(1)

Kybernetická bezpečnosť je pre Úniu jednou z kľúčových výziev. Počet a rozmanitosť pripojených zariadení sa bude v nadchádzajúcich rokoch exponenciálne zvyšovať. Kybernetické útoky sú záležitosťou verejného záujmu, keďže majú zásadný vplyv nielen na hospodárstvo Únie, ale aj na demokraciu, ako aj na bezpečnosť a zdravie spotrebiteľov. Je preto potrebné posilniť prístup Únie ku kybernetickej bezpečnosti, riešiť kybernetickú odolnosť na úrovni Únie a zlepšiť fungovanie vnútorného trhu stanovením jednotného právneho rámca základných požiadaviek kybernetickej bezpečnosti pre uvádzanie produktov s digitálnymi prvkami na trh Únie. Vyriešiť by sa mali dva hlavné problémy, ktoré zvyšujú náklady používateľov a spoločnosti: nízka úroveň kybernetickej bezpečnosti produktov s digitálnymi prvkami, ktorá sa prejavuje rozšíreným výskytom zraniteľností a nedostatočným a nekonzistentným poskytovaním bezpečnostných aktualizácií na ich riešenie, a nedostatočné chápanie používateľov a ich prístup k informáciám, čo im bráni vybrať si produkty s vhodnými vlastnosťami z hľadiska kybernetickej bezpečnosti alebo ich bezpečne používať.

(2)

Cieľom tohto nariadenia je vytvoriť hraničné podmienky pre vývoj bezpečných produktov s digitálnymi prvkami, pričom treba zabezpečiť, aby sa na trh uvádzali hardvérové a softvérové produkty s menším počtom zraniteľností a aby výrobcovia brali bezpečnosť vážne počas celého životného cyklu produktu. Jeho cieľom je aj vytvorenie podmienok, ktoré používateľom umožnia zohľadniť kybernetickú bezpečnosť pri výbere a používaní produktov s digitálnymi prvkami, napríklad zlepšením transparentnosti, pokiaľ ide o obdobie podpory produktov s digitálnymi prvkami dostupných na trhu.

(3)

Príslušné platné právne predpisy Únie obsahujú niekoľko súborov horizontálnych pravidiel, ktorými sa riešia určité aspekty súvisiace s kybernetickou bezpečnosťou z rôznych hľadísk vrátane opatrení na zvýšenie bezpečnosti digitálneho dodávateľského reťazca. Existujúce právne predpisy Únie, ktoré sa týkajú kybernetickej bezpečnosti, vrátane nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 (3) a smernice Európskeho parlamentu a Rady (EÚ) 2022/2555 (4), však priamo neobsahujú povinné požiadavky bezpečnosti produktov s digitálnymi prvkami.

(4)

Aj keď sa existujúce právne predpisy Únie uplatňujú na určité produkty s digitálnymi prvkami, neexistuje horizontálny regulačný rámec Únie stanovujúci komplexné požiadavky kybernetickej bezpečnosti pre všetky produkty s digitálnymi prvkami. Rôzne akty a iniciatívy prijaté dosiaľ na úrovni Únie a na vnútroštátnej úrovni riešia identifikované problémy a riziká týkajúce sa kybernetickej bezpečnosti iba čiastočne, čím sa vytvára na vnútornom trhu zmes právnych predpisov, zvyšuje právna neistota výrobcov aj používateľov týchto produktov a pridáva zbytočná záťaž podnikom a organizáciám pri plnení mnohých požiadaviek a povinností v súvislosti s podobnými druhmi produktov. Kybernetická bezpečnosť týchto produktov má obzvlášť výrazný cezhraničný rozmer, keďže produkty s digitálnymi prvkami vyrobené v jednom členskom štáte alebo tretej krajine používajú často organizácie a spotrebitelia na celom vnútornom trhu. Preto treba regulovať túto oblasť na úrovni Únie s cieľom zabezpečiť harmonizovaný regulačný rámec a právnu istotu pre používateľov, organizácie a podniky vrátane mikropodnikov a malých a stredných podnikov v zmysle vymedzenia v prílohe k odporúčaniu Komisie 2003/361/ES (5). Regulačné prostredie Únie by sa malo harmonizovať zavedením horizontálnych požiadaviek kybernetickej bezpečnosti pre produkty s digitálnymi prvkami. Okrem toho by sa pre hospodárske subjekty a používateľov mala v celej Únii zabezpečiť právna istota a lepšia harmonizácia vnútorného trhu a proporcionalita pre mikropodniky a malé a stredné podniky, čím by sa vytvorili životaschopnejšie podmienky pre hospodárske subjekty, ktoré plánujú vstup na uvedený trh.

(5)

Pokiaľ ide o mikropodniky a malé a stredné podniky, pri určovaní kategórie, do ktorej podnik patrí, by sa ustanovenia prílohy k odporúčaniu 2003/361/ES mali uplatňovať v celom rozsahu. Preto by sa pri výpočte počtu zamestnancov a finančných stropov na určenie kategórie podnikov mali uplatňovať aj ustanovenia článku 6 prílohy k odporúčaniu 2003/361/ES o stanovovaní údajov o podniku vzhľadom na osobitné typy podnikov, ako sú partnerské podniky alebo prepojené podniky.

(6)

Komisia by pri uplatňovaní tohto nariadenia mala poskytnúť usmernenia na pomoc hospodárskym subjektom, najmä mikropodnikom a malým a stredným podnikom. Takéto usmernenia by sa mali okrem iného týkať rozsahu pôsobnosti tohto nariadenia, najmä spracúvania údajov na diaľku a jeho dôsledkov pre vývojárov slobodného softvéru a softvéru s otvoreným zdrojovým kódom, uplatňovania kritérií používaných na určenie období podpory pre produkty s digitálnymi prvkami, vzájomného pôsobenia medzi týmto nariadením a inými právnymi predpismi Únie a koncepcie podstatnej úpravy.

(7)

Na úrovni Únie obsahujú rôzne programové a politické dokumenty, napríklad spoločné oznámenie Komisie a vysokého predstaviteľa Únie pre zahraničné veci a bezpečnostnú politiku zo 16. decembra 2020 s názvom „Stratégia kybernetickej bezpečnosti EÚ v digitálnej dekáde“, závery Rady z 2. decembra 2020 o kybernetickej bezpečnosti pripojených zariadení a z 23. mája 2022 o vývoji prístupu Európskej únie ku kybernetickej bezpečnosti a uznesenie Európskeho parlamentu z 10. júna 2021 o stratégii kybernetickej bezpečnosti EÚ v digitálnej dekáde (6), výzvy na zavedenie špecifických požiadaviek Únie týkajúcich sa kybernetickej bezpečnosti digitálnych alebo pripojených produktov, pričom viaceré tretie krajiny zavádzajú opatrenia na riešenie tohto problému z vlastnej iniciatívy. V záverečnej správe z Konferencie o budúcnosti Európy občania vyzvali na „silnejšiu úlohu EÚ v boji proti kybernetickobezpečnostným hrozbám“. Na to, aby Únia zohrávala vedúcu úlohu v oblasti kybernetickej bezpečnosti na medzinárodnej scéne, je dôležité zaviesť ambiciózny regulačný rámec.

(8)

Na zvýšenie celkovej úrovne kybernetickej bezpečnosti všetkých produktov s digitálnymi prvkami uvedenými na vnútorný trh je potrebné zaviesť pre tieto produkty cieľovo zamerané a technologicky neutrálne základné požiadavky kybernetickej bezpečnosti, ktoré sa uplatňujú horizontálne.

(9)

Za určitých podmienok môžu všetky produkty s digitálnymi prvkami integrované vo väčšom elektronickom informačnom systéme alebo pripojené k takému systému slúžiť ako vektor útoku škodlivých subjektov. V dôsledku toho aj hardvér a softvér považovaný za menej kritický môže uľahčiť počiatočné ohrozenie zariadenia alebo siete, ktoré umožní škodlivým subjektom získať privilegovaný prístup do systému alebo sa pohybovať laterálne naprieč systémami. Výrobcovia by preto mali zabezpečiť, aby všetky produkty s digitálnymi prvkami boli navrhnuté a vyvíjané v súlade so základnými požiadavkami kybernetickej bezpečnosti stanovenými v tomto nariadení. Táto povinnosť sa týka produktov, ktoré možno pripojiť fyzicky cez hardvérové rozhranie, ako aj produktov, ktoré sa pripájajú logicky, napríklad pomocou sieťových zásuviek, dátovodov, súborov, aplikačných programovacích rozhraní alebo iných druhov softvérového rozhrania. Keďže kybernetické hrozby môžu šíriť rôzne produkty s digitálnymi prvkami pred dosiahnutím určitého cieľa, napríklad zreťazením viacerých zneužití zraniteľnosti, výrobcovia by mali zaistiť kybernetickú bezpečnosť aj pre produkty s digitálnymi prvkami, ktoré sú k iným zariadeniam alebo sieťam pripojené iba nepriamo.

(10)

Stanovením požiadaviek kybernetickej bezpečnosti na uvádzanie produktov s digitálnymi prvkami na trh sa má zlepšiť kybernetická bezpečnosť týchto produktov pre spotrebiteľov, ako aj pre podniky. Týmito požiadavkami sa takisto zabezpečí, aby sa v dodávateľských reťazcoch zohľadňovala kybernetická bezpečnosť, čím sa zvýši bezpečnosť konečných produktov s digitálnymi prvkami a ich komponentov. Toto zahŕňa aj požiadavky na uvedenie na trh pre spotrebný tovar s digitálnymi prvkami určený pre zraniteľných spotrebiteľov, ako sú napríklad hračky a elektronické systémy na monitorovanie detí. Spotrebné produkty s digitálnymi prvkami kategorizované v tomto nariadení ako dôležité produkty s digitálnymi prvkami predstavujú vyššie kybernetickobezpečnostné riziko tým, že vykonávajú funkciu, ktorá so sebou nesie významné riziko nepriaznivých účinkov z hľadiska intenzity a schopnosti poškodiť zdravie, bezpečnosť alebo ochranu používateľov takýchto produktov, a mali by podliehať prísnejšiemu postupu posudzovania zhody. Týka sa to takých produktov, ako sú inteligentné domáce produkty s bezpečnostnými funkciami vrátane inteligentných zámkov dverí, elektronických systémov na monitorovania detí a poplašných systémov, pripojených hračiek a osobných nositeľných zdravotníckych technológií. Okrem toho prísnejšie postupy posudzovania zhody, ktorým sa musia podrobiť iné produkty s digitálnymi prvkami kategorizované v tomto nariadení ako dôležité alebo kritické produkty s digitálnymi prvkami, prispejú k predchádzaniu potenciálnym nepriaznivým účinkom zneužívania zraniteľností na spotrebiteľov.

(11)

Cieľom tohto nariadenia je zabezpečiť vysokú úroveň kybernetickej bezpečnosti produktov s digitálnymi prvkami a ich integrovaných riešení spracovania údajov na diaľku. Takéto riešenia spracovania údajov na diaľku by sa mali vymedziť ako spracovanie údajov na diaľku, pre ktoré je softvér určený a vyvinutý výrobcom produktu s digitálnymi prvkami alebo v jeho mene, a ktorého absencia zabráni produktu s digitálnymi prvkami plniť jednu zo svojich funkcií. Týmto prístupom sa zabezpečuje, aby boli takéto produkty primerane a v celom rozsahu zabezpečené ich výrobcami bez ohľadu na to, či sa údaje spracúvajú alebo uchovávajú lokálne na zariadení používateľa alebo na diaľku výrobcom. Zároveň patrí spracovanie alebo uchovávanie na diaľku do rozsahu pôsobnosti tohto nariadenia len vtedy, ak je potrebné na to, aby produkt s digitálnymi prvkami vykonával svoje funkcie. Takéto spracovanie alebo uchovávanie na diaľku zahŕňa situáciu, keď mobilná aplikácia vyžaduje prístup k aplikačnému programovaciemu rozhraniu alebo k databáze poskytovanej prostredníctvom služby, ktorú vyvinul výrobca. V takom prípade služba patrí do rozsahu pôsobnosti tohto nariadenia ako riešenie spracovania údajov na diaľku. Požiadavky na riešenia spracovania údajov na diaľku, ktoré patria do rozsahu pôsobnosti tohto nariadenia, preto nezahŕňajú technické, prevádzkové ani organizačné opatrenia zamerané na riadenie rizík pre bezpečnosť sietí a informačných systémov výrobcu ako celku.

(12)

Cloudové riešenia predstavujú riešenia spracovania údajov na diaľku v zmysle tohto nariadenia len vtedy, ak spĺňajú vymedzenie stanovené v tomto nariadení. Napríklad cloudové funkcie poskytované výrobcom inteligentných domácich zariadení, ktoré používateľom umožňujú ovládať zariadenie na diaľku, patria do rozsahu pôsobnosti tohto nariadenia. Na druhej strane webové sídla, ktoré nepodporujú funkčnosť produktu s digitálnymi prvkami, ani cloudové služby navrhnuté a vyvinuté mimo zodpovednosti výrobcu produktu s digitálnymi prvkami nepatria do rozsahu pôsobnosti tohto nariadenia. Smernica (EÚ) 2022/2555 sa vzťahuje na cloudové služby a modely cloudových služieb, ako je softvér ako služba (SaaS), platforma ako služba (PaaS) a infraštruktúra ako služba (IaaS). Subjekty poskytujúce cloudové služby v Únii, ktoré sa považujú za stredné podniky podľa článku 2 prílohy k odporúčaniu 2003/361/ES alebo prekračujú limity pre stredné podniky stanovené v odseku 1 uvedeného článku, patria do rozsahu pôsobnosti uvedenej smernice.

(13)

V súlade s cieľom tohto nariadenia odstrániť prekážky voľného pohybu produktov s digitálnymi prvkami by členské štáty v prípade záležitostí, na ktoré sa vzťahuje toto nariadenie, nemali brániť sprístupneniu produktov s digitálnymi prvkami, ktoré sú v súlade s týmto nariadením, na trhu. Preto členské štáty nemôžu v záležitostiach harmonizovaných týmto nariadením uložiť dodatočné požiadavky kybernetickej bezpečnosti na sprístupnenie produktov s digitálnymi prvkami na trhu. Každý verejný alebo súkromný subjekt však môže stanoviť dodatočné požiadavky k požiadavkám stanoveným v tomto nariadení na obstarávanie alebo používanie produktov s digitálnymi prvkami na ich osobitné účely, a preto sa môže rozhodnúť používať produkty s digitálnymi prvkami, ktoré spĺňajú prísnejšie alebo osobitnejšie požiadavky kybernetickej bezpečnosti, než sú požiadavky uplatniteľné na sprístupňovanie na trhu podľa tohto nariadenia. Bez toho, aby boli dotknuté smernice Európskeho parlamentu a Rady 2014/24/EÚ (7) a 2014/25/EÚ (8), pri obstarávaní produktov s digitálnymi prvkami, ktoré musia spĺňať základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení vrátane požiadaviek na riešenie zraniteľností, by členské štáty mali zabezpečiť, aby sa takéto požiadavky zohľadnili v procese obstarávania a aby sa zohľadnila aj schopnosť výrobcov účinne uplatňovať opatrenia v oblasti kybernetickej bezpečnosti a riadiť kybernetické hrozby. Okrem toho sa v smernici (EÚ) 2022/2555 stanovujú opatrenia na riadenie kybernetickobezpečnostných rizík pre kľúčové a dôležité subjekty uvedené v článku 3 uvedenej smernice, ktoré by mohli zahŕňať bezpečnostné opatrenia dodávateľského reťazca, ktoré si vyžadujú, aby takéto subjekty používali produkty s digitálnymi prvkami, ktoré spĺňajú prísnejšie požiadavky kybernetickej bezpečnosti, než sú požiadavky stanovené v tomto nariadení. V súlade so smernicou (EÚ) 2022/2555 a v súlade s jej zásadou minimálnej harmonizácie môžu preto členské štáty uložiť dodatočné požiadavky kybernetickej bezpečnosti na používanie produktov informačných a komunikačných technológií kľúčovými alebo dôležitými subjektmi podľa uvedenej smernice s cieľom zabezpečiť vyššiu úroveň kybernetickej bezpečnosti za predpokladu, že takéto požiadavky sú v súlade s povinnosťami členských štátov stanovenými v práve Únie. Záležitosti, na ktoré sa toto nariadenie nevzťahuje, môžu zahŕňať netechnické faktory týkajúce sa produktov s digitálnymi prvkami a ich výrobcov. Členské štáty preto môžu stanoviť vnútroštátne opatrenia vrátane obmedzení týkajúcich sa produktov s digitálnymi prvkami alebo dodávateľov takýchto produktov, ktoré zohľadňujú netechnické faktory. Vnútroštátne opatrenia týkajúce sa takýchto faktorov musia byť v súlade s právom Únie.

(14)

Týmto nariadením by nemala byť dotknutá zodpovednosť členských štátov za ochranu národnej bezpečnosti v súlade s právom Únie. Členské štáty by mali mať možnosť podrobiť produkty s digitálnymi prvkami, ktoré sa obstarávajú alebo používajú na účely národnej bezpečnosti alebo obrany, dodatočným opatreniam za predpokladu, že takéto opatrenia sú v súlade s povinnosťami členských štátov stanovenými v práve Únie.

(15)

Toto nariadenie sa vzťahuje na hospodárske subjekty len v súvislosti s produktmi s digitálnymi prvkami, ktoré sú sprístupnené na trhu, a teda dodávanými na distribúciu alebo používanie na trhu Únie v rámci obchodnej činnosti. Dodávanie v rámci obchodnej činnosti môže byť charakterizované nielen účtovaním ceny za produkt s digitálnymi prvkami, ale aj účtovaním ceny za služby technickej podpory, ak nejde len o náhradu skutočných nákladov, so zámerom speňažiť, napríklad poskytnutím softvérovej platformy, prostredníctvom ktorej výrobca speňažuje iné služby, vyžadovaním použitia spracovania osobných údajov ako podmienky z iných dôvodov než výlučne na zlepšenie bezpečnosti, kompatibility alebo interoperability softvéru, alebo prijatím darov presahujúcich náklady spojené s návrhom, vývojom a poskytovaním produktu s digitálnymi prvkami. Prijímanie darov bez úmyslu dosiahnuť zisk by sa nemalo považovať za obchodnú činnosť.

(16)

Produkty s digitálnymi prvkami dodávané ako súčasť poskytovanej služby, za ktorú sa účtuje poplatok výlučne na účely úhrady skutočných nákladov priamo súvisiacich s prevádzkou tejto služby, ako je to v prípade určitých produktov s digitálnymi prvkami poskytovaných subjektmi verejnej správy, by sa len na základe týchto dôvodov nemali na účely tohto nariadenia považovať za obchodnú činnosť. Okrem toho produkty s digitálnymi prvkami, ktoré vyvíja alebo upravuje subjekt verejnej správy výlučne na vlastné použitie, by sa nemali považovať za sprístupnené na trhu v zmysle tohto nariadenia.

(17)

Softvér a údaje, ktoré sú voľne zdieľané, pričom používatelia môžu k nim alebo k ich upraveným verziám voľne pristupovať, používať ich, upravovať a ďalej rozosielať, môžu prispieť k výskumu a inováciám na trhu. S cieľom podporiť vývoj a zavádzanie slobodného softvéru a softvéru s otvoreným zdrojovým kódom, najmä zo strany mikropodnikov a malých a stredných podnikov vrátane startupov, jednotlivcov, neziskových organizácií a akademických výskumných organizácií, by sa pri uplatňovaní tohto nariadenia na produkty s digitálnymi prvkami, ktoré sa považujú za slobodný softvér a softvér s otvoreným zdrojovým kódom dodávaný na distribúciu alebo na použitie v rámci obchodnej činnosti, mala zohľadniť povaha rôznych modelov vývoja softvéru distribuovaného a vyvinutého s licenciou slobodného softvéru a softvéru s otvoreným zdrojovým kódom.

(18)

Slobodný softvér a softvér s otvoreným zdrojovým kódom sa chápe ako softvér, ktorého zdrojový kód je otvorený a licencia naň poskytuje všetky práva na voľný prístup k nemu, jeho používanie, úpravy a redistribúciu. Slobodný softvér a softvér s otvoreným zdrojovým kódom sa vyvíja, udržiava a distribuuje voľne, a to aj prostredníctvom online platforiem. Vo vzťahu k hospodárskym subjektom, ktoré patria do rozsahu pôsobnosti tohto nariadenia, by do rozsahu pôsobnosti tohto nariadenia mal patriť len slobodný softvér a softvér s otvoreným zdrojovým kódom sprístupnený na trhu, a preto dodávaný na distribúciu alebo používanie v rámci obchodnej činnosti. Samotné okolnosti, za ktorých bol produkt s digitálnymi prvkami vyvinutý, alebo spôsob financovania vývoja by sa preto nemali zohľadňovať pri určovaní toho, či ide o činnosť obchodnej alebo neobchodnej povahy. Konkrétne na účely tohto nariadenia a vo vzťahu k hospodárskym subjektom, ktoré patria do jeho rozsahu pôsobnosti, by sa poskytovanie produktov s digitálnymi prvkami považovanými za slobodný softvér a softvér s otvoreným zdrojovým kódom, ktoré ich výrobcovia nespeňažujú, nemalo považovať za obchodnú činnosť, aby sa zabezpečilo jasné rozlíšenie medzi fázou vývoja a fázou dodávky. Okrem toho by sa dodávka produktov s digitálnymi prvkami považovanými za komponenty slobodného softvéru a softvéru s otvoreným zdrojovým kódom určenými na integráciu inými výrobcami do ich vlastných produktov s digitálnymi prvkami, mala považovať za sprístupnenie na trhu len vtedy, ak komponent speňaží jeho pôvodný výrobca. Napríklad samotná skutočnosť, že softvérový produkt s otvoreným zdrojovým kódom s digitálnymi prvkami má finančnú podporu od výrobcov alebo že výrobcovia prispievajú k vývoju takéhoto produktu, by sama osebe nemala určovať, že ide o činnosť obchodnej povahy. Okrem toho samotné vydávanie pravidelných verzií by samo osebe nemalo viesť k záveru, že produkt s digitálnymi prvkami sa dodáva v rámci obchodnej činnosti. Napokon na účely tohto nariadenia by sa vývoj produktov s digitálnymi prvkami, ktoré neziskové organizácie označujú za slobodný softvér a softvér s otvoreným zdrojovým kódom, nemal považovať za obchodnú činnosť za predpokladu, že organizácia je zriadená tak, aby sa zabezpečilo, že všetky príjmy po odpočítaní nákladov sa použijú na dosiahnutie neziskových cieľov. Toto nariadenie sa nevzťahuje na fyzické alebo právnické osoby, ktoré prispievajú zdrojovým kódom k produktom s digitálnymi prvkami, ktoré sa považujú za slobodný softvér a softvér s otvoreným zdrojovým kódom, za ktoré nenesú zodpovednosť.

(19)

Vzhľadom na význam mnohých produktov s digitálnymi prvkami, ktoré sa považujú za slobodný softvér a softvér s otvoreným zdrojovým kódom, pre kybernetickú bezpečnosť, ktoré sa zverejňujú, ale nesprístupňujú na trhu v zmysle tohto nariadenia, by právnické osoby, ktoré poskytujú trvalú podporu vývoju takýchto produktov určených na obchodné činnosti a ktoré zohrávajú hlavnú úlohu pri zabezpečovaní životaschopnosti týchto produktov (ďalej len „správcovia softvéru s otvoreným zdrojovým kódom“), mali podliehať miernemu a individuálne prispôsobenému regulačnému režimu. Medzi správcov softvéru s otvoreným zdrojovým kódom patria určité nadácie, ako aj subjekty, ktoré vyvíjajú a vydávajú slobodný softvér a softvér s otvoreným zdrojovým kódom v podnikateľskom prostredí, vrátane neziskových subjektov. Regulačný režim by mal zohľadňovať ich osobitnú povahu a zlučiteľnosť s druhom uložených povinností. Mal by sa vzťahovať len na produkty s digitálnymi prvkami, ktoré sa považujú za slobodný softvér a softvér s otvoreným zdrojovým kódom, ktorý je v konečnom dôsledku určený na obchodné činnosti, napríklad na integráciu do komerčných služieb alebo do speňažovaných produktov s digitálnymi prvkami. Na účely uvedeného regulačného režimu zahŕňa zámer integrácie do speňažovaných produktov s digitálnymi prvkami prípady, keď výrobcovia, ktorí komponent integrujú do vlastných produktov s digitálnymi prvkami, buď pravidelne prispievajú k vývoju tohto komponentu, alebo poskytujú pravidelnú finančnú pomoc na zabezpečenie kontinuity softvérového produktu. Poskytovanie trvalej podpory vývoju produktu s digitálnymi prvkami zahŕňa okrem iného hosting a riadenie platforiem spolupráce pri vývoji softvéru, hosting zdrojového kódu alebo softvéru, správu alebo riadenie produktov s digitálnymi prvkami, ktoré sa považujú za slobodný softvér a softvér s otvoreným zdrojovým kódom, ako aj riadenie vývoja takýchto produktov. Vzhľadom na to, že mierny a individuálne prispôsobený regulačný režim neukladá subjektom, ktoré pôsobia ako správcovia softvéru s otvoreným zdrojovým kódom, rovnaké povinnosti ako subjektom, ktoré pôsobia ako výrobcovia podľa tohto nariadenia, nemalo by im byť povolené umiestňovať označenie CE na produkty s digitálnymi prvkami, ktorých vývoj podporujú.

(20)

Samotný hosting produktov s digitálnymi prvkami na otvorených úložiskách, a to aj prostredníctvom správcov balíkov alebo na platformách spolupráce, nie je ako taký sprístupňovaním produktu s digitálnymi prvkami na trhu. Poskytovatelia takýchto služieb by sa mali považovať za distribútorov len vtedy, ak sprístupňujú takýto softvér na trhu, a teda dodávajú ho na distribúciu alebo používanie na trhu Únie v rámci obchodnej činnosti.

(21)

S cieľom podporiť a uľahčiť náležitú starostlivosť výrobcov, ktorí integrujú komponenty slobodného softvéru a softvéru s otvoreným zdrojovým kódom, na ktoré sa nevzťahujú základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení, do svojich produktov s digitálnymi prvkami by Komisia mala mať možnosť zaviesť programy dobrovoľného osvedčovania bezpečnosti, a to buď delegovaným aktom, ktorým sa doplní toto nariadenie, alebo požiadaním o európsku schému certifikácie kybernetickej bezpečnosti podľa článku 48 nariadenia (EÚ) 2019/881, v ktorej sa zohľadnia osobitosti modelov vývoja slobodného softvéru a softvéru s otvoreným zdrojovým kódom. Programy osvedčovania bezpečnosti by mali byť koncipované tak, aby osvedčenie bezpečnosti mohli iniciovať alebo financovať nielen fyzické alebo právnické osoby, ktoré vyvíjajú alebo prispievajú k vývoju produktu s digitálnymi prvkami, ktoré sa považujú za slobodný softvér a softvér s otvoreným zdrojovým kódom, ale aj tretie strany, ako sú výrobcovia, ktorí takéto produkty integrujú do vlastných produktov s digitálnymi prvkami, používatelia alebo orgány verejnej správy Únie a členských štátov.

(22)

Vzhľadom na verejné ciele tohto nariadenia v oblasti kybernetickej bezpečnosti a s cieľom zlepšiť situačnú informovanosť členských štátov o závislosti Únie od softvérových komponentov, a najmä od potenciálne slobodných softvérových komponentov a softvérových komponentov s otvoreným zdrojovým kódom, by špecializovaná skupina pre administratívnu spoluprácu (ďalej len „ADCO“) zriadená týmto nariadením mala mať možnosť rozhodnúť o spoločnom posúdení závislosti Únie. Orgány dohľadu nad trhom by mali mať možnosť požiadať výrobcov kategórií produktov s digitálnymi prvkami stanovených skupinou ADCO o predloženie zoznamov softvéru, ktoré zostavili podľa tohto nariadenia. S cieľom chrániť dôvernosť zoznamov softvéru by orgány dohľadu nad trhom mali skupine ADCO anonymne a súhrnne predkladať relevantné informácie o závislostiach.

(23)

Účinnosť vykonávania tohto nariadenia bude závisieť aj od dostupnosti zodpovedajúcich kybernetickobezpečnostných zručností. Na úrovni Únie sa v rôznych programových a politických dokumentoch vrátane oznámenia Komisie z 18. apríla 2023 s názvom „Riešenie nedostatku odborníkov v oblasti kybernetickej bezpečnosti s cieľom posilniť konkurencieschopnosť, rast a odolnosť EÚ“ a v záveroch Rady z 22. mája 2023 o politike EÚ v oblasti kybernetickej obrany uznal nedostatok zručností v oblasti kybernetickej bezpečnosti v Únii a potreba prioritne riešiť takéto výzvy vo verejnom aj súkromnom sektore. S cieľom zaistiť účinné vykonávanie tohto nariadenia by členské štáty mali zabezpečiť, aby boli k dispozícii primerané zdroje na vhodné personálne obsadenie orgánov dohľadu nad trhom a orgánov posudzovania zhody na vykonávanie ich úloh stanovených v tomto nariadení. Uvedené opatrenia by mali posilniť mobilitu pracovnej sily v oblasti kybernetickej bezpečnosti a s nimi súvisiace kariérne možnosti. Mali by tiež prispieť k zvýšeniu odolnosti a inkluzívnosti pracovnej sily v oblasti kybernetickej bezpečnosti, a to aj z hľadiska rodovej rovnosti. Členské štáty by preto mali prijať opatrenia s cieľom zabezpečiť, aby tieto úlohy vykonávali primerane vyškolení odborníci s potrebnými zručnosťami v oblasti kybernetickej bezpečnosti. Podobne by výrobcovia mali zabezpečiť, aby ich zamestnanci mali potrebné zručnosti na plnenie svojich povinností stanovených v tomto nariadení. Členské štáty a Komisia by v súlade so svojimi výsadami a právomocami a osobitnými úlohami, ktoré im boli zverené týmto nariadením, mali prijať opatrenia na podporu výrobcov, a najmä mikropodnikov a malých a stredných podnikov vrátane startupov, a to aj v oblastiach, ako je rozvoj zručností, na účely plnenia ich povinností stanovených v tomto nariadení. Keďže v smernici (EÚ) 2022/2555 sa od členských štátov vyžaduje, aby v rámci svojich národných stratégií kybernetickej bezpečnosti prijali politiky na podporu a rozvoj odbornej prípravy v oblasti kybernetickej bezpečnosti a zručností v oblasti kybernetickej bezpečnosti, členské štáty môžu pri prijímaní takýchto stratégií zvážiť aj riešenie potrieb zručností v oblasti kybernetickej bezpečnosti vyplývajúcich z tohto nariadenia vrátane tých, ktoré sa týkajú rekvalifikácie a zvyšovania úrovne zručností.

(24)

Pre fungovanie kritickej infraštruktúry a pre spoločnosť ako celok je bezpečný internet nevyhnutný. Cieľom smernice (EÚ) 2022/2555 je zaistiť vysokú úroveň kybernetickej bezpečnosti služieb poskytovaných kľúčovými a dôležitými subjektmi uvedenými v článku 3 uvedenej smernice, vrátane poskytovateľov digitálnej infraštruktúry, ktorí podporujú základné funkcie otvoreného internetu, zabezpečujú prístup na internet a poskytujú internetové služby. Je preto dôležité, aby sa produkty s digitálnymi prvkami, ktoré potrebujú poskytovatelia digitálnej infraštruktúry na zabezpečenie fungovania internetu, vyvíjali bezpečným spôsobom a aby boli v súlade so zavedenými normami bezpečnosti internetu. Toto nariadenie, ktoré sa uplatňuje na všetky pripojiteľné hardvérové a softvérové produkty, sa takisto zameriava na uľahčenie dodržiavania požiadaviek dodávateľského reťazca podľa smernice (EÚ) 2022/2555 poskytovateľmi digitálnej infraštruktúry tým, že sa zabezpečí, aby sa produkty s digitálnymi prvkami, ktoré používajú na poskytovanie svojich služieb, vyvíjali bezpečne a aby mali prístup k včasným bezpečnostným aktualizáciám takýchto produktov.

(25)

V nariadení Európskeho parlamentu a Rady (EÚ) 2017/745 (9) sú stanovené pravidlá pre zdravotnícke pomôcky a v nariadení Európskeho parlamentu a Rady (EÚ) 2017/746 (10) sú stanovené pravidlá pre diagnostické zdravotnícke pomôcky in vitro. V uvedených nariadeniach sa riešia kybernetickobezpečnostné riziká a uplatňujú sa v nich osobitné prístupy, ktorým sa venuje aj toto nariadenie. Presnejšie sa v nariadeniach (EÚ) 2017/745 a (EÚ) 2017/746 stanovujú základné požiadavky na zdravotnícke pomôcky, ktoré fungujú prostredníctvom elektronického systému alebo ktoré samotné sú softvérom. Uvedené nariadenia sa vzťahujú aj na určitý nezabudovaný softvér a zohľadňovanie celoživotného cyklu. Tieto požiadavky ukladajú výrobcom povinnosť vyvíjať a konštruovať svoje produkty pri uplatnení zásad riadenia rizika a so stanovením požiadaviek, ktoré sa týkajú bezpečnostných opatrení IT a zodpovedajú postupom posudzovania zhody. Okrem toho je od decembra 2019 zavedené osobitné usmernenie ku kybernetickej bezpečnosti zdravotníckych pomôcok, ktorým sa výrobcom zdravotníckych pomôcok vrátane diagnostických pomôcok in vitro poskytuje usmernenie k tomu, ako splniť všetky príslušné základné kybernetickobezpečnostné požiadavky stanovené v prílohe I k uvedeným nariadeniam. Produkty s digitálnymi prvkami, na ktoré sa uplatňuje jedno z uvedených nariadení, by preto nemali podliehať tomuto nariadeniu.

(26)

Produkty s digitálnymi prvkami vyvinuté alebo upravené výlučne na účely národnej bezpečnosti alebo na obranné účely, alebo produkty špecificky navrhnuté na spracovanie utajovaných skutočností nepatria do rozsahu pôsobnosti tohto nariadenia. Členské štáty sa vyzývajú, aby zabezpečili rovnakú alebo vyššiu úroveň ochrany týchto produktov v porovnaní s produktmi, ktoré patria do rozsahu pôsobnosti tohto nariadenia.

(27)

V nariadení Európskeho parlamentu a Rady (EÚ) 2019/2144 (11) sa stanovujú požiadavky na typové schvaľovanie vozidiel a ich systémov a komponentov, pričom sa zavádzajú určité požiadavky kybernetickej bezpečnosti vrátane požiadaviek na prevádzku certifikovaného systému riadenia kybernetickej bezpečnosti a na aktualizácie softvéru, ktoré sa vzťahujú na politiky a procesy organizácií v oblasti kybernetických rizík počas celého životného cyklu vozidiel, zariadení a služieb v súlade s uplatniteľnými predpismi Organizácie Spojených národov o technických špecifikáciách a kybernetickej bezpečnosti, najmä predpisom OSN č. 155 – Jednotné ustanovenia na účely schvaľovania vozidiel vzhľadom na kybernetickú bezpečnosť a systém riadenia kybernetickej bezpečnosti (12), a stanovujú sa osobitné postupy posudzovania zhody. V oblasti letectva je hlavným cieľom nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1139 (13) dosiahnutie a udržanie vysokej a jednotnej úrovne bezpečnosti civilného letectva v Únii. Vytvára sa ním rámec pre základné požiadavky letovej spôsobilosti výrobkov, súčastí a zariadení vrátane softvéru leteckej techniky, ktorý zahŕňa povinnosti ochrany pred ohrozením bezpečnosti informácií. Postupom certifikácie podľa nariadenia (EÚ) 2018/1139 sa zaisťuje úroveň záruky, ktorá je cieľom tohto nariadenia. Produkty s digitálnymi prvkami, na ktoré sa uplatňuje nariadenie (EÚ) 2019/2144 a produkty certifikované v súlade s nariadením (EÚ) 2018/1139, by preto nemali podliehať základným požiadavkám kybernetickej bezpečnosti a postupom posudzovania zhody stanoveným v tomto nariadení.

(28)

Týmto nariadením sa stanovujú horizontálne pravidlá kybernetickej bezpečnosti, ktoré nie sú špecifické pre jednotlivé odvetvia alebo určité produkty s digitálnymi prvkami. Mohli by sa však zaviesť špecifické pravidlá Únie pre dané odvetvie alebo produkt a v nich by sa stanovili požiadavky na riešenie všetkých alebo niektorých rizík, na ktoré sa vzťahujú základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení. V takýchto prípadoch možno uplatňovanie tohto nariadenia na produkty s digitálnymi prvkami upravených v iných pravidlách Únie, ktorými sa stanovujú požiadavky na riešenie všetkých alebo niektorých rizík, ktorých sa týkajú základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení, obmedziť alebo vylúčiť, ak sa takéto obmedzenie alebo vylúčenie zhoduje s celkovým regulačným rámcom uplatňovaným na tieto produkty a ak sa odvetvovými pravidlami dosiahne aspoň rovnaká úroveň ochrany ako úroveň stanovená týmto nariadením. Komisia by mala byť splnomocnená prijímať delegované akty s cieľom doplniť toto nariadenie identifikovaním takýchto produktov a pravidiel. V prípade právnych predpisov Únie, na ktoré by sa mali takéto obmedzenia alebo vylúčenia uplatniť, obsahuje toto nariadenie osobitné ustanovenia na objasnenie jeho vzťahu k uvedeným právnym predpisom Únie.

(29)

S cieľom zabezpečiť možnosť účinnej opravy produktov s digitálnymi prvkami sprístupnených na trhu a predĺženie ich životnosti by sa mala udeliť výnimka pre náhradné diely. Táto výnimka by mala platiť pre náhradné diely, ktorých účelom je oprava pôvodných produktov sprístupnených pred dátumom začatia uplatňovania tohto nariadenia, ako aj pre náhradné diely, ktoré už prešli postupom posudzovania zhody podľa tohto nariadenia.

(30)

V delegovanom nariadení Komisie (EÚ) 2022/30 (14) sa stanovuje, že niekoľko základných požiadaviek stanovených v článku 3 ods. 3 písm. d), e) a f) smernice Európskeho parlamentu a Rady 2014/53/EÚ (15), ktoré sa týkajú poškodenia siete a zneužitia sieťových zdrojov, osobných údajov a súkromia a podvodov, sa uplatňuje na rádiové zariadenia. Vo vykonávacom rozhodnutí Komisie C(2022)5637 z 5. augusta 2022 o mandáte na tvorbu noriem adresovanom Európskemu výboru pre normalizáciu a Európskemu výboru pre normalizáciu v elektrotechnike sa stanovujú požiadavky na vypracovanie konkrétnych noriem s ďalším špecifikovaním spôsobu, akým by sa tieto základné požiadavky mali riešiť. Základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení obsahujú všetky prvky základných požiadaviek uvedených v článku 3 ods. 3 písm. d), e) a f) smernice 2014/53/EÚ. Okrem toho sú základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení zosúladené s cieľmi požiadaviek na konkrétne normy, ktoré obsahuje uvedený mandát na tvorbu normy. Ak teda Komisia zruší alebo zmení delegované nariadenie (EÚ) 2022/30 s tým dôsledkom, že sa prestane uplatňovať na určité produkty, na ktoré sa vzťahuje toto nariadenie, Komisia a európske normalizačné organizácie by mali pri príprave a vypracúvaní harmonizovaných noriem na uľahčenie vykonávania tohto nariadenia zohľadniť normalizačnú prácu vykonanú v súvislosti s vykonávacím rozhodnutím C(2022) 5637. Počas prechodného obdobia na uplatňovanie tohto nariadenia by Komisia mala poskytnúť usmernenia výrobcom, na ktorých sa vzťahuje toto nariadenie a na ktorých sa vzťahuje aj delegované nariadenie (EÚ) 2022/30, s cieľom uľahčiť preukazovanie súladu s týmito dvoma nariadeniami.

(31)

Smernica Európskeho parlamentu a Rady (EÚ) 2024/2853 (16) dopĺňa toto nariadenie. Uvedenou smernicou sa stanovujú pravidlá zodpovednosti za chybné produkty, aby poškodené osoby mohli uplatniť nárok na náhradu, keď im škodu spôsobili chybné produkty. Ustanovuje zásadu, že výrobca produktu zodpovedá za škody spôsobené nedostatočnou bezpečnosťou svojho produktu bez ohľadu na chybu (objektívna zodpovednosť). Ak sú príčinou nedostatočnej bezpečnosti nedostatočné bezpečnostné aktualizácie po uvedení produktu na trh a tie spôsobia škodu, môže sa uplatniť zodpovednosť výrobcu. Povinnosti výrobcu, ktoré sa týkajú poskytovania bezpečnostných aktualizácií, by sa mali stanoviť v tomto nariadení.

(32)

Týmto nariadením by nemalo byť dotknuté nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (17), a to ani ustanovenia týkajúce sa zavedenia mechanizmov certifikácie ochrany údajov a pečatí a značiek ochrany údajov na účely preukazovania súladu spracovateľských operácií vykonávaných prevádzkovateľmi a sprostredkovateľmi s uvedeným nariadením. Tieto operácie by mohli byť začlenené do produktu s digitálnymi prvkami. Špecificky navrhnutá a štandardná ochrana údajov a kybernetická bezpečnosť vo všeobecnosti sú kľúčovými prvkami nariadenia (EÚ) 2016/679. Základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení majú ochranou spotrebiteľov a organizácií pred kybernetickobezpečnostnými rizikami prispieť aj k zvýšeniu ochrany osobných údajov a súkromia jednotlivcov. Mala by sa zvážiť synergia aspektov normalizácie, ako aj certifikácie kybernetickej bezpečnosti prostredníctvom spolupráce medzi Komisiou, európskymi normalizačnými organizáciami, Agentúrou Európskej únie pre kybernetickú bezpečnosť (ďalej len „ENISA“), Európskym výborom pre ochranu údajov, ktorý bol zriadený nariadením (EÚ) 2016/679, a národnými dozornými orgánmi pre ochranu údajov. Vzniknúť by mala synergia aj medzi týmto nariadením a právnymi predpismi Únie o ochrane údajov v oblasti dohľadu nad trhom a presadzovania práva. Na tento účel by národné orgány dohľadu nad trhom určené podľa tohto nariadenia mali spolupracovať s orgánmi, ktoré vykonávajú dohľad nad uplatňovaním práva Únie v oblasti ochrany údajov. Tie by mali mať prístup aj k informáciám, ktoré sú dôležité pre plnenie ich úloh.

(33)

Poskytovatelia európskych peňaženiek digitálnej identity uvedení v článku 5a ods. 2 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 (18) by v rozsahu, v akom ich produkty patria do rozsahu pôsobnosti tohto nariadenia, mali spĺňať základné horizontálne požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení, ako aj osobitné bezpečnostné požiadavky stanovené v článku 5a nariadenia (EÚ) č. 910/2014. V záujme uľahčenia dodržiavania predpisov by poskytovatelia peňaženiek mali byť schopní preukázať súlad európskych peňaženiek digitálnej identity s požiadavkami stanovenými v tomto nariadení a v nariadení (EÚ) č. 910/2014 certifikáciou svojich produktov v rámci európskej schémy certifikácie kybernetickej bezpečnosti zavedenej podľa nariadenia (EÚ) 2019/881, pre ktorý Komisia prostredníctvom delegovaných aktov špecifikovala predpoklad zhody s týmto nariadením, pokiaľ sa certifikát alebo jeho časti vzťahujú na uvedené požiadavky.

(34)

Pri integrácii komponentov získaných od tretích strán do produktov s digitálnymi prvkami vo fáze návrhu a vývoja by výrobcovia s cieľom zabezpečiť, aby sa produkty navrhovali, vyvíjali a vyrábali v súlade so základnými požiadavkami kybernetickej bezpečnosti stanovenými v tomto nariadení, mali uplatňovať náležitú starostlivosť, pokiaľ ide o tieto komponenty vrátane komponentov so slobodným softvérom a softvérom s otvoreným zdrojovým kódom, ktoré neboli sprístupnené na trhu. Primeraná úroveň náležitej starostlivosti závisí od povahy a úrovne kybernetickobezpečnostného rizika spojeného s daným komponentom a na tento účel by mala zahŕňať jedno alebo viaceré z týchto opatrení: podľa potreby overenie, či výrobca komponentu preukázal zhodu s týmto nariadením, a to aj kontrolou toho, či komponent už má označenie CE; overenie, či je komponent pravidelne aktualizovaný na účely bezpečnosti, napríklad kontrolou histórie jeho bezpečnostných aktualizácií; overenie, či komponent neobsahuje zraniteľnosti zaznamenané v európskej databáze zraniteľností zriadenej podľa článku 12 ods. 2 smernice (EÚ) 2022/2555 alebo v iných verejne prístupných databázach zraniteľností; alebo vykonanie dodatočných bezpečnostných testov. Povinnosti riešiť zraniteľnosti stanovené v tomto nariadení, ktoré sú výrobcovia povinní dodržiavať pri uvádzaní produktu s digitálnymi prvkami na trh a počas obdobia podpory, sa vzťahujú na produkty s digitálnymi prvkami v ich celistvosti, ako aj na všetky integrované komponenty. Ak pri vykonávaní náležitej starostlivosti výrobca produktu s digitálnymi prvkami zistí zraniteľnosť komponentu, a to aj komponentu, ktorý obsahuje slobodný softvér a softvér s otvoreným zdrojovým kódom, mal by informovať osobu alebo subjekt, ktorý komponent vyrába alebo poskytuje jeho údržbu, riešiť a napraviť zraniteľnosť a prípadne poskytnúť tejto osobe alebo subjektu používanú bezpečnostnú nápravu.

(35)

Ihneď po prechodnom období na uplatňovanie tohto nariadenia výrobca produktu s digitálnymi prvkami, ktorý integruje jeden alebo viacero komponentov od tretích strán, na ktoré sa takisto vzťahuje toto nariadenie, nemusí byť schopný v rámci svojej povinnosti náležitej starostlivosti overiť, či výrobcovia týchto komponentov preukázali zhodu s týmto nariadením, napríklad overením toho, či tieto komponenty už majú označenie CE. Môže ísť o prípad, keď komponenty boli integrované skôr, ako sa toto nariadenie začne uplatňovať na výrobcov týchto komponentov. V tom prípade by mal výrobca, ktorý takéto komponenty integruje, uplatňovať náležitú starostlivosť inými prostriedkami.

(36)

Produkty s digitálnymi prvkami by mali niesť označenie CE, ktorým sa viditeľne, čitateľne a nezmazateľne preukazuje zhoda s týmto nariadením, aby im bol umožnený voľný pohyb v rámci vnútorného trhu. Členské štáty by nemali vytvárať neodôvodnené prekážky uvedeniu na trh produktov s digitálnymi prvkami, ktoré spĺňajú požiadavky stanovené v tomto nariadení a majú označenie CE. Okrem toho by členské štáty na obchodných veľtrhoch, výstavách a predvádzaniach alebo podobných podujatiach nemali brániť ukážkam alebo používaniu produktu s digitálnymi prvkami, ktorý nie je v súlade s týmto nariadením, vrátane jeho prototypov, za predpokladu, že produkt je prezentovaný s viditeľným označením, ktoré jasne uvádza, že produkt nie je v súlade s týmto nariadením a že nesmie byť sprístupnený na trhu, kým sa nedosiahne súlad.

(37)

S cieľom zabezpečiť, aby výrobcovia mohli uvoľňovať softvér na účely testovania pred podrobením svojich produktov s digitálnymi prvkami posudzovaniu zhody, by členské štáty nemali brániť sprístupneniu nedokončeného softvéru, ako sú alfa verzie, beta verzie alebo kandidáti na finálnu verziu, pokiaľ sa nedokončený softvér sprístupňuje iba na čas potrebný na jeho testovanie a získanie spätnej väzby. Výrobcovia by mali zabezpečiť, aby sa softvér sprístupnený podľa týchto podmienok uvoľnil iba po posúdení rizika a aby v najväčšej možnej miere spĺňal požiadavky bezpečnosti týkajúce sa vlastností produktov s digitálnymi prvkami, ktoré stanovuje toto nariadenie. Výrobcovia by takisto mali v najväčšej možnej miere spĺňať požiadavky na riešenia zraniteľností. Výrobcovia by nemali nútiť používateľov, aby prešli na vyššie verzie uvoľnené iba na účely testovania.

(38)

V záujme zabezpečenia toho, aby produkty s digitálnymi prvkami uvedené na trh nepredstavovali pre osoby a organizácie kybernetickobezpečnostné riziká, mali by sa pre takéto produkty stanoviť základné požiadavky kybernetickej bezpečnosti. Tieto základné požiadavky kybernetickej bezpečnosti vrátane požiadaviek na riadenie zraniteľnosti sa uplatňujú na každý jednotlivý produkt s digitálnymi prvkami pri jeho uvedení na trh bez ohľadu na to, či sa produkt s digitálnymi prvkami vyrába ako samostatná jednotka alebo v sérii. Napríklad v prípade typu produktu by každý jednotlivý produkt s digitálnymi prvkami mal mať všetky dostupné bezpečnostné opravy alebo aktualizácie na riešenie relevantných bezpečnostných problémov pri uvedení na trh. Ak sa produkty s digitálnymi prvkami následne fyzicky alebo digitálne upravia spôsobom, s ktorým výrobca pri prvom posúdení rizika nepočítal a z ktorého môže vyplynúť, že už nespĺňajú príslušné základné požiadavky kybernetickej bezpečnosti, úprava by sa mala považovať za podstatnú. Napríklad opravy by sa mohli klásť na rovnakú úroveň ako činnosti údržby za predpokladu, že by sa nimi produkt s digitálnymi prvkami, ktorý už bol uvedený na trh, neupravil takým spôsobom, ktorý by mohol ovplyvniť spĺňanie uplatniteľných požiadaviek alebo ktorým by sa mohol zmeniť zamýšľaný účel, na ktoré sa produkt posudzoval.

(39)

Rovnako ako v prípade fyzických opráv alebo úprav by sa produkt s digitálnymi prvkami mal považovať za podstatne upravený zmenou softvéru, ak sa aktualizáciou softvéru mení zamýšľaný účel daného produktu a tieto zmeny výrobca nepredpokladal v počiatočnom posúdení rizika, alebo ak sa povaha nebezpečenstva zmenila alebo sa zvýšila úroveň kybernetickobezpečnostného rizika v dôsledku aktualizácie softvéru a aktualizovaná verzia produktu sa sprístupňuje na trhu. Ak bezpečnostná aktualizácia, ktorá je navrhnutá na zníženie úrovne kybernetickobezpečnostného rizika produktu s digitálnymi prvkami, nemení zamýšľaný účel produktu s digitálnymi prvkami, nepovažuje sa za podstatnú úpravu. Zvyčajne to zahŕňa situácie, keď si bezpečnostná aktualizácia vyžaduje len malé úpravy zdrojového kódu. Mohlo by ísť napríklad o prípad, keď bezpečnostná aktualizácia rieši známu zraniteľnosť, a to aj úpravou funkcií alebo výkonnosti produktu s digitálnymi prvkami výlučne s cieľom znížiť úroveň kybernetickobezpečnostného rizika. Podobne menšia aktualizácia funkcie, ako je vizuálne zlepšenie alebo pridanie nových piktogramov alebo jazykov do používateľského rozhrania, by sa vo všeobecnosti nemala považovať za podstatnú úpravu. Naopak ak aktualizácia prvku mení pôvodné zamýšľané funkcie alebo typ, či výkonnosť produktu s digitálnymi prvkami a spĺňa vyššie uvedené kritériá, mala by sa považovať za podstatnú úpravu, keďže pridanie nových prvkov zvyčajne vedie k širšej ploche útoku, čím sa kybernetickobezpečnostné riziko zvyšuje. Mohlo by ísť napríklad o prípad, keď sa do aplikácie pridá nový vstupný prvok, ktorý od výrobcu vyžaduje, aby zabezpečil primeranú validáciu vstupov. Pri posudzovaní toho, či sa aktualizácia prvku považuje za podstatnú úpravu, nie je relevantné, či sa poskytuje ako samostatná aktualizácia alebo v kombinácii s bezpečnostnou aktualizáciou. Komisia by mala vydať usmernenia o tom, ako určiť, čo predstavuje podstatnú úpravu.

(40)

Vzhľadom na cyklický charakter vývoja softvéru by výrobcovia, ktorí uviedli na trh nové verzie softvérového produktu v dôsledku následnej podstatnej úpravy tohto produktu, mali mať možnosť poskytovať bezpečnostné aktualizácie počas obdobia podpory len pre verziu softvérového produktu, ktorú uviedli na trh naposledy. Mali by mať možnosť tak urobiť, len ak používatelia príslušných predchádzajúcich verzií produktu majú bezplatný prístup k verzii produktu, ktorá bola naposledy uvedená na trh, a nevznikajú im dodatočné náklady na prispôsobenie hardvérového alebo softvérového prostredia, v ktorom produkt prevádzkujú. Mohlo by ísť napríklad o prípad, keď si modernizácia operačného systému pre stolové počítače nevyžaduje nový hardvér, napríklad rýchlejší centrálny procesor alebo väčšiu pamäť. Výrobca by však mal počas obdobia podpory naďalej spĺňať ďalšie požiadavky na riešenie zraniteľností, ako je politika koordinovaného zverejňovania zraniteľností alebo opatrenia na uľahčenie výmeny informácií o potenciálnych zraniteľnostiach pre všetky následné podstatne upravené verzie softvérového produktu uvedeného na trh. Výrobcovia by mali mať možnosť poskytovať menšie bezpečnostné alebo funkčné aktualizácie, ktoré nepredstavujú podstatnú úpravu, len pre poslednú verziu alebo čiastkovú verziu softvérového produktu, ktorý nebol podstatne upravený. Ak zároveň hardvérový produkt, napríklad smartfón, nie je kompatibilný s najnovšou verziou operačného systému, s ktorým bol pôvodne dodaný, výrobca by mal naďalej poskytovať bezpečnostné aktualizácie aspoň pre poslednú kompatibilnú verziu operačného systému počas obdobia podpory.

(41)

V súlade so všeobecne zaužívaným pojmom podstatnej úpravy pri produktoch regulovaných harmonizačnými právnymi predpismi Únie je vždy, keď dôjde k podstatnej úprave, ktorá môže ovplyvniť súlad produktu s digitálnymi prvkami s týmto nariadením, alebo keď sa zmení zamýšľaný účel tohto produktu, vhodné overiť súlad produktu s digitálnymi prvkami s predpismi a prípadne ho podrobiť novému posúdeniu zhody. V prípade, keď sa výrobca rozhodne vykonať posúdenie zhody s účasťou tretej strany, tejto tretej strane by sa mala oznámiť zmena, ktorá by mohla viesť k podstatnej úprave.

(42)

Ak produkt s digitálnymi prvkami podlieha „renovovaniu“, „údržbe“ a „oprave“ v zmysle vymedzenia v článku 2 bodoch 18, 19 a 20 nariadenia Európskeho parlamentu a Rady (EÚ) 2024/1781 (19), nemusí to nevyhnutne viesť k podstatnej úprave produktu, napríklad ak sa zamýšľaný účel a funkcie nezmenia a neovplyvnená zostane aj úroveň rizika. Modernizácia produktu s digitálnymi prvkami výrobcom by mohla viesť k zmenám v návrhu a vývoji tohto produktu, a preto by mohla mať vplyv na jeho zamýšľaný účel a súlad s požiadavkami stanovenými v tomto nariadení.

(43)

Produkty s digitálnymi prvkami by sa mali považovať za dôležité, ak môže byť nepriaznivý účinok zneužitia potenciálnych zraniteľností produktu závažný okrem iného z dôvodu funkcie súvisiacej s kybernetickou bezpečnosťou alebo funkcie, ktorá predstavuje významné riziko nepriaznivých účinkov z hľadiska jeho intenzity a schopnosti narušiť, ovládať alebo spôsobiť poškodenie veľkého počtu iných produktov s digitálnymi prvkami alebo zdravia, bezpečnosti alebo ochrany jeho používateľov pri priamej manipulácii, ako je funkcia centrálneho systému vrátane riadenia siete, kontroly konfigurácie, virtualizácie alebo spracovania osobných údajov. Zraniteľnosti produktov s digitálnymi prvkami, ktoré majú funkciu súvisiacu s kybernetickou bezpečnosťou, napríklad správcovia spúšťania, môžu viesť k šíreniu bezpečnostných problémov v celom dodávateľskom reťazci. Závažnosť dosahu incidentu sa môže zvýšiť aj vtedy, keď produkt primárne vykonáva funkciu centrálneho systému vrátane správy siete, kontroly konfigurácie, virtualizácie alebo spracovania osobných údajov.

(44)

Určité kategórie produktov s digitálnymi prvkami by mali podliehať prísnejším postupom posudzovania zhody pri súčasnom zachovaní primeraného prístupu. Na tento účel by sa mali dôležité produkty s digitálnymi prvkami rozdeliť do dvoch tried podľa úrovne kybernetickobezpečnostného rizika spojeného s týmito kategóriami produktov. Incident zahŕňajúci dôležité produkty s digitálnymi prvkami, ktoré patria do triedy II, by mohol viesť k väčším nepriaznivým účinkom ako incident zahŕňajúci dôležité produkty s digitálnymi prvkami, ktoré patria do triedy I, napríklad z dôvodu povahy ich funkcie súvisiacej s kybernetickou bezpečnosťou alebo výkonu inej funkcie, ktorá so sebou prináša významné riziko nepriaznivých účinkov. So zreteľom na takéto významnejšie nepriaznivé účinky by produkty s digitálnymi prvkami, ktoré patria do triedy II, mohli plniť funkciu súvisiacu s kybernetickou bezpečnosťou alebo inú funkciu, ktorá so sebou prináša významné riziko nepriaznivých účinkov, ktoré je vyššie ako v prípade produktov patriacich do triedy I, alebo by mohli spĺňať obe uvedené kritériá. Dôležité produkty s digitálnymi prvkami, ktoré patria do triedy II, by preto mali podliehať prísnejšiemu postupu posudzovania zhody.

(45)

Dôležité produkty s digitálnymi prvkami uvedené v tomto nariadení by sa mali chápať ako produkty, ktoré majú základnú funkciu kategórie dôležitých produktov s digitálnymi prvkami, ktorá je stanovená v tomto nariadení. V tomto nariadení sa napríklad stanovujú kategórie dôležitých produktov s digitálnymi prvkami, ktoré sú podľa ich základnej funkcie vymedzené ako firewally alebo systémy detekcie alebo prevencie narušení v triede II. Preto sú firewally a systémy detekcie alebo prevencie narušení predmetom povinného posudzovania zhody treťou stranou. Neplatí to v prípade iných produktov s digitálnymi prvkami, ktoré nie sú kategorizované ako dôležité produkty s digitálnymi prvkami, ktoré môžu zahŕňať firewally alebo systémy detekcie alebo prevencie narušení. Komisia by mala prijať vykonávací akt s cieľom spresniť technický opis kategórií dôležitých produktov s digitálnymi prvkami, ktoré patria do tried I a II, ako sa stanovuje v tomto nariadení.

(46)

Kategórie kritických produktov s digitálnymi prvkami stanovené v tomto nariadení majú funkciu súvisiacu s kybernetickou bezpečnosťou a vykonávajú funkciu, ktorá nesie významné riziko nepriaznivých účinkov, pokiaľ ide o ich intenzitu a schopnosť narušiť, ovládať alebo spôsobiť poškodenie veľkého počtu iných produktov s digitálnymi prvkami prostredníctvom priamej manipulácie. Okrem toho sa tieto kategórie produktov s digitálnymi prvkami považujú za kritické závislosti pre kľúčové subjekty uvedené v článku 3 ods. 1 smernice (EÚ) 2022/2555. Kategórie kritických produktov s digitálnymi prvkami uvedené v prílohe k tomuto nariadeniu vzhľadom na svoju kritickosť už vo veľkej miere využívajú rôzne formy certifikácie a vzťahuje sa na ne aj európska schéma certifikácie kybernetickej bezpečnosti založená na spoločných kritériách (ďalej len „EUCC“) stanovená vo vykonávacom nariadení Komisie (EÚ) 2024/482 (20). S cieľom zabezpečiť spoločnú primeranú ochranu kybernetickej bezpečnosti kritických produktov s digitálnymi prvkami v Únii by preto mohlo byť vhodné a primerané, aby sa takéto kategórie produktov prostredníctvom delegovaného aktu podrobili povinnej európskej certifikácii kybernetickej bezpečnosti, ak už existuje príslušná európska schéma certifikácie kybernetickej bezpečnosti, ktorá sa na tieto produkty vzťahuje, a Komisia vykonala posúdenie potenciálneho vplyvu plánovanej povinnej certifikácie na trh. V tomto posúdení by sa mala vziať do úvahy strana ponuky aj dopytu vrátane toho, či existuje dostatočný dopyt po dotknutých produktoch s digitálnymi prvkami z členských štátov aj používateľov na to, aby sa vyžadovala európska certifikácia kybernetickej bezpečnosti, ako aj účely, na ktoré sa majú produkty s digitálnymi prvkami používať, vrátane kritickej závislosti kľúčových subjektov uvedených v článku 3 ods. 1 smernice (EÚ) 2022/2555 od nich. V posúdení by sa mali analyzovať aj potenciálne účinky povinnej certifikácie na dostupnosť týchto produktov na vnútornom trhu a schopnosti a pripravenosť členských štátov vykonávať príslušné európske schémy certifikácie kybernetickej bezpečnosti.

(47)

V delegovaných aktoch vyžadujúcich povinnú európsku certifikáciu kybernetickej bezpečnosti by sa mali určiť produkty s digitálnymi prvkami, ktoré majú základnú funkciu kategórie kritických produktov s digitálnymi prvkami podľa tohto nariadenia a ktoré majú podliehať povinnej certifikácii, ako aj požadovanú úroveň záruky, ktorá by mala byť aspoň „významná“. Požadovaná úroveň záruky by mala byť primeraná úrovni kybernetickobezpečnostného rizika spojeného s produktom s digitálnymi prvkami. Ak má napríklad produkt s digitálnymi prvkami základnú funkciu kategórie kritických produktov s digitálnymi prvkami podľa tohto nariadenia a je určený na použitie v citlivom alebo kritickom prostredí, ako sú produkty určené na používanie kľúčovými subjektmi uvedenými v článku 3 ods. 1 smernice (EÚ) 2022/2555, môže sa vyžadovať najvyššiu úroveň záruky.

(48)

S cieľom zabezpečiť v Únii spoločnú primeranú kybernetickobezpečnostnú ochranu produktov s digitálnymi prvkami, ktoré majú základnú funkciu kategórie kritických produktov s digitálnymi prvkami podľa tohto nariadenia, Komisia by mala byť tiež splnomocnená prijímať delegované akty s cieľom zmeniť toto nariadenie doplnením alebo zrušením kategórií kritických produktov s digitálnymi prvkami, v prípade ktorých by sa od výrobcov mohlo vyžadovať, aby získali európsky certifikát kybernetickej bezpečnosti v rámci európskej schémy certifikácie kybernetickej bezpečnosti podľa nariadenia (EÚ) 2019/881 na preukázanie súladu s týmto nariadením. Do týchto kategórií sa môže doplniť nová kategória kritických produktov s digitálnymi prvkami, ak kľúčové subjekty uvedené v článku 3 ods. 1 smernice (EÚ) 2022/2555 od nich kriticky závisia, alebo ak sú ovplyvnené incidentmi alebo obsahujú zneužívané zraniteľnosti, čo by mohlo viesť k narušeniam kritických dodávateľských reťazcov. Pri posudzovaní potreby doplniť alebo zrušiť kategórie kritických produktov s digitálnymi prvkami prostredníctvom delegovaného aktu by Komisia mala mať možnosť zohľadniť, či členské štáty na vnútroštátnej úrovni identifikovali produkty s digitálnymi prvkami, ktoré zohrávajú kľúčovú úlohu z hľadiska odolnosti kľúčových subjektov uvedených v článku 3 ods. 1 smernice (EÚ) 2022/2555 a ktoré čoraz viac čelia kybernetickým útokom v dodávateľskom reťazci s možnými vážnymi rušivými účinkami. Komisia by okrem toho mala byť schopná zohľadniť výsledok koordinovaného posúdenia bezpečnostných rizík kritických dodávateľských reťazcov na úrovni Únie, ktoré sa vykonáva v súlade s článkom 22 smernice (EÚ) 2022/2555.

(49)

Pri príprave opatrení na vykonávanie tohto nariadenia by Komisia mala zabezpečiť štruktúrované a pravidelné konzultácie so širokou škálou príslušných zainteresovaných strán. Malo by to tak byť najmä v prípade, keď Komisia usúdi, že sú potrebné potenciálne aktualizácie zoznamov kategórií dôležitých alebo kritických produktov s digitálnymi prvkami, keď by sa malo konzultovať s príslušnými výrobcami a mali by sa zohľadniť ich názory s cieľom analyzovať kybernetickobezpečnostné riziká, ako aj vyváženosť nákladov a prínosov označenia takýchto kategórií produktov za dôležité alebo kritické.

(50)

V tomto nariadení sa riešia kybernetickobezpečnostné riziká cieleným spôsobom. Produkty s digitálnymi prvkami by však mohli predstavovať ďalšie bezpečnostné riziká, ktoré vždy nesúvisia s kybernetickou bezpečnosťou, ale môžu byť dôsledkom narušenia bezpečnosti. Tieto riziká by mali byť naďalej regulované inými príslušnými harmonizačnými právnymi predpismi Únie, než je toto nariadenie. Ak sa neuplatňujú žiadne iné harmonizačné právne predpisy Únie, než je toto nariadenie, malo by sa uplatňovať nariadenie Európskeho parlamentu a Rady (EÚ) 2023/988 (21). Preto vzhľadom na cielenú povahu tohto nariadenia by sa odchylne od článku 2 ods. 1 tretieho pododseku písm. b) nariadenia (EÚ) 2023/988 mala kapitola III oddiel 1, kapitoly V a VII a kapitoly IX až XI nariadenia (EÚ) 2023/988 uplatňovať na produkty s digitálnymi prvkami, pokiaľ ide o bezpečnostné riziká, na ktoré sa nevzťahuje toto nariadenie, ak sa na tieto produkty nevzťahujú osobitné požiadavky stanovené v iných harmonizačných právnych predpisoch Únie, než je toto nariadenie, v zmysle článku 3 bodu 27 nariadenia (EÚ) 2023/988.

(51)

Produkty s digitálnymi prvkami klasifikované ako vysokorizikové systémy umelej inteligencie (ďalej len „vysokorizikové systémy AI“) podľa článku 6 nariadenia Európskeho parlamentu a Rady (EÚ) 2024/1689 (22), ktoré patria do rozsahu pôsobnosti tohto nariadenia, by mali vyhovovať základným požiadavkám kybernetickej bezpečnosti stanoveným v tomto nariadení. Ak tieto vysokorizikové systémy AI spĺňajú základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení, mali by sa považovať za systémy, ktoré spĺňajú požiadavky kybernetickej bezpečnosti stanovené v článku 15 nariadenia (EÚ) 2024/1689, pokiaľ sa na tieto požiadavky vzťahuje EÚ vyhlásenie o zhode alebo jeho časti vydané podľa tohto nariadenia. Na tento účel by posúdenie kybernetickobezpečnostných rizík spojených s produktom s digitálnymi prvkami klasifikovaným ako vysokorizikový systém AI podľa nariadenia (EÚ) 2024/1689, ktoré sa má zohľadniť vo fáze plánovania, navrhovania, vývoja, výroby, dodávky a údržby takéhoto produktu, ako sa vyžaduje podľa tohto nariadenia, malo zohľadňovať riziká pre kybernetickú odolnosť systému umelej inteligencie, pokiaľ ide o pokusy neoprávnených tretích strán zmeniť jeho používanie, správanie alebo výkonnosť vrátane zraniteľností súvisiacich s umelou inteligenciou, ako sú otravy údajov alebo nepriateľské útoky, ako aj relevantné riziká pre základné práva v súlade s nariadením (EÚ) 2024/1689. Pokiaľ ide o postupy posudzovania zhody týkajúce sa základných požiadaviek kybernetickej bezpečnosti pre na produkt s digitálnymi prvkami, ktorý spadá do rozsahu pôsobnosti tohto nariadenia a ktorý je klasifikovaný ako vysokorizikový systém AI, namiesto príslušných ustanovení tohto nariadenia by sa mal spravidla uplatňovať článok 43 nariadenia (EÚ) 2024/1689. Toto pravidlo by však nemalo viesť k zníženiu potrebnej úrovne záruky pre dôležité alebo kritické produkty s digitálnymi prvkami, ako sú uvedené v tomto nariadení. Odchylne od tohto pravidla by preto vysokorizikové systémy AI, ktoré patria do rozsahu pôsobnosti nariadenia (EÚ) 2024/1689 a zároveň sú tiež dôležitými alebo kritickými produktmi s digitálnymi prvkami, ako sú uvedené v tomto nariadení, a na ktoré sa uplatňuje postup posudzovania zhody na základe vnútornej kontroly uvedený v prílohe VI k nariadeniu (EÚ) 2024/1689, mali podliehať postupom posudzovania zhody podľa tohto nariadenia, pokiaľ ide o základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení. V takom prípade by sa na všetky ostatné aspekty, na ktoré sa vzťahuje nariadenie (EÚ) 2024/1689, mali uplatňovať príslušné ustanovenia o posudzovaní zhody na základe vnútornej kontroly uvedené v prílohe VI k uvedenému nariadeniu.

(52)

S cieľom zlepšiť bezpečnosť produktov s digitálnymi prvkami uvádzaných na vnútorný trh je potrebné stanoviť základné požiadavky kybernetickej bezpečnosti uplatniteľné na takéto produkty. Týmito základnými požiadavkami kybernetickej bezpečnosti by nemalo byť dotknuté koordinované posudzovanie bezpečnostných rizík kritických dodávateľských reťazcov na úrovni Únie stanovené v článku 22 smernice (EÚ) 2022/2555, pri ktorom sa zohľadňujú technické a v relevantnom prípade aj netechnické faktory rizík, ako je neprimeraný vplyv tretej krajiny na dodávateľov. Okrem toho by nimi nemalo byť dotknuté výsadné právo členských štátov stanoviť ďalšie požiadavky, ktoré zohľadňujú netechnické faktory na účely zaistenia vysokej úrovne odolnosti vrátane požiadaviek vymedzených v odporúčaní Komisie (EÚ) 2019/534 (23), v koordinovanom posúdení rizík na úrovni EÚ, pokiaľ ide o kybernetickú bezpečnosť sietí 5G, a v súbore nástrojov EÚ pre kybernetickú bezpečnosť 5G, ktoré schválila skupina pre spoluprácu zriadená podľa článku 14 smernice (EÚ) 2022/2555.

(53)

Výrobcovia produktov patriacich do rozsahu pôsobnosti nariadenia Európskeho parlamentu a Rady (EÚ) 2023/1230 (24), ktoré sú zároveň produktmi s digitálnymi prvkami v zmysle vymedzenia v tomto nariadení, by mali spĺňať základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení, ako aj základné požiadavky na bezpečnosť a ochranu zdravia stanovené v nariadení (EÚ) 2023/1230. Základnými požiadavkami kybernetickej bezpečnosti stanovenými v tomto nariadení a určitými základnými požiadavkami stanovenými v nariadení (EÚ) 2023/1230 sa môžu riešiť podobné kybernetickobezpečnostné riziká. Dodržiavanie základných požiadaviek kybernetickej bezpečnosti stanovených v tomto nariadení by preto mohlo uľahčiť dodržiavanie základných požiadaviek na určité kybernetickobezpečnostné riziká stanovené v nariadení (EÚ) 2023/1230, a to najmä požiadaviek na ochranu pred zneužitím a bezpečnosť a spoľahlivosť ovládacích systémov stanovených v oddieloch 1.1.9 a 1.2.1 prílohy III k uvedenému nariadeniu. Takéto synergie musí výrobca preukázať, napríklad uplatnením harmonizovaných noriem alebo iných technických špecifikácií, ktoré sa vzťahujú na príslušné základné požiadavky kybernetickej bezpečnosti, ak sú k dispozícii, na základe posúdenia rizík, ktoré sa vzťahuje na uvedené kybernetickobezpečnostné riziká. Výrobca by sa mal riadiť aj uplatniteľnými postupmi posudzovania zhody stanovenými v tomto nariadení a v nariadení (EÚ) 2023/1230. Komisia a európske normalizačné organizácie by v rámci prípravných prác na podporu vykonávania tohto nariadenia a nariadenia (EÚ) 2023/1230 a súvisiacich normalizačných postupov mali podporovať konzistentnosť spôsobu posudzovania kybernetickobezpečnostných rizík a toho, ako majú byť tieto riziká pokryté harmonizovanými normami, pokiaľ ide o príslušné základné požiadavky. Komisia a európske normalizačné organizácie by mali toto nariadenie zohľadniť najmä pri príprave a vypracovaní harmonizovaných noriem s cieľom uľahčiť vykonávanie nariadenia (EÚ) 2023/1230, najmä pokiaľ ide o aspekty kybernetickej bezpečnosti súvisiace s ochranou pred zneužitím a bezpečnosťou a spoľahlivosťou ovládacích systémov stanovených v oddieloch 1.1.9 a 1.2.1 prílohy III k uvedenému nariadeniu. Komisia by mala poskytnúť usmernenia na podporu výrobcov, na ktorých sa vzťahuje toto nariadenie a tiež aj nariadenie (EÚ) 2023/1230, najmä s cieľom uľahčiť preukazovanie dodržiavania príslušných základných požiadaviek stanovených v tomto nariadení a v nariadení (EÚ) 2023/1230.

(54)

S cieľom zaistiť, aby boli produkty s digitálnymi prvkami zabezpečené tak v čase ich uvedenia na trh, ako aj počas ich očakávaného obdobia používania je potrebné stanoviť základné požiadavky kybernetickej bezpečnosti na riešenie zraniteľností a základné požiadavky kybernetickej bezpečnosti týkajúce sa vlastností produktov s digitálnymi prvkami. Hoci by výrobcovia mali splniť všetky základné požiadavky kybernetickej bezpečnosti týkajúce sa riešenia zraniteľností počas celého obdobia podpory, mali by určiť, ktoré ďalšie základné požiadavky kybernetickej bezpečnosti týkajúce sa vlastností produktu sú relevantné pre príslušný druh produktu s digitálnymi prvkami. Na tento účel by výrobcovia mali vykonať posúdenie kybernetickobezpečnostných rizík spojených s produktom s digitálnymi prvkami s cieľom identifikovať príslušné riziká a relevantné základné požiadavky kybernetickej bezpečnosti, aby mohli sprístupňovať svoje produkty s digitálnymi prvkami bez známych zneužiteľných zraniteľností, ktoré by mohli mať vplyv na bezpečnosť týchto produktov, a primerane uplatňovať vhodné harmonizované normy, spoločné špecifikácie alebo európske či medzinárodné normy.

(55)

Ak na produkt s digitálnymi prvkami nemožno uplatniť určité základné požiadavky kybernetickej bezpečnosti, výrobca by mal v posúdení kybernetickobezpečnostného rizika priloženého k technickej dokumentácii uviesť jasné odôvodnenie. Môže ísť o prípady, keď je základná požiadavka kybernetickej bezpečnosti nezlučiteľná s povahou produktu s digitálnymi prvkami. Napríklad zamýšľaný účel produktu s digitálnymi prvkami môže vyžadovať, aby výrobca dodržiaval všeobecne uznávané normy interoperability, aj keď sa jeho bezpečnostné prvky už nepovažujú za najmodernejšie. Podobne sa v iných právnych predpisoch Únie vyžaduje, aby výrobcovia uplatňovali osobitné požiadavky na interoperabilitu. Ak sa základná požiadavka kybernetickej bezpečnosti na produkt s digitálnymi prvkami nevzťahuje, ale výrobca v súvislosti s touto základnou požiadavkou kybernetickej bezpečnosti identifikoval kybernetickobezpečnostné riziká, mal by prijať opatrenia na riešenie týchto rizík inými prostriedkami, napríklad obmedzením zamýšľaného účelu produktu na dôveryhodné prostredia alebo informovaním používateľov o týchto rizikách.

(56)

Jedným z najdôležitejších opatrení, ktoré majú používatelia prijať na ochranu svojich produktov s digitálnymi prvkami pred kybernetickými útokmi, je čo najskôr nainštalovať najnovšie dostupné bezpečnostné aktualizácie. Výrobcovia by preto mali navrhovať svoje produkty a zavádzať postupy tak, aby zabezpečili, že produkty s digitálnymi prvkami zahŕňajú funkcie, ktoré umožňujú automatické oznamovanie, distribúciu, sťahovanie a inštaláciu bezpečnostných aktualizácií, najmä v prípade spotrebných produktov. Mali by tiež umožniť v poslednom kroku súhlas so stiahnutím a inštaláciou bezpečnostných aktualizácií. Používatelia by mali mať ponechanú možnosť deaktivovať automatické aktualizácie jasným a ľahko použiteľným mechanizmom a so zrozumiteľným návodom na vypnutie aktualizácie. Požiadavky týkajúce sa automatických aktualizácií stanovené v prílohe k tomuto nariadeniu sa neuplatňujú na produkty s digitálnymi prvkami, ktoré sú primárne určené na integráciu ako komponenty do iných produktov. Nevzťahujú sa ani na produkty s digitálnymi prvkami, v prípade ktorých používatelia dôvodne neočakávajú automatické aktualizácie vrátane produktov s digitálnymi prvkami, ktoré sa majú používať v profesionálnych sieťach informačných a komunikačných technológií, a najmä v kritickom a priemyselnom prostredí, v ktorom by automatická aktualizácia mohla spôsobiť zasahovanie do prevádzky. Bez ohľadu na to, či je produkt s digitálnymi prvkami navrhnutý tak, aby prijímal automatické aktualizácie alebo nie, jeho výrobca by mal používateľov informovať o zraniteľnostiach a bezodkladne poskytnúť bezpečnostné aktualizácie. Ak má produkt s digitálnymi prvkami používateľské rozhranie alebo podobné technické prostriedky umožňujúce priamu interakciu s používateľmi, výrobca by mal takéto funkcie využiť na informovanie používateľov o tom, že ich produkt s digitálnymi prvkami dosiahol koniec obdobia podpory. Oznámenia by sa mali obmedziť na to, čo je potrebné na zabezpečenie účinného prijímania týchto informácií, a nemali by mať negatívny vplyv na skúsenosti používateľov s produktom s digitálnymi prvkami.

(57)

S cieľom zlepšiť transparentnosť procesov riešenia zraniteľností a zabezpečiť, aby používatelia neboli povinní inštalovať nové aktualizácie funkcií výlučne na účely prijímania najnovších bezpečnostných aktualizácií, by výrobcovia mali zabezpečiť, ak je to technicky možné, aby sa nové bezpečnostné aktualizácie poskytovali oddelene od aktualizácií funkcií.

(58)

V spoločnom oznámení Komisie a vysokého predstaviteľa Únie pre zahraničné veci a bezpečnostnú politiku z 20. júna 2023 s názvom „Európska stratégia hospodárskej bezpečnosti“ sa uvádza, že Únia musí maximalizovať prínosy svojej hospodárskej otvorenosti a zároveň minimalizovať riziká vyplývajúce z hospodárskej závislosti od vysokorizikových predajcov, a to prostredníctvom spoločného strategického rámca pre hospodársku bezpečnosť Únie. Závislosť od vysokorizikových dodávateľov produktov s digitálnymi prvkami môže predstavovať strategické riziko, ktoré sa musí riešiť na úrovni Únie, najmä ak sú produkty s digitálnymi prvkami určené na použitie pre kľúčové subjekty uvedené v článku 3 ods. 1 smernice (EÚ) 2022/2555. Takéto riziká môžu byť spojené nielen s jurisdikciou vzťahujúcou sa na výrobcu, charakteristikami jeho vlastníckej štruktúry a kontrolnými prepojeniami na vládu tretej krajiny, v ktorej je usadený, najmä ak daná tretia krajina vykonáva priemyselnú špionáž alebo nezodpovedné štátne zásahy v kybernetickom priestore a jej právne predpisy umožňujú svojvoľný prístup k akémukoľvek druhu operácií alebo k údajom podnikov, a to vrátane citlivých obchodných údajov, a môže ukladať povinnosti na spravodajské účely bez demokratického systému bŕzd a protiváh, mechanizmov dohľadu, riadneho procesu alebo práva odvolať sa na nezávislý súd alebo tribunál. Pri určovaní závažnosti kybernetickobezpečnostného rizika v zmysle tohto nariadenia by Komisia a orgány dohľadu nad trhom v rámci svojich povinností stanovených v tomto nariadení mali zohľadniť aj netechnické rizikové faktory, najmä tie, ktoré boli identifikované na základe koordinovaných posúdení bezpečnostných rizík kritických dodávateľských reťazcov na úrovni Únie, ktoré sa vykonávajú v súlade s článkom 22 smernice (EÚ) 2022/2555.

(59)

Na účely zaistenia bezpečnosti produktov s digitálnymi prvkami po ich uvedení na trh by výrobcovia mali určiť obdobie podpory, ktoré by malo zodpovedať času predpokladaného používania produktu s digitálnymi prvkami. Pri určovaní obdobia podpory by mal výrobca zohľadniť najmä primerané očakávania používateľov, povahu produktu, ako aj príslušné právo Únie určujúce životnosť produktov s digitálnymi prvkami. Výrobcovia by mali mať možnosť zohľadniť aj iné relevantné faktory. Kritériá by sa mali uplatňovať spôsobom, ktorý pri určovaní obdobia podpory zabezpečí proporcionalitu. Výrobca by mal na požiadanie poskytnúť orgánom dohľadu nad trhom informácie, ktoré sa zohľadnili pri určovaní obdobia podpory produktu s digitálnymi prvkami.

(60)

Obdobie podpory, počas ktorého výrobca zabezpečuje účinné riešenie zraniteľností, by nemalo byť kratšie ako päť rokov, pokiaľ životnosť produktu s digitálnymi prvkami nie je kratšia ako päť rokov, pričom v takom prípade by mal výrobca zabezpečiť riešenie zraniteľností počas tejto životnosti. Ak sa dôvodne očakáva, že produkt s digitálnymi prvkami sa bude používať dlhšie ako päť rokov, ako je to často v prípade hardvérových komponentov, ako sú základné dosky alebo mikroprocesory, sieťových zariadení, ako sú smerovače, modemy alebo prepínače, ako aj softvéru, ako sú operačné systémy alebo nástroje na editovanie videí, výrobcovia by mali zabezpečiť dlhšie obdobia podpory. Najmä produkty s digitálnymi prvkami určené na použitie v priemyselnom prostredí, ako sú priemyselné riadiace systémy, sa často používajú počas výrazne dlhšieho obdobia. Výrobca by mal mať možnosť vymedziť obdobie podpory kratšie ako päť rokov, len ak je to odôvodnené povahou dotknutého produktu s digitálnymi prvkami a ak sa očakáva, že tento produkt sa bude používať menej ako päť rokov, pričom v takom prípade by obdobie podpory malo zodpovedať očakávanému času používania. Napríklad životnosť aplikácie na sledovanie kontaktov určenej na použitie počas pandémie by mohla byť obmedzená na trvanie pandémie. Okrem toho niektoré softvérové aplikácie môžu byť pre svoju povahu sprístupnené len s predplatným, najmä ak sa aplikácia stane pre používateľa nedostupnou, a teda po skončení predplatného sa už nepoužíva.

(61)

S cieľom zabezpečiť, aby sa zraniteľnosti mohli riešiť po skončení obdobia podpory, keď sa obdobie podpory produktov s digitálnymi prvkami skončí, výrobcovia by mali zvážiť poskytnutie zdrojového kódu takýchto produktov s digitálnymi prvkami buď iným podnikom, ktoré sa zaviažu predĺžiť poskytovanie služieb riešenia zraniteľností, alebo verejnosti. Ak výrobcovia poskytnú zdrojový kód iným podnikom, mali by byť schopní chrániť vlastníctvo produktu s digitálnymi prvkami a zabrániť poskytovaniu zdrojového kódu verejnosti, napríklad prostredníctvom zmluvných ustanovení.

(62)

S cieľom zabezpečiť, aby výrobcovia v celej Únii určili podobné obdobia podpory pre porovnateľné produkty s digitálnymi prvkami, skupina ADCO by mala zverejňovať štatistiky o priemerných obdobiach podpory určených výrobcami pre kategórie produktov s digitálnymi prvkami a vydať usmernenia, v ktorých sa uvedú vhodné obdobia podpory pre takéto kategórie. Okrem toho s cieľom zabezpečiť harmonizovaný prístup na celom vnútornom trhu by Komisia mala mať možnosť prijímať delegované akty, v ktorých stanoví minimálne obdobia podpory pre konkrétne kategórie produktov, ak z údajov poskytnutých orgánmi dohľadu nad trhom vyplýva, že obdobia podpory určené výrobcami buď systematicky nie sú v súlade s kritériami na určenie období podpory stanovenými v tomto nariadení, alebo že výrobcovia v rôznych členských štátoch neodôvodnene určujú odlišné obdobia podpory.

(63)

Výrobcovia by mali zriadiť jednotné kontaktné miesto, ktoré používateľom umožní jednoduchú komunikáciu s nimi, a to aj na účely oznamovania a prijímania informácií o zraniteľnosti produktu s digitálnym prvkom. Mali by zabezpečiť jednoduchý prístup používateľov k jednotnému kontaktnému miestu, jasne uviesť jeho dostupnosť a tieto informácie aktualizovať. Ak sa výrobcovia rozhodnú ponúkať automatizované nástroje, napríklad chatboty, mali by uviesť aj telefónne číslo alebo iné digitálne kontaktné prostriedky, ako je e-mailová adresa alebo kontaktný formulár. Jednotné kontaktné miesto by nemalo využívať výlučne automatizované nástroje.

(64)

Výrobcovia by mali svoje produkty s digitálnymi prvkami sprístupniť na trhu so štandardne zabezpečenou konfiguráciou a používateľom bezplatne poskytovať bezpečnostné aktualizácie. Výrobcovia by mali mať možnosť odchýliť sa od základných požiadaviek kybernetickej bezpečnosti len v súvislosti s produktmi na mieru, ktoré sú namontované na konkrétny účel pre konkrétneho komerčného používateľa, a ak výrobca aj používateľ výslovne súhlasili s iným súborom zmluvných podmienok.

(65)

Výrobcovia by mali súčasne prostredníctvom jednotnej oznamovacej platformy informovať jednotku pre riešenie počítačových bezpečnostných incidentov (ďalej len „CSIRT“) určenú za koordinátora, ako aj agentúru ENISA o aktívne zneužívaných zraniteľnostiach v produktoch s digitálnymi prvkami, ako aj o závažných incidentoch, ktoré majú vplyv na bezpečnosť týchto produktov. Tieto oznámenia by sa mali podávať prostredníctvom koncového bodu na elektronické oznamovanie jednotky CSIRT určenej za koordinátora a mali by byť súčasne prístupné agentúre ENISA.

(66)

Výrobcovia by mali oznamovať aktívne zneužívané zraniteľnosti s cieľom zabezpečiť, aby jednotky CSIRT určené za koordinátorov a agentúra ENISA mali primeraný prehľad o takýchto zraniteľnostiach a aby im boli poskytnuté informácie potrebné na plnenie ich úloh stanovených v smernici (EÚ) 2022/2555 a zvýšenie celkovej úrovne kybernetickej bezpečnosti kľúčových a dôležitých subjektov uvedených v článku 3 uvedenej smernice, ako aj zabezpečenie účinného fungovania orgánov dohľadu nad trhom. Keďže väčšina produktov s digitálnymi prvkami sa predáva na celom vnútornom trhu, akákoľvek zneužitá zraniteľnosť produktu s digitálnymi prvkami by sa mala považovať za ohrozenie fungovania vnútorného trhu. Agentúra ENISA by mala po dohode s výrobcom zverejniť pevné zraniteľnosti v európskej databáze zraniteľností zriadenej podľa článku 12 ods. 2 smernice (EÚ) 2022/2555. Európska databáza zraniteľností bude pomáhať výrobcom pri zisťovaní známych zneužiteľných zraniteľností v ich produktoch, aby sa zabezpečilo, že sa na trhu budú sprístupňovať bezpečné produkty.

(67)

Výrobcovia by takisto mali oznámiť jednotke CSIRT určenej za koordinátora a agentúre ENISA každý závažný incident, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami. S cieľom zaistiť používateľom možnosť rýchlo reagovať na závažné incidenty, ktoré majú vplyv na bezpečnosť ich produktov s digitálnymi prvkami, by výrobcovia mali informovať svojich používateľov aj o akomkoľvek takomto incidente a v relevantnom prípade o akýchkoľvek nápravných opatreniach, ktoré môžu používatelia použiť na zmiernenie vplyvu daného incidentu, napríklad uverejnením príslušných informácií na svojich webových sídlach alebo priamym oslovením používateľov, ak výrobca dokáže kontaktovať používateľov a ak je to odôvodnené kybernetickobezpečnostnými rizikami.

(68)

Aktívne zneužívané zraniteľnosti sa týkajú prípadov, keď výrobca zistí, že narušenie bezpečnosti ovplyvňujúce jeho používateľov alebo akékoľvek iné fyzické alebo právnické osoby bolo spôsobené tým, že škodlivý subjekt využil chybu v jednom z produktov s digitálnymi prvkami, ktoré výrobca sprístupnil na trhu. Príkladmi takýchto zraniteľností by mohli byť nedostatky v identifikačných a autentifikačných funkciách produktu. Zraniteľnosti, ktoré sa zistia bez zlého úmyslu na účely testovania, skúmania, opravy alebo zverejnenia v dobrej viere s cieľom podporiť bezpečnosť alebo ochranu vlastníka systému a jeho používateľov, by nemali podliehať povinnému oznamovaniu. Závažné incidenty, ktoré majú vplyv na bezpečnosť produktu s digitálnymi prvkami, sa na druhej strane týkajú situácií, keď kybernetickobezpečnostný incident ovplyvňuje postupy vývoja, výroby alebo údržby výrobcu takým spôsobom, že by mohol viesť k zvýšenému kybernetickobezpečnostnému riziku pre používateľov alebo iné osoby. Takýto závažný incident by mohol zahŕňať situáciu, keď útočník úspešne vloží škodlivý kód do kanála, prostredníctvom ktorého výrobca poskytuje bezpečnostné aktualizácie používateľom.

(69)

S cieľom zabezpečiť rýchle rozposielanie oznámení všetkým príslušným jednotkám CSIRT určeným za koordinátorov a s cieľom umožniť výrobcom predložiť jediné oznámenie v každej fáze postupu oznamovania by agentúra ENISA mala zriadiť jednotnú oznamovaciu platformu s vnútroštátnymi koncovými bodmi na elektronické oznamovanie. Agentúra ENISA by mala riadiť každodennú prevádzku tejto jednotnej oznamovacej platformy a vykonávať jej údržbu. Jednotky CSIRT určené za koordinátorov by mali informovať svoje príslušné orgány dohľadu nad trhom o oznámených zraniteľnostiach alebo incidentoch. Jednotná oznamovacia platforma by mala byť navrhnutá tak, aby zabezpečovala dôvernosť oznámení, najmä pokiaľ ide o zraniteľnosti, pre ktoré ešte nie je k dispozícii bezpečnostná aktualizácia. Agentúra ENISA by okrem toho mala zaviesť postupy na bezpečné a dôverné zaobchádzanie s informáciami. Agentúra ENISA by na základe informácií, ktoré zhromažďuje, mala každé dva roky vypracovať technickú správu o nových trendoch v oblasti kybernetickobezpečnostných rizík produktov s digitálnymi prvkami a predložiť ju skupine pre spoluprácu zriadenej podľa článku 14 smernice (EÚ) 2022/2555.

(70)

Za výnimočných okolností, a najmä na žiadosť výrobcu, by jednotka CSIRT určená za koordinátora, ktorej bolo oznámenie pôvodne doručené, mala mať možnosť rozhodnúť o odložení jeho rozosielania ostatným príslušným jednotkám CSIRT určeným za koordinátorov prostredníctvom jednotnej oznamovacej platformy, ak to možno odôvodniť dôvodmi súvisiacimi s kybernetickou bezpečnosťou a na nevyhnutne potrebné obdobie. Jednotka CSIRT určená za koordinátora by mala bezodkladne informovať agentúru ENISA o svojom rozhodnutí odložiť rozosielanie informácií, o dôvodoch takéhoto rozhodnutia, ako aj o tom, kedy má v úmysle rozoslanie vykonať. Komisia by mala prostredníctvom delegovaného aktu špecifikovať podmienky, za ktorých by sa mohli uplatňovať dôvody súvisiace s kybernetickou bezpečnosťou, a pri príprave návrhu delegovaného aktu by mala spolupracovať so sieťou jednotiek CSIRT zriadenou podľa článku 15 smernice (EÚ) 2022/2555 a agentúrou ENISA. K príkladom dôvodov súvisiacich s kybernetickou bezpečnosťou patrí prebiehajúci koordinovaný postup zverejňovania zraniteľností alebo situácie, keď má výrobca čoskoro poskytnúť zmierňujúce opatrenie a kybernetickobezpečnostné riziká okamžitého rozoslania informácií prostredníctvom jednotnej oznamovacej platformy prevažujú nad jeho prínosmi. Ak o to jednotka CSIRT určená za koordinátora požiada, agentúra ENISA by jej mala byť schopná poskytnúť podporu pri uplatňovaní dôvodov súvisiacich s kybernetickou bezpečnosťou v súvislosti s odloženým rozoslaním oznámenia na základe informácií, ktoré agentúra ENISA prijala od tejto jednotky CSIRT o rozhodnutí pozastaviť oznámenie z uvedených dôvodov kybernetickej bezpečnosti. Okrem toho by sa agentúre ENISA za obzvlášť výnimočných okolností nemali doručovať všetky podrobnosti oznámenia o aktívne zneužívanej zraniteľnosti súčasne. Ide o prípad, keď výrobca vo svojom oznámení uvedie, že oznámenú zraniteľnosť aktívne zneužíva škodlivý subjekt a že podľa dostupných informácií nebola zneužitá v žiadnom inom členskom štáte okrem členského štátu jednotky CSIRT určenej za koordinátora, ktorej výrobca zraniteľnosť oznámil, pričom akýmkoľvek ďalším okamžitým rozoslaním oznámenej zraniteľnosti by sa pravdepodobne poskytli informácie, ktorých zverejnenie by bolo v rozpore so základnými záujmami daného členského štátu, alebo keď oznámená zraniteľnosť predstavuje bezprostredné vysoké kybernetickobezpečnostné riziko vyplývajúce z ďalšieho rozosielania. V takýchto prípadoch agentúra ENISA zároveň získa prístup len k informáciám o tom, že výrobca podal oznámenie, k všeobecným informáciám o dotknutom produkte s digitálnymi prvkami, k informáciám o všeobecnej povahe zneužitia a k informáciám o tom, že výrobca uviedol dané bezpečnostné dôvody, a že sa preto neposkytuje úplný obsah oznámenia. Úplné oznámenie by sa následne malo sprístupniť agentúre ENISA a ostatným príslušným jednotkám CSIRT určeným za koordinátorov, keď jednotka CSIRT určená za koordinátora, ktorej bolo oznámenie pôvodne doručené, zistí, že tieto bezpečnostné dôvody, ktoré zodpovedajú mimoriadne výnimočným okolnostiam stanoveným v tomto nariadení, zanikli. Ak sa agentúra ENISA na základe dostupných informácií domnieva, že existuje systémové riziko ovplyvňujúce bezpečnosť na vnútornom trhu, odporučí jednotke CSIRT, ktorej bolo oznámenie doručené, aby rozoslala úplné oznámenie ostatným jednotkám CSIRT určeným za koordinátorov a samotnej agentúre ENISA.

(71)

Keď výrobcovia oznámia aktívne zneužívanú zraniteľnosť alebo závažný incident, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami, mali by uviesť, do akej miery považujú oznámené informácie za citlivé. Jednotka CSIRT určená za koordinátora, ktorej je oznámenie doručené ako prvej, by mala tieto informácie zohľadniť pri posudzovaní toho, či oznámenie vedie k výnimočným okolnostiam, ktoré by mohli byť dôvodom pre odložené rozoslanie oznámenia ostatným príslušným jednotkám CSIRT určeným za koordinátorov na základe opodstatnených dôvodov súvisiacich s kybernetickou bezpečnosťou. Tieto informácie by mala zohľadniť aj pri posudzovaní toho, či oznámenie aktívne zneužívanej zraniteľnosti vedie k mimoriadne výnimočným okolnostiam, ktoré odôvodňujú, že úplné oznámenie nie je súčasne sprístupnené agentúre ENISA. Jednotky CSIRT určené za koordinátorov by napokon mali byť schopné zohľadniť tieto informácie pri určovaní vhodných opatrení na zmiernenie rizík vyplývajúcich z takýchto zraniteľností a incidentov.

(72)

S cieľom zjednodušiť oznamovanie informácií požadovaných podľa tohto nariadenia a vzhľadom na ďalšie doplňujúce požiadavky na oznamovanie stanovené v právnych predpisoch Únie, ako je nariadenie (EÚ) 2016/679, nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 (25), smernica Európskeho parlamentu a Rady 2002/58/ES (26) a smernica (EÚ) 2022/2555, ako aj znížiť administratívnu záťaž subjektov sa členské štáty vyzývajú, aby zvážili zriadenie národných jednotných kontaktných miest pre takéto požiadavky na oznamovanie. Používanie takéhoto národného jednotného kontaktného miesta na oznamovanie bezpečnostných incidentov podľa nariadenia (EÚ) 2016/679 a smernice 2002/58/ES by nemalo mať vplyv na uplatňovanie ustanovení nariadenia (EÚ) 2016/679 a smernice 2002/58/ES, najmä nie na uplatňovanie ustanovení o nezávislosti orgánov v nich uvedených. Pri zriaďovaní jednotnej oznamovacej platformy uvedenej v tomto nariadení by agentúra ENISA mala zohľadniť možnosť začlenenia vnútroštátnych koncových bodov na elektronické oznamovanie uvedených v tomto nariadení do národných jednotných kontaktných miest, ktoré môžu prijímať aj iné oznámenia požadované podľa práva Únie.

(73)

Pri zriaďovaní jednotnej oznamovacej platformy uvedenej v tomto nariadení a s cieľom využiť predchádzajúce skúsenosti by agentúra ENISA mala konzultovať s inými inštitúciami alebo agentúrami Únie, ktoré spravujú platformy alebo databázy podľa prísnych bezpečnostných požiadaviek, ako je Agentúra Európskej únie na prevádzkové riadenie rozsiahlych informačných systémov v priestore slobody, bezpečnosti a spravodlivosti (eu-LISA). Agentúra ENISA by mala uskutočniť analýzu možnej doplnkovosti s európskou databázou zraniteľností zriadenou podľa článku 12 ods. 2 smernice (EÚ) 2022/2555.

(74)

Výrobcovia a iné fyzické a právnické osoby by mali mať možnosť dobrovoľne oznámiť jednotke CSIRT určenej za koordinátora alebo agentúre ENISA každú zraniteľnosť produktu s digitálnymi prvkami, kybernetické hrozby, ktoré by mohli ovplyvniť rizikový profil produktu s digitálnymi prvkami, akýkoľvek incident, ktorý má vplyv na bezpečnosť produktu s digitálnymi prvkami, ako aj situácie, ktoré takmer viedli k takémuto incidentu.

(75)

Členské štáty by sa mali v súlade s vnútroštátnym právom snažiť v čo najväčšej miere riešiť výzvy, ktorým čelia výskumní pracovníci zaoberajúci sa zraniteľnosťami, vrátane ich možnej trestnej zodpovednosti. Keďže fyzické a právnické osoby, ktoré skúmajú zraniteľnosti, by v niektorých členských štátoch mohli byť vystavené trestnej a občianskoprávnej zodpovednosti, členským štátom sa odporúča prijať usmernenia, aby výskumní pracovníci v oblasti bezpečnosti informácií neboli za svoju činnosť stíhaní a dostali výnimku z občianskoprávnej zodpovednosti.

(76)

Výrobcovia produktov s digitálnymi prvkami by mali zaviesť koordinované politiky zverejňovania informácií o zraniteľnosti s cieľom uľahčiť oznamovanie zraniteľností jednotlivcami alebo subjektmi, a to buď priamo výrobcovi alebo nepriamo a na požiadanie anonymne prostredníctvom jednotiek CSIRT určených za koordinátorov na účely koordinovaného zverejňovania informácií o zraniteľnosti v súlade s článkom 12 ods. 1 smernice (EÚ) 2022/2555. V politike výrobcov týkajúcej sa koordinovaného zverejňovania informácií o zraniteľnosti by sa mal špecifikovať štruktúrovaný proces, pomocou ktorého sa zraniteľnosti oznamujú výrobcovi takým spôsobom, ktorým sa danému výrobcovi umožňuje diagnostikovať a napraviť takéto zraniteľnosti pred tým, ako sa podrobné informácie o zraniteľnosti poskytnú tretím stranám alebo verejnosti. Okrem toho by výrobcovia mali zvážiť aj zverejňovanie svojich bezpečnostných politík v strojovo čitateľnom formáte. Keďže informácie o zneužiteľných zraniteľnostiach v bežne používaných produktoch s digitálnymi prvkami sa môžu predávať na čiernom trhu za vysoké ceny, výrobcovia takýchto produktov by mali mať možnosť používať ako súčasť svojich politík koordinovaného zverejňovania informácií o zraniteľnosti programy na stimulovanie oznamovania zraniteľností tým, že zaistia, aby jednotlivci alebo subjekty dostali uznanie a odmenu za svoje úsilie. Ide o tzv. „programy odmeňovania za nájdenie chýb“.

(77)

Výrobcovia by na uľahčenie analýzy zraniteľnosti mali identifikovať a zdokumentovať komponenty obsiahnuté v produktoch s digitálnymi prvkami, a to aj vypracovaním zoznamu softvéru. Zoznam softvéru môže tým, ktorí vyrábajú, kupujú a prevádzkujú softvér, poskytnúť informácie pre lepšie pochopenie dodávateľského reťazca, čo má viacero prínosov, konkrétne pomáha výrobcom a používateľom sledovať známe novovzniknuté zraniteľnosti a kybernetickobezpečnostné riziká. Pre výrobcov má osobitný význam zabezpečiť, aby ich produkty s digitálnymi prvkami neobsahovali zraniteľné komponenty vyvinuté tretími stranami. Výrobcovia by nemali byť povinní zverejňovať zoznam softvéru.

(78)

V rámci nových komplexných obchodných modelov spojených s online predajom môže subjekt pôsobiaci online poskytovať rôzne služby. Podľa povahy služieb poskytovaných v súvislosti s daným produktom s digitálnymi prvkami môže ten istý subjekt patriť do rôznych kategórií obchodných modelov alebo hospodárskych subjektov. Ak subjekt poskytuje len online sprostredkovateľské služby pre produkt s digitálnymi prvkami a je len prevádzkovateľom online trhoviska v zmysle vymedzenia v článku 3 bode 14 nariadenia (EÚ) 2023/988, nepovažuje sa za hospodársky subjekt v zmysle tohto nariadenia. Ak je ten istý subjekt prevádzkovateľom online trhoviska a koná aj ako hospodársky subjekt v zmysle vymedzenia v tomto nariadení, pokiaľ ide o predaj produktov s digitálnymi prvkami, mali by sa naň vzťahovať povinnosti podľa tohto nariadenia pre daný typ hospodárskeho subjektu. Ak napríklad prevádzkovateľ online trhoviska aj distribuuje produkt s digitálnymi prvkami, v súvislosti s predajom tohto produktu by sa považoval za distribútora. Podobne ak by daný subjekt predával svoje vlastné značkové produkty s digitálnymi prvkami, považoval by sa za výrobcu, a preto by musel spĺňať požiadavky uplatniteľné na výrobcov. Niektoré subjekty sa takisto môžu považovať za poskytovateľov logistických služieb v zmysle vymedzenia v článku 3 bode 11 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/1020 (27), ak takéto služby ponúkajú. Takéto prípady by sa mali posudzovať individuálne. Vzhľadom na významnú úlohu, ktorú online trhy zohrávajú pri umožňovaní elektronického obchodu, by sa mali usilovať o spoluprácu s orgánmi dohľadu nad trhom členských štátov s cieľom pomôcť zabezpečiť, aby produkty s digitálnymi prvkami zakúpené prostredníctvom online trhov boli v súlade s požiadavkami kybernetickej bezpečnosti stanovenými v tomto nariadení.

(79)

Na uľahčenie posudzovania zhody s požiadavkami stanovenými v tomto nariadení by mal existovať predpoklad zhody v prípade produktov s digitálnymi prvkami, ktoré sú v zhode s harmonizovanými normami, v ktorých sú základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení premietnuté do podrobných technických špecifikácií a ktoré sú prijaté v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 1025/2012 (28). V uvedenom nariadení sa stanovuje postup týkajúci sa námietok voči harmonizovaným normám, keď tieto normy nespĺňajú v plnej miere požiadavky stanovené v tomto nariadení. Procesom normalizácie by sa malo zabezpečiť vyvážené zastúpenie záujmov a účinná účasť zainteresovaných strán občianskej spoločnosti vrátane organizácií spotrebiteľov. Na uľahčenie vývoja harmonizovaných noriem a vykonávanie tohto nariadenia, ako aj uľahčenie dodržiavania predpisov zo strany podnikov, najmä mikropodnikov a malých a stredných podnikov, ako aj podnikov s globálnym pôsobením by sa mali zohľadniť aj medzinárodné normy, ktoré sú v súlade s úrovňou ochrany kybernetickej bezpečnosti, ktorá je predmetom základných požiadaviek kybernetickej bezpečnosti stanovených v tomto nariadení.

(80)

Včasné vypracovanie harmonizovaných noriem počas prechodného obdobia na uplatňovanie tohto nariadenia a ich dostupnosť pred dátumom začatia uplatňovania tohto nariadenia budú mimoriadne dôležité pre jeho účinné vykonávanie. To sa týka najmä dôležitých produktov s digitálnymi prvkami, ktoré patria do triedy I. Dostupnosť harmonizovaných noriem umožní výrobcom takýchto produktov vykonávať posudzovanie zhody postupom vnútornej kontroly, a môže preto zabrániť prekážkam a oneskoreniam v činnosti orgánov posudzovania zhody.

(81)

Nariadením (EÚ) 2019/881 sa stanovuje dobrovoľný európsky rámec certifikácie kybernetickej bezpečnosti pre produkty informačných a komunikačných technológií, procesy informačných a komunikačných technológií a služby informačných a komunikačných technológií. Európske schémy certifikácie kybernetickej bezpečnosti poskytujú používateľom spoločný rámec dôvery na používanie produktov s digitálnymi prvkami, ktoré patria do rozsahu pôsobnosti tohto nariadenia. Týmto nariadením by sa mala následne vytvoriť synergia s nariadením (EÚ) 2019/881. Na uľahčenie posudzovania zhody s požiadavkami stanovenými v tomto nariadení sa predpokladá, že produkty s digitálnymi prvkami, ktoré sú certifikované alebo pre ktoré bolo vydané vyhlásenie o zhode v rámci európskej schémy kybernetickej bezpečnosti podľa nariadenia (EÚ) 2019/881, ktorá bola Komisiou identifikovaná vo vykonávacom akte, sú v súlade so základnými požiadavkami kybernetickej bezpečnosti stanovenými v tomto nariadení, pokiaľ sa európsky certifikát kybernetickej bezpečnosti alebo vyhlásenie o zhode alebo ich časti na tieto požiadavky vzťahujú. Potreba nových európskych schém certifikácie kybernetickej bezpečnosti pre produkty s digitálnymi prvkami by sa mala posúdiť na základe tohto nariadenia, a to aj pri príprave priebežného pracovného programu Únie v súlade s nariadením (EÚ) 2019/881. Ak je potrebná nová schéma vzťahujúca sa na produkty s digitálnymi prvkami, a to aj s cieľom uľahčiť súlad s týmto nariadením, Komisia môže požiadať agentúru ENISA, aby pripravila kandidátske schémy v súlade s článkom 48 nariadenia (EÚ) 2019/881. Takéto budúce európske schémy certifikácie kybernetickej bezpečnosti vzťahujúce sa na produkty s digitálnymi prvkami by mali zohľadňovať základné požiadavky kybernetickej bezpečnosti a postupy posudzovania zhody stanovené v tomto nariadení a uľahčovať dodržanie súladu s týmto nariadením. V prípade európskych schém certifikácie kybernetickej bezpečnosti, ktoré nadobudnú účinnosť pred nadobudnutím účinnosti tohto nariadenia, môžu byť potrebné ďalšie špecifikácie podrobných aspektov uplatňovania predpokladu zhody. Komisia by mala mať právomoc prostredníctvom delegovaných aktov špecifikovať, za akých podmienok sa môžu európske schémy certifikácie kybernetickej bezpečnosti používať na preukázanie zhody so základnými požiadavkami kybernetickej bezpečnosti stanovenými v tomto nariadení. Okrem toho s cieľom predísť neprimeranému administratívnemu zaťaženiu by výrobcovia nemali mať povinnosť vykonať posúdenie zhody treťou stranou, ako to stanovuje toto nariadenie pri zodpovedajúcich požiadavkách, ak bol v rámci takýchto európskych schém certifikácie kybernetickej bezpečnosti vydaný certifikát kybernetickej bezpečnosti aspoň na úrovni záruky „významná“.

(82)

Po nadobudnutí účinnosti vykonávacieho nariadenia (EÚ) 2024/482, ktoré sa týka produktov, ktoré patria do pôsobnosti tohto nariadenia, ako sú hardvérové bezpečnostné moduly a mikroprocesory, by Komisia mala mať možnosť prostredníctvom delegovaného aktu špecifikovať, ako sa v EUCC zabezpečí predpoklad zhody so základnými požiadavkami kybernetickej bezpečnosti stanovenými v tomto nariadení alebo s ich časťami. Okrem toho môže takýto delegovaný akt špecifikovať, akým spôsobom certifikát vydaný v rámci EUCC ruší povinnosť výrobcov dať vykonať posúdenie tretej strane, ako sa vyžaduje podľa tohto nariadenia pri zodpovedajúcich požiadavkách.

(83)

Súčasný európsky normalizačný rámec, ktorý je založený na zásadách nového prístupu stanovených v uznesení Rady zo 7. mája 1985 o novom prístupe k technickej harmonizácii a normám a na nariadení (EÚ) č. 1025/2012, predstavuje štandardný rámec pre vypracovanie noriem, ktoré stanovujú predpoklad zhody s príslušnými základnými požiadavkami kybernetickej bezpečnosti stanovenými v tomto nariadení. Európske normy by mali byť trhovo orientované a mali by zohľadňovať verejný záujem, ako aj politické ciele jasne uvedené v žiadosti Komisie adresovanej jednej alebo viacerým európskym normalizačným organizáciám o vypracovanie harmonizovaných noriem v stanovenej lehote a mali by byť založené na konsenze. Ak však neexistujú príslušné odkazy na harmonizované normy, Komisia by mala môcť prijať vykonávacie akty stanovujúce spoločné špecifikácie pre základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení za predpokladu, že pritom náležite zohľadní úlohu a funkcie európskych normalizačných organizácií ako výnimočné núdzové riešenie na uľahčenie povinnosti výrobcu dosiahnuť súlad s uvedenými základnými požiadavkami kybernetickej bezpečnosti, keď je normalizačný proces zablokovaný alebo keď pri zavádzaní vhodných harmonizovaných noriem dochádza k oneskoreniam. Ak je takéto oneskorenie spôsobené technickou zložitosťou príslušnej normy, Komisia by to mala zvážiť pred tým, ako zváži stanovenie spoločných špecifikácií.

(84)

S cieľom čo najefektívnejšie stanoviť spoločné špecifikácie, ktoré sa vzťahujú na základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení, by Komisia mala do tohto procesu zapojiť príslušné zainteresované strany.

(85)

„Primeraná lehota“ súvislosti s uverejnením odkazu na harmonizované normy v Úradnom vestníku Európskej únie v súlade s nariadením (EÚ) č. 1025/2012 je lehota, počas ktorej sa očakáva uverejnenie odkazu na normu, jej korigenda alebo jej zmeny v Úradnom vestníku Európskej únie a ktorá by nemala presiahnuť jeden rok po lehote na vypracovanie európskej normy stanovenej v súlade s nariadením (EÚ) č. 1025/2012.

(86)

Na uľahčenie posudzovania zhody so základnými požiadavkami kybernetickej bezpečnosti stanovenými v tomto nariadení by mal existovať predpoklad zhody pre produkty s digitálnymi prvkami, ktoré sú v súlade so spoločnými špecifikáciami prijatými Komisiou podľa tohto nariadenia na účely vyjadrenia podrobných technických špecifikácií týchto požiadaviek.

(87)

Uplatňovanie harmonizovaných noriem, spoločných špecifikácií alebo európskych schém certifikácie kybernetickej bezpečnosti prijatých podľa nariadenia (EÚ) 2019/881, v ktorých sa stanovuje predpoklad zhody v súvislosti so základnými požiadavkami kybernetickej bezpečnosti uplatniteľnými na produkty s digitálnymi prvkami, uľahčí posudzovanie zhody výrobcami. Ak sa výrobca rozhodne neuplatňovať takéto prostriedky na určité požiadavky, musí vo svojej technickej dokumentácii uviesť, akým iným spôsobom dosahuje súlad. Okrem toho by uplatňovanie harmonizovaných noriem, spoločných špecifikácií alebo európskych schém certifikácie kybernetickej bezpečnosti prijatých podľa nariadenia (EÚ) 2019/881, v ktorých sa stanovuje predpoklad zhody zo strany výrobcov, uľahčilo kontrolu súladu produktov s digitálnymi prvkami, ktorú vykonávajú orgány dohľadu nad trhom. Výrobcom produktov s digitálnymi prvkami sa preto odporúča, aby uplatňovali takéto harmonizované normy, spoločné špecifikácie alebo európske schémy certifikácie kybernetickej bezpečnosti.

(88)

Výrobcovia by mali vypracovať EÚ vyhlásenie o zhode a poskytnúť tak informácie požadované podľa tohto nariadenia o zhode produktov s digitálnymi prvkami so základnými požiadavkami kybernetickej bezpečnosti stanovenými v tomto nariadení a v relevantnom prípade iných relevantných harmonizačných právnych predpisoch Únie, ktoré sa vzťahujú na produkt s digitálnymi prvkami. Od výrobcov sa môže vypracovanie EÚ vyhlásenia o zhode vyžadovať aj v iných právnych aktoch Únie. Na zabezpečenie účinného prístupu k informáciám na účely dohľadu nad trhom by sa malo vypracovať jediné EÚ vyhlásenie o zhode, pokiaľ ide o súlad so všetkými príslušnými právnymi aktmi Únie. V záujme zníženia administratívnej záťaže hospodárskych subjektov by sa malo umožniť, aby toto jediné EÚ vyhlásenie o zhode tvoril súbor pozostávajúci z príslušných jednotlivých vyhlásení o zhode.

(89)

Označenie CE, ktorým sa preukazuje zhoda výrobku, je viditeľným výsledkom celého postupu posudzovania zhody v širokom zmysle. Všeobecné zásady, ktorými sa riadi označenie CE, sú uvedené v nariadení Európskeho parlamentu a Rady (ES) č. 765/2008 (29). Pravidlá umiestňovania označenia CE na produkty s digitálnymi prvkami by sa mali stanoviť v tomto nariadení. Označenie CE by malo byť jediným označením, ktoré zaručuje súlad produktov s digitálnymi prvkami s požiadavkami stanovenými v tomto nariadení.

(90)

S cieľom umožniť hospodárskym subjektom preukázať zhodu so základnými požiadavkami kybernetickej bezpečnosti stanovenými v tomto nariadení a umožniť orgánom dohľadu nad trhom zaistiť, aby produkty s digitálnymi prvkami sprístupnené na trhu spĺňali tieto požiadavky, je potrebné stanoviť postupy posudzovania zhody. Rozhodnutím Európskeho parlamentu a Rady č. 768/2008/ES (30) sa stanovujú moduly pre postupy posudzovania zhody úmerne k úrovni možného rizika a úrovni požadovanej bezpečnosti. S cieľom zaistiť súlad medzi odvetviami a vyhnúť sa ad hoc variantom by postupy posudzovania zhody vhodné na overovanie zhody produktov s digitálnymi prvkami so základnými požiadavkami kybernetickej bezpečnosti stanovenými v tomto nariadení mali byť založené na týchto moduloch. Postupmi posudzovania zhody by sa mali preskúmať a overiť požiadavky týkajúce sa produktu aj procesu, ktoré sa vzťahujú na celý životný cyklus produktov s digitálnymi prvkami vrátane plánovania, návrhu, vývoja alebo výroby, testovania a údržby produktu s digitálnymi prvkami.

(91)

Posudzovanie zhody produktov s digitálnymi prvkami, ktoré nie sú v tomto nariadení uvedené ako dôležité alebo kritické produkty s digitálnymi prvkami, môže výrobca vykonávať na vlastnú zodpovednosť postupom vnútornej kontroly podľa modulu A rozhodnutia č. 768/2008/ES v súlade s týmto nariadením. Platí to aj v prípadoch, keď sa výrobca rozhodne úplne alebo čiastočne neuplatňovať platnú harmonizovanú normu, spoločnú špecifikáciu alebo európsku schému certifikácie kybernetickej bezpečnosti. Výrobca si zachováva flexibilitu pri výbere prísnejšieho postupu posudzovania zhody za účasti tretej strany. Pri postupe posudzovania zhody na základe vnútornej kontroly výrobca na vlastnú zodpovednosť zabezpečuje a vyhlasuje, že produkt s digitálnymi prvkami a procesy výrobcu spĺňajú uplatniteľné základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení. Ak dôležitý produkt s digitálnymi prvkami patrí do triedy I, vyžaduje sa dodatočné uistenie na preukázanie zhody so základnými požiadavkami kybernetickej bezpečnosti stanovenými v tomto nariadení. Výrobca by mal uplatniť harmonizované normy, spoločné špecifikácie alebo európske schémy certifikácie kybernetickej bezpečnosti prijaté podľa nariadenia (EÚ) 2019/881, ktoré Komisia identifikovala vo vykonávacom akte, ak chce vykonať posudzovanie zhody na vlastnú zodpovednosť (modul A). Ak výrobca neuplatňuje takéto harmonizované normy, spoločné špecifikácie alebo európske schémy certifikácie kybernetickej bezpečnosti, mal by podstúpiť posudzovanie zhody so zapojením tretej strany (podľa modulov B a C alebo modulu H). Pri zohľadnení administratívneho zaťaženia výrobcov a toho, že kybernetická bezpečnosť zohráva dôležitú úlohu vo fáze návrhu a vývoja hmotných a nehmotných produktov s digitálnymi prvkami, boli ako najvhodnejšie postupy posudzovania zhody na primerané a účinné posudzovanie zhody dôležitých produktov s digitálnymi prvkami zvolené postupy posudzovania zhody podľa modulov B a C alebo modulu H rozhodnutia č. 768/2008/ES. Výrobca, ktorý vykonáva posudzovanie zhody treťou stranou, si môže vybrať postup, ktorý najlepšie vyhovuje jeho procesom návrhu a výroby. Vzhľadom na ešte väčšie kybernetickobezpečnostné riziko spojené s používaním dôležitých produktov s digitálnymi prvkami, ktoré patria do triedy II by sa na posudzovaní zhody mala vždy zúčastňovať tretia strana, a to aj vtedy, keď je produkt úplne alebo čiastočne v súlade s harmonizovanými normami, spoločnými špecifikáciami alebo európskymi schémami certifikácie kybernetickej bezpečnosti. Výrobcovia dôležitých produktov s digitálnymi prvkami, ktoré sa považujú za slobodný softvér a softvér s otvoreným zdrojovým kódom, by mali mať možnosť uplatniť postup vnútornej kontroly podľa modulu A za predpokladu, že technickú dokumentáciu zverejnia.

(92)

Kým pri vytváraní hmotných produktov s digitálnymi prvkami sa od výrobcov obvykle vyžaduje značné úsilie vo fáze návrhu, vývoja a výroby, tvorba produktov s digitálnymi prvkami vo forme softvéru sa takmer výlučne zameriava na návrh a vývoj, zatiaľ čo výrobná fáza zohráva menšiu rolu. Napriek tomu je v mnohých prípadoch stále potrebné pred uvedením na trh softvérové produkty kompilovať, zostaviť, zabaliť, sprístupniť na stiahnutie alebo skopírovať na fyzické médiá. Tieto činnosti by sa mali považovať za činnosti predstavujúce výrobu pri uplatňovaní príslušných modulov posudzovania zhody na overenie súladu produktu so základnými požiadavkami kybernetickej bezpečnosti stanovenými v tomto nariadení vo fáze návrhu, vývoja a výroby.

(93)

Pokiaľ ide o mikropodniky a malé podniky, s cieľom zabezpečiť proporcionalitu je vhodné zmierniť administratívne náklady bez toho, aby bola dotknutá úroveň ochrany kybernetickej bezpečnosti produktov s digitálnymi prvkami, ktoré patria do rozsahu pôsobnosti tohto nariadenia, alebo rovnaké podmienky pre výrobcov. Preto je vhodné, aby Komisia vypracovala zjednodušený formulár technickej dokumentácie pre potreby mikropodnikov a malých podnikov. Zjednodušený formulár technickej dokumentácie prijatý Komisiou by mal zahŕňať všetky uplatniteľné prvky súvisiace s technickou dokumentáciou stanovenou v tomto nariadení a špecifikovať, ako môže mikropodnik alebo malý podnik v stručnej forme poskytnúť požadované prvky, ako je opis návrhu, vývoja a výroby produktu s digitálnymi prvkami. Formulár tak prispeje k zmierneniu administratívnej záťaže spojenej s dodržiavaním predpisov tým, že dotknutým podnikom poskytne právnu istotu, pokiaľ ide o rozsah a podrobnosti informácií, ktoré sa majú poskytnúť. Mikropodniky a malé podniky by mali mať možnosť rozhodnúť sa, že uplatniteľné prvky súvisiace s technickou dokumentáciou odovzdajú v neskrátenej forme a nepoužijú zjednodušený technický formulár, ktorý majú k dispozícii.

(94)

V záujme podpory a ochrany inovácií je dôležité, aby sa osobitne zohľadnili záujmy výrobcov, ktorí sú mikropodnikmi alebo malými či strednými podnikmi, najmä mikropodnikov a malých podnikov vrátane startupov. Na tento účel by členské štáty mohli vyvinúť iniciatívy zamerané na výrobcov, ktorí sú mikropodnikmi alebo malými podnikmi, a to aj v oblasti odbornej prípravy, zvyšovania informovanosti, komunikácie, testovania a činností posudzovania zhody tretími stranami, ako aj vytvárania experimentálnych prostredí. Náklady na preklady súvisiace s povinnou dokumentáciou, ako je technická dokumentácia a informácie a návody pre používateľov požadované podľa tohto nariadenia, a komunikácia s orgánmi môžu predstavovať značné výdavky pre výrobcov, a to najmä pre malých výrobcov. Členské štáty by preto mali môcť zvážiť, aby jedným z jazykov, ktoré určia a akceptujú na účely príslušnej dokumentácie výrobcov a komunikácie s nimi, bol jazyk, ktorému vo všeobecnosti rozumie čo najväčší počet používateľov.

(95)

S cieľom zabezpečiť bezproblémové uplatňovanie tohto nariadenia by členské štáty mali pred dátumom začatia jeho uplatňovania zabezpečiť, aby bol v Únii dostatočný počet notifikovaných osôb na výkon posudzovania zhody treťou stranou. Komisia by v tomto úsilí mala pomáhať členským štátom a iným relevantným subjektom, aby sa predišlo problémovým miestam a prekážkam pri vstupe výrobcov na trh. Cielené činnosti odbornej prípravy pod vedením členských štátov, prípadne aj s podporou Komisie, môžu prispieť k dostupnosti kvalifikovaných odborníkov, a to aj na podporu činností notifikovaných osôb podľa tohto nariadenia. Okrem toho by sa vzhľadom na náklady, ktoré môže predstavovať posudzovanie zhody treťou stranou, mali zvážiť iniciatívy financovania na úrovni Únie a na vnútroštátnej úrovni, ktorých cieľom je zmierniť takéto náklady pre mikropodniky a malé podniky.

(96)

S cieľom zabezpečiť proporcionalitu by orgány posudzovania zhody mali pri určovaní poplatkov za postupy posudzovania zhody zohľadňovať osobitné záujmy a potreby mikropodnikov a malých a stredných podnikov vrátane startupov. Orgány posudzovania zhody by predovšetkým mali uplatňovať príslušný postup preskúmania a skúšky stanovené v tomto nariadení len v prípade potreby a podľa prístupu založeného na riziku.

(97)

Cieľom experimentálnych regulačných prostredí by mala byť podpora inovácií a konkurencieschopnosti podnikov vytvorením kontrolovaných testovacích prostredí pred uvedením produktov s digitálnymi prvkami na trh. Experimentálne regulačné prostredia by mali prispieť k zlepšeniu právnej istoty pre všetkých aktérov, ktorí patria do rozsahu pôsobnosti tohto nariadenia, a uľahčiť a urýchliť prístup produktov s digitálnymi prvkami na trh Únie, najmä ak ich poskytujú mikropodniky a malé podniky vrátane startupov.

(98)

S cieľom vykonávať posudzovanie zhody treťou stranou v prípade produktov s digitálnymi prvkami by vnútroštátne notifikujúce orgány mali Komisii a ostatným členským štátom notifikovať orgány posudzovania zhody za predpokladu, že spĺňajú súbor požiadaviek, najmä pokiaľ ide o nezávislosť, spôsobilosť a neexistenciu konfliktu záujmov.

(99)

S cieľom zabezpečiť konzistentnú úroveň kvality výkonu posudzovania zhody produktov s digitálnymi prvkami je takisto potrebné stanoviť požiadavky na notifikujúce orgány a iné orgány zapojené do posudzovania, notifikácie a monitorovania notifikovaných osôb. Systém stanovený v tomto nariadení by mal byť doplnený systémom akreditácie stanoveným v nariadení (ES) č. 765/2008. Keďže akreditácia je základným prostriedkom na overenie odbornej spôsobilosti orgánov posudzovania zhody, mala by sa používať aj na účely notifikácie.

(100)

Orgány posudzovania zhody, ktoré boli akreditované a notifikované podľa právnych predpisov Únie, ktorými sa stanovujú požiadavky podobné požiadavkám stanoveným v tomto nariadení, ako napríklad orgán posudzovania zhody, ktorý bol notifikovaný pre európsku schému certifikácie kybernetickej bezpečnosti prijatú podľa nariadenia (EÚ) 2019/881 alebo notifikovaný podľa delegovaného nariadenia (EÚ) 2022/30, by sa mali znovu posúdiť a notifikovať podľa tohto nariadenia. Príslušné orgány však môžu vymedziť synergie akýchkoľvek duplicitných požiadaviek s cieľom zabrániť zbytočnej finančnej a administratívnej záťaži a zabezpečiť bezproblémový a včasný proces notifikácie.

(101)

Transparentnú akreditáciu stanovenú v nariadení (ES) č. 765/2008, ktorou sa zabezpečuje potrebná úroveň dôvery v certifikáty zhody, by mali vnútroštátne orgány verejnej moci v celej Únii považovať za prednostný spôsob preukazovania technickej spôsobilosti orgánov posudzovania zhody. Vnútroštátne orgány sa však môžu domnievať, že majú k dispozícii vhodné prostriedky na to, aby toto hodnotenie uskutočnili samy. V takom prípade by mali v záujme zabezpečenia vhodnej úrovne dôveryhodnosti hodnotenia vykonávaného inými vnútroštátnymi orgánmi poskytnúť Komisii a ostatným členským štátom nevyhnutné listinné dôkazy preukazujúce súlad hodnotených orgánov posudzovania zhody s príslušnými regulačnými požiadavkami.

(102)

Orgány posudzovania zhody často zadávajú časť svojich činností spojených s posudzovaním zhody subdodávateľom alebo dcérskym spoločnostiam. S cieľom zabezpečiť úroveň ochrany požadovanú v súvislosti s produktom s digitálnymi prvkami, ktoré sa majú uviesť na trh, je nevyhnutné, aby subdodávatelia a dcérske spoločnosti vykonávajúce posudzovanie zhody spĺňali pri vykonávaní úloh posudzovania zhody rovnaké požiadavky ako notifikované osoby.

(103)

Notifikujúci orgán by mal notifikáciu orgánu posudzovania zhody zaslať Komisii a ostatným členským štátom prostredníctvom informačného systému NANDO. Informačný systém NANDO je elektronický nástroj na oznamovanie, ktorý vyvinula a spravuje Komisia a v ktorom sa nachádza zoznam všetkých notifikovaných osôb.

(104)

Keďže notifikované osoby môžu ponúkať svoje služby v celej Únii, je vhodné poskytnúť iným členským štátom a Komisii možnosť vzniesť v súvislosti s notifikovanými osobami námietky. Je preto dôležité stanoviť lehotu, počas ktorej bude možné objasniť všetky pochybnosti alebo obavy, pokiaľ ide o spôsobilosť orgánov posudzovania zhody skôr, než začnú pôsobiť ako notifikované osoby.

(105)

V záujme konkurencieschopnosti je nevyhnutné, aby notifikované osoby uplatňovali postupy posudzovania zhody, ktoré zbytočne nezaťažujú hospodárske subjekty. Z rovnakého dôvodu a s cieľom zaistiť rovnaké zaobchádzanie s hospodárskymi subjektmi je potrebné zabezpečiť konzistentné technické uplatňovanie postupov posudzovania zhody. Najlepšie by sa to malo dosiahnuť primeranou koordináciou a spoluprácou medzi notifikovanými osobami.

(106)

Dohľad nad trhom predstavuje nevyhnutný nástroj zaisťovania správneho a jednotného uplatňovania práva Únie. Je preto vhodné zaviesť právny rámec, v ktorom sa môže dohľad nad trhom vykonávať primeraným spôsobom. Na produkty s digitálnymi prvkami, ktoré patria do pôsobnosti tohto nariadenia, sa uplatňujú pravidlá pre dohľad nad trhom Únie a kontrolu produktov vstupujúcich na trh Únie stanovené v nariadení (EÚ) 2019/1020.

(107)

Orgán dohľadu nad trhom vykonáva v súlade s nariadením (EÚ) 2019/1020 dohľad nad trhom na území členského štátu, ktorý ho vymenuje. Toto nariadenie by členským štátom nemalo brániť vo výbere príslušných orgánov na vykonávanie úloh dohľadu nad trhom. Každý členský štát by mal na svojom území určiť jeden orgán alebo viac orgánov dohľadu nad trhom. Členské štáty by mali mať možnosť určiť ktorýkoľvek existujúci alebo nový orgán, aby konal ako orgán dohľadu nad trhom, a to vrátane príslušných orgánov určených alebo zriadených podľa článku 8 smernice (EÚ) 2022/2555, vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti určených podľa článku 58 nariadenia (EÚ) 2019/881 alebo orgánov dohľadu nad trhom určených na účely smernice 2014/53/EÚ. Hospodárske subjekty by mali v plnej miere spolupracovať s orgánmi dohľadu nad trhom a s ďalšími príslušnými orgánmi. Každý členský štát by mal o svojich orgánoch dohľadu nad trhom a oblasti pôsobnosti každého z týchto orgánov informovať Komisiu a ostatné členské štáty a mal by zaistiť potrebné zdroje a zručnosti na vykonávanie úloh dohľadu nad trhom v súvislosti s týmto nariadením. Podľa článku 10 ods. 2 a 3 nariadenia (EÚ) 2019/1020 by mal každý členský štát určiť jednotný úrad pre spoluprácu zodpovedný okrem iného za zastupovanie koordinovanej pozície orgánov dohľadu nad trhom a pomoc v rámci spolupráce orgánov dohľadu nad trhom v rôznych členských štátoch.

(108)

Na jednotné uplatňovanie tohto nariadenia by sa podľa článku 30 ods. 2 nariadenia (EÚ) 2019/1020 mala zriadiť špecializovaná skupina ADCO v oblasti kybernetickej odolnosti produktov s digitálnymi prvkami. Skupinu ADCO by mali tvoriť zástupcovia určených orgánov dohľadu nad trhom a v relevantnom prípade zástupcovia jednotných úradov pre spoluprácu. Komisia by mala podporovať a podnecovať spoluprácu medzi orgánmi dohľadu nad trhom prostredníctvom siete Únie pre súlad produktov zriadenej podľa článku 29 nariadenia (EÚ) 2019/1020, ktorá pozostáva zo zástupcov každého členského štátu vrátane zástupcu každého jednotného úradu pre spoluprácu uvedeného v článku 10 uvedeného nariadenia a prípadného národného experta, predsedov skupín ADCO a zástupcov z Komisie. Komisia by sa mala zúčastňovať na zasadnutiach siete Únie pre súlad produktov, jej podskupín a skupiny ADCO. Mala by takisto pomáhať skupine ADCO prostredníctvom výkonného sekretariátu, ktorý poskytuje technickú a logistickú podporu. Skupina ADCO môže takisto prizvať na účasť nezávislých odborníkov, a na spoluprácu s inými skupinami ADCO, napríklad tou, ktorá bola zriadená podľa smernice 2014/53/EÚ.

(109)

Orgány dohľadu nad trhom by mali prostredníctvom skupiny ADCO zriadenej podľa tohto nariadenia úzko spolupracovať a mali by mať možnosť vypracovať usmerňovacie dokumenty na uľahčenie činností dohľadu nad trhom na vnútroštátnej úrovni, napríklad vypracovaním najlepších postupov a ukazovateľov na účinnú kontrolu súladu produktov s digitálnymi prvkami s týmto nariadením.

(110)

Na zabezpečenie včasných, primeraných a účinných opatrení týkajúcich sa produktov s digitálnymi prvkami, ktoré predstavujú významné kybernetickobezpečnostné riziko, by sa mal stanoviť ochranný postup Únie, v rámci ktorého sa zainteresované strany informujú o opatreniach, ktoré sa majú prijať v súvislosti s takýmito produktmi. Orgánom dohľadu nad trhom by sa malo takisto umožniť v prípade potreby konať v spolupráci s príslušnými hospodárskymi subjektmi v skoršej fáze. Ak členské štáty a Komisia súhlasia so zdôvodnením opatrenia prijatého členským štátom, nemalo by byť potrebné žiadne ďalšie zapojenie Komisie s výnimkou prípadov, keď nesúlad možno pripísať nedostatkom harmonizovanej normy.

(111)

V určitých prípadoch môže produkt s digitálnymi prvkami, ktorý je v súlade s týmto nariadením, napriek tomu predstavovať významné kybernetickobezpečnostné riziko alebo riziko pre zdravie a bezpečnosť osôb, dodržiavanie povinností podľa práva Únie alebo vnútroštátneho práva, ktorých cieľom je ochrana základných práv, pre dostupnosť, pravosť, integritu alebo dôvernosť služieb ponúkaných prostredníctvom elektronického informačného systému základnými subjektmi uvedenými v článku 3 ods. 1 smernice (EÚ) 2022/2555 alebo iné aspekty ochrany verejného záujmu. Preto je potrebné stanoviť pravidlá, ktorými sa zaistí zmiernenie týchto rizík. Preto by orgány dohľadu nad trhom mali prijať opatrenia, ktorými by sa od hospodárskeho subjektu v závislosti od rizika vyžadovalo zaistenie toho, že produkt už nebude predstavovať uvedené riziko, alebo stiahnutie produktu od používateľa alebo z trhu. Keď orgán dohľadu nad trhom takto obmedzí alebo zakáže voľný pohyb produktu s digitálnymi prvkami, členský štát by mal bezodkladne oznámiť predbežné opatrenia Komisii a ostatným členským štátom, pričom uvedie dôvody a opodstatnenie rozhodnutia. Ak orgán dohľadu nad trhom prijme takéto opatrenia proti produktom s digitálnymi prvkami predstavujúcim riziko, Komisia by mala bezodkladne začať konzultácie s členskými štátmi a príslušným hospodárskym subjektom alebo hospodárskymi subjektmi a mala by vyhodnotiť dané vnútroštátne opatrenie. Na základe výsledkov tohto hodnotenia by Komisia mala rozhodnúť, či vnútroštátne opatrenie je alebo nie je opodstatnené. Komisia by mala svoje rozhodnutie adresovať všetkým členským štátom a okamžite ho oznámiť týmto členským štátom a príslušnému hospodárskemu subjektu či subjektom. Ak sa opatrenie považuje za opodstatnené, Komisia by mala tiež zvážiť, či má prijať návrhy na revíziu príslušných právnych predpisov Únie.

(112)

V prípade produktov s digitálnymi prvkami, ktoré predstavujú významné kybernetickobezpečnostné riziko, a ak existuje dôvod domnievať sa, že nie sú v súlade s týmto nariadením, alebo v prípade produktov, ktoré sú v súlade s týmto nariadením, ale predstavujú iné významné riziká, napríklad riziká pre zdravie alebo bezpečnosť osôb, pre dodržiavanie povinností podľa práva Únie alebo vnútroštátneho práva, ktoré majú chrániť základné práva, alebo pre dostupnosť, pravosť, integritu alebo dôvernosť služieb poskytovaných pomocou elektronického informačného systému základnými subjektmi uvedenými v článku 3 ods. 1 smernice (EÚ) 2022/2555, by Komisia mala mať možnosť požiadať agentúru ENISA o vykonanie hodnotenia. Na základe tohto hodnotenia by Komisia mala mať možnosť prostredníctvom vykonávacích aktov prijať nápravné alebo reštriktívne opatrenia na úrovni Únie, ako aj požiadať o stiahnutie dotknutých produktov s digitálnymi prvkami z trhu alebo od používateľov v primeranej lehote úmernej povahe rizika. Komisia by mala mať možnosť využiť takýto zásah len za mimoriadnych okolností, ktoré opodstatňujú okamžitý zásah s cieľom zachovať riadne fungovanie vnútorného trhu, a len vtedy, ak orgány dohľadu nad trhom neprijali na nápravu situácie žiadne účinné opatrenia. Takýmito mimoriadnymi okolnosťami môžu byť núdzové situácie, keď napríklad výrobca vo veľkej miere sprístupňuje vo viacerých členských štátoch nevyhovujúci produkt s digitálnymi prvkami, ktorý používajú aj subjekty v kľúčových odvetviach, ktoré patria do rozsahu pôsobnosti smernice (EÚ) 2022/2555, i keď obsahuje známe zraniteľnosti, ktoré zneužívajú škodlivé subjekty a na ktoré výrobca neposkytuje dostupné záplaty. Komisia by mala mať možnosť v takýchto núdzových situáciách zasiahnuť len počas trvania mimoriadnych okolností a ak pretrváva nesúlad s týmto nariadením alebo prezentované významné riziká.

(113)

Ak existujú náznaky nesúladu s týmto nariadením vo viacerých členských štátoch, orgány dohľadu nad trhom by mali mať možnosť vykonávať spoločné činnosti s ostatnými orgánmi s cieľom overiť dodržiavanie súladu a identifikovať kybernetickobezpečnostné riziká produktov s digitálnymi prvkami.

(114)

Bezpečnosť produktov môžu ďalej zvýšiť súbežné koordinované kontrolné akcie (ďalej len „kontrolné akcie“), ktoré sú osobitnými opatreniami orgánov dohľadu nad trhom na presadzovanie práva. Kontrolné akcie by sa mali vykonávať najmä vtedy, keď z trhových trendov, sťažností spotrebiteľov alebo iných náznakov vyplýva, že pri určitých kategóriách produktov s digitálnymi prvkami sa často zisťuje, že predstavujú kybernetickobezpečnostné riziká. Okrem toho by orgány dohľadu nad trhom pri určovaní kategórií produktov, ktoré majú podliehať kontrolným akciám, mali zohľadniť aj okolnosti týkajúce sa netechnických rizikových faktorov. Na tento účel by orgány dohľadu nad trhom mali mať možnosť zohľadniť výsledky koordinovaného posúdenia bezpečnostných rizík kritických dodávateľských reťazcov na úrovni Únie, ktoré sa vykonáva v súlade s článkom 22 smernice (EÚ) 2022/2555, a to vrátane okolností týkajúcich sa netechnických rizikových faktorov. Agentúra ENISA by mala orgánom dohľadu nad trhom predložiť návrhy kategórií produktov s digitálnymi prvkami, v prípade ktorých by sa mohli organizovať kontrolné akcie okrem iného na základe prijatých oznámení o zraniteľnostiach produktov a incidentoch.

(115)

Vzhľadom na svoje odborné znalosti a mandát by agentúra ENISA mala byť schopná podporovať proces vykonávania tohto nariadenia. Agentúra ENISA by najmä mala mať možnosť navrhovať spoločné činnosti, ktoré by mali vykonávať orgány dohľadu nad trhom na základe údajov alebo informácií o možnom nesúlade produktov s digitálnymi prvkami s týmto nariadením vo viacerých členských štátoch, alebo identifikovať kategórie produktov, pri ktorých by sa mali organizovať kontrolné akcie. Za mimoriadnych okolností by agentúra ENISA mala mať možnosť na žiadosť Komisie vykonať hodnotenia konkrétnych produktov s digitálnymi prvkami, ktoré predstavujú významné kybernetickobezpečnostné riziko, keď sa vyžaduje okamžitý zásah v záujme zachovania riadneho fungovania vnútorného trhu.

(116)

Týmto nariadením sa agentúra ENISA poveruje vykonávaním určitých úloh, ktoré si vyžadujú primerané zdroje, pokiaľ ide o odborné znalosti aj ľudské zdroje, aby mohla tieto úlohy účinne vykonávať. Komisia pri príprave návrhu všeobecného rozpočtu Únie navrhne potrebné rozpočtové zdroje pre plán pracovných miest agentúry ENISA v súlade s postupom stanoveným v článku 29 nariadenia (EÚ) 2019/881. Počas tohto procesu Komisia zváži celkové zdroje agentúry ENISA, ktoré jej umožnia plniť svoje úlohy vrátane tých, ktorými bola agentúra ENISA poverená podľa tohto nariadenia.

(117)

S cieľom zabezpečiť, aby sa regulačný rámec mohol v prípade potreby upraviť, by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 Zmluvy o fungovaní Európskej únie (ďalej len „ZFEÚ“), pokiaľ ide o aktualizáciu prílohy k tomuto nariadeniu so zoznamom dôležitých produktov s digitálnymi prvkami. Právomoc prijímať akty v súlade s uvedeným článkom by sa mala na Komisiu delegovať s cieľom identifikovať produkty s digitálnymi prvkami, na ktoré sa vzťahujú iné pravidlá Únie, ktorými sa dosahuje rovnaká úroveň ochrany ako týmto nariadením, pričom sa špecifikuje, či by bolo potrebné obmedzenie alebo vylúčenie z rozsahu pôsobnosti tohto nariadenia, ako aj prípadný rozsah uvedeného obmedzenia. Právomoc prijímať akty v súlade s uvedeným článkom by sa mala delegovať na Komisiu aj v súvislosti s možným poverením týkajúcim sa certifikácie kritických produktov s digitálnymi prvkami stanovených v prílohe k tomuto nariadeniu v rámci európskej schémy certifikácie kybernetickej bezpečnosti, ako aj pokiaľ ide o aktualizáciu zoznamu kritických produktov s digitálnymi prvkami založenými na kritériách kritickosti stanovených v tomto nariadení a na spresnenie európskych schém certifikácie kybernetickej bezpečnosti prijatých podľa nariadenia (EÚ) 2019/881, ktoré možno použiť na preukázanie zhody so základnými požiadavkami kybernetickej bezpečnosti alebo ich časťami stanovenými v prílohe k tomuto nariadeniu. Na Komisiu by sa mala delegovať aj právomoc prijímať akty s cieľom stanoviť minimálne obdobie podpory pre konkrétne kategórie produktov, ak z údajov z dohľadu nad trhom vyplývajú neprimerané obdobia podpory, ako aj stanoviť podmienky uplatňovania dôvodov súvisiacich s kybernetickou bezpečnosťou v súvislosti s odkladom rozosielania oznámení o aktívne zneužívaných zraniteľnostiach. Okrem toho by sa mala na Komisiu delegovať právomoc prijímať akty s cieľom stanoviť dobrovoľné programy osvedčovania bezpečnosti na posudzovanie zhody produktov s digitálnymi prvkami, ktoré sa považujú za slobodný softvér a softvér s otvoreným zdrojovým kódom, so všetkými alebo určitými základnými požiadavkami kybernetickej bezpečnosti alebo inými povinnosťami stanovenými v tomto nariadení, ako aj špecifikovať minimálny obsah EÚ vyhlásenia o zhode a doplniť prvky, ktoré sa majú zahrnúť do technickej dokumentácie. Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila príslušné konzultácie, a to aj na úrovni expertov, a aby tieto konzultácie vykonávala v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva (31). Predovšetkým v záujme rovnakého zastúpenia pri príprave delegovaných aktov sa všetky dokumenty doručujú Európskemu parlamentu a Rade v rovnakom čase ako expertom z členských štátov, a experti Európskeho parlamentu a Rady majú systematicky prístup na zasadnutia skupín expertov Komisie, ktoré sa zaoberajú prípravou delegovaných aktov. Právomoc prijímať delegované akty podľa tohto nariadenia by sa Komisii mala udeliť na obdobie piatich rokov od 10. decembra 2024. Najneskôr deväť mesiacov pred uplynutím tohto päťročného obdobia by Komisia mala vypracovať správu týkajúcu sa delegovania právomoci. Delegovanie právomoci by sa malo automaticky predĺžiť o rovnako dlhé obdobia, pokiaľ Európsky parlament alebo Rada nevznesú voči takémuto predĺženiu námietku najneskôr tri mesiace pred koncom každého obdobia.

(118)

S cieľom zabezpečiť jednotné podmienky vykonávania tohto nariadenia by sa mali na Komisiu preniesť vykonávacie právomoci s cieľom spresniť technický opis kategórií dôležitých produktov s digitálnymi prvkami stanovený v prílohe k tomuto nariadeniu, špecifikovať formát a prvky zoznamu softvéru, bližšie špecifikovať formát a postup oznamovania aktívne zneužívaných zraniteľností a závažných incidentov, ktoré majú vplyv na bezpečnosť produktov s digitálnymi prvkami predložených výrobcami, stanoviť spoločné špecifikácie zahŕňajúce technické požiadavky, ktoré poskytujú prostriedky na splnenie základných požiadaviek kybernetickej bezpečnosti stanovených v prílohe k tomuto nariadeniu, stanoviť technické špecifikácie pre štítky, piktogramy alebo akékoľvek iné značky týkajúce sa bezpečnosti produktov s digitálnymi prvkami, obdobia ich podpory a mechanizmov na propagáciu ich používania a na zvýšenie informovanosti verejnosti o bezpečnosti produktov s digitálnymi prvkami, špecifikovať zjednodušený dokumentačný formulár zameraný na potreby mikropodnikov a malých podnikov, a rozhodnúť o nápravných alebo reštriktívnych opatreniach na úrovni Únie za výnimočných okolností, ktoré opodstatňujú okamžitý zásah na zachovanie riadneho fungovania vnútorného trhu. Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011 (32).

(119)

Na zabezpečenie dôveryhodnej a konštruktívnej spolupráce orgánov dohľadu nad trhom na úrovni Únie a na vnútroštátnej úrovni by mali všetky strany zapojené do uplatňovania tohto nariadenia rešpektovať dôvernosť informácií a údajov získaných pri plnení svojich úloh.

(120)

V záujme zabezpečenia účinného presadzovania povinností stanovených v tomto nariadení by každý orgán dohľadu nad trhom mal mať právomoc ukladať správne pokuty alebo požiadať o ich uloženie. Mali by sa preto zaviesť maximálne úrovne správnych pokút, ktoré sa majú stanoviť vo vnútroštátnom práve za nesplnenie povinností stanovených v tomto nariadení. Pri rozhodovaní o výške správnej pokuty v každom jednotlivom prípade by sa mali zohľadniť všetky relevantné okolnosti konkrétnej situácie a minimálne tie, ktoré sú výslovne uvedené v tomto nariadení vrátane toho, či je výrobca mikropodnikom alebo malým či stredným podnikom, prípadne startupom, a či už tomu istému hospodárskemu subjektu uložili tie isté alebo iné orgány dohľadu nad trhom správne poplatky za podobné porušenie. Takéto okolnosti by mohli byť buď priťažujúce v situáciách, keď porušenie tým istým hospodárskym subjektom pretrváva na území iných členských štátov, než je členský štát, v ktorom už bola uložená správna pokuta, alebo poľahčujúce, pričom sa zaistí, aby sa pri každej ďalšej správnej pokute, ktorú zvažuje iný orgán dohľadu nad trhom pre ten istý hospodársky subjekt alebo ten istý druh porušenia, už zohľadnila spolu s ostatnými relevantnými osobitnými okolnosťami pokuta a jej výška uložená v iných členských štátoch. Vo všetkých takýchto prípadoch by sa súhrnnou správnou pokutou, ktorú by mohli orgány dohľadu nad trhom z viacerých členských štátov uložiť tomu istému hospodárskemu subjektu za rovnaký druh porušenia, malo zaistiť dodržanie zásady proporcionality. Keďže správne pokuty sa nevzťahujú na mikropodniky alebo malé podniky za nedodržanie 24-hodinovej lehoty na včasné varovné oznámenia o aktívne zneužívaných zraniteľnostiach alebo závažných incidentoch, ktoré majú vplyv na bezpečnosť produktu s digitálnymi prvkami, ani na správcov softvéru s otvoreným zdrojovým kódom za akékoľvek porušenie tohto nariadenia, a s výhradou zásady, že sankcie by mali byť účinné, primerané a odrádzajúce, by členské štáty týmto subjektom nemali ukladať iné druhy peňažných sankcií.

(121)

Ak sa správne pokuty ukladajú osobe, ktorá nie je podnikom, príslušný orgán by mal pri rozhodovaní o primeranej výške pokuty zohľadniť všeobecnú úroveň príjmov v členskom štáte, ako aj majetkové pomery danej osoby. Členské štáty by mali určiť, či a do akej miery by orgány verejnej moci mali podliehať správnym pokutám.

(122)

Členské štáty by mali s prihliadnutím na vnútroštátne okolnosti preskúmať možnosť použiť príjmy z pokút stanovených v tomto nariadení alebo ich finančný ekvivalent na podporu politík kybernetickej bezpečnosti a zvýšenie úrovne kybernetickej bezpečnosti v Únii okrem iného zvýšením počtu kvalifikovaných odborníkov v oblasti kybernetickej bezpečnosti, posilnením budovania kapacít mikropodnikov a malých a stredných podnikov a zlepšením informovanosti verejnosti o kybernetických hrozbách.

(123)

Vo svojich vzťahoch s tretími krajinami sa Únia snaží podporovať medzinárodný obchod s regulovanými produktmi. Na uľahčenie obchodu sa môže uplatniť široká paleta opatrení vrátane viacerých právnych nástrojov, ako sú dvojstranné (medzivládne) dohody o vzájomnom uznávaní posudzovania zhody a označovania regulovaných produktov. Dohody o vzájomnom uznávaní sa uzatvárajú medzi Úniou a tretími krajinami, ktoré sú na porovnateľnej úrovni technického vývoja a majú kompatibilný prístup k posudzovaniu zhody. Tieto dohody sú založené na vzájomnom uznávaní certifikátov, označení zhody a protokolov o skúškach vydaných orgánmi posudzovania zhody každej strany v súlade s právnymi predpismi druhej strany. V súčasnosti sú dohody o vzájomnom uznávaní uzavreté s niekoľkými tretími krajinami. Tieto dohody o vzájomnom uznávaní sú uzatvorené v mnohých špecifických odvetviach, ktoré sa môžu v jednotlivých tretích krajinách líšiť. Na ďalšie uľahčenie obchodu a vzhľadom na to, že dodávateľské reťazce produktov s digitálnymi prvkami sú celosvetové, môže Únia v súlade s článkom 218 ZFEÚ uzatvárať dohody o vzájomnom uznávaní posúdení zhody pre produkty, na ktoré sa vzťahuje toto nariadenie. Dôležitá je aj spolupráca s partnerskými tretími krajinami s cieľom celosvetovo posilniť kybernetickú odolnosť, keďže z dlhodobého hľadiska to prispeje k posilnenému rámcu kybernetickej bezpečnosti v Únii aj mimo nej.

(124)

V súvislosti s povinnosťami uloženými hospodárskym subjektom podľa tohto nariadenia by spotrebitelia mali mať právo presadzovať svoje práva prostredníctvom žalôb v zastúpení v súlade so smernicou Európskeho parlamentu a Rady (EÚ) 2020/1828 (33). Na tento účel by sa v tomto nariadení malo stanoviť, že smernica (EÚ) 2020/1828 sa uplatňuje na žaloby v zastúpení týkajúce sa porušení tohto nariadenia, ktoré poškodzujú alebo môžu poškodiť kolektívne záujmy spotrebiteľov. Preto by sa mala zodpovedajúcim spôsobom zmeniť príloha I k uvedenej smernici. Úlohou členských štátov je zabezpečiť, aby sa tieto zmeny zohľadnili v transpozičných opatreniach prijatých v súlade s uvedenou smernicou, aj keď prijatie vnútroštátnych transpozičných opatrení v tejto súvislosti nie je podmienkou uplatniteľnosti uvedenej smernice na uvedené žaloby v zastúpení. Uplatniteľnosť uvedenej smernice na žaloby v zastúpení podané proti porušeniu ustanovení tohto nariadenia hospodárskymi subjektmi, ktoré poškodzujú alebo by mohli poškodiť kolektívne záujmy spotrebiteľov, by mala začať plynúť od 11. decembra 2027.

(125)

Komisia by mala toto nariadenie pravidelne hodnotiť a preskúmavať po konzultácii s príslušnými zainteresovanými stranami najmä s cieľom určiť, či ho treba zmeniť na základe zmien spoločenských, politických, technologických alebo trhových podmienok. Týmto nariadením sa uľahčí dodržiavanie povinností v oblasti bezpečnosti dodávateľského reťazca pre subjekty, ktoré patria do rozsahu pôsobnosti nariadenia (EÚ) 2022/2554 a smernice (EÚ) 2022/2555 a ktoré používajú produkty s digitálnymi prvkami. V rámci tohto pravidelného preskúmania by Komisia mala vyhodnotiť kombinované účinky rámca kybernetickej bezpečnosti Únie.

(126)

Hospodárskym subjektom by sa mal poskytnúť dostatočný čas prispôsobiť sa požiadavkám stanoveným v tomto nariadení. Toto nariadenie by sa malo uplatňovať od 11. decembra 2027 s výnimkou oznamovacích povinností týkajúcich sa aktívne zneužívaných zraniteľností a závažných incidentov, ktoré majú vplyv na bezpečnosť produktov s digitálnymi prvkami, ktoré by sa mali uplatňovať od 11. septembra 2026 a ustanovení o notifikácii orgánov posudzovania zhody, ktoré by sa mali uplatňovať od 11. júna 2026.

(127)

Pri vykonávaní tohto nariadenia je dôležité poskytnúť podporu mikropodnikom a malým a stredným podnikom vrátane startupov a minimalizovať riziká pre vykonávanie vyplývajúce z nedostatku poznatkov a odborných znalostí na trhu, a to aj s cieľom uľahčiť výrobcom plnenie ich povinností stanovených v tomto nariadení. Program Digitálna Európa a iné príslušné programy Únie poskytujú finančnú a technickú podporu, ktorá týmto podnikom umožňuje prispievať k rastu hospodárstva Únie a k posilneniu spoločnej úrovne kybernetickej bezpečnosti v Únii. Európske centrum kompetencií v oblasti kybernetickej bezpečnosti a národné koordinačné centrá, ako aj európske centrá digitálnych inovácií zriadené Komisiou a členskými štátmi na úrovni Únie alebo na vnútroštátnej úrovni by mohli podporovať aj podniky a organizácie verejného sektora a mohli by prispieť k vykonávaniu tohto nariadenia. V rámci svojich príslušných úloh a oblastí pôsobnosti by mohli poskytovať technickú a vedeckú podporu mikropodnikom a malým a stredným podnikom, napríklad pri testovaní a posudzovaní zhody tretími stranami. Mohli by tiež podporiť zavádzanie nástrojov na uľahčenie vykonávania tohto nariadenia.

(128)

Okrem toho by členské štáty mali zvážiť prijatie doplnkových opatrení zameraných na poskytovanie usmernení a podpory mikropodnikom a malým a stredným podnikom, ako je zriaďovanie experimentálnych regulačných prostredí a osobitných komunikačných kanálov. S cieľom posilniť úroveň kybernetickej bezpečnosti v Únii môžu členské štáty zvážiť aj poskytnutie podpory na rozvoj kapacít a zručností súvisiacich s kybernetickou bezpečnosťou produktov s digitálnymi prvkami, zlepšenie kybernetickej odolnosti hospodárskych subjektov, najmä mikropodnikov a malých a stredných podnikov, a zvýšenie informovanosti verejnosti o kybernetickej bezpečnosti produktov s digitálnymi prvkami.

(129)

Keďže cieľ tohto nariadenia nie je možné uspokojivo dosiahnuť na úrovni členských štátov, ale z dôvodu dôsledkov činnosti ho možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii. V súlade so zásadou proporcionality podľa uvedeného článku toto nariadenie neprekračuje rámec nevyhnutný na dosiahnutie tohto cieľa.

(130)

V súlade s článkom 42 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 (34) sa konzultovalo s európskym dozorným úradníkom pre ochranu údajov, ktorý vydal 9. novembra 2022 (35) svoje stanovisko,