(1)

Securitatea cibernetică este una dintre principalele provocări pentru Uniune. Numărul și varietatea dispozitivelor conectate vor crește exponențial în următorii ani. Atacurile cibernetice reprezintă o chestiune de interes public, deoarece au un impact critic nu numai asupra economiei Uniunii, ci și asupra democrației, precum și a siguranței și sănătății consumatorilor. Este necesar, prin urmare, să se întărească abordarea Uniunii în materie de securitate cibernetică, să se abordeze reziliența cibernetică la nivelul Uniunii și să se îmbunătățească funcționarea pieței interne prin stabilirea unui cadru juridic uniform pentru cerințele esențiale de securitate cibernetică pentru introducerea produselor cu elemente digitale pe piața Uniunii. Ar trebui abordate două probleme majore care generează costuri suplimentare pentru utilizatori și pentru societate: nivelul scăzut de securitate cibernetică a produselor cu elemente digitale, care se reflectă în răspândirea pe scară largă a vulnerabilităților și în furnizarea insuficientă și inconsecventă de actualizări de securitate pentru abordarea acestora, precum și accesul insuficient și înțelegerea insuficientă a informațiilor din partea utilizatorilor, ceea ce îi împiedică să aleagă produse cu caracteristici adecvate de securitate cibernetică sau să le utilizeze în mod securizat.

(2)

Prezentul regulament are ca scop stabilirea condițiilor-limită pentru dezvoltarea de produse cu elemente digitale care să fie securizate prin garantarea faptului că produsele hardware și software sunt introduse pe piață cu mai puține vulnerabilități și că producătorii tratează cu seriozitate securitatea pe parcursul întregului ciclu de viață al unui produs. De asemenea, prezentul regulament vizează crearea unor condiții care să le permită utilizatorilor să ia în considerare securitatea cibernetică atunci când selectează și utilizează produse cu elemente digitale, de exemplu prin îmbunătățirea transparenței în ceea ce privește perioada de asistență pentru produsele cu elemente digitale puse la dispoziție pe piață.

(3)

Dreptul relevant al Uniunii în vigoare cuprinde mai multe seturi de norme orizontale care abordează anumite aspecte legate de securitatea cibernetică din diferite perspective, incluzând măsuri de îmbunătățire a securității lanțului de aprovizionare digital. Cu toate acestea, dreptul Uniunii referitor la securitatea cibernetică, inclusiv Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului (3) și Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului (4), nu cuprinde în mod direct cerințele obligatorii de securitate a produselor cu elemente digitale.

(4)

Deși dreptul Uniunii se aplică anumitor produse cu elemente digitale, nu există un cadru de reglementare orizontal al Uniunii care să stabilească cerințe cuprinzătoare de securitate cibernetică pentru toate produsele cu elemente digitale. Diferitele acte și inițiative adoptate până în prezent la nivelul Uniunii și la nivel național abordează doar parțial problemele și riscurile identificate legate de securitatea cibernetică, creând un mozaic legislativ în cadrul pieței interne, sporind insecuritatea juridică atât pentru producătorii, cât și pentru utilizatorii acestor produse și adăugând o sarcină inutilă întreprinderilor și organizațiilor pentru respectarea unei serii de cerințe și obligații pentru tipuri similare de produse. Securitatea cibernetică a acestor produse are o dimensiune transfrontalieră deosebit de puternică, deoarece produsele cu elemente digitale fabricate într-un stat membru sau într-o țară terță sunt adesea utilizate de organizații și de consumatori din întreaga piață internă. Acest lucru face necesară reglementarea domeniului la nivelul Uniunii pentru a asigura un cadru de reglementare armonizat și securitate juridică pentru utilizatori, organizații și întreprinderi, inclusiv microîntreprinderi și întreprinderi mici și mijlocii, în sensul definiției din anexa la Recomandarea 2003/361/CE a Comisiei (5). Cadrul de reglementare al Uniunii ar trebui armonizat prin introducerea unor cerințe orizontale de securitate cibernetică pentru produsele cu elemente digitale. În plus, atât securitatea juridică pentru operatorii economici și pentru utilizatori, cât și o mai bună armonizare a pieței interne și proporționalitatea pentru microîntreprinderi și întreprinderile mici și mijlocii ar trebui să fie asigurate în întreaga Uniune, creând astfel condiții mai viabile pentru operatorii economici care doresc să intre pe piața respectivă.

(5)

În ceea ce privește microîntreprinderile și întreprinderile mici și mijlocii, atunci când se stabilește categoria în care se încadrează o întreprindere, dispozițiile anexei la Recomandarea 2003/361/CE ar trebui să se aplice în întregime. Prin urmare, la calcularea numărului de angajați și a plafoanelor financiare care determină categoriile de întreprinderi, ar trebui să se aplice, de asemenea, dispozițiile articolului 6 din anexa la Recomandarea 2003/361/CE privind stabilirea datelor unei întreprinderi luând în considerare anumite tipuri de întreprinderi, cum ar fi întreprinderile partenere sau întreprinderile afiliate.

(6)

Comisia ar trebui să ofere orientări pentru a sprijini operatorii economici, în special microîntreprinderile și întreprinderile mici și mijlocii, în aplicarea prezentului regulament. Aceste orientări ar trebui să cuprindă, printre altele, domeniul de aplicare al prezentului regulament, în special prelucrarea datelor la distanță și implicațiile sale pentru dezvoltatorii de software gratuite și cu sursă deschisă, aplicarea criteriilor utilizate pentru a stabili perioadele de asistență pentru produsele cu elemente digitale, interacțiunea dintre prezentul regulament și alte acte legislative ale Uniunii și conceptul de modificare substanțială.

(7)

La nivelul Uniunii, diverse documente programatice și politice, cum ar fi comunicarea comună a Comisiei și a Înaltului Reprezentant al Uniunii pentru afaceri externe și politica de securitate din 16 decembrie 2020 intitulată „Strategia de securitate cibernetică a UE pentru deceniul digital”, concluziile Consiliului din 2 decembrie 2020 privind securitatea cibernetică a dispozitivelor conectate și din 23 mai 2022 privind dezvoltarea poziției cibernetice a Uniunii Europene și rezoluția Parlamentului European din 10 iunie 2021 referitoare la Strategia de securitate cibernetică a UE pentru deceniul digital (6), au solicitat elaborarea de cerințe specifice în materie de securitate cibernetică ale Uniunii pentru produsele digitale sau conectate, mai multe țări terțe introducând măsuri de abordare a acestei chestiuni din proprie inițiativă. În raportul final al Conferinței privind viitorul Europei, cetățenii au solicitat „un rol mai important al UE în contracararea amenințărilor la adresa securității cibernetice”. Pentru ca Uniunea să joace un rol de lider la nivel internațional în domeniul securității cibernetice, este important să se stabilească un cadru de reglementare ambițios.

(8)

Pentru a crește nivelul general de securitate cibernetică a tuturor produselor cu elemente digitale introduse pe piața internă, este necesar să se introducă cerințe esențiale de securitate cibernetică orientate către obiective și neutre din punct de vedere tehnologic pentru aceste produse, care să se aplice orizontal.

(9)

În anumite condiții, toate produsele cu elemente digitale integrate într-un sistem electronic de informații mai mare sau conectate la un astfel de sistem pot servi drept vector de atac pentru actorii rău-intenționați. În consecință, chiar și hardware-ul și software-ul considerate a fi mai puțin critice pot facilita compromiterea inițială a unui dispozitiv sau a unei rețele, permițând actorilor rău-intenționați să obțină un acces privilegiat la un sistem sau să se deplaseze lateral între sisteme. Prin urmare, producătorii ar trebui să se asigure că toate produsele cu elemente digitale sunt proiectate și dezvoltate în conformitate cu cerințele esențiale de securitate cibernetică prevăzute în prezentul regulament. Această obligație se referă atât la produsele care pot fi conectate fizic prin interfețe hardware, cât și la produsele care sunt conectate logic, de exemplu prin intermediul unor prize de rețea, canale, fișiere, interfețe de programare a aplicațiilor sau orice alt tip de interfață software. Întrucât amenințările cibernetice se pot propaga prin diverse produse cu elemente digitale înainte de a atinge un anumit obiectiv, de exemplu prin înlănțuirea mai multor exploatări de vulnerabilități, producătorii ar trebui să asigure, de asemenea, securitatea cibernetică a produselor cu elemente digitale care sunt conectate doar indirect la alte dispozitive sau rețele.

(10)

Prin stabilirea unor cerințe de securitate cibernetică pentru introducerea pe piață a produselor cu elemente digitale, se urmărește ca securitatea cibernetică a acestor produse să fie îmbunătățită atât pentru consumatori, cât și pentru întreprinderi. Aceste cerințe vor asigura, de asemenea, că securitatea cibernetică este luată în considerare de-a lungul lanțurilor de aprovizionare, îmbunătățind siguranța produselor finale cu elemente digitale și a componentelor lor. Sunt incluse, de asemenea, cerințe privind introducerea pe piață a produselor de consum cu elemente digitale destinate consumatorilor vulnerabili, cum ar fi jucăriile și sistemele de monitorizare pentru bebeluși. Produsele de consum cu elemente digitale clasificate în prezentul regulament ca produse importante cu elemente digitale prezintă un risc mai mare în materie de securitate cibernetică prin îndeplinirea unei funcții care prezintă un risc semnificativ de efecte negative în ceea ce privește intensitatea lor și capacitatea de a afecta sănătatea, securitatea sau siguranța utilizatorilor unor astfel de produse și ar trebui să facă obiectul unei proceduri mai stricte de evaluare a conformității. Acest lucru este valabil pentru produse cum ar fi produsele casnice inteligente cu funcționalități legate de securitate, inclusiv încuietorile inteligente pentru uși, sistemele de monitorizare a bebelușilor și sistemele de alarmă, jucăriile conectate și tehnologiile medicale portabile personale. În plus, procedurile mai stricte de evaluare a conformității la care trebuie supuse alte produse cu elemente digitale clasificate în prezentul regulament ca fiind produse importante sau esențiale cu elemente digitale vor contribui la împiedicarea potențialelor efecte negative ale exploatării vulnerabilităților asupra consumatorilor.

(11)

Obiectivul prezentului regulament este de a asigura un nivel ridicat de securitate cibernetică a produselor cu elemente digitale și a soluțiilor integrate de prelucrare a datelor la distanță ale acestora. Astfel de soluții de procesare a datelor la distanță ar trebui să fie definite ca fiind o procesare de date la distanță pentru care software-ul este conceput și dezvoltat de către sau în numele producătorului produsului cu elemente digitale în cauză și a cărui absență ar împiedica produsul cu elemente digitale să îndeplinească una dintre funcțiile sale. Această abordare asigură că astfel de produse sunt securizate în mod adecvat și integral de către producătorii lor, indiferent dacă datele sunt prelucrate sau stocate local pe dispozitivul utilizatorului sau la distanță de către producător. În același timp, prelucrarea sau stocarea la distanță intră în domeniul de aplicare al prezentului regulament numai în măsura în care este necesar ca un produs cu elemente digitale să îndeplinească funcțiile sale. O astfel de prelucrare sau stocare la distanță include situația în care o aplicație mobilă necesită accesul la o interfață de programare a aplicațiilor sau la o bază de date furnizată prin intermediul unui serviciu dezvoltat de producător. Într-un astfel de caz, serviciul intră în domeniul de aplicare al prezentului regulament ca soluție de prelucrare a datelor la distanță. Prin urmare, cerințele privind soluțiile de prelucrare a datelor la distanță care intră în domeniul de aplicare al prezentului regulament nu implică măsuri tehnice, operaționale sau organizatorice menite să gestioneze riscurile la adresa securității rețelelor și a sistemelor informatice ale unui producător în ansamblu.

(12)

Soluțiile cloud constituie soluții de prelucrare a datelor la distanță în înțelesul prezentului regulament numai dacă corespund definiției prevăzute în prezentul regulament. De exemplu, funcționalitățile activate în cloud furnizate de un producător de dispozitive inteligente pentru casă care permit utilizatorilor să controleze dispozitivul de la distanță intră în domeniul de aplicare al prezentului regulament. Pe de altă parte, site-urile web care nu sprijină funcționalitatea unui produs cu elemente digitale sau serviciile de cloud concepute și dezvoltate în afara responsabilității unui producător de produse cu elemente digitale nu intră în domeniul de aplicare al prezentului regulament. Directiva (UE) 2022/2555 se aplică serviciilor de cloud computing și modelelor de servicii de cloud, precum software ca serviciu (SaaS), platforma ca serviciu (PaaS) sau infrastructura ca serviciu (IaaS). Entitățile care furnizează servicii de cloud computing în Uniune și care se califică drept întreprinderi mijlocii în temeiul articolului 2 din anexa la Recomandarea 2003/361/CE sau care depășesc plafoanele pentru întreprinderile mijlocii prevăzute la alineatul (1) din articolul respectiv intră în domeniul de aplicare al directivei respective.

(13)

În conformitate cu obiectivul prezentului regulament de a elimina obstacolele din calea liberei circulații a produselor cu elemente digitale, statele membre nu ar trebui să împiedice, în ceea ce privește aspectele reglementate de prezentul regulament, punerea la dispoziție pe piață a produselor cu elemente digitale care sunt conforme cu prezentul regulament. Prin urmare, în ceea ce privește aspectele armonizate prin prezentul regulament, statele membre nu pot impune cerințe suplimentare în materie de securitate cibernetică pentru punerea la dispoziție pe piață a produselor cu elemente digitale. Cu toate acestea, orice entitate, publică sau privată, poate stabili cerințe suplimentare față de cele prevăzute în prezentul regulament pentru achiziționarea sau utilizarea de produse cu elemente digitale în scopurile sale specifice și, prin urmare, poate alege să utilizeze produse cu elemente digitale care îndeplinesc cerințe de securitate cibernetică mai stricte sau mai specifice decât cele aplicabile pentru punerea la dispoziție pe piață în temeiul prezentului regulament. Fără a aduce atingere Directivelor 2014/24/UE (7) și 2014/25/UE (8) ale Parlamentului European și ale Consiliului, atunci când achiziționează produse cu elemente digitale, care trebuie să respecte cerințele esențiale de securitate cibernetică prevăzute în prezentul regulament, inclusiv cele referitoare la gestionarea vulnerabilităților, statele membre ar trebui să se asigure că aceste cerințe sunt luate în considerare în procesul de achiziții publice și că se ține seama și de capacitatea producătorilor de a aplica în mod eficace măsuri de securitate cibernetică și de a gestiona amenințările cibernetice. În plus, Directiva (UE) 2022/2555 stabilește măsuri de gestionare a riscurilor în materie de securitate cibernetică pentru entitățile esențiale și importante menționate la articolul 3 din directiva respectivă, care ar putea implica măsuri de securitate a lanțului de aprovizionare care necesită utilizarea de către astfel de entități a unor produse cu elemente digitale care îndeplinesc cerințe de securitate cibernetică mai stricte decât cele prevăzute în prezentul regulament. Prin urmare, în conformitate cu Directiva (UE) 2022/2555 și cu principiul său de armonizare minimă, statele membre pot impune cerințe suplimentare în materie de securitate cibernetică pentru utilizarea produselor din domeniul tehnologiei informației și comunicațiilor (TIC) de către entitățile esențiale sau importante în temeiul directivei respective, pentru a asigura un nivel mai ridicat de securitate cibernetică, cu condiția ca aceste cerințe să fie în concordanță cu obligațiile statelor membre prevăzute în dreptul Uniunii. Aspectele care nu sunt reglementate de prezentul regulament pot include factori fără caracter tehnic referitori la produsele cu elemente digitale și la producătorii acestora. Prin urmare, statele membre pot stabili măsuri naționale, inclusiv restricții privind produsele cu elemente digitale sau furnizorii de astfel de produse, care să țină seama de factori fără caracter tehnic. Măsurile naționale referitoare la astfel de factori trebuie să respecte dreptul Uniunii.

(14)

Prezentul regulament ar trebui să nu aducă atingere responsabilității statelor membre de a lua măsuri de protejare a securității naționale, în conformitate cu dreptul Uniunii. Statele membre ar trebui să poată supune produsele cu elemente digitale care sunt achiziționate sau utilizate în scopuri de securitate națională sau de apărare unor măsuri suplimentare, cu condiția ca astfel de măsuri să fie în concordanță cu obligațiile statelor membre prevăzute în dreptul Uniunii.

(15)

Prezentul regulament se aplică operatorilor economici numai în ceea ce privește produsele cu elemente digitale puse la dispoziție pe piață și, prin urmare, furnizate pentru distribuție sau utilizare pe piața Uniunii în cursul unei activități comerciale. Furnizarea în cadrul unei activități comerciale ar putea fi caracterizată nu numai prin perceperea unui preț pentru un produs cu elemente digitale, ci și prin perceperea unui preț pentru serviciile de asistență tehnică, în cazul în care acestea nu servesc doar la recuperarea costurilor reale, prin intenția de monetizare, de exemplu prin furnizarea unei platforme software prin intermediul căreia producătorul monetizează alte servicii, prin impunerea ca o condiție de utilizare a prelucrării datelor cu caracter personal din alte motive decât exclusiv pentru îmbunătățirea securității, compatibilității sau interoperabilității software-ului, sau prin acceptarea unor donații care depășesc costurile asociate cu proiectarea, dezvoltarea și furnizarea unui produs cu elemente digitale. Acceptarea de donații fără intenția de a realiza un profit nu ar trebui să fie considerată o activitate comercială.

(16)

Produsele cu elemente digitale furnizate ca parte a furnizării unui serviciu pentru care se percepe o taxă exclusiv pentru recuperarea costurilor reale direct legate de funcționarea serviciului respectiv, cum ar fi cazul anumitor produse cu elemente digitale furnizate de entitățile administrației publice, nu ar trebui să fie considerate, exclusiv din aceste motive, o activitate comercială în sensul prezentului regulament. În plus, produsele cu elemente digitale care sunt elaborate sau modificate de o entitate a administrației publice exclusiv pentru uz propriu nu ar trebui considerate a fi puse la dispoziție pe piață în înțelesul prezentului regulament.

(17)

Software-ul și datele care sunt partajate în mod deschis și pe care utilizatorii le pot accesa, utiliza, modifica și redistribui în mod liber sau versiunile modificate ale acestora pot contribui la cercetarea și inovarea pe piață. Pentru a favoriza dezvoltarea și utilizarea de software liber și cu sursă deschisă, în special de către microîntreprinderi și întreprinderi mici și mijlocii, inclusiv start-up-uri, persoane fizice, organizații fără scop lucrativ și organizații de cercetare academică, aplicarea prezentului regulament la produsele cu elemente digitale care se califică drept software liber și cu sursă deschisă furnizate în vederea distribuirii sau utilizării în cadrul unei activități comerciale ar trebui să țină seama de natura diferitelor modele de dezvoltare a software-ului distribuit și dezvoltat în temeiul licențelor de software liber și cu sursă deschisă.

(18)

„Software liber și cu sursă deschisă” înseamnă un software al cărui cod sursă este partajat în mod deschis și care este pus la dispoziție sub licență liberă și cu sursă deschisă ce prevede toate drepturile necesare pentru ca software-ul să fie accesibil, utilizabil, modificabil și redistribuibil în mod gratuit. Software-ul liber și cu sursă deschisă este dezvoltat, menținut și distribuit în mod deschis prin platforme online. În ceea ce privește operatorii economici care intră în domeniul de aplicare al prezentului regulament, numai software-ul liber și cu sursă deschisă pus la dispoziție pe piață și, prin urmare, furnizat pentru distribuție sau utilizare în cursul unei activități comerciale ar trebui să intre în domeniul de aplicare al prezentului regulament. Circumstanțele în care a fost dezvoltat produsul cu elementele digitale sau modul în care a fost finanțată dezvoltarea nu ar trebui, prin urmare, să fie luate în considerare atunci când se stabilește natura comercială sau necomercială a activității respective. Mai precis, în sensul prezentului regulament și în ceea ce privește operatorii economici care intră în domeniul său de aplicare, pentru a se asigura că există o distincție clară între etapele de dezvoltare și de furnizare, furnizarea de produse cu elemente digitale care se califică drept software gratuit și cu sursă deschisă care nu sunt monetizate de producătorii lor nu ar trebui să fie considerată a fi o activitate comercială. În plus, furnizarea de produse cu elemente digitale care se califică drept componente software gratuite și cu sursă deschisă destinate integrării de către alți producători în propriile produse cu elemente digitale ar trebui să fie considerată drept punere la dispoziție pe piață numai dacă componenta este monetizată de producătorul său inițial. De exemplu, simplul fapt că un produs software cu sursă deschisă cu elemente digitale primește sprijin financiar din partea producătorilor sau că producătorii contribuie la dezvoltarea unui astfel de produs nu ar trebui să determine în sine că activitatea este de natură comercială. În plus, simpla prezență a diseminărilor periodice nu ar trebui, în sine, să ducă la concluzia că un produs cu elemente digitale este furnizat în cursul unei activități comerciale. În cele din urmă, în sensul prezentului regulament, dezvoltarea de produse cu elemente digitale care se califică drept software gratuit și cu sursă deschisă de către organizații non-profit nu ar trebui să fie considerată o activitate comercială, cu condiția ca organizația să fie înființată astfel încât să se asigure că toate veniturile după costuri sunt utilizate pentru a atinge obiective non-profit. Prezentul regulament nu se aplică persoanelor fizice sau juridice care contribuie cu cod sursă la produse cu elemente digitale care se califică drept software gratuit și cu sursă deschisă care nu se află în responsabilitatea lor.

(19)

Având în vedere importanța pentru securitatea cibernetică a multor produse cu elemente digitale care se califică drept software gratuit și cu sursă deschisă care sunt publicate, dar nu sunt puse la dispoziție pe piață în înțelesul prezentului regulament, persoanele juridice care oferă sprijin susținut pentru dezvoltarea unor astfel de produse care sunt destinate activităților comerciale și care joacă un rol principal în asigurarea viabilității acestor produse (denumiți în continuare „administratori de software cu sursă deschisă”) ar trebui să fie supuse unui regim de reglementare facil și adaptat. Administratorii de software cu sursă deschisă includ anumite fundații, precum și entități care dezvoltă și publică software gratuit și cu sursă deschisă într-un context de afaceri, inclusiv entitățile fără scop lucrativ. Regimul de reglementare ar trebui să țină seama de natura lor specifică și de compatibilitatea lor cu tipul de obligații impuse. Acesta ar trebui să cuprindă numai produsele cu elemente digitale care se califică drept software gratuit și cu sursă deschisă care sunt în cele din urmă destinate activităților comerciale, cum ar fi integrarea în servicii comerciale sau în produse monetizate cu elemente digitale. În sensul acestui regim de reglementare, intenția de integrare în produse monetizate cu elemente digitale include cazurile în care producătorii care integrează o componentă în propriile produse cu elemente digitale fie contribuie în mod regulat la dezvoltarea componentei respective, fie oferă asistență financiară periodică pentru a asigura continuitatea unui produs software. Furnizarea de asistență susținută pentru dezvoltarea unui produs cu elemente digitale include, fără a se limita la acestea, găzduirea și gestionarea platformelor de colaborare pentru dezvoltarea de software, găzduirea de coduri sursă sau software, reglementarea sau gestionarea produselor cu elemente digitale care se califică drept software gratuit și cu sursă deschisă, precum și coordonarea dezvoltării unor astfel de produse. Având în vedere că regimul de reglementare facil și adaptat nu îi supune pe cei care acționează ca administratori de software cu sursă deschisă acelorași obligații ca pe cei care acționează ca producători în temeiul prezentului regulament, acestora nu ar trebui să li se permită să aplice marcajul CE pe produsele cu elemente digitale a căror dezvoltare o sprijină.

(20)

Simplul fapt de a găzdui produse cu elemente digitale în depozite deschise, inclusiv prin intermediul managerilor de pachete sau al platformelor de colaborare, nu constituie în sine punerea la dispoziție pe piață a unui produs cu elemente digitale. Furnizorii de astfel de servicii ar trebui să fie considerați distribuitori numai dacă pun la dispoziție pe piață un astfel de software și, prin urmare, îl furnizează pentru a fi distribuit sau utilizat pe piața Uniunii în cadrul unei activități comerciale.

(21)

Pentru a sprijini și a facilita diligența necesară a producătorilor care integrează componente software libere și cu sursă deschisă care nu sunt supuși cerințelor esențiale de securitate cibernetică prevăzute în prezentul regulament în produsele lor cu elemente digitale, Comisia ar trebui să poată institui programe voluntare de atestare a securității, fie printr-un act delegat care completează prezentul regulament, fie solicitând un sistem european de certificare de securitate cibernetică în temeiul articolului 48 din Regulamentul (UE) 2019/881, care să țină seama de particularitățile modelelor de dezvoltare de software gratuite și cu sursă deschisă. Programele de atestare a securității ar trebui să fie concepute astfel încât nu numai persoanele fizice sau juridice care dezvoltă sau contribuie la dezvoltarea unui produs cu elemente digitale care se califică drept software liber și cu sursă deschisă să poată iniția sau finanța o atestare de securitate, ci și părți terțe, cum ar fi producătorii care integrează astfel de produse în propriile produse cu elemente digitale, utilizatorii sau administrațiile publice ale Uniunii și cele naționale.

(22)

Având în vedere obiectivele publice în materie de securitate cibernetică ale prezentului regulament și pentru a îmbunătăți conștientizarea situației de către statele membre în ceea ce privește dependența Uniunii de componente software și, în special, de componente software potențial gratuite și cu sursă deschisă, un grup specific de cooperare administrativă (ADCO) instituit prin prezentul regulament ar trebui să poată decide să efectueze în comun o evaluare a dependenței Uniunii. Autoritățile de supraveghere a pieței ar trebui să poată solicita producătorilor de categorii de produse cu elemente digitale stabilite de ADCO să prezinte o listă a materialelor software (SBOM) pe care le-au generat în temeiul prezentului regulament. Pentru a proteja confidențialitatea SBOM, autoritățile de supraveghere a pieței ar trebui să transmită ADCO informații pertinente cu privire la dependențe într-un mod anonimizat și agregat.

(23)

Eficacitatea punerii în aplicare a prezentului regulament va depinde, de asemenea, de disponibilitatea unor competențe adecvate în materie de securitate cibernetică. La nivelul Uniunii, diverse documente programatice și politice, inclusiv comunicarea Comisiei din 18 aprilie 2023 intitulată „Eliminarea deficitului de talente în materie de securitate cibernetică pentru a stimula competitivitatea, creșterea și reziliența UE” și concluziile Consiliului din 22 mai 2023 privind politica UE în domeniul apărării cibernetice au recunoscut lacunele în materie de competențe în materie de securitate cibernetică din Uniune și necesitatea de a aborda cu prioritate astfel de provocări, atât în sectorul public, cât și în cel privat. În vederea asigurării unei puneri în aplicare eficace a prezentului regulament, statele membre ar trebui să se asigure că sunt disponibile resurse adecvate pentru personalul corespunzător al autorităților de supraveghere a pieței și al organismelor de evaluare a conformității pentru a-și îndeplini sarcinile astfel cum sunt prevăzute în prezentul regulament. Aceste măsuri ar trebui să sporească mobilitatea forței de muncă în domeniul securității cibernetice și parcursurile lor profesionale asociate. Acestea ar trebui, de asemenea, să contribuie la creșterea rezilienței și a incluziunii forței de muncă din domeniul securității cibernetice, inclusiv în ceea ce privește genul. Prin urmare, statele membre ar trebui să ia măsuri pentru a se asigura că sarcinile respective sunt îndeplinite de profesioniști instruiți în mod adecvat, care dețin competențele necesare în materie de securitate cibernetică. În mod similar, producătorii ar trebui să se asigure că personalul lor are competențele necesare pentru a-și îndeplini obligațiile astfel cum sunt prevăzute în prezentul regulament. Statele membre și Comisia, în conformitate cu prerogativele și competențele lor și cu sarcinile specifice care le sunt conferite prin prezentul regulament, ar trebui să ia măsuri pentru a sprijini producătorii, în special microîntreprinderile și întreprinderile mici și mijlocii, inclusiv întreprinderile nou-înființate, inclusiv în domenii precum dezvoltarea competențelor, în scopul respectării obligațiilor care le revin astfel cum sunt prevăzute în prezentul regulament. În plus, întrucât Directiva (UE) 2022/2555 impune statelor membre să adopte politici de promovare și dezvoltare a instruirii privind competențele în materie de securitate cibernetică și competențele de securitate cibernetică, ca parte a strategiilor lor naționale de securitate cibernetică, statele membre pot, de asemenea, avea în vedere, atunci când adoptă astfel de strategii, să abordeze nevoile în materie de competențe în materie de securitate cibernetică care rezultă din prezentul regulament, inclusiv cele legate de recalificare și perfecționare.

(24)

Un internet sigur este indispensabil pentru funcționarea infrastructurilor critice și pentru societate în ansamblu. Directiva (UE) 2022/2555 vizează asigurarea unui nivel ridicat de securitate cibernetică a serviciilor furnizate de entități esențiale și importante astfel cum sunt menționate la articolul 3 din directiva respectivă, inclusiv de furnizori de infrastructură digitală care sprijină funcțiile de bază ale internetului deschis, asigură accesul la internet și furnizează serviciile de internet. Prin urmare, este important ca produsele cu elemente digitale necesare pentru ca furnizorii de infrastructură digitală să asigure funcționarea internetului să fie dezvoltate în mod securizat și să respecte standardele consacrate în materie de securitate a internetului. Prezentul regulament, care se aplică tuturor produselor hardware și software conectabile, are ca scop, de asemenea, să faciliteze respectarea de către furnizorii de infrastructură digitală a cerințelor lanțului de aprovizionare în temeiul Directivei (UE) 2022/2555, prin asigurarea faptului că produsele cu elemente digitale pe care le utilizează pentru furnizarea serviciilor lor sunt dezvoltate în mod securizat și că au acces la actualizări de securitate în timp util pentru aceste produse.

(25)

Regulamentul (UE) 2017/745 al Parlamentului European și al Consiliului (9) stabilește norme privind dispozitivele medicale, iar Regulamentul (UE) 2017/746 al Parlamentului European și al Consiliului (10) stabilește norme privind dispozitivele medicale pentru diagnostic in vitro. Aceste regulamente vizează riscurile de securitate cibernetică și urmează abordări specifice care sunt vizate și în prezentul regulament. Mai precis, Regulamentele (UE) 2017/745 și (UE) 2017/746 stabilesc cerințe esențiale pentru dispozitivele medicale care funcționează printr-un sistem electronic sau care sunt ele însele software. Anumite tipuri de software neîncorporat și abordarea bazată pe întregul ciclu de viață sunt, de asemenea, vizate de regulamentele respective. Aceste cerințe le impun producătorilor să își dezvolte și să își construiască produsele aplicând principii de gestionare a riscurilor și stabilind cerințe privind măsurile de securitate informatică, precum și proceduri corespunzătoare de evaluare a conformității. În plus, din decembrie 2019 sunt în vigoare orientări specifice privind securitatea cibernetică a dispozitivelor medicale, care le oferă producătorilor de dispozitive medicale, inclusiv de dispozitive pentru diagnostic in vitro, orientări privind modul de îndeplinire a tuturor cerințelor esențiale relevante prevăzute în anexa I la regulamentele respective în ceea ce privește securitatea cibernetică. Prin urmare, produsele cu elemente digitale cărora li se aplică unul dintre aceste regulamente nu ar trebui să facă obiectul prezentului regulament.

(26)

Produsele cu elemente digitale care sunt dezvoltate sau modificate exclusiv în scopuri de securitate națională sau de apărare sau produsele concepute în mod specific pentru prelucrarea informațiilor clasificate nu intră în domeniul de aplicare al prezentului regulament. Statele membre sunt încurajate să asigure același nivel de protecție sau un nivel mai ridicat de protecție pentru produsele respective față de nivelul de protecție pentru produsele cu elemente digitale care intră în domeniul de aplicare al prezentului regulament.

(27)

Regulamentul (UE) 2019/2144 al Parlamentului European și al Consiliului (11) stabilește cerințe pentru omologarea de tip a vehiculelor și a sistemelor și componentelor acestora, introducând anumite cerințe de securitate cibernetică, inclusiv în ceea ce privește funcționarea unui sistem certificat de gestionare a securității cibernetice, actualizările software-ului, acoperind politicile și procesele organizațiilor pentru riscurile cibernetice legate de întregul ciclu de viață al vehiculelor, echipamentelor și serviciilor în conformitate cu reglementările aplicabile ale Organizației Națiunilor Unite privind specificațiile tehnice și securitatea cibernetică, îndeosebi Regulamentul ONU nr. 155 – Dispoziții uniforme referitoare la omologarea vehiculelor în ceea ce privește securitatea cibernetică și sistemul de gestionare a securității cibernetice (12) și prevăzând proceduri specifice de evaluare a conformității. În domeniul aviației, principalul obiectiv al Regulamentului (UE) 2018/1139 al Parlamentului European și al Consiliului (13) este stabilirea și menținerea unui nivel ridicat și uniform al siguranței aviației civile în Uniune. Regulamentul respectiv creează un cadru pentru cerințele esențiale de navigabilitate pentru produsele, piesele și echipamentele aeronautice, printre care și software-ul, care include obligațiile de protecție împotriva amenințărilor la adresa securității informațiilor. Procesul de certificare în temeiul Regulamentului (UE) 2018/1139 garantează nivelul de asigurare vizat de prezentul regulament. Prin urmare, produsele cu elemente digitale cărora li se aplică Regulamentul (UE) 2019/2144 și produsele certificate în conformitate cu Regulamentul (UE) 2018/1139 nu ar trebui să facă obiectul cerințelor esențiale de securitate cibernetică și al procedurilor de evaluare a conformității prevăzute în prezentul regulament.

(28)

Prezentul regulament stabilește norme orizontale în materie de securitate cibernetică care nu sunt specifice sectoarelor sau anumitor produse cu elemente digitale. Cu toate acestea, ar putea fi introduse norme sectoriale sau specifice produselor la nivelul Uniunii, care să stabilească cerințe care să abordeze toate sau unele dintre riscurile vizate de cerințele esențiale de securitate cibernetică prevăzute de prezentul regulament. În astfel de cazuri, aplicarea prezentului regulament în cazul unor produse cu elemente digitale care fac obiectul altor norme ale Uniunii care stabilesc cerințe care abordează toate sau unele dintre riscurile vizate de cerințele esențiale de securitate cibernetică prevăzute în prezentul regulament poate fi limitată sau exclusă dacă această limitare sau excludere este în concordanță cu cadrul general de reglementare aplicabil produselor respective și dacă normele sectoriale asigură cel puțin același nivel de protecție ca cel prevăzut de prezentul regulament. Comisia ar trebui să fie împuternicită să adopte acte delegate pentru a completa prezentul regulament prin identificarea produselor și a normelor respective. În ceea ce privește dreptul Uniunii în vigoare, în cazul în care o astfel de limitare sau excludere ar trebui să se aplice, prezentul regulament cuprinde dispoziții specifice pentru a clarifica relația sa cu dreptul Uniunii respectiv.

(29)

Pentru a se asigura că produsele cu elemente digitale puse la dispoziție pe piață pot fi reparate în mod eficace și că durabilitatea lor poate fi prelungită, ar trebui să se prevadă o exceptare pentru piesele de schimb. Această exceptare ar trebui să cuprindă atât piesele de schimb care au scopul de a repara produsele preexistente puse la dispoziție înainte de data aplicării prezentului regulament, cât și piesele de schimb care au făcut deja obiectul unei proceduri de evaluare a conformității în temeiul prezentului regulament.

(30)

Regulamentul delegat (UE) 2022/30 al Comisiei (14) precizează că anumitor echipamente radio li se aplică o serie de cerințe esențiale prevăzute la articolul 3 alineatul (3) literele (d), (e) și (f) din Directiva 2014/53/UE a Parlamentului European și a Consiliului (15), referitoare la prejudicierea rețelei și utilizarea abuzivă a resurselor rețelei, datele cu caracter personal și viața privată, precum și la fraudă. Decizia de punere în aplicare C(2022)5637 a Comisiei din 5 august 2022 privind o cerere de standardizare adresată Comitetului European de Standardizare și Comitetului European de Standardizare în Electrotehnică stabilește cerințe pentru elaborarea unor standarde specifice care să detalieze modul în care ar trebui să fie abordate respectivele cerințe esențiale. Cerințele esențiale de securitate cibernetică prevăzute de prezentul regulament includ toate elementele cerințelor esențiale menționate la articolul 3 alineatul (3) literele (d), (e) și (f) din Directiva 2014/53/UE. În plus, cerințele esențiale de securitate cibernetică prevăzute de prezentul regulament sunt aliniate la obiectivele cerințelor pentru standardele specifice incluse în cererea de standardizare respectivă. Prin urmare, atunci când Comisia abrogă sau modifică Regulamentul delegat (UE) 2022/30, cu consecința că acesta încetează să se aplice în cazul anumitor produse care fac obiectul prezentului regulament, Comisia și organizațiile europene de standardizare ar trebui să ia în considerare activitatea de standardizare desfășurată în contextul Deciziei de punere în aplicare C(2022)5637 atunci când vor pregăti și elabora standarde armonizate pentru facilitarea punerii în aplicare a prezentului regulament. În cursul perioadei de tranziție pentru aplicarea prezentului regulament, Comisia ar trebui să ofere orientări producătorilor care sunt supuși prezentului regulament și, de asemenea, Regulamentului delegat (UE) 2022/30, pentru a facilita demonstrarea respectării celor două regulamente.

(31)

Directiva (UE) 2024/2853 a Parlamentului European și a Consiliului (16) este complementară prezentului regulament. Directiva respectivă stabilește norme privind răspunderea pentru produsele cu defecte, pentru ca persoanele prejudiciate să poată solicita despăgubiri în cazul în care anumite produse cu defecte au provocat un prejudiciu. Directiva respectivă stabilește principiul conform căruia producătorul unui produs este răspunzător pentru prejudiciile provocate cauzate de lipsa de siguranță a produsului său, indiferent de culpă (răspundere obiectivă). În cazul în care o astfel de lipsă de siguranță constă în lipsa actualizărilor de securitate după introducerea produsului pe piață, iar acest lucru provoacă prejudicii, ar putea fi angajată răspunderea producătorului. Prezentul regulament ar trebui să prevadă obligații pentru producători referitoare la furnizarea unor astfel de actualizări de securitate.

(32)

Prezentul regulament nu ar trebui să aducă atingere Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului (17), inclusiv dispozițiilor privind instituirea unor mecanisme de certificare în domeniul protecției datelor și a unor sigilii și mărcilor în materie de protecție a datelor, cu scopul de a demonstra conformitatea operațiunilor de prelucrare efectuate de operatori și de persoanele împuternicite de operatori cu regulamentul respectiv. Astfel de operațiuni ar putea fi încorporate într-un produs cu elemente digitale. Protecția datelor începând cu momentul conceperii și în mod implicit, precum și securitatea cibernetică în general sunt elemente-cheie ale Regulamentului (UE) 2016/679. Prin protejarea consumatorilor și a organizațiilor de riscurile de securitate cibernetică, cerințele esențiale de securitate cibernetică prevăzute în prezentul regulament urmează, de asemenea, să contribuie la îmbunătățirea protecției datelor cu caracter personal și a vieții private a persoanelor. Ar trebui avute în vedere sinergii atât în ceea ce privește standardizarea, cât și certificarea aspectelor legate de securitatea cibernetică prin cooperarea dintre Comisie, organizațiile europene de standardizare, Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA), Comitetul european pentru protecția datelor instituit prin Regulamentul (UE) 2016/679 și autoritățile naționale de supraveghere a protecției datelor. De asemenea, ar trebui să fie create sinergii între prezentul regulament și legislația Uniunii în materie de protecție a datelor în domeniul supravegherii pieței și al asigurării respectării legislației. În acest scop, autoritățile naționale de supraveghere a pieței desemnate în temeiul prezentului regulament ar trebui să coopereze cu autoritățile care supraveghează aplicarea legislației Uniunii în materie de protecție a datelor. De asemenea, acestea din urmă ar trebui să aibă acces la informațiile relevante pentru îndeplinirea sarcinilor lor.

(33)

În măsura în care produsele lor intră în domeniul de aplicare al prezentului regulament, furnizorii de portofele europene pentru identitatea digitală, astfel cum se menționează la articolul 5a alineatul (2) din Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului (18), ar trebui să respecte atât cerințele esențiale orizontale de securitate cibernetică prevăzute în prezentul regulament, cât și cerințele de securitate specifice prevăzute la articolul 5a din Regulamentul (UE) nr. 910/2014. Pentru a facilita conformitatea, furnizorii de portofele ar trebui să fie în măsură să demonstreze conformitatea portofelelor europene pentru identitatea digitală cu cerințele prevăzute în prezentul regulament și, respectiv, în Regulamentul (UE) nr. 910/2014, prin certificarea produselor lor în cadrul unui sistem european de certificare a securității cibernetice instituit în temeiul Regulamentului (UE) 2019/881 și pentru care Comisia a specificat, prin intermediul unor acte delegate, o prezumție de conformitate cu prezentul regulament, în măsura în care certificatul sau părți ale acestuia cuprind cerințele respective.

(34)

Atunci când integrează componente provenite de la părți terțe în produse cu elemente digitale în faza de proiectare și dezvoltare, producătorii ar trebui să exercite diligența necesară în ceea ce privește componentele respective, inclusiv componentele software gratuite și cu sursă deschisă care nu au fost puse la dispoziție pe piață, pentru a se asigura că produsele sunt proiectate, dezvoltate și produse în conformitate cu cerințele esențiale de securitate cibernetică prevăzute în prezentul regulament. Nivelul corespunzător de diligență necesară depinde de natura și de nivelul riscului de securitate cibernetică asociat cu o anumită componentă și, în acest scop, ar trebui să ia în considerare una sau mai multe dintre următoarele acțiuni: verificarea, după caz, a faptului că producătorul unei componente a demonstrat conformitatea cu prezentul regulament, inclusiv prin verificarea dacă componenta poartă deja marcajul CE; verificarea faptului că o componentă primește actualizări de securitate periodice, de exemplu prin verificarea istoricului actualizărilor sale de securitate; verificarea faptului că o componentă nu prezintă vulnerabilități înregistrate în baza de date europeană a vulnerabilităților instituită în temeiul articolului 12 alineatul (2) din Directiva (UE) 2022/2555 sau în alte baze de date accesibile publicului privind vulnerabilitățile; sau efectuarea de teste de securitate suplimentare. Obligațiile de gestionare a vulnerabilităților prevăzute în prezentul regulament, pe care producătorii trebuie să le respecte atunci când introduc pe piață un produs cu elemente digitale și pentru perioada de asistență, se aplică tuturor produselor cu elemente digitale, inclusiv tuturor componentelor integrate. În cazul în care, în exercitarea diligenței necesare, producătorul produsului cu elemente digitale identifică o vulnerabilitate într-o componentă, inclusiv într-o componentă gratuită și cu sursă deschisă, acesta ar trebui să informeze persoana sau entitatea care produce sau întreține componenta, să abordeze și să remedieze vulnerabilitatea și, dacă este cazul, să furnizeze persoanei sau entității respective soluția de securitate aplicată.

(35)

Imediat după perioada de tranziție pentru aplicarea prezentului regulament, este posibil ca un producător al unui produs cu elemente digitale care integrează una sau mai multe componente provenite de la părți terțe cărora li se aplică, de asemenea, prezentul regulament să nu fie în măsură să verifice, în cadrul obligației sale de diligență necesară, dacă producătorii componentelor respective au demonstrat conformitatea cu prezentul regulament prin verificarea, de exemplu, dacă componentele poartă deja marcajul CE. Acest lucru se poate întâmpla atunci când componentele au fost integrate înainte ca prezentul regulament să devină aplicabil producătorilor componentelor respective. Într-un astfel de caz, un producător care integrează astfel de componente ar trebui să exercite diligența necesară prin alte mijloace.

(36)

Produsele cu elemente digitale ar trebui să poarte marcajul CE pentru a indica în mod vizibil, lizibil și fără posibilitate de ștergere conformitatea lor cu prezentul regulament, astfel încât să poată circula liber în cadrul pieței interne. Statele membre ar trebui să nu genereze obstacole nejustificate în calea introducerii pe piață a produselor cu elemente digitale care sunt conforme cu cerințele prevăzute în prezentul regulament și care poartă marcajul CE. În plus, la târguri comerciale, expoziții și demonstrații sau evenimente similare, statele membre nu ar trebui să împiedice prezentarea sau utilizarea unui produs cu elemente digitale care nu este conform cu prezentul regulament, inclusiv a prototipurilor sale, cu condiția ca un anunț vizibil să indice în mod clar că produsul nu este conform cu prezentul regulament și că nu poate fi pus la dispoziție pe piață înainte de asigurarea conformității.

(37)

Pentru a se asigura că producătorii pot lansa software în scopuri de testare înainte de a-și supune produsele cu elemente digitale unei evaluări a conformității, statele membre nu ar trebui să împiedice punerea la dispoziție a software-ului nefinalizat, cum ar fi versiunile alfa, beta sau cele candidate la lansare, cu condiția ca software-ul nefinalizat să fie pus la dispoziție numai pentru perioada necesară pentru a o testa și a primi feedback. Producătorii ar trebui să se asigure că software-ul pus la dispoziție în aceste condiții este lansat numai în urma unei evaluări a riscurilor și că respectă, în măsura posibilului, cerințele de securitate referitoare la proprietățile produselor cu elemente digitale prevăzute în prezentul regulament. De asemenea, producătorii ar trebui să pună în aplicare, în măsura posibilului, cerințele de gestionare a vulnerabilităților. Producătorii nu ar trebui să oblige utilizatorii să treacă la versiunile lansate numai în scopul testării.

(38)

Pentru a se asigura că produsele cu elemente digitale, atunci când sunt introduse pe piață, nu prezintă riscuri în materie de securitate cibernetică pentru persoane și organizații, ar trebui stabilite cerințe esențiale de securitate cibernetică pentru astfel de produse. Respectivele cerințe esențiale de securitate cibernetică, inclusiv cerințele de gestionare a vulnerabilităților, se aplică fiecărui produs individual cu elemente digitale atunci când este introdus pe piață, indiferent dacă produsul cu elemente digitale este fabricat ca unitate individuală sau în serie. De exemplu, pentru un tip de produs, fiecare produs individual cu elemente digitale ar fi trebuit să primească toate corecțiile de securitate sau actualizările disponibile pentru a soluționa problemele de securitate relevante atunci când este introdus pe piață. În cazul în care produsele cu elemente digitale sunt modificate ulterior, prin mijloace fizice sau digitale, într-un mod care nu este prevăzut de producător în evaluarea inițială a riscurilor și care poate implica faptul că acestea nu mai îndeplinesc cerințele esențiale de securitate cibernetică relevante, modificarea ar trebui să fie considerată substanțială. De exemplu, reparațiile ar putea fi asimilate operațiunilor de întreținere, cu condiția ca acestea să nu modifice un produs cu elemente digitale deja introdus pe piață astfel încât să poată fi afectată conformitatea cu cerințele aplicabile sau să poată fi schimbată scopul preconizat pentru care a fost evaluat produsul.

(39)

La fel ca în cazul reparațiilor sau al modificărilor fizice, un produs cu elemente digitale ar trebui să fie considerat ca fiind modificat substanțial de o modificare a software-ului dacă actualizarea software-ului modifică scopul preconizat al produsului respectiv, iar aceste modificări nu au fost prevăzute de producător în evaluarea inițială a riscurilor sau dacă natura pericolului s-a schimbat sau nivelul de risc în materie de securitate cibernetică a crescut ca urmare a actualizării software-ului, iar versiunea actualizată a produsului este pusă la dispoziție pe piață. Dacă o actualizare de securitate, care este concepută pentru a reduce nivelul riscului în materie de securitate cibernetică al unui produs cu elemente digitale, nu modifică scopul preconizat al unui produs cu elemente digitale, aceasta nu este considerată a fi o modificare substanțială. Aceasta include, de obicei, situațiile în care o actualizare de securitate implică doar ajustări minore ale codului sursă. De exemplu, acesta ar putea fi cazul în care o actualizare de securitate abordează o vulnerabilitate cunoscută, inclusiv prin modificarea funcțiilor sau a performanței unui produs cu elemente digitale, cu unicul scop de a reduce nivelul riscului în materie de securitate cibernetică. În mod similar, o actualizare minoră a funcționalității, cum ar fi o îmbunătățire vizuală, adăugarea de noi pictograme sau versiuni lingvistice la interfața pentru utilizatori, nu ar trebui, în general, să fie considerată o modificare substanțială. În schimb, în cazul în care o actualizare de caracteristici modifică funcțiile inițiale preconizate sau tipul sau performanța unui produs cu elemente digitale și îndeplinesc criteriile menționate, aceasta ar trebui să fie considerată o modificare substanțială, deoarece adăugarea de noi caracteristici conduce, de regulă, la o suprafață de atac mai largă, sporind astfel riscul în materie de securitate cibernetică. Un exemplu ar putea fi cazul în care un nou element de intrare este adăugat unei aplicații, impunând producătorului să asigure o validare adecvată a datelor de intrare. Atunci când se evaluează dacă o actualizare a caracteristicilor este considerată a fi o modificare substanțială, nu este relevant dacă este furnizată ca actualizare separată sau în combinație, cu actualizare de securitate. Comisia ar trebui să emită orientări cu privire la modul de stabilire a ceea ce constituie o modificare substanțială.

(40)

Ținând seama de caracterul iterativ al dezvoltării de software, producătorii care au introdus pe piață versiuni ulterioare ale unui produs software, ca urmare a unei modificări substanțiale ulterioare a produsului respectiv, ar trebui să poată furniza actualizări de securitate pentru perioada de asistență numai pentru versiunea produsului software pe care au introdus-o ultima dată pe piață. Aceștia ar trebui să poată face acest lucru numai dacă utilizatorii versiunilor anterioare relevante ale produsului au acces gratuit la ultima versiune a produsului introdusă pe piață și nu li se impută costuri suplimentare pentru a ajusta mediul hardware sau software în care utilizează produsul. Acesta ar putea fi, de exemplu, cazul în care o modernizare a sistemului de operare a unui calculator de tip desktop nu necesită hardware nou, cum ar fi o unitate centrală de procesare mai rapidă sau o memorie mai mare. Cu toate acestea, producătorul ar trebui să respecte în continuare, pentru perioada de asistență, alte cerințe de gestionare a vulnerabilităților, cum ar fi existența unei politici privind divulgarea coordonată a vulnerabilităților sau măsuri de facilitare a schimbului de informații cu privire la potențialele vulnerabilități pentru toate versiunile ulterioare modificate substanțial ale produsului software introdus pe piață. Producătorii ar trebui să poată furniza actualizări minore de securitate sau de funcționalitate care nu constituie o modificare substanțială numai pentru cea mai recentă versiune sau subversiune a unui produs software care nu a fost modificat substanțial. În același timp, dacă un produs hardware, cum ar fi un telefon inteligent, nu este compatibil cu cea mai recentă versiune a sistemului de operare cu care a fost livrat inițial, producătorul ar trebui să continue să furnizeze actualizări de securitate cel puțin pentru cea mai recentă versiune compatibilă a sistemului de operare pentru perioada de asistență.

(41)

În conformitate cu conceptul stabilit de comun acord a modificării substanțiale pentru produsele reglementate de legislația de armonizare a Uniunii, atunci când apare o modificare substanțială care ar putea afecta conformitatea produsului cu elemente digitale cu prezentul regulament sau atunci când scopul preconizat al produsului se modifică, este oportun ca conformitatea produsului cu elemente digitale să fie verificată și, după caz, ca acesta să fie supus unei noi evaluări a conformității. După caz, dacă producătorul efectuează o evaluare a conformității care implică un terț, o modificare care ar putea duce la o modificare substanțială ar trebui să fie notificate părții terțe.

(42)

Atunci când un produs cu elemente digitale face obiectul „recondiționării”, „întreținerii” și „reparării”, în sensul definiției de la articolul 2 punctele 18, 19 și 20 din Regulamentul (UE) 2024/1781 al Parlamentului European și al Consiliului (19), acestea nu conduc neapărat la o modificare substanțială a produsului, de exemplu în cazul în care scopul și funcționalitățile preconizate nu sunt modificate, iar nivelul de risc rămâne neafectat. Cu toate acestea, modernizarea unui produs cu elemente digitale de către producător ar putea duce la modificări ale proiectării și dezvoltării produsului respectiv și ar putea afecta, prin urmare, scopul pentru care a fost conceput și conformitatea produsului cu cerințele stabilite în prezentul regulament.

(43)

Produsele cu elemente digitale ar trebui considerate a fi importante dacă impactul negativ al exploatării potențialelor vulnerabilități în materie de securitate cibernetică ale produsului poate fi grav din cauza, printre altele, a funcționalității legate de securitatea cibernetică sau a unei funcții care prezintă un risc semnificativ de efecte negative în ceea ce privește intensitatea și capacitatea de a perturba, controla sau cauza daune unui număr mare de alte produse sau în ceea ce privește sănătatea, securitatea sau siguranța utilizatorilor săi prin manipulare directă, cum ar fi o funcție de sistem central, inclusiv gestionarea rețelei, controlul configurației, virtualizarea sau prelucrarea datelor cu caracter personal. În special, vulnerabilitățile produselor cu elemente digitale care au o funcționalitate legată de securitatea cibernetică, de exemplu boot managers, pot conduce la o propagare a problemelor de securitate în întregul lanț de aprovizionare. Gravitatea impactului unui incident de securitate cibernetică poate crește, de asemenea, dacă produsul îndeplinește în primul rând o funcție de sistem central, inclusiv gestionarea rețelei, controlul configurației, virtualizarea sau prelucrarea datelor cu caracter personal.

(44)

Anumite categorii de produse cu elemente digitale ar trebui să facă obiectul unor proceduri mai stricte de evaluare a conformității, menținând, în același timp, o abordare proporțională. În acest scop, produsele importante cu elemente digitale ar trebui să fie împărțite în două clase, în funcție de nivelul de risc de securitate cibernetică legat de aceste categorii de produse. Un incident care implică produse importante cu elemente digitale care se încadrează în clasa II ar putea avea un impact negativ mai mare decât un incident care implică produse importante cu elemente digitale care se încadrează în clasa I, de exemplu din cauza naturii funcției lor legate de securitatea cibernetică sau a îndeplinirii unei alte funcții care prezintă un risc însemnat de efecte negative. Ca o indicație a acestor efecte negative mai mari, produsele cu elemente digitale care se încadrează în clasa II ar putea fie să îndeplinească o funcționalitate legată de securitatea cibernetică, fie o altă funcție care prezintă un risc semnificativ de efecte negative, mai mare decât pentru cele enumerate în clasa I, fie să îndeplinească ambele criterii menționate anterior. Produsele importante cu elemente digitale care se încadrează în clasa II ar trebui, prin urmare, să facă obiectul unei proceduri mai stricte de evaluare a conformității.

(45)

Produsele importante cu elemente digitale, astfel cum sunt menționate în prezentul regulament ar trebui înțelese ca fiind produsele care au funcționalitatea de bază a unei categorii de produse importante cu elemente digitale care este prevăzută în prezentul regulament. De exemplu, prezentul regulament stabilește categorii de produse importante cu elemente digitale care sunt definite prin funcționalitatea lor de bază ca firewalls-urile sau sistemele de detectare sau prevenire a intruziunilor din clasa II. În consecință, firewalls-urile și sistemele de detectare sau prevenire a intruziunilor fac obiectul evaluării obligatorii de conformitate de către terți. Acest lucru nu este valabil pentru alte produse cu elemente digitale care nu sunt clasificate ca produse importante cu elemente digitale care pot integra firewalls-uri sau sisteme de detectare sau de prevenire a intruziunilor. Comisia ar trebui să adopte un act de punere în aplicare pentru a preciza descrierea tehnică a categoriilor de produse importante cu elemente digitale care se încadrează în clasele I și II, astfel cum sunt prevăzute în prezentul regulament.

(46)

Categoriile de produse critice cu elemente digitale prevăzute în prezentul regulament au o funcționalitate legată de securitatea cibernetică și îndeplinesc o funcție care prezintă un risc semnificativ de efecte negative în ceea ce privește intensitatea și capacitatea de a perturba, controla sau cauza daune unui număr mare de alte produse cu elemente digitale prin manipulare directă. În plus, aceste categorii de produse cu elemente digitale sunt considerate dependențe critice pentru entitățile esențiale menționate la articolul 3 alineatul (1) din Directiva (UE) 2022/2555. Categoriile de produse critice cu elemente digitale prevăzute într-o anexă la prezentul regulament, datorită importanței lor critice, folosesc deja pe scară largă diverse forme de certificare și fac, de asemenea, obiectul sistemului european de certificare de securitate cibernetică bazat pe criterii comune (EUCC), prevăzut de Regulamentul de punere în aplicare (UE) 2024/482 al Comisiei (20). Prin urmare, pentru a asigura o protecție adecvată comună în materie de securitate cibernetică a produselor critice cu elemente digitale în Uniune, ar putea fi adecvat și proporțional ca astfel de categorii de produse să fie supuse, prin intermediul unui act delegat, unei certificări europene obligatorii de securitate cibernetică dacă există deja un sistem european relevant de certificare a securității cibernetice privind produsele respective, iar Comisia a efectuat o evaluare a impactului potențial asupra pieței al certificării obligatorii preconizate. Evaluarea respectivă ar trebui să ia în considerare atât cererea, cât și oferta, inclusiv dacă există o cerere suficientă de produse cu elemente digitale în cauză atât din partea statelor membre, cât și a utilizatorilor pentru ca certificarea europeană de securitate cibernetică să fie necesară, precum și scopurile în care produsele cu elemente digitale sunt destinate a fi utilizate, inclusiv dependența critică de acestea a entităților esențiale astfel cum sunt menționate la articolul 3 alineatul (1) din Directiva (UE) 2022/2555. Evaluarea ar trebui să analizeze, de asemenea, efectele potențiale ale certificării obligatorii asupra disponibilității acestor produse pe piața internă, precum și capacitățile și gradul de pregătire al statelor membre pentru introducerea sistemelor europene de certificare de securitate cibernetică relevante.

(47)

Actele delegate care impun certificarea europeană obligatorie de securitate cibernetică ar trebui să stabilească produsele cu elemente digitale care au funcționalitatea de bază a unei categorii de produse critice cu elemente digitale, prevăzute în prezentul regulament, care urmează să facă obiectul certificării obligatorii, precum și nivelul de asigurare necesar, care ar trebui să fie cel puțin „substanțial”. Nivelul de asigurare necesar ar trebui să fie proporțional cu nivelul riscului în materie de securitate cibernetică asociat produsului cu elemente digitale. De exemplu, în cazul în care produsul cu elemente digitale are funcționalitatea de bază a unei categorii de produse critice cu elemente digitale prevăzute în prezentul regulament și este destinat utilizării într-un mediu sensibil sau critic, cum ar fi produsele destinate utilizării de către entitățile esențiale menționate la articolul 3 alineatul (1) din Directiva (UE) 2022/2555, acesta poate necesita cel mai înalt nivel de asigurare.

(48)

Pentru a asigura o protecție adecvată comună la nivelul Uniunii, în materie de securitate cibernetică a produselor cu elemente digitale care au funcționalitatea de bază a unei categorii de produse critice cu elemente digitale, prevăzută în prezentul regulament, Comisia ar trebui, de asemenea, să fie împuternicită să adopte acte delegate de modificare a prezentului regulament, prin adăugarea sau retragerea unor categorii de produse critice cu elemente digitale pentru care producătorii ar putea fi obligați să obțină un certificat european de securitate cibernetică, în cadrul unui sistem european de certificare de securitate cibernetică, în temeiul Regulamentului (UE) 2019/881, pentru a demonstra conformitatea cu prezentul regulament. O nouă categorie de produse critice cu elemente digitale poate fi adăugată la categoriile respective dacă există o dependență critică de acestea a entităților esențiale menționate la articolul 3 alineatul (1) din Directiva (UE) 2022/2555 sau, în cazul în care sunt afectate de incidente sau conțin vulnerabilități exploatate, acest lucru ar putea duce la perturbări ale lanțurilor de aprovizionare critice. Atunci când evaluează necesitatea adăugării sau retragerii unor categorii de produse critice cu elemente digitale, prin intermediul unui act delegat, Comisia ar trebui să poată lua în considerare dacă statele membre au identificat la nivel național produsele cu elemente digitale care joacă un rol esențial pentru reziliența entităților esențiale menționate la articolul 3 alineatul (1) din Directiva (UE) 2022/2555 și care se confruntă din ce în ce mai mult cu atacuri cibernetice asupra lanțului de aprovizionare, cu potențiale efecte perturbatoare grave. În plus, Comisia ar trebui să poată țină seama de rezultatele evaluărilor coordonate la nivelul Uniunii ale riscurilor de securitate legate de lanțurile de aprovizionare critice, efectuate în conformitate cu articolul 22 din Directiva (UE) 2022/2555.

(49)

Comisia ar trebui să se asigure că o gamă largă de părți interesate relevante sunt consultate în mod structurat și periodic atunci când pregătește măsurile pentru punerea în aplicare a prezentului regulament. Acest aspect ar trebui luat în considerare mai ales atunci când Comisia evaluează necesitatea unor eventuale actualizări ale listelor de categorii de produse importante sau critice cu elemente digitale, caz în care producătorii relevanți ar trebui să fie consultați și opiniile acestora ar trebui să fie avute în vedere, cu scopul de a analiza riscurile în materie de securitate cibernetică, precum și echilibrul dintre costurile și beneficiile desemnării unor astfel de categorii de produse ca fiind importante sau critice.

(50)

Prezentul regulament abordează riscurile de securitate cibernetică într-un mod specific. Cu toate acestea, produsele cu elemente digitale ar putea prezenta și alte riscuri în materie de siguranță, care să nu fie întotdeauna legate de securitatea cibernetică, dar care pot fi o consecință a unei încălcări a securității. Aceste riscuri ar trebui să fie reglementate în continuare de legislația relevantă de armonizare a Uniunii diferită de prezentul regulament. În cazul în care nu este aplicabil niciun alt act din legislația de armonizare a Uniunii, diferit de prezentul regulament, acestea ar trebui să facă obiectul Regulamentului (UE) 2023/988 al Parlamentului European și al Consiliului (21). Prin urmare, având în vedere caracterul specific al prezentului regulament, prin derogare de la articolul 2 alineatul (1) al treilea paragraf litera (b) din Regulamentul (UE) 2023/988, produselor cu elemente digitale ar trebui să li se aplice capitolul III secțiunea 1, capitolele V și VII și capitolele IX-XI din Regulamentul (UE) 2023/988 în ceea ce privește riscurile în materie de siguranță care nu sunt acoperite de prezentul regulament, dacă produsele respective nu fac obiectul unor cerințe specifice impuse de legislația de armonizare a Uniunii diferită de prezentul regulament, în înțelesul articolului 3 punctul 27 din Regulamentul (UE) 2023/988.

(51)

Produsele cu elemente digitale clasificate ca sisteme de IA cu grad ridicat de risc în conformitate cu articolul 6 din Regulamentul (UE) 2024/1689 al Parlamentului European și al Consiliului (22) care intră în domeniul de aplicare al prezentului regulament ar trebui să respecte cerințele esențiale de securitate cibernetică prevăzute în prezentul regulament. Dacă aceste sisteme de IA cu grad ridicat de risc îndeplinesc cerințele esențiale de securitate cibernetică ale prezentului regulament, ar trebui să se considere că acestea respectă cerințele de securitate cibernetică prevăzute la articolul 15 din Regulamentul (UE) 2024/1689, în măsura în care cerințele respective sunt acoperite de declarația de conformitate UE sau de anumite părți ale acesteia, emisă în temeiul prezentului regulament. În acest scop, evaluarea riscurilor în materie de securitate cibernetică asociate unui produs cu elemente digitale clasificat drept sistem de IA cu grad ridicat de risc în temeiul Regulamentului (UE) 2024/1689 care urmează să fie avute în vedere în cursul etapelor de planificare, proiectare, dezvoltare, producție, livrare și mentenanță ale acestui produs, conform cerințelor prezentului regulament, ar trebui să țină cont de riscurile la adresa rezilienței cibernetice a unui sistem de IA în ceea ce privește tentativele unor părți terțe neautorizate de a-i schimba utilizarea, comportamentul sau performanța, inclusiv vulnerabilități specifice IA, cum ar fi „otrăvirea datelor” sau „atacurile contradictorii”, precum și, după caz, riscurile la adresa drepturilor fundamentale, în conformitate cu Regulamentul (UE) 2024/1689. În ceea ce privește procedurile de evaluare a conformității referitoare la cerințele esențiale de securitate cibernetică legate de un produs cu elemente digitale care se încadrează în domeniul de aplicare al prezentului regulament și este clasificat ca sistem de IA cu grad ridicat de risc, articolul 43 din Regulamentul (UE) 2024/1689 ar trebui să se aplice de regulă în locul dispozițiilor relevante din prezentul regulament. Totuși, această regulă nu ar trebui să conducă la o reducere a nivelului necesar de asigurare pentru produsele importante sau critice cu elemente digitale, astfel cum se menționează în prezentul regulament. Prin urmare, prin derogare de la această regulă, sistemele de IA cu grad ridicat de risc care intră în domeniul de aplicare al Regulamentului (UE) 2024/1689 sunt, de asemenea, produse importante sau critice cu elemente digitale, astfel cum se menționează în prezentul regulament și cărora li se aplică procedura de evaluare a conformității bazată pe control intern menționată în anexa VI la Regulamentul (UE) 2024/1689 ar trebui să facă obiectul procedurilor privind evaluarea conformității prevăzute în prezentul regulament în ceea ce privește cerințele esențiale de securitate cibernetică ale prezentului regulament. În astfel de caz, pentru toate celelalte aspecte vizate de Regulamentul (UE) 2024/1689 ar trebui să se aplice dispozițiile relevante privind evaluarea conformității bazată pe control intern prevăzute în anexa VI la regulamentul respectiv.

(52)

Pentru a îmbunătăți securitatea produselor cu elemente digitale introduse pe piața internă, este necesar să se stabilească cerințe esențiale de securitate cibernetică aplicabile unor astfel de produse. Aceste cerințe esențiale de securitate cibernetică nu ar trebui să aducă atingere evaluărilor coordonate la nivelul Uniunii ale riscurilor de securitate pentru lanțurile de aprovizionare critice prevăzute la articolul 22 din Directiva (UE) 2022/2555, care iau în considerare atât factori de risc tehnici, cât și, după caz, factori de risc fără caracter tehnic, cum ar fi influența nejustificată a unei țări terțe asupra furnizorilor. În plus, ele nu ar trebui să se aducă atingere prerogativelor statelor membre de a stabili cerințe suplimentare care să țină seama de factori fără caracter tehnic în scopul asigurării unui nivel ridicat de reziliență, inclusiv de cei definiți în Recomandarea (UE) 2019/534 a Comisiei (23), în evaluarea coordonată la nivelul UE a riscurilor legate de securitatea cibernetică a rețelelor 5G și în setul de instrumente al UE privind securitatea cibernetică a rețelelor 5G convenit de Grupul de cooperare, instituit în conformitate cu articolul 14 din Directiva (UE) 2022/2555.

(53)

Producătorii de produse care intră în domeniul de aplicare al Regulamentului (UE) 2023/1230 al Parlamentului European și al Consiliului (24) care sunt și produse cu elemente digitale în sensul definiției din prezentul regulament ar trebui să respecte atât cerințele esențiale de securitate cibernetică prevăzute în prezentul regulament și cerințele esențiale privind sănătatea și siguranța prevăzute în Regulamentul (UE) 2023/1230. Cerințele esențiale de securitate cibernetică prevăzute în prezentul regulament și anumite cerințe esențiale prevăzute în Regulamentul (UE) 2023/1230 ar putea aborda riscuri similare în materie de securitate cibernetică. Prin urmare, respectarea cerințelor esențiale de securitate cibernetică prevăzute în prezentul regulament ar putea facilita respectarea cerințelor esențiale de securitate cibernetică care acoperă, de asemenea, anumite riscuri în materie de securitate cibernetică prevăzute în Regulamentul (UE) 2023/1230, în special cele privind protecția împotriva corupției și siguranța și fiabilitatea sistemelor de control prevăzute în secțiunile 1.1.9 și 1.2.1 din anexa III la regulamentul respectiv. Astfel de sinergii trebuie să fie demonstrate de producător, de exemplu prin aplicarea, dacă sunt disponibile, a unor standarde armonizate sau a altor specificații tehnice care acoperă cerințele esențiale de securitate cibernetică relevante, în urma unei evaluări a riscurilor care acoperă respectivele riscuri în materie de securitate cibernetică. Producătorul ar trebui, de asemenea, să urmeze procedurile aplicabile de evaluare a conformității stabilite în prezentul regulament și în Regulamentul (UE) 2023/1230. În cadrul lucrărilor pregătitoare care sprijină punerea în aplicare a prezentului regulament și a Regulamentului (UE) 2023/1230 și a proceselor de standardizare aferente, Comisia și organizațiile europene de standardizare ar trebui să promoveze coerența în ceea ce privește modul în care trebuie să fie evaluate riscurile în materie de securitate cibernetică și modul în care riscurile respective urmează să facă obiectul unor standarde armonizate în privința cerințelor esențiale relevante. În special, Comisia și organizațiile europene de standardizare ar trebui să țină cont de prezentul regulament în pregătirea și dezvoltarea standardelor armonizate pentru a facilita punerea în aplicare a Regulamentului (UE) 2023/1230 în ceea ce privește mai ales aspectele de securitate cibernetică legate de protecția împotriva corupției și siguranța și fiabilitatea sistemelor de control, prevăzute în secțiunile 1.1.9 și 1.2.1 din Anexa III la regulamentul respectiv. Comisia ar trebui să ofere orientări pentru a sprijini producătorii cărora li se aplică prezentul regulament și, de asemenea, Regulamentul (UE) 2023/1230, în special pentru a facilita demonstrarea respectarea cerințelor esențiale relevante prevăzute în prezentul regulament și în Regulamentul (UE) 2023/1230.

(54)

Pentru a se asigura faptul că produsele cu elemente digitale sunt sigure atât în momentul introducerii lor pe piață, cât și pe durata de utilizare preconizată a produsului cu elemente digitale, este necesar să se stabilească cerințe esențiale de securitate cibernetică pentru gestionarea vulnerabilităților și cerințe esențiale de securitate cibernetică legate de proprietățile produselor cu elemente digitale. Deși producătorii ar trebui să respecte toate cerințele esențiale de securitate cibernetică legate de gestionarea vulnerabilităților pe întreaga perioadă de asistență, aceștia ar trebui să stabilească celelalte cerințe esențiale de securitate cibernetică legate de proprietățile produsului care sunt relevante pentru tipul de produs cu elemente digitale în cauză. În acest scop, producătorii ar trebui să efectueze o evaluare a riscurilor de securitate cibernetică asociate unui produs cu elemente digitale pentru a identifica riscurile relevante și cerințele esențiale de securitate cibernetică relevante pentru a pune la dispoziție produsele lor cu elemente digitale, fără vulnerabilități exploatabile cunoscute care ar putea avea un impact asupra securității produselor respective și pentru a aplica în mod corespunzător standarde armonizate, specificații comune sau standarde europene sau internaționale adecvate.

(55)

În cazul în care anumite cerințe esențiale de securitate cibernetică nu sunt aplicabile unui produs cu elemente digitale, producătorul ar trebui să includă o justificare clară în evaluarea riscului în materie de securitate cibernetică în documentația tehnică. Acesta ar putea fi cazul în care o cerință esențială de securitate cibernetică este incompatibilă cu natura unui produs cu elemente digitale. De exemplu, scopul preconizat al unui produs cu elemente digitale poate impune producătorului să respecte standarde de interoperabilitate recunoscute pe scară largă, chiar dacă elementele sale de securitate nu mai sunt considerate a fi de ultimă generație. În mod similar, alte acte legislative ale Uniunii impun producătorilor să aplice cerințe specifice de interoperabilitate. În cazul în care o cerință esențială de securitate cibernetică nu se aplică unui produs cu elemente digitale, dar producătorul a identificat riscuri în materie de securitate cibernetică în legătură cu cerința esențială de securitate cibernetică respectivă, acesta ar trebui să ia măsuri pentru a aborda riscurile respective prin alte mijloace, de exemplu prin limitarea scopului preconizat al produsului la medii sigure sau prin informarea utilizatorilor cu privire la riscurile respective.

(56)

Una dintre cele mai importante măsuri pe care utilizatorii trebuie să le ia pentru a-și proteja produsele cu elemente digitale împotriva atacurilor cibernetice este instalarea celor mai recente actualizări de securitate disponibile cât mai curând posibil. Prin urmare, producătorii ar trebui să își proiecteze produsele și să instituie procese pentru a se asigura că produsele cu elemente digitale includ funcții care permit notificarea, distribuirea, descărcarea și instalarea automată a actualizărilor de securitate, în special în cazul produselor de consum. Acestea ar trebui, de asemenea, să ofere posibilitatea de a aproba descărcarea și instalarea actualizărilor de securitate ca etapă finală. Utilizatorii ar trebui să își păstreze capacitatea de a dezactiva actualizările automate, printr-un mecanism clar și ușor de utilizat, însoțit de instrucțiuni clare despre modul în care utilizatorii pot renunța la actualizări. Cerințele referitoare la actualizările automate astfel cum sunt prevăzute într-o anexă la prezentul regulament nu se aplică produselor cu elemente digitale destinate în principal să fie integrate drept componente în alte produse. De asemenea, ele nu se aplică produselor cu elemente digitale pentru care utilizatorii nu s-ar aștepta în mod rezonabil la actualizări automate, inclusiv produselor cu elemente digitale destinate a fi utilizate în rețele TIC profesionale și, în special, în medii critice și industriale în care o actualizare automată ar putea cauza interferențe cu operațiunile. Indiferent dacă un produs cu elemente digitale este conceput sau nu pentru a primi actualizări automate, producătorul acestuia ar trebui să informeze utilizatorii despre vulnerabilități și să pună la dispoziție fără întârziere actualizările de securitate. În cazul în care un produs cu elemente digitale are o interfață pentru utilizatori sau mijloace tehnice similare care permit interacțiunea directă cu utilizatorii săi, producătorul ar trebui să utilizeze astfel de caracteristici pentru a informa utilizatorii că produsul său cu elemente digitale a ajuns la sfârșitul perioadei de asistență. Notificările ar trebui să se limiteze la ceea ce este necesar pentru a asigura primirea eficace a acestor informații și nu ar trebui să aibă un impact negativ asupra experienței utilizatorilor produsului cu elemente digitale.

(57)

Pentru a îmbunătăți transparența proceselor de gestionare a vulnerabilităților și pentru a se asigura că utilizatorii nu sunt obligați să instaleze noi actualizări de funcționalitate cu unicul scop de a primi cele mai recente actualizări de securitate, producătorii ar trebui să se asigure, în cazul în care acest lucru este fezabil din punct de vedere tehnic, că noile actualizări de securitate sunt furnizate separat de actualizările de funcționalitate.

(58)

Comunicarea comună a Comisiei și a Înaltului Reprezentant al Uniunii pentru afaceri externe și politica de securitate din 20 iunie 2023 intitulată „Strategia europeană de securitate economică” a afirmat că Uniunea trebuie să maximizeze beneficiile deschiderii sale economice, reducând în același timp la minimum riscurile generate de dependența economică de furnizorii cu grad ridicat de risc, prin intermediul unui cadru strategic comun privind securitatea economică a Uniunii. Dependențele de furnizorii cu risc ridicat de produse cu elemente digitale ar putea prezenta un risc strategic care trebuie abordat la nivelul Uniunii, în special atunci când produsele cu elemente digitale sunt destinate utilizării de către entitățile esențiale menționate la articolul 3 alineatul (1) din Directiva (UE) 2022/2555. Astfel de riscuri pot fi legate, dar nu în mod exclusiv, de jurisdicția aplicabilă producătorului, de caracteristicile acționariatului său și de legăturile de control cu guvernul unei țări terțe în care este stabilit producătorul, în special în cazul în care o țară terță este implicată în spionaj economic sau are un comportament de stat iresponsabil în spațiul cibernetic, iar legislația sa îi permite accesul arbitrar la orice tip de operațiuni sau date ale întreprinderilor, inclusiv la date sensibile din punct de vedere comercial, și poate impune obligații legate de culegerea de informații fără respectarea principiului echilibrului democratic al puterilor, fără instituirea unor mecanisme de supraveghere, respectarea normelor privind un proces echitabil sau a dreptului de a introduce o cale de atac în fața unei instanțe independente. Atunci când evaluează importanța unui risc de securitate cibernetică în înțelesul prezentului regulament, Comisia și autoritățile de supraveghere a pieței, conform responsabilităților lor prevăzute în prezentul regulament, ar trebui să ia în considerare și factorii de risc fără caracter tehnic, în special cei stabiliți după evaluările coordonate la nivelul Uniunii ale riscurilor în materie de securitate ale lanțurilor de aprovizionare critice, efectuate în conformitate cu articolul 22 din Directiva (UE) 2022/2555.

(59)

Pentru a asigura securitatea produselor cu elemente digitale după introducerea lor pe piață, producătorii ar trebui să stabilească perioada de asistență, care să reflecte durata preconizată pentru utilizarea produsului cu elemente digitale. La stabilirea unei perioade de asistență, un producător ar trebui să țină seama mai ales de așteptările rezonabile ale utilizatorilor, de natura produsului, precum și de dreptul relevant al Uniunii care stabilește durata de viață a produselor cu elemente digitale. Producătorii ar trebui, de asemenea, să poată lua în considerare alți factori relevanți. Criteriile ar trebui să fie aplicate într-un mod care să asigure proporționalitatea în ceea ce privește stabilirea perioadei de asistență. La cerere, un producător ar trebui să furnizeze autorităților de supraveghere a pieței informațiile care au fost luate în considerare pentru a stabili perioada de asistență a unui produs cu elemente digitale.

(60)

Perioada de asistență pentru care producătorul asigură gestionarea eficace a vulnerabilităților ar trebui să fie de cel puțin cinci ani, cu excepția cazului în care durata de viață a produsului cu elemente digitale este mai mică de cinci ani, caz în care producătorul ar trebui să asigure gestionarea vulnerabilităților pe durata de viață respectivă. În cazul în care se preconizează în mod rezonabil că produsul cu elemente digitale va fi utilizat mai mult de cinci ani, așa cum se întâmplă adesea în cazul componentelor hardware, cum ar fi plăcile de bază sau microprocesoarele, dispozitivele de rețea, cum ar fi routerele, modemurile sau comutatoarele, precum și software-ul, cum ar fi sistemele de operare sau instrumentele de editare video, producătorii ar trebui să asigure, în consecință, perioade de asistență mai lungi. În special, produsele cu elemente digitale destinate utilizării în medii industriale, cum ar fi sistemele industriale de control, sunt adesea utilizate pentru perioade semnificativ mai lungi de timp. Un producător ar trebui să poată defini o perioadă de asistență mai mică de cinci ani numai dacă acest lucru este justificat de natura produsului cu elemente digitale în cauză și dacă se preconizează că produsul respectiv va fi utilizat mai puțin de cinci ani, caz în care perioada de asistență ar trebui să corespundă duratei de utilizare preconizate. De exemplu, durata de viață a unei aplicații de depistare a contacților, destinată utilizării în timpul unei pandemii, ar putea fi limitată la durata pandemiei. În plus, anumite aplicații software pot fi puse la dispoziție, prin natura lor, numai pe baza unui abonament, în special în cazul în care aplicația nu mai este disponibilă pentru utilizator și, prin urmare, nu mai este în uz după expirarea abonamentului.

(61)

Atunci când produsele cu elemente digitale ajung la sfârșitul perioadelor lor de asistență, pentru a se asigura că vulnerabilitățile pot fi gestionate după sfârșitul perioadei de asistență, producătorii ar trebui să ia în considerare divulgarea codului sursă al unor astfel de produse cu elemente digitale fie altor întreprinderi care se angajează să extindă furnizarea de servicii de gestionare a vulnerabilităților, fie publicului. În cazul în care producătorii divulgă codul sursă altor întreprinderi, ar trebui să fie în măsură să protejeze proprietatea asupra produsului cu elemente digitale și să împiedice diseminarea codului sursă către public, de exemplu prin acorduri contractuale.

(62)

Pentru a se asigura că producătorii din întreaga Uniune stabilesc perioade de asistență similare pentru produse comparabile cu elemente digitale, ADCO ar trebui să publice statistici privind perioadele medii de asistență stabilite de producători pentru categoriile de produse cu elemente digitale și să emită orientări care să indice perioadele de asistență adecvate pentru astfel de categorii. În plus, în vederea asigurării unei abordări armonizate la nivelul pieței interne, Comisia ar trebui să poată adopta acte delegate în vederea precizării perioadelor minime de asistență pentru anumite categorii de produse dacă datele furnizate de autoritățile de supraveghere a pieței sugerează că perioadele de asistență stabilite de producători fie nu sunt în mod sistematic conforme cu criteriile de stabilire a perioadelor de asistență prevăzute în prezentul regulament, fie că producătorii din state membre diferite stabilesc în mod nejustificat perioade de asistență diferite.

(63)

Producătorii ar trebui să înființeze un ghișeu unic care să le permită utilizatorilor să comunice cu ușurință cu aceștia, inclusiv în scopul raportării și primirii de informații despre vulnerabilitățile produsului cu elemente digitale. Ei ar trebui să facă ghișeul unic ușor accesibil pentru utilizatori și să indice în mod clar disponibilitatea acestuia, menținând aceste informații actualizate. În cazul în care producătorii aleg să ofere instrumente automatizate, de exemplu chat box, ar trebui să ofere, de asemenea, un număr de telefon sau alte mijloace digitale de contact, cum ar fi o adresă de e-mail sau un formular de contact. Ghișeul unic nu ar trebui să se bazeze exclusiv pe instrumente automatizate.

(64)

Producătorii ar trebui să pună la dispoziție pe piață produsele lor cu elemente digitale cu o configurație securizată implicită și să furnizeze utilizatorilor actualizări de securitate în mod gratuit. Producătorii ar trebui să se poată abate de la aceste cerințe esențiale de securitate cibernetică numai în ceea ce privește produsele personalizate care sunt montate într-un anumit scop pentru un anumit furnizor, prin servicii de intermediere online și în cazul în care atât producătorul, cât și utilizatorul au convenit în mod explicit asupra unui set diferit de clauze contractuale.

(65)

Producătorii ar trebui să anunțe simultan, prin intermediul platformei unice de raportare, atât echipa de răspuns la incidente de securitate cibernetică (CSIRT), desemnată drept coordonator, cât și ENISA, cu privire la vulnerabilitățile exploatate activ conținute în produsele cu elemente digitale, precum și cu privire la incidentele grave care au un impact asupra securității produselor respective. Notificările ar trebui să fie transmise utilizând punctul terminal de notificare electronică al unei CSIRT desemnate drept coordonator și ar trebui să fie simultan accesibile ENISA.

(66)

Producătorii ar trebui să notifice vulnerabilitățile exploatate activ pentru a se asigura că CSIRT desemnate drept coordonatori și ENISA au o imagine de ansamblu adecvată a acestor vulnerabilități și primesc informațiile necesare pentru îndeplinirea sarcinilor lor prevăzute în Directiva (UE) 2022/2555 și pentru creșterea nivelului general de securitate cibernetică a entităților esențiale și importante menționate la articolul 3 din directiva respectivă, precum și pentru a asigura funcționarea eficace a autorităților de supraveghere a pieței. Întrucât majoritatea produselor cu elemente digitale sunt comercializate pe întreaga piață internă, orice vulnerabilitate exploatată activ a unui produs cu elemente digitale ar trebui considerată a fi o amenințare la adresa funcționării pieței interne. ENISA ar trebui, în acord cu producătorul, să divulge vulnerabilitățile fixe bazei de date europene a vulnerabilităților instituite în temeiul articolului 12 alineatul (2) din Directiva (UE) 2022/2555. Baza de date europeană a vulnerabilităților va ajuta producătorii să depisteze vulnerabilitățile exploatabile din produsele lor, pentru a garanta punerea la dispoziție pe piață a unor produse sigure.

(67)

Producătorii ar trebui, de asemenea, să informeze CSIRT desemnată drept coordonator și ENISA cu privire la orice incident grav care are un impact asupra securității produsului cu elemente digitale. Pentru a se asigura că utilizatorii pot reacționa rapid la incidentele grave care au un impact asupra securității produselor lor cu elemente digitale, producătorii ar trebui, de asemenea, să își informeze utilizatorii cu privire la orice astfel de incident și, după caz, cu privire la orice măsuri corective pe care utilizatorii le pot adopta pentru a atenua impactul incidentului, de exemplu prin publicarea informațiilor relevante pe site-urile lor sau, dacă producătorul poate să contacteze utilizatorii și dacă riscurile în materie de securitate cibernetică justifică acest lucru, prin contactarea directă a utilizatorilor.

(68)

Vulnerabilitățile exploatate în mod activ se referă la cazurile în care un producător stabilește că o încălcare a securității care îi afectează utilizatorii sau orice altă persoană fizică sau juridică a fost cauzată de un actor rău-intenționat care a utilizat o deficiență a unuia dintre produsele cu elemente digitale puse la dispoziție pe piață de producător. Exemple de astfel de vulnerabilități ar putea fi deficiențele în ceea ce privește funcțiile de identificare și de autentificare ale unui produs. Vulnerabilitățile descoperite fără intenție răuvoitoare în scopul testării, investigării, corectării sau divulgării cu bună-credință pentru a promova securitatea sau siguranța proprietarului sistemului și a utilizatorilor acestuia nu ar trebui să facă obiectul unei notificări obligatorii. Incidentele grave care au un impact asupra securității produsului cu elemente digitale se referă, pe de altă parte, la situațiile în care un incident de securitate cibernetică afectează procesele de dezvoltare, producție sau întreținere ale producătorului într-un mod în care ar putea duce la un risc crescut de securitate cibernetică pentru utilizatori sau pentru alte persoane. Un astfel de incident grav ar putea include o situație în care un atacator a introdus cu succes un cod dăunător în canalul de lansare prin care producătorul eliberează actualizări de securitate utilizatorilor.

(69)

Pentru a se asigura că notificările pot fi diseminate rapid tuturor CSIRT relevante desemnate drept coordonatori și pentru a permite producătorilor să transmită o notificare unică în fiecare etapă a procesului de notificare, ENISA ar trebui să instituie o platformă unică de raportare cu puncte terminale naționale de notificare electronică. Operațiunile curente ale platformei unice de raportare ar trebui să fie gestionate și întreținute de ENISA. CSIRT desemnate drept coordonatori ar trebui să își informeze autoritățile de supraveghere a pieței cu privire la vulnerabilitățile sau incidentele notificate. Platforma unică de raportare ar trebui să fie concepută într-un mod în care să asigure confidențialitatea notificărilor, în special în ceea ce privește vulnerabilitățile pentru care nu este încă disponibilă o actualizare de securitate. În plus, ENISA ar trebui să stabilească proceduri pentru a gestiona informațiile în mod securizat și confidențial. Pe baza informațiilor pe care le colectează, ENISA ar trebui să elaboreze un raport tehnic bienal referitor la tendințele emergente în ceea ce privește riscurile de securitate cibernetică pentru produsele cu elemente digitale și să îl transmită grupului de cooperare creat în conformitate cu articolul 14 din Directiva (UE) 2022/2555.

(70)

În circumstanțe excepționale și în special la cererea producătorului, CSIRT desemnată drept coordonator care primește inițial o notificare ar trebui să poată decide să amâne diseminarea acesteia către celelalte CSIRT relevante desemnate drept coordonatori prin intermediul platformei unice de raportare, în cazul în care acest lucru se poate justifica din motive legate de securitatea cibernetică și pentru o perioadă strict necesară. CSIRT desemnată drept coordonator ar trebui să informeze imediat ENISA cu privire la decizia de a amâna diseminarea, la motivele care stau la baza acesteia, precum și cu privire la momentul în care intenționează să continue diseminarea. Comisia ar trebui să elaboreze, printr-un act delegat, specificații privind termenele și condițiile de aplicare a motivelor legate de securitatea cibernetică și ar trebui să coopereze cu rețeaua CSIRT creată în temeiul articolului 15 din Directiva (UE) 2022/2555 și cu ENISA la pregătirea proiectului de act delegat. Printre exemplele de motive legate de securitatea cibernetică se numără o procedură coordonată de divulgare a vulnerabilităților aflată în curs sau situațiile în care producătorul ar trebui să furnizeze în scurt timp o măsură de atenuare, iar riscurile în materie de securitate cibernetică ale unei diseminări imediate prin intermediul platformei unice de raportare depășesc beneficiile acesteia. La cererea CSIRT desemnată drept coordonator, ENISA ar trebui să fie în măsură să sprijine CSIRT respectivă să aplice motivele legate de securitatea cibernetică pentru a amâna diseminarea notificării pe baza informațiilor pe care ENISA le-a primit de la această CSIRT cu privire la decizia de a nu disemina o notificare din aceste motive legate de securitate cibernetică. În plus, în circumstanțe excepționale, ENISA nu ar trebui să primească simultan toate detaliile unei notificări privind o vulnerabilitate exploatată activ. Acest lucru este valabil atunci când producătorul indică în notificarea sa că vulnerabilitatea notificată a fost exploatată în mod activ de către un actor rău-intenționat și că, potrivit informațiilor disponibile, aceasta nu a fost exploatată în niciun alt stat membru decât cel al CSIRT desemnate drept coordonator căreia producătorul i-a notificat vulnerabilitatea, atunci când orice diseminare ulterioară imediată a vulnerabilității notificate ar putea avea ca rezultat furnizarea de informații a căror divulgare ar fi contrară intereselor esențiale ale statului membru respectiv sau atunci când vulnerabilitatea notificată prezintă un risc iminent ridicat în materie de securitate cibernetică care decurge din diseminarea sa ulterioară. În astfel de cazuri, ENISA va primi acces simultan numai la informațiile conform cărora producătorul a efectuat o notificare, la informațiile generale cu privire la produsul cu elemente digitale în cauză, la informațiile privind natura generală a exploatării și la informațiile referitoare la faptul că respectivele motive de securitate au fost invocate de producător și că, prin urmare, conținutul complet al notificării nu este divulgat. Notificarea completă ar trebui apoi să fie pusă la dispoziția ENISA și a altor CSIRT relevante desemnate drept coordonatori atunci când CSIRT desemnată drept coordonator, care primește inițial notificarea, constată că respectivele motive de securitate care reflectă în special circumstanțele excepționale stabilite în prezentul regulament încetează să existe. În cazul în care, pe baza informațiilor disponibile, ENISA consideră că există un risc sistemic care afectează securitatea pe piața internă, ENISA ar trebui să recomande CSIRT destinatare să disemineze notificarea completă celorlalte CSIRT desemnate drept coordonatori și ENISA.

(71)

Atunci când producătorii notifică o vulnerabilitate exploatată activ sau un incident grav care are un impact asupra securității produsului cu elemente digitale, aceștia ar trebui să indice în ce măsură consideră că informațiile notificate sunt sensibile. CSIRT desemnată drept coordonator care primește inițial notificarea ar trebui să țină seama de aceste informații atunci când evaluează dacă notificarea generează circumstanțe excepționale care justifică o întârziere în diseminarea sa către celelalte CSIRT relevante desemnate drept coordonatori, din motive justificate legate de securitatea cibernetică. De asemenea, aceasta ar trebui să țină seama de aceste informații atunci când evaluează dacă notificarea unei vulnerabilități exploatate activ dă naștere unor circumstanțe excepționale care justifică ca notificarea completă să nu fie pusă simultan la dispoziția ENISA. În cele din urmă, CSIRT desemnate drept coordonatori ar trebui să fie în măsură să țină seama de aceste informații atunci când stabilesc măsurile adecvate de atenuare a riscurilor care decurg din astfel de vulnerabilități și incidente.

(72)

Pentru a simplifica raportarea informațiilor solicitate în temeiul prezentului regulament, având în vedere celelalte cerințe de raportare complementare prevăzute în dreptul Uniunii, cum ar fi Regulamentul (UE) 2016/679, Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului (25), Directiva 2002/58/CE a Parlamentului European și a Consiliului (26) și Directiva (UE) 2022/2555, precum și pentru a reduce sarcina administrativă pentru entități, statele membre sunt încurajate să ia în considerare crearea, la nivel național, a unor puncte unice de intrare pentru astfel de cerințe de raportare. Utilizarea unor astfel de puncte unice de intrare la nivel național pentru raportarea incidentelor de securitate în temeiul Regulamentului (UE) 2016/679 și al Directivei 2002/58/CE nu ar trebui să afecteze aplicarea dispozițiilor Regulamentului (UE) 2016/679 și ale Directivei 2002/58/CE, în special a celor referitoare la independența autorităților menționate în aceste acte. Atunci când instituie platforma unică de raportare menționată în prezentul regulament, ENISA ar trebui să ia în considerare posibilitatea ca punctele terminale naționale de notificare electronică menționate în prezentul regulament să fie integrate în punctele unice de intrare la nivel național care pot integra și alte notificări necesare în temeiul dreptului Uniunii.

(73)

Atunci când creează platforma unică de raportare menționată în prezentul regulament și pentru a beneficia de experiența anterioară, ENISA ar trebui să consulte alte instituții sau agenții ale Uniunii care gestionează platforme sau baze de date care fac obiectul unor cerințe de securitate stricte, cum ar fi Agenția Uniunii Europene pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă în Spațiul de Libertate, Securitate și Justiție (eu-LISA). ENISA ar trebui să analizeze și complementaritățile potențiale cu baza de date europeană a vulnerabilităților creată în temeiul articolului 12 alineatul (2) din Directiva (UE) 2022/2555.

(74)

Producătorii și alte persoane fizice și juridice ar trebui să fie în măsură să notifice unei CSIRT desemnate drept coordonator sau ENISA, în mod voluntar, orice vulnerabilitate conținută într-un produs cu elemente digitale, amenințările cibernetice care ar putea afecta profilul de risc al unui produs cu elemente digitale, orice incident care are un impact asupra securității produsului cu elemente digitale, precum și incidentele evitate la limită care ar fi putut duce la un astfel de incident.

(75)

Statele membre ar trebui să își propună să facă față, în măsura posibilului, provocărilor cu care se confruntă cercetătorii în domeniul vulnerabilității, inclusiv expunerea potențială a acestora la răspunderea penală, în conformitate cu dreptul intern. Având în vedere faptul că persoanele fizice și juridice care cercetează vulnerabilități ar putea fi expuse, în unele state membre, răspunderii penale și civile, statele membre sunt încurajate să adopte orientări în ceea ce privește neurmărirea penală a cercetătorilor în domeniul securității informațiilor și exonerarea de răspundere civilă pentru activitățile desfășurate de aceștia.

(76)

Producătorii de produse cu elemente digitale ar trebui să instituie politici coordonate de divulgare a vulnerabilităților pentru a facilita raportarea vulnerabilităților de către persoane fizice sau entități fie direct, către producător, fie indirect și, la cerere, în mod anonim, prin intermediul CSIRT desemnate drept coordonatori în scopul divulgării coordonate a vulnerabilităților în conformitate cu articolul 12 alineatul (1) din Directiva (UE) 2022/2555. O politică coordonată de divulgare a vulnerabilităților pusă în aplicare de producători ar trebui să precizeze un proces structurat prin care vulnerabilitățile să fie raportate producătorului într-un mod care să îi permită acestuia să diagnosticheze și să remedieze vulnerabilitățile respective înainte ca informațiile detaliate referitoare la acestea să fie divulgate terților sau publicului. În plus, producătorii ar trebui, de asemenea, să aibă în vedere publicarea politicilor lor de securitate într-un format care poate fi citit automat. Având în vedere faptul că informațiile privind vulnerabilitățile exploatabile ale produselor cu elemente digitale care sunt utilizate pe scară largă pot fi vândute la prețuri ridicate pe piața neagră, producătorii de astfel de produse ar trebui să poată utiliza, ca parte a politicilor lor coordonate de divulgare a vulnerabilităților, programe prin care să stimuleze raportarea vulnerabilităților, asigurându-se că persoanele sau entitățile primesc recunoaștere și compensații pentru eforturile lor. Aceasta se referă la așa-numitele „programe de stimulare a identificării bug-urilor”.

(77)

Pentru a facilita analiza vulnerabilităților, producătorii ar trebui să identifice și să documenteze componentele conținute în produsele cu elemente digitale, inclusiv prin întocmirea unei liste a materialelor software (SBOM). SBOM le poate oferi celor care produc, achiziționează și exploatează software informații care le îmbunătățesc înțelegerea lanțului de aprovizionare, ceea ce aduce multiple avantaje, în special ajută producătorii și utilizatorii să urmărească vulnerabilitățile și riscurile de securitate cibernetică nou apărute cunoscute. Este deosebit de important ca producătorii să se asigure că produsele lor cu elemente digitale nu conțin componente vulnerabile dezvoltate de terți. Producătorii nu ar trebui să fie obligați să publice SBOM.

(78)

În cadrul noilor modele de afaceri complexe legate de vânzările online, o societate care își desfășoară activitatea online poate furniza o varietate de servicii. În funcție de natura serviciilor furnizate în legătură cu un anumit produs cu elemente digitale, aceeași entitate se poate încadra în categorii diferite de modele de afaceri sau de operatori economici. În cazul în care o entitate prestează numai servicii de intermediere online pentru un produs cu elemente digitale și este doar un furnizor al unei piețe online, în sensul definiției de la articolul 3 punctul 14 din Regulamentul (UE) 2023/988, aceasta nu se califică drept unul dintre tipurile de operatori economici definiți în prezentul regulament. În cazul în care aceeași entitate este un furnizor al unei piețe online și acționează și în calitate de operator economic, astfel cum este definit în prezentul regulament, pentru vânzarea anumitor produse cu elemente digitale, aceasta ar trebui să fie supusă obligațiilor stabilite în prezentul regulament pentru acest tip de operator economic. De exemplu, dacă furnizorul unei piețe online distribuie, de asemenea, un produs cu elemente digitale, atunci acesta ar fi considerat distribuitor în ceea ce privește vânzarea produsului respectiv. În mod similar, dacă entitatea în cauză își vinde propriile produse de marcă cu elemente digitale, aceasta ar fi considerată drept producător și, prin urmare, ar trebui să respecte cerințele aplicabile producătorilor. De asemenea, unele entități pot fi considerate drept furnizori de servicii de logistică, în sensul definiției de la articolul 3 punctul 11 din Regulamentul (UE) 2019/1020 al Parlamentului European și al Consiliului (27), dacă oferă astfel de servicii. Astfel de cazuri ar trebui să fie evaluate individual. Având în vedere rolul proeminent pe care îl au piețele online în facilitarea comerțului electronic, acestea ar trebui să depună eforturi pentru a coopera cu autoritățile de supraveghere a pieței din statele membre cu scopul de a contribui la garantarea faptului că produsele cu elemente digitale achiziționate prin intermediul piețelor online respectă cerințele de securitate cibernetică prevăzute în prezentul regulament.

(79)

Pentru a facilita evaluarea conformității cu cerințele prevăzute în prezentul regulament, ar trebui să existe o prezumție de conformitate pentru produsele cu elemente digitale care sunt conforme cu standardele armonizate, care transpun cerințele esențiale de securitate cibernetică prevăzute în prezentul regulament în specificații tehnice detaliate și care sunt adoptate în conformitate cu Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului (28). Regulamentul respectiv prevede o procedură pentru formularea de obiecții cu privire la standardele armonizate în cazul în care standardele respective nu îndeplinesc în totalitate cerințele prevăzute în prezentul regulament. Procesul de standardizare ar trebui să asigure o reprezentare echilibrată a intereselor și participarea efectivă a părților interesate din cadrul societății civile, inclusiv a organizațiilor de consumatori. Standardele internaționale care sunt conforme cu nivelul de protecție în materie de securitate cibernetică vizat de cerințele esențiale de securitate cibernetică prevăzute în prezentul regulament ar trebui să fie luate, de asemenea, în considerare cu scopul de a facilita elaborarea de standarde armonizate și punerea în aplicare a prezentului regulament, precum și de a înlesni asigurarea conformității pentru întreprinderi, în special microîntreprinderi și întreprinderile mici și mijlocii și cele care își desfășoară activitatea la nivel mondial.

(80)

Elaborarea în timp util de standarde armonizate în cursul perioadei de tranziție pentru aplicarea prezentului regulament și disponibilitatea acestora înainte de data aplicării prezentului regulament vor fi deosebit de importante pentru punerea sa în aplicare efectivă. Acesta este, în special, cazul produselor importante cu elemente digitale care se încadrează în clasa I. Disponibilitatea standardelor armonizate va permite producătorilor acestor produse să efectueze evaluările conformității prin procedura de control intern și, prin urmare, aceasta poate evita blocajele și întârzierile în activitățile organismelor de evaluare a conformității.

(81)

Regulamentul (UE) 2019/881 stabilește un cadru european voluntar de certificare de securitate cibernetică pentru produsele TIC, procesele TIC și serviciile TIC. Sistemele europene de certificare de securitate cibernetică oferă un cadru comun de încredere pentru utilizatori, care le permite să utilizeze produsele cu elemente digitale care fac obiectul prezentului regulament. Prezentul regulament ar trebui, prin urmare, să creeze sinergii cu Regulamentul (UE) 2019/881. Pentru a facilita evaluarea conformității cu cerințele prevăzute în prezentul regulament, produsele cu elemente digitale care sunt certificate sau pentru care a fost emisă o declarație de conformitate în cadrul unui sistem european de securitate cibernetică în temeiul Regulamentului (UE) 2019/881 care a fost identificat de Comisie într-un act de punere în aplicare sunt considerate a fi conforme cu cerințele esențiale de securitate cibernetică stabilite în prezentul regulament în măsura în care certificatul european de securitate cibernetică sau declarația de conformitate ori anumite părți ale acestora acoperă cerințele respective. În lumina prezentului regulament ar trebui să fie evaluată necesitatea unor noi sisteme europene de certificare de securitate cibernetică pentru produsele cu elemente digitale, inclusiv atunci când se pregătește programul de lucru etapizat la nivelul Uniunii în conformitate cu Regulamentul (UE) 2019/881. În cazul în care este necesar un nou sistem care să acopere produsele cu elemente digitale, inclusiv pentru a facilita respectarea prezentului regulament, Comisia poate solicita ENISA să pregătească propuneri de sisteme în conformitate cu articolul 48 din Regulamentul (UE) 2019/881. Astfel de sisteme europene viitoare de certificare de securitate cibernetică care vor acoperi produsele cu elemente digitale ar trebui să țină seama de cerințele esențiale de securitate cibernetică și de procedurile de evaluare a conformității prevăzute în prezentul regulament și să faciliteze respectarea prezentului regulament. Pentru sistemele europene de certificare de securitate cibernetică care intră în vigoare înainte de intrarea în vigoare a prezentului regulament ar putea fi nevoie de precizări suplimentare cu privire la modalitățile detaliate potrivit cărora se poate aplica prezumția de conformitate. Comisia ar trebui să fie împuternicită să precizeze, prin intermediul unor acte delegate, condițiile în care sistemele europene de certificare de securitate cibernetică pot fi utilizate pentru a demonstra conformitatea cu cerințele esențiale de securitate cibernetică prevăzute în prezentul regulament. În plus, pentru a evita sarcinile administrative nejustificate pentru producători, nu ar trebui să existe o obligație a producătorilor de a efectua o evaluare a conformității de către terți, astfel cum se prevede în prezentul regulament pentru cerințele corespunzătoare, dacă a fost emis un certificat de securitate cibernetică în conformitate cu aceste sisteme europene de certificare de securitate cibernetică la un nivel cel puțin „substanțial”.

(82)

La intrarea în vigoare a Regulamentului de punere în aplicare (UE) 2024/482 care se referă la produsele care fac obiectul prezentului regulament, cum ar fi modulele de securitate hardware și microprocesoarele, Comisia ar trebui să fie în măsură să precizeze, prin intermediul unui act delegat, modul în care EUCC oferă o prezumție de conformitate cu cerințele esențiale de securitate cibernetică stabilite în prezentul regulament sau cu anumite părți ale acestora. În plus, un astfel de act delegat poate preciza modul în care un certificat emis în temeiul EUCC elimină obligația producătorilor de a efectua o evaluare de către terți, astfel cum se prevede în prezentul regulament pentru cerințele corespunzătoare.

(83)

Actualul cadru european de standardizare, care se bazează pe principiile noii abordări stabilite în Rezoluția Consiliului din 7 mai 1985 privind o nouă abordare în ceea ce privește armonizarea tehnică și standardizarea și pe Regulamentul (UE) nr. 1025/2012, reprezintă cadrul implicit pentru elaborarea de standarde care să prevadă o prezumție de conformitate cu cerințele esențiale de securitate cibernetică relevante stabilite în prezentul regulament. Standardele europene ar trebui să fie orientate către piață, să țină seama de interesul public, precum și de obiectivele de politică enunțate în mod clar în solicitarea Comisiei adresată uneia sau mai multor organizații europene de standardizare de a elabora standarde armonizate, într-un termen stabilit și să se bazeze pe consens. Totuși, în absența unor trimiteri pertinente la standarde armonizate, Comisia ar trebui să poată adopta acte de punere în aplicare de stabilire a unor specificații comune pentru cerințele esențiale de securitate cibernetică prevăzute în prezentul regulament, ca soluție de rezervă excepțională pentru a facilita îndeplinirea de către producător a obligației de a respecta respectivele cerințe esențiale de securitate cibernetică, atunci când procesul de standardizare este blocat sau când există întârzieri în stabilirea unor standarde armonizate adecvate, cu condiția ca, procedând astfel, să respecte în mod corespunzător rolul și funcțiile organizațiilor de standardizare europene. În cazul în care întârzierea se datorează complexității tehnice a standardului în cauză, Comisia ar trebui să ia în considerare acest aspect înainte de a analiza dacă să stabilească specificații comune.

(84)

Pentru a stabili, în modul cel mai eficient, specificații comune care să răspundă cerințelor esențiale de securitate cibernetică stabilite în prezentul regulament, Comisia ar trebui să implice în acest proces părțile interesate relevante.

(85)

„Termen rezonabil” înseamnă, în ceea ce privește publicarea trimiterilor la standardele armonizate în Jurnalul Oficial al Uniunii Europene în conformitate cu Regulamentul (UE) nr. 1025/2012, un termen în care se preconizează publicarea în Jurnalul Oficial al Uniunii Europene a trimiterii la standard, rectificarea sau modificarea acesteia și care nu ar trebui să depășească un an de la termenul-limită pentru elaborarea unui standard european stabilit în conformitate cu Regulamentul (UE) nr. 1025/2012.

(86)

Pentru a facilita evaluarea conformității cu cerințele esențiale de securitate cibernetică stabilite în prezentul regulament, ar trebui să existe o prezumție de conformitate pentru produsele cu elemente digitale care sunt conforme cu specificațiile comune adoptate de Comisie în temeiul prezentului regulament în scopul exprimării specificațiilor tehnice detaliate ale cerințelor respective.

(87)

Aplicarea standardelor armonizate, a specificațiilor comune sau a sistemelor europene de certificare a securității cibernetice adoptate în temeiul Regulamentului (UE) 2019/881 care prevăd prezumția de conformitate în ceea ce privește cerințele esențiale de securitate cibernetică aplicabile produselor cu elemente digitale va facilita evaluarea conformității de către producători. În cazul în care producătorul alege să nu aplice aceste modalități pentru anumite cerințe, acesta trebuie să indice în documentația sa tehnică modul în care se realizează conformitatea prin alte mijloace. În plus, aplicarea standardelor armonizate, a specificațiilor comune sau a sistemelor europene de certificare a securității cibernetice adoptate în temeiul Regulamentului (UE) 2019/881 care prevăd prezumția de conformitate de către producători, ar facilita verificarea conformității produselor cu elemente digitale de către autoritățile de supraveghere a pieței. Prin urmare, producătorii de produse cu elemente digitale sunt încurajați să aplice aceste standarde armonizate, specificații comune sau sisteme europene de certificare a securității cibernetice.

(88)

Producătorii ar trebui să elaboreze o declarație de conformitate UE pentru a oferi informațiile necesare în temeiul prezentului regulament cu privire la conformitatea produselor cu elemente digitale cu cerințele esențiale de securitate cibernetică stabilite în prezentul regulament și, după caz, ale altor acte relevante din legislația de armonizare a Uniunii sub incidența cărora intră produsul cu elemente digitale. De asemenea, producătorilor li se poate impune, în temeiul altor acte juridice ale Uniunii, obligația de a întocmi o declarație de conformitate UE. Pentru a asigura accesul efectiv la informații în scopul supravegherii pieței, trebuie întocmită o declarație de conformitate UE unică cu privire la respectarea tuturor actelor juridice relevante ale Uniunii. Pentru a reduce sarcina administrativă a operatorilor economici, respectiva declarație de conformitate UE unică trebuie să poată fi un dosar care să cuprindă declarațiile de conformitate individuale relevante.

(89)

Marcajul CE, ca indicație a conformității unui produs, este consecința vizibilă a unui întreg proces care cuprinde evaluarea conformității în sens larg. Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului (29) stabilește principiile generale care reglementează marcajul CE. Prezentul regulament ar trebui să prevadă norme de reglementare a aplicării marcajului CE pe produsele cu elemente digitale. Marcajul CE ar trebui să fie singurul marcaj care garantează faptul că produsele cu elemente digitale sunt conforme cu cerințele stabilite în prezentul regulament.

(90)

Pentru a permite operatorilor economici să demonstreze conformitatea cu cerințele esențiale de securitate cibernetică stabilite în prezentul regulament și pentru a permite autorităților de supraveghere a pieței să se asigure că produsele cu elemente digitale puse la dispoziție pe piață respectă aceste cerințe, este necesar să se prevadă proceduri de evaluare a conformității. Decizia nr. 768/2008/CE a Parlamentului European și a Consiliului (30) stabilește module pentru procedurile de evaluare a conformității proporțional cu nivelul de risc implicat și cu nivelul de securitate necesar. Pentru a asigura coerența intersectorială și pentru a evita variantele ad-hoc, procedurile de evaluare a conformității adecvate pentru verificarea conformității produselor cu elemente digitale cu cerințele esențiale de securitate cibernetică prevăzute în prezentul regulament ar trebui să se bazeze pe modulele respective. Procedurile de evaluare a conformității ar trebui să examineze și să verifice atât cerințele referitoare la produse, cât și pe cele referitoare la procese care acoperă întregul ciclu de viață al produselor cu elemente digitale, inclusiv planificarea, proiectarea, dezvoltarea sau producția, testarea și întreținerea produsului cu elemente digitale.

(91)

Evaluarea conformității produselor cu elemente digitale care nu sunt enumerate ca produse importante sau critice cu elemente digitale în prezentul regulament poate fi efectuată de producător pe propria răspundere, urmând procedura de control intern bazată pe modulul A din Decizia nr. 768/2008/CE, în conformitate cu prezentul regulament. Acest lucru este valabil și în cazurile în care un producător alege să nu aplice, integral sau parțial, un standard armonizat, o specificație comună sau un sistem european de certificare a securității cibernetice aplicabil. Producătorul păstrează flexibilitatea de a alege o procedură mai strictă de evaluare a conformității care să implice o parte terță. În cadrul procedurii de evaluare a conformității controlului intern, producătorul se asigură și declară pe răspunderea sa exclusivă că produsul cu elemente digitale și procesele producătorului îndeplinesc cerințele esențiale de securitate cibernetică aplicabile prevăzute în prezentul regulament. În cazul în care un produs important cu elemente digitale se încadrează în clasa I, este necesară o asigurare suplimentară pentru a demonstra conformitatea cu cerințele esențiale de securitate cibernetică prevăzute în prezentul regulament. Producătorul ar trebui să aplice standardele armonizate, specificațiile comune sau sistemele europene de certificare a securității cibernetice adoptate în conformitate cu Regulamentul (UE) 2019/881 care au fost identificate de Comisie într-un act de punere în aplicare dacă dorește să efectueze evaluarea conformității pe propria răspundere (modulul A). În cazul în care nu aplică astfel de standarde armonizate, specificații comune sau sisteme europene de certificare a securității cibernetice, producătorul ar trebui să fie supus unei evaluări a conformității care implică o parte terță (pe baza modulelor B și C sau a modulului H). Ținând seama de sarcina administrativă a producătorilor și de faptul că securitatea cibernetică joacă un rol important în etapa de proiectare și dezvoltare a produselor cu elemente digitale, fizice sau nu, procedurile de evaluare a conformității bazate pe modulele B și C sau pe modulul H din Decizia nr. 768/2008/CE au fost alese ca fiind cele mai adecvate pentru evaluarea conformității produselor importante cu elemente digitale în mod proporțional și eficace. Producătorul care efectuează evaluarea conformității de către terți poate alege procedura care se potrivește cel mai bine procesului său de proiectare și de producție. Având în vedere riscul și mai mare de securitate cibernetică legat de utilizarea produselor importante cu elemente digitale care se încadrează în clasa II, evaluarea conformității ar trebui să implice întotdeauna o parte terță, chiar și în cazul în care produsul respectă integral sau parțial standardele armonizate, specificațiile comune sau sistemele europene de certificare a securității cibernetice. Producătorii de produse importante cu elemente digitale care se califică drept software liber și cu sursă deschisă ar trebui să poată urma procedura de control intern bazată pe modulul A, cu condiția de a pune documentația tehnică la dispoziția publicului.

(92)

În timp ce crearea de produse fizice cu elemente digitale necesită, de obicei, ca producătorii să depună eforturi substanțiale pe parcursul etapelor de proiectare, dezvoltare și producție, crearea de produse cu elemente digitale sub formă de software se axează aproape exclusiv pe proiectare și dezvoltare, iar etapa de producție joacă un rol minor. Cu toate acestea, în multe cazuri, produsele software trebuie să fie compilate, construite, ambalate, puse la dispoziție pentru descărcare sau copiate pe suport fizic înainte de a fi introduse pe piață. Aceste activități ar trebui considerate a fi activități echivalente cu producția atunci când se aplică modulele relevante de evaluare a conformității pentru a verifica conformitatea produsului cu cerințele esențiale de securitate cibernetică prevăzute în prezentul regulament în etapele de proiectare, dezvoltare și producție.

(93)

În ceea ce privește microîntreprinderile și întreprinderile mici, pentru a asigura proporționalitatea, este oportun să se reducă costurile administrative fără a afecta nivelul de protecție a securității cibernetice a produselor cu elemente digitale care intră în domeniul de aplicare al prezentului regulament sau condițiile de concurență echitabile între producători. Prin urmare, este oportun ca Comisia să stabilească un formular simplificat de documentație tehnică care să vizeze nevoile microîntreprinderilor și ale întreprinderilor mici. Formularul simplificat de documentație tehnică adoptat de Comisie ar trebui să acopere toate elementele aplicabile legate de documentația tehnică prevăzute în prezentul regulament și să precizeze modul în care o microîntreprindere sau o întreprindere mică poate furniza în mod concis elementele solicitate, cum ar fi descrierea proiectării, dezvoltării și fabricării produsului cu elemente digitale. Astfel, formularul ar contribui la reducerea sarcinii administrative de asigurare a conformității, oferind întreprinderilor în cauză securitate juridică cu privire la amploarea și nivelul de detaliere a informațiilor care trebuie furnizate. Microîntreprinderile și întreprinderile mici ar trebui să poată alege să furnizeze într-o formă cuprinzătoare elementele aplicabile legate de documentația tehnică și să nu recurgă la formularul simplificat de documentație tehnică aflat la dispoziția lor.

(94)

Pentru a promova și a proteja inovarea, este important să se țină seama de interesele producătorilor care sunt microîntreprinderi sau întreprinderi mici sau mijlocii, în special ale microîntreprinderilor și întreprinderilor mici, inclusiv ale întreprinderilor nou-înființate. În acest scop, statele membre ar putea elabora inițiative care să vizeze producătorii care sunt microîntreprinderi sau întreprinderi mici, în special în ceea ce privește formarea, sensibilizarea, comunicarea și informațiilor, testarea și activitățile de evaluare a conformității de către terți, precum și crearea unor spații de testare. Costurile de traducere legate de documentația obligatorie, cum ar fi documentația tehnică și informațiile și instrucțiunile pentru utilizator solicitate în temeiul prezentului regulament, precum și comunicarea cu autoritățile, pot constitui un cost semnificativ pentru producători, în special pentru cei de dimensiuni mai mici. Prin urmare, statele membre ar trebui să fie în măsură să prevadă ca una dintre limbile pe care le stabilesc și le acceptă pentru documentația pertinentă a producătorilor și pentru comunicarea cu producătorii să fie o limbă larg înțeleasă de un număr cât mai mare de utilizatori.

(95)

Cu scopul de a asigura buna aplicare a prezentului regulament, statele membre ar trebui să depună eforturi pentru a se asigura, înainte de data aplicării prezentului regulament, că este disponibil un număr suficient de organisme notificate pentru a efectua evaluări ale conformității de către terți. Comisia ar trebui să urmărească să sprijine statele membre și celelalte părți pertinente în acest demers, pentru a evita blocajele și obstacolele în calea intrării pe piață a producătorilor. Activitățile de formare specifice conduse de statele membre, inclusiv, după caz, cu sprijinul Comisiei, pot contribui la disponibilitatea unor profesioniști calificați, inclusiv pentru a sprijini activitățile organismelor notificate în temeiul prezentului regulament. În plus, având în vedere costurile pe care le poate implica evaluarea conformității de către terți, ar trebui avute în vedere inițiative de finanțare la nivelul Uniunii și la nivel național care să urmărească să atenueze astfel de costuri pentru microîntreprinderi și întreprinderile mici.

(96)

Pentru a asigura proporționalitatea, organismele de evaluare a conformității, atunci când stabilesc taxele pentru procedurile de evaluare a conformității, ar trebui să țină seama de interesele și nevoile specifice ale microîntreprinderilor și ale întreprinderilor mici și mijlocii, inclusiv ale întreprinderilor nou-înființate. În special, organismele de evaluare a conformității ar trebui să aplice procedura de examinare și testele pertinente prevăzute în prezentul regulament numai dacă este cazul și urmând o abordare bazată pe riscuri.

(97)

Spațiile de testare în materie de reglementare ar trebui să aibă drept obiectiv stimularea inovării și a competitivității pentru întreprinderi prin stabilirea unor medii de testare controlate înainte de introducerea pe piață a produselor cu elemente digitale. Spațiile de testare în materie de reglementare ar trebui să contribuie la îmbunătățirea securității juridice pentru toți actorii care intră în domeniul de aplicare al prezentului regulament și să faciliteze și să accelereze accesul la piața Uniunii al produselor cu elemente digitale, în special atunci când sunt furnizate de microîntreprinderi și întreprinderi mici, inclusiv de întreprinderi nou-înființate.

(98)

Pentru a efectua evaluarea conformității de către terți a produselor cu elemente digitale, autoritățile naționale de notificare ar trebui să notifice Comisiei și celorlalte state membre organismele de evaluare a conformității, cu condiția ca acestea să respecte un set de cerințe, în special în ceea ce privește independența, competența și absența conflictelor de interese.

(99)

Pentru a se asigura un nivel omogen al calității în realizarea evaluării conformității pentru produsele cu elemente digitale, este necesar, de asemenea, să se stabilească cerințele pentru autoritățile de notificare și celelalte organisme implicate în evaluarea, notificarea și monitorizarea organismelor notificate. Sistemul prevăzut în prezentul regulament ar trebui să fie completat de sistemul de acreditare prevăzut în Regulamentul (CE) nr. 765/2008. Întrucât acreditarea este un mijloc esențial de verificare a competenței organismelor de evaluare a conformității, aceasta ar trebui să fie utilizată și în vederea notificării.

(100)

Organismele de evaluare a conformității care au fost acreditate și notificate în temeiul unui act legislativ al Uniunii care stabilește cerințe similare cu cele prevăzute în prezentul regulament, cum ar fi un organism de evaluare a conformității care a fost notificat pentru un sistem european de certificare a securității cibernetice adoptat în temeiul Regulamentului (UE) 2019/881 sau notificat în temeiul Regulamentului delegat (UE) 2022/30, ar trebui să fie evaluate și notificate din nou în temeiul prezentului regulament. Cu toate acestea, autoritățile pertinente pot defini sinergii în ceea ce privește eventualele suprapuneri ale cerințelor, pentru a preveni o sarcină financiară și administrativă inutilă și pentru a asigura un proces de notificare fără probleme și în timp util.

(101)

Acreditarea transparentă, astfel cum este prevăzută în Regulamentul (CE) nr. 765/2008, care asigură nivelul necesar de încredere în certificatele de conformitate, ar trebui să fie considerată de către autoritățile publice naționale din întreaga Uniune ca fiind modalitatea preferată de a demonstra competența tehnică a organismelor de evaluare a conformității. Cu toate acestea, autoritățile naționale pot considera că dispun de mijloacele adecvate pentru a realiza ele însele această evaluare. În astfel de cazuri, pentru a asigura un nivel adecvat de credibilitate al evaluărilor realizate de alte autorități naționale, acestea ar trebui să prezinte Comisiei și celorlalte state membre documentele necesare pentru a demonstra că organismele de evaluare a conformității care au fost evaluate îndeplinesc cerințele reglementare relevante.

(102)

Organismele de evaluare a conformității subcontractează deseori părți ale activităților lor legate de evaluarea conformității sau recurg la o filială. În vederea asigurării nivelului de protecție cerut pentru produsele cu elemente digitale care urmează să fie introduse pe piață, este esențial ca subcontractanții și filialele care efectuează procedura de evaluare a conformității să îndeplinească aceleași cerințe ca organismele notificate în ceea ce privește executarea atribuțiilor de evaluare a conformității.

(103)

Notificarea unui organism de evaluare a conformității ar trebui să fie trimisă de autoritatea de notificare Comisiei și celorlalte state membre prin intermediul sistemului informațional NANDO (New Approach Notified and Designated Organisations – Noua abordare privind organizațiile notificate și desemnate). Sistemul informațional NANDO este instrumentul de notificare electronică dezvoltat și gestionat de Comisie, în care se găsește o listă a tuturor organismelor notificate.

(104)

Întrucât organismele notificate își pot oferi serviciile în întreaga Uniune, este adecvat să se acorde celorlalte state membre și Comisiei posibilitatea de a ridica obiecții cu privire la un organism notificat. De aceea este important să se acorde o perioadă de timp în care orice îndoieli sau preocupări privind competența organismelor de evaluare a conformității să poată fi clarificate, înainte ca acestea să înceapă să funcționeze ca organisme notificate.

(105)

Din rațiuni de competitivitate, este fundamental ca organismele notificate să aplice procedurile de evaluare a conformității fără a crea o sarcină inutilă pentru operatorii economici. Din același motiv și pentru a asigura tratamentul egal al operatorilor economici, este necesară asigurarea coerenței în aplicarea tehnică a procedurilor de evaluare a conformității. Acest lucru ar trebui să fie realizat cel mai bine printr-o coordonare și o cooperare adecvată între organismele notificate.

(106)

Supravegherea pieței este un instrument esențial, deoarece asigură aplicarea corespunzătoare și uniformă a dreptului Uniunii. Prin urmare, este necesară instituirea unui cadru juridic în care supravegherea pieței să poată fi realizată în mod adecvat. Normele privind supravegherea pieței Uniunii și controlul produselor care intră pe piața Uniunii prevăzute în Regulamentul (UE) 2019/1020 se aplică produselor cu elemente digitale care intră în domeniul de aplicare al prezentului regulament.

(107)

În conformitate cu Regulamentul (UE) 2019/1020, o autoritate de supraveghere a pieței efectuează supravegherea pieței pe teritoriul statului membru care o desemnează. Prezentul regulament nu ar trebui să împiedice statele membre să aleagă autoritățile competente pentru îndeplinirea sarcinilor de supraveghere a pieței. Fiecare stat membru ar trebui să desemneze una sau mai multe autorități de supraveghere a pieței pe teritoriul său. Statele membre ar trebui să poată alege să desemneze orice autoritate existentă sau nouă care să acționeze în calitate de autoritate de supraveghere a pieței, inclusiv autoritățile competente desemnate sau instituite în temeiul articolului 8 din Directiva (UE) 2022/2555, autoritățile naționale de certificare a securității cibernetice desemnate în temeiul articolului 58 din Regulamentul (UE) 2019/881 sau autoritățile de supraveghere a pieței desemnate în sensul Directivei 2014/53/UE. Operatorii economici ar trebui să coopereze pe deplin cu autoritățile de supraveghere a pieței și cu alte autorități competente. Fiecare stat membru ar trebui să informeze Comisia și celelalte state membre cu privire la autoritățile sale de supraveghere a pieței și la domeniile de competență ale fiecăreia dintre aceste autorități și ar trebui să asigure resursele și competențele necesare pentru îndeplinirea sarcinilor de supraveghere a pieței legate de prezentul regulament. În conformitate cu articolul 10 alineatele (2) și (3) din Regulamentul (UE) 2019/1020, fiecare stat membru ar trebui să numească un birou unic de legătură care ar trebui să fie responsabil, printre altele, de reprezentarea poziției coordonate a autorităților de supraveghere a pieței și de acordarea de asistență pentru cooperarea dintre autoritățile de supraveghere a pieței din diferite state membre.

(108)

Ar trebui să fie instituit un grup specific ADCO pentru reziliența cibernetică a produselor cu elemente digitale cu scopul de a asigura aplicarea uniformă a prezentului regulament, în temeiul articolului 30 alineatul (2) din Regulamentul (UE) 2019/1020. ADCO ar trebui să fie compus din reprezentanți ai autorităților de supraveghere a pieței desemnate și, dacă este cazul, din reprezentanți ai birourilor unice de legătură. Comisia ar trebui să sprijine și să încurajeze cooperarea dintre autoritățile de supraveghere a pieței prin intermediul Rețelei Uniunii pentru conformitatea produselor, instituită în conformitate cu articolul 29 din Regulamentul (UE) 2019/1020 și alcătuită din reprezentanți ai fiecărui stat membru, inclusiv un reprezentant al fiecărui birou unic de legătură astfel cum se menționează la articolul 10 din regulamentul respectiv și un expert național opțional, președinții ADCO și reprezentanți ai Comisiei. Comisia ar trebui să participe la reuniunile Rețelei Uniunii pentru conformitatea produselor, ale subgrupurilor sale și ale ADCO. Aceasta ar trebui, de asemenea, să asiste ADCO prin intermediul unui secretariat executiv care să ofere sprijin tehnic și logistic. ADCO poate invita, de asemenea, experți independenți să participe și poate colabora cu alte ADCO, cum ar fi cel instituit în temeiul Directivei 2014/53/UE.

(109)

Autoritățile de supraveghere a pieței, prin intermediul ADCO instituit în temeiul prezentului regulament, ar trebui să coopereze îndeaproape și ar trebui să fie în măsură să elaboreze documente de orientare cu scopul de a facilita activitățile de supraveghere a pieței la nivel național, de exemplu prin elaborarea de bune practici și de indicatori pentru a verifica în mod eficace conformitatea cu prezentul regulament a produselor cu elemente digitale.

(110)

Pentru a asigura măsuri prompte, proporționale și eficace în legătură cu produsele cu elemente digitale care prezintă un risc semnificativ în materie de securitate cibernetică, ar trebui să se prevadă o procedură de salvgardare la nivelul Uniunii prin care părțile interesate să fie informate cu privire la măsurile preconizate referitoare la astfel de produse. De asemenea, această procedură ar trebui să le permită autorităților de supraveghere a pieței ca, în cooperare cu operatorii economici relevanți, să acționeze din timp, dacă este necesar. În cazul în care statele membre și Comisia sunt de acord cu privire la justificarea unei măsuri luate de un stat membru, nu ar trebui să mai fie necesară intervenția ulterioară a Comisiei, cu excepția cazurilor în care neconformitatea poate fi atribuită unor deficiențe ale unui standard armonizat.

(111)

În anumite cazuri, un produs cu elemente digitale care respectă prezentul regulament poate prezenta totuși un risc semnificativ în materie de securitate cibernetică sau poate prezenta un risc în ceea ce privește sănătatea sau siguranța persoanelor, respectarea obligațiilor în temeiul dreptului Uniunii sau al dreptului intern menite să protejeze drepturile fundamentale, în ceea ce privește disponibilitatea, autenticitatea, integritatea sau confidențialitatea serviciilor oferite prin utilizarea unui sistem electronic de informații de către entitățile esențiale menționate la articolul 3 alineatul (1) din Directiva (UE) 2022/2555 sau în ceea ce privește alte aspecte ale protecției interesului public. Prin urmare, este necesar să se stabilească norme care să asigure atenuarea acestor riscuri. În consecință, autoritățile de supraveghere a pieței ar trebui să ia măsuri pentru a solicita operatorului economic să se asigure că produsul nu mai prezintă riscul respectiv sau să îl recheme ori să îl retragă, în funcție de risc. De îndată ce o autoritate de supraveghere a pieței restricționează sau interzice libera circulație a unui produs cu elemente digitale în acest mod, statul membru în cauză ar trebui să informeze fără întârziere Comisia și celelalte state membre cu privire la măsurile provizorii, justificându-și și motivându-și decizia. Atunci când o autoritate de supraveghere a pieței adoptă astfel de măsuri în ceea ce privește produsele cu elemente digitale care prezintă un risc, Comisia ar trebui să inițieze fără întârziere consultări cu statele membre și cu operatorul economic sau operatorii economici în cauză și ar trebui să evalueze măsura națională. Pe baza rezultatelor acestei evaluări, Comisia ar trebui să decidă dacă măsura națională este sau nu justificată. Comisia ar trebui să adreseze decizia sa tuturor statelor membre și să o comunice imediat acestora și operatorului (operatorilor) economic(i) în cauză. Dacă măsura este considerată a fi justificată, Comisia ar trebui, de asemenea, să analizeze dacă este oportun să adopte propuneri de revizuire a legislației relevante a Uniunii.

(112)

În cazul produselor cu elemente digitale care prezintă un risc semnificativ în materie de securitate cibernetică și dacă există motive să se creadă că acestea nu sunt conforme cu prezentul regulament sau în cazul produselor care sunt conforme cu prezentul regulament, dar care prezintă alte riscuri importante, precum riscuri la adresa sănătății sau siguranței persoanelor, riscuri de nerespectare a obligațiilor în temeiul dreptului Uniunii și al dreptului intern menite să protejeze drepturile fundamentale sau riscuri la adresa disponibilității, autenticității, integrității sau confidențialității serviciilor oferite prin utilizarea unui sistem informatic electronic de către entități esențiale menționate la articolul 3 alineatul (1) din Directiva (UE) 2022/2555, Comisia ar trebui să poată solicita ENISA să efectueze o evaluare. Pe baza evaluării respective, Comisia ar trebui să poată adopta, prin intermediul unor acte de punere în aplicare, măsuri corective sau restrictive la nivelul Uniunii, inclusiv măsuri prin care se impune retragerea de pe piață sau rechemarea produselor în cauză, într-un termen rezonabil, proporțional cu natura riscului. Comisia ar trebui să poată recurge la o astfel de intervenție numai în circumstanțe excepționale care justifică o intervenție imediată pentru menținerea bunei funcționări a pieței interne și numai în cazul în care autoritățile de supraveghere a pieței nu au luat măsuri eficace pentru remedierea situației. Astfel de circumstanțe excepționale pot fi situații de urgență în care, de exemplu, un produs neconform cu elemente digitale este pus la dispoziție pe scară largă de către producător în mai multe state membre, este utilizat și în sectoare-cheie de către entități care intră în domeniul de aplicare al Directivei (UE) 2022/2555, acesta conținând vulnerabilități cunoscute care sunt exploatate de actori rău-intenționați și pentru care producătorul nu oferă corecții disponibile. Comisia ar trebui să poată interveni în astfel de situații de urgență numai pe durata circumstanțelor excepționale și dacă nerespectarea prezentului regulament sau riscurile importante prezentate persistă.

(113)

Atunci când există indicii ale unei neconformități cu prezentul regulament în mai multe state membre, autoritățile de supraveghere a pieței ar trebui să poată desfășura activități comune cu alte autorități, în vederea verificării conformității și a identificării riscurilor de securitate cibernetică ale produselor cu elemente digitale.

(114)

Acțiunile de control coordonate simultane (acțiuni de verificare) sunt acțiuni specifice de asigurare a respectării legislației întreprinse de autoritățile de supraveghere a pieței care pot spori și mai mult securitatea produselor. În special, ar trebui să fie efectuate acțiuni de verificare atunci când tendințele pieței, reclamațiile consumatorilor sau alte indicii sugerează că anumite categorii de produse cu elemente digitale sunt adesea considerate ca prezentând riscuri de securitate cibernetică. În plus, atunci când stabilesc categoriile de produse care urmează să fie supuse acțiunilor de verificare, autoritățile de supraveghere a pieței ar trebui să țină seama și de circumstanțele legate de factorii de risc fără caracter tehnic. În acest scop, autoritățile de supraveghere a pieței ar trebui să poată ține seama de rezultatele evaluărilor coordonate la nivelul Uniunii ale riscurilor de securitate legate de lanțurile de aprovizionare critice, efectuate în conformitate cu articolul 22 din Directiva (UE) 2022/2555, inclusiv de circumstanțele legate de factorii de risc fără caracter tehnic. ENISA ar trebui să prezinte autorităților de supraveghere a pieței propuneri de categorii de produse cu elemente digitale pentru care ar putea fi organizate acțiuni de verificare, bazate, printre altele, pe notificările pe care le primește cu privire la vulnerabilități și la incidente.

(115)

Având în vedere expertiza și mandatul său, ENISA ar trebui să fie în măsură să sprijine procesul de punere în aplicare a prezentului regulament. În special, ENISA ar trebui să fie în măsură să propună activități comune care să fie desfășurate de autoritățile de supraveghere a pieței pe baza unor indicații sau informații privind o posibilă neconformitate cu prezentul regulament a produselor cu elemente digitale din mai multe state membre sau să identifice categoriile de produse pentru care ar trebui să fie organizate acțiuni de verificare. În circumstanțe excepționale, ENISA ar trebui, la cererea Comisiei, să poată efectua evaluări cu privire la anumite produse cu elemente digitale care prezintă un risc semnificativ în materie de securitate cibernetică, în cazul în care este necesară o intervenție imediată pentru a menține buna funcționare a pieței interne.

(116)

Prezentul regulament conferă ENISA anumite sarcini care necesită resurse adecvate, atât în ceea ce privește expertiza, cât și resursele umane, pentru a permite ENISA să își îndeplinească sarcinile respective în mod eficace. La elaborarea proiectului de buget general al Uniunii, Comisia va propune resursele bugetare necesare pentru schema de personal a ENISA, în conformitate cu procedura prevăzută la articolul 29 din Regulamentul (UE) 2019/881. În cursul acestui proces, Comisia va lua în considerare resursele globale de care ENISA are nevoie pentru a-și îndeplini sarcinile, inclusiv cele care îi sunt conferite în temeiul prezentului regulament.

(117)

Pentru a se asigura că cadrul de reglementare poate fi adaptat atunci când este necesar, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene (TFUE) ar trebui să fie delegată Comisiei în ceea ce privește actualizarea listei produselor importante cu elemente digitale dintr-o anexă la prezentul regulament. Comisiei ar trebui să îi fie delegată competența de a adopta acte în conformitate cu articolul respectiv pentru a identifica produsele cu elemente digitale care fac obiectul altor norme ale Uniunii care asigură același nivel de protecție ca prezentul regulament, specificând dacă va fi necesară o limitare sau o excludere din domeniul de aplicare al prezentului regulament, precum și domeniul de aplicare al limitării respective, dacă este cazul. De asemenea, Comisiei ar trebui să îi fie delegată competența de a adopta acte în conformitate cu articolul respectiv în ceea ce privește eventuala impunere a certificării în cadrul unui sistem european de certificare de securitate cibernetică a produselor critice cu elemente digitale enumerate într-o anexă la prezentul regulament, precum și pentru actualizarea listei produselor critice cu elemente digitale pe baza criteriilor referitoare la caracterul critic prevăzute în prezentul regulament și pentru specificarea sistemelor europene de certificare de securitate cibernetică adoptate în temeiul Regulamentului (UE) 2019/881 care pot fi utilizate pentru a demonstra conformitatea cu cerințele esențiale de securitate cibernetică sau cu părți ale acestora, astfel cum se prevede într-o anexă la prezentul regulament. Competența de a adopta acte ar trebui să fie delegată Comisiei și pentru a specifica perioada minimă de asistență pentru anumite categorii de produse pentru care datele de supraveghere a pieței sugerează perioade de asistență inadecvate, precum și pentru a specifica termenele și condițiile de aplicare a motivelor legate de securitatea cibernetică în ceea ce privește întârzierea difuzării notificărilor privind vulnerabilitățile exploatate activ. În plus, competența de a adopta acte ar trebui să fie delegată Comisiei pentru a institui programe voluntare de atestare a securității pentru evaluarea conformității produselor cu elemente digitale care se califică drept software gratuit și cu sursă deschisă cu toate sau cu anumite cerințe esențiale de securitate cibernetică sau cu alte obligații prevăzute în prezentul regulament, precum și pentru a preciza conținutul minim al declarației de conformitate UE și a completa elementele care trebuie incluse în documentația tehnică. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare (31). În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate. Competența de a adopta acte delegate menționată în prezentul regulament se conferă Comisiei pe o perioadă de cinci ani de la 10 decembrie 2024. Comisia elaborează un raport privind delegarea de competențe cu cel puțin nouă luni înainte de încheierea perioadei de cinci ani. Delegarea de competențe se prelungește tacit cu perioade de timp identice, cu excepția cazului în care Parlamentul European sau Consiliul se opune prelungirii respective cu cel puțin trei luni înainte de încheierea fiecărei perioade.

(118)

În vederea asigurării unor condiții uniforme pentru punerea în aplicare a prezentului regulament, ar trebui să fie conferite competențe de executare Comisiei pentru a preciza descrierea tehnică a categoriilor de produse importante cu elemente digitale enumerate într-o anexă la prezentul regulament, pentru a specifica formatul și elementele listei materialelor software, pentru a preciza mai detaliat formatul și procedura notificărilor privind vulnerabilitățile exploatate activ și incidentele grave care au un impact asupra securității produselor cu elemente digitale prezentate de producători, pentru a stabili specificații comune privind cerințele tehnice care oferă un mijloc de respectare a cerințelor esențiale de securitate cibernetică prevăzute într-o anexă la prezentul regulament, pentru a stabili specificații tehnice pentru etichete, pictograme sau orice alte marcaje legate de securitatea produselor cu elemente digitale, perioada de asistență a acestora și mecanisme de promovare a utilizării lor și de creștere a gradului de sensibilizare a publicului cu privire la securitatea produselor cu elemente digitale, pentru a preciza formularul de documentație simplificat adaptat nevoilor microîntreprinderilor și ale întreprinderilor mici și pentru a decide măsuri corective sau restrictive la nivelul Uniunii în circumstanțe excepționale care justifică o intervenție imediată pentru menținerea bunei funcționări a pieței interne. Respectivele competențe ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului (32).

(119)

Pentru a asigura o cooperare bazată pe încredere și constructivă a autorităților de supraveghere a pieței de la nivelul Uniunii și de la nivel național, toate părțile implicate în aplicarea prezentului regulament ar trebui să respecte confidențialitatea informațiilor și a datelor obținute în cursul îndeplinirii sarcinilor lor.

(120)

Pentru a asigura respectarea efectivă a obligațiilor prevăzute în prezentul regulament, fiecare autoritate de supraveghere a pieței ar trebui să aibă competența de a impune sau de a solicita impunerea de amenzi administrative. Prin urmare, ar trebui să fie stabilite niveluri maxime ale amenzilor administrative, care să fie prevăzute în dreptul intern, pentru nerespectarea obligațiilor prevăzute în prezentul regulament. Atunci când se decide cuantumul amenzii administrative în fiecare caz în parte, ar trebui să se țină seama de toate circumstanțele relevante ale situației specifice și, cel puțin, de cele stabilite în mod explicit în prezentul regulament, inclusiv dacă producătorul este o microîntreprindere sau o întreprindere mică sau mijlocie, inclusiv o întreprindere nou-înființată și dacă aceleași sau alte autorități de supraveghere a pieței au aplicat deja amenzi administrative aceluiași operator economic pentru încălcări similare. Aceste circumstanțe ar putea fi fie agravante, în situațiile în care încălcarea săvârșită de același operator economic persistă pe teritoriul altor state membre decât cel în care s-a aplicat deja o amendă administrativă, fie atenuante, pentru a se asigura că orice altă amendă administrativă avută în vedere de o altă autoritate de supraveghere a pieței pentru același operator economic sau pentru același tip de încălcare ia deja în considerare, împreună cu alte circumstanțe specifice relevante, o sancțiune impusă într-un alt stat membru și cuantumul acesteia. În toate aceste cazuri, amenda administrativă cumulată care ar putea fi aplicată de autoritățile de supraveghere a pieței din mai multe state membre aceluiași operator economic pentru același tip de încălcare ar trebui să asigure respectarea principiului proporționalității. Având în vedere că amenzile administrative nu se aplică microîntreprinderilor sau întreprinderilor mici pentru nerespectarea termenului de 24 de ore pentru notificarea timpurie a vulnerabilităților exploatate activ sau a incidentelor grave care au un impact asupra securității produsului cu elemente digitale, nici administratorilor de software cu sursă deschisă pentru orice încălcare a prezentului regulament, și sub rezerva principiului conform căruia sancțiunile ar trebui să fie eficace, proporționale și disuasive, statele membre nu ar trebui să le impună entităților respective alte tipuri de sancțiuni cu caracter pecuniar.

(121)

În cazul în care se impun amenzi administrative unei persoane care nu este o întreprindere, autoritatea competentă ar trebui să țină seama de nivelul general al veniturilor din statul membru respectiv, precum și de situația economică a persoanei atunci când estimează cuantumul adecvat al amenzii. Competența de a stabili dacă și în ce măsură autoritățile publice ar trebui să fie supuse unor amenzi administrative ar trebui să le revină statelor membre.

(122)

Statele membre ar trebui să analizeze, ținând seama de circumstanțele naționale, posibilitatea de a utiliza veniturile provenite din sancțiunile prevăzute în prezentul regulament sau echivalentul financiar al acestora pentru a sprijini politicile de securitate cibernetică și pentru a crește nivelul de securitate cibernetică în Uniune, printre altele, prin mărirea numărului de specialiști calificați în domeniul securității cibernetice, prin consolidarea capacităților microîntreprinderilor și ale întreprinderilor mici și mijlocii și printr-o mai mare sensibilizare a publicului cu privire la amenințările cibernetice.

(123)

În relațiile sale cu țările terțe, Uniunea urmărește, în special, să promoveze comerțul internațional cu produsele reglementate. Există o gamă largă de măsuri care pot fi aplicate pentru a facilita comerțul, inclusiv mai multe instrumente juridice, cum ar fi acordurile bilaterale (interguvernamentale) de recunoaștere reciprocă (ARR) pentru evaluarea conformității și marcarea produselor reglementate. Acordurile de recunoaștere reciprocă sunt încheiate între Uniune și țările terțe care beneficiază de un nivel de dezvoltare tehnică comparabil și care au o abordare compatibilă privind evaluarea conformității. Aceste acorduri se bazează pe acceptarea reciprocă a certificatelor, a mărcilor de conformitate și a rapoartelor de testare emise de organismele de evaluare a conformității ale uneia dintre cele două părți, în conformitate cu legislația celeilalte părți. În prezent sunt în vigoare acorduri de recunoaștere reciprocă cu mai multe țări terțe. Acordurile respective sunt încheiate într-o serie de sectoare specifice, care pot varia de la o țară terță la alta. Pentru a facilita și mai mult comerțul și având în vedere că lanțurile de aprovizionare ale produselor cu elemente digitale sunt globale, Uniunea poate încheia, în conformitate cu articolul 218 din TFUE, acorduri de recunoaștere reciprocă referitoare la evaluarea conformității pentru produsele reglementate de prezentul regulament. Cooperarea cu țările terțe partenere este, de asemenea, importantă pentru consolidarea rezilienței cibernetice la nivel mondial, deoarece, pe termen lung, acest lucru va contribui la consolidarea cadrului de securitate cibernetică atât în interiorul, cât și în afara Uniunii.

(124)

Consumatorilor ar trebui să li se permită să își exercite drepturile în legătură cu obligațiile impuse operatorilor economici în temeiul prezentului regulament prin intermediul acțiunilor în reprezentare în temeiul Directivei (UE) 2020/1828 a Parlamentului European și a Consiliului (33). În acest scop, prezentul regulament ar trebui să prevadă că Directiva (UE) 2020/1828 se aplică acțiunilor în reprezentare introduse împotriva încălcărilor dispozițiilor prezentului regulament care aduc atingere sau pot aduce atingere intereselor colective ale consumatorilor. Prin urmare, anexa I la directiva menționată ar trebui modificată în consecință. Statele membre sunt cele care trebuie să se asigure că modificările respective sunt reflectate în măsurile de transpunere pe care le adoptă în temeiul directivei menționate, chiar dacă adoptarea de măsuri naționale de transpunere în această privință nu este o condiție pentru aplicabilitatea directivei respective în cazul acelor acțiuni în reprezentare. Directiva respectivă ar trebui să poată fi aplicată acțiunilor în reprezentare introduse împotriva încălcărilor dispozițiilor prezentului regulament de către operatori economici care prejudiciază sau pot prejudicia interesele colective ale consumatorilor începând de la 11 decembrie 2027.

(125)

Comisia ar trebui să evalueze și să reexamineze periodic prezentul regulament, consultându-se cu părțile interesate relevante, în special pentru a stabili dacă este necesară efectuarea unor modificări ca urmare a evoluției condițiilor societale, politice, tehnologice sau de piață. Prezentul regulament va facilita respectarea obligațiilor privind securitatea lanțului de aprovizionare de către entitățile care intră în domeniul de aplicare al Regulamentului (UE) 2022/2554 și al Directivei (UE) 2022/2555 și care utilizează produse cu elemente digitale. Comisia ar trebui să evalueze, în cadrul reexaminării periodice, efectele combinate ale cadrului de securitate cibernetică al Uniunii.

(126)

Operatorilor economici ar trebui să li se acorde suficient timp pentru a se adapta la cerințele prevăzute în prezentul regulament. Prezentul regulament ar trebui să se aplice de la 11 decembrie 2027, cu excepția obligațiilor de raportare privind vulnerabilitățile exploatate activ și incidentele grave care au un impact asupra securității produselor cu elemente digitale, care ar trebui să se aplice de la 11 septembrie 2026 și a dispozițiilor privind notificarea organismelor de evaluare a conformității, care ar trebui să se aplice de la 11 iunie 2026.

(127)

Este important să se ofere sprijin microîntreprinderilor și întreprinderilor mici și mijlocii, inclusiv întreprinderilor nou-înființate, la punerea în aplicare a prezentului regulament și să se reducă la minimum riscurile legate de punerea în aplicare care rezultă din lipsa de cunoștințe și de expertiză de pe piață, precum și pentru a facilita respectarea de către producători a obligațiilor care le revin în temeiul prezentului regulament. Programul Europa digitală și alte programe relevante ale Uniunii oferă sprijin financiar și tehnic care le permite întreprinderilor respective să contribuie la creșterea economiei Uniunii și la consolidarea nivelului comun de securitate cibernetică în Uniune. Centrul european de competențe în materie de securitate cibernetică și centrele naționale de coordonare, precum și centrele europene de inovare digitală stabilite de Comisie și de statele membre la nivelul Uniunii sau la nivel național ar putea, de asemenea, să sprijine întreprinderile și organizațiile din sectorul public și ar putea contribui la punerea în aplicare a prezentului regulament. În cadrul misiunilor și domeniilor lor de competență respective, acestea ar putea oferi sprijin tehnic și științific microîntreprinderilor și întreprinderilor mici și mijlocii, de exemplu, pentru activitățile de testare și evaluările conformității de către terți. Acestea ar putea, de asemenea, să promoveze implementarea de instrumente care să faciliteze punerea în aplicare a prezentului regulament.

(128)

În plus, statele membre ar trebui să ia în considerare acțiuni complementare pentru a oferi orientări și sprijin microîntreprinderilor și întreprinderilor mici și mijlocii, cum ar fi înființarea de spații de testare în materie de reglementare și de canale speciale de comunicare. Pentru a consolida nivelul de securitate cibernetică în Uniune, statele membre pot lua în considerare, de asemenea, acordarea de asistență pentru dezvoltarea capacității și a competențelor legate de securitatea cibernetică a produselor cu elemente digitale, îmbunătățirea rezilienței cibernetice a operatorilor economici, în special a microîntreprinderilor și a întreprinderilor mici și mijlocii, și promovarea sensibilizării publicului cu privire la securitatea cibernetică a produselor cu elemente digitale.

(129)

Întrucât obiectivul prezentului regulament nu poate fi realizate în mod satisfăcător de către statele membre, dar, având în vedere efectele acțiunii, acesta poate fi realizat mai bine la nivelul Uniunii, aceasta poate adopta măsuri, în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este prevăzut la articolul respectiv, prezentul regulament nu depășește ceea ce este necesar pentru realizarea obiectivului respectiv.

(130)

Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (34) și a emis un aviz la 9 noiembrie 2022 (35),