(1)

A cibersegurança é um dos desafios fundamentais para a União. O número e a variedade de dispositivos conectados aumentarão exponencialmente nos próximos anos. Os ciberataques constituem um assunto de interesse público, pois têm um impacto crítico não só na economia da União, mas também na democracia, bem como na saúde e segurança dos consumidores. É, portanto, necessário reforçar a abordagem da União à cibersegurança, incidir sobre a ciber-resiliência a nível da União e melhorar o funcionamento do mercado interno estabelecendo um regime jurídico uniforme para os requisitos essenciais de cibersegurança aplicáveis à colocação de produtos com elementos digitais no mercado da União. Importa resolver dois problemas importantes que aumentam os custos para os utilizadores e para a sociedade: o baixo nível de cibersegurança dos produtos com elementos digitais, que se traduz em vulnerabilidades generalizadas e na oferta insuficiente e incoerente de atualizações de segurança para as resolver, e o entendimento e acesso deficientes dos utilizadores à informação, que os impede de escolher produtos com propriedades de cibersegurança adequadas ou de os utilizar de forma segura.

(2)

O presente regulamento visa estabelecer as condições-limite para o desenvolvimento de produtos com elementos digitais seguros, garantindo que sejam colocados no mercado produtos de hardware e software com menos vulnerabilidades e que os fabricantes encarem a segurança com seriedade ao longo de todo o ciclo de vida de um produto. Pretende ainda criar condições que permitam aos utilizadores ter em conta a cibersegurança aquando da seleção e da utilização de produtos com elementos digitais, por exemplo melhorando a transparência no tocante ao período de apoio para produtos com elementos digitais disponibilizados no mercado.

(3)

O direito pertinente da União em vigor contempla vários conjuntos de regras horizontais que abordam determinados aspetos relacionados com a cibersegurança a partir de diferentes ângulos, incluindo medidas para melhorar a segurança da cadeia de abastecimento digital. No entanto, o direito da União em vigor em matéria de cibersegurança, nomeadamente o Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho (3) e a Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho (4), não abrange diretamente os requisitos obrigatórios de segurança dos produtos com elementos digitais.

(4)

Embora o direito da União em vigor se aplique a determinados produtos com elementos digitais, não existe um regime regulamentar horizontal da União que estabeleça requisitos abrangentes de cibersegurança para todos os produtos com elementos digitais. Os diversos atos e iniciativas adotados até à data a nível da União e a nível nacional apenas abordam parcialmente os problemas e riscos identificados relacionados com a cibersegurança, criando um mosaico legislativo no mercado interno, aumentando a insegurança jurídica tanto para os fabricantes como para os utilizadores desses produtos e impondo desnecessariamente mais encargos às empresas e organizações no cumprimento de uma série de requisitos e obrigações para tipos semelhantes de produtos. A cibersegurança desses produtos tem uma dimensão transfronteiriça particularmente forte, uma vez que os produtos com elementos digitais fabricados num Estado-Membro ou num país terceiro são muitas vezes utilizados por organizações e consumidores em todo o mercado interno, o que torna necessário regulamentar este domínio a nível da União de molde a garantir um regime regulamentar harmonizado e segurança jurídica para os utilizadores, organizações e empresas, designadamente as micro, pequenas e médias empresas, tal como definido no anexo da Recomendação 2003/361/CE da Comissão (5). O panorama regulamentar da União deverá ser harmonizado através da introdução de requisitos horizontais de cibersegurança para os produtos com elementos digitais. Além disso, deverão ser asseguradas em toda a União a segurança jurídica para os operadores económicos e utilizadores, uma melhor harmonização do mercado interno e proporcionalidade para as micro, pequenas e médias empresas, criando condições mais viáveis para os operadores económicos que pretendam entrar no mercado da União.

(5)

No que concerne às microempresas e às pequenas e médias empresas, aquando da determinação da categoria em que uma empresa se insere, as disposições do anexo da Recomendação 2003/361/CE deverão ser aplicadas na sua totalidade. Por conseguinte, ao calcular o número de efetivos e os limiares financeiros que estabelecem as categorias de empresas, deverão igualmente ser aplicadas as disposições do artigo 6.o do anexo da Recomendação 2003/361/CE relativas à determinação dos dados de uma empresa tendo em conta tipos específicos de empresas, tais como empresas parceiras ou associadas.

(6)

A Comissão deverá fornecer orientações para ajudar os operadores económicos, em especial as micro, pequenas e médias empresas, na aplicação do presente regulamento. Tais orientações deverão abranger, nomeadamente, o âmbito de aplicação do presente regulamento, em particular o tratamento remoto de dados e as suas implicações para os criadores de software livre e de código-fonte aberto, a aplicação dos critérios utilizados para determinar os períodos de apoio aos produtos com elementos digitais, a interação entre o presente regulamento e outro direito da União e o conceito de «modificação substancial».

(7)

A nível da União, vários documentos programáticos e políticos, como a Comunicação conjunta da Comissão e do Alto Representante da União para os Negócios Estrangeiros e a Política de Segurança, de 16 de dezembro de 2020, intitulada «Estratégia de Cibersegurança da UE para a Década Digital», as Conclusões do Conselho de 2 de dezembro de 2020 sobre a cibersegurança dos dispositivos conectados e de 23 de maio de 2022 sobre o desenvolvimento da postura da União Europeia no ciberespaço e a Resolução do Parlamento Europeu, de 10 de junho de 2021, sobre a Estratégia de Cibersegurança da UE para a década digital (6), apelaram à criação de requisitos específicos da União em matéria de cibersegurança para produtos digitais ou conectados, sendo que vários países terceiros introduziram medidas para resolver esta questão por sua própria iniciativa. No relatório final da Conferência sobre o Futuro da Europa, os cidadãos apelaram ao reforço do papel da União na luta contra as ameaças à cibersegurança. É importante estabelecer um regime regulamentar ambicioso, para que a União possa desempenhar um papel de liderança a nível internacional no domínio da cibersegurança.

(8)

A fim de aumentar o nível global de cibersegurança de todos os produtos com elementos digitais colocados no mercado interno, é necessário introduzir requisitos essenciais de cibersegurança para esses produtos, que sejam orientados para objetivos, tecnologicamente neutros e horizontalmente aplicáveis.

(9)

Em determinadas condições, todos os produtos com elementos digitais integrados ou conectados a um sistema de informação eletrónico de maior dimensão podem servir de vetor de ataque a agentes mal-intencionados. Consequentemente, mesmo o hardware e o software considerados como sendo menos críticos podem resultar no comprometimento inicial de um dispositivo ou rede, permitindo que agentes mal-intencionados obtenham acesso privilegiado a um sistema ou circulem lateralmente entre sistemas. Os fabricantes deverão, por conseguinte, assegurar que todos os produtos com elementos digitais sejam concebidos e desenvolvidos em conformidade com os requisitos essenciais de cibersegurança estabelecidos no presente regulamento. Essa obrigação refere-se aos produtos que podem ser conectados fisicamente através de interfaces de hardware e os produtos que estão conectados logicamente, como interconectores, tubos, ficheiros, interfaces de programação de aplicações ou quaisquer outros tipos de interface de software. Uma vez que as ciberameaças podem propagar-se através de vários produtos com elementos digitais antes de alcançar um determinado objetivo, encadeando, por exemplo, múltiplas ações de exploração de vulnerabilidades, os fabricantes deverão também garantir a cibersegurança dos produtos com elementos digitais que só estão indiretamente conectados a outros dispositivos ou redes.

(10)

A especificação de requisitos de cibersegurança para a colocação de produtos com elementos digitais no mercado destina-se a reforçar a cibersegurança desses produtos, tanto para os consumidores como para as empresas. Esses requisitos garantirão também que a cibersegurança seja tida em conta em todas as cadeias de abastecimento, tornando os produtos finais com elementos digitais e os respetivos componentes mais seguros. Estes incluem igualmente requisitos para a colocação no mercado de produtos de consumo com elementos digitais destinados a consumidores vulneráveis, tais como brinquedos e sistemas de vigilância de bebés. Os produtos de consumo com elementos digitais classificados no presente regulamento como produtos importantes com elementos digitais apresentam um risco de cibersegurança mais elevado ao desempenharem uma função que comporta um risco significativo de produzir efeitos adversos, pela sua intensidade e capacidade de prejudicar a saúde, a segurança ou a proteção dos utilizadores desses produtos, e deverão ser sujeitos a um procedimento de avaliação da conformidade mais rigoroso. Incluem-se nesta descrição, entre outros, os produtos domésticos inteligentes com funcionalidades de segurança, nomeadamente fechaduras de porta inteligentes, sistemas de vigilância de bebés e sistemas de alarme inteligentes, brinquedos conectados e tecnologias de saúde pessoais vestíveis. Além disso, os procedimentos de avaliação da conformidade mais rigorosos a que devem ser submetidos outros produtos com elementos digitais classificados no presente regulamento como produtos importantes ou críticos com elementos digitais contribuirão para evitar potenciais consequências negativas que a exploração de vulnerabilidades pudesse acarretar para os consumidores.

(11)

O objetivo do presente regulamento é assegurar um elevado nível de cibersegurança dos produtos com elementos digitais e das respetivas soluções de tratamento integrado remoto de dados. Tais soluções de tratamento remoto de dados deverão ser definidas como qualquer tratamento de dados à distância para o qual o software tenha sido concebido e desenvolvido pelo fabricante dos produtos com elementos digitais em causa ou em seu nome e cuja inexistência impediria o produto com elementos digitais de desempenhar uma das suas funções. Essa abordagem garante a proteção adequada de tais produtos na sua totalidade pelos respetivos fabricantes, independentemente de os dados serem tratados ou armazenados localmente no dispositivo do utilizador ou à distância pelo fabricante. Ao mesmo tempo, o tratamento ou o armazenamento à distância só são abrangidos pelo âmbito de aplicação do presente regulamento na medida em que seja necessário para que um produto com elementos digitais desempenhe as suas funções. Esse tratamento ou armazenamento à distância inclui os casos em que uma aplicação móvel exija o acesso a uma interface de programação de aplicações ou a uma base de dados fornecida por meio de um serviço desenvolvido pelo fabricante. Nesses casos, o serviço é abrangido pelo âmbito de aplicação do presente regulamento enquanto solução de tratamento remoto de dados. Os requisitos relativos às soluções de tratamento remoto de dados abrangidas pelo âmbito de aplicação do presente regulamento não implicam, por conseguinte, medidas técnicas, operacionais ou organizativas destinadas a gerir os riscos para a segurança da rede e dos sistemas de informação de um fabricante no seu conjunto.

(12)

As soluções em nuvem apenas constituem soluções de tratamento remoto de dados na aceção do presente regulamento se corresponderem à definição nele estabelecida. Por exemplo, as funcionalidades possibilitadas pela computação em nuvem, fornecidas por um fabricante de dispositivos domésticos inteligentes, que permitem aos utilizadores controlar o dispositivo à distância, devem ser abrangidas pelo âmbito de aplicação do presente regulamento. Por outro lado, os sítios Web que não suportam a funcionalidade de um produto com elementos digitais ou serviços de computação em nuvem que não sejam concebidos e desenvolvidos sob a responsabilidade do fabricante de um produto com elementos digitais são excluídos do âmbito de aplicação do presente regulamento. A Diretiva (UE) 2022/2555 é aplicável aos serviços de computação em nuvem e aos modelos de serviços de computação em nuvem, tais como o software como serviço (SaaS, do inglês «Software as a Service»), a plataforma como serviço (PaaS, do inglês «Platform as a Service») ou as infraestruturas como serviço (IaaS, do inglês «Infrastructure as a Service»). As entidades que prestem serviços de computação em nuvem na União e que sejam consideradas médias empresas nos termos do artigo 2.o do anexo da Recomendação 2003/361/CE, ou que excedem os limiares para as médias empresas previstos no n.o 1 do mesmo artigo, são abrangidas pelo âmbito de aplicação da referida diretiva.

(13)

Em consonância com os objetivos do presente regulamento de eliminar os obstáculos à livre circulação de produtos com elementos digitais, os Estados-Membros não podem dificultar, nas matérias abrangidas pelo presente regulamento, a disponibilização no mercado de produtos com elementos digitais que cumpram o disposto no presente regulamento. Por conseguinte, no concernente às questões harmonizadas pelo presente regulamento, os Estados-Membros não podem impor requisitos de cibersegurança adicionais para a disponibilização no mercado de produtos com elementos digitais. No entanto, qualquer entidade, pública ou privada, pode estabelecer requisitos adicionais aos definidos no presente regulamento para a aquisição ou utilização de produtos com elementos digitais para os seus fins específicos, podendo, como tal, optar por utilizar produtos com elementos digitais que cumpram requisitos de cibersegurança mais rigorosos ou mais específicos do que os aplicáveis à disponibilização no mercado ao abrigo do presente regulamento. Sem prejuízo das Diretivas 2014/24/UE (7) e 2014/25/UE (8) do Parlamento Europeu e do Conselho, aquando da aquisição de produtos com elementos digitais, que devem cumprir os requisitos essenciais de cibersegurança estabelecidos no presente regulamento, incluindo os relativos ao tratamento de vulnerabilidades, os Estados-Membros deverão assegurar que esses requisitos são tidos em conta no processo de aquisição e que é também tida em conta a capacidade dos fabricantes para aplicarem eficazmente medidas de cibersegurança e gerirem ciberameaças. Além disso, a Diretiva (UE) 2022/2555 estabelece medidas de gestão dos riscos de cibersegurança para as entidades essenciais e importantes a que se refere o artigo 3.o da mesma diretiva que podem implicar medidas de segurança da cadeia de abastecimento que exijam a utilização, por parte dessas entidades, de produtos com elementos digitais que cumpram requisitos de cibersegurança mais rigorosos do que os definidos no presente regulamento. Em conformidade com a Diretiva (UE) 2022/2555 e de acordo com o seu princípio de harmonização mínima, os Estados-Membros podem, assim, impor requisitos adicionais de cibersegurança para a utilização de produtos de tecnologias da informação e comunicação (TIC) por entidades essenciais ou importantes nos termos da referida diretiva, visando assegurar um nível mais elevado de cibersegurança, desde que esses requisitos sejam coerentes com as obrigações dos Estados-Membros estabelecidas no direito da União. As matérias não abrangidas pelo presente regulamento podem incluir fatores não técnicos relativos a produtos com elementos digitais e aos respetivos fabricantes. Por conseguinte, os Estados-Membros podem estabelecer medidas nacionais, incluindo restrições aos produtos com elementos digitais ou aos fornecedores desses produtos, que tenham em conta fatores não técnicos. As medidas nacionais relativas a esses fatores devem respeitar o direito da União.

(14)

O presente regulamento não deverá prejudicar a responsabilidade dos Estados-Membros de salvaguardar a segurança nacional, em conformidade com o direito da União. Os Estados-Membros deverão poder submeter a medidas adicionais os produtos com elementos digitais adquiridos ou utilizados para fins de segurança ou de defesa nacionais, desde que essas medidas sejam coerentes com as obrigações dos Estados-Membros estabelecidas no direito da União.

(15)

O presente regulamento aplica-se aos operadores económicos apenas em relação a produtos com elementos digitais disponibilizados no mercado e, portanto, fornecidos para distribuição ou utilização no mercado da União no âmbito de uma atividade comercial. O fornecimento no âmbito de uma atividade comercial pode caracterizar-se não só pela cobrança de um preço por um produto com elementos digitais, mas também pela cobrança de um preço pelos serviços de apoio técnico se não for apenas no intuito de recuperar os custos reais, por uma intenção de monetizar, por exemplo, pela disponibilização de uma plataforma de software através da qual o fabricante monetize outros serviços, pela exigência do tratamento de dados pessoais como condição para a utilização por razões que não sejam exclusivamente destinadas a melhorar a segurança, a compatibilidade ou a interoperabilidade do software, ou pela aceitação de donativos que ultrapassem os custos associados com a conceção, o desenvolvimento e a produção de um produto com elementos digitais. A aceitação de donativos sem intenção de fazer lucro não deverá ser considerada uma atividade comercial.

(16)

Os produtos com elementos digitais fornecidos no contexto da prestação de um serviço pelo qual é cobrada uma taxa unicamente para recuperar os custos reais diretamente relacionados com o funcionamento desse serviço, como pode ocorrer no caso de determinados produtos com elementos digitais fornecidos por entidades da administração pública, não deverão ser considerados, meramente por esses motivos, uma atividade comercial para efeitos do presente regulamento. Ademais, os produtos com elementos digitais desenvolvidos ou modificados por uma entidade da administração pública exclusivamente para uso próprio não deverão ser considerados como sendo disponibilizados no mercado na aceção do presente regulamento.

(17)

O software e os dados que sejam partilhados abertamente e que possam, eles próprios ou uma versão alterada dos mesmos, ser livremente acedidos, utilizados, alterados e redistribuídos pelos utilizadores podem contribuir para a investigação e para a inovação no mercado. Para promover o desenvolvimento e a utilização de software livre e de código fonte aberto, sobretudo pelas micro, pequenas e médias empresas, incluindo as empresas em fase de arranque, pelos particulares, pelas organizações sem fins lucrativos e por organizações de investigação académica, a aplicação do presente regulamento a produtos com elementos digitais que sejam considerados software livre e de código-fonte aberto fornecido para distribuição ou utilização no âmbito de uma atividade comercial deverá ter em conta a natureza dos diferentes modelos de desenvolvimento de software distribuído e desenvolvido no quadro de licenças de software livre e de código-fonte aberto.

(18)

O software livre e de código-fonte aberto é entendido como um software cujo código-fonte é partilhado abertamente e cuja licença prevê todos os direitos para que seja livremente acessível, utilizável, modificável e redistribuível. O software livre e de código-fonte aberto é desenvolvido, mantido e distribuído abertamente, inclusive através de plataformas em linha. No tocante aos operadores económicos abrangidos pelo âmbito de aplicação do presente regulamento, apenas o software livre e de código-fonte aberto disponibilizado no mercado, e, por conseguinte, fornecido para distribuição ou utilização no âmbito de uma atividade comercial, deverá ser abrangido pelo âmbito de aplicação do presente regulamento. As meras circunstâncias em que o produto com elementos digitais foi desenvolvido ou a forma como o desenvolvimento foi financiado não deverão, assim, ser tidas em conta para determinar a natureza comercial ou não comercial da atividade em causa. Mais especificamente, para efeitos do presente regulamento e em relação aos operadores económicos abrangidos pelo âmbito de aplicação do mesmo, a fim de assegurar uma distinção clara entre as fases de desenvolvimento e de fornecimento, a produção de produtos com elementos digitais que se qualifiquem como software livre e de código-fonte aberto e que não sejam monetizados pelos seus fabricantes não deverá ser considerada como sendo uma atividade comercial. Além disso, o fornecimento de produtos com elementos digitais que se qualifiquem como componentes de software livre e de código-fonte aberto destinados à integração por outros fabricantes nos seus próprios produtos com elementos digitais só deverá ser considerado como disponibilização no mercado se o componente for monetizado pelo seu fabricante original. Por exemplo, o simples facto de um produto de software de código-fonte aberto com elementos digitais receber apoio financeiro dos fabricantes ou de os fabricantes contribuírem para o desenvolvimento desse produto não deverá, por si só, determinar que a atividade é de natureza comercial. Além disso, a mera existência de atualizações regulares não deverá, por si só, levar à conclusão de que um produto com elementos digitais é fornecido no âmbito de uma atividade comercial. Por último, para efeitos do presente regulamento, o desenvolvimento de produtos com elementos digitais que se qualifiquem como software livre e de código-fonte aberto por organizações sem fins lucrativos não deverá ser considerado uma atividade comercial, desde que a organização esteja criada de forma a garantir que todas as receitas após os custos sejam utilizadas para alcançar objetivos sem fins lucrativos. O presente regulamento não se aplica às pessoas singulares ou coletivas que contribuam com código-fonte para produtos com elementos digitais considerados software livre e de código-fonte aberto que não estejam sob a sua responsabilidade.

(19)

Tendo em conta a importância para a cibersegurança de muitos produtos com elementos digitais considerados software livre e de código-fonte aberto que são lançados, mas não disponibilizados no mercado na aceção do presente regulamento, as pessoas coletivas que prestam apoio sistemático ao desenvolvimento desses produtos destinados a atividades comerciais e que desempenham um papel importante na garantia da viabilidade desses produtos (administradores de software de código-fonte aberto) deverão ser sujeitas a um regime regulamentar pouco restritivo e adaptado. Entre os administradores de software de código-fonte aberto contam-se determinadas fundações e entidades que desenvolvem e lançam software livre e de código-fonte aberto num contexto empresarial, nomeadamente entidades sem fins lucrativos. O regime regulamentar deverá ter em conta a natureza específica e a compatibilidade de tais entidades com o tipo de obrigações impostas. Deverá abranger apenas os produtos com elementos digitais considerados software livre e de código-fonte aberto que, em última análise, se destinam a atividades comerciais, como a integração em serviços comerciais ou em produtos monetizados com elementos digitais. Para efeitos desse regime regulamentar, uma intenção de integração em produtos monetizados com elementos digitais abarca os casos em que os fabricantes que integram um componente nos seus próprios produtos com elementos digitais contribuem regularmente para o desenvolvimento desse componente ou prestam assistência financeira regular para assegurar a continuidade de um produto de software. A prestação de apoio sistemático ao desenvolvimento de um produto com elementos digitais inclui, entre outros, o alojamento e a gestão de plataformas de colaboração para o desenvolvimento de software, o alojamento de código-fonte ou software, a administração ou gestão de produtos com elementos digitais que sejam considerados software livre e de código-fonte aberto, bem como a orientação do desenvolvimento desses produtos. Uma vez que o regime regulamentar simplificado e adaptado não sujeita quem atue na qualidade de administradores de software de código-fonte aberto às mesmas obrigações a que está sujeito quem atue como fabricante ao abrigo do presente regulamento, não lhes deverá ser autorizada a aposição da marcação CE nos produtos com elementos digitais cujo desenvolvimento apoiam.

(20)

O simples ato de alojar produto com elementos digitais em repositórios abertos, designadamente através de gestores de pacotes ou em plataformas de colaboração, não constitui, por si só, a disponibilização no mercado de um produto com elementos digitais. Os prestadores destes serviços só deverão ser considerados distribuidores se disponibilizarem tal software no mercado e, portanto, o fornecerem para distribuição ou utilização no mercado da União no âmbito de uma atividade comercial.

(21)

Com vista a apoiar e facilitar o cumprimento da diligência devida dos fabricantes que integrem nos seus produtos com elementos digitais componentes de software livre e de código-fonte aberto que não estejam sujeitos aos requisitos essenciais de cibersegurança previstos no presente regulamento, a Comissão deverá poder estabelecer programas voluntários de certificação de segurança, quer através de um ato delegado que complete o presente regulamento, quer solicitando um sistema europeu de certificação da cibersegurança nos termos do artigo 48.o do Regulamento (UE) 2019/881 que tenha em conta as especificidades dos modelos de desenvolvimento de software livre e de código-fonte aberto. Os programas de certificação de segurança deverão ser concebidos de modo que não só as pessoas singulares ou coletivas que desenvolvam ou contribuam para o desenvolvimento de um produto com elementos digitais considerados software livre e de código-fonte aberto possam iniciar ou financiar uma certificação de segurança, mas também terceiros, como os fabricantes que integram esses produtos nos seus próprios produtos com elementos digitais, utilizadores ou administrações públicas nacionais e da União.

(22)

À luz dos objetivos de cibersegurança pública do presente regulamento e a fim de melhorar o conhecimento da situação dos Estados-Membros no tocante à dependência da União em relação a componentes de software e, em especial, a componentes de software potencialmente livres e de código-fonte aberto, um grupo de cooperação administrativa (ADCO) específico criado pelo presente regulamento deverá poder decidir realizar conjuntamente uma avaliação da dependência da União. As autoridades de fiscalização do mercado deverão poder solicitar aos fabricantes de categorias de produtos com elementos digitais estabelecidas pelo ADCO que apresentem as listas de materiais do software (LMS) que estabeleceram nos termos do presente regulamento. A fim de proteger a confidencialidade das LMS, as autoridades de fiscalização do mercado deverão apresentar ao ADCO informações pertinentes sobre dependências, de forma anonimizada e agregada.

(23)

A eficácia da aplicação do presente regulamento dependerá igualmente da disponibilidade de competências adequadas em matéria de cibersegurança. Ao nível da União, diversos documentos programáticos e políticos, incluindo a Comunicação da Comissão, de 18 de abril de 2023, intitulada «Colmatar o défice de talentos no domínio da cibersegurança para reforçar a competitividade, o crescimento e a resiliência da UE» e as Conclusões do Conselho de 22 de maio de 2023 sobre a política de ciberdefesa da UE, reconheceram o défice de competências existente na União em matéria de cibersegurança e a necessidade de dar resposta a esses desafios com caráter prioritário, tanto no setor público como no privado. Visando garantir uma aplicação eficaz do presente regulamento, os Estados-Membros deverão assegurar a disponibilidade de recursos adequados para dotar de pessoal apropriado as autoridades de fiscalização do mercado e os organismos de avaliação da conformidade, para que possam desempenhar as suas funções, estabelecidas no presente regulamento. Essas medidas deverão reforçar a mobilidade da mão de obra no domínio da cibersegurança e os respetivos percursos profissionais. Deverão ainda contribuir para tornar a mão de obra no domínio da cibersegurança mais resiliente e inclusiva, também no tocante ao género. Os Estados-Membros deverão, por conseguinte, tomar medidas para assegurar que essas tarefas sejam desempenhadas por profissionais com formação adequada e as competências necessárias em matéria de cibersegurança. Do mesmo modo, os fabricantes deverão assegurar que o respetivo pessoal possua as competências necessárias para cumprir as obrigações que lhe incumbem por força do presente regulamento. Os Estados-Membros e a Comissão, em consonância com as suas prerrogativas e competências e com as atribuições específicas que lhes são conferidas pelo presente regulamento, deverão tomar medidas para apoiar os fabricantes, em especial as micro, pequenas e médias empresas, incluindo as empresas em fase de arranque, também em domínios como o desenvolvimento de competências, para efeitos do cumprimento das suas obrigações estabelecidas no presente regulamento. Adicionalmente, uma vez que a Diretiva (UE) 2022/2555 exige que os Estados-Membros adotem políticas que promovam e desenvolvam formação em cibersegurança e competências em matéria de cibersegurança no âmbito das suas estratégias nacionais de cibersegurança, os Estados-Membros também podem ponderar, ao adotar essas estratégias, se devem dar resposta às necessidades de competências de cibersegurança decorrentes do presente regulamento, incluindo as relacionadas com a requalificação e a melhoria de competências.

(24)

Uma internet segura é indispensável para o funcionamento das infraestruturas críticas e para a sociedade no seu conjunto. A Diretiva (UE) 2022/2555 visa garantir um elevado nível de cibersegurança aos serviços prestados por entidades essenciais e importantes a que se refere o artigo 3.o da mesma diretiva, incluindo os fornecedores de infraestruturas digitais que apoiam as funções essenciais da Internet aberta e asseguram o acesso à Internet e a prestação de serviços de Internet. Por conseguinte, é importante que os produtos com elementos digitais necessários para que os fornecedores de infraestruturas digitais garantam o funcionamento da Internet sejam desenvolvidos de forma segura e cumpram normas de segurança da Internet bem definidas. O presente regulamento, que se aplica a todos os produtos conectáveis de hardware e software, visa igualmente facilitar a conformidade dos fornecedores de infraestruturas digitais com os requisitos da cadeia de abastecimento previstos na Diretiva (UE) 2022/2555, garantindo que os produtos com elementos digitais que utilizam para a prestação dos seus serviços sejam desenvolvidos de forma segura, bem como o seu acesso a atualizações de segurança atempadas para esses produtos.

(25)

O Regulamento (UE) 2017/745 do Parlamento Europeu e do Conselho (9) estabelece regras relativas aos dispositivos médicos e o Regulamento (UE) 2017/746 do Parlamento Europeu e do Conselho (10) estabelece regras relativas aos dispositivos médicos para diagnóstico in vitro. Os referidos regulamentos abordam os riscos de cibersegurança e seguem abordagens específicas que também são contempladas no presente regulamento. Mais especificamente, os Regulamentos (UE) 2017/745 e (UE) 2017/746 estabelecem requisitos essenciais para os dispositivos médicos que funcionam através de um sistema eletrónico ou que constituem, por si mesmos, software. Os referidos regulamentos abrangem igualmente certos tipos de software não incorporado, bem como a abordagem de todo o ciclo de vida. Esses requisitos obrigam os fabricantes a desenvolver e construir os seus produtos aplicando princípios de gestão dos riscos e estabelecendo requisitos de segurança informática, bem como os correspondentes procedimentos de avaliação da conformidade. Além disso, desde dezembro de 2019, existem diretrizes específicas em matéria de cibersegurança dos dispositivos médicos, que fornecem aos fabricantes de dispositivos médicos, incluindo dispositivos para diagnóstico in vitro, orientações sobre a forma de cumprir todos os requisitos essenciais pertinentes previstos no anexo I desses regulamentos no que diz respeito à cibersegurança. Os produtos com elementos digitais a que se aplique qualquer um desses regulamentos não deverão, por conseguinte, ser abrangidos pelo presente regulamento.

(26)

Não são abrangidos pelo âmbito de aplicação do presente regulamento os produtos com elementos digitais desenvolvidos ou modificados exclusivamente para fins de defesa ou de segurança nacional que tenham sido especificamente concebidos para o tratamento de informações classificadas. Os Estados-Membros são incentivados a assegurar um nível de proteção para esses produtos igual ou superior ao dos que se inserem no âmbito de aplicação do presente regulamento.

(27)

O Regulamento (UE) 2019/2144 do Parlamento Europeu e do Conselho (11) estabelece requisitos de homologação de veículos e dos seus sistemas e componentes, introduzindo determinados requisitos de cibersegurança, nomeadamente no que respeita ao funcionamento de um sistema de gestão da cibersegurança certificado e às atualizações de software, abrangendo políticas e processos das organizações em matéria de riscos de cibersegurança relacionados com todo o ciclo de vida dos veículos, equipamentos e serviços, em conformidade com os regulamentos das Nações Unidas aplicáveis em matéria de especificações técnicas e cibersegurança, nomeadamente o Regulamento n.o 155 da ONU — Prescrições uniformes relativas à homologação de veículos no que diz respeito à cibersegurança e ao sistema de gestão da cibersegurança (12), e prevendo procedimentos específicos de avaliação da conformidade. No domínio da aviação, o Regulamento (UE) 2018/1139 do Parlamento Europeu e do Conselho (13) tem como objetivo principal estabelecer e manter um nível elevado e uniforme de segurança da aviação civil na União. Cria um regime para os requisitos essenciais de aeronavegabilidade dos produtos, peças e equipamentos aeronáuticos, incluindo o software, que abrange as obrigações de proteção contra ameaças à segurança da informação. O processo de certificação previsto no Regulamento (UE) 2018/1139 assegura o nível de garantia visado no presente regulamento. Os produtos com elementos digitais aos quais se aplica o Regulamento (UE) 2019/2144 e os produtos certificados em conformidade com o Regulamento (UE) 2018/1139 não deverão estar, por conseguinte, sujeitos aos requisitos essenciais de cibersegurança e aos procedimentos de avaliação da conformidade estabelecidos no presente regulamento.

(28)

O presente regulamento estabelece regras horizontais em matéria de cibersegurança que não se aplicam especificamente a setores ou a determinados produtos com elementos digitais. No entanto, poderão ser introduzidas regras da União setoriais ou específicas para determinados produtos, que estabeleçam requisitos que abranjam a totalidade ou parte dos riscos contemplados nos requisitos essenciais de cibersegurança previstos no presente regulamento. Em tais casos, a aplicação do presente regulamento a produtos com elementos digitais abrangidos por outras regras da União, que estabeleçam requisitos que tenham em conta a totalidade ou parte dos riscos contemplados pelos requisitos essenciais de cibersegurança estabelecidos no presente regulamento, pode ser limitada ou excluída se essa limitação ou exclusão for coerente com o regime regulamentar global aplicável a esses produtos e se as regras setoriais permitirem alcançar pelo menos o mesmo nível de proteção que o previsto no presente regulamento. A Comissão deverá ficar habilitada a adotar atos delegados para completar o presente regulamento, identificando os referidos produtos e regras. O presente regulamento prevê disposições específicas que clarificam a sua relação com o direito da União em vigor que implique a aplicação dessa limitação ou exclusão.

(29)

A fim de garantir que os produtos com elementos digitais disponibilizados no mercado possam ser reparados eficazmente e que a sua durabilidade seja alargada, deverá ser prevista uma isenção para as peças sobresselentes. Essa isenção deverá cobrir as peças sobresselentes destinadas a reparar produtos antigos, disponibilizados antes da data de aplicação do presente regulamento, bem como as peças sobresselentes que já tenham sido sujeitas a um procedimento de avaliação da conformidade nos termos do presente regulamento.

(30)

O Regulamento Delegado (UE) 2022/30 da Comissão (14) especifica que alguns requisitos essenciais estabelecidos no artigo 3.o, n.o 3, alíneas d), e) e f), da Diretiva 2014/53/UE do Parlamento Europeu e do Conselho (15), referentes a danos na rede e utilização inadequada dos recursos da rede, dados pessoais e privacidade e fraude, se aplicam a determinados equipamentos de rádio. A Decisão de Execução C(2022)5637 da Comissão, de 5 de agosto de 2022, relativa a um pedido de normalização ao Comité Europeu de Normalização e ao Comité Europeu de Normalização Eletrotécnica estabelece requisitos para o desenvolvimento de normas específicas que definam melhor a forma como esses requisitos essenciais deverão ser tratados. Os requisitos essenciais de cibersegurança previstos no presente regulamento incluem todos os elementos dos requisitos essenciais referidos no artigo 3.o, n.o 3, alíneas d), e) e f), da Diretiva 2014/53/UE. Adicionalmente, os requisitos essenciais de cibersegurança previstos no presente regulamento harmonizam-se com os objetivos dos requisitos para a elaboração de normas específicas incluídos nesse pedido de normalização. Por conseguinte, quando a Comissão revogar ou alterar o Regulamento Delegado (UE) 2022/30 e, consequentemente, este deixar de se aplicar a determinados produtos abrangidos pelo presente regulamento, a Comissão e as organizações europeias de normalização deverão ter em conta o trabalho de normalização realizado no contexto da Decisão de Execução C(2022)5637 na elaboração e no desenvolvimento de normas harmonizadas para facilitar a aplicação do presente regulamento. Durante o período de transição para aplicação do presente regulamento, a Comissão deverá fornecer orientações aos fabricantes abrangidos pelo presente regulamento que estejam igualmente sujeitos ao Regulamento Delegado (UE) 2022/30, para facilitar a demonstração da conformidade com ambos os regulamentos.

(31)

A Diretiva (UE) 2024/2853 do Parlamento Europeu e do Conselho (16) complementa o presente regulamento. Essa diretiva estabelece regras em matéria de responsabilidade decorrente de produtos defeituosos de modo que as pessoas lesadas possam exigir uma indemnização quando um dano tiver sido causado por produtos defeituosos. Estabelece o princípio de que o fabricante de um produto é responsável pelos danos causados pela falta de segurança do seu produto, independentemente da existência de culpa (responsabilidade objetiva). Sempre que uma tal ausência de segurança consistir numa falta de atualizações de segurança após a colocação do produto no mercado e esta cause danos, a responsabilidade do fabricante poderá ser acionada. As obrigações dos fabricantes que digam respeito ao fornecimento dessas atualizações de segurança deverão ser estabelecidas no presente regulamento.

(32)

O presente regulamento não deverá prejudicar o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (17), incluindo as disposições relacionadas com o estabelecimento de procedimentos de certificação em matéria de proteção de dados e de selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de responsáveis pelo tratamento e subcontratantes com o referido regulamento. Tais operações poderão ser incorporadas num produto com elementos digitais. A proteção de dados desde a conceção e por defeito, bem como a cibersegurança em geral, são elementos fundamentais do Regulamento (UE) 2016/679. Ao proteger os consumidores e as organizações contra os riscos de cibersegurança, os requisitos essenciais de cibersegurança estabelecidos no presente regulamento devem também contribuir para reforçar a proteção dos dados pessoais e da privacidade das pessoas. Importa ponderar o desenvolvimento de sinergias, tanto em matéria de normalização como de certificação dos aspetos de cibersegurança, através da cooperação entre a Comissão, as organizações europeias de normalização, a Agência da União Europeia para a Cibersegurança (ENISA), o Comité Europeu para a Proteção de Dados, criado pelo Regulamento (UE) 2016/679, e as autoridades nacionais de controlo da proteção de dados. Deverão também ser criadas sinergias entre o presente regulamento e a legislação da União em matéria de proteção de dados no domínio da fiscalização do mercado e da execução. Para o efeito, as autoridades nacionais de fiscalização do mercado designadas ao abrigo do presente regulamento deverão cooperar com as autoridades responsáveis pela supervisão da aplicação da legislação da União em matéria de proteção de dados. Estas últimas deverão igualmente ter acesso às informações pertinentes para o desempenho das suas funções.

(33)

Na medida em que os seus produtos sejam abrangidos pelo âmbito de aplicação do presente regulamento, os fornecedores de carteiras europeias de identidade digital a que se refere o artigo 5.o-A, n.o 2, do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho (18), deverão cumprir os requisitos essenciais horizontais de cibersegurança previstos no presente regulamento e os requisitos de segurança específicos previstos no artigo 5.o-A do Regulamento (UE) n.o 910/2014. A fim de facilitar o cumprimento, os fornecedores de carteiras digitais deverão poder demonstrar a conformidade das carteiras europeias de identidade digital com os requisitos estabelecidos no presente regulamento e no Regulamento (UE) n.o 910/2014, respetivamente, certificando os seus produtos no âmbito de um sistema europeu de certificação da cibersegurança criado nos termos do Regulamento (UE) 2019/881 e relativamente ao qual a Comissão tenha especificado, por meio de atos delegados, uma presunção de conformidade com o presente regulamento, contanto que o certificado, ou partes do mesmo, abranja esses requisitos.

(34)

Ao integrarem componentes provenientes de terceiros em produtos com elementos digitais durante a fase de conceção e desenvolvimento, os fabricantes deverão, no intuito de assegurar que os produtos sejam concebidos, desenvolvidos e produzidos em conformidade com os requisitos essenciais de cibersegurança previstos no presente regulamento, exercer a diligência devida no que diz respeito a esses componentes, incluindo componentes de software livre e de código-fonte aberto que não tenham sido disponibilizados no mercado. O nível adequado de diligência devida depende da natureza e do nível de risco de cibersegurança associado a um determinado componente e deverá, para o efeito, ter em conta uma ou mais das seguintes ações: verificar, consoante o caso, se o fabricante de um componente demonstrou a conformidade com o disposto no presente regulamento, nomeadamente confirmando se o componente já ostenta a marcação CE; verificar se um componente recebe atualizações de segurança regulares, por exemplo, através da confirmação do seu historial de atualizações de segurança; verificar se um componente está isento de vulnerabilidades registadas na base de dados europeia de vulnerabilidades, criada nos termos do artigo 12.o, n.o 2, da Diretiva (UE) 2022/2555, ou noutras bases de dados de vulnerabilidades acessíveis ao público; ou realizar testes de segurança adicionais. As obrigações em matéria de tratamento de vulnerabilidades estabelecidas no presente regulamento, que os fabricantes têm de cumprir quando colocam um produto com elementos digitais no mercado e durante o período de apoio, aplicam-se aos produtos com elementos digitais na sua totalidade, incluindo todos os componentes integrados. Se, no exercício da diligência devida, o fabricante do produto com elementos digitais identificar uma vulnerabilidade num componente, incluindo num componente livre e de código-fonte aberto, deverá informar a pessoa ou entidade responsável pelo fabrico ou pela manutenção do componente, analisar e corrigir a vulnerabilidade e, se for caso disso, disponibilizar a essa pessoa ou entidade a solução de segurança aplicada.

(35)

Imediatamente após o período de transição para a aplicação do presente regulamento, o fabricante de um produto com elementos digitais que integre um ou vários componentes provenientes de terceiros que também estejam sujeitos ao presente regulamento pode não conseguir verificar, no âmbito da sua obrigação de diligência devida, se os fabricantes desses componentes demonstraram a conformidade com o disposto no presente regulamento, verificando, por exemplo, se os componentes já ostentam a marcação CE. Pode ser o caso se os componentes tiverem sido integrados antes de o presente regulamento se tornar aplicável aos fabricantes desses componentes. Nesse caso, o fabricante que integre esses componentes deverá exercer a diligência devida por outros meios.

(36)

Para que possam circular livremente dentro do mercado interno, os produtos com elementos digitais deverão apresentar a marcação CE para indicar de modo visível, legível e indelével o cumprimento do presente regulamento. Os Estados-Membros não podem criar obstáculos injustificados à colocação no mercado de produtos com elementos digitais que cumpram os requisitos previstos no presente regulamento e apresentem a marcação CE. Ademais, em feiras comerciais, exposições e demonstrações ou eventos semelhantes, os Estados-Membros não deverão impedir a apresentação ou utilização de um produto com elementos digitais que não cumpra o disposto no presente regulamento, designadamente dos seus protótipos, contanto que seja apresentado com um sinal visível que indique nitidamente que o produto não cumpre o disposto no presente regulamento e que não deve ser disponibilizado no mercado até que o cumpra.

(37)

A fim de assegurar que os fabricantes possam lançar software para fins de ensaio antes de submeterem os seus produtos com elementos digitais a uma avaliação da conformidade, os Estados-Membros não deverão impedir a disponibilização de software inacabado, como versões alfa, versões beta ou candidatos a lançamento, contanto que a versão inacabada seja disponibilizada só durante o tempo necessário para testá-la e recolher opiniões. Os fabricantes deverão assegurar que o software disponibilizado nessas condições seja lançado só na sequência de uma avaliação dos riscos e que cumpra, na medida do possível, os requisitos de segurança relativos às propriedades dos produtos com elementos digitais estipulados pelo presente regulamento. Os fabricantes deverão também aplicar, na medida do possível, os requisitos de tratamento das vulnerabilidades. Os fabricantes não deverão obrigar os utilizadores à atualização para versões lançadas apenas para fins de ensaio.

(38)

A fim de assegurar que, uma vez colocados no mercado, os produtos com elementos digitais não acarretem riscos de cibersegurança para as pessoas e as organizações, deverão ser estabelecidos requisitos essenciais de cibersegurança para esses produtos. Esses requisitos essenciais de cibersegurança, incluindo os requisitos de gestão do tratamento de vulnerabilidades, aplicam-se a cada produto individual com elementos digitais quando for colocado no mercado, independentemente de o produto com elementos digitais ser fabricado como uma unidade individual ou em série. Por exemplo, para um tipo de produto, cada produto individual com elementos digitais deverá ter recebido todas as atualizações corretivas de segurança ou outras atualizações disponíveis para resolver os problemas de segurança pertinentes aquando da sua colocação no mercado. Se os produtos com elementos digitais forem subsequentemente modificados, através de meios físicos ou digitais, de uma forma que não esteja prevista pelo fabricante na avaliação dos riscos inicial e que possa implicar que deixem de cumprir os requisitos essenciais de cibersegurança pertinentes, a modificação deverá ser considerada substancial. Por exemplo, as reparações podem ser equiparadas a operações de manutenção, desde que não modifiquem um produto com elementos digitais já colocado no mercado de tal maneira que possam afetar a conformidade com os requisitos aplicáveis ou alterar a finalidade prevista para a qual o produto foi avaliado.

(39)

Tal como acontece com as reparações ou modificações físicas, um produto com elementos digitais deverá ser considerado substancialmente modificado por uma alteração do software quando a atualização do software modificar a finalidade prevista desse produto e essas alterações não tiverem sido previstas pelo fabricante na avaliação dos riscos inicial, ou quando a natureza do perigo se tiver alterado, ou quando o nível de risco de cibersegurança tiver aumentado devido à atualização do software, e a versão atualizada do produto seja disponibilizada no mercado. Uma atualização de segurança concebida para reduzir o nível de risco de cibersegurança de um produto com elementos digitais, que não altere a finalidade prevista de um produto com elementos digitais, não é considerada uma modificação substancial. Tal inclui, geralmente, situações em que a atualização de segurança implica apenas pequenos ajustamentos do código-fonte. Por exemplo, pode ser esse o caso quando uma atualização de segurança resolve uma vulnerabilidade conhecida, nomeadamente através da modificação de funções ou do desempenho de um produto com elementos digitais com o único objetivo de reduzir o nível de risco de cibersegurança. De igual modo, uma atualização menor de funcionalidades, tal como melhorias visuais ou a introdução de novos pictogramas ou de novas línguas na interface do utilizador, não deverá, em geral, ser considerada uma modificação substancial. Em contrapartida, sempre que uma atualização de características modifique as funções inicialmente previstas ou o tipo ou desempenho de um produto com elementos digitais e cumpra os critérios acima referidos, deverá ser considerada uma modificação substancial, uma vez que a adição de novas características conduz, normalmente, a uma superfície de ataque mais ampla, aumentando, assim, o risco de cibersegurança. Por exemplo, pode ser esse o caso quando é aditado um novo elemento de entrada a uma aplicação, exigindo que o fabricante assegure uma validação adequada da entrada de dados. Ao avaliar se uma atualização de uma característica é considerada uma modificação substancial, não é relevante saber se é apresentada como uma atualização separada ou em combinação com uma atualização de segurança. A Comissão deverá emitir orientações sobre a forma de determinar o que constitui uma modificação substancial.

(40)

Tendo em conta a natureza iterativa do desenvolvimento de software, os fabricantes que tenham colocado no mercado versões subsequentes de um produto de software em resultado de uma modificação substancial subsequente desse produto deverão poder fornecer atualizações de segurança durante o período de apoio apenas para a versão do produto de software que tenham colocado no mercado pela última vez. Só deverão poder fazê-lo se os utilizadores das versões anteriores do produto em causa tiverem acesso gratuito à versão do produto colocada no mercado pela última vez e não incorrerem em custos adicionais para ajustar o ambiente de hardware ou de software em que operam o produto. Por exemplo, pode ser esse o caso quando uma atualização do sistema operativo de secretária não exige equipamento informático novo, como uma unidade central de processamento mais rápida ou mais memória. No entanto, o fabricante deverá continuar a cumprir, durante o período de apoio, outros requisitos de tratamento de vulnerabilidades, tais como a existência de uma política de divulgação coordenada de vulnerabilidades ou de medidas para facilitar a partilha de informações sobre potenciais vulnerabilidades em todas as versões substancialmente modificadas subsequentes do produto de software colocado no mercado. Os fabricantes deverão poder fornecer pequenas atualizações de segurança ou funcionalidades que não constituam uma modificação substancial apenas para a versão ou subversão mais recente de um produto de software que não tenha sido substancialmente modificado. Ao mesmo tempo, se um produto de hardware, como um telemóvel inteligente, não for compatível com a última versão do sistema operativo com que foi originalmente entregue, o fabricante deverá continuar a fornecer atualizações de segurança pelo menos para a última versão compatível do sistema operativo durante o período de apoio.

(41)

Em consonância com a noção comummente estabelecida de modificação substancial de produtos regulamentados pela legislação de harmonização da União, sempre que ocorra uma modificação substancial que possa afetar a conformidade de um produto com elementos digitais com o presente regulamento ou quando a finalidade prevista desse produto se altere, é conveniente verificar a conformidade do produto com elementos digitais e, se for caso disso, submetê-lo a uma nova avaliação da conformidade. Se aplicável, caso o fabricante proceda a uma avaliação da conformidade que envolva terceiros, deverá notificar-lhes as alterações que possam conduzir a modificações substanciais.

(42)

Se um produto com elementos digitais for objeto de «recondicionamento», «manutenção» e «reparação» na aceção do artigo 2.o, pontos 18, 19 e 20, do Regulamento (UE) 2024/1781 do Parlamento Europeu e do Conselho (19), tal não conduz necessariamente a uma modificação substancial do produto se, por exemplo, a finalidade e as funcionalidades previstas não forem alteradas e o nível de risco não for afetado. No entanto, a atualização de um produto com elemento digitais pelo fabricante pode conduzir a alterações na conceção e no desenvolvimento desse produto e, por conseguinte, afetar a sua finalidade prevista e a sua conformidade com os requisitos estabelecidos no presente regulamento.

(43)

Os produtos com elementos digitais deverão ser considerados importantes se o impacto negativo da exploração de potenciais vulnerabilidades de cibersegurança no produto for potencialmente grave devido, entre outras razões, à funcionalidade relacionada com a cibersegurança ou a uma função que implique um risco significativo de efeitos adversos quanto à sua intensidade e capacidade para perturbar, controlar ou causar danos a vários outros produtos com elementos digitais ou à saúde, segurança ou proteção dos seus utilizadores através de manipulação direta, como uma função central do sistema, incluindo a gestão de redes, o controlo das configurações, a virtualização ou o tratamento de dados pessoais. Em especial, as vulnerabilidades de produtos com elementos digitais com uma funcionalidade relacionada com a cibersegurança, como elementos seguros, por exemplo, podem conduzir a uma multiplicação dos problemas de segurança em toda a cadeia de abastecimento. A gravidade do impacto de um incidente pode também aumentar quando o produto desempenha essencialmente uma função do sistema central, incluindo a gestão de redes, o controlo das configurações, a virtualização ou o tratamento de dados pessoais.

(44)

Determinadas categorias de produtos críticos com elementos digitais deverão ser objeto de procedimentos de avaliação da conformidade mais rigorosos, sem deixar de manter uma abordagem proporcionada. Para o efeito, os produtos importantes com elementos digitais deverão ser divididos em duas classes que reflitam o nível de risco de cibersegurança associado a estas categorias de produtos. Um potencial ciberincidente que envolva produtos importantes com elementos digitais da classe II pode ter impactos negativos mais graves do que um incidente que envolva produtos importantes com elementos digitais da classe I devido, por exemplo, à natureza da sua função relacionada com a cibersegurança ou ao desempenho de outra função que comporte um risco significativo de efeitos adversos. Como indicação desses impactos negativos mais graves, os produtos com elementos digitais da classe II podem desempenhar uma funcionalidade relacionada com a cibersegurança ou outra função que comporte um risco significativo de efeitos adversos mais elevados do que os enumerados na classe I, ou cumprir ambos os critérios acima referidos. Os produtos importantes com elementos digitais da classe II deverão, por conseguinte, ser objeto de um procedimento de avaliação da conformidade mais rigoroso.

(45)

Os produtos importantes com elementos digitais referidos no presente regulamento deverão ser entendidos como os produtos cuja funcionalidade principal é a de uma categoria de produtos importantes com elementos digitais estabelecida no presente regulamento. Por exemplo, o presente regulamento estabelece categorias de produtos importantes com elementos digitais que são definidas de acordo com a sua funcionalidade principal como barreiras de proteção ou sistemas de deteção ou prevenção de intrusões pertencentes à classe II. Consequentemente, as barreiras de proteção e os sistemas de deteção ou prevenção de intrusões estão sujeitos a uma avaliação obrigatória da conformidade por terceiros. Não é este o caso de outros produtos com elementos digitais não classificados como produtos importantes com elementos digitais que possam integrar barreiras de proteção ou sistemas de deteção ou prevenção de intrusões. A Comissão deverá adotar um ato de execução para especificar a descrição técnica das categorias de produtos importantes com elementos digitais abrangidas pelas classes I e II estabelecidas no presente regulamento.

(46)

As categorias de produtos críticos com elementos digitais estabelecidas no presente regulamento têm uma funcionalidade relacionada com a cibersegurança e desempenham uma função que comporta um risco significativo de efeitos adversos em termos da sua intensidade e capacidade para perturbar, controlar ou causar dano a um grande número de outros produtos com elementos digitais através de manipulação direta. Além disso, essas categorias de produtos com elementos digitais são consideradas dependências críticas para as entidades essenciais a que se refere o artigo 3.o, n.o 1, da Diretiva (UE) 2022/2555. As categorias de produtos críticos com elementos digitais estabelecidas num anexo do presente regulamento, devido à sua importância crítica, já utilizam amplamente várias formas de certificação e estão também abrangidas pelo sistema europeu de certificação da cibersegurança baseado em critérios comuns (EUCC) estabelecido no Regulamento de Execução (UE) 2024/482 da Comissão (20). Por conseguinte, a fim de assegurar uma adequada proteção comum da cibersegurança dos produtos críticos com elementos digitais na União, pode ser adequado e proporcionado sujeitar essas categorias de produtos, por meio de um ato delegado, à certificação europeia obrigatória da cibersegurança, caso já esteja em vigor um sistema europeu de certificação da cibersegurança pertinente que abranja esses produtos e tenha sido realizada pela Comissão uma avaliação do potencial impacto no mercado da certificação obrigatória prevista. Essa avaliação deverá ter em conta tanto o lado da oferta como o da procura, incluindo a questão de saber se existe procura suficiente dos produtos com elementos digitais em causa, tanto pelos Estados-Membros como pelos utilizadores, para que seja exigida a certificação europeia da cibersegurança, bem como as finalidades para as quais os produtos com elementos digitais se destinam a ser utilizados, incluindo as dependências críticas, relativamente aos mesmos, por parte das entidades essenciais a que se refere o artigo 3.o, n.o 1, da Diretiva (UE) 2022/2555. A avaliação deverá também analisar os potenciais efeitos da certificação obrigatória sobre a disponibilidade desses produtos no mercado interno e as capacidades e o estado de preparação dos Estados-Membros para a aplicação dos sistemas europeus de certificação da cibersegurança pertinentes.

(47)

Os atos delegados que exijam uma certificação europeia obrigatória da cibersegurança deverão determinar os produtos com elementos digitais que têm a funcionalidade principal de uma categoria de produtos críticos com elementos digitais estabelecida no presente regulamento que devem ser sujeitos a certificação obrigatória, bem como o nível de garantia exigido, que deverá ser, pelo menos, «substancial». O nível de garantia exigido deverá ser proporcional ao nível de risco de cibersegurança associado ao produto com elementos digitais. Por exemplo, se o produto com elementos digitais tiver a funcionalidade principal de uma categoria de produtos críticos com elementos digitais estabelecida no presente regulamento e se destinar a ser utilizado num ambiente sensível ou crítico, como os produtos destinados à utilização por parte das entidades essenciais a que se refere o artigo 3.o, n.o 1, da Diretiva (UE) 2022/2555, pode exigir o nível de garantia mais elevado.

(48)

A fim de assegurar uma adequada proteção comum da cibersegurança na União dos produtos com elementos digitais que tenham a funcionalidade principal de uma categoria de produtos críticos com elementos digitais estabelecida no presente regulamento, a Comissão deverá também ficar habilitada a adotar atos delegados para alterar o presente regulamento, acrescentando ou retirando categorias de produtos críticos com elementos digitais para as quais os fabricantes possam ser obrigados a obter um certificado europeu de cibersegurança, ao abrigo de um sistema europeu de certificação da cibersegurança, nos termos do Regulamento (UE) 2019/881, a fim de demonstrar a conformidade com o presente regulamento. Pode ser acrescentada uma nova categoria de produtos críticos com elementos digitais a essas categorias se existir uma dependência crítica em relação aos mesmos por parte das entidades essenciais a que se refere o artigo 3.o, n.o 1, da Diretiva (UE) 2022/2555 ou, se forem afetados por incidentes ou quando contiverem vulnerabilidades exploradas, tal pode conduzir a perturbações em cadeias de abastecimento críticas. Ao avaliar a necessidade de acrescentar ou retirar categorias de produtos críticos com elementos digitais por meio de um ato delegado, a Comissão deverá poder ter em conta se os Estados-Membros identificaram, a nível nacional, os produtos com elementos digitais que têm um papel crítico para a resiliência das entidades essenciais a que se refere o artigo 3.o, n.o 1, da Diretiva (UE) 2022/2555 e que enfrentam cada vez mais ciberataques na cadeia de abastecimento, com potenciais efeitos perturbadores graves. Além disso, a Comissão deverá poder ter em conta os resultados da avaliação coordenada dos riscos de segurança das cadeias de abastecimento críticas a nível da União, realizada em conformidade com o artigo 22.o da Diretiva (UE) 2022/2555.

(49)

A Comissão deverá assegurar que um vasto leque de partes interessadas pertinentes seja consultado de forma estruturada e regular quando da preparação das medidas de execução do presente regulamento. Tal deverá ser o caso, em especial, sempre que a Comissão avalie a necessidade de eventuais atualizações das listas de categorias de produtos importantes ou críticos com elementos digitais, sempre que os fabricantes pertinentes devam ser consultados e os seus pontos de vista tidos em conta para analisar os riscos de cibersegurança, bem como o equilíbrio entre os custos e os benefícios da designação dessas categorias de produtos como importantes ou críticos.

(50)

O presente regulamento aborda os riscos de cibersegurança de forma direcionada. No entanto, os produtos com elementos digitais podem apresentar outros riscos para a segurança que não estejam sempre relacionados com a cibersegurança, mas que possam ser consequência de uma violação da segurança. Esses riscos deverão continuar a ser regulamentados por outra legislação de harmonização da União pertinente distinta do presente regulamento. Se não for aplicável outra legislação de harmonização da União distinta do presente regulamento, deverão estar sujeitos ao Regulamento (UE) 2023/988 do Parlamento Europeu e do Conselho (21). Por conseguinte, tendo em conta a natureza específica do presente regulamento, em derrogação do artigo 2.o, n.o 1, terceiro parágrafo, alínea b), do Regulamento (UE) 2023/988, o capítulo III, secção 1, os capítulos V e VII e os capítulos IX a XI do Regulamento (UE) 2023/988 deverão aplicar-se aos produtos com elementos digitais no que diz respeito aos riscos de segurança não abrangidos pelo presente regulamento, se esses produtos não estiverem sujeitos a requisitos específicos impostos por outra legislação de harmonização da União distinta do presente regulamento, na aceção do artigo 3.o, ponto 27, do Regulamento (UE) 2023/988.

(51)

Os produtos com elementos digitais classificados como sistemas de IA de risco elevado nos termos do artigo 6.o do Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho (22) abrangidos pelo âmbito de aplicação do presente regulamento deverão cumprir os requisitos essenciais de cibersegurança estabelecidos no presente regulamento. Quando esses sistemas de IA de risco elevado cumprem os requisitos essenciais de cibersegurança do presente regulamento, deverão ser considerados conformes com os requisitos de cibersegurança estabelecidos no artigo 15.o do Regulamento (UE) 2024/1689 contanto que esses requisitos estejam abrangidos pela declaração de conformidade UE ou partes da mesma emitida ao abrigo do presente regulamento. Para esse efeito, a avaliação dos riscos de cibersegurança associados a um produto com elementos digitais classificado como um sistema de IA de risco elevado, nos termos do Regulamento (UE) 2024/1689, que será tida em conta durante as fases de planeamento, conceção, desenvolvimento, produção, entrega e manutenção desse produto, conforme exigido pelo presente regulamento, deverá ter em conta os riscos para a ciber-resiliência de um sistema de IA no que diz respeito às tentativas de terceiros não autorizados de alterar a sua utilização, comportamento ou desempenho, incluindo vulnerabilidades específicas da IA, como o envenenamento de dados ou ataques por agentes antagónicos, bem como, se for caso disso, os riscos para os direitos fundamentais, em conformidade com o Regulamento (UE) 2024/1689. No que diz respeito aos procedimentos de avaliação da conformidade relacionados com os requisitos essenciais de cibersegurança relativos a um produto com elementos digitais que seja abrangido pelo âmbito de aplicação do presente regulamento e classificado como um sistema de IA de risco elevado, as disposições pertinentes do artigo 43.o do Regulamento (UE) 2024/1689 deverão, em regra, aplicar-se em vez das disposições pertinentes do presente regulamento. No entanto, esta regra não deverá resultar na redução do nível de garantia necessário para os produtos críticos ou importantes com elementos digitais, tal como referidos no presente regulamento. Por conseguinte, em derrogação desta regra, os sistemas de IA de risco elevado abrangidos pelo âmbito de aplicação do Regulamento (UE) 2024/1689, também qualificados como produtos críticos ou importantes com elementos digitais, tal como referidos no presente regulamento, e aos quais se aplica o procedimento de avaliação da conformidade baseado no controlo interno referido no anexo VI do Regulamento (UE) 2024/1689 deverão ser sujeitos aos procedimentos previstos no presente regulamento em matéria de avaliação da conformidade, no que diz respeito aos requisitos essenciais de cibersegurança do presente regulamento. Neste caso, em relação aos demais aspetos abrangidos pelo Regulamento (UE) 2024/1689, deverão aplicar-se as disposições pertinentes em matéria de avaliação da conformidade com base no controlo interno estabelecidas no anexo VI desse regulamento.

(52)

Para melhorar a segurança dos produtos com elementos digitais colocados no mercado interno, é necessário estabelecer requisitos essenciais de cibersegurança aplicáveis a esses produtos. Esses requisitos essenciais de cibersegurança não deverão prejudicar as avaliações coordenadas dos riscos de segurança das cadeias de abastecimento críticas a nível da União previstas no artigo 22.o da Diretiva (UE) 2022/2555, que têm em conta fatores de risco técnicos e, se for caso disso, não técnicos, designadamente o exercício de influência indevida de um país terceiro sobre os fornecedores. Além disso, não deverão prejudicar as prerrogativas dos Estados-Membros de estabelecer requisitos adicionais que tenham em conta fatores não técnicos com a finalidade de assegurar um elevado nível de resiliência, incluindo os definidos na Recomendação (UE) 2019/534 da Comissão (23), na avaliação coordenada dos riscos de cibersegurança das redes 5G da UE e no conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G acordado pelo grupo de cooperação, criado nos termos do artigo 14.o da Diretiva (UE) 2022/2555.

(53)

Os fabricantes de produtos abrangidos pelo âmbito de aplicação do Regulamento (UE) 2023/1230 do Parlamento Europeu e do Conselho (24) que sejam também produtos com elementos digitais na aceção do presente regulamento deverão cumprir tanto os requisitos essenciais de cibersegurança estabelecidos no presente regulamento como os requisitos essenciais de saúde e segurança estabelecidos no Regulamento (UE) 2023/1230. Os requisitos essenciais de cibersegurança estabelecidos no presente regulamento e determinados requisitos essenciais previstos no Regulamento (UE) 2023/1230 podem dar resposta a riscos de cibersegurança semelhantes. Por conseguinte, a conformidade com os requisitos essenciais de cibersegurança estabelecidos no presente regulamento pode facilitar o cumprimento dos requisitos essenciais que também abrangem determinados riscos de cibersegurança, tal como estabelecidos no Regulamento (UE) 2023/1230, em especial os relativos à proteção contra a corrupção e à segurança e fiabilidade dos sistemas de comando estabelecidos nas secções 1.1.9 e 1.2.1 do anexo III do referido regulamento. Essas sinergias têm de ser demonstradas pelo fabricante, por exemplo, aplicando, quando disponíveis, normas harmonizadas ou outras especificações técnicas que abranjam os requisitos essenciais de cibersegurança pertinentes na sequência de uma avaliação dos riscos que abranja esses riscos de cibersegurança. O fabricante deverá igualmente seguir os procedimentos de avaliação da conformidade aplicáveis, estabelecidos no presente regulamento e no Regulamento (UE) 2023/1230. A Comissão e as organizações europeias de normalização, nos trabalhos preparatórios de apoio à aplicação do presente regulamento e do Regulamento (UE) 2023/1230 e dos processos de normalização conexos, deverão promover a coerência na forma como os riscos de cibersegurança devem ser avaliados e na forma como esses riscos devem ser abrangidos por normas harmonizadas no que diz respeito aos requisitos essenciais pertinentes. Em especial, a Comissão e as organizações europeias de normalização deverão ter em conta o presente regulamento na preparação e elaboração de normas harmonizadas para facilitar a aplicação do Regulamento (UE) 2023/1230 no que diz respeito, em especial, aos aspetos de cibersegurança relacionados com a proteção contra a corrupção e a segurança e fiabilidade dos sistemas de comando estabelecidos nas secções 1.1.9 e 1.2.1 do anexo III do referido regulamento. A Comissão deverá fornecer orientações para apoiar os fabricantes abrangidos pelo presente regulamento que estejam igualmente sujeitos ao Regulamento (UE) 2023/1230, em especial para facilitar a demonstração da conformidade com os requisitos essenciais pertinentes estabelecidos no presente regulamento e no Regulamento (UE) 2023/1230.

(54)

A fim de garantir a segurança dos produtos com elementos digitais tanto no momento da sua colocação no mercado como durante o período de utilização prevista do produto com elementos digitais, é necessário estabelecer requisitos essenciais para o tratamento de vulnerabilidades, bem como requisitos essenciais de cibersegurança relativos às propriedades dos produtos com elementos digitais. Embora devam cumprir todos os requisitos essenciais de cibersegurança relativos ao tratamento de vulnerabilidades ao longo do período de apoio, os fabricantes deverão determinar que outros requisitos essenciais de cibersegurança relativos às propriedades do produto são relevantes para o tipo de produto com elementos digitais em causa. Para o efeito, os fabricantes deverão realizar uma avaliação dos riscos de cibersegurança associados a um produto com elementos digitais, a fim de identificar os riscos e os requisitos essenciais de cibersegurança pertinentes, de disponibilizar os respetivos produtos com elementos digitais sem quaisquer vulnerabilidades passiveis de ser exploradas conhecidas que possam ter um impacto na segurança desses produtos e de aplicar de forma correta normas harmonizadas, especificações comuns ou normas europeias ou internacionais adequadas.

(55)

Sempre que determinados requisitos essenciais de cibersegurança não sejam aplicáveis a um produto com elementos digitais, o fabricante deverá incluir uma justificação clara na avaliação dos riscos de cibersegurança incluída na documentação técnica. Tal pode ser o caso quando um requisito essencial de cibersegurança é incompatível com a natureza de um produto com elementos digitais. Por exemplo, a finalidade prevista de um produto com elementos digitais pode exigir que o fabricante siga normas de interoperabilidade amplamente reconhecidas, mesmo que os seus elementos de segurança deixem de ser considerados de ponta. De igual modo, outra legislação da União exige que os fabricantes apliquem requisitos de interoperabilidade específicos. Caso um requisito essencial de cibersegurança não seja aplicável a um produto com elementos digitais, mas o fabricante tenha identificado riscos de cibersegurança relacionados com esse requisito essencial de cibersegurança, deverá tomar medidas para fazer face a esses riscos por outros meios, por exemplo, limitando a finalidade prevista do produto a ambientes de confiança ou informando os utilizadores sobre esses riscos.

(56)

Uma das medidas mais importantes a tomar pelos utilizadores para proteger os seus produtos com elementos digitais de ciberataques é instalar as mais recentes atualizações de segurança disponíveis com a maior brevidade possível. Os fabricantes deverão, por conseguinte, conceber os seus produtos e criar processos para assegurar que os produtos com elementos digitais incluam funções que permitam a notificação, a distribuição, o descarregamento e a instalação de atualizações de segurança de forma automática, em especial no caso dos produtos de consumo. Deverão também prever a possibilidade de se aprovar o descarregamento e a instalação das atualizações de segurança como etapa final. Os utilizadores deverão manter a capacidade de desativar as atualizações automáticas, através de um mecanismo claro e de fácil utilização, apoiado por instruções claras sobre a forma como os utilizadores podem optar pela autoexclusão. Os requisitos relativos às atualizações automáticas previstos num anexo do presente regulamento não são aplicáveis aos produtos com elementos digitais destinados principalmente a ser integrados como componentes noutros produtos. Também não se aplicam a produtos com elementos digitais para os quais os utilizadores não esperam razoavelmente atualizações automáticas, incluindo produtos com elementos digitais destinados a serem utilizados em redes TIC profissionais, especialmente em ambientes críticos e industriais em que uma atualização automática possa causar perturbação nas atividades. Independentemente de um produto com elementos digitais ser concebido para receber ou não atualizações automáticas, o seu fabricante deverá informar os utilizadores sobre as vulnerabilidades e disponibilizar atualizações de segurança sem demora. Sempre que um produto com elementos digitais tenha uma interface de utilizador ou meios técnicos semelhantes que permitam uma interação direta com os seus utilizadores, o fabricante deverá utilizar essas funcionalidades para informar os utilizadores de que o seu produto com elementos digitais chegou ao termo do período de apoio. As notificações deverão limitar-se ao necessário para assegurar a receção eficaz destas informações e não deverão ter um impacto negativo na experiência do utilizador do produto com elementos digitais.

(57)

A fim de melhorar a transparência dos processos de tratamento de vulnerabilidades e assegurar que os utilizadores não sejam obrigados a instalar novas atualizações de funcionalidades com o único objetivo de receber as mais recentes atualizações de segurança, os fabricantes deverão assegurar, sempre que tecnicamente viável, que as novas atualizações de segurança sejam fornecidas separadamente das atualizações de funcionalidades.

(58)

A comunicação conjunta da Comissão e do Alto Representante da União para os Negócios Estrangeiros e a Política de Segurança, de 20 de junho de 2023, intitulada «Estratégia Europeia de Segurança Económica», afirma que a União deve maximizar os benefícios da sua abertura económica, minimizando simultaneamente os riscos decorrentes das dependências económicas de fornecedores de alto risco, através de um quadro estratégico comum para a segurança económica da União. As dependências de fornecedores de alto risco de produtos com elementos digitais podem colocar um risco estratégico, que deve ser resolvido a nível da União, especialmente quando os produtos com elementos digitais se destinem a ser utilizados pelas entidades essenciais a que se refere o artigo 3.o, n.o 1, da Diretiva (UE) 2022/2555. Esses riscos podem estar associados, mas não limitados, à jurisdição aplicável ao fabricante, às características da sua propriedade empresarial e às ligações de controlo ao governo de um país terceiro onde está estabelecido, em particular sempre que um país terceiro se envolva em espionagem económica ou comportamento estatal irresponsável no ciberespaço e a sua legislação permita um acesso arbitrário a quaisquer tipos de operações ou dados empresariais, incluindo dados comercialmente sensíveis, e possa impor obrigações para fins de informação sem um sistema de equilíbrio de poderes democrático, mecanismos de supervisão, o respeito das garantias processuais ou o direito de recurso junto de um poder judicial independente. Ao determinar a importância de um risco de cibersegurança na aceção do presente regulamento, a Comissão e as autoridades de fiscalização do mercado, de acordo com as suas responsabilidades estabelecidas no presente regulamento, deverão também ter em conta fatores de risco não técnicos, em especial os estabelecidos na sequência de avaliações coordenadas dos riscos de segurança das cadeias de abastecimento críticas a nível da União, realizadas em conformidade com o artigo 22.o da Diretiva (UE) 2022/2555.

(59)

A fim de garantir a segurança dos produtos com elementos digitais após a sua colocação no mercado, os fabricantes deverão determinar o período de apoio, que deverá refletir o tempo previsto para a utilização do produto com elementos digitais. Ao determinar um período de apoio, o fabricante deverá ter em conta, em especial, as expectativas razoáveis dos utilizadores, a natureza do produto, bem como a legislação pertinente da União que determina a vida útil dos produtos com elementos digitais. Os fabricantes deverão também poder ter em conta outros fatores pertinentes. Os critérios deverão ser aplicados de forma a assegurar a proporcionalidade na determinação do período de apoio. Mediante pedido, o fabricante deverá fornecer às autoridades de fiscalização do mercado as informações que foram tidas em conta para determinar o período de apoio de um produto com elementos digitais.

(60)

O período de apoio durante o qual o fabricante assegura o tratamento eficaz das vulnerabilidades não deverá ser inferior a cinco anos, a menos que a vida útil do produto com elementos digitais seja inferior a cinco anos, caso em que o fabricante deverá assegurar o tratamento das vulnerabilidades durante esse período de vida. Sempre que seja razoável esperar que o produto com elementos digitais esteja a ser utilizado durante um período superior a cinco anos, como acontece frequentemente com componentes de hardware como placas-mãe ou microprocessadores, dispositivos de rede como encaminhadores, modems ou comutadores, bem como software, como sistemas operativos ou ferramentas de edição de vídeos, os fabricantes deverão assegurar períodos de apoio mais longos em conformidade. Em especial, os produtos com elementos digitais destinados a serem utilizados em contextos industriais, como os sistemas de controlo industrial, são com frequência utilizados durante períodos de tempo significativamente mais longos. Um fabricante só deverá poder definir um período de apoio inferior a cinco anos se tal for justificado pela natureza do produto com elementos digitais em causa e se se previr que esse produto seja utilizado durante menos de cinco anos, caso em que o período de apoio deverá corresponder ao tempo de utilização previsto. Por exemplo, a vida útil de uma aplicação de rastreio de contactos destinada a ser utilizada durante uma pandemia pode ser limitada à duração da pandemia. Além disso, algumas aplicações informáticas só podem, por natureza, ser disponibilizadas com base num modelo de subscrição, em especial quando a aplicação deixa de estar disponível para o utilizador e, por conseguinte, deixa de ser utilizada uma vez caducada a assinatura.

(61)

Quando os produtos com elementos digitais atingem o final dos seus períodos de apoio, a fim de assegurar que as vulnerabilidades possam ser tratadas após o termo do período de apoio, os fabricantes deverão ponderar a possibilidade de divulgar o código-fonte desses produtos com elementos digitais a outras empresas que se comprometam a dar seguimento à prestação de serviços de tratamento de vulnerabilidades ou ao público. Sempre que os fabricantes divulguem o código-fonte a outras empresas, deverão poder proteger a propriedade do produto com elementos digitais e impedir a divulgação do código-fonte ao público, por exemplo através de disposições contratuais.

(62)

A fim de assegurar que os fabricantes em toda a União determinam períodos de apoio semelhantes para produtos com elementos digitais comparáveis, o ADCO deverá publicar estatísticas sobre os períodos de apoio médios determinados pelos fabricantes para as categorias de produtos com elementos digitais e emitir orientações indicando períodos de apoio adequados para essas categorias. Além disso, a fim de assegurar uma abordagem harmonizada em todo o mercado interno, a Comissão deverá poder adotar atos delegados para especificar períodos mínimos de apoio para categorias específicas de produtos sempre que os dados fornecidos pelas autoridades de fiscalização do mercado sugiram que os períodos de apoio determinados pelos fabricantes não estão sistematicamente em conformidade com os critérios para determinar os períodos de apoio estabelecidos no presente regulamento ou que os fabricantes de diferentes Estados-Membros determinam injustificadamente diferentes períodos de apoio.

(63)

Os fabricantes deverão criar um ponto de contacto único que permita aos utilizadores comunicar facilmente com eles, inclusive para efeitos de comunicação e receção de informações sobre as vulnerabilidades do produto com elemento digital. Deverão tornar o ponto de contacto único facilmente acessível aos utilizadores e indicar claramente a sua disponibilidade, mantendo esta informação atualizada. Sempre que os fabricantes optem por oferecer ferramentas automatizadas, por exemplo, caixas de conversação, deverão também disponibilizar um número de telefone ou outros meios digitais de contacto, como um endereço de correio eletrónico ou um formulário de contacto. O ponto de contacto único não deverá basear-se exclusivamente em ferramentas automatizadas.

(64)

Os fabricantes deverão disponibilizar no mercado os seus produtos com elementos digitais com uma configuração segura por defeito e fornecer atualizações de segurança aos utilizadores a título gratuito. Os fabricantes só deverão poder desviar-se dos requisitos essenciais de cibersegurança no que diz respeito a produtos personalizados que sejam montados com um determinado fim para um determinado utilizador empresarial e se tanto o fabricante como o utilizador tiverem concordado explicitamente com um conjunto diferente de cláusulas contratuais.

(65)

Os fabricantes deverão notificar simultaneamente, através da plataforma única de comunicação de informações, tanto a equipa de resposta a incidentes de segurança informática (CSIRT, do inglês «computer security incident response team») designada como coordenadora, como a ENISA, das vulnerabilidades ativamente exploradas contidas em produtos com elementos digitais, bem como dos incidentes graves com impacto na segurança desses produtos. As notificações deverão ser apresentadas utilizando o terminal de notificação eletrónica de uma CSIRT designada como coordenadora e deverão ser simultaneamente acessíveis à ENISA.

(66)

Os fabricantes deverão notificar vulnerabilidades que estejam a ser ativamente exploradas para assegurar que as CSIRT designadas como coordenadoras e a ENISA têm uma panorâmica adequada dessas vulnerabilidades e recebem as informações necessárias ao desempenho das suas funções, tal como estabelecidas na Diretiva (UE) 2022/2555, e ao reforço do nível global de cibersegurança das entidades essenciais e importantes a que se refere o artigo 3.o da mesma diretiva, bem como de assegurar o funcionamento eficaz das autoridades de fiscalização do mercado. Uma vez que a maioria dos produtos com elementos digitais é comercializada em todo o mercado interno, qualquer vulnerabilidade explorada num produto com elementos digitais deverá ser considerada uma ameaça ao funcionamento do mercado interno. A ENISA deverá, com o acordo do fabricante, divulgar as vulnerabilidades corrigidas na base de dados europeia de vulnerabilidades criada nos termos do artigo 12.o, n.o 2, da Diretiva (UE) 2022/2555. A base de dados europeia de vulnerabilidades ajudará os fabricantes a detetar vulnerabilidades passiveis de ser exploradas conhecidas, identificadas nos seus produtos, a fim de garantir a colocação de produtos seguros no mercado.

(67)

Os fabricantes deverão também notificar a CSIRT designada como coordenadora e a ENISA de qualquer incidente grave com impacto na segurança do produto com elementos digitais. A fim de garantir que os utilizadores possam reagir rapidamente a incidentes graves com impacto na segurança dos seus produtos com elementos digitais, os fabricantes deverão também informar os seus utilizadores sobre qualquer incidente desse tipo e, se aplicável, sobre eventuais medidas corretivas que estes possam aplicar para atenuar o impacto do incidente, nomeadamente através da publicação de informações pertinentes nos seus sítios Web ou do contacto direto com os mesmos, caso o fabricante possa fazê-lo e sempre que os riscos de cibersegurança o justifiquem.

(68)

As vulnerabilidades ativamente exploradas dizem respeito aos casos em que um fabricante estabelece que uma violação da segurança que afeta os seus utilizadores ou quaisquer outras pessoas singulares ou coletivas resultou do facto de um agente mal-intencionado ter utilizado uma falha num dos produtos com elementos digitais disponibilizados no mercado pelo fabricante. Exemplos de tais vulnerabilidades podem ser insuficiências nas funções de identificação e autenticação de um produto. As vulnerabilidades detetadas sem intenção maliciosa para fins de ensaio, investigação, correção ou divulgação de boa-fé, com vista a promover a segurança ou a proteção do proprietário do sistema e dos seus utilizadores, não estão sujeitas a notificações obrigatórias. Por outro lado, os incidentes graves com impacto na segurança do produto com elementos digitais referem-se a situações em que um incidente de cibersegurança afeta os processos de desenvolvimento, produção ou manutenção do fabricante de tal forma que pode resultar num aumento do risco de cibersegurança para os utilizadores ou outras pessoas. Um incidente significativo desta natureza pode incluir uma situação em que um atacante conseguiu introduzir com êxito um código malicioso no canal de lançamento através do qual o fabricante lança atualizações de segurança para os utilizadores.

(69)

A fim de assegurar que as notificações podem ser rapidamente divulgadas a todas as CSIRT pertinentes designadas como coordenadoras e de permitir que os fabricantes apresentem uma notificação única em cada fase do processo de notificação, a ENISA deverá criar uma plataforma única de comunicação de informações com terminais nacionais de notificação eletrónica. As operações quotidianas da plataforma única de comunicação de informações deverão ser geridas e mantidas pela ENISA. As CSIRT designadas como coordenadoras deverão informar as respetivas autoridades de fiscalização do mercado sobre as vulnerabilidades ou os incidentes notificados. A plataforma única de comunicação de informações deverá ser concebida de modo a assegurar a confidencialidade das notificações, em especial no que diz respeito às vulnerabilidades para as quais ainda não está disponível uma atualização de segurança. Além disso, a ENISA deverá estabelecer procedimentos para tratar as informações de forma segura e confidencial. Com base nas informações que recolhe, a ENISA deverá elaborar, de dois em dois anos, um relatório técnico sobre as tendências emergentes em matéria de riscos de cibersegurança em produtos com elementos digitais e apresentá-lo ao grupo de cooperação criado nos termos do artigo 14.o da Diretiva (UE) 2022/2555.

(70)

Em circunstâncias excecionais e, em especial, a pedido do fabricante, a CSIRT designada como coordenadora que recebeu inicialmente uma notificação deverá poder decidir adiar a sua divulgação às outras CSIRT pertinentes designadas como coordenadoras através da plataforma única de comunicação de informações, sempre que tal se justifique por motivos relacionados com a cibersegurança e por um período de tempo estritamente necessário. A CSIRT designada como coordenadora deverá informar imediatamente a ENISA da decisão de adiar a divulgação e dos motivos em que se baseia, bem como do momento em que tenciona efetuar essa divulgação. A Comissão deverá elaborar, através de um ato delegado, especificações sobre os termos e condições em que podem ser aplicados motivos relacionados com a cibersegurança e deverá cooperar com a rede de CSIRT criada nos termos do artigo 15.o da Diretiva (UE) 2022/2555 e com a ENISA na elaboração do projeto de ato delegado. Exemplos de motivos relacionados com a cibersegurança incluem um procedimento de divulgação coordenada de vulnerabilidades em curso ou situações em que se espera que um fabricante forneça uma medida de atenuação em breve e os riscos de cibersegurança de uma divulgação imediata através da plataforma única de notificação superam os seus benefícios. Se tal for solicitado pela CSIRT designada como coordenadora, a ENISA deverá poder apoiar essa CSIRT na aplicação de motivos relacionados com a cibersegurança em relação ao adiamento da divulgação da notificação com base nas informações que a ENISA recebeu dessa CSIRT sobre a decisão de reter uma notificação por esses motivos relacionados com a cibersegurança. Além disso, em circunstâncias particularmente excecionais, a ENISA não deverá receber em simultâneo todos os pormenores de uma notificação de uma vulnerabilidade ativamente explorada. Pode ser esse o caso quando o fabricante assinala, na sua notificação, que a vulnerabilidade notificada foi ativamente explorada por um agente mal-intencionado e que, de acordo com as informações disponíveis, não foi explorada em nenhum outro Estado-Membro além do da CSIRT designada como coordenadora à qual o fabricante notificou a vulnerabilidade, quando qualquer nova divulgação imediata da vulnerabilidade notificada for suscetível de resultar no fornecimento de informações cuja divulgação seria contrária aos interesses essenciais desse Estado-Membro, ou quando a vulnerabilidade notificada representar um elevado risco iminente de cibersegurança decorrente de uma maior divulgação. Nesses casos, a ENISA só recebe acesso simultâneo às informações de que o fabricante efetuou uma notificação, informações gerais sobre o produto com elementos digitais em causa, informações sobre a natureza geral da exploração e informações sobre o facto de esses motivos de segurança terem sido invocados pelo fabricante e, por conseguinte, o conteúdo integral da notificação ser recusado. A notificação completa deverá então ser disponibilizada à ENISA e a outras CSIRT pertinentes designadas como coordenadoras quando a CSIRT designada como coordenadora que recebeu inicialmente a notificação concluir que esses motivos de segurança, refletindo circunstâncias particularmente excecionais, tal como estabelecidas no presente regulamento, deixaram de existir. Se a ENISA, com base nas informações disponíveis, considerar que existe um risco sistémico que afeta a segurança do mercado interno, a ENISA deverá recomendar à CSIRT destinatária que divulgue a notificação completa às outras CSIRT designadas como coordenadoras e à própria ENISA.

(71)

Quando os fabricantes notificam uma vulnerabilidade ativamente explorada ou um incidente grave com impacto na segurança do produto com elementos digitais, deverão indicar quão sensíveis consideram ser as informações notificadas. A CSIRT designada como coordenadora que inicialmente recebe a notificação deverá ter em conta estas informações ao avaliar se a notificação dá origem a circunstâncias excecionais que justifiquem um atraso na divulgação da notificação às outras CSIRT pertinentes designadas como coordenadoras com base em motivos fundamentados relacionados com a cibersegurança. Deverá também ter em conta essas informações ao avaliar se a notificação de uma vulnerabilidade ativamente explorada dá origem a circunstâncias particularmente excecionais que justifiquem que a notificação completa não seja disponibilizada simultaneamente à ENISA. Por último, as CSIRT designadas como coordenadoras deverão poder ter em conta essas informações ao determinar medidas adequadas para atenuar os riscos decorrentes dessas vulnerabilidades e desses incidentes.

(72)

A fim de simplificar a comunicação das informações exigidas ao abrigo do presente regulamento, tendo em conta outros requisitos complementares em matéria de comunicação de informações estabelecidos no direito da União, como o Regulamento (UE) 2016/679, o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho (25), a Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (26) e a Diretiva (UE) 2022/2555, bem como para reduzir os encargos administrativos para as entidades, os Estados-Membros são incentivados a ponderar a criação, a nível nacional, de pontos de entrada únicos para esses requisitos de comunicação de informações. A utilização desses pontos de entrada únicos para a notificação de incidentes de segurança nos termos do Regulamento (UE) 2016/679 e da Diretiva 2002/58/CE não deverá afetar a aplicação das disposições do Regulamento (UE) 2016/679 e da Diretiva 2002/58/CE, em especial as relativas à independência das autoridades aí referidas. Ao criar a plataforma única de comunicação de informações referida no presente regulamento, a ENISA deverá ter em conta a possibilidade de os terminais nacionais de notificação eletrónica a que se refere o presente regulamento serem integrados nos pontos de entrada únicos nacionais que podem também integrar outras notificações exigidas ao abrigo do direito da União.

(73)

Ao criar a plataforma única de comunicação de informações referida no presente regulamento e a fim de beneficiar da experiência passada, a ENISA deverá consultar outras instituições ou agências da União que gerem plataformas ou bases de dados sujeitas a requisitos de segurança rigorosos, como a Agência da União Europeia para a Gestão Operacional de Sistemas Informáticos de Grande Escala no Espaço de Liberdade, Segurança e Justiça (eu-LISA). A ENISA deverá igualmente analisar as potenciais complementaridades com as bases de dados europeias de vulnerabilidades criadas nos termos do artigo 12.o, n.o 2, da Diretiva (UE) 2022/2555.

(74)

Os fabricantes e outras pessoas singulares e coletivas deverão poder notificar uma CSIRT designada como coordenadora ou a ENISA, a título voluntário, sobre qualquer vulnerabilidade contida num produto com elementos digitais, ciberameaças que possam afetar o perfil de risco de um produto com elementos digitais, qualquer incidente com impacto na segurança do produto com elementos digitais, bem como quase incidentes que pudessem ter resultado num incidente desse tipo.

(75)

Os Estados-Membros deverão procurar resolver, na medida do possível, os problemas encontrados pelos peritos que investigam as vulnerabilidades, nomeadamente a sua potencial sujeição à responsabilidade penal, em conformidade com o direito nacional. Dado que as pessoas singulares e coletivas que investigam as vulnerabilidades podem, em alguns Estados-Membros, incorrer em responsabilidade penal e civil, os Estados-Membros são incentivados a adotar orientações sobre a não instauração de ações penais contra quem faz investigação no domínio da segurança da informação e uma isenção de responsabilidade civil para as suas atividades.

(76)

Os fabricantes de produtos com elementos digitais deverão instituir políticas de divulgação coordenada de vulnerabilidades, a fim de facilitar a comunicação de vulnerabilidades por parte de pessoas singulares ou de entidades, quer diretamente ao fabricante, quer indiretamente e, sempre que solicitado de forma anónima, através de CSIRT designadas como coordenadoras para efeitos de divulgação coordenada de vulnerabilidades, em conformidade com o artigo 12.o, n.o 1, da Diretiva (UE) 2022/2555. A política dos fabricantes em matéria de divulgação coordenada das vulnerabilidades deverá especificar um processo estruturado através do qual as vulnerabilidades são comunicadas a um fabricante de uma forma que lhe permita diagnosticá-las e corrigi-las antes de serem divulgadas a terceiros ou ao público informações pormenorizadas sobre as mesmas. Além disso, os fabricantes deverão também ponderar a publicação das suas políticas de segurança num formato legível por máquina. Dado que as informações sobre vulnerabilidades passíveis de serem exploradas em produtos com elementos digitais amplamente utilizados podem ser vendidas a preços elevados no mercado negro, os fabricantes desses produtos deverão poder utilizar programas, no âmbito das suas políticas de divulgação coordenada de vulnerabilidades, para incentivar a comunicação de vulnerabilidades, assegurando que as pessoas ou entidades sejam objeto de reconhecimento e compensação pelos seus esforços. Tal refere-se aos chamados «programas de recompensas por deteção de erros de programação».

(77)

A fim de facilitar a análise de vulnerabilidades, os fabricantes deverão identificar e documentar os componentes contidos nos produtos com elementos digitais, nomeadamente através da elaboração de uma lista de materiais de software (LMS). Uma LMS pode fornecer aos fabricantes, compradores e operadores de software informações que melhoram a sua compreensão da cadeia de abastecimento, o que tem múltiplos benefícios, ajudando, em particular, os fabricantes e os utilizadores a detetar vulnerabilidades e riscos de cibersegurança conhecidos surgidos recentemente. É particularmente importante que os fabricantes assegurem que os seus produtos com elementos digitais não contenham componentes vulneráveis desenvolvidos por terceiros. Os fabricantes não deverão ser obrigados a tornar pública a LMS.

(78)

Ao abrigo dos novos e complexos modelos de negócio associados às vendas em linha, uma empresa que opere em linha pode prestar uma variedade de serviços. Consoante a natureza dos serviços prestados em relação a um determinado produto com elementos digitais, a mesma entidade poderá inserir-se em diferentes categorias de modelos empresariais ou operadores económicos. Sempre que uma entidade preste exclusivamente serviços de intermediação em linha para um determinado produto com elementos digitais e seja um mero prestador de um mercado em linha, na aceção do artigo 3.o, n.o 14, do Regulamento (UE) 2023/988, não é considerada um operador económico na aceção do presente regulamento. Sempre que a mesma entidade seja um prestador de um mercado em linha e também atue como operador económico, na aceção do presente regulamento, para a venda de determinados produtos com elementos digitais, deverá estar sujeita às obrigações estabelecidas no presente regulamento no que diz respeito a esses produtos. A título de exemplo, se o prestador de um mercado em linha também distribui um produto com elementos digitais, seria, pois, considerado um distribuidor no que diz respeito à venda desse produto. Do mesmo modo, se a entidade em questão vende os seus próprios produtos de marca com elementos digitais, seria considerado um fabricante e teria, por conseguinte, de cumprir os requisitos aplicáveis aos fabricantes. Além disso, algumas entidades podem ser consideradas prestadores de serviços de execução na aceção do artigo 3.o, ponto 11, do Regulamento (UE) 2019/1020 do Parlamento Europeu e do Conselho (27), se oferecem serviços dessa natureza. Tais casos devem ser avaliados individualmente. Em virtude do papel proeminente que desempenham na facilitação do comércio eletrónico, os mercados em linha deverão procurar cooperar com as autoridades de fiscalização do mercado dos Estados-Membros, de molde a contribuir para que os produtos com elementos digitais adquiridos através dos mercados em linha cumpram os requisitos de cibersegurança estabelecidos no presente regulamento.

(79)

A fim de facilitar a avaliação da conformidade com os requisitos estabelecidos no presente regulamento, deverá existir uma presunção de conformidade relativamente aos produtos com elementos digitais que estejam em conformidade com as normas harmonizadas, que traduzam os requisitos essenciais de cibersegurança previstos no presente regulamento em especificações técnicas pormenorizadas e que sejam adotados nos termos do Regulamento (UE) n.o 1025/2012 do Parlamento Europeu e do Conselho (28). O referido regulamento prevê um procedimento para a apresentação de objeções às normas harmonizadas caso essas normas não satisfaçam plenamente os requisitos previstos no presente regulamento. O processo de normalização deverá assegurar uma representação equilibrada dos interesses e a participação efetiva das partes interessadas da sociedade civil, incluindo as organizações de consumidores. Deverão também ser tidas em conta as normas internacionais que estejam em consonância com o nível de proteção da cibersegurança visado pelos requisitos essenciais de cibersegurança estabelecidos no presente regulamento, a fim de agilizar a elaboração de normas harmonizadas e a aplicação do presente regulamento, bem como de facilitar o seu cumprimento por parte das empresas, em especial das microempresas, das pequenas e médias empresas e das empresas que operam a nível mundial.

(80)

A elaboração em tempo oportuno de normas harmonizadas durante o período de transição para a aplicação do presente regulamento e a sua disponibilidade antes da data de aplicação do presente regulamento serão particularmente importantes para a aplicação efetiva do mesmo. Tal aplica-se, em particular, aos produtos importantes com elementos digitais que se inserem na classe I. A disponibilidade de normas harmonizadas permitirá que os fabricantes desses produtos realizem as avaliações da conformidade com recurso ao procedimento de controlo interno, evitando assim estrangulamentos e atrasos nas atividades dos organismos de avaliação da conformidade.

(81)

O Regulamento (UE) 2019/881 estabelece um regime europeu para a certificação voluntária da cibersegurança para produtos de TIC, processos de TIC e serviços de TIC. Os sistemas europeus de certificação da cibersegurança proporcionam um quadro comum de confiança que permite a utilização, pelos utentes, dos produtos com elementos digitais que recaem no âmbito de aplicação do presente regulamento. O presente regulamento deverá, por conseguinte, criar sinergias com o Regulamento (UE) 2019/881. A fim de facilitar a avaliação da conformidade com os requisitos estabelecidos no presente regulamento, presume-se que os produtos com elementos digitais certificados ou relativamente aos quais tenha sido emitida uma declaração de conformidade no âmbito de um sistema europeu de cibersegurança nos termos do Regulamento (UE) 2019/881 que tenha sido identificado pela Comissão num ato de execução estão conformes com os requisitos essenciais de cibersegurança estabelecidos no presente regulamento, contanto que o certificado europeu de cibersegurança ou a declaração de conformidade, ou partes dos mesmos, abranjam esses requisitos. Deverá ser avaliada à luz do presente regulamento a necessidade de novos sistemas europeus de certificação da cibersegurança para produtos com elementos digitais, nomeadamente aquando da elaboração do programa de trabalho evolutivo, em conformidade com o Regulamento (UE) 2019/881. Sempre que se afigure necessário dispor de um novo sistema que abranja produtos com elementos digitais, nomeadamente para facilitar o cumprimento do presente regulamento, a Comissão pode solicitar à ENISA que elabore projetos de sistema, em conformidade com o artigo 48.o do Regulamento (UE) 2019/881. Esses futuros sistemas europeus de certificação da cibersegurança que abranjam produtos com elementos digitais deverão ter em conta os requisitos essenciais de cibersegurança e os procedimentos de avaliação da conformidade estabelecidos no presente regulamento e facilitar o cumprimento do presente regulamento. Os sistemas europeus de certificação da cibersegurança que entrem em vigor antes da entrada em vigor do presente regulamento, podem necessitar de especificações adicionais sobre determinados aspetos das modalidades de aplicação da presunção de conformidade. A Comissão deverá ficar habilitada, por meio de atos delegados, a especificar as condições em que os sistemas europeus de certificação da cibersegurança podem ser utilizados para demonstrar a conformidade com os requisitos essenciais de cibersegurança estabelecidos no presente regulamento. Ademais, a fim de evitar encargos administrativos indevidos, os fabricantes não deverão ser obrigados a assegurar a realização de uma avaliação da conformidade por terceiros prevista no Regulamento para os requisitos correspondentes, caso tenha sido emitido, ao abrigo desses sistemas europeus de certificação da cibersegurança, um certificado europeu de cibersegurança com um nível de garantia, no mínimo, correspondente a «substancial».

(82)

Após a entrada em vigor do Regulamento de Execução (UE) 2024/482, que diz respeito aos produtos abrangidos pelo âmbito de aplicação do presente regulamento, tais como módulos de segurança físicos e microprocessadores, a Comissão deverá poder especificar, por meio de um ato delegado, de que forma o EUCC confere uma presunção de conformidade com os requisitos essenciais de cibersegurança a que se refere o anexo I do presente regulamento ou partes dos mesmos. Além disso, esse ato delegado pode especificar de que forma um certificado emitido no âmbito do EUCC elimina a obrigação de os fabricantes realizarem uma avaliação por terceiros, tal como exigido nos termos do presente regulamento para os requisitos correspondentes.

(83)

O atual regime da normalização europeia, que se baseia nos princípios da «nova abordagem» estabelecidos na Resolução do Conselho, de 7 de maio de 1985, relativa a uma nova abordagem em matéria de harmonização técnica e de normalização, bem como no Regulamento (UE) n.o 1025/2012, constitui automaticamente o regime para elaborar normas que estabeleçam uma presunção da conformidade com os requisitos pertinentes essenciais de cibersegurança estabelecidos no presente regulamento. As normas europeias deverão ser orientadas para o mercado, tendo em conta o interesse público, assim como os objetivos estratégicos enunciados claramente no pedido dirigido pela Comissão a uma ou mais organizações europeias de normalização para que elaborem normas harmonizadas, dentro do prazo fixado, e deverão assentar num consenso. Contudo, na falta de referências pertinentes a normas harmonizadas, a Comissão deverá poder adotar atos de execução que estabeleçam especificações comuns para os requisitos essenciais de cibersegurança estabelecidos no presente regulamento, desde que o faça no devido respeito do papel e das funções da organização europeia de normalização, enquanto solução de recurso excecional para facilitar o cumprimento, pelo fabricante, da sua obrigação de observar os requisitos essenciais de cibersegurança em questão, quer quando o processo de normalização se encontra bloqueado, quer quando se verificam atrasos no estabelecimento de normas harmonizadas adequadas. Se esses atrasos se deverem à complexidade técnica da norma em questão, a Comissão deverá tomar esse facto em consideração antes de ponderar o estabelecimento de especificações comuns.

(84)

A fim de estabelecer, da forma mais eficiente possível, especificações comuns aplicáveis aos requisitos essenciais de cibersegurança estabelecidos no presente regulamento, a Comissão deverá associar as partes interessadas ao processo.

(85)

Para efeitos da publicação das referências às normas harmonizadas no Jornal Oficial da União Europeia em conformidade com o Regulamento (UE) n.o 1025/2012, entende-se por «período razoável» o período em que se prevê que prevista a referência à norma seja publicada no Jornal Oficial da União Europeia, a sua retificação ou a sua alteração e que não deverá exceder um ano após o prazo para a elaboração de uma norma europeia, fixado em conformidade com o Regulamento (UE) n.o 1025/2012.

(86)

A fim de facilitar a avaliação da conformidade com os requisitos essenciais de cibersegurança estabelecidos no presente regulamento, deverá presumir-se a conformidade dos produtos com elementos digitais que cumpram as especificações comuns adotadas pela Comissão nos termos do presente regulamento, com vista à formulação de especificações técnicas pormenorizadas para esses requisitos.

(87)

A aplicação de normas harmonizadas, especificações comuns ou sistemas europeus de certificação da cibersegurança adotados nos termos do Regulamento (UE) 2019/881 que estabeleçam uma presunção de conformidade em relação aos requisitos essenciais de cibersegurança aplicáveis aos produtos com elementos digitais facilitará a avaliação da conformidade pelos fabricantes. Se, em relação a determinados requisitos, o fabricante optar por não aplicar essas modalidades, deverá indicar, na sua documentação técnica, de que outro modo a conformidade é alcançada. Além disso, a aplicação de normas harmonizadas, especificações comuns ou sistemas europeus de certificação da cibersegurança adotados nos termos do Regulamento (UE) 2019/881 que estabeleçam uma presunção de conformidade dos fabricantes facilitaria a verificação, pelas autoridades de fiscalização do mercado, da conformidade dos produtos com elementos digitais. Assim sendo, incentiva-se os fabricantes de produtos com elementos digitais a aplicar essas normas harmonizadas, especificações comuns ou sistemas europeus de certificação da cibersegurança.

(88)

Os fabricantes deverão elaborar uma declaração de conformidade UE, a fim de facultar as informações exigidas pelo presente regulamento acerca da conformidade dos produtos com elementos digitais com os requisitos essenciais de cibersegurança estabelecidos no presente regulamento e, sendo caso disso, de outra legislação de harmonização da União aplicável ao produto com elementos digitais. Os fabricantes também podem ser obrigados a elaborar uma declaração de conformidade UE por outros atos jurídicos da União. Para assegurar o acesso efetivo à informação para efeitos de fiscalização do mercado, deverá ser elaborada uma declaração de conformidade UE única respeitante ao cumprimento de todos os atos jurídicos da União aplicáveis. A fim de reduzir os encargos administrativos que recaem sobre os operadores económicos, essa declaração de conformidade UE única deverá poder ser constituída por um dossiê que contenha as várias declarações de conformidade pertinentes.

(89)

A marcação CE, que indica a conformidade de um produto, é o corolário visível de todo um processo que abrange a avaliação da conformidade em sentido lato. Os princípios gerais que regem a marcação CE encontram-se definidos no Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho (29). O presente regulamento deverá definir as regras que regem a aposição da marcação CE nos produtos com elementos digitais. A marcação CE deverá ser a única que garante que os produtos com elementos digitais cumprem os requisitos estabelecidos no presente regulamento.

(90)

A fim de permitir que os operadores económicos demonstrem a conformidade com os requisitos essenciais de cibersegurança estabelecidos no presente regulamento e que as autoridades de fiscalização do mercado assegurem que os produtos com elementos digitais disponibilizados no mercado cumpram esses requisitos, é necessário prever procedimentos de avaliação da conformidade. A Decisão 768/2008/CE do Parlamento Europeu e do Conselho (30) estabelece módulos para os procedimentos de avaliação da conformidade proporcionais ao nível de risco envolvido e ao nível de segurança exigido. A fim de assegurar a coerência intersetorial e evitar variantes ad hoc, os procedimentos de avaliação da conformidade adequados para verificar a conformidade dos produtos com elementos digitais com os requisitos essenciais de cibersegurança estabelecidos no presente regulamento deverão basear-se nesses módulos. Os procedimentos de avaliação da conformidade deverão examinar e verificar os requisitos relativos ao produto e ao processo que abrangem todo o ciclo de vida dos produtos com elementos digitais, incluindo o planeamento, a conceção, o desenvolvimento ou a produção, os ensaios e a manutenção do produto com elementos digitais.

(91)

A avaliação da conformidade dos produtos com elementos digitais que não constem da lista dos produtos importantes ou críticos com elementos digitais do presente regulamento pode ser realizada, regra geral, pelo fabricante sob a sua própria responsabilidade, de acordo com o procedimento de controlo interno baseado no módulo A da Decisão 768/2008/CE, em conformidade com o presente regulamento. Esta disposição aplica-se também aos casos em que um fabricante opte por não aplicar, total ou parcialmente, uma norma harmonizada, uma especificação comum ou um sistema europeu de certificação da cibersegurança aplicáveis. O fabricante dispõe de flexibilidade para escolher um procedimento de avaliação da conformidade mais rigoroso que envolva terceiros. No âmbito do procedimento de controlo interno de avaliação, o fabricante garante e declara, sob a sua exclusiva responsabilidade, que o produto com elementos digitais e os processos do fabricante cumprem os requisitos essenciais de cibersegurança aplicáveis estabelecidos no presente regulamento. Se um produto importante com elementos digitais for abrangido pela classe I, é obrigatória uma garantia adicional para demonstrar a conformidade com os requisitos essenciais de cibersegurança estabelecidos no presente regulamento. O fabricante deverá aplicar normas harmonizadas, especificações comuns ou sistemas europeus de certificação da cibersegurança adotados nos termos do Regulamento (UE) 2019/881 que tenham sido identificados pela Comissão num ato de execução, caso pretenda realizar a avaliação da conformidade sob a sua própria responsabilidade (módulo A). Se não aplicar essas normas harmonizadas, especificações comuns ou sistemas europeus de certificação da cibersegurança, o fabricante deverá ser objeto de uma avaliação da conformidade por terceiros (com base nos módulos B e C ou no módulo H). Tendo em conta os encargos administrativos para os fabricantes e o facto de a cibersegurança desempenhar um papel importante na fase de conceção e desenvolvimento de produtos corpóreos e incorpóreos com elementos digitais, os procedimentos de avaliação da conformidade baseados, respetivamente, nos módulos B e C ou no módulo H da Decisão n.o 768/2008/CE foram escolhidos como sendo os mais adequados para avaliar a conformidade dos produtos importantes com elementos digitais de forma proporcionada e eficaz. O fabricante cuja avaliação da conformidade seja realizada por terceiros pode escolher o procedimento que melhor corresponda ao seu processo de conceção e produção. Tendo em conta o risco de cibersegurança ainda maior associado à utilização de produtos classificados como produto importantes com elementos digitais abrangidos pela classe II, a avaliação da conformidade destes produtos deverá sempre envolver terceiros, mesmo se o produto estiver em conformidade total ou parcial com as normas harmonizadas, as especificações comuns ou os sistemas europeus de certificação da cibersegurança. Os fabricantes de produtos importantes com elementos digitais considerados software livre e de código-fonte aberto deverão poder seguir o procedimento de controlo interno baseado no módulo A, desde que divulguem publicamente a documentação técnica.

(92)

Embora a criação de produtos corpóreos com elementos digitais exija normalmente que os fabricantes desenvolvam esforços substanciais ao longo das fases de conceção, desenvolvimento e produção, a criação de produtos com elementos digitais sob a forma de software centra-se quase exclusivamente na conceção e no desenvolvimento, desempenhando a fase de produção um papel secundário. No entanto, em muitos casos, os produtos de software continuam a ter de ser compilados, construídos, embalados, disponibilizados para descarregamento ou copiados para suportes físicos antes de serem colocados no mercado. Essas atividades deverão ser consideradas atividades equivalentes à produção aquando da aplicação dos módulos de avaliação da conformidade pertinentes para verificar a conformidade do produto com os requisitos essenciais de cibersegurança estabelecidos no presente regulamento nas fases de conceção, desenvolvimento e produção.

(93)

No que diz respeito às microempresas e às pequenas empresas, a fim de assegurar a proporcionalidade, é conveniente reduzir os custos administrativos, sem afetar o nível de proteção da cibersegurança dos produtos com elementos digitais abrangidos pelo âmbito de aplicação do presente regulamento nem as condições de concorrência equitativas entre os fabricantes. Por conseguinte, é conveniente que a Comissão estabeleça um formulário simplificado de documentação técnica que vá ao encontro das necessidades das microempresas e das pequenas empresas. O formulário simplificado de documentação técnica adotado pela Comissão deverá abranger todos os elementos aplicáveis relacionados com a documentação técnica previstos no presente regulamento, tais como a descrição da conceção, do desenvolvimento e da produção do produto com elementos digitais, e especificar de que modo uma microempresa ou uma pequena empresa pode fornecer os elementos solicitados de forma concisa. Deste modo, o formulário contribuiria para aliviar os encargos administrativos em matéria de conformidade, proporcionando às empresas em causa segurança jurídica quanto à extensão e ao grau de pormenor das informações a fornecer. As microempresas e as pequenas empresas deverão poder optar por fornecer os elementos aplicáveis relacionados com a documentação técnica de forma elaborada, e não tirar partido do formulário técnico simplificado colocado à sua disposição.

(94)

A fim de promover e proteger a inovação, é importante ter especialmente em conta os interesses dos fabricantes que sejam microempresas ou pequenas e médias empresas, em especial das microempresas e das pequenas empresas, incluindo as empresas em fase de arranque. Para o efeito, os Estados-Membros podem criar iniciativas destinadas aos fabricantes que sejam microempresas ou pequenas empresas, nomeadamente no domínio da formação, sensibilização, comunicação de informações e ensaios e atividades de avaliação da conformidade por terceiros, bem como estabelecer ambientes de testagem. Os custos de tradução relacionados com a documentação obrigatória, como a documentação técnica e as informações e instruções ao utilizador exigidas nos termos do presente regulamento, bem como a comunicação com as autoridades, podem constituir um custo significativo para os fabricantes, em especial os de menor dimensão. Por conseguinte, os Estados-Membros podem ponderar a possibilidade de uma das línguas por eles estabelecida ou aceite para efeitos de elaboração da documentação pelos fabricantes e de comunicação com os fabricantes ser uma língua amplamente compreendida pelo maior número possível de utilizadores.

(95)

A fim de assegurar a aplicação harmoniosa do presente regulamento, os Estados-Membros deverão, antes da data de aplicação do presente regulamento, procurar garantir a disponibilidade de um número suficiente de organismos notificados na União para a realização de avaliações da conformidade. A Comissão deverá procurar assistir os Estados-Membros e outras partes pertinentes neste esforço, a fim de evitar estrangulamentos e obstáculos à entrada de fabricantes no mercado. As atividades de formação específicas conduzidas pelos Estados-Membros, nomeadamente com o apoio da Comissão, se for caso disso, podem contribuir para a disponibilidade de profissionais qualificados, designadamente para apoiar as atividades dos organismos notificados ao abrigo do presente regulamento. Além disso, tendo em conta os custos que a avaliação da conformidade por terceiros pode implicar, deverá ponderar-se o lançamento de iniciativas de financiamento a nível da União e nacional que visem reduzir esses custos para as microempresas e as pequenas empresas.

(96)

A fim de assegurar a proporcionalidade, os organismos de avaliação da conformidade deverão, aquando da determinação das taxas aplicáveis aos procedimentos de avaliação da conformidade, ter em conta os interesses e necessidades específicos das microempresas e das pequenas e médias empresas, incluindo as empresas em fase de arranque. Em especial, os organismos de avaliação da conformidade deverão aplicar o procedimento de exame e proceder aos ensaios pertinentes previstos no presente regulamento apenas quando tal se afigure adequado e seguindo uma abordagem baseada no risco.

(97)

Os ambientes de testagem da regulamentação deverão ter como objetivo promover a inovação e a competitividade das empresas, criando ambientes de ensaio controlados antes de os produtos com elementos digitais serem colocados no mercado. Os ambientes de testagem da regulamentação deverão contribuir para melhorar a segurança jurídica de todos os intervenientes abrangidos pelo âmbito de aplicação do presente regulamento, bem como facilitar e acelerar o acesso ao mercado da União de produtos com elementos digitais, em especial quando fornecidos por microempresas e pequenas empresas, incluindo empresas em fase de arranque.

(98)

Para efeitos de avaliação da conformidade dos produtos com elementos digitais por terceiros, as autoridades notificadoras nacionais deverão notificar os organismos de avaliação da conformidade à Comissão e aos outros Estados-Membros, contanto estes que cumpram uma série de requisitos, nomeadamente em termos de independência, competência e ausência de conflitos de interesse.

(99)

Com o objetivo de garantir um nível coerente de qualidade no desempenho da avaliação da conformidade dos produtos com elementos digitais, é também necessário estabelecer requisitos a cumprir pelas autoridades notificadoras e por outros organismos envolvidos na avaliação, na notificação e no controlo dos organismos notificados. O sistema estabelecido no presente regulamento deverá ser complementado pelo sistema de acreditação previsto no Regulamento (CE) n.o 765/2008. Dado que a acreditação é um meio fundamental para verificar a competência dos organismos de avaliação da conformidade, deverá ser igualmente utilizada para efeitos de notificação.

(100)

Os organismos de avaliação da conformidade que tenham sido acreditados e notificados ao abrigo do direito da União que estabelece requisitos semelhantes aos estabelecidos no presente regulamento – como, por exemplo, um organismo de avaliação da conformidade que tenha sido notificado no âmbito de um sistema europeu de certificação da cibersegurança adotado nos termos do Regulamento (UE) 2019/881 ou notificado ao abrigo do Regulamento Delegado (UE) 2022/30 –, deverão ser objeto de nova avaliação e notificados ao abrigo do presente regulamento. No entanto, as autoridades competentes podem definir sinergias no que diz respeito a eventuais sobreposições de requisitos, a fim de evitar encargos financeiros e administrativos desnecessários e assegurar um processo de notificação harmonioso e atempado.

(101)

Uma acreditação organizada de forma transparente nos termos do Regulamento (CE) n.o 765/2008, que garanta a necessária confiança nos certificados de conformidade, deverá ser considerada como o instrumento preferido das autoridades públicas nacionais em toda a União para demonstrar a competência técnica dos organismos de avaliação da conformidade. Contudo, as autoridades nacionais podem considerar que possuem os meios adequados para realizarem por si próprias essa avaliação. Nesse caso, a fim de assegurar o nível adequado de credibilidade das avaliações efetuadas por outras autoridades nacionais, aquelas deverão apresentar à Comissão e aos restantes Estados-Membros as devidas provas documentais de que os organismos de avaliação da conformidade avaliados cumprem os requisitos regulamentares aplicáveis.

(102)

Os organismos de avaliação da conformidade subcontratam frequentemente partes das respetivas atividades relacionadas com a avaliação da conformidade ou recorrem a filiais para esse efeito. A fim de salvaguardar o nível de proteção exigido para a colocação do produto com elementos digitais no mercado, é indispensável que esses subcontratados e filiais que efetuam a avaliação da conformidade cumpram requisitos idênticos aos dos organismos notificados relativamente ao desempenho de tarefas de avaliação da conformidade.

(103)

A notificação de um organismo de avaliação da conformidade deverá ser enviada pela autoridade notificadora à Comissão e aos outros Estados-Membros através do sistema de informação NANDO (do inglês, «New Approach Notified and Designated Organisations»). O sistema de informação NANDO é o instrumento de notificação eletrónico desenvolvido e gerido pela Comissão que contém uma lista de todos os organismos notificados.

(104)

Uma vez que os organismos notificados podem propor os seus serviços em todo o território da União, é conveniente dar aos outros Estados-Membros e à Comissão a oportunidade de formular objeções em relação a um organismo notificado. Assim, é primordial prever um período durante o qual possam ser esclarecidas quaisquer dúvidas ou preocupações quanto à competência dos organismos de avaliação da conformidade antes que estes iniciem a suas funções como organismos notificados.

(105)

No interesse da competitividade, é crucial que os organismos notificados apliquem os procedimentos de avaliação da conformidade sem sobrecarregar desnecessariamente os operadores económicos. Pelo mesmo motivo, e para favorecer a igualdade de tratamento dos operadores económicos, é necessário assegurar que a aplicação técnica dos procedimentos de avaliação da conformidade seja feita de forma coerente. A melhor maneira de o conseguir é através de uma coordenação e cooperação adequadas entre os organismos notificados.

(106)

A fiscalização do mercado é um instrumento essencial para garantir a aplicação correta e uniforme do direito da União. Convém, pois, criar um regime jurídico no âmbito do qual a fiscalização do mercado possa ser realizada de forma adequada. As regras relativas à fiscalização do mercado da União e ao controlo dos produtos que entram no mercado da União, previstas no Regulamento (UE) 2019/1020, aplicam-se aos produtos com elementos digitais abrangidos pelo âmbito de aplicação do presente regulamento.

(107)

Em conformidade com o Regulamento (UE) 2019/1020, uma autoridade de fiscalização do mercado procede à fiscalização do mercado no território do Estado-Membro que a designou. O presente regulamento não deverá impedir os Estados-Membros de escolherem as autoridades competentes para desempenhar as atividades de fiscalização do mercado. Cada Estado-Membro deverá designar uma ou mais autoridades de fiscalização do mercado no seu território. Os Estados-Membros deverão poder optar por designar qualquer autoridade existente ou nova para atuar como autoridade de fiscalização do mercado, incluindo as autoridades competentes designadas ou criadas nos termos do artigo 8.o da Diretiva (UE) 2022/2555, as autoridades nacionais de certificação da cibersegurança designadas nos termos do artigo 58.o do Regulamento (UE) 2019/881, ou as autoridades de fiscalização do mercado designadas para efeitos da Diretiva 2014/53/UE. Os operadores económicos deverão cooperar plenamente com as autoridades de fiscalização do mercado e outras autoridades competentes. Cada Estado-Membro deverá informar a Comissão e os outros Estados-Membros sobre as suas autoridades de fiscalização do mercado e respetivos domínios de competência e deverá assegurar os recursos e competências necessários ao desempenho das funções de fiscalização relacionadas com o presente regulamento. Em conformidade com o artigo 10.o, n.os 2 e 3, do Regulamento (UE) 2019/1020, cada Estado-Membro deverá designar um serviço de ligação único responsável, nomeadamente, pela representação da posição coordenada das autoridades de fiscalização do mercado e pela assistência na cooperação entre as autoridades de fiscalização do mercado nos diferentes Estados-Membros.

(108)

Deverá ser criado um ADCO específico para a ciber-resiliência dos produtos com elementos digitais com vista à aplicação uniforme do presente regulamento, nos termos do artigo 30.o, n.o 2, do Regulamento (UE) 2019/1020. Este grupo ADCO deverá incluir representantes das autoridades de fiscalização do mercado designadas e, se for caso disso, representantes dos serviços de ligação únicos. A Comissão deverá apoiar e incentivar a cooperação entre as autoridades de fiscalização do mercado através da rede da União para a conformidade dos produtos, criada nos termos do artigo 29.o do Regulamento (UE) 2019/1020 e composta por representantes de cada Estado-Membro, incluindo um representante de cada serviço de ligação único a que refere o artigo 10.o do referido Regulamento, e um perito nacional facultativo, os presidentes dos ADCO e representantes da Comissão. A Comissão deverá participar nas reuniões da rede da União para a conformidade dos produtos, dos seus subgrupos e do respetivo ADCO. Deverá igualmente prestar assistência a este ADCO através de um secretariado executivo que faculte apoio técnico e logístico. O ADCO pode igualmente convidar peritos independentes a participar, bem como estabelecer contactos com outros ADCO, como os estabelecidos ao abrigo da Diretiva 2014/53/UE.

(109)

As autoridades de fiscalização do mercado deverão cooperar estreitamente por intermédio dos ADCO estabelecidos ao abrigo do presente regulamento e deverão poder elaborar documentos de orientação para facilitar as atividades de fiscalização do mercado a nível nacional, nomeadamente estabelecendo boas práticas e indicadores para verificar de forma eficaz a conformidade dos produtos com elementos digitais com o presente regulamento.

(110)

A fim de assegurar medidas oportunas, proporcionadas e eficazes em relação a produtos com elementos digitais que apresentem um risco de cibersegurança significativo, deverá prever-se um procedimento de salvaguarda da União no âmbito do qual as partes interessadas sejam informadas das medidas previstas para esses produtos. Tal deverá ainda permitir às autoridades de fiscalização do mercado atuar numa fase precoce, se necessário, em cooperação com os operadores económicos pertinentes. Nos casos em que os Estados-Membros e a Comissão concordem quanto à justificação de uma medida tomada por um Estado-Membro, não deverá ser necessária qualquer outra intervenção da Comissão, salvo se a não conformidade puder ser imputada a deficiências de uma norma harmonizada.

(111)

Em certos casos, um produto com elementos digitais que cumpra o disposto no presente regulamento pode, não obstante, apresentar um risco de cibersegurança significativo ou constituir um risco para a saúde ou a segurança das pessoas, para o cumprimento de obrigações ao abrigo do direito da União ou do direito nacional destinadas a proteger os direitos fundamentais, a disponibilidade, autenticidade, integridade ou confidencialidade dos serviços oferecidos através de um sistema de informação eletrónico por entidades essenciais do tipo a que se refere o artigo 3.o, n.o 1, da Diretiva (UE) 2022/2555 ou para outros aspetos da proteção do interesse público. Por conseguinte, é necessário estabelecer regras que assegurem a atenuação desses riscos. Consequentemente, as autoridades de fiscalização do mercado deverão tomar medidas para exigir que o operador económico assegure que o produto deixe de apresentar esse risco ou que o recolha ou retire do mercado, consoante o risco. Assim que uma autoridade de fiscalização do mercado restrinja ou proíba a livre circulação de um produto com elementos digitais dessa forma, o Estado-Membro deverá notificar as medidas provisórias sem demora à Comissão e aos outros Estados-Membros, justificando e fundamentando a sua decisão. Sempre que uma autoridade de fiscalização do mercado adote tais medidas contra produtos com elementos digitais que apresentem um risco, a Comissão deverá iniciar consultas com os Estados-Membros e o operador ou operadores económicos em causa e avaliar a medida nacional. Com base nos resultados desta avaliação, a Comissão deverá decidir se a medida nacional é ou não justificada. Os Estados-Membros são os destinatários dessa decisão, que lhes é imediatamente comunicada pela Comissão, bem como ao operador ou operadores económicos em causa. Se se considerar que a medida é justificada, a Comissão também deverá ponderar a adoção de propostas de revisão do direito da União aplicável.

(112)

No caso de produtos com elementos digitais que apresentem um risco de cibersegurança significativo, e sempre que existam motivos para crer que não cumprem o disposto no presente regulamento, ou de produtos que cumprem o disposto no presente regulamento, mas que apresentam outros riscos importantes, tais como riscos para a saúde ou a segurança das pessoas, para a observância das obrigações estabelecidas por força do direito da União ou do direito nacional que visa salvaguardar os direitos fundamentais ou para a disponibilidade, autenticidade, integridade ou confidencialidade dos serviços oferecidos com recurso a um sistema de informação eletrónico por entidades essenciais do tipo referido no artigo 3.o, n.o 1, da Diretiva (UE) 2022/2555, a Comissão deverá poder solicitar à ENISA que realize uma avaliação. Com base nessa avaliação, a Comissão deverá poder adotar, por meio de atos de execução, medidas corretivas ou restritivas a nível da União, nomeadamente exigindo a retirada do mercado ou a recolha dos produtos com elementos digitais em causa, num prazo razoável e proporcional à natureza do risco. A Comissão deverá poder recorrer a essa intervenção em circunstâncias excecionais que justifiquem uma intervenção imediata para preservar o bom funcionamento do mercado interno, e apenas se as autoridades de fiscalização do mercado não tiverem tomado medidas eficazes para corrigir a situação. Essas circunstâncias excecionais podem corresponder a situações de emergência em que, por exemplo, um produto com elementos digitais não conforme seja generalizadamente disponibilizado pelo fabricante em vários Estados-Membros e também utilizado em setores fundamentais por entidades abrangidas pelo âmbito de aplicação da Diretiva (UE) 2022/2555, embora contenha vulnerabilidades conhecidas que estão a ser exploradas por agentes mal-intencionados e para as quais o fabricante não faculte atualizações corretivas. A Comissão deverá poder intervir nessas situações de emergência apenas enquanto as circunstâncias excecionais se verificarem e se o incumprimento do presente regulamento ou os riscos importantes detetados persistirem.

(113)

Sempre que existam indícios de incumprimento do presente regulamento em vários Estados-Membros, as autoridades de fiscalização do mercado deverão poder realizar atividades conjuntas com outras autoridades, com vista a verificar a conformidade e identificar os riscos de cibersegurança dos produtos com elementos digitais.

(114)

As ações de controlo coordenadas simultâneas (ações de fiscalização conjuntas) são ações de execução específicas das autoridades de fiscalização do mercado que podem reforçar ainda mais a segurança dos produtos. Em especial, deverão ser realizadas ações de fiscalização conjuntas sempre que as tendências do mercado, as queixas dos consumidores ou outros indícios sugiram que determinadas categorias de produtos com elementos digitais apresentam frequentemente riscos de cibersegurança. Além disso, ao determinarem as categorias de produtos que deverão ser objeto de ações de fiscalização conjuntas, as autoridades de fiscalização do mercado deverão também ter em conta circunstâncias relacionadas com fatores de risco não técnicos. Para o efeito, as autoridades de fiscalização do mercado deverão poder ter em conta os resultados das avaliações coordenadas efetuadas a nível da União dos riscos de segurança das cadeias de abastecimento críticas, realizadas em conformidade com o artigo 22.o da Diretiva (UE) 2022/2555, incluindo circunstâncias relacionadas com fatores de risco não técnicos. A ENISA deverá apresentar às autoridades de fiscalização do mercado propostas de categorias de produtos com elementos digitais para as quais poderão ser organizadas ações de fiscalização conjuntas, com base, nomeadamente, nas notificações de vulnerabilidades de produtos e incidentes que recebe.

(115)

Tendo em conta os seus conhecimentos especializados e o seu mandato, a ENISA deverá poder apoiar o processo de aplicação do presente regulamento. Em especial, a ENISA deverá poder propor atividades conjuntas a realizar pelas autoridades de fiscalização do mercado, com base em indícios ou informações sobre a potencial não conformidade de produtos com elementos digitais em vários Estados-Membros com o presente regulamento, ou identificar categorias de produtos para as quais devam ser organizadas ações de fiscalização conjuntas. Em circunstâncias excecionais, a ENISA deverá poder realizar, a pedido da Comissão, avaliações de produtos específicos com elementos digitais que apresentem um risco de cibersegurança significativo, caso seja necessária uma intervenção imediata para preservar o bom funcionamento do mercado interno.

(116)

O presente regulamento confere à ENISA determinadas atribuições que requerem recursos adequados, tanto em termos de conhecimentos especializados como de recursos humanos, para que a ENISA possa desempenhar essas atribuições de forma eficaz. A Comissão proporá os recursos orçamentais necessários para o quadro de pessoal da ENISA, em conformidade com o procedimento previsto no artigo 29.o do Regulamento (UE) 2019/881, aquando da elaboração do projeto de orçamento geral da União. Durante esse processo, a Comissão terá em conta os recursos globais da ENISA que lhe permitam exercer as suas atribuições, incluindo as conferidas à ENISA nos termos do presente regulamento.

(117)

A fim de assegurar que o regime regulamentar possa ser adaptado sempre que necessário, o poder de adotar atos nos termos do artigo 290.o do Tratado sobre o Funcionamento da União Europeia (TFUE) deverá ser delegado na Comissão no que diz respeito a rever e incluir no anexo do presente regulamento os produtos importantes com elementos digitais. Deverá ser delegado na Comissão o poder de adotar atos nos termos desse artigo a fim de identificar os produtos com elementos digitais abrangidos por outras regras da União que permitam alcançar o mesmo nível de proteção que o presente regulamento, especificando se será necessária uma limitação ou exclusão do âmbito de aplicação do presente regulamento, bem como o âmbito dessa limitação, se for caso disso. Deverá também ser delegado na Comissão o poder de adotar atos nos termos desse artigo no que diz respeito à potencial obrigatoriedade de certificação ao abrigo de um sistema europeu de certificação dos produtos críticos com elementos digitais indicados no anexo do presente regulamento, bem como no que diz respeito à atualização da lista dos produtos críticos com elementos digitais com base nos critérios de criticidade estabelecidos no presente regulamento, e para especificar os sistemas europeus de certificação da cibersegurança adotados nos termos do Regulamento (UE) 2019/881 que podem ser utilizados para demonstrar a conformidade com os requisitos essenciais de cibersegurança ou partes dos mesmos, conforme estabelecidos no anexo do presente regulamento. Deverá igualmente ser delegado na Comissão o poder de adotar atos para especificar o período mínimo do apoio para categorias específicas de produtos relativamente às quais os dados de fiscalização do mercado apontam para a inadequação dos períodos de apoio, bem como para especificar os termos e condições de aplicação dos motivos relacionados com a cibersegurança no que diz respeito ao adiamento da divulgação de notificações de vulnerabilidades ativamente exploradas. Além disso, deverá ser delegado na Comissão o poder de adotar atos para estabelecer programas voluntários de certificação de segurança destinados a avaliar a conformidade dos produtos com elementos digitais considerados software livre e de código-fonte aberto com todos ou com determinados requisitos essenciais de cibersegurança ou outras obrigações estabelecidas no presente regulamento, bem como para especificar o conteúdo mínimo da declaração de conformidade UE e complementar os elementos a incluir na documentação técnica. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos, e que essas consultas sejam conduzidas de acordo com os princípios estabelecidos no Acordo Interinstitucional, de 13 de abril de 2016, sobre legislar melhor (31). Em particular, a fim de assegurar a igualdade de participação na preparação dos atos delegados, o Parlamento Europeu e o Conselho recebem todos os documentos ao mesmo tempo que os peritos dos Estados-Membros, e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão que tratem da preparação dos atos delegados. O poder de adotar atos delegados é conferido à Comissão por um período de cinco anos a contar de 10 de dezembro de 2024. A Comissão deverá elaborar um relatório relativo à delegação de poderes pelo menos nove meses antes do final do prazo de cinco anos. A delegação de poderes deverá ser tacitamente prorrogada por períodos de igual duração, salvo se o Parlamento Europeu ou o Conselho a tal se opuserem pelo menos três meses antes do final de cada prazo.

(118)

A fim de assegurar condições uniformes para a execução do presente regulamento, deverão ser atribuídas competências de execução à Comissão para especificar a descrição técnica das categorias de produtos importantes com elementos digitais estabelecidas num anexo do presente regulamento, especificar o formato e os elementos da lista de materiais do software, especificar mais pormenorizadamente o formato e o procedimento das notificações de vulnerabilidades ativamente exploradas e incidentes graves com impacto na segurança dos produtos com elementos digitais apresentadas pelos fabricantes, estabelecer especificações comuns abrangendo as exigências técnicas que possibilitem o cumprimento dos requisitos essenciais de cibersegurança estabelecidos no anexo I do presente regulamento, estabelecer especificações técnicas para os rótulos, os pictogramas ou quaisquer outras marcas relacionadas com a segurança dos produtos com elementos digitais, bem como os seus períodos de apoio e mecanismos para promover a sua utilização e aumentar a sensibilização do público para a segurança dos produtos com elementos digitais, especificar o formulário simplificado de documentação técnica tendo em conta as necessidades das microempresas e das pequenas empresas e decidir sobre medidas corretivas ou restritivas a nível da União em circunstâncias excecionais que justifiquem uma intervenção imediata para preservar o bom funcionamento do mercado interno. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (32).

(119)

Para assegurar uma cooperação de confiança e construtiva entre as autoridades de fiscalização do mercado a nível da União e a nível nacional, todas as partes envolvidas na aplicação do presente regulamento deverão respeitar a confidencialidade das informações e dos dados obtidos no exercício das suas funções.

(120)

A fim de assegurar a aplicação efetiva das obrigações estabelecidas no presente regulamento, cada autoridade de fiscalização do mercado deverá ter poderes para impor ou solicitar a imposição de coimas. Por conseguinte, deverão ser fixados os níveis máximos das coimas a prever na legislação nacional pelo incumprimento das obrigações estabelecidas no presente regulamento. Ao decidir sobre o montante da coima aplicável a cada caso individual, deverão ser tidas em conta todas as circunstâncias pertinentes da situação específica e, no mínimo, as explicitamente estabelecidas no presente regulamento, inclusive se o fabricante é uma microempresa ou uma pequena ou média empresa, nomeadamente uma empresa em fase de arranque, e se já foram aplicadas coimas pela mesma ou por outras autoridades de fiscalização do mercado ao mesmo operador económico por infrações semelhantes. As referidas circunstâncias poderiam ser agravantes, em situações em que a infração cometida pelo mesmo operador económico persista no território de outros Estados-Membros que não aquele em que já foi aplicada uma coima, ou atenuantes, para assegurar que qualquer outra coima considerada por outra autoridade de fiscalização do mercado para o mesmo operador económico ou para o mesmo tipo de infração já tenha em conta, juntamente com outras circunstâncias específicas pertinentes, uma sanção e o seu montante impostos noutros Estados-Membros. Em todos esses casos, a coima cumulativa que poderá ser aplicada pelas autoridades de fiscalização do mercado de vários Estados-Membros ao mesmo operador económico pelo mesmo tipo de infração deverá assegurar o respeito do princípio da proporcionalidade. Uma vez que as coimas não se aplicam a microempresas nem a pequenas empresas em caso de incumprimento do prazo de 24 horas para a notificação precoce de vulnerabilidades ativamente exploradas ou de incidentes graves com impacto na segurança do produto com elementos digitais, nem a administradores de software de código-fonte aberto em caso de infração ao presente regulamento, e sob reserva do princípio de que as sanções deverão ser efetivas, proporcionadas e dissuasivas, os Estados-Membros não deverão impor a essas entidades outro tipo de sanções de caráter pecuniário.

(121)

Sempre que forem impostas coimas a pessoas que não sejam empresas, a autoridade competente deverá ter em conta o nível geral de rendimentos no Estado-Membro, bem como a situação económica da pessoa em causa, no momento de estabelecer o montante adequado da coima. Deverá caber aos Estados-Membros determinar se as autoridades públicas deverão estar sujeitas a coimas, e em que medida.

(122)

Os Estados-Membros deverão analisar, tendo em conta as circunstâncias nacionais, a possibilidade de afetar as receitas provenientes das sanções previstas no presente regulamento, ou o seu equivalente financeiro, ao apoio às políticas de cibersegurança e para aumentar o nível de cibersegurança na União, nomeadamente através do aumento do número de profissionais qualificados no domínio da cibersegurança, reforçando as capacidades das microempresas e das pequenas e médias empresas e de uma maior sensibilização do público para as ciberameaças.

(123)

Nas suas relações com países terceiros, a União esforça-se por promover o comércio internacional dos produtos regulamentados. Pode ser aplicada uma grande variedade de medidas para promover o comércio, incluindo vários instrumentos jurídicos, como os acordos bilaterais (intergovernamentais) de reconhecimento mútuo (ARM) para a avaliação da conformidade e a marcação de produtos regulamentados. Os ARM são celebrados entre a União e os países terceiros que beneficiem de um nível de desenvolvimento técnico comparável e prossigam uma abordagem compatível em matéria de avaliação da conformidade. Esses acordos baseiam-se na aceitação mútua de certificados, marcas de conformidade e relatórios de ensaio emitidos pelos organismos de avaliação da conformidade de qualquer uma das partes, em conformidade com a legislação da outra parte. Estão atualmente em vigor ARM com vários países terceiros. Esses ARM são celebrados numa série de setores específicos, que podem variar de um país terceiro para outro. A fim de facilitar ainda mais o comércio, e reconhecendo que as cadeias de abastecimento de produtos com elementos digitais são globais, a União pode celebrar ARM relativos à avaliação da conformidade para os produtos regidos pelo presente regulamento, em conformidade com o artigo 218.o do TFUE. A cooperação com países terceiros parceiros também é importante para reforçar a ciber-resiliência a nível mundial, uma vez que, a longo prazo, contribuirá para um regime de cibersegurança robustecido, tanto dentro como fora da União.

(124)

Os consumidores deverão poder fazer valer os seus direitos relativamente às obrigações impostas aos operadores económicos nos termos do presente regulamento através de ações coletivas em conformidade com a Diretiva (UE) 2020/1828 do Parlamento Europeu e do Conselho (33). Para o efeito, o presente regulamento deverá prever que a Diretiva (UE) 2020/1828 seja aplicável às ações coletivas relativas a infrações ao presente regulamento que prejudiquem ou possam prejudicar os interesses coletivos dos consumidores. Por conseguinte, o anexo I da referida diretiva deverá ser alterado em conformidade. Compete aos Estados-Membros assegurar que essas alterações se reflitam nas medidas de transposição adotadas nos termos dessa diretiva, embora a adoção das medidas de transposição nacionais a este respeito não constitua uma condição para a aplicabilidade da referida diretiva a essas ações coletivas. A aplicabilidade da referida diretiva às ações coletivas intentadas em relação a infrações às disposições do presente regulamento pelos operadores económicos que sejam ou possam ser lesivas dos interesses coletivos dos consumidores deverá ter início em 11 de dezembro de 2027.

(125)

A Comissão deverá avaliar e reexaminar periodicamente o presente regulamento, em consulta com todas as partes interessadas pertinentes, nomeadamente para decidir sobre a eventual necessidade de o alterar à luz da evolução das condições sociais, políticas, tecnológicas ou do mercado. O presente regulamento facilitará o cumprimento das obrigações relacionadas com a segurança da cadeia de abastecimento por parte das entidades abrangidas pelo âmbito de aplicação do Regulamento (UE) 2022/2554 e da Diretiva (UE) 2022/2555 que utilizam produtos com elementos digitais. A Comissão deverá avaliar, no âmbito desse reexame periódico, os efeitos combinados do regime de cibersegurança da União.

(126)

Os operadores económicos deverão dispor de tempo suficiente para se adaptarem aos requisitos previstos no presente regulamento. O presente regulamento deverá ser aplicável a contar de 11 de dezembro de 2027, com exceção das obrigações de comunicação de vulnerabilidades ativamente exploradas e incidentes graves com impacto na segurança dos produtos com elementos digitais, que deverão ser aplicáveis a contar de 11 de setembro de 2026 e das disposições sobre a notificação de organismos de avaliação da conformidade, que deverão ser aplicáveis a contar de 11 de junho de 2026.

(127)

Importa apoiar as microempresas e as pequenas e médias empresas, inclusive as empresas em fase de arranque, no atinente à aplicação do presente regulamento e minimizar os riscos relativos à execução resultantes da falta de conhecimentos e competências especializadas no mercado, assim como para facilitar o cumprimento, por parte dos fabricantes, das obrigações que lhes incumbem por força do presente regulamento. O Programa Europa Digital e outros programas pertinentes da União prestam apoio financeiro e técnico que permite que essas empresas contribuam para o crescimento da economia da União e para o reforço do nível comum de cibersegurança na União. O Centro Europeu de Competências em Cibersegurança e os centros nacionais de coordenação, assim como os Polos Europeus de Inovação Digital criados pela Comissão e pelos Estados-Membros à escala da União ou no plano nacional, poderão também apoiar as empresas e as organizações do setor público e contribuir para a aplicação do presente regulamento. No âmbito das respetivas missões e domínios de competência, poderão prestar apoio técnico e científico às microempresas e às pequenas e médias empresas, designadamente no caso de atividades de ensaio e avaliações da conformidade por terceiros. Poderão também promover a utilização de instrumentos para facilitar a aplicação do presente regulamento.

(128)

Além disso, os Estados-Membros deverão ponderar a adoção de medidas complementares destinadas a fornecer orientações e apoio às microempresas e às pequenas e médias empresas, nomeadamente através da criação de ambientes de testagem da regulamentação e canais de comunicação específicos. No intuito de reforçar o nível de cibersegurança na União, os Estados-Membros podem também considerar a possibilidade de prestar apoio com vista ao desenvolvimento de capacidades e competências relacionadas com a cibersegurança de produtos com elementos digitais, à melhoria da ciber-resiliência dos operadores económicos, mormente das microempresas e das pequenas e médias empresas, e à promoção da sensibilização do público para a cibersegurança dos produtos com elementos digitais.

(129)

Atendendo a que o objetivo do presente regulamento não pode ser suficientemente alcançado pelos Estados-Membros, mas pode, devido aos efeitos da ação, ser mais bem alcançado ao nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para atingir esse objetivo.

(130)

A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (34) e emitiu parecer em 9 de novembro de 2022 (35),