sido notificados, os organismos de avaliação da conformidade devem dispor de:
Pessoal com conhecimentos técnicos e experiência suficiente e adequada para executar as tarefas de avaliação da conformidade;
Descrições dos procedimentos de avaliação da conformidade que assegurem a transparência e a capacidade de reprodução desses procedimentos. Devem dispor de políticas e procedimentos apropriados para distinguir entre as tarefas executadas na qualidade de organismo notificado e qualquer outra atividade;
Procedimentos para o exercício das suas atividades que tenham em devida conta a dimensão, o setor e a estrutura das empresas, o grau de complexidade da tecnologia do produto em questão e a natureza do processo de produção em massa ou em série.
Os organismos de avaliação da conformidade devem dispor dos meios necessários para a boa execução das tarefas técnicas e administrativas relacionadas com as atividades de avaliação da conformidade e devem ter acesso a todos os equipamentos e instalações necessários.
O pessoal responsável pela execução das atividades de avaliação da conformidade deve dispor de:
Uma sólida formação técnica e profissional, que abranja todas as atividades de avaliação da conformidade para as quais os organismos de avaliação da conformidade tenham sido notificados;
Um conhecimento satisfatório dos requisitos das avaliações que efetuam e a devida autoridade para as efetuar;
Conhecimento e compreensão adequados dos requisitos essenciais de cibersegurança previstos no anexo I, das normas harmonizadas aplicáveis e das especificações comuns, bem como das disposições aplicáveis da legislação de harmonização da União e dos atos de execução;
A aptidão para redigir os certificados, registos e relatórios comprovativos da realização das avaliações.
A remuneração da direção de topo e do pessoal encarregado da avaliação dos organismos de avaliação da conformidade não pode depender do número de avaliações realizadas, nem do respetivo resultado.
Artigo 40.o
Presunção da conformidade dos organismos notificados
Presume-se que os organismos de avaliação da conformidade que provem a sua conformidade com os critérios estabelecidos nas normas harmonizadas aplicáveis, ou em partes destas, cujas referências tenham sido publicadas no Jornal Oficial da União Europeia, cumprem os requisitos previstos no artigo 39.o, na medida em que as normas harmonizadas aplicáveis abranjam esses requisitos.
Artigo 41.o
Filiais e subcontratados dos organismos notificados
Artigo 42.o
Pedido de notificação
Artigo 43.o
Procedimento de notificação
Apenas esse organismo pode ser considerado como organismo notificado para efeitos do presente regulamento.
Artigo 44.o
Números de identificação e listas de organismos notificados
O número atribuído é único, mesmo que o organismo esteja notificado ao abrigo de vários atos jurídicos da União.
Cabe à Comissão garantir a atualização dessa lista.
Artigo 45.o
Alterações das notificações
Artigo 46.o
Contestação da competência dos organismos notificados
Artigo 47.o
Obrigações operacionais dos organismos notificados
Artigo 48.o
Recurso das decisões dos organismos notificados
Os Estados-Membros asseguram a existência de procedimentos de recurso das decisões dos organismos notificados.
Artigo 49.o
Obrigação de informação dos organismos notificados
Os organismos notificados devem comunicar à autoridade notificadora as seguintes informações:
Qualquer recusa, restrição, suspensão ou retirada de certificados;
Quaisquer circunstâncias que afetem o âmbito e as condições de notificação;
Os pedidos de informação sobre as atividades de avaliação da conformidade efetuadas que tenham recebido das autoridades de fiscalização do mercado;
Mediante pedido, as atividades de avaliação da conformidade que efetuaram no âmbito da respetiva notificação e todas as outras atividades efetuadas, nomeadamente atividades transfronteiriças e de subcontratação.
Artigo 50.o
Intercâmbio de experiências
A Comissão deve organizar os intercâmbios de experiências entre as autoridades nacionais dos Estados-Membros responsáveis pela política de notificação.
Artigo 51.o
Coordenação dos organismos notificados
CAPÍTULO V
FISCALIZAÇÃO DO MERCADO E APLICAÇÃO DA LEGISLAÇÃO
Artigo 52.o
Fiscalização do mercado e controlo dos produtos com elementos digitais no mercado da União
As autoridades que supervisionam a legislação da União em matéria de proteção de dados devem dispor de poderes para solicitar e aceder a qualquer documentação criada ou conservada ao abrigo do presente regulamento sempre que o acesso a essa documentação seja necessário para o desempenho das suas funções. As referidas autoridades devem informar as autoridades de fiscalização do mercado designadas do Estado-Membro em causa sobre tais pedidos.
O ADCO publica, numa forma acessível ao público e de fácil utilização, estatísticas pertinentes sobre as categorias de produtos com elementos digitais, incluindo os períodos médios de apoio, conforme determinado pelo fabricante nos termos do artigo 13.o, n.o 8, bem como fornece orientações que incluam períodos de apoio indicativos para as categorias de produtos com elementos digitais.
Se os dados sugerirem períodos de apoio inadequados para categorias específicas de produtos com elementos digitais, o ADCO pode formular recomendações destinadas às autoridades de fiscalização do mercado para que estas centrem as suas atividades nessas categorias de produtos com elementos digitais.
Artigo 53.o
Acesso a dados e a documentação
Sempre que necessário para avaliar a conformidade dos produtos com elementos digitais e dos processos aplicados pelos seus fabricantes com os requisitos essenciais de cibersegurança constantes do anexo I, as autoridades de fiscalização do mercado devem, mediante pedido fundamentado, ser autorizadas a aceder, numa língua que compreendam facilmente, aos dados necessários para avaliar a conceção, o desenvolvimento, a produção e o tratamento de vulnerabilidades desses produtos, incluindo a documentação interna conexa do operador económico pertinente.
Artigo 54.o
Procedimento a nível nacional relativo a produtos com elementos digitais que apresentam um risco de cibersegurança significativo
Sempre que, no decurso dessa avaliação, verifiquem que o produto com elementos digitais não cumpre os requisitos estabelecidos no presente regulamento, as autoridades de fiscalização do mercado devem exigir sem demora ao operador económico em causa que tome todas as medidas corretivas adequadas para assegurar a conformidade do produto com elementos digitais com os requisitos mencionados, para o retirar do mercado ou para o recolher num prazo razoável que seja proporcional à natureza do risco de cibersegurança e que seja fixado pela autoridade de fiscalização do mercado.
A autoridade de fiscalização do mercado deve informar desse facto o organismo notificado pertinente. O artigo 18.o do Regulamento (UE) 2019/1020 é aplicável às medidas corretivas.
A referida autoridade deve notificar sem demora a Comissão e os outros Estados-Membros da adoção de tais medidas.
A informação referida no n.o 5 deve conter todos os pormenores disponíveis, em especial os dados necessários à identificação do produto com elementos digitais não conforme, da origem desse produto com elementos digitais, da natureza da alegada não conformidade e do risco conexo, da natureza e da duração das medidas nacionais tomadas, bem como os argumentos apresentados pelo operador económico em causa. As autoridades de fiscalização do mercado devem, nomeadamente, indicar se a não conformidade se deve a uma ou várias das seguintes razões:
Incumprimento da obrigação de o produto com elementos digitais ou os processos aplicados pelo fabricante satisfazerem os requisitos essenciais de cibersegurança constantes do anexo I;
Lacunas das normas harmonizadas, dos sistemas europeus de certificação da cibersegurança ou das especificações comuns a que se refere o artigo 27.o.
Artigo 55.o
Procedimento de salvaguarda da União
Artigo 56.o
Procedimento a nível da União relativo a produtos com elementos digitais que apresentam um risco de cibersegurança significativo
Artigo 57.o
Produtos com elementos digitais conformes que apresentam um risco de cibersegurança significativo
A autoridade de fiscalização do mercado de um Estado-Membro deve exigir a um operador económico que tome todas as medidas adequadas sempre que, após ter efetuado uma avaliação nos termos do artigo 54.o, verificar que, embora um produto com elementos digitais e os processos aplicados pelo fabricante estejam em conformidade com o presente regulamento, estes apresentam um risco de cibersegurança significativo, bem como um risco para:
A saúde ou a segurança das pessoas;
O cumprimento de obrigações impostas pelo direito da União ou pelo direito nacional destinadas a proteger os direitos fundamentais;
A disponibilidade, a autenticidade, a integridade ou a confidencialidade dos serviços oferecidos através de um sistema de informação eletrónico pelas entidades essenciais a que se refere o artigo 3.o, n.o 1, da Diretiva (UE) 2022/2555; ou
Outros aspetos da proteção do interesse público.
As medidas referidas no primeiro parágrafo podem incluir medidas destinadas a assegurar que o produto com elementos digitais em causa e os processos aplicados pelo fabricante já não apresentem os riscos pertinentes aquando da disponibilização no mercado, da retirada do mercado do produto com elementos digitais em causa ou da sua recolha, e devem ser proporcionais à natureza desses riscos.
Artigo 58.o
Não conformidade formal
Se a autoridade de fiscalização do mercado de um Estado-Membro constatar um dos factos a seguir enunciados, deve exigir ao fabricante em causa que ponha termo à não conformidade verificada:
A marcação CE foi aposta em violação do disposto nos artigos 29.o e 30.o;
A marcação CE não foi aposta;
A declaração de conformidade UE não foi elaborada;
A declaração de conformidade UE não foi elaborada corretamente;
O número de identificação do organismo notificado envolvido no procedimento de avaliação da conformidade, se for caso disso, não foi aposto;
A documentação técnica não está disponível ou não está completa.
Artigo 59.o
Atividades conjuntas das autoridades de fiscalização do mercado
Artigo 60.o
Ações de fiscalização conjuntas
CAPÍTULO VI
PODERES DELEGADOS E PROCEDIMENTO DE COMITÉ
Artigo 61.o
Exercício da delegação
Artigo 62.o
Procedimento de comité
CAPÍTULO VII
CONFIDENCIALIDADE E SANÇÕES
Artigo 63.o
Confidencialidade
Todas as partes envolvidas na aplicação do presente regulamento devem respeitar a confidencialidade das informações e dos dados obtidos no exercício das suas funções e atividades de modo a proteger, em especial:
Os direitos de propriedade intelectual e as informações comerciais confidenciais ou segredos comerciais de uma pessoa singular ou coletiva, incluindo o código-fonte, exceto nos casos a que se refere o artigo 5.o da Diretiva (UE) 2016/943 do Parlamento Europeu e do Conselho ( 2 );
A execução efetiva do presente regulamento, em especial no que diz respeito à realização de inspeções, investigações ou auditorias;
Interesses públicos e nacionais em matéria de segurança;
A integridade de processos penais ou administrativos.
Artigo 64.o
Sanções
A decisão relativa ao montante da coima a aplicar em cada caso deve ter em conta todas as circunstâncias pertinentes da situação específica, bem como os seguintes elementos:
A natureza, a gravidade e a duração da infração e das suas consequências;
Se as mesmas ou outras autoridades de fiscalização do mercado já aplicaram coimas ao mesmo operador económico por uma infração semelhante;
A dimensão, em particular no que diz respeito às microempresas e às pequenas e médias empresas, incluindo as empresas em fase de arranque, e a quota de mercado do operador económico que cometeu a infração.
►C1 Em derrogação dos n.os 2 a 9, as coimas previstas nesses números não se aplicam a: ◄
Fabricantes que sejam considerados microempresas ou pequenas empresas no que diz respeito ao incumprimento do prazo referido no artigo 14.o, n.o 2, alínea a), ou no artigo 14.o, n.o 4, alínea a);
Qualquer infração ao presente regulamento por parte de administradores de software de código-fonte aberto.
Artigo 65.o
Ações coletivas
A Diretiva (UE) 2020/1828 é aplicável às ações coletivas intentadas contra infrações às disposições constantes do presente regulamento cometidas por operadores económicos que prejudiquem, ou sejam suscetíveis de prejudicar, os interesses coletivos dos consumidores.
CAPÍTULO VIII
DISPOSIÇÕES TRANSITÓRIAS E FINAIS
Artigo 66.o
Alteração do Regulamento (UE) 2019/1020
Ao anexo I do Regulamento (UE) 2019/1020, é aditado o seguinte ponto:
Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho ( *1 ).
Artigo 67.o
Alteração da Diretiva (UE) 2020/1828
Ao anexo I da Diretiva (UE) 2020/1828, é aditado o seguinte ponto:
Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho ( *2 ).
Artigo 68.o
Alteração do Regulamento (UE) n.o 168/2013
À parte C1, no quadro, do anexo II do Regulamento (UE) n.o 168/2013 do Parlamento Europeu e do Conselho ( 3 ), é aditada a seguinte entrada:
«
|
16 |
18 |
Proteção de veículos contra ataques cibernéticos |
|
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
»
Artigo 69.o
Disposições transitórias
Artigo 70.o
Avaliação e reexame
Artigo 71.o
Entrada em vigor e aplicação
Todavia, o artigo 14.o é aplicável a partir de 11 de setembro de 2026 e o capítulo IV (artigos 35.o a 51.o) é aplicável a partir de 11 de junho de 2026.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
ANEXO I
REQUISITOS ESSENCIAIS DE CIBERSEGURANÇA
Parte I Requisitos de cibersegurança relativos às propriedades dos produtos com elementos digitais
1) Os produtos com elementos digitais devem ser concebidos, desenvolvidos e produzidos de modo a garantir um nível adequado de cibersegurança com base nos riscos.
2) Com base na avaliação dos riscos de cibersegurança referida no artigo 13.o, n.o 2, e se for caso disso, os produtos com elementos digitais devem:
Ser disponibilizados no mercado sem nenhuma vulnerabilidade passível de ser explorada conhecida;
Ser disponibilizados no mercado com uma configuração segura por defeito, salvo acordo em contrário entre o fabricante e o utilizador profissional em relação a um produto personalizado com elementos digitais, incluindo a possibilidade de restaurar o produto para o seu estado original;
Assegurar que as vulnerabilidades possam ser corrigidas através de atualizações de segurança, incluindo, se for caso disso, atualizações de segurança automáticas, instaladas num prazo adequado, configuradas por defeito, com um mecanismo de autoexclusão claro e de fácil utilização, por meio da notificação das atualizações disponíveis aos utilizadores e com a opção de as adiar temporariamente;
Assegurar a proteção contra o acesso não autorizado através de mecanismos de controlo adequados, incluindo, nomeadamente, sistemas de autenticação, identidade ou gestão de acessos, e comunicar eventuais acessos não autorizados;
Proteger a confidencialidade dos dados armazenados, transmitidos ou tratados de outra forma, sejam eles pessoais ou de outra natureza, por exemplo através da cifragem de dados inativos ou em trânsito pertinentes por mecanismos de ponta e da utilização de outros meios técnicos;
Proteger a integridade dos dados armazenados, transmitidos ou tratados de outra forma, sejam eles pessoais ou de outra natureza, dos comandos, dos programas e da configuração contra qualquer manipulação ou modificação não autorizada pelo utilizador, e comunicar informações sobre as corrupções;
Tratar apenas dados, pessoais ou de outra natureza, que sejam adequados, pertinentes e limitados ao que é necessário para a finalidade prevista do produto com elementos digitais (minimização de dados);
Proteger a disponibilidade de funções essenciais e básicas, inclusivamente após um incidente, incluindo através de medidas de resiliência e atenuação contra-ataques de negação de serviço;
Minimizar o impacto negativo pelos próprios produtos ou dispositivos conectados na disponibilidade de serviços prestados por outros dispositivos ou redes;
Ser concebidos, desenvolvidos e produzidos de forma a limitar superfícies de ataque, incluindo interfaces externas;
Ser concebidos, desenvolvidos e produzidos de forma a reduzir o impacto de incidentes, utilizando mecanismos e técnicas adequados de atenuação da exploração;
Facultar informações relacionadas com a segurança através do registo e controlo da atividade interna pertinente, incluindo o acesso ou a alteração de dados, serviços ou funções, com um mecanismo de autoexclusão para o utilizador;
Prever a possibilidade de os utilizadores removerem de forma segura, fácil e permanente todos os dados e parâmetros e, nos casos em que esses dados possam ser transferidos para outros produtos ou sistemas, assegurar que tal é feito de forma segura.
Parte II Requisitos de tratamento de vulnerabilidades
Os fabricantes de produtos com elementos digitais devem:
Identificar e documentar vulnerabilidades e componentes existentes nos produtos com elementos digitais, nomeadamente elaborando uma lista de materiais do software num formato de uso corrente e legível por máquina que abranja, pelo menos, as dependências de nível superior dos produtos;
Em relação aos riscos que os produtos com elementos digitais enfrentam, resolver e corrigir, sem demora, as vulnerabilidades, nomeadamente disponibilizando atualizações de segurança; sempre que tecnicamente viável, devem ser fornecidas novas atualizações de segurança, distintas das atualizações das funcionalidades;
Efetuar ensaios e análises eficazes e regulares da segurança do produto com elementos digitais;
Uma vez disponibilizada uma atualização de segurança, partilhar e divulgar publicamente informações sobre as vulnerabilidades corrigidas, incluindo uma descrição das mesmas, informações que permitam aos utilizadores identificar o produto com elementos digitais afetado, os impactos das vulnerabilidades, a sua gravidade e informações claras e acessíveis, que ajudem os utilizadores a corrigir as vulnerabilidades; em casos devidamente justificados, sempre que os fabricantes considerem que os riscos de segurança da publicação superam os benefícios relacionados com a segurança, podem adiar a divulgação pública de informações sobre uma vulnerabilidade corrigida até que os utilizadores tenham a possibilidade de aplicar a correção pertinente;
Definir e aplicar uma política de divulgação coordenada de vulnerabilidades;
Tomar medidas para facilitar a partilha de informações sobre potenciais vulnerabilidades no seu produto com elementos digitais, bem como em componentes de terceiros incluídos nesse produto, nomeadamente facultando um endereço de contacto para a comunicação das vulnerabilidades detetadas no produto com elementos digitais;
Prever mecanismos para distribuir de forma segura as atualizações de produtos com elementos digitais, a fim de assegurar a correção ou atenuação das vulnerabilidades em tempo útil e, se aplicável às atualizações de segurança, de uma forma automática;
Assegurar que as atualizações de segurança disponíveis para resolver problemas de segurança identificados sejam distribuídas sem demora e, salvo acordo em contrário entre um fabricante e um utilizador profissional em relação a um produto personalizado com elementos digitais, de forma gratuita, juntamente com orientações que facultem aos utilizadores informações pertinentes, nomeadamente sobre as eventuais medidas a tomar.
ANEXO II
INFORMAÇÕES E INSTRUÇÕES DESTINADAS AO UTILIZADOR
No mínimo, devem ser facultadas com o produto com elementos digitais as seguintes indicações:
O nome, nome comercial registado ou marca registada do fabricante, bem como o seu endereço postal, o endereço de correio eletrónico ou outro contacto digital e, se existir, o sítio Web através do qual o fabricante pode ser contactado;
O ponto de contacto único por meio do qual se pode comunicar e receber informações sobre vulnerabilidades do produto com elementos digitais e a política do fabricante em matéria de divulgação coordenada das vulnerabilidades;
Nome e tipo do produto com elementos digitais, bem como quaisquer informações complementares que permitam a sua identificação única;
A finalidade prevista do produto com elementos digitais, incluindo o ambiente de segurança proporcionado pelo fabricante, bem como as funcionalidades essenciais do produto e informações sobre as propriedades de segurança;
Qualquer circunstância conhecida ou previsível, relacionada com a utilização do produto com elementos digitais de acordo com a sua finalidade prevista ou em condições de utilização indevida razoavelmente previsível que possam dar origem a riscos de cibersegurança significativos;
Se for caso disso, o endereço Internet que permite aceder à declaração de conformidade UE;
O tipo de apoio técnico no domínio da segurança que o fabricante oferece e a data-limite do período de apoio durante o qual os utilizadores podem esperar que as vulnerabilidades sejam tratadas e receber atualizações de segurança;
Instruções pormenorizadas ou um endereço Internet que remeta para tais instruções pormenorizadas e informações sobre:
As medidas a tomar quando o produto com elementos digitais é posto em funcionamento pela primeira vez e ao longo de toda a sua vida útil de modo a garantir uma utilização segura do mesmo;
Como as alterações do produto com elementos digitais podem afetar a segurança dos dados;
Como podem ser instaladas atualizações relevantes em termos de segurança;
A desativação segura do produto com elementos digitais, incluindo informações sobre como se pode remover de forma segura os dados dos utilizadores.
A forma como pode ser desligada a configuração por defeito que permite a instalação automática de atualizações de segurança, conforme exigido pela parte I, ponto 2, alínea c), do anexo I;
Se o produto com elementos digitais se destinar a ser integrado noutros produtos com elementos digitais, as informações necessárias para que o responsável pela integração cumpra os requisitos essenciais de cibersegurança estabelecidos no anexo I e os requisitos em matéria de documentação estabelecidos no anexo VII.
Se o fabricante decidir disponibilizar a lista de materiais de software ao utilizador, informações sobre o local onde se pode aceder à lista de materiais do software.
ANEXO III
PRODUTOS IMPORTANTES COM ELEMENTOS DIGITAIS
Classe I
1. Sistemas de gestão de identidade e software e hardware de gestão de acesso privilegiado, nomeadamente leitores de autenticação e controlo do acesso, incluindo leitores biométricos
2. Navegadores autónomos e incorporados
3. Gestores de senhas
4. Software de pesquisa, remoção ou colocação em quarentena de software malicioso
5. Produtos com elementos digitais com a função de rede privada virtual (VPN)
6. Sistemas de gestão de rede
7. Sistemas de gestão de informações e eventos de segurança (SIEM)
8. Gestores de arranque
9. Infraestruturas de chaves públicas e software de emissão de certificados digitais
10. Interfaces físicas e virtuais da rede
11. Sistemas operativos
12. Encaminhadores, modems para ligação à Internet e comutadores
13. Microprocessadores com funcionalidades relacionadas com a cibersegurança
14. Microcontroladores com funcionalidades relacionadas com a cibersegurança
15. Circuitos integrados de aplicação específica (ASIC) e redes de portas lógicas programáveis (FPGA) com funcionalidades relacionadas com a cibersegurança
16. Assistentes virtuais de uso geral para residências inteligentes
17. Produtos domésticos inteligentes com funcionalidades de segurança, incluindo fechaduras inteligentes, câmaras de segurança, sistemas de monitorização de bebés e sistemas de alarme
18. Brinquedos ligados à Internet, abrangidos pela Diretiva 2009/48/CE do Parlamento Europeu e do Conselho ( 4 ), com características sociais interativas (por exemplo, que falam ou filmam) ou que têm características de localização
19. Produtos pessoais usáveis, para usar ou colocar no corpo humano, destinados à monitorização do estado de saúde (p. ex., rastreio) e aos quais não se aplicam o Regulamento (UE) 2017/745 ou (UE) 2017/746, ou produtos pessoais usáveis, a utilizar por crianças ou a estas destinados
Classe II
1. Hipervisores e sistemas container runtime que permitam a execução virtualizada de sistemas operativos e ambientes semelhantes
2. Barreiras de segurança, sistemas de deteção e prevenção de intrusões
3. Microprocessadores invioláveis
4. Microcontroladores invioláveis
ANEXO IV
PRODUTOS CRÍTICOS COM ELEMENTOS DIGITAIS
1. Dispositivos de hardware com caixas de segurança
2. Pontos de acesso para contadores inteligentes no âmbito de sistemas de contadores inteligentes, conforme definidos no artigo 2.o, ponto 23, da Diretiva (UE) 2019/944 do Parlamento Europeu e do Conselho ( 5 ), e outros dispositivos para fins avançados de segurança, incluindo o criptoprocessamento seguro
3. Cartões inteligentes ou dispositivos semelhantes, incluindo elementos seguros
ANEXO V
DECLARAÇÃO DE CONFORMIDADE UE
A declaração de conformidade UE referida no artigo 28.o deve conter todas as seguintes informações:
Nome e tipo do produto com elementos digitais, bem como quaisquer informações complementares que permitam a sua identificação única
Nome e endereço do fabricante ou do respetivo mandatário
Menção de que a declaração de conformidade UE é emitida sob a exclusiva responsabilidade do fornecedor
Objeto da declaração (identificação do produto com elementos digitais que permita rastreá-lo, podendo incluir uma fotografia, se for caso disso)
Menção de que o objeto da declaração acima mencionado está em conformidade com a legislação de harmonização da União aplicável
Referências a quaisquer normas harmonizadas pertinentes aplicadas ou a quaisquer outras especificações comuns ou certificações da cibersegurança em relação às quais é declarada a conformidade
Se for caso disso, nome e número do organismo notificado, descrição do procedimento de avaliação da conformidade efetuado e identificação do certificado emitido
Informações complementares:
Assinado em nome de:
(local e data de emissão):
(nome, cargo) (assinatura):
ANEXO VI
DECLARAÇÃO DE CONFORMIDADE UE SIMPLIFICADA
A declaração de conformidade UE simplificada a que se refere o artigo 13.o, n.o 20, deve conter os seguintes dados:
ANEXO VII
TEOR DA DOCUMENTAÇÃO TÉCNICA
A documentação técnica referida no artigo 31.o deve incluir, pelo menos, as informações indicadas a seguir, consoante aplicável ao produto com elementos digitais em causa:
Uma descrição geral do produto com elementos digitais, incluindo:
A sua finalidade prevista;
Versões do software suscetíveis de afetar a conformidade com os requisitos essenciais de cibersegurança;
Se o produto com elementos digitais for um produto de hardware, fotografias ou ilustrações que mostrem as características externas, a marcação e a disposição interna;
Informações e instruções destinadas aos utilizadores, conforme consta do anexo II;
Uma descrição da conceção, do desenvolvimento, da produção do produto com elementos digitais e dos processos de tratamento de vulnerabilidades, incluindo:
Informações necessárias sobre a conceção e o desenvolvimento do produto com elementos digitais, incluindo, se for caso disso, ilustrações e esquemas e uma descrição da arquitetura do sistema que explique de que forma os componentes de software se apoiam ou se alimentam mutuamente e se integram no processamento global;
Informações e especificações necessárias sobre os processos de tratamento de vulnerabilidades aplicados pelo fabricante, incluindo a lista de materiais do software, a política de divulgação coordenada de vulnerabilidades, comprovativos da disponibilização de um endereço de contacto para a comunicação de vulnerabilidades e uma descrição das soluções técnicas escolhidas para a distribuição segura de atualizações;
Informações e especificações necessárias sobre os processos de produção e controlo do produto com elementos digitais e a validação desses processos;
Uma avaliação dos riscos de cibersegurança tidos em conta na conceção, no desenvolvimento, na produção, na entrega e na manutenção do produto com elementos digitais, nos termos do artigo 13.o, incluindo a forma como são aplicáveis os requisitos essenciais de cibersegurança estabelecidos na parte I do anexo I;
Informações pertinentes tidas em conta para determinar o período de apoio nos termos do artigo 13.o, n.o 8, do produto com elementos digitais;
Uma lista das normas harmonizadas aplicadas total ou parcialmente, cujas referências tenham sido publicadas no Jornal Oficial da União Europeia, das especificações comuns previstas no artigo 27.o do presente regulamento ou dos sistemas europeus de certificação da cibersegurança adotados ao abrigo do Regulamento (UE) 2019/881, nos termos do artigo 27.o, n.o 8, do presente regulamento e, nos casos em que essas normas harmonizadas, especificações comuns ou sistemas europeus de certificação da cibersegurança não tenham sido aplicados, uma descrição das soluções adotadas para dar cumprimento aos requisitos essenciais de cibersegurança estabelecidos nas partes I e II do anexo I, incluindo uma lista de outras especificações técnicas pertinentes aplicadas. Em caso de aplicação parcial das normas harmonizadas, das especificações comuns ou dos sistemas europeus de certificação da cibersegurança, a documentação técnica deve especificar as partes que foram aplicadas;
Relatórios dos ensaios realizados para verificar a conformidade do produto com elementos digitais e dos processos de tratamento de vulnerabilidades com os requisitos essenciais de cibersegurança aplicáveis estabelecidos nas partes I e II do anexo I;
Uma cópia da declaração de conformidade UE;
Se for caso disso, a lista de materiais do software, na sequência de um pedido fundamentado de uma autoridade de fiscalização do mercado, desde que tal seja necessário para que a referida autoridade possa verificar a conformidade com os requisitos essenciais de cibersegurança estabelecidos no anexo I.
ANEXO VIII
PROCEDIMENTOS DE AVALIAÇÃO DA CONFORMIDADE
Parte I Procedimento de avaliação da conformidade baseado no controlo interno (com base no módulo A)
1. O controlo interno é o procedimento de avaliação da conformidade mediante o qual o fabricante cumpre as obrigações estabelecidas nos pontos 2, 3 e 4 da presente parte e garante e declara, sob a sua exclusiva responsabilidade, que os produtos com elementos digitais cumprem todos os requisitos essenciais de cibersegurança constantes da parte I do anexo I, e que o fabricante cumpre os requisitos essenciais de cibersegurança estabelecidos na parte II do anexo I.
2. O fabricante deve elaborar a documentação técnica descrita no anexo VII.
3. Conceção, desenvolvimento, produção e tratamento de vulnerabilidades de produtos com elementos digitais
O fabricante deve tomar todas as medidas necessárias para que os processos de conceção, desenvolvimento, produção e tratamento de vulnerabilidades, bem como o respetivo controlo, assegurem a conformidade dos produtos com elementos digitais fabricados ou desenvolvidos e dos processos aplicados pelo fabricante com os requisitos essenciais de cibersegurança previstos nas partes I e II do anexo I.
4. Marcação de conformidade e declaração de conformidade
4.1. O fabricante deve apor a marcação CE em cada produto com elementos digitais que cumpra os requisitos aplicáveis previstos no presente regulamento.
4.2. O fabricante deve elaborar uma declaração de conformidade UE escrita para cada produto com elementos digitais nos termos do artigo 28.o e mantê-la, juntamente com a documentação técnica, à disposição das autoridades nacionais, por um período de 10 anos a contar da data de colocação no mercado do produto com elementos digitais ou durante período de apoio, consoante o que for mais longo. A declaração de conformidade UE deve identificar o produto com elementos digitais para o qual foi elaborada. Deve ser fornecida cópia da declaração de conformidade UE às autoridades competentes, a seu pedido.
5. Mandatários
As obrigações do fabricante enunciadas no ponto 4 podem ser cumpridas, em seu nome e sob a sua responsabilidade, pelo seu mandatário, desde que as obrigações pertinentes se encontrem especificadas no mandato.
Parte II Exame UE de tipo (com base no módulo B)
1. O exame UE de tipo é a parte do procedimento de avaliação da conformidade em que um organismo notificado examina o projeto técnico e o desenvolvimento de um produto com elementos digitais, bem como os processos de tratamento de vulnerabilidades aplicados pelo fabricante, e certifica que um produto com elementos digitais cumpre os requisitos essenciais de cibersegurança estabelecidos na parte I do anexo I, e que o fabricante cumpre os requisitos essenciais de cibersegurança estabelecidos na parte II do anexo I.
2. O exame UE de tipo deve ser realizado através da avaliação da adequação do projeto técnico e do desenvolvimento do produto com elementos digitais mediante análise da documentação técnica e dos elementos de prova referidos no ponto 3, bem como do exame de amostras de uma ou mais partes críticas do produto (combinação de tipo de produção e tipo de projeto).
3. O fabricante deve apresentar o pedido de exame UE de tipo a um único organismo notificado da sua escolha.
O pedido deve incluir os seguintes elementos:
o nome e o endereço do fabricante e, se for apresentado pelo mandatário, o nome e o endereço deste último,
uma declaração por escrito indicando que o mesmo pedido não foi apresentado a nenhum outro organismo notificado,
a documentação técnica, que deve permitir avaliar a conformidade do produto com elementos digitais com os requisitos essenciais de cibersegurança aplicáveis constantes da parte I do anexo I, e os processos de tratamento de vulnerabilidades do fabricante constantes da parte II do anexo I, e deve incluir uma análise e uma avaliação adequadas dos riscos. A documentação técnica deve especificar os requisitos aplicáveis e abranger, se tal for pertinente para efeitos de avaliação, a conceção, o fabrico e o funcionamento do produto com elementos digitais. A documentação técnica deve conter, se for caso disso, pelo menos os elementos previstos no anexo VII,
os elementos de prova da adequação das soluções de projeto técnico e desenvolvimento e dos processos de tratamento de vulnerabilidades. Esses elementos devem fazer menção aos documentos utilizados, designadamente nos casos em que não foram integralmente aplicadas as normas harmonizadas ou as especificações técnicas pertinentes. Os elementos de prova devem incluir, se necessário, os resultados dos ensaios realizados pelo laboratório competente do fabricante ou por qualquer outro laboratório de ensaios em nome e sob a responsabilidade do fabricante.
4. O organismo notificado deve:
Examinar a documentação técnica e os elementos de prova para avaliar a adequação do projeto técnico e do desenvolvimento do produto com elementos digitais aos requisitos essenciais de cibersegurança constantes da parte I do anexo I, e a adequação dos processos de tratamento de vulnerabilidades aplicados pelo fabricante aos requisitos essenciais de cibersegurança estabelecidos na parte II do anexo I;
Verificar se as amostras foram desenvolvidas ou fabricadas em conformidade com a documentação técnica e identificar os elementos concebidos e desenvolvidos de acordo com as disposições aplicáveis das normas harmonizadas ou especificações técnicas pertinentes, bem como os elementos cuja conceção e desenvolvimento não se baseiem nas disposições pertinentes dessas normas;
Realizar, ou mandar realizar, os exames e os ensaios adequados para verificar que, caso o fabricante tenha optado pelas soluções constantes das normas harmonizadas ou especificações técnicas pertinentes para os requisitos previstos no anexo I, essas soluções foram corretamente aplicadas;
Realizar, ou mandar realizar, os exames e ensaios necessários para verificar que, caso as soluções constantes das normas harmonizadas ou especificações técnicas pertinentes para os requisitos previstos no anexo I não tenham sido aplicadas, as soluções adotadas pelo fabricante cumprem os requisitos essenciais de cibersegurança correspondentes;
Acordar com o fabricante o local de realização dos exames e dos ensaios.
5. O organismo notificado deve elaborar um relatório de avaliação que indique as atividades desenvolvidas de acordo com o ponto 4 e os respetivos resultados. Sem prejuízo das suas obrigações para com as autoridades notificadoras, o organismo notificado só pode divulgar, no todo ou em parte, o conteúdo desse relatório com o acordo do fabricante.
6. Se o tipo e os processos de tratamento de vulnerabilidades cumprirem os requisitos essenciais de cibersegurança constantes do anexo I, o organismo notificado deve remeter ao fabricante um certificado de exame UE de tipo. O certificado deve conter o nome e o endereço do fabricante, as conclusões do exame, as condições (se as houver) da sua validade e os dados necessários à identificação do tipo aprovado e dos processos de tratamento de vulnerabilidades. O certificado pode ser acompanhado de um ou mais anexos.
O certificado e os seus anexos devem conter todas as informações necessárias para permitir a avaliação da conformidade dos produtos com elementos digitais fabricados ou desenvolvidos com o tipo e os processos de tratamento de vulnerabilidades examinados e para permitir o controlo em serviço.
Nos casos em que o tipo e os processos de tratamento de vulnerabilidades não cumpram os requisitos essenciais de cibersegurança aplicáveis constantes do anexo I, o organismo notificado deve recusar emitir um certificado de exame UE de tipo e deve informar o requerente desse facto, fundamentando pormenorizadamente as razões da sua recusa.
7. O organismo notificado deve manter-se a par das alterações do estado da técnica geralmente reconhecido que indiquem que o tipo aprovado e os processos de tratamento de vulnerabilidades podem ter deixado de cumprir os requisitos essenciais de cibersegurança aplicáveis constantes do anexo I e deve determinar se tais alterações requerem exames complementares. Em caso afirmativo, o organismo notificado deve informar o fabricante desse facto.
O fabricante deve informar o organismo notificado que possui a documentação técnica relativa ao certificado de exame UE de tipo de todas as modificações do tipo aprovado e dos processos de tratamento de vulnerabilidades que possam afetar a conformidade com os requisitos essenciais de cibersegurança constantes do anexo I ou as condições de validade do certificado. Tais modificações devem ser objeto de aprovação complementar, na forma de aditamento ao certificado original de exame UE de tipo.
8. O organismo notificado deve efetuar auditorias periódicas para assegurar que os processos de tratamento das vulnerabilidades previstos na parte II do anexo I, são aplicados de forma adequada.
9. O organismo notificado deve informar as autoridades notificadoras dos certificados de exame UE de tipo e respetivos aditamentos que emitiu ou retirou e fornecer-lhes periodicamente, ou mediante pedido, a lista dos certificados e respetivos aditamentos recusados, suspensos ou objeto de restrições.
Cada organismo notificado deve informar os outros organismos notificados dos certificados de exame UE de tipo e respetivos aditamentos que tenha recusado, retirado, suspendido ou submetido a quaisquer outras restrições e, mediante pedido, dos certificados que tenha emitido e dos aditamentos que tenha introduzido nos mesmos.
A Comissão, os Estados-Membros e os outros organismos notificados podem, mediante pedido, obter cópia dos certificados de exame UE de tipo e quaisquer aditamentos. Mediante pedido, a Comissão e os Estados-Membros podem obter cópia da documentação técnica e dos resultados dos exames efetuados pelo organismo notificado. O organismo notificado deve conservar uma cópia do certificado de exame UE de tipo e dos respetivos anexos e aditamentos, assim como do processo técnico, incluindo a documentação apresentada pelo fabricante, até ao termo da validade do certificado.
10. O fabricante deve manter à disposição das autoridades nacionais uma cópia do certificado de exame UE de tipo e dos respetivos anexos e aditamentos, assim como da documentação técnica, por um período de 10 anos a contar da data de colocação do produto com elementos digitais no mercado ou durante o período de apoio, consoante o que for mais longo.
11. O mandatário do fabricante pode apresentar o pedido referido no ponto 3 e cumprir as obrigações previstas nos pontos 7 e 10, desde que as obrigações pertinentes se encontrem especificadas no mandato.
Parte III Conformidade com o tipo baseada no controlo interno da produção (com base no módulo C)
1. A conformidade com o tipo baseada no controlo interno da produção é a parte do procedimento de avaliação da conformidade mediante a qual o fabricante cumpre as obrigações previstas nos pontos 2 e 3 da presente parte e garante e declara que os produtos com elementos digitais em causa estão em conformidade com o tipo descrito no certificado de exame UE de tipo e satisfazem os requisitos essenciais de cibersegurança constantes da parte I do anexo I, e que o fabricante cumpre os requisitos essenciais de cibersegurança estabelecidos na parte II do anexo I.
2. Produção
O fabricante deve tomar todas as medidas necessárias para que a produção e o respetivo controlo garantam a conformidade dos produtos fabricados com o tipo aprovado descrito no certificado de exame UE de tipo e com os requisitos essenciais de cibersegurança constantes da parte I do anexo I, e garante que o fabricante cumpre os requisitos essenciais de cibersegurança estabelecidos na parte II do anexo I.
3. Marcação de conformidade e declaração de conformidade
O fabricante deve apor a marcação CE em cada produto com elementos digitais que esteja em conformidade com o tipo descrito no certificado de exame UE de tipo e que cumpra os requisitos aplicáveis definidos no presente regulamento.
O fabricante deve elaborar uma declaração de conformidade escrita para cada modelo de produto e mantê-la à disposição das autoridades nacionais, por um período de 10 anos a contar da data de colocação do produto com elementos digitais no mercado ou durante o período de apoio, consoante o que for mais longo. A declaração de conformidade deve identificar o modelo de produto para o qual foi elaborada. Deve ser fornecida às autoridades competentes, a pedido destas, uma cópia da declaração de conformidade.
4. Mandatário
As obrigações do fabricante enunciadas no ponto 3 podem ser cumpridas, em seu nome e sob a sua responsabilidade, pelo seu mandatário, desde que as obrigações pertinentes se encontrem especificadas no mandato.
Parte IV Conformidade baseada na garantia de qualidade total (com base no módulo H)
1. A conformidade baseada na garantia de qualidade total é o procedimento de avaliação da conformidade mediante o qual o fabricante cumpre as obrigações estabelecidas nos pontos 2 e 5 da presente parte e garante e declara, sob a sua exclusiva responsabilidade, que os produtos com elementos digitais ou as categorias de produtos em causa cumprem os requisitos essenciais de cibersegurança constantes da parte I do anexo I, e que os processos de tratamento de vulnerabilidades por si aplicados cumprem os requisitos estabelecidos na parte II do anexo I.
2. Conceção, desenvolvimento, produção e tratamento de vulnerabilidades de produtos com elementos digitais
O fabricante deve aplicar um sistema de qualidade aprovado, nos termos do ponto 3, para a conceção, o desenvolvimento e a inspeção e o ensaio dos produtos com elementos digitais em causa e para o tratamento de vulnerabilidades, deve manter a sua eficácia durante todo o período de apoio e fica sujeito à fiscalização prevista no ponto 4.
3. Sistema de qualidade
O fabricante deve apresentar um pedido de avaliação do seu sistema de qualidade para os produtos com elementos digitais em causa a um organismo notificado da sua escolha.
O pedido deve incluir os seguintes elementos:
o nome e o endereço do fabricante e, se for apresentado pelo mandatário, o nome e o endereço deste último;
a documentação técnica para um modelo de cada categoria de produtos com elementos digitais que se pretende fabricar ou desenvolver. A documentação técnica deve conter, no mínimo, se aplicável, os elementos previstos no anexo VII;
a documentação relativa ao sistema de qualidade; e
uma declaração escrita indicando que o mesmo pedido não foi apresentado a nenhum outro organismo notificado.
O sistema de qualidade deve assegurar a conformidade dos produtos com elementos digitais com os requisitos essenciais de cibersegurança constantes da parte I do anexo I, e a conformidade dos processos de tratamento de vulnerabilidades aplicados pelo fabricante com os requisitos estabelecidos na parte II do anexo I.
Todos os elementos, requisitos e disposições adotados pelo fabricante devem ser documentados de modo sistemático e ordenado, sob a forma de políticas, procedimentos e instruções escritas. A documentação relativa ao sistema de qualidade deve permitir uma interpretação coerente dos programas, planos, manuais e registos de qualidade.
Em especial, deve conter uma descrição adequada do seguinte:
objetivos de qualidade e estrutura organizativa, responsabilidades e competências dos órgãos de gestão no que diz respeito à conceção, ao desenvolvimento, à qualidade do produto e ao tratamento de vulnerabilidades;
especificações do projeto técnico e do desenvolvimento, incluindo as normas que serão aplicadas e, se as normas harmonizadas e/ou as especificações técnicas pertinentes não forem integralmente aplicadas, os meios a utilizar para assegurar o cumprimento dos requisitos essenciais de cibersegurança constantes da parte I do anexo I, aplicáveis aos produtos com elementos digitais;
especificações processuais, incluindo as normas que serão aplicadas e, se as normas harmonizadas ou as especificações técnicas pertinentes não forem integralmente aplicadas, os meios a utilizar para assegurar o cumprimento dos requisitos essenciais de cibersegurança constantes da parte II do anexo I, aplicáveis ao fabricante;
o controlo da conceção e do desenvolvimento, bem como as técnicas, os processos e as ações sistemáticas de verificação da conceção e do desenvolvimento a adotar ao conceber e desenvolver os produtos com elementos digitais pertencentes à categoria abrangida;
as técnicas, processos e ações sistemáticas de produção, controlo da qualidade e garantia da qualidade a aplicar correspondentes;
exames e ensaios a executar antes, durante e após a produção, e a frequência com que serão realizados;
os registos de qualidade, como relatórios de inspeções e dados dos ensaios, dados de calibração e relatórios de qualificação do pessoal envolvido, etc.;
meios que permitam controlar a obtenção da qualidade exigida ao nível da conceção e do produto, bem como a eficácia do funcionamento do sistema de qualidade.
O organismo notificado deve avaliar o sistema de qualidade para determinar se este satisfaz os requisitos referidos no ponto 3.2.
O organismo notificado deve presumir que são conformes com esses requisitos os elementos do sistema de qualidade que cumpram as especificações correspondentes da norma nacional que transpõe a norma harmonizada ou as especificações técnicas aplicáveis.
Para além de experiência em sistemas de gestão da qualidade, o grupo de auditores deve incluir pelo menos um membro com experiência como assessor no domínio pertinente do produto e na tecnologia do produto em causa e ter conhecimento dos requisitos aplicáveis previstos no presente regulamento. A auditoria deve incluir uma visita de avaliação às instalações do fabricante, no caso de estas existirem. O grupo de auditores deve analisar a documentação técnica referida no ponto 3.1, alínea b), para verificar a capacidade de o fabricante identificar os requisitos aplicáveis previstos no presente regulamento e realizar os exames necessários, com vista a assegurar a conformidade do produto com elementos digitais com esses requisitos.
A decisão deve ser notificada ao fabricante ou ao respetivo mandatário.
A notificação deve conter as conclusões da auditoria e a decisão de avaliação fundamentada.
O fabricante compromete-se a cumprir as obrigações decorrentes do sistema de qualidade aprovado e a assegurar que permanece adequado e eficaz.
O fabricante mantém informado o organismo notificado que tiver aprovado o sistema de qualidade de qualquer alteração planeada para o referido sistema.
O organismo notificado deve avaliar as alterações propostas e decidir se o sistema da qualidade alterado continua a satisfazer os requisitos referidos no ponto 3.2 ou se é necessária uma reavaliação.
O organismo notificado deve notificar o fabricante da sua decisão. A notificação deve conter as conclusões do exame e a decisão de avaliação fundamentada.
4. Fiscalização sob a responsabilidade do organismo notificado
O objetivo da fiscalização é garantir que o fabricante cumpre devidamente as obrigações decorrentes do sistema de qualidade aprovado.
O fabricante deve permitir o acesso do organismo notificado, para fins de avaliação, aos locais de conceção, desenvolvimento, produção, inspeção, ensaio e armazenamento, e facultar-lhe todas as informações necessárias, em especial:
a documentação relativa ao sistema de qualidade;
os registos de qualidade previstos na parte do sistema de qualidade dedicada à conceção, tais como resultados de análises, cálculos e ensaios;
os registos de qualidade previstos na parte do sistema de qualidade dedicada ao fabrico, tais como relatórios de inspeções, dados dos ensaios e de calibração e relatórios de qualificação do pessoal envolvido.
O organismo notificado deve efetuar auditorias periódicas para se certificar de que o fabricante mantém e aplica o sistema de qualidade e deve fornecer-lhe os relatórios dessas auditorias.
5. Marcação de conformidade e declaração de conformidade
O fabricante deve apor a marcação CE e, sob a responsabilidade do organismo notificado referido no ponto 3.1, o número de identificação deste último em cada produto com elementos digitais que cumpra os requisitos constantes da parte I do anexo I.
O fabricante deve elaborar uma declaração de conformidade escrita para cada modelo de produto e mantê-la à disposição das autoridades nacionais, por um período de 10 anos a contar da data de colocação do produto com elementos digitais no mercado ou durante o período de apoio, consoante o que for mais longo. A declaração de conformidade deve identificar o modelo de produto para o qual foi elaborada.
Deve ser disponibilizada às autoridades competentes, a pedido destas, uma cópia da declaração de conformidade.
6. O fabricante deve manter à disposição das autoridades nacionais, durante um período não inferior a 10 anos após a data de colocação do produto com elementos digitais no mercado ou durante o período de apoio, consoante o que for mais longo:
a documentação técnica referida no ponto 3.1;
a documentação relativa ao sistema de qualidade referida no ponto 3.1;
a alteração, aprovada, a que se refere o ponto 3.5;
as decisões e os relatórios do organismo notificado a que se referem os pontos 3.5 e 4.3.
7. Cada organismo notificado deve informar as suas autoridades notificadoras das aprovações de sistemas de qualidade concedidas ou retiradas e, periodicamente ou mediante pedido, deve disponibilizar a essas autoridades a lista das aprovações de sistemas de qualidade que tenha recusado, suspendido ou submetido a quaisquer outras restrições.
Cada organismo notificado deve informar os outros organismos notificados das aprovações de sistemas de qualidade que tenha recusado, suspendido, retirado e, se lhe for pedido, das aprovações que tenha concedido a sistemas de qualidade.
8. Mandatário
As obrigações do fabricante enunciadas nos pontos 3.1, 3.5, 5 e 6 podem ser cumpridas, em seu nome e sob a sua responsabilidade, pelo respetivo mandatário, desde que as obrigações pertinentes se encontrem especificadas no mandato.
Foi feita uma declaração relativamente ao presente ato, que pode ser consultada em JO C, 2024/6786, 20.11.2024, ELI: http://data.europa.eu/eli/C/2024/6786/oj.
( ) Diretiva 2014/90/UE do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativa aos equipamentos marítimos e que revoga a Diretiva 96/98/CE do Conselho (JO L 257 de 28.8.2014, p. 146).
( ) Diretiva (UE) 2016/943 do Parlamento Europeu e do Conselho, de 8 de junho de 2016, relativa à proteção de know-how e de informações comerciais confidenciais (segredos comerciais) contra a sua aquisição, utilização e divulgação ilegais (JO L 157 de 15.6.2016, p. 1).
( *1 ) Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho, de 23 de outubro de 2024, relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais e que altera os Regulamentos (UE) n.o 168/2013 e (UE) 2019/1020 e a Diretiva (UE) 2020/1828 (Regulamento de Ciber-Resiliência) (JO L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).».
( *2 ) Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho, de 23 de outubro de 2024, relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais e que altera os Regulamentos (UE) n.o 168/2013 e (UE) 2019/1020 e a Diretiva (UE) 2020/1828 (Regulamento Ciber-Resiliência) (JO L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).»
( ) Regulamento (UE) n.o 168/2013 do Parlamento Europeu e do Conselho, de 15 de janeiro de 2013, relativo à homologação e fiscalização do mercado dos veículos de duas ou três rodas e dos quadriciclos (JO L 60 de 2.3.2013, p. 52).
( ) Diretiva 2009/48/CE do Parlamento Europeu e do Conselho, de 18 de junho de 2009, relativa à segurança dos brinquedos (JO L 170 de 30.6.2009, p. 1).
( ) Diretiva (UE) 2019/944 do Parlamento Europeu e do Conselho, de 5 de junho de 2019, relativa a regras comuns para o mercado interno da eletricidade e que altera a Diretiva 2012/27/UE (JO L 158 de 14.6.2019, p. 125).
( ) JO L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj.