ДОКЛАД относно предложението за регламент на Европейския парламент и на Съвета относно хоризонтални изисквания за киберсигурност за продукти с цифрови елементи и за изменение на Регламент (ЕС) 2019/1020

26.7.2023 - (COM(2022)0454 – C9‑0308/2022 – 2022/0272(COD)) - ***I

Комисия по промишленост, изследвания и енергетика
Докладчик: Никола Данти
Докладчик по становище на асоциираната комисия съгласно член 57 от Правилника за дейността
Мортен Льокегор, комисия по вътрешния пазар и защита на потребителите

Процедура : 2022/0272(COD)

Етапи на разглеждане в заседание

Етапи на разглеждане на документа :

A9-0253/2023

Внесени текстове :

A9-0253/2023

Разисквания :

Гласувания :

PV 12/03/2024 - 8.11
CRE 12/03/2024 - 8.11
Обяснение на вота

Приети текстове :

P9_TA(2024)0130

ПРОЕКТ НА ЗАКОНОДАТЕЛНА РЕЗОЛЮЦИЯ НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ
ИЗЛОЖЕНИЕ НА МОТИВИТЕ
ПРИЛОЖЕНИЕ: СПИСЪК НА СУБЕКТИТЕ ИЛИ ЛИЦАТА, ПРЕДОСТАВИЛИ ИНФОРМАЦИЯ НА ДОКЛАДЧИКА
СТАНОВИЩЕ НА КОМИСИЯТА ПО ВЪТРЕШНИЯ ПАЗАР И ЗАЩИТА НА ПОТРЕБИТЕЛИТЕ
ПРОЦЕДУРА НА ВОДЕЩАТА КОМИСИЯ
ПОИМЕННО ОКОНЧАТЕЛНО ГЛАСУВАНЕ ВЪВ ВОДЕЩАТА КОМИСИЯ

ПРОЕКТ НА ЗАКОНОДАТЕЛНА РЕЗОЛЮЦИЯ НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ

относно предложението за регламент на Европейския парламент и на Съвета относно хоризонтални изисквания за киберсигурност за продукти с цифрови елементи и за изменение на Регламент (ЕС) 2019/1020

(COM(2022)0454 – C9‑0308/2022 – 2022/0272(COD))

(Обикновена законодателна процедура: първо четене)

Европейският парламент,

– като взе предвид предложението на Комисията до Европейския парламент и до Съвета (COM(2022)0454),

– като взе предвид член 294, параграф 2 и член 114 от Договора за функционирането на Европейския съюз, съгласно които Комисията е внесла предложението в Парламента (C9‑0308/2022),

– като взе предвид член 294, параграф 3 от Договора за функционирането на Европейския съюз,

– като взе предвид становището на Европейския икономически и социален комитет от 14 декември 2022 г.[1],

– като взе предвид член 59 от своя Правилник за дейността,

– като взе предвид становището на комисията по вътрешния пазар и защита на потребителите,

– като взе предвид доклада на комисията по промишленост, изследвания и енергетика (A9-0253/2023),

1. приема изложената по-долу позиция на първо четене;

2. отправя искане към Комисията да измени финансовата обосновка, придружаваща предложението, като увеличи щатното разписание на Агенцията на Европейския съюз за киберсигурност (ENISA) с 9 допълнителни длъжности на пълно работно време и като предостави съответните допълнителни бюджетни кредити, така че да се гарантира, че задълженията на ENISA съгласно настоящия регламент могат да бъдат изпълнявани, и да не се застрашава изпълнението на съществуващите задължения на Агенцията съгласно други законодателни актове на Съюза;

3. приканва Комисията да се отнесе до него отново, в случай че замени своето предложение с друг текст или внесе или възнамерява да внесе съществени промени в това предложение;

4. възлага на своя председател да предаде позицията на Парламента съответно на Съвета и на Комисията, както и на националните парламенти.

Изменение 1

ИЗМЕНЕНИЯ, ВНЕСЕНИ ОТ ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ [*]

към предложението на Комисията

---------------------------------------------------------

Предложение за

РЕГЛАМЕНТ НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА

относно хоризонтални изисквания за киберсигурност за продукти с цифрови елементи и за изменение на Регламент (ЕС) 2019/1020 и Директива 2020/1828/EО (Законодателен акт за киберустойчивост)

(текст от значение за ЕИП)

ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,

като взеха предвид Договора за функционирането на Европейския съюз, и по-специално член 114 от него,

като взеха предвид предложението на Европейската комисия,

след предаване на проекта на законодателния акт на националните парламенти,

като взеха предвид становището на Европейския икономически и социален комитет [2],

като взеха предвид становището на Комитета на регионите [3],

в съответствие с обикновената законодателна процедура,

като имат предвид, че:

(1) Киберсигурността е едно от ключовите предизвикателства за Съюза и броят и многообразието на свързаните устройства ще нараства експоненциално през следващите години. Кибератаките представляват въпрос от обществен интерес, тъй като оказват решаващо въздействие не само върху икономиката на Съюза, но и върху демокрацията и върху безопасността и здравето на потребителите. Необходимо е следователно да се засили подходът на Съюза към киберсигурността, да се разгледа въпросът за киберустойчивостта на равнището на Съюза и да се подобри функционирането на вътрешния пазар, като се установи единна правна рамка за съществените изисквания за киберсигурност при пускането на продукти с цифрови елементи на пазара на Съюза. Следва да бъдат решени два основни проблема, които увеличават разходите за ползвателите и обществото: ниското ниво на киберсигурност на продуктите с цифрови елементи, което се изразява в широко разпространени уязвимости и недостатъчно и непоследователно предоставяне на актуализации на защитата за справяне с тях, и недостатъчно разбиране и достъп до информация от страна на ползвателите, което им пречи да избират продукти с подходящи характеристики за киберсигурност или да ги използват по защитен начин.

(2) Настоящият регламент има за цел да определи граничните условия за разработването на защитени продукти с цифрови елементи, като се гарантира, че на пазара се пускат хардуерни и софтуерни продукти с по-малко уязвимости, както и че производителите се отнасят сериозно към сигурността през целия жизнен цикъл на продукта. Той също така има за цел да създаде условия, които позволяват на ползвателите да вземат предвид киберсигурността при избора и използването на продукти с цифрови елементи, например чрез подобряване на прозрачността по отношение на срока на поддръжката на сигурността на пусканите на пазара продукти.

(3) Съответното законодателство на Съюза, което понастоящем е в сила, включва няколко набора от хоризонтални правила, които разглеждат определени аспекти, свързани с киберсигурността, от различни гледни точки, включително мерки за подобряване на сигурността на цифровата верига на доставките. Съществуващото законодателство на Съюза, свързано с киберсигурността, включително Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета [4] и Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета [5], обаче не обхваща пряко задължителните изисквания за сигурността на продуктите с цифрови елементи.

(4) Въпреки че съществуващото законодателство на Съюза се прилага за някои продукти с цифрови елементи, не съществува хоризонтална регулаторна рамка на Съюза, която да установява всеобхватни изисквания за киберсигурност за всички продукти с цифрови елементи. Различните актове и инициативи, предприети до момента на равнището на Съюза и на национално равнище, решават само частично установените проблеми и рискове, свързани с киберсигурността, и пораждат разнородно законодателство в рамките на вътрешния пазар, като увеличават правната несигурност както за производителите, така и за ползвателите на тези продукти и добавят ненужна тежест за предприятията и организациите да спазват редица изисквания за подобни видове продукти. Киберсигурността на тези продукти има особено силно трансгранично измерение, тъй като продуктите, произведени в една държава, често се използват от организации и потребители в целия вътрешен пазар. Това налага тази област да бъде регулирана на равнището на Съюза, за да се осигури хармонизирана и ясна регулаторна рамка за предприятията, по-специално за микропредприятията и малките и средните предприятия. Нормативната уредба на Съюза следва да бъде хармонизирана чрез въвеждане на изисквания за киберсигурност за продуктите с цифрови елементи. Също така следва да се гарантира правна сигурност за операторите и ползвателите в целия Съюз, както и по-добра хармонизация на единния пазар и пропорционалност за микропредприятията и малките и средните предприятия, като се създадат по-жизнеспособни условия за икономическите оператори, които се стремят да навлязат на пазара на Съюза.

(4a) Хоризонталният характер на настоящия регламент означава, че той ще окаже въздействие върху твърде различни сегменти от икономиката на Съюза. Ето защо е важно да се вземат предвид специфичните особености на всеки сектор и изискванията за киберсигурност, установени в настоящия регламент, да бъдат пропорционални на рисковете. Поради това Комисията следва да издаде насоки, в които да се обяснява ясно и подробно как да се прилага настоящият регламент. Насоките следва да включват, наред с другото, подробно обяснение на обхвата, по-специално понятието „обработване на данни от разстояние“ и последиците за разработчиците на свободен софтуер с отворен код, критериите, използвани, за да се определя как се класифицират критичните продукти с цифрови елементи, и взаимодействието между настоящия регламент и други законодателни актове на Съюза.

(4б) Предприятие, което извършва дейност онлайн, може да предлага редица различни услуги. В зависимост от естеството на предоставяните услуги един и същ субект може да попада в няколко различни категории икономически оператори. Когато даден субект предоставя посреднически онлайн услуги за продукт с цифрови елементи и е доставчик на онлайн място за търговия съгласно определението в член 3, параграф 14 от Регламент (ЕС) 2023/988 на Европейския парламент и на Съвета [6], той не представлява икономически оператор съгласно определението в настоящия регламент. Когато един и същ субект е доставчик на онлайн място за търговия и действа като икономически оператор съгласно определението в настоящия регламент за продажбата на продукти с цифрови елементи, той следва да попада в обхвата на настоящия регламент по отношение на такива продукти. Разпоредбите на Регламент (ЕС) 2023/988 са изцяло приложими към настоящия регламент. Като се има предвид важната роля на онлайн местата за търговия за създаването на условия за електронна търговия, те следва да се стремят да си сътрудничат с органите за надзор на пазара на държавите членки, за да се гарантира, че продуктите, закупени чрез онлайн места за търговия, отговарят на изискванията за киберсигурност, определени в настоящия регламент.

(5) На равнището на Съюза в различни програмни и политически документи, като Стратегията на ЕС за киберсигурност за цифровото десетилетие [7], заключенията на Съвета от 2 декември 2020 г. и от 23 май 2022 г. или резолюцията на Европейския парламент от 10 юни 2021 г.[8], се призовава за специфични изисквания на Съюза за киберсигурност за цифрови или свързани с интернет продукти, като няколко държави по света въвеждат мерки за решаване на този въпрос по своя собствена инициатива. В заключителния доклад на Конференцията за бъдещето на Европа [9] гражданите призоваха за „по-силна роля на ЕС в противодействието на киберзаплахите“. За да може Съюзът да играе водеща международна роля в областта на киберсигурността, е важно да се създаде амбициозна всеобхватна регулаторна рамка.

(6) За да се повиши общото ниво на киберсигурност на всички продукти с цифрови елементи, пуснати на вътрешния пазар, е необходимо да се въведат обективно ориентирани и технологично неутрални съществени изисквания за киберсигурност за тези продукти, които да се прилагат хоризонтално.

(7) При определени условия всички продукти с цифрови елементи, интегрирани в по-голяма електронна информационна система или свързани с нея, могат да послужат като вектор на атака за злонамерени участници. В резултат на това дори хардуерът и софтуерът, считани за по-малко критични, могат да улеснят първоначалното компрометиране на дадено устройство или мрежа, като позволят на злонамерените участници да получат привилегирован достъп до дадена система или да се придвижат странично между системите. Поради това производителите следва да гарантират, че всички свързващи се продукти с цифрови елементи са проектирани и разработени в съответствие със съществените изисквания, определени в настоящия регламент. Това включва както продукти, които могат да бъдат свързани физически чрез хардуерни интерфейси, така и продукти, които са свързани логически, например чрез сокет, канали, файлове, приложно-програмен интерфейс или други видове софтуерни интерфейси. Тъй като киберзаплахите могат да се разпространяват чрез различни продукти с цифрови елементи преди да достигнат до определена цел, например чрез верижно използване на множество уязвимости, производителите следва да гарантират киберсигурността и на тези продукти, които са само непряко свързани с други устройства или мрежи.

(8) С определянето на изисквания за киберсигурност при пускането на пазара на продукти с цифрови елементи ще се повиши киберсигурността на тези продукти както за потребителите, така и за предприятията. Това включва и изисквания за пускане на пазара на потребителски продукти с цифрови елементи, предназначени за уязвими потребители, като например играчки и бебешки монитори. Тези изисквания също така ще гарантират, че киберсигурността се взема предвид във всички вериги на доставки, като по този начин крайните продукти с цифрови елементи са по-добре защитени. Това, от своя страна, ще представлява конкурентно предимство за производителите, установени или представени на територията на Съюза, които ще могат да рекламират киберсигурността на своите продукти.

(9) С настоящия регламент се гарантира високо равнище на киберсигурност на продуктите с цифрови елементи и техните интегрирани решения за обработване на данни от разстояние. Такива решения за обработване на данни от разстояние, свързани с продукт с цифрови елементи, се определят като всяка обработка на данни от разстояние, за която софтуерът е проектиран и разработен от производителя на съответния продукт или от негово име и липсата на която би попречила на такъв продукт с цифрови елементи да изпълнява някоя от функциите си. Например работещите в облак функции, предоставени от производителя на интелигентни домакински устройства, които дават възможност на потребителите да контролират устройството от разстояние, следва да попадат в обхвата на настоящия регламент. От друга страна, уебсайтове, които не са неразривно свързани с продукт с цифрови елементи или облачни услуги извън отговорността на производителя, не следва да се считат за решения за обработване на данни от разстояние съгласно настоящия регламент. С Директива (ЕС) 2022/2555 се въвеждат изисквания за киберсигурност и докладване на инциденти за съществени и важни субекти, като например критична инфраструктура, с оглед на повишаването на устойчивостта на предоставяните от тях услуги. Въпреки че Директива (ЕС) 2022/2555 се прилага за облачни услуги и модели на облачни услуги, а настоящият регламент не се прилага за услуги като софтуер като услуга (SaaS), платформа като услуга (PaaS) или инфраструктура като услуга (IaaS), те могат да попаднат в обхвата на настоящия регламент, доколкото отговарят на определението за решения за обработване на данни от разстояние. ▌

(9a) Софтуерът и данните, които се споделят открито и до които ползвателите имат свободен достъп, като свободно могат да използват, променят и разпространяват същите или техни модифицирани версии, могат да допринесат за научните изследвания и иновациите на пазара. Изследване на Европейската комисия [10] показва също така, че свободният софтуер с отворен код може да допринесе с 65 – 95 млрд. евро за БВП на Съюза и че може да предостави значителни възможности за растеж на икономиката на Съюза. На ползвателите е разрешено да използват, копират, разпространяват, изучават, променят и подобряват софтуер и данни, включително модели, чрез безплатни лицензи с отворен код. За да се насърчава разработването и внедряването на свободен софтуер с отворен код, по-специално от микропредприятия и малки и средни предприятия, включително стартиращи предприятия, както и от организации с нестопанска цел, академични научноизследователски центрове и физически лица, настоящият регламент следва да се прилага за свободни софтуерни продукти с отворен код в конкретни случаи, за да се вземе предвид фактът, че съществуват различни модели за разработване на софтуер, разпространяван и разработван с публични лицензи.

(10) Само свободният софтуер с отворен код, ▌ предоставян на пазара в рамките на търговска дейност, ▌ следва да бъде обхванат от настоящия регламент. ▌Дали свободен продукт с отворен код е предоставян като част от търговска дейност, следва да се оценява за всеки отделен продукт, като се разглеждат както моделът на разработване, така и етапът на доставяне на безплатния продукт с цифрови елементи с отворен код.

(10a) Например напълно децентрализиран модел на разработване, при който нито един търговски субект не упражнява контрол върху това, което се приема в кодовата база на проекта, следва да се разглежда като индикация, че продуктът е разработен в нетърговска среда. От друга страна, когато свободният софтуер с отворен код се разработва от една-единствена организация или от асиметрична общност, в който случай една-единствена организация реализира приходи от свързана употреба в рамките на стопански отношения, това следва да се счита за търговска дейност. Аналогично, когато тези, които допринасят за свободни проекти с отворен код, са разработчици, наети от търговски субекти, и когато тези разработчици или работодателят могат да упражняват контрол върху това кои промени се приемат в базовия изходен код, проектът следва по принцип да се счита за проект с търговски характер.

(10б) По отношение на етапа на доставяне, в контекста на свободния софтуер с отворен код търговската дейност може да се характеризира не само с начисляване на цена за продукт, но и с начисляване на цена за услуги по техническа поддръжка (когато това не служи само за възстановяване на действителните разходи), с предоставяне на софтуерна платформа, чрез която производителят печели от други услуги, или с използване на лични данни по причини, различни от такива, свързани изключително с подобряване на сигурността, съвместимостта или оперативната съвместимост на софтуера. Приемането на дарения без намерение за реализиране на печалба не следва да се счита за търговска дейност, освен ако тези дарения се правят от търговски субекти и са нееднократни.

(10в) За разработчиците, които допринасят индивидуално за свободни проекти с отворен код, не следва да се прилагат задължения съгласно настоящия регламент.

(10г) Хостингът на свободен софтуер с отворен код в хранилища със свободен достъп сам по себе си не представлява предоставяне на пазара на продукт с цифрови елементи. Поради това повечето системи за управление на софтуерни пакети, платформи за хостинг на кодове и платформи за сътрудничество не следва да се считат за дистрибутори по смисъла на настоящия регламент.

(10д) За да се гарантира, че продуктите се проектират, разработват и произвеждат в съответствие със съществените изисквания, предвидени в приложение I, раздел 1, производителите следва да полагат дължимата грижа, когато интегрират компоненти, доставени от трети страни, включително в случаите на свободен софтуер с отворен код, който не е бил предоставен на пазара. Подходящото равнище на дължима грижа зависи от естеството и нивото на риска на компонента и може да включва едно или повече от следните действия: проверка дали компонентът вече носи маркировката „СЕ“, проверка на предходните актуализации на защитата, проверка дали няма уязвимости, регистрирани в европейската база данни за уязвимости или други публични бази данни, или извършване на допълнителни изпитвания във връзка със защитата. Когато при полагането на дължима грижа производителят на продукта установи уязвимост в даден компонент, включително в свободен компонент с отворен код, той следва да информира разработчика на компонента, да предприеме мерки и да отстрани уязвимостта, а когато е приложимо, да предостави на разработчика приложените корекции по отношение на защитата. След като производителят пусне продукта на пазара, той следва да носи отговорност за гарантиране, че уязвимостите се преодоляват през целия период на поддръжка на сигурността, включително за свободните компоненти с отворен код, интегрирани в продукта с цифрови елементи.

(10е) Липсата на професионални умения в областта на киберсигурността е ключов проблем, който трябва да бъде решен, за да се прилага успешно настоящият регламент. Особено внимание следва да се обърне на недостига на умения за производителите, органите за надзор на пазара и нотифицираните органи. Ето защо, в съответствие със съобщението на Комисията, озаглавено „Преодоляване на недостига на таланти в областта на киберсигурността за повишаване на конкурентоспособността, растежа и устойчивостта на ЕС („Академия на ЕС за киберумения“)“, следва да бъдат въведени конкретни мерки както на равнище ЕС, така и на равнище държави членки, за да се оценят състоянието и развитието на пазара на труда в областта на киберсигурността и полезните взаимодействия по отношение на предложенията за образование и обучение в областта на киберсигурността, като също така се преодолява неравнопоставеността между половете в сектора, с цел установяване на общ подход в Съюза към обучението в областта на киберсигурността.

(11) Сигурният интернет е незаменим за функционирането на критичните инфраструктури и за обществото като цяло. Директива (EС) 2022/2555 има за цел да осигури високо ниво на киберсигурност на услугите, предоставяни от съществени и важни субекти, включително доставчици на цифрова инфраструктура, които поддържат основните функции на отворения интернет, осигуряват достъп до интернет и интернет услуги. Поради това е важно продуктите с цифрови елементи, необходими на доставчиците на цифрова инфраструктура за осигуряване на функционирането на интернет, да се разработват по сигурен начин и да отговарят на утвърдените стандарти за сигурност в интернет. Настоящият регламент, който се прилага за всички свързващи се хардуерни и софтуерни продукти, има за цел също така да улесни доставчиците на цифрова инфраструктура при спазването на изискванията за веригата на доставките съгласно Директива (EС) 2022/2555, като се гарантира, че продуктите с цифрови елементи, които те използват за предоставяне на своите услуги, са разработени по сигурен начин и че те имат достъп до своевременни актуализации на защитата на тези продукти.

(12) В Регламент (ЕС) 2017/745 на Европейския парламент и на Съвета [11] са определени правилата за медицинските изделия, а в Регламент (ЕС) 2017/746 на Европейския парламент и на Съвета [12] са определени правилата за медицинските изделия за инвитро диагностика. И в двата регламента киберрисковете са разгледани и са придружени от конкретни подходи, които са разгледани и в настоящия регламент. По-конкретно, в регламенти (ЕС) 2017/745 и (ЕС) 2017/746 се определят съществени изисквания за медицинските изделия, които функционират чрез електронна система или които сами по себе си са софтуер. Някои невградени софтуери и подходът на целия жизнен цикъл също са обхванати от тези регламенти. Тези изисквания задължават производителите да разработват и създават своите продукти, като прилагат принципите за управление на риска и като определят изисквания относно мерките за ИТ сигурност, както и съответните процедури за оценяване на съответствието. Освен това от декември 2019 г.[13] са в сила специфични насоки относно киберсигурността за медицинските изделия, които предоставят на производителите на медицински изделия, включително изделията за инвитро диагностика, насоки за това как да изпълнят всички съответни съществени изисквания от приложение I към тези регламенти по отношение на киберсигурността. Поради това продуктите с цифрови елементи, за които се прилага някой от тези регламенти, не следва да бъдат предмет на настоящия регламент.

(12a) Продуктите с цифрови елементи, които са разработени изключително за целите на националната сигурност или за военни цели, или продуктите, специално предназначени за обработка на класифицирана информация, попадат извън обхвата на настоящия регламент. Държавите членки обаче се насърчават да осигурят за тези продукти същото ниво на защита, каквото се осигурява за продуктите, попадащи в обхвата на настоящия регламент, или дори по-високо ниво.

(13) С Регламент (ЕС) 2019/2144 на Европейския парламент и на Съвета [14] се установяват изисквания за одобряването на типа на превозните средства, както и на техните системи и компоненти, като се въвеждат определени изисквания за киберсигурност, включително относно функционирането на сертифицирана система за управление на киберсигурността, относно актуализациите на софтуера, обхващащи политиките и процесите на организациите за киберрисковете, свързани с целия жизнен цикъл на превозните средства, оборудването и услугите [15], в съответствие с приложимите правила на Организацията на обединените нации относно техническите спецификации и киберсигурността, и се предвиждат специфични процедури за оценяване на съответствието. В областта на въздухоплаването основната цел на Регламент (ЕС) 2018/1139 на Европейския парламент и на Съвета [16] е да се установи и поддържа високо и еднакво равнище на безопасност на гражданското въздухоплаване в Съюза. С него се създава рамка за съществени изисквания за летателна годност на въздухоплавателни продукти, части, оборудване, включително софтуер, които отчитат задълженията за защита срещу заплахи за информационната сигурност. Поради това продуктите с цифрови елементи, за които се прилага Регламент (ЕС) 2019/2144, и продуктите, сертифицирани в съответствие с Регламент (ЕС) 2018/1139, не са предмет на съществените изисквания и процедурите за оценяване на съответствието, определени в настоящия регламент. Процесът на сертифициране съгласно Регламент (ЕС) 2018/1139 осигурява нивото на увереност, към което е насочен настоящият регламент.

(14) С настоящия регламент се установяват хоризонтални правила за киберсигурност, които не са специфични за сектори или определени продукти с цифрови елементи. Независимо от това могат да бъдат въведени специфични по сектори или продукти правила на Съюза, в които да се определят изисквания, насочени към всички или някои от рисковете, обхванати от съществените изисквания, установени в настоящия регламент. В такива случаи прилагането на настоящия регламент по отношение на продукти с цифрови елементи, обхванати от други правила на Съюза, с които се установяват изисквания за справяне с всички или някои от рисковете, обхванати от съществените изисквания, посочени в приложение I към настоящия регламент, може да бъде ограничено или изключено, когато такова ограничение или изключване е в съответствие с общата регулаторна рамка, приложима към тези продукти, и когато секторните правила постигат същото ниво на защита като предвиденото в настоящия регламент. Комисията има правомощието да приема делегирани актове за изменение на настоящия регламент чрез определяне на такива продукти и правила. По отношение на съществуващото законодателство на Съюза, за което следва да се прилагат такива ограничения или изключения, настоящият регламент съдържа специални разпоредби, за да се изясни връзката му с това законодателство на Съюза.

(14a) За да се гарантира, че предоставяните на пазара продукти могат да бъдат ефективно ремонтирани и че тяхната трайност може да бъде удължена, следва да се предвиди освобождаване за резервните части. Такъв следва да бъде случаят както за резервните части за ремонт на остарели, но все още използвани продукти, предоставени преди датата на прилагане на настоящия регламент, така и за резервните части, които вече са преминали процедура за оценяване на съответствието съгласно настоящия регламент и които се доставят от същия производител.

(14б) С Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета [17] се установяват редица изисквания за гарантиране на сигурността на мрежовите и информационните системи, които поддържат работните процеси на финансовите субекти. Комисията следва да наблюдава прилагането на настоящия регламент във финансовия сектор, за да се гарантира съвместимостта и да се избегне припокриване на изискванията за продуктите с цифрови елементи, които също така могат да попадат в обхвата на Регламент (ЕС) 2022/2554.

(14в) Земеделските и горските превозни средства, които попадат в обхвата на Регламент (ЕС) 167/2013 на Европейския парламент и на Съвета [18], също попадат в обхвата на настоящия регламент. При бъдещите изменения на Регламент (ЕС) 167/2013 следва да се избягва припокриване на регулаторни изисквания.

(15) В Делегиран регламент (ЕС) 2022/30 на Комисията [19] се уточнява, че съществените изисквания, определени в член 3, параграф 3, буква г) (вреди за мрежата и неправилна употреба на мрежови ресурси), буква д) (лични данни и неприкосновеност на личния живот) и буква е) (измами) от Директива 2014/53/ЕС, се прилагат за определени радиосъоръжения. В [Решение за изпълнение ХХХ/2022 на Комисията относно искане за стандартизация, отправено до европейските организации за стандартизация] се определят изисквания за разработване на специфични стандарти, в които допълнително се уточнява как следва да се отговори на тези три съществени изисквания. Съществените изисквания, определени с настоящия регламент, включват всички елементи на съществените изисквания по член 3, параграф 3, букви г), д) и е) от Директива 2014/53/ЕС. Освен това съществените изисквания, определени в настоящия регламент, са съгласувани с целите на изискванията за специфични стандарти, включени в посоченото искане за стандартизация. Поради това, когато Комисията ▌ измени Делегиран регламент (ЕС) 2022/30, вследствие на което той престане да се прилага за някои продукти, предмет на настоящия регламент, при изготвянето и разработването на хармонизирани стандарти за улесняване на прилагането на настоящия регламент, Комисията и европейските организации за стандартизация следва да вземат предвид работата по стандартизацията, извършена в контекста на Решение за изпълнение C(2022)5637 на Комисията относно искане за стандартизация за Делегиран регламент 2022/30 относно радиосъоръженията. Когато производителите отговарят на изискванията на настоящия регламент преди датата на неговото прилагане, следва да се счита, че те също така отговарят на изискванията на Делегиран регламент (ЕС) 2022/30 на Комисията, докато Комисията не отмени този делегиран регламент.

(16) Директива 85/374/ЕИО на Съвета [20] допълва настоящия регламент. В тази директива се определят правилата за отговорност за дефектни продукти, така че увредените лица да могат да претендират за обезщетение, когато вредата е причинена от дефектни продукти. С нея се установява принципът, че производителят на даден продукт носи отговорност за вреди, причинени от липсата на безопасност в неговия продукт, независимо от вината („обективна отговорност“). Когато тази липса на безопасност се състои в липсата на актуализации на защитата след пускането на продукта на пазара и това причинява вреди, може да бъде потърсена отговорност от производителя. Задълженията на производителите, свързани с предоставянето на такива актуализации на защитата, следва да бъдат определени в настоящия регламент.

(17) Настоящият регламент не следва да засяга Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета [21], включително разпоредбите за създаване на механизми за сертифициране на защитата на данните и на печати и маркировки за защита на данните, с цел да се докаже съответствието на операциите по обработване от страна на администраторите и обработващите лични данни с посочения регламент. Такива операции могат да бъдат вградени в продукт с цифрови елементи. Защитата на данните на етапа на проектирането и по подразбиране, както и киберсигурността като цяло, са ключови елементи на Регламент (ЕС) 2016/679. Като защитават потребителите и организациите от киберрискове, съществените изисквания за киберсигурността, установени в настоящия регламент, трябва също така да допринесат за подобряване на защитата на личните данни и неприкосновеността на личния живот на гражданите. Следва да се обмисли възможността за полезно взаимодействие както по отношение на стандартизацията, така и по отношение на сертифицирането на аспектите на киберсигурността чрез сътрудничеството между Комисията, европейските организации за стандартизация, Агенцията на Европейския съюз за киберсигурност (ENISA), Европейския комитет по защита на данните (ЕКЗД), създаден с Регламент (ЕС) 2016/679, и националните надзорни органи за защита на личните данни. Полезни взаимодействия между настоящия регламент и правото на Съюза в областта на защитата на личните данни следва да се създадат и в областта на надзора на пазара и правоприлагането. За тази цел националните органи за надзор на пазара, определени съгласно настоящия регламент, следва да си сътрудничат с органите за надзор на правото на Съюза в областта на защитата на данни. Последните следва също така да имат достъп до информация, която е от значение за изпълнението на техните задачи.

(18) Доколкото техните продукти попадат в обхвата на настоящия регламент, издателите на портфейли за европейска цифрова самоличност, както е посочено в [член 6а, параграф 2 от Регламент (ЕС) № 910/2014, изменен с Предложение за регламент за изменение на Регламент (ЕС) № 910/2014 по отношение на създаването на рамка за европейска цифрова самоличност], следва да отговарят както на хоризонталните съществени изисквания, установени с настоящия регламент, така и на специфичните изисквания за сигурност, установени с [член 6а от Регламент (ЕС) № 910/2014, изменен с Предложение за регламент за изменение на Регламент (ЕС) № 910/2014 по отношение на създаването на рамка за европейска цифрова самоличност]. За да се улесни спазването на изискванията, издателите на портфейли следва да могат да докажат съответствието на портфейлите за европейска цифрова самоличност с изискванията, определени съответно в двата акта, като сертифицират своите продукти по европейска схема за сертифициране на киберсигурността, създадена съгласно Регламент (ЕС) 2019/881 и за която Комисията e определила чрез акт за изпълнение презумпция за съответствие с настоящия регламент, доколкото сертификатът или части от него покриват тези изисквания.

(18a) При възлагането на поръчки за продукти с цифрови елементи държавите членки следва да дават приоритет на продукти с високо ниво на киберсигурност и подходящ срок на поддръжка на сигурността на продуктите, за да подобрят способността си за справяне с киберзаплахи и да гарантират ефективното използване на публичните ресурси. Освен това държавите членки следва да гарантират, че производителите отстраняват възможно най-бързо и в спешен порядък уязвимостите, които засягат продуктите с цифрови елементи, доставяни в рамките на обществени поръчки, когато рисковият профил на тези продукти сочи значителен риск.

(19) Някои задачи, предвидени в настоящия регламент, следва да се изпълняват от ENISA в съответствие с член 3, параграф 2 от Регламент (ЕС) 2019/881. По-специално ENISA следва да получава уведомления от производителите за активно експлоатирани уязвимости, съдържащи се в продукти с цифрови елементи, както и за значителни инциденти, които оказват въздействие върху сигурността на тези продукти. Уязвимостите, за които се изисква задължително докладване, засягат случаите, в които даден участник извършва изпълнение на зловреден код за продукт с цифрови елементи, за да наруши защитата, например чрез използване на слабости във функциите за идентификация и удостоверяване. Уязвимостите, които се откриват без злонамереност за целите на добросъвестното тестване, разследване, коригиране или оповестяване, за да се насърчава сигурността или безопасността на собственика на системата и нейните ползватели, не следва да подлежат на задължение за уведомяване. Значителен инцидент, който оказва въздействие върху сигурността на продукта с цифрови елементи, се отнася до киберинцидент, който може сериозно да засегне процесите на разработване, производство и поддръжка на производителя и който от своя страна може да окаже значително въздействие върху сигурността на продуктите Такъв значителен инцидент би могъл да включва ситуация, при която нападателят успешно е компрометирал канала, чрез който производителят предоставя на ползвателите актуализации на защитата.

(19a) ENISA следва също така да препраща тези уведомления до съответните екипи за реагиране при инциденти с компютърната сигурност (ЕРИКС) или съответно до съответните единни звена за контакт на държавите членки, определени в съответствие с [член X] от Директива (ЕС) 2022/2555, и да информира съответните органи за надзор на пазара за уязвимостта, за която е получено уведомление. ENISA следва да гарантира, че тези уведомления се получават, съхраняват и предават по защитени канали и че са въведени ясни протоколи по отношение на това кой може да има достъп до тях и по отношение на договореностите за тяхното последващо предаване. ENISA следва да гарантира поверителността на тези уведомления, по-специално по отношение на уязвимостите, за които все още не е налична актуализация на защитата. Въз основа на събраната информация ENISA следва да изготвя двугодишен технически доклад за нововъзникващите тенденции по отношение на киберрисковете в продуктите с цифрови елементи и да го представя на групата за сътрудничество за МИС, посочена в Директива (ЕС) 2022/2555. Освен това, като се имат предвид нейният експертен опит и мандат, ENISA следва да може да подкрепя процеса по правоприлагането на настоящия регламент. По-специално, тя следва да може да предлага съвместни дейности, които да бъдат провеждани от органите за надзор на пазара въз основа на признаци или информация относно потенциално несъответствие с настоящия регламент на продукти с цифрови елементи в няколко държави членки, или да определя категориите продукти, за които следва да се организират едновременни координирани контролни действия. При извънредни обстоятелства по искане на Комисията ENISA следва да може да извършва оценки по отношение на конкретни продукти с цифрови елементи, които представляват значителен киберриск, когато е необходима незабавна намеса за запазване на доброто функциониране на вътрешния пазар.

(20) Продуктите с цифрови елементи следва да носят маркировката „СЕ“, указваща по видим, четлив и незаличим начин тяхното съответствие с настоящия регламент с цел свободно движение в рамките на вътрешния пазар. Държавите членки следва да не създават необосновани пречки пред пускането на пазара на продукти с цифрови елементи, които съответстват на изискванията, предвидени в настоящия регламент, и носят маркировката „СЕ“. Освен това, по време на търговски панаири, изложения и демонстрации или други подобни събития държавите членки не възпрепятстват представянето и използването на прототипен продукт с цифрови елементи.

(21) За да се гарантира, че производителите могат да пускат софтуер за целите на тестването, преди да подложат продуктите си на оценяване на съответствието, държавите членки следва да не възпрепятстват предлагането в непроизводствена версия на незавършен софтуер, като например алфа версии, бета версии или кандидати за пускане на пазара, при условие че версията се предоставя само за времето, необходимо за нейното изпитване и събиране на обратна информация. Производителите следва да гарантират, че софтуерът, който се предоставя при тези условия, се пуска само след оценка на риска и че той отговаря във възможно най-голяма степен на изискванията за сигурност, свързани с характеристиките на продуктите с цифрови елементи, наложени с настоящия регламент. Производителите следва също така да прилагат във възможно най-голяма степен изискванията за отстраняване на уязвимостите. Производителите следва да не принуждават ползвателите да надграждат до версии, пуснати само за целите на изпитването.

(22) С цел да се гарантира, че когато се пускат на пазара, продуктите с цифрови елементи не създават киберрискове за хората и организациите, следва да се определят съществени изисквания за такива продукти. Когато продуктите впоследствие бъдат изменени с физически или цифрови средства по начин, който не е предвиден от производителя, и това може да означава, че те вече не отговарят на съответните съществени изисквания, изменението следва да се смята за съществено. Например необходимите актуализации на защитата, софтуерните актуализации или ремонтите, например незначителни корекции на изходния код, които могат да подобрят защитата, не следва да се разглеждат като съществени изменения, при условие че те не променят вече пуснатия на пазара продукт по начин, по който може да бъде засегнато съответствието с приложимите изисквания или да бъде променена предвидената употреба, за която продуктът е бил оценен. Обикновено такъв е случаят с новите версии на софтуера, които имат за цел подобряване на ефективността и отстраняване на уязвимостите. Незначителни актуализации на функционалността, като например визуални подобрения, добавяне на нови езици към потребителския интерфейс или на нов набор от пиктограми, по принцип не следва да се считат за съществени изменения. Както и в случая с физическите ремонти или изменения, даден продукт с цифрови елементи следва да се счита за съществено изменен чрез промяна на софтуера, когато актуализацията на софтуера променя първоначално предвидените функции, типа или експлоатационните характеристики на продукта и тези промени не са били предвидени в първоначалната оценка на риска, или естеството на опасността се е променило, или нивото на риска се е увеличило поради актуализацията на софтуера, какъвто е по принцип случаят с преразглежданията на софтуера. Комисията следва да издаде насоки за това как да се определи какво съставлява съществено изменение.

(23) В съответствие с общоприетото понятие за съществено изменение за продукти, регулирани от законодателството на Съюза за хармонизация, когато настъпи съществено изменение, което може да повлияе на съответствието на даден продукт с настоящия регламент, или когато се промени предназначението на този продукт, е целесъобразно да се провери съответствието на продукта с цифровите елементи и, когато е приложимо, той да бъде подложен на ново оценяване на съответствието. Когато е приложимо, ако производителят извършва оценяване на съответствието с участието на трета страна, за промените, които могат да доведат до съществени изменения, следва да се уведоми третата страна.

(24) Обновяването, поддръжката и ремонтът на продукт с цифрови елементи, както е определено в [Регламент за екопроектиране], не водят непременно до съществено изменение на продукта, например ако предвидената употреба и функционалните възможности не се променят и нивото на риска остава същото. Осъвременяването на продукта от страна на производителя обаче може да доведе до промени в проектирането и разработването на продукта и следователно може да повлияе на предвидената употреба и съответствието на продукта с определените в настоящия регламент изисквания.

(25) Продуктите с цифрови елементи следва да се считат за критични, ако отрицателното въздействие от използването на потенциални уязвимости в киберсигурността на продукта може да бъде сериозно поради, наред с другото, функционалните възможности, свързани с киберсигурността или предвидената употреба. По-специално, уязвимостите в продуктите с цифрови елементи, които имат свързани с киберсигурността функционални възможности, като например защитени елементи, могат да доведат до разпространение на проблеми със сигурността по цялата верига на доставките. Сериозността на въздействието на киберинцидент може да се увеличи и когато се вземе предвид предвидената употреба на продукта, например в промишлена среда или в контекста на основен субект от вида, посочен в [приложение I] към Директива (ЕС) 2022/2555, или ▌ изпълнението на критични или чувствителни функции, които засягат здравето, безопасността или основните права.

(26) Критичните продукти с цифрови елементи следва да подлежат на по-строги процедури за оценяване на съответствието, като се запази пропорционален подход. За тази цел критичните продукти с цифрови елементи следва да бъдат разделени на два класа, които отразяват нивото на киберриска, свързан с тези категории продукти. Потенциален киберинцидент, свързан с продукти от клас II, може да доведе до по-големи отрицателни въздействия, отколкото инцидент, свързан с продукти от клас I, например поради естеството на тяхната функция, свързана с киберсигурността, или предвидената им употреба във високорискова среда и поради това следва да се подложи на по-строга процедура за оценяване на съответствието.

(27) Категориите критични продукти с цифрови елементи, посочени в приложение III към настоящия регламент, следва да се разбират като продукти, които имат основни функционални възможности от типа, посочен в приложение III към настоящия регламент. Например в приложение III към настоящия регламент са изброени продукти, които по своите функционални възможности се определят като микропроцесори с общо предназначение от клас I. В резултат на това микропроцесорите с общо предназначение подлежат на задължително оценяване на съответствието от трета страна. Това не се отнася за други продукти, които не са изрично посочени в приложение III към настоящия регламент и които могат да включват микропроцесор с общо предназначение. Комисията следва да приеме делегирани актове [до 6 месеца от влизането в сила на настоящия регламент], за да уточни определенията на продуктовите категории, обхванати от клас I и клас II, както е посочено в приложение III. С цел да се гарантира правна яснота и сигурност, както и предвидимост за заинтересованите лица при спазването на настоящия регламент, измененията на списъка в приложение III следва да бъдат направени най-рано две години след влизането в сила на настоящия регламент и отново най-рано две години след това. Комисията следва да установи процес, при който продукт, който е кандидат да бъде критичен продукт, може да бъде прегледан в процес на сътрудничество от всички съответни заинтересовани страни, включително производители и потребители, за да се прецени какъв е рискът за сигурността, породен от потенциални проблеми с киберсигурността на продукта, дали и доколко определянето на продукта като критичен би намалило този риск, както и какви са разходите, свързани с определянето на продукта като критичен, преди да приеме относимите делегирани актове.

(27a) Комисията следва да създаде експертна група по киберустойчивост („Експертната група“) с широк и разнообразен кръг от членове. Експертната група следва да подкрепя Комисията, за да се гарантира правилното прилагане на настоящия регламент, например като съветва Комисията относно евентуални изменения на списъка на критичните продукти, представен в приложение III, или като анализира по какъв начин европейските и международните стандарти могат да позволят изпълнението на съществените изисквания на настоящия регламент. Комисията следва да се консултира с експертната група и да провежда обществени консултации при изготвянето на делегирани актове и актове за изпълнение съгласно настоящия регламент, за да се гарантира, че всички заинтересовани лица могат да предоставят необходимия принос.

(28) В настоящия регламент киберрисковете са целенасочено разгледани. Продуктите с цифрови елементи обаче могат да представляват други рискове, които не са винаги свързани с киберсигурността, но могат да бъдат следствие от нарушение на сигурността. Тези рискове следва да продължат да се регулират от друго приложимо законодателство на Съюза относно продуктите. Ако не е приложимо друго законодателство на Съюза за хармонизация, те следва да бъдат предмет на Регламент (ЕС) 2023/988. Поради това, с оглед на целевия характер на настоящия регламент, като изключение от член 2, параграф 1, трета алинея, буква б) от Регламент (ЕС) 2023/988, глава III, раздел 1, глави V и VII и глави IX—XI от Регламент (ЕС) 2023/988 следва да се прилага за продукти с цифрови елементи по отношение на рисковете, които не са обхванати от настоящия регламент, ако тези продукти не са предмет на специфични изисквания, наложени от друго законодателство на Съюза за хармонизация по смисъла на член 3, точка 25 от Регламент (ЕС) 2023/988.

(29) Продуктите с цифрови елементи, класифицирани като високорискови системи с ИИ съгласно член 6 от Регламент [22] [Регламента относно ИИ], които попадат в обхвата на настоящия регламент, следва да отговарят на съществените изисквания, определени в настоящия регламент. Когато тези високорискови системи с ИИ отговарят на съществените изисквания на настоящия регламент, те следва да се считат за съответстващи на изискванията за киберсигурност, определени в [член 15] от Регламент [Регламента относно ИИ], доколкото тези изисквания са обхванати от ЕС декларацията за съответствие или части от нея, издадена съгласно настоящия регламент. По отношение на процедурите за оценяване на съответствието, свързани със съществените изисквания за киберсигурност на даден продукт с цифрови елементи, обхванат от настоящия регламент и класифициран като високорискова система с ИИ, по правило следва да се прилагат съответните разпоредби на член 43 от Регламент [Регламента относно ИИ] вместо съответните разпоредби на настоящия регламент. Това правило обаче следва да не води до намаляване на необходимото ниво на увереност за критичните продукти с цифрови елементи, обхванати от настоящия регламент. Поради това, като изключение от това правило, високорисковите системи с ИИ, които попадат в обхвата на Регламента [Регламента относно ИИ] и са определени също като критични продукти с цифрови елементи съгласно настоящия регламент и за които се прилага процедурата за оценяване на съответствието въз основа на вътрешен контрол, посочена в приложение VI към Регламент [Регламента относно ИИ], следва да бъдат предмет на разпоредбите за оценяване на съответствието на настоящия регламент, доколкото това се отнася до съществените изисквания на настоящия регламент. В този случай за всички останали аспекти, обхванати от Регламент [Регламента относно ИИ], следва да се прилагат съответните разпоредби за оценяване на съответствието въз основа на вътрешен контрол, посочени в приложение VI към Регламент [Регламента относно ИИ].

(30) Машиностроителните изделия, попадащи в обхвата на Регламент (ЕС) 2023/1230 на Европейския парламент и на Съвета [23], които са продукти с цифрови елементи по смисъла на настоящия регламент и за които е издадена декларация за съответствие въз основа на настоящия регламент, следва да се считат за съответстващи на съществените изисквания за здраве и безопасност, определени в [приложение III, раздели 1.1.9 и 1.2.1] към Регламент (ЕС) 2023/1230, по отношение на защитата срещу корупция и безопасността и надеждността на системите за управление, доколкото съответствието с тези изисквания се доказва от ЕС декларацията за съответствие, издадена съгласно настоящия регламент.

(31) Регламент [Предложение за регламент относно европейското пространство на здравни данни] допълва основните изисквания, определени в настоящия регламент. Поради това системите за електронни здравни досиета („системи за ЕЗД“), попадащи в обхвата на Регламент [Предложение за регламент за европейско пространство на здравни данни], които са продукти с цифрови елементи по смисъла на настоящия регламент, следва също да отговарят на съществените изисквания, определени в настоящия регламент. Техните производители следва да докажат съответствието, както се изисква от Регламент [Предложение за регламент за европейско пространство на здравни данни]. За да се улесни спазването на изискванията, производителите могат да изготвят единна техническа документация, съдържаща изискваните от двата правни акта елементи. Тъй като настоящият регламент не обхваща самия SaaS, системите за ЕЗД, предлагани чрез модела за лицензиране и доставяне на SaaS, не попадат в обхвата на настоящия регламент. По подобен начин системите за ЕЗД, които се разработват и използват вътрешно, не попадат в обхвата на настоящия регламент, тъй като не се предлагат на пазара.

(32) За да се гарантира, че продуктите с цифрови елементи са безопасни както в момента на пускането им на пазара, така и по време на целия им жизнен цикъл, е необходимо да се определят съществени изисквания за отстраняване на уязвимостите и съществени изисквания за киберсигурността, свързани с характеристиките на продуктите с цифрови елементи. Въпреки че производителите следва да спазват всички съществени изисквания, свързани с отстраняването на уязвимостите през целия срок на поддръжка, те следва да определят кои други съществени изисквания, свързани с характеристиките на продукта, са приложими за съответния вид продукт. За тази цел производителите следва да извършат оценка на киберрисковете, свързани с даден продукт с цифрови елементи, за да определят съответните рискове и съответните съществени изисквания, както и за да предоставят своите продукти без уязвимостите, които са вече известни и могат да бъдат използвани и които биха могли да окажат въздействие върху сигурността на тези продукти, както и за да приложат по уместен начин подходящи хармонизирани стандарти, общи спецификации или международни стандарти.

(32a) Производителите следва да определят срока на поддръжка, през който гарантират, че уязвимостите се преодоляват, като надлежно вземат предвид различни критерии, включително очаквания жизнен цикъл на продукта, естеството на самия продукт, наличието на работната среда, очакванията на ползвателите, по-специално потребителите, и когато е възможно, периода на подпомагане на други основни компоненти, интегрирани в продукта. Производителите следва да гарантират, че срокът на поддръжка отразява адекватно необходимостта от насърчаване на киберсигурността на пазара на Съюза и се определя при надлежно отчитане на периода, през който се очаква даден продукт с цифрови елементи да бъде наличен на пазара. Органите за надзор на пазара следва проактивно да гарантират, че производителите прилагат тези критерии по подходящ начин. Органите за надзор на пазара и Комисията следва да събират и анализират данни относно сроковете на поддръжка, определени от производителите, и очаквания жизнен цикъл на продуктите, за да се гарантира, че настоящият регламент постига целта си за насърчаване на киберсигурността на продуктите с цифрови елементи. Тези анализи следва, наред с другото, да служат на Комисията за основа на нейната оценка на настоящия регламент, след като той започне да се прилага.

(32б) Когато това е технически осъществимо, производителите следва да гарантират, че в продуктите с цифрови елементи ясно се прави разграничение между актуализации на сигурността и актуализации на функционалността. Актуализациите на сигурността, предназначени за намаляване на нивото на риск или за отстраняване на потенциални уязвимости, следва да се инсталират автоматично, по-специално в случай на потребителски продукти. Ползвателите следва да запазят възможността да дезактивират тази функция с ясен и лесен за използване механизъм. След като производителят престане да гарантира отстраняването на уязвимостите на продукта с цифрови елементи, той следва да информира потребителите по прост и ясен начин, например чрез показване на уведомление в лесен за разбиране формат.

(32в) Когато производителите определят срок на поддръжка, по-малък от пет години, и вече не предлагат отстраняване на уязвимости за продукта с цифрови елементи, те следва да бъдат в състояние да предоставят своя изходен код на предприятията, които желаят да предоставят актуализации на защитата и други подобни услуги. Този достъп следва да се предоставя само като част от договорно споразумение, което защитава собствеността върху продукта с цифрови елементи и предотвратява разпространението на изходния код в публичното пространство, освен когато такъв код вече е бил предоставен чрез безплатен лиценз с отворен код.

(33) За да се подобри сигурността на продуктите с цифрови елементи, пуснати на вътрешния пазар, е необходимо да се определят съществени изисквания.Тези съществени изисквания следва да не засягат координираните от ЕС оценки на риска на критичните вериги на доставките, установени с ▌ Директива (ЕС) 2022/2555▌, които отчитат както технически, така и, когато е уместно, нетехнически рискови фактори, като например неправомерно влияние от страна на трета държава върху доставчиците. Освен това следва да не се засягат прерогативите на държавите членки да определят допълнителни изисквания, които отчитат нетехнически фактори с цел осигуряване на високо ниво на устойчивост, включително тези, определени в Препоръка (ЕС) 2019/534, в координираната оценка на риска за сигурността на 5G мрежите в целия Съюз и в набора от инструменти на ЕС за киберсигурност на 5G, договорени от групата за сътрудничество в областта за МИС, както е посочено в Директива (ЕС) 2022/2555.

(34) За да се гарантира, че на националните ЕРИКС и на единното звено за контакт, определени в съответствие ▌ Директива (ЕС) 2022/2555, се предоставя необходимата информация за изпълнение на техните задачи и за повишаване на цялостното ниво на киберсигурност на съществените и важните субекти, както и за да се осигури ефективното функциониране на органите за надзор на пазара, производителите на продукти с цифрови елементи следва да уведомяват ENISA за уязвимости, които се използват активно. Тъй като повечето продукти с цифрови елементи се предлагат на целия вътрешен пазар, всяка използвана уязвимост в даден продукт с цифрови елементи следва да се счита за заплаха за функционирането на вътрешния пазар. Производителите следва да разкриват фиксирани уязвимости в европейската база данни за уязвимости, създадена съгласно Директива (ЕС) 2022/2555 и управлявана от ENISA▌. ENISA следва също да публикува уязвимостите, за които е получено уведомление, в европейската база данни за уязвимости и следва да разполага с подходяща процедура по отношение на процеса на публикуване, за да даде на производителите време да разработят необходимите актуализации на защитата, а на потребителите – време да ги приложат или да предприемат други корективни или смекчаващи мерки. Европейската база данни за уязвимости следва да подпомага производителите при откриването на известни уязвимости, открити в техните продукти, за да се гарантира, че на пазара се пускат защитени продукти.

(34a) Съюзът трябва да увеличи максимално ползите от своята икономическа отвореност, като същевременно сведе до минимум рисковете от икономическата зависимост от високорискови доставчици чрез обща стратегическа рамка за икономическата сигурност на Съюза [24]. Зависимостта от високорискови доставчици на критични продукти с цифрови елементи съставлява стратегически риск, който следва да бъде разгледан на равнището на Съюза, особено когато критичните продукти с цифрови елементи са предназначени за използване от съществени субекти от вида, посочен в Директива (ЕС) 2022/2555. Тези рискове могат да бъдат свързани с юрисдикцията, приложима за производителя, характеристиките на неговата корпоративна собственост и връзките на контрол с правителство на трета държава, където е установен, по-специално дали дадена държава участва в икономически шпионаж и нейното законодателство задължава произволен достъп до всякакъв вид операции или данни на дружеството, включително чувствителни от търговска гледна точка данни, и може да налага задължения за целите на разузнаването без демократична взаимозависимост и взаимоограничаване, механизъм за надзор, справедлив процес или право на обжалване пред независим съдебен орган. Органите за надзор на пазара и Комисията следва да предоставят насоки и целенасочени препоръки на икономическите оператори, за да се гарантира, че са предприети подходящи коригиращи действия, когато има достатъчно основания да се счита, че даден продукт с цифрови елементи представлява значителен киберриск с оглед на такива нетехнически рискови фактори.

(35) Производителите следва също така да докладват на ENISA за всеки значителен инцидент, който оказва въздействие върху сигурността на продукта с цифрови елементи. Независимо от задълженията за докладване на инциденти в Директива (ЕС) 2022/2555 за съществени и важни субекти, от решаващо значение за ENISA, единните звена за контакт, определени от държавите членки в съответствие с член [член X] от Директива (ЕС) 2022/2555, и органите за надзор на пазара е да получават информация от производителите на продукти с цифрови елементи, която да им позволи да оценят сигурността на тези продукти. С цел да се гарантира, че ползвателите могат да реагират бързо на значителни инциденти, които оказват въздействие върху сигурността на техните продукти с цифрови елементи, производителите следва също така да информират своите ползватели за всеки такъв инцидент и, когато е приложимо, за всички корективни мерки, които ползвателите могат да приложат, за да намалят въздействието на инцидента, например чрез публикуване на съответната информация на своите уебсайтове или, когато производителят е в състояние да се свърже с ползвателите и когато това е оправдано от рисковете, като се обърне директно към ползвателите.

(35a) Производителите и другите субекти и участници също следва да могат да докладват на ENISA, на доброволна основа, за други инциденти с киберсигурността, киберзаплахи и ситуации, близки до инциденти, както и за всяка друга уязвимост.

(35б) ENISA следва да създаде сигурен цифров механизъм за докладване, който, за да се опрости докладването за производителите, следва да служи като единна входна точка за задълженията за докладване, установени съгласно настоящия регламент. Производителите на продукти с цифрови елементи често се оказват в положение, при което даден инцидент трябва да бъде докладван поради конкретните му характеристики на различни органи в резултат на задължения за уведомяване, включени в различни правни инструменти. Механизмът би могъл, когато е възможно, да позволи докладването, изисквано по други законодателни актове на Съюза, като например Регламент (ЕС) 2016/679, Директива (ЕС) 2022/2555 и Директива № 2002/58/ЕО на Европейския парламент и на Съвета [25], да се извършва чрез същия механизъм. Механизмът може да се използва и за доброволни уведомления от производители и други субекти и участници. ENISA следва да гарантира, че те разполагат с процедури за работа с класифицирана информация по сигурен и поверителен начин.

(35в) В някои държави членки субектите и физическите лица, които проучват уязвимостите, могат да бъдат изложени на наказателна и гражданска отговорност. Комисията следва да издаде насоки по отношение на отказа от наказателно преследване на изследователите в областта на информационната сигурност и освобождаване от гражданска отговорност за тези дейности.

(36) Производителите на продукти с цифрови елементи следва да въведат политики за координирано оповестяване на уязвимости, за да улеснят докладването на уязвимости от физически или юридически лица или пряко на производителя, или непряко, а при поискване анонимно — чрез ЕРИКС, определени за координатор за целите на координираното оповестяване на уязвимости в съответствие с член 12, параграф 1 от Директива (ЕС) 2022/2555. В политиката на производителите за координирано оповестяване на уязвимости следва да се посочи структуриран процес, чрез който уязвимостите се съобщават на производителя по начин, който му позволява да диагностицира и отстрани такива уязвимости, преди подробната информация за уязвимостите да бъде разкрита на трети страни или на обществеността. Предвид факта, че информацията за уязвимости, които могат да бъдат използвани в широко разпространени продукти с цифрови елементи, може да бъде продадена на високи цени на черния пазар, производителите на такива продукти следва да могат да използват програми, като част от своите политики за координирано оповестяване на уязвимости, за стимулиране на докладването на уязвимости, като гарантират, че физическите или юридическите лица получават признание и компенсация за усилията си (т.нар. „програми за награда за откриване на уязвимости“).

(36a) Държавите членки и ENISA следва да гарантират, че уязвимостите, докладвани съгласно настоящия регламент, не се използват от публичните органи за целите на разузнаване, наблюдение или нападение.

(37) За да се улесни анализът на уязвимостта, производителите следва да установят и документират компонентите, които се съдържат в продуктите с цифрови елементи, включително чрез изготвяне на опис на софтуерните компоненти. Описът на софтуерните компоненти може да предостави на тези, които произвеждат, купуват и работят със софтуер, информация, която подобрява разбирането им за веригата на доставките, което има множество предимства, като най-вече помага на производителите и ползвателите да проследяват нововъзникващи уязвимости и рискове. Особено важно е производителите да гарантират, че техните продукти не съдържат уязвими компоненти, разработени от трети страни. Производителят обаче не следва да бъде задължен да оповестява публично описа на софтуерните компоненти, тъй като това може да има непредвидени последици върху киберсигурността на неговите продукти с цифрови елементи.

(38) С цел да се улесни оценяването на съответствието с изискванията, определени в настоящия регламент, следва да има презумпция за съответствие за продукти с цифрови елементи, които са в съответствие с хармонизирани стандарти, които превръщат съществените изисквания на настоящия регламент в подробни технически спецификации и които са приети в съответствие с Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета [26]. Регламент (ЕС) № 1025/2012 предвижда процедура за възражения срещу хармонизирани стандарти, когато тези стандарти не отговарят напълно на изискванията на настоящия регламент. Процесът на стандартизация следва да гарантира балансирано представяне на интересите и ефективно участие на заинтересованите страни от гражданското общество, включително организациите на потребителите. Следва да се вземат предвид и международните стандарти, за да се опрости разработването на хармонизирани стандарти и прилагането на настоящия регламент, както и да се намалят нетарифните технически пречки пред търговията.

(38a) Като се има предвид широкият обхват на настоящия регламент, навременното разработване на хармонизирани стандарти представлява значително предизвикателство. Комисията следва да гарантира, че хармонизираните стандарти ще бъдат въведени до датата на прилагане на настоящия регламент, за да се гарантира успешното му изпълнение.

(39) С Регламент (ЕС) 2019/881 се създава доброволна Европейска рамка за сертифициране на киберсигурността на продукти, процеси и услуги в областта на ИКТ. Европейските схеми за сертифициране на киберсигурността могат да осигурят обща рамка на доверие, за да могат потребителите да използват продуктите с цифрови елементи, обхванати от настоящия регламент. Ето защо следва да бъдат създадени полезни взаимодействия между настоящия регламент и Регламент (ЕС) 2019/881. С цел да се улесни оценяването на съответствието с изискванията, определени в настоящия регламент, за продуктите с цифрови елементи, които са сертифицирани или за които е издадена ЕС декларация за съответствие по схема за киберсигурност съгласно Регламент (ЕС) 2019/881 и които са били определени от Комисията в акт за изпълнение, се приема, че съответстват на съществените изисквания на настоящия регламент, доколкото сертификатът за киберсигурност или декларацията за съответствие, или части от тях покриват тези изисквания. Необходимостта от нови европейски схеми за сертифициране на киберсигурността за продукти с цифрови елементи следва да бъде оценена с оглед на настоящия регламент. Такива бъдещи европейски схеми за сертифициране на киберсигурността, които обхващат продукти с цифрови елементи, следва да отчитат съществените изисквания, както са определени в настоящия регламент, и да улесняват съответствието с него. На Комисията следва да бъде предоставено правомощието да определи чрез делегирани актове европейските схеми за сертифициране на киберсигурността, които могат да се използват за доказване на съответствие за продукти с цифрови елементи със съществените изисквания, определени в настоящия регламент. Освен това, за да се избегне ненужна административна тежест за производителите, не следва да има задължение за производителите да извършват оценка на съответствието от трета страна, както е предвидено в настоящия регламент за съответните изисквания, когато сертификат за киберсигурност е издаден съгласно такива европейски схеми за сертифициране на киберсигурността, на значително или на високо равнище.

(39a) За да се улесни спазването на настоящия регламент, Комисията следва да актуализира непрекъснатата работна програма на Съюза и да поиска от ENISA да подготви липсващите проекти за схеми в съответствие с член 48 от Регламент (ЕС) 2019/881.

(40) След влизането в сила на акта за изпълнение за определяне на [Регламент за изпълнение (ЕС) № .../... на Комисията от XXXХ г. относно европейската схема за сертифициране на киберсигурността (ЕССК), основана на общи критерии], който се отнася до хардуерни продукти, обхванати от настоящия регламент, като например хардуерни модули за сигурност и микропроцесори, Комисията може да уточни чрез акт за изпълнение по какъв начин ЕССК предоставя презумпция за съответствие със съществените изисквания, посочени в приложение I към настоящия регламент, или с части от тях. Освен това в такъв акт за изпълнение може да се уточни по какъв начин сертификатът, издаден съгласно ЕССК, премахва задължението за производителите да извършват оценка от трета страна, както се изисква от настоящия регламент, за съответните изисквания.

(41) Когато не са приети хармонизирани стандарти или когато хармонизираните стандарти не отговарят в достатъчна степен на съществените изисквания на настоящия регламент, Комисията следва да може да приема общи спецификации чрез делегирани актове, след като вземе предвид международните стандарти. Този вариант следва да се разглежда изключително като „резервно“ решение, когато процесът на стандартизация е блокиран, когато има неоправдано забавяне при установяването на подходящи хармонизирани стандарти или когато резултатите не отговарят на първоначалното искане на Комисията. С цел да се улесни оценяването на съответствието със съществените изисквания, определени в настоящия регламент, следва да има презумпция за съответствие за продукти с цифрови елементи, които са в съответствие с общите спецификации, приети от Комисията съгласно настоящия регламент за целите на представянето на подробни технически спецификации на тези изисквания.

(42) Производителите следва да изготвят ЕС декларация за съответствие, за да предоставят изискваната съгласно настоящия регламент информация относно съответствието на продуктите с цифрови елементи със съществените изисквания на настоящия регламент и, когато е приложимо, на другото приложимо законодателство на Съюза за хармонизация, което обхваща продукта. От производителите може също така да се изисква да изготвят ЕС декларация за съответствие съгласно друго законодателство на Съюза. За да се гарантира ефективен достъп до информация за целите на надзора на пазара, следва да се изработи единна ЕС декларация за съответствие за всички съответни актове на Съюза. За да се намали административната тежест за икономическите оператори, следва да е възможно тази единна ЕС декларация за съответствие да представлява досие, включващо относимите отделни декларации за съответствие.

(43) Маркировката „СЕ“, указваща съответствието на продукта, е видимата последица от цял един процес, включващ оценяване на съответствието в широк смисъл. Основните принципи относно маркировката „СЕ“ са установени в Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета [27]. Правилата за нанасяне на маркировката „СЕ“ върху продукти с цифрови елементи следва да бъдат определени в настоящия регламент. Маркировката „CE“ следва да бъде единствената маркировка, гарантираща съответствието на продуктите с цифрови елементи с изискванията на настоящия регламент.

(44) За да се даде възможност на икономическите оператори да докажат съответствието си със съществените изисквания, определени в настоящия регламент, както и за да се даде възможност на органите за надзор на пазара да гарантират, че предлаганите на пазара продукти с цифрови елементи отговарят на тези изисквания, е необходимо да се предвидят процедури за оценяване на съответствието. В Решение № 768/2008/ЕО на Европейския парламент и на Съвета [28] са установени модули за процедури за оценяване на съответствието, пропорционални на нивото на риска и на изискваното ниво на сигурност. За да се осигури междусекторна съгласуваност и да се избегнат допълнителни варианти, процедурите за оценяване на съответствието, подходящи за проверка на съответствието на продуктите с цифрови елементи със съществените изисквания, определени в настоящия регламент, се основават на тези модули. Процедурите за оценяване на съответствието следва да разглеждат и проверяват както свързаните с продукта, така и с процеса изисквания, обхващащи целия жизнен цикъл на продуктите с цифрови елементи, включително планирането, проектирането, разработването или производството, изпитването и поддръжката на продукта.

(45) Като общо правило оценяването на съответствието на продукти с цифрови елементи следва да бъде основано на риска и в повечето случаи да се извършва от производителя на негова отговорност, като се следва процедурата, основана на модул A от Решение 768/2008/ЕО. Производителят следва да запази гъвкавостта си да избере по-строга процедура за оценяване на съответствието с участието на трета страна. Ако продуктът е класифициран като критичен продукт от клас I, се изисква допълнителна гаранция за доказване на съответствието със съществените изисквания, определени в настоящия регламент. Производителят следва да прилага хармонизирани стандарти, общи спецификации или схеми за сертифициране на киберсигурността съгласно Регламент (ЕС) 2019/881, които са определени от Комисията в акт за изпълнение, ако иска да извърши оценяване на съответствието на своя отговорност (модул А). Ако тези хармонизирани стандарти, общи спецификации или схеми за сертифициране на киберсигурността са въведени за минимален период от време, който позволява на производителите да ги приемат и производителят не ги прилага, той следва да извърши оценяване на съответствието с участието на трета страна. Като се има предвид административната тежест за производителите и фактът, че киберсигурността играе важна роля в етапа на проектиране и разработване на материални и нематериални продукти с цифрови елементи, процедурите за оценяване на съответствието, основани съответно на модули В+С или модул H от Решение 768/2008/ЕО, бяха избрани като най-подходящи за оценяване на съответствието на критични продукти с цифрови елементи по пропорционален и ефективен начин. Производителят, който извършва оценяване на съответствието от трета страна, може да избере процедурата, която най-добре отговаря на неговия процес по проектиране и производство. Предвид още по-големия киберриск, свързан с използването на продукти, класифицирани като критични продукти от клас II, в оценяването на съответствието винаги трябва да участва трета страна.

(46) Докато създаването на материални продукти с цифрови елементи обикновено изисква от производителите да положат значителни усилия през етапите на проектиране, разработване и производство, създаването на продукти с цифрови елементи под формата на софтуер се съсредоточава почти изключително върху проектирането и разработването, а етапът на производство играе второстепенна роля. Въпреки това в много случаи софтуерните продукти все още трябва да бъдат компилирани, създадени, пакетирани, предоставени за изтегляне или копирани на физически носител, преди да бъдат пуснати на пазара. Тези дейности следва да се разглеждат като дейности, равностойни на производство, когато се прилагат съответните модули за оценяване на съответствието, за да се провери съответствието на продукта със съществените изисквания на настоящия регламент в етапите на проектиране, разработване и производство.

(47) С цел извършване на оценяване на съответствието на продукти с цифрови елементи от трета страна, националните нотифициращи органи следва да уведомят Комисията и другите държави членки за органите за оценяване на съответствието, при условие че те отговарят на набор от изисквания, по-специално за независимост, компетентност и липса на конфликт на интереси.

(48) С цел осигуряване на сходно ниво на качеството при оценяването на съответствието на продукти с цифрови елементи, е необходимо също така да се определят изискванията за нотифициращите органи и другите органи, участващи в оценяването, нотифицирането и наблюдението на нотифицираните органи. Системата, установена в настоящия регламент, следва да се допълни със системата за акредитация, предвидена в Регламент (ЕО) № 765/2008. Тъй като акредитацията е важно средство за проверка на компетентността на органите за оценяване на съответствието, тя също следва да бъде използвана за целите на нотифицирането.

(49) Прозрачната акредитация, предвидена в Регламент (ЕО) № 765/2008, осигуряваща необходимото ниво на доверие в сертификатите за съответствие, следва да се разглежда от националните органи на публичната власт в целия Съюз като предпочитано средство за доказване на техническата компетентност на органите за оценяване на съответствието. Въпреки това, националните органи могат да счетат, че притежават подходящите средства сами да извършват тази оценка. В такива случаи, с цел да се гарантира подходящото ниво на доверие в оценките, извършвани от други национални органи, те следва да предоставят на Комисията и на другите държави членки необходимите документи, доказващи съответствието на оценените органи за оценяване на съответствието с приложимите регулаторни изисквания.

(50) Органите за оценяване на съответствието често възлагат части от своите дейности, свързани с оценяването на съответствието, на подизпълнители, или използват свои поделения за тази цел. С цел запазване нивото на защита, изисквано за продуктите с цифрови елементи, които се пускат на пазара, е от съществено значение подизпълнителите и поделенията, извършващи оценяване на съответствието, да отговарят на същите изисквания като нотифицираните органи във връзка с изпълнението на задачи по оценяване на съответствието.

(51) Уведомлението за орган за оценяване на съответствието следва да бъде изпратено от нотифициращия орган до Комисията и другите държави членки чрез информационната система NANDO (информационна система за нотифицираните и определените организации по Новия подход). NANDO е средство за електронно нотифициране, разработено и управлявано от Комисията, в което може да се намери списък на всички нотифицирани органи.

(52) Тъй като нотифицираните органи могат да предлагат своите услуги в целия Съюз, е целесъобразно да се даде възможност на другите държави членки и на Комисията да повдигат възражения относно нотифициран орган. Следователно е важно да се определи срок, през който всякакви съмнения или съображения относно компетентността на органите за оценяване на съответствието да бъдат изяснени, преди те да започнат да функционират като нотифицирани органи.

(53) В интерес на конкурентоспособността е от съществено значение нотифицираните органи да прилагат процедурите за оценяване на съответствието, без да се създава ненужна тежест за икономическите оператори, по-специално за микропредприятията и за малките и средните предприятия. В това отношение държавите членки, с подкрепата на Комисията, следва да гарантират наличието на достатъчно квалифицирани специалисти, за да се гарантира, че нотифицираните органи могат да извършват дейностите си ефективно, като по този начин свеждат до минимум възможните пречки, избягват затрудненията и улесняват спазването на настоящия регламент от страна на икономическите оператори. По същата причина, както и за да се гарантира еднаквото третиране на икономическите оператори, трябва да се осигури съответствие в техническото прилагане на процедурите за оценяване на съответствието. Това следва да се постигне най-добре посредством съответната координация и сътрудничество между нотифицираните органи.

(53a) За да се повиши ефективността и прозрачността, държавите членки следва да гарантират, преди датата на прилагане на настоящия регламент, че в Съюза има достатъчен брой нотифицирани органи за извършване на оценки на съответствието. Комисията следва да наблюдава текущото състояние на пазара и да подпомага държавите членки в това начинание, за да се избегнат затруднения и пречки пред навлизането на пазара.

(54) Надзорът на пазара е основно средство при осигуряването на правилно и еднакво прилагане на законодателството на Съюза. Следователно е необходимо да се създаде правната рамка, в която този надзор ще може да бъде провеждан ефективно. Правилата на Съюза за надзор на пазара и контрол на продуктите, които се въвеждат на пазара на Съюза, предвидени в Регламент (ЕС) 2019/1020 на Европейския парламент и на Съвета [29], се прилагат за продуктите с цифрови елементи, обхванати от настоящия регламент.

(55) В съответствие с Регламент (ЕС) 2019/1020 органите за надзор на пазара осъществяват надзор на пазара на територията на съответната държава членка. Настоящият регламент следва да не възпрепятства държавите членки да избират компетентните органи, които да изпълняват тези задачи. Всяка държава членка следва да определи един или повече органи за надзор на пазара на своята територия. Държавите членки могат да изберат да определят всеки съществуващ или нов орган, който да действа като орган за надзор на пазара, включително националните компетентни органи съгласно ▌Директива (ЕС) 2022/2555, или определените национални органи за сертифициране на киберсигурността, посочени в член 58 от Регламент (ЕС) 2019/881. Икономическите оператори следва да си сътрудничат изцяло с органите за надзор на пазара и с други компетентни органи. Всяка държава членка следва да информира Комисията и другите държави членки за своите органи за надзор на пазара и за областите на компетентност на всеки от тези органи, както и да осигури необходимите ресурси и умения за изпълнение на задачите по надзора, свързани с настоящия регламент. Съгласно член 10, параграфи 2 и 3 от Регламент (ЕС) 2019/1020 всяка държава членка следва да определи единна служба за връзка, която следва да отговаря, наред с другото, за представянето на съгласуваната позиция на органите за надзор на пазара и за подпомагането на сътрудничеството между органите за надзор на пазара в различните държави членки.

(56) Следва да бъде създадена специализирана група за административно сътрудничество (ADCO група) за киберустойчивостта на продукти с цифрови елементи за еднакво прилагане на настоящия регламент в съответствие с член 30, параграф 2 от Регламент (ЕС) 2019/1020. Тази ADCO група следва да бъде съставена от представители на определените органи за надзор на пазара и ако е целесъобразно, от представители на единните служби за връзка. Комисията следва да подкрепя и насърчава сътрудничеството между органите за надзор на пазара чрез Мрежата на Съюза за съответствието на продуктите, създадена въз основа на член 29 от Регламент (ЕС) 2019/1020 и състояща се от представители на всяка държава членка, включително представител на всяка единна служба за връзка, посочени в член 10 от Регламент (ЕС) 2019/1020, и национален експерт по избор, председателите на ADCO групи и представители на Комисията. Комисията следва да участва в заседанията на мрежата, нейните подгрупи и съответната ADCO група. Тя следва също така да подпомага тази ADCO група чрез изпълнителен секретариат, който осигурява техническа и логистична подкрепа.

(57) С цел да се осигурят навременни, пропорционални и ефективни мерки по отношение на продуктите с цифрови елементи, представляващи значителен киберриск, следва да се осигури предпазна процедура на Съюза, в рамките на която заинтересованите страни да бъдат информирани за мерките, които се планира да бъдат предприети по отношение на такива продукти. Вследствие на това също така органите за надзор на пазара ще могат, в сътрудничество със съответните икономически оператори, да предприемат действия на по-ранен етап, когато това е необходимо. Когато между държавите членки и Комисията е постигнато съгласие по отношение на основателността на мярка, предприета от дадена държава членка, не следва да се изисква допълнителна намеса на Комисията, освен когато несъответствието се дължи на недостатъци на хармонизиран стандарт.

(58) В определени случаи даден продукт с цифрови елементи, който е в съответствие с настоящия регламент, може въпреки това да представлява значителен киберриск или риск за здравето или безопасността на хората, за спазването на задълженията по правото на Съюза или националното право, предназначени за защита на основните права, за достъпността, автентичността, целостта или поверителността на услугите, предлагани чрез електронна информационна система от основни субекти от вида, посочен в ▌Директива (ЕС) 2022/2555, или за други аспекти на опазването на обществения интерес. Поради това е необходимо да се установят правила, които да гарантират намаляването на тези рискове. В резултат на това органите за надзор на пазара следва да предприемат мерки, с които да изискат от икономическия оператор да гарантира, че продуктът вече не представлява този риск, да го изземе или да го изтегли, в зависимост от риска. След като орган за надзор на пазара ограничи или забрани свободното движение на продукта по такъв начин, държавата членка следва незабавно да уведоми Комисията и другите държави членки за временните мерки, като посочи причините и основанията за решението. Когато орган за надзор на пазара приема такива мерки срещу продукти, представляващи риск, Комисията следва незабавно да започне консултации с държавите членки и със съответния(те) икономически оператор(и) и да извърши оценка на националната мярка. Въз основа на резултатите от тази оценка Комисията следва да взема решение дали националната мярка е оправдана или не. Комисията следва да адресира решението си до всички държави членки, като го съобщава незабавно на тях и на съответния(те) икономически оператор(и). Ако мярката бъде счетена за обоснована, Комисията може също така да обмисли приемането на предложения за преразглеждане на съответното законодателство на Съюза.

(59) По отношение на продукти с цифрови елементи, представляващи значителен киберриск, и когато има основание да се смята, че те не са в съответствие с настоящия регламент, или по отношение на продукти, които са в съответствие с настоящия регламент, но представляват други съществени рискове, като например рискове за здравето или безопасността на хората, основните права или предоставянето на услуги от основни субекти от вида, посочен в ▌Директива (ЕС) 2022/2555, Комисията може да поиска от ENISA да извърши оценка. Въз основа на тази оценка Комисията може да приеме чрез актове за изпълнение корективни или ограничителни мерки на равнището на Съюза, включително да разпореди изтегляне от пазара или изземване на съответните продукти в разумен срок, съобразен с естеството на риска. Комисията може да прибегне до такава намеса само при извънредни обстоятелства, които оправдават незабавна намеса за запазване на доброто функциониране на вътрешния пазар, и само когато органите за надзор не са предприели ефективни мерки за коригиране на ситуацията. Такива извънредни обстоятелства могат да бъдат извънредни ситуации, когато например несъответстващ на изискванията продукт е широко предлаган от производителя в няколко държави членки, използва се също така в ключови сектори от субекти, които попадат в обхвата на Директива (ЕС) 2022/2555, като същевременно съдържа известни уязвимости, които се използват от злонамерени участници и за които производителят не предоставя налични корекции. Комисията може да се намесва в такива извънредни ситуации само за периода на извънредните обстоятелства и ако несъответствието с настоящия регламент или наличните съществени рискове продължават да съществуват.

(60) В случаите, когато има признаци за неспазване на настоящия регламент в няколко държави членки, органите за надзор на пазара следва да могат да извършват съвместни дейности с други органи с цел проверка на съответствието и установяване на киберрисковете на продуктите с цифрови елементи.

(61) Едновременните координирани действия за контрол („мащабни проверки“) са специфични правоприлагащи действия от органите за надзор на пазара, които могат допълнително да повишат сигурността на продуктите. Мащабните проверки следва да се провеждат по-специално в случаите, когато пазарни тенденции, жалби на потребителите или други признаци сочат, че определени категории продукти често представляват киберрискове. ENISA следва да представи на органите за надзор на пазара предложения за категории продукти, за които следва да бъдат организирани мащабни проверки, наред с другото, въз основа на получените уведомления за уязвимости и инциденти с продукти. Комисията следва също така да координира органите за надзор на пазара в редовните проверки на продукти с цифрови елементи, които може да представляват риск за сигурността на Съюза, включително с оглед на нетехническия рисков фактор.

(62) С цел да се гарантира, че регулаторната рамка може да бъде адаптирана, когато е необходимо, на Комисията следва да се предостави правомощието да приема актове в съответствие с член 290 от Договора по отношение на актуализирането на списъка с критични продукти в приложение III и уточняването на определенията на тези категории продукти. На Комисията следва да бъде предоставено правомощието да приема актове в съответствие с посочения член за определянето на продукти с цифрови елементи, обхванати от други правила на Съюза, които постигат същото ниво на защита като настоящия регламент, като се уточнява дали ще е необходимо ограничение или изключване от обхвата на настоящия регламент, както и обхватът на това ограничение, ако е приложимо. На Комисията следва също така да бъде предоставено правомощието да приема актове в съответствие с посочения член във връзка с уточняването на европейските схеми за сертифициране на киберсигурността, приети съгласно Регламент (ЕС) 2019/881, които може да се използват за доказване на съответствие със съществени изисквания или части от тях съгласно посоченото в приложение I към настоящия регламент, евентуалното въвеждане на задължение за сертифициране на някои продукти с цифрови елементи с висока степен на критичност въз основа на критериите за критичност, посочени в настоящия регламент, както и за определянето на минималното съдържание на ЕС декларацията за съответствие и за допълване на елементите, които трябва да бъдат включени в техническата документация. На Комисията следва също така да бъдат предоставени правомощия да приема делегирани актове, за да определя формàта и елементите на описа на софтуерните компоненти и да определя допълнително формàта и процедурата за уведомленията относно активно използвани уязвимости и значителни инциденти, подавани до ENISA от производителите. Когато е необходимо, на Комисията също така следва да бъдат предоставени правомощия да приема делегирани актове за приемане на общи спецификации по отношение на съществените изисквания, посочени в приложение I. От особена важност е по време на подготвителната си работа Комисията да проведе подходящи консултации, включително на експертно равнище, и тези консултации да се проведат в съответствие с принципите, залегнали в Междуинституционалното споразумение от 13 април 2016 г. за по-добро законотворчество [30]. По-специално, с цел осигуряване на равно участие при подготовката на делегираните актове, Европейският парламент и Съветът получават всички документи едновременно с експертите от държавите членки, като техните експерти получават систематично достъп до заседанията на експертните групи на Комисията, занимаващи се с подготовката на делегираните актове. За целите на изготвянето на делегирани актове съгласно настоящия регламент Комисията следва да се консултира с експертната група по киберустойчивост. Комисията следва също така да провежда редовен структуриран диалог с икономическите оператори и да провежда обществени консултации, наред с другото за целите на оценката на обхвата на настоящия регламент и за това дали определени категории продукти следва да бъдат включени или изключени.

(63) За да се гарантират еднакви условия за изпълнение на настоящия регламент, на Комисията следва да бъдат предоставени изпълнителни правомощия: ▌да определя техническите спецификации за схемите за етикетиране, включително хармонизирани етикети, пиктограми или всякакви други знаци, свързани със сигурността на продуктите с цифрови елементи, и механизмите за насърчаване на тяхното използване, да взема решение за корективни или ограничителни мерки на равнището на Съюза при извънредни обстоятелства, които оправдават незабавна намеса за запазване на доброто функциониране на вътрешния пазар. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета [31].

(64) За да се гарантира надеждно и конструктивно сътрудничество между органите за надзор на пазара на равнището на Съюза и на национално равнище, всички страни, участващи в прилагането на настоящия регламент, следва да зачитат поверителността на информацията и данните, получавани при изпълнението на техните задачи.

(65) За да се гарантира ефективното прилагане на предвидените съгласно настоящия регламент задължения, всеки компетентен орган за надзор на пазара следва да разполага с правомощието да налага или изисква налагането на административни глоби. Поради това следва да бъдат определени максимални размери на административните глоби, които да бъдат предвидени в националните законодателства при неспазване на задълженията, предвидени в настоящия регламент. При вземането на решение относно размера на административната глоба във всеки отделен случай следва да се вземат предвид всички обстоятелства от значение за конкретната ситуация и като минимум тези, които са изрично установени в настоящия регламент, включително дали производителят е микропредприятие, малко или средно предприятие или новосъздадено предприятие и дали други органи за надзор на пазара вече са налагали административни глоби на същия оператор за подобни нарушения. Такива обстоятелства могат да бъдат утежняващи, когато нарушението на същия оператор продължава да се извършва на територията на други държави членки, различни от тази, в която вече е била наложена административна глоба, или смекчаващи, като се гарантира, че всяка друга административна глоба, разглеждана от друг орган за надзор на пазара за същия икономически оператор или за същия вид нарушение, следва вече да отчита, заедно с други съответни конкретни обстоятелства, санкцията и нейния размер, наложени в други държави членки. Във всички такива случаи кумулативната административна глоба, която може да бъде наложена от органите за надзор на пазара на няколко държави членки на един и същ икономически оператор за един и същ вид нарушение, следва да гарантира спазването на принципа на пропорционалност.

(66) При налагане на административни глоби на лица, които не са предприятие, компетентният орган следва да има предвид общото равнище на доход в съответната държава членка, както и икономическото състояние на лицето, когато определя подходящия размер на глобата. Държавите членки следва да определят дали и до каква степен публичните органи следва да подлежат на административни глоби.

(66a) Приходите, генерирани от плащания на глоби, следва да се използват за укрепване на нивото на киберсигурност в рамките на Съюза, включително чрез развиване на капацитет и умения, свързани с киберсигурността, подобряване на киберустойчивостта на икономическите оператори, по-специално на микропредприятията и на малките и средните предприятия и като цяло насърчаване на обществената осведоменост по проблемите в областта на киберсигурността.

(67) В отношенията си с трети държави ЕС се стреми да насърчава международната търговия с регулирани продукти. С оглед улесняване на търговията могат да се прилагат широк спектър от мерки, включително няколко правни инструмента, като например двустранни (междуправителствени) споразумения за взаимно признаване (СВП) за оценка на съответствието и маркиране на регулирани продукти. СВП се сключват между Съюза и трети държави, които се намират на сравнимо ниво на техническо развитие и имат съвместим подход по отношение на оценяването на съответствието. Тези споразумения се основават на взаимното приемане на сертификати, маркировки за съответствие и протоколи от изпитвания, издадени от органите за оценяване на съответствието на една от страните в съответствие със законодателството на другата страна. Понастоящем СВП са в сила за няколко държави. Споразуменията се сключват в редица специфични сектори, които могат да се различават в отделните държави. С цел допълнително улесняване на търговията и като се отчита, че веригите за доставка на продукти с цифрови елементи са глобални, СВП относно оценяването на съответствието могат да бъдат сключени от Съюза за продукти, регулирани от настоящия регламент, в съответствие с член 218 от ДФЕС. Сътрудничеството с партньорски държави също е важно, за да се засили киберустойчивостта в световен мащаб, тъй като в дългосрочен план това ще допринесе за укрепване на рамката за киберсигурност както в ЕС, така и извън него.

(68) Комисията следва периодично да извършва преглед на настоящия регламент, като се консултира с експертната група и другите заинтересовани страни, по-специално с цел установяване на необходимостта от изменения предвид промените в обществените, политическите, технологичните или пазарните условия.

(69) На икономическите оператори следва да се предостави достатъчно време, за да се адаптират към изискванията на настоящия регламент. Настоящият регламент следва да се прилага [36 месеца] от влизането му в сила, с изключение на задълженията за докладване относно активно използвани уязвимости и инциденти, които следва да се прилагат [18 месеца] от влизането в сила на настоящия регламент.

(69a) С настоящия регламент ще бъдат създадени допълнителни разходи за микропредприятията и за малките и средните предприятия, включително новосъздадените предприятия. За да подпомогне тези предприятия, Комисията следва да установи финансова и техническа подкрепа, която да им даде възможност да допринесат за растежа на европейската икономика и европейската среда за киберсигурност, включително чрез рационализиране на финансовата подкрепа от програмата „Цифрова Европа“ и други съответни програми на Съюза, както и чрез подкрепа за дружествата и организациите от публичния сектор посредством европейските цифрови иновационни центрове. Освен това държавите членки следва да разгледат всички възможни допълващи действия, насочени към предоставяне на насоки и подкрепа за микропредприятията и за малките и средните предприятия, включително чрез създаването на регулаторни лаборатории, центрове за киберсигурност и ускорители на новосъздадени предприятия.

(70) Доколкото целта на настоящия регламент не може да бъде постигната в достатъчна степен от държавите членки, а поради последиците от действието може да бъде по-добре постигната на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейския съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящият регламент не надхвърля необходимото за постигането на тази цел.

(71) В съответствие с член 42, параграф 1 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета [32] беше проведена консултация с Европейския надзорен орган по защита на данните, който излезе със становище на 9 ноември 2022 г.[33]

(71a) Комисията следва да измени законодателната финансова обосновка, придружаваща настоящия регламент, като предостави на ENISA девет допълнителни служители в еквивалент на пълно работно време и съответните допълнителни бюджетни кредити, за да изпълнява тя допълнителните си задачи, предвидени в настоящия регламент.

ПРИЕХА НАСТОЯЩИЯ РЕГЛАМЕНТ:

ГЛАВА I

ОБЩИ РАЗПОРЕДБИ

Член 1
Предмет

С настоящия регламент се определят:

(а) правила за предоставянето на пазара на продукти с цифрови елементи, за да се гарантира киберсигурността на тези продукти;

(б) съществени изисквания за проектирането, разработването и производството на продукти с цифрови елементи, както и задължения за икономическите оператори във връзка с тези продукти по отношение на киберсигурността;

(в) съществени изисквания за процесите на отстраняване на уязвимостите, въведени от производителите, за да се гарантира киберсигурността на продуктите с цифрови елементи през целия им жизнен цикъл, и задължения за икономическите оператори във връзка с тези процеси;

(г) правила за мониторинг, надзор на пазара и правоприлагане на горепосочените правила и изисквания.

Член 2
Обхват

1. Настоящият регламент се прилага за всички продукти с цифрови елементи, предоставяни на пазара, които могат да имат пряка или непряка ▌връзка на данни с устройство или мрежа.

2. Настоящият регламент не се прилага за продукти с цифрови елементи, за които се прилагат следните законодателни актове на Съюза:

(а) Регламент (ЕС) 2017/745;

(б) Регламент (ЕС) 2017/746;

(в) Регламент (ЕС) 2019/2144.

3. Настоящият регламент не се прилага за продукти с цифрови елементи, които са сертифицирани в съответствие с Регламент (ЕС) 2018/1139.

3a. Настоящият регламент се прилага за безплатен софтуер с отворен код само когато такъв софтуер се предоставя на пазара в рамките на търговска дейност.

4. Прилагането на настоящия регламент за продукти с цифрови елементи, обхванати от други правила на Съюза, определящи изисквания, които се отнасят до всички или някои от рисковете, обхванати от съществените изисквания, посочени в приложение I, може да бъде ограничено или изключено, когато:

а) това ограничаване или изключване е в съответствие с общата регулаторна рамка, приложима към тези продукти; и

б) секторните правила постигат същото ниво на защита като предвиденото в настоящия регламент.

Комисията има правомощието да приема делегирани актове в съответствие с член 50 за изменение на настоящия регламент, като посочва дали е необходимо такова ограничение или изключване, съответните продукти и правила, както и обхвата на ограничението, ако е приложимо.

4a. Настоящият регламент не се прилага за резервни части, които са произведени изключително с цел замяна на идентични части и които се доставят от производителя на оригиналните продукти с цифрови елементи.

5. Настоящият регламент не се прилага за продукти с цифрови елементи, разработени изключително за целите на националната сигурност или за военни цели, или за продукти, специално предназначени за обработка на класифицирана информация.

Член 3
Определения

За целите на настоящия регламент се прилагат следните определения:

(1) „продукт с цифрови елементи“ означава всеки софтуерен или хардуерен продукт и неговите решения за обработване на данни от разстояние, включително софтуерни или хардуерни компоненти, които ще бъдат пуснати на пазара поотделно;

(2) „обработване на данни от разстояние“ означава всяко обработване на данни от разстояние, за което софтуерът е проектиран и разработен от или от името на производителя ▌и липсата на което би попречила на продукта с цифрови елементи да изпълнява една от своите функции;

(3) „критичен продукт с цифрови елементи“ означава продукт с цифрови елементи, който представлява киберриск в съответствие с критериите, определени в член 6, параграф 2, и чиито основни функционални възможности са посочени в приложение III;

(4) „продукт с цифрови елементи с висока степен на критичност“ означава продукт с цифрови елементи, който представлява киберриск в съответствие с критериите, определени в член 6, параграф 5;

(4a) „киберсигурност“ означава киберсигурност съгласно определението в член 2, точка 1 от Регламент (ЕС) 2019/881;

(5) „оперативна технология“ означава програмируеми цифрови системи или устройства, които взаимодействат с физическата среда, или управляват устройства, които взаимодействат с физическата среда;

(6) „софтуер“ означава частта от електронна информационна система, която се състои от компютърен код;

(7) „хардуер“ означава физическа електронна информационна система или части от нея, които могат да обработват, съхраняват или предават цифрови данни;

(8) „компонент“ означава софтуер или хардуер, предназначен за интегриране в електронна информационна система;

(9) „електронна информационна система“ означава всяка система, включително електрическо или електронно оборудване, способна да обработва, съхранява или предава цифрови данни;

(10) „логическа връзка“ означава виртуална репрезентация на връзка за данни, осъществена чрез софтуерен интерфейс;

(11) „физическа връзка“ означава всяка връзка между електронни информационни системи или компоненти, осъществена чрез физически средства, включително чрез електрически или механични интерфейси, проводници или радиовълни;

(12) „непряка връзка“ означава връзка с устройство или мрежа, която не се осъществява пряко, а по-скоро като част от по-голяма система, която може да се свърже пряко с такова устройство или мрежа;

(13) „привилегия“ означава право на достъп, предоставено на определени ползватели или програми за извършване на операции, свързани със сигурността, в рамките на електронна информационна система;

(14) „разширена привилегия“ означава право на достъп, предоставено на определени ползватели или програми за извършване на разширен набор от операции, свързани със сигурността, в рамките на електронна информационна система, което, ако бъде неправилно използвано или компрометирано, може да позволи на злонамерен участник да получи по-широк достъп до ресурсите на системата или организацията;

(15) „крайна точка“ означава всяко устройство, което е свързано с мрежа и служи като входна точка към тази мрежа;

(16) „мрежови или компютърни ресурси“ означава данни или хардуерни или софтуерни функционални възможности, които са достъпни локално или чрез мрежа или друго свързано устройство;

(17) „икономически оператор“ означава производителят, упълномощеният представител, вносителят, дистрибуторът или всяко друго физическо или юридическо лице, което подлежи на задълженията, определени в настоящия регламент;

(18) „производител“ означава всяко физическо или юридическо лице, което разработва или произвежда продукти с цифрови елементи или възлага проектирането, разработването или производството на продукти с цифрови елементи и ги предлага на пазара под своето име или търговска марка, независимо дали срещу заплащане, с цел печалба или безвъзмездно;

(19) „упълномощен представител“ означава всяко физическо или юридическо лице, установено в Съюза, което е упълномощено писмено от производител да действа от негово име във връзка с определени задачи;

(20) „вносител“ означава всяко физическо или юридическо лице, установено в Съюза, което пуска на пазара продукт с цифрови елементи, който носи името или търговската марка на физическо или юридическо лице, установено извън Съюза;

(21) „дистрибутор“ означава всяко физическо или юридическо лице във веригата на доставки, различно от производителя или вносителя, което предоставя определен продукт с цифрови елементи на пазара на Съюза, без да засяга характеристиките му;

(21a) „микропредприятия“, „малки предприятия“ и „средни предприятия“ означава микропредприятия, малки предприятия и средни предприятия съгласно определението в Препоръка 2003/361/ЕО на Комисията [34];

(21б) „потребител“ означава всяко физическо лице, което по смисъла на настоящия регламент действа извън рамките на своята търговска или стопанска дейност, занаят или професия.

(21в) „период на поддръжка“ означава периодът, през който производителят гарантира, че уязвимостите на продукта с цифрови елементи се отстраняват ефективно и в съответствие със съществените изисквания, посочени в приложение I, раздел 2;

(22) „пускане на пазара“ означава предоставянето за първи път на продукт с цифрови елементи на пазара на Съюза;

(23) „предоставяне на пазара“ означава всяка доставка на продукт с цифрови елементи за разпространение или използване на пазара на Съюза в процеса на търговска дейност, срещу заплащане или безвъзмездно;

(24) „предвидена употреба“ означава използването, за което е предназначен даден продукт с цифрови елементи от производителя, включително специфичният контекст и условия на употреба, посочени в информацията, предоставена от производителя в инструкциите за употреба, рекламните или търговските материали и твърдения, както и в техническата документация;

(25) „разумно предвидима употреба“ означава употреба, която не е непременно предвидената употреба, предоставена от производителя в инструкциите за употреба, рекламните или търговските материали и твърдения, както и в техническата документация, но която е вероятно да възникне в резултат на разумно предвидимо човешко поведение или технически операции или взаимодействия;

(26) „разумно предвидима неправилна експлоатация“ е използването на продукт с цифрови елементи по начин, който не е в съответствие с неговата предвидена употреба, но който е възможно да е резултат от разумно предвидимо човешко поведение или от взаимодействие с други системи;

(27) „нотифициращ орган“ означава националният орган, отговарящ за въвеждането и извършването на необходимите процедури за оценяването, определянето и нотифицирането на органи за оценяване на съответствието и за провеждането на мониторинг по отношение на тях;

(28) „оценяване на съответствието“ означава процесът на проверка дали са изпълнени съществените изисквания, определени в приложение І;

(29) „орган за оценяване на съответствието“ означава орган, определен в член 2, параграф 13 от Регламент (ЕС) № 765/2008;

(30) „нотифициран орган“ е орган за оценяване на съответствието, определен съгласно член 33 от настоящия регламент и друго приложимо законодателство на Съюза за хармонизация;

(31) „съществено изменение“ означава промяна на продукта с цифрови елементи след пускането му на пазара, която засяга съответствието на продукта с цифрови елементи със съществените изисквания, определени в приложение I, раздел 1, или води до промяна на предвидената употреба, за която е оценен продуктът с цифрови елементи, с изключение на необходимите актуализации на защитата с цел намаляване на уязвимостите;

(32) маркировка „СЕ“ означава маркировка, чрез която производителят указва, че даден продукт с цифрови елементи и процесите, въведени от производителя, са в съответствие със съществените изисквания, определени в приложение I, и с друго приложимо законодателство на Съюза, с което се хармонизират условията за предлагане на продукти на пазара („законодателство на Съюза за хармонизация“) и в което се предвижда нейното нанасяне;

(33) „орган за надзор на пазара“ означава орган съгласно определението в член 3, точка 4 от Регламент (ЕС) 2019/1020;

(34) „хармонизиран стандарт“ означава хармонизиран стандарт съгласно определението в член 2, точка 1, буква в) от Регламент (ЕС) № 1025/2012;

(34a) „международен стандарт“ означава международен стандарт съгласно определението в член 2, параграф 1, точка 1, буква а) от Регламент (ЕС) № 1025/2012;

(35) „риск ▌“ означава риск съгласно определението в член 6, точка 9 от Директива (ЕС) 2022/2555;

(36) „значителен киберриск“ означава киберриск, за който въз основа на техническите му характеристики може да се предположи, че има голяма вероятност от инцидент, който може да доведе до сериозни отрицателни въздействия, включително чрез причиняване на значителни материални или нематериални загуби или смущения;

(37) „опис на софтуерните компоненти“ или SBOM означава официален запис, съдържащ подробна информация и връзки по веригата на доставка на компонентите, включени в софтуерните елементи на даден продукт с цифрови елементи;

(38) „уязвимост“ означава уязвимост съгласно определението в член 6, точка 15 от Директива (ЕС) 2022/2555;

(39) „активно използвана уязвимост“ означава уязвимост, за която има надеждни доказателства, че е извършено изпълнение на злонамерен код от участник в система без разрешението на собственика на системата;

(39a) „инцидент“ означава инцидент съгласно определението в член 6, точка 6 от Директива (ЕС) 2022/2555;

(39б) „ситуация, близка до инцидент“ означава ситуация, близка до инцидент, съгласно определението в член 6, точка 5 от Директива 2022/2555;

(39в) „киберзаплаха“ означава киберзаплаха съгласно определението в член 2, точка 8 от Регламент (ЕС) 2019/881; (40) „лични данни“ означава данни съгласно определението в член 4, точка 1 от Регламент (EС) 2016/679;

Член 4
Свободно движение

1. Държавите членки не възпрепятстват по отношение на областите, обхванати от настоящия регламент, предоставянето на пазара на продукти с цифрови елементи, които отговарят на изискванията на настоящия регламент.

2. ▌Държавите членки не възпрепятстват представянето и използването на прототипен продукт с цифрови елементи, който не отговаря на изискванията на настоящия регламент, при условие че наличността на този продукт е ограничена по отношение на времето и географския район и се доставя изключително за изпитване, както и по възможност, с видим знак, показващ несъответствието.

3. Държавите членки не възпрепятстват безплатното предоставяне на незавършен софтуер, който не съответства на настоящия регламент, при условие че софтуерът се предоставя само за ограничен период от време, необходим за целите на изпитването, и че видим знак ясно показва, че той не съответства на настоящия регламент и няма да се предоставя на пазара за цели, различни от тестване.

3a. Държавите членки, ако е приложимо с подкрепата на ENISA, могат да създадат контролирана среда за изпитване на иновативни продукти, за да се улесни тяхното разработване. В този контекст се предоставя специална подкрепа за микро-, малките и средните предприятия, включително стартиращите предприятия.

Член 5
Изисквания за продукти с цифрови елементи

Продукти с цифрови елементи се предоставят на пазара само ако:

(1) при правилно инсталиране, извършване на техническа поддръжка и използване по предназначение или при разумно предвидими условия, и когато е приложимо, при осигуряване на необходимите актуализации за сигурност и функционалност, отговарят на съществените изисквания, посочени в приложение I, раздел 1; и

(2) въведените от производителя процеси отговарят на съществените изисквания, посочени в приложение I, раздел 2.

Член 6
Критични продукти с цифрови елементи

1. Продуктите с цифрови елементи, които принадлежат към категория, посочена в приложение III, се считат за критични продукти с цифрови елементи. Счита се, че продуктите, които притежават основните функционални възможности на категория, която е посочена в приложение III към настоящия регламент, попадат в тази категория. Категориите критични продукти с цифрови елементи се разделят на клас I и клас II, както е посочено в приложение III, като отразяват нивото на киберриска, свързан с тези продукти.

Интегрирането на продукт с по-висока степен на критичност не променя нивото на критичност за продукта, в който той е интегриран.

2. Комисията има правомощието да приема делегирани актове в съответствие с член 50 за изменение на приложение III чрез включване на нова категория в списъка с категориите критични продукти с цифрови елементи или оттегляне на съществуваща категория от този списък. Първият делегиран акт може да се приеме не по-късно от две години след датата на влизане в сила на настоящия регламент. Всеки последващ делегиран акт може да бъде приет най-рано две години след това. Когато оценява необходимостта от изменение на списъка в приложение III, Комисията взема предвид нивото на киберриска, свързан с категорията продукти с цифрови елементи. При определяне на нивото на киберриск се вземат предвид един или няколко от следните критерии:

а) функционалните възможности на продукта с цифрови елементи, свързани с киберсигурността, и дали продуктът с цифрови елементи има поне един от следните атрибути:

i) той е проектиран да работи с разширена привилегия или да управлява привилегии;

ii) той има пряк или привилегирован достъп до мрежови или компютърни ресурси;

iii) той е предназначен да контролира достъпа до данни или оперативни технологии;

iv) той изпълнява функция, която е от критично значение за доверието, по-специално функции за сигурност, като например контрол на мрежата, сигурност на крайните точки и защита на мрежата.

б) предвидената употреба в чувствителна среда, включително в промишлени условия или от основни субекти от вида, посочен в член 3 от Директива (ЕС) 2022/2555;

в) предвидената употреба за изпълнение на критични или чувствителни функции, като например обработване на лични данни;

г) потенциалната степен на неблагоприятно въздействие, по-специално по отношение на неговия интензитет и способността му да засегне множество лица;

д) степента, в която използването на продукти с цифрови елементи вече е причинило материални или нематериални загуби или смущения или е породило значителни опасения във връзка с настъпването на неблагоприятно въздействие.

3. Комисията има правомощието да приеме делегиран акт в съответствие с член 50 за допълване на настоящия регламент чрез уточняване на определенията на продуктовите категории от клас I и клас II, както е посочено в приложение III. Делегираният акт се приема до .. [▌ 6 месеца след влизането в сила на настоящия регламент].

4. Критичните продукти с цифрови елементи подлежат на процедурите за оценяване на съответствието, посочени в член 24, параграфи 2 и 3.

Когато нова категория критични продукти с цифрови елементи се добавя към клас I или клас II, както е посочено в приложение III, посредством делегиран акт съгласно параграф 2 от настоящия член, за нея се прилагат съответните процедури за оценка на съответствието, посочени в член 24, параграфи 2 и 3 от настоящия регламент, в срок от 12 месеца от датата на приемане на съответния делегиран акт.

5. Комисията има правомощието да приема делегирани актове в съответствие с член 50 за допълване на настоящия регламент чрез определяне на категориите продукти с цифрови елементи с висока степен на критичност, за които от производителите се изисква да получат европейски сертификат за киберсигурност в съответствие с европейска схема за сертифициране на киберсигурността с „високо“ ниво на увереност съгласно Регламент (ЕС) 2019/881, за да докажат съответствието си със съществените изисквания, посочени в приложение I, или с части от него. Задължението за получаване на европейски сертификат за киберсигурност се прилага в срок от 12 месеца от приемането на съответния делегиран акт. При определянето на такива категории продукти с цифрови елементи с висока степен на критичност Комисията взема предвид нивото на киберриска, свързан с категорията продукти с цифрови елементи, като се отчитат един или няколко от критериите, посочени в параграф 2, както и с оглед на оценката дали тази категория продукти:

а) се използва или на нея се разчита от основните субекти от вида, посочен в член 3 от ▌Директива (ЕС) 2022/2555, или ще има потенциално бъдещо значение за дейността на тези субекти; или

б) е от значение за устойчивостта на цялата верига на доставките на продукти с цифрови елементи срещу смущаващи събития.

5a. На Комисията се предоставя правомощието да приема делегираните актове, посочени в параграф 5 от настоящия член, не по-рано от 12 месеца след приемането на съответната европейска схема за сертифициране на киберсигурността съгласно Регламент (ЕС) 2019/881.

Член 6а
Експертна група по киберустойчивост

1. До ... [6 месеца след датата на влизане в сила на настоящия регламент] Комисията създава експертна група по киберустойчивост (наричана по-долу „Експертната група“). Експертната група се назначава от Комисията за тригодишен мандат, който може да бъде подновен. Целта е съставът на експертната група да бъде балансиран по географски признак и по пол и да включва следното:

а) представители на всяка от следните организации:

i) Агенцията на Европейския съюз за киберсигурност;

ia) Европейския център за експертни познания в областта на киберсигурността;

ii) Европейския комитет за защита на данните;

iii) европейски органи за стандартизация.

Когато е необходимо, могат да бъдат поканени представители на други агенции на Съюза.

б) експерти, представляващи съответните икономически оператори, като бъде осигурено адекватно представителство на микро-, малките и средните предприятия;

в) експерти, представляващи гражданското общество, включително потребителските организации и общността за свободен софтуер с отворен код;

г) експерти, назначени в лично качество, които притежават доказани знания и опит в областите, попадащи в обхвата на настоящия регламент.

д) експерти, които представляват академичните среди, включително университети, научноизследователски институти и други научни организации, включително лица с експертен опит в световен мащаб.

2. Експертната група съветва Комисията относно:

а) списъка на критичните продукти с цифрови елементи, посочен в приложение III, както и относно евентуалната необходимост от актуализиране на този списък;

б) прилагането на европейските схеми за сертифициране на киберсигурността съгласно Регламент (ЕС) 2019/881 и относно възможността те да бъдат задължителни за продукти с цифрови елементи с висока степен на критичност;

в) необвързващи оценки на продукти с цифрови елементи по искане на орган за надзор на пазара, който провежда разследване съгласно член 43;

г) прилагането на съответните концепции от новата законодателна рамка към софтуера, по-специално свободния софтуер с отворен код;

д) елементите на регламента, които трябва да бъдат разгледани в насоките, посочени в член 17a;

е) наличието и качеството на европейските и международните стандарти и възможността те да бъдат допълнени или заменени с общи технически спецификации;

ж) наличието на квалифицирани специалисти в областта на киберсигурността в целия Съюз, включително на подходящ персонал за извършване на оценки на съответствието от трета страна съгласно настоящия регламент;

з) евентуалната необходимост от изменение на настоящия регламент.

Експертната група също така набелязва тенденциите на равнището на Съюза и на равнището на държавите членки по отношение на съществуващите и коригираните уязвимости.

3. Експертната група взема предвид становищата на широк кръг заинтересовани страни и изпълнява задачите си с най-високо равнище на професионализъм, независимост, безпристрастност и обективност.

3a. Комисията се консултира с експертната група при изготвянето на делегирани актове или актове за изпълнение въз основа на настоящия регламент.

3б. Експертната група може да предоставя на органите за надзор на пазара необвързващи оценки на продукти с цифрови елементи, за да се улеснят разследванията съгласно член 43.

4. Експертната група се председателства от Комисията и се съставя в съответствие с хоризонталните правила за създаването и функционирането на експертните групи на Комисията. В този смисъл Комисията може ad hoc да кани експерти със специфичен опит.

5. Експертната група изпълнява задачите си в съответствие с принципа на прозрачност. Комисията публикува на своя уебсайт състава на експертната група, декларациите за интереси на нейните членове, обобщение на протоколите от заседанията на експертната група, както и други относими документи.

Член 6б
Повишаване на уменията в киберустойчива цифрова среда

За целите на настоящия регламент и с цел да се отговори на търсенето на специалисти, способни да гарантират киберсигурността на продуктите с цифрови елементи, Комисията и държавите членки, в сътрудничество с ENISA, гарантират изпълнението на:

а) програми за образование и обучение в областта на киберсигурността и свързаните с тях кариери, които допринасят за повишаване на устойчивостта и приобщаващия характер на работната сила в областта на киберсигурността, включително по отношение на пола и в съответствие с нуждите на съответните предприятия, по-специално когато тези предприятия са микро-, малки или средни предприятия, включително стартиращи предприятия, или публична администрация;

б) инициативи за засилване на сътрудничеството между частния сектор, икономическите оператори, включително чрез преквалификация или повишаване на квалификацията на служителите на производителите, потребителите, доставчиците на образование и обучение, както и на държавите членки, като се разширяват възможностите за достъп на младите хора до работни места в този сектор;

в) стратегии, насочени към повишаване на мобилността на работната сила, развиване на умения в областта на киберсигурността и създаване на организационни и технологични инструменти за максимално увеличаване на съществуващите таланти в областта на киберсигурността.

Член 7
Обща безопасност на продуктите

Като изключение от член 2, параграф 1, трета алинея, буква б) от Регламент (ЕС) 2023/988, когато продуктите с цифрови елементи не са предмет на специфични изисквания, наложени от друго законодателство на Съюза за хармонизация по смисъла на [член 3, точка 25 от Регламент (ЕС) 2023/988],към тези продукти по отношение на рисковете, които не са обхванати от настоящия регламент, се прилагат глава III, раздел 1, глави V и VII и глави IX—XI от Регламент (ЕС) 2023/988.

Член 8
Високорискови системи с ИИ

1. Продукти с цифрови елементи, класифицирани като високорискови системи с ИИ в съответствие с член [член 6] от Регламент [Регламента относно ИИ], които попадат в обхвата на настоящия регламент и отговарят на съществените изисквания, посочени в раздел 1 от приложение I към настоящия регламент, и при които въведените от производителя процеси са в съответствие със съществените изисквания, посочени в приложение I, раздел 2, се считат за съответстващи на изискванията, свързани с киберсигурността, посочени в член [член 15] от Регламент [Регламента относно ИИ], без да се засягат другите изисквания, свързани с точността и надеждността, включени в посочения член, и доколкото постигането на нивото на защита, наложено от тези изисквания, е доказано с ЕС декларацията за съответствие, издадена съгласно настоящия регламент.

2. По отношение на продуктите и изискванията за киберсигурност, посочени в параграф 1, се прилага съответната процедура за оценяване на съответствието съгласно изискванията на член [член 43] от Регламент [Регламент относно ИИ]. За целите на това оценяване съответните органи, които имат право да проверяват съответствието на високорисковите системи с ИИ съгласно Регламента [Регламент относно ИИ], имат право също така да проверяват съответствието на високорисковите системи с ИИ, които попадат в обхвата на настоящия регламент с изискванията, посочени в приложение I към настоящия регламент, при условие че съответствието на тези нотифицирани органи с изискванията, определени в член 29 от настоящия регламент, е било оценено в контекста на процедурата за нотифициране съгласно Регламент [Регламент относно ИИ].

3. Като изключение от параграф 2, критичните продукти с цифрови елементи, изброени в приложение III към настоящия регламент, за които трябва да се прилагат процедурите за оценяване на съответствието, посочени в член 24, параграф 2, букви а) и б), член 24, параграф 3, букви а) и б) съгласно настоящия регламент, и които също така са класифицирани като високорискови системи с ИИ по член [член 6] от Регламента [Регламент относно ИИ] и за които се прилага процедурата за оценяване на съответствието, основана на вътрешен контрол, посочена в приложение [приложение VI] към Регламент [Регламента относно ИИ], подлежат на процедурите за оценяване на съответствието, изисквани от настоящия регламент, доколкото това се отнася до съществените изисквания на настоящия регламент.

3a. Производителите на продукти с цифрови елементи, класифицирани като високорискови системи с ИИ в съответствие с параграф 1 от настоящия член, могат да участват в регулаторните лаборатории в областта на ИИ, посочени в член 53 от Регламент [Регламента относно ИИ].

Член 9
Машиностроителни изделия

Машиностроителните изделия, които попадат в обхвата на Регламент (ЕС) 2023/1230, които са продукти с цифрови елементи или частично комплектовани продукти с цифрови елементи по смисъла на настоящия регламент и за които е издадена ЕС декларация за съответствие въз основа на настоящия регламент, се считат за съответстващи на съществените изисквания за здраве и безопасност, определени в приложение [приложение III, раздели 1.1.9 и 1.2.1] към Регламент (ЕС) 2023/1230, по отношение на защитата срещу корупция и безопасността и надеждността на системите за управление, и доколкото постигането на нивото на защита, наложено от тези изисквания, е доказано в ЕС декларацията за съответствие, издадена съгласно настоящия регламент.

Член 9а
Обществени поръчки за продукти с цифрови елементи

1. Без да се засягат Директиви 2014/24/ЕС [35] и 2014/25/ЕС [36] на Европейския парламент и на Съвета, държавите членки, при възлагането на обществени поръчки за продукти с цифрови елементи, гарантират високо ниво на киберсигурност и подходящ период на поддръжка.

2. Държавите членки гарантират, че производителите отстраняват уязвимостите, засягащи продуктите с цифрови елементи, които са предмет на обществена поръчка, включително като незабавно предоставят актуализации на защитата.

ГЛАВА II

ЗАДЪЛЖЕНИЯ НА ИКОНОМИЧЕСКИТЕ ОПЕРАТОРИ

Член 10
Задължения на производителите

1. Когато пускат на пазара даден продукт с цифрови елементи, производителите гарантират, че той е проектиран, разработен и изработен в съответствие със съществените изисквания, посочени в приложение I, раздел 1.

2. С оглед на изпълнението на задължението по параграф 1 производителите извършват оценка на киберрисковете, свързани с продукта с цифрови елементи, и вземат предвид резултата от тази оценка по време на етапите на планиране, проектиране, разработване, производство, доставка и поддръжка на продукта с цифрови елементи с цел свеждане до минимум на киберрисковете, предотвратяване на инциденти с компютърната сигурност, както и свеждане до минимум на последиците от такива инциденти, включително по отношение на здравето и безопасността на ползвателите.

2a. Въз основа на оценката на киберриска производителите определят как съществените изисквания, посочени в приложение I, раздел 1, са приложими към техния продукт с цифрови елементи. Те включват оценката на риска в техническата документация, посочена в член 23.3. При пускането на пазара на продукт с цифрови елементи производителят включва оценка на киберриска в техническата документация, както е посочено в член 23 и приложение V. По отношение на продуктите с цифрови елементи, посочени в член 8 и член 24, параграф 4, които са предмет и на други актове на Съюза, оценката на киберриска може да бъде част от оценката на риска, изисквана от тези съответни актове на Съюза. Когато някои съществени изисквания не са приложими към предлагания на пазара продукт с цифрови елементи, производителят включва ясна обосновка в тази документация.

4. С оглед спазването на задължението, посочено в параграф 1, производителите полагат дължимата грижа, когато интегрират компоненти, доставени от трети страни, в продукти с цифрови елементи. Производителят е длъжен да гарантира, че тези компоненти не застрашават сигурността на продукта с цифрови елементи, включително когато интегрира компоненти на свободен софтуер с отворен код, които не са били пуснати на пазара в процеса на търговска дейност.

При установяване на уязвимост на компонент, включително в свободен компонент с отворен код, който е интегриран в продукта с цифрови елементи, производителите разглеждат и отстраняват уязвимостта в съответствие с изискванията за отстраняване на уязвимости, посочени в приложение I, раздел 2, и споделят предприетите корективни мерки с лицето или субекта, който поддържа компонента.

4a. Производителят на компоненти предоставя на производителя на крайния продукт с цифрови елементи информацията и документацията, необходими за спазване на изискванията на настоящия регламент, когато му доставя такива компоненти. Тази информация се предоставя безплатно.

5. Производителят систематично документира – по начин, който е пропорционален на естеството и киберрисковете, съответните аспекти на киберсигурността, отнасящи се до продукта с цифрови елементи, включително уязвимостите, за които е узнал, и всяка информация от значение, предоставена от трети страни, и когато е приложимо, актуализира оценката на риска на продукта.

6. При пускането на даден продукт с цифрови елементи на пазара производителите определят периода на поддръжка, през който уязвимостите на този продукт се отстраняват ефективно и в съответствие със съществените изисквания, посочени в приложение I, раздел 2. Когато прави това, производителят гарантира, че периодът на поддръжка е пропорционален на очаквания експлоатационен срок на продукта и в съответствие с естеството на продукта и очакванията на ползвателите, наличието на работната среда и – ако е приложимо, периода на поддръжка на основните компоненти, интегрирани в продукта с цифрови елементи. За тази цел при поискване от органите за надзор на пазара производителите предоставят информация за очаквания експлоатационен срок на продукта, който са взели предвид, за да определят продължителността на периода на поддръжка за предоставения на пазара продукт. Органите за надзор на пазара наблюдават продуктите с цифрови елементи и активно гарантират, че при определянето на периода на поддръжка производителите са приложили тези критерии по подходящ начин, включващ оценка на информацията, получена от производителите, относно очаквания експлоатационен срок на продукта.

Когато е приложимо, периодът на поддръжка се посочва ясно върху продукта и неговата опаковка или се включва в договорните споразумения. Във всеки случай преди покупката крайните ползватели също се информират за продължителността на периода на поддръжка.

Производителите разполагат с подходящи политики и процедури, включително политики за координирано оповестяване на уязвимости, посочени в приложение I, раздел 2, точка 5 за обработване и отстраняване на потенциални уязвимости в продукта с цифрови елементи, за които е съобщено от вътрешни или външни източници.

Когато е приложимо, за потребителски продукти с цифрови елементи тези процедури включват автоматични актуализации на защитата по подразбиране. Потребителите следва да си запазят възможността за дезактивиране на тези автоматични актуализации на защитата.

Производителите информират активно потребителите, когато техният продукт с цифрови елементи е достигнал края на своя период на поддръжка.

6a Когато периодът на поддръжка е по-кратък от пет години и отстраняването на уязвимостите е приключило, производителите могат да предоставят достъп до изходния код на такъв продукт с цифрови елементи на други предприятия, които да се ангажират да разширят предоставянето на услуги за отстраняване на уязвимости, по-специално актуализации на защитата. Достъп до такива изходни кодове се предоставя само когато това е предвидено в договорно споразумение. Тези споразумения защитават собствеността върху продукта с цифрови елементи и предотвратяват разпространението на изходния код в публичното пространство, освен когато такъв код вече е бил предоставен чрез свободен лиценз за софтуер с отворен код.

7. Преди да пуснат даден продукт с цифрови елементи на пазара, производителите изготвят техническата документация, посочена в член 23.

Те извършват или възлагат извършването на избраните процедури за оценяване на съответствието, посочени в член 24.

Когато чрез тази процедура за оценяване на съответствието е доказано съответствието на продукта с цифрови елементи със съществените изисквания, определени в приложение I, раздел 1, и на въведените от производителя процеси със съществените изисквания, определени в приложение I, раздел 2, производителите изготвят ЕС декларацията за съответствие съгласно член 20 и нанасят маркировката „СЕ“ съгласно член 22.

8. Производителите съхраняват техническата документация и ЕС декларацията за съответствие▌ на разположение на органите за надзор на пазара в продължение на най-малко десет години или за периода на поддръжка, в зависимост от това кой период е по-дълъг, след пускането на пазара на продукта с цифрови елементи.

Органите за надзор на пазара гарантират поверителността и подходящата защита на информацията в техническата документация, предоставена от производителите в съответствие с член 52.

9. Производителите гарантират, че съществуват процедури, чрез които продуктите с цифрови елементи, които са обект на серийно производство, остават в съответствие. Производителят взема предвид по подходящ начин промените в процеса на разработване и производство или в проектирането или характеристиките на продукта с цифрови елементи, както и промените в хармонизираните хоризонтални стандарти или стандарти за конкретни сектори, европейските схеми за сертифициране на киберсигурността или общите спецификации, посочени в член 19, чрез позоваване на които се декларира съответствието на продукта с цифрови елементи или чрез прилагане на които се проверява неговото съответствие.

10. Производителите гарантират, че продуктите с цифрови елементи се придружават от информацията и инструкциите, посочени в приложение II, в електронна или физическа форма. Тази информация и инструкции са на език, който е лесноразбираем за ползвателите. Те трябва да са ясни, разбираеми, смислени и четливи. Те позволяват сигурно инсталиране, експлоатация и използване на продуктите с цифрови елементи.

Когато такава информация и инструкции са предоставени в електронна форма, производителите:

а) ги представят в лесен за ползване формат, който дава възможност на потребителя да осъществи онлайн достъп до тях, да ги изтегли, да ги запази на електронно устройство и да ги отпечата;

б) гарантират, че те са достъпни онлайн най-малко през периода на поддръжка на продукта с цифрови елементи.

11. Производителите предоставят ЕС декларацията за съответствие заедно с продукта с цифрови елементи или включват в инструкциите и информацията, посочени в приложение II, интернет адреса, на който може да се намери ЕС декларацията за съответствие.

12. От пускането на пазара и най-малко за периода на поддръжка ▌ производителите, които знаят или имат основание да смятат, че продуктът с цифрови елементи или въведените от производителя процеси не са в съответствие със съществените изисквания, определени в приложение I, незабавно предприемат необходимите корективни мерки, за да приведат продукта с цифрови елементи или процесите на производителя в съответствие с изискванията, да изтеглят или да изземат продукта, според случая.

13. При мотивирано искане от страна на орган за надзор на пазара производителите предоставят на този орган, на лесноразбираем за него език, цялата информация и документация на хартиен или електронен носител, необходима за доказване на съответствието на продукта с цифрови елементи и на въведените от производителя процеси със съществените изисквания, посочени в приложение I. Те си сътрудничат с този орган, по негово искане, във връзка с всички мерки, предприети за отстраняване на киберрисковете, породени от пуснатия от тях на пазара продукт с цифрови елементи.

14. Производител, който прекратява дейността си и в резултат на това не е в състояние да изпълни задълженията, предвидени в настоящия регламент, информира, преди прекратяването на дейността да влезе в сила, съответните органи за надзор на пазара за това положение, както и, с всички налични средства и доколкото е възможно, ползвателите на съответните продукти с цифрови елементи, пуснати на пазара.

15. На Комисията, след като тя се консултира с експертната група и вземе предвид международните стандарти, се предоставя правомощието да приема делегирани актове в съответствие с член 50 за допълване на настоящия регламент, като определи формата и елементите на описа на софтуерните компоненти, посочен в приложение I, раздел 2, точка 1. ▌

Член 11
Задължения на производителите за представяне на отчети

1. Производителят уведомява ENISA за всяка активно използвана уязвимост, съдържаща се в продукта с цифрови елементи,▌ в съответствие с параграф 1а от настоящия член. ▌Без неоправдано забавяне, освен ако не са налице основателни причини, свързани с киберриска, ENISA препраща уведомлението до ЕРИКС, определен за целите на координираното оповестяване на уязвимости в съответствие с член 12 от Директива (ЕС) 2022/2555, на съответните държави членки след получаването му и информира органа за надзор на пазара за съобщената уязвимост.Когато за съобщената уязвимост няма налични коригиращи или смекчаващи мерки, ENISA гарантира, че информацията за тази съобщена уязвимост се споделя в съответствие със строги протоколи за сигурност и въз основа на принципа „необходимост да се знае“.

1a. За уведомленията, посочени в параграф 1, се прилага следната процедура:

a) ранно предупреждение, без неоправдано забавяне и при всички случаи в рамките на 24 часа, след като производителят е узнал за съществуването на активно използвана уязвимост, в което се посочва дали са налични известни корективни или препоръчителни мерки за ограничаване на риска;

б) уведомление за уязвимост, без неоправдано забавяне и при всички случаи в рамките на 72 часа, след като производителят е узнал за активно използваната уязвимост, в което, когато е приложимо, се актуализира общата информация, посочена в буква а), включително всички предприети корективни или ограничаващи риска мерки и се прави оценка на степента на уязвимост, включително на нейната сериозност и въздействие;

в) окончателен доклад, в рамките на един месец след подаването на уведомлението за уязвимост съгласно буква б) или когато е налице корективна или смекчаваща риска мярка, включващ най-малко следното:

i) описание на уязвимостта, включително нейната сериозност и въздействие;

ii) когато е налична, информация относно всеки участник, който е използвал или използва уязвимостта;

iii) подробности относно актуализацията на защитата или други корективни мерки, които са били предоставени за отстраняване на уязвимостта.

1б. След като бъде предоставена актуализация на защитата или бъде въведена друга форма на корективни или ограничаващи риска мерки, ENISA добавя уязвимостта, за която е постъпило уведомление съгласно параграф 1 от настоящия член, към европейската база данни за уязвимостите, посочена в член 12 от Директива (ЕС) 2022/2555.

2. Производителят уведомява ENISA за всеки значителен инцидент, който оказва въздействие върху сигурността на продукта с цифрови елементи в съответствие с параграф 2б от настоящия член. Без неоправдано забавяне, освен ако не са налице основателни причини, свързани с киберриска, ENISA препраща уведомлението до единното звено за контакт, определено в съответствие с член 8 от Директива (ЕС) 2022/2555, на съответните държави членки след получаването му и информира органа за надзор на пазара за съобщените инциденти. Актът на уведомяване сам по себе си не води до повишена отговорност за уведомяващия субект.

2a. Даден инцидент се счита за значителен, както е посочено в параграф 2, когато:

а) е причинил или е в състояние да причини сериозно оперативно прекъсване на производството или услугите за съответния производител, което би оказало въздействие върху сигурността на продукта; или

б) е засегнал или е в състояние да засегне други физически или юридически лица, причинявайки значителни материални или нематериални вреди.

2б. За уведомленията, посочени в параграф 2, се прилага следната процедура:

а) ранно предупреждение, без неоправдано забавяне и при всички случаи в рамките на 24 часа, след като производителят е узнал за значителния инцидент, в което, когато е приложимо, се посочва дали се предполага, че значителният инцидент се дължи на незаконосъобразни или злонамерени действия или дали може да има трансгранично въздействие;

б) уведомление за инцидента, без неоправдано забавяне и при всички случаи в рамките на 72 часа, след като производителят е узнал за значителния инцидент, в което, когато е приложимо, се актуализира информацията, посочена в буква а), и се дава първоначална оценка на значителния инцидент, включително неговата сериозност и въздействие, както и – когато са налични, показателите за компрометиране на системите;

в) окончателен доклад, в рамките на един месец след подаването на уведомлението за инцидента съгласно буква б), включващ най-малко следното:

i) подробно описание на инцидента, включително неговата сериозност и въздействие;

ii) вида на заплахата или причината, която вероятно е предизвикала инцидента;

iii) приложените и текущите мерки за ограничаване;

iv) когато е приложимо, трансграничното въздействие на инцидента;

Ако инцидентът все още не е приключил към момента за представяне на окончателния доклад, посочен в буква г) от настоящия параграф, държавите членки гарантират, че засегнатият производител представя доклад за напредъка, постигнат към този момент, и окончателен доклад в срок от един месец от справянето с инцидента.

2в. Производителите, които са уведомили за значителни инциденти съгласно настоящия регламент и които също така се считат за съществени или важни субекти съгласно Директива (ЕС) 2022/2555, се считат за отговарящи на изискванията по член 23 от Директива (ЕС) 2022/2555. ENISA препраща уведомленията, получени съгласно настоящия регламент, на отговорния ЕРИКС съгласно Директива (ЕС) 2022/2555. Даден субект може да бъде глобен само веднъж за неспазване на припокриващи се изисквания.

2г. Когато е необходимо, ENISA или съответният ЕРИКС може да поискат от производителите да представят междинен доклад със съответните актуализации за ситуацията с активно използваната уязвимост или значителния инцидент.

2д. Производителите, които представляват микропредприятия или малки или средни предприятия, се освобождават от задължението да прилагат параграф 1а, буква а) и параграф 2б, буква а).

3. ENISA предоставя на европейската мрежа за връзка на организациите при кибернетични кризи (EU-CyCLONe), създадена по силата на член 16 от Директива (ЕС) 2022/2555, информацията, съобщена по параграфи 1 и 2, ако тази информация е от значение за координираното управление на мащабни киберинциденти и кризи на оперативно равнище.

4. Без неоправдано забавяне и след като е узнал за него, производителят информира засегнатите ползватели на продукта с цифрови елементи, и когато е целесъобразно, всички ползватели, за значителния инцидент, и когато е необходимо, за мерките за ограничаване на риска и корективните мерки, които ползвателят може да приложи, за да намали въздействието на значителния инцидент.

4a. ENISA гарантира, че уведомленията съгласно параграфи 1 и 2 се подават чрез канали за комуникация и се съхраняват на сървъри, които осигуряват възможно най-високи нива на киберсигурност и защита от злонамерени участници.

4б При необходимост от повишаване на осведомеността на обществото с цел предотвратяване на значителен инцидент или справяне с текущ значителен инцидент, или когато оповестяването на значителния инцидент е по друг начин в интерес на обществото, ENISA и когато е приложимо, ЕРИКС или компетентните органи на съответната държава членка, могат, след като се консултират със засегнатия производител, да информират обществеността за значителния инцидент или да изискат от производителя да направи това.

5. Чрез приемане на делегирани актове в съответствие с член 50 за допълване на настоящия регламент, Комисията може да определи допълнително▌ форма̀та и процедурата на уведомленията, подавани съгласно параграфи 1 и 2. Тези делегирани актове се приемат не по-късно от ... [12 месеца след датата на влизането в сила на настоящия регламент].

6. Въз основа на уведомленията, получени по параграфи 1 и 2, ENISA изготвя двугодишен технически доклад за нововъзникващите тенденции по отношение на киберрисковете в продуктите с цифрови елементи и го представя на групата за сътрудничество за МИС, посочена в член 14 от Директива (ЕС) 2022/2555. Първият такъв доклад се представя в срок от 24 месеца след началото на прилагане на задълженията, посочени в параграфи 1 и 2. ENISA включва съответната информация от техническите си доклади в своя доклад за състоянието на киберсигурността в Съюза съгласно член 18 от Директива (ЕС) 2022/2555.

6a. ENISA създава сигурен цифров механизъм за докладване след консултации с експертната група, за да се опростят задълженията на производителите за докладване. Този механизъм служи като единно звено за контакт във връзка със задълженията за докладване, установени съгласно настоящия регламент и когато е възможно, съгласно други правни норми на Съюза.

▌Член 11а
Доброволно уведомяване

1. В допълнение към задълженията за уведомяване, посочени в член 11, уведомления може да се подават до ENISA на доброволна основа от:

а) производители – относно инциденти, киберзаплахи и ситуации, близки до инциденти;

б) субекти, различни от посочените в буква а), независимо от това дали попадат в обхвата на настоящия регламент – относно значителни и незначителни инциденти, киберзаплахи и ситуации, близки до инциденти;

в) всеки участник – относно уязвимости, които могат да бъдат включени в европейската база данни за уязвимостите, посочена в член 12 от Директива 2022/2555.

2. ENISA обработва уведомленията, посочени в параграф 1, буква а) от настоящия член, в съответствие с процедурата, предвидена в член 11. ENISA може да обработва с предимство задължителните уведомления пред доброволните уведомления.

3. За да се опрости подаването на доброволни уведомления, е възможно то да става чрез сигурния цифров механизъм за докладване, посочен в член 11, параграф 6а.

4. Когато е уместно, ENISA гарантира поверителността и подходящата защита на информацията, предоставяна от уведомяващия субект. Без да се засягат предотвратяването, разследването, разкриването и наказателното преследване на престъпления, доброволното уведомяване не води до налагането на никакви допълнителни задължения на уведомяващия субект, на които той не би подлежал, ако не подаде уведомлението.

Член 11б
Единно звено за контакт за ползвателите

1. За да улеснят докладването относно сигурността на продуктите, производителите определят единно звено за контакт, което дава възможност на ползвателите да комуникират пряко и бързо с тях, когато е приложимо – по електронен път и по лесен за ползване начин, включително като позволяват на ползвателите на продукта да избират средствата за комуникация, посочени в параграф 1 от Приложение II, при които не се разчита единствено на автоматизирани инструменти.

2. В допълнение към задълженията, предвидени в Директива 2000/31/ЕО на Европейския парламент и на Съвета [37], производителите оповестяват публично информацията, която е необходима на крайните ползватели, за да могат лесно да идентифицират и комуникират със своите единни звена за контакт. Тази информация е лесно достъпна и се актуализира редовно.

Член 12
Упълномощени представители

1. Производителят може да назначи упълномощен представител чрез писмено пълномощно.

2. Задълженията, определени в член 10, параграфи 1 – 6, член 10, параграф 7, първо тире и член 10, параграф 9 не са част от пълномощието на упълномощения представител.

3. Упълномощеният представител изпълнява задачите, определени в пълномощието от страна на производителя. Той предоставя на органите за надзор на пазара копие от пълномощието при поискване. Пълномощието позволява на упълномощения представител да извършва най-малко следното:

а) да съхранява на разположение на органите за надзор на пазара ЕС декларацията за съответствие, посочена в член 20, и техническата документация, посочена в член 23, в продължение на десет години след пускането на пазара на продукта с цифрови елементи;

aa) да информира производителя, когато упълномощеният представител има основание да счита, че даден продукт с цифрови елементи представлява киберриск;

б) при мотивирано искане от страна на орган за надзор на пазара да предоставя на този орган цялата информация и документация, необходима за доказване на съответствието на даден продукт с цифрови елементи;

в) да сътрудничи на органите за надзор на пазара, по тяхно искане, при всяко действие, предприето за ефективно отстраняване на рисковете, свързани с продукти с цифрови елементи, обхванати от пълномощието на упълномощения представител.

Член 13
Задължения на вносителите

1. Вносителите пускат на пазара само продукти с цифрови елементи, които отговарят на съществените изисквания, определени в приложение I, раздел 1, и при които въведените от производителя процеси са в съответствие със съществените изисквания, определени в приложение I, раздел 2.

2. Преди да пуснат един продукт с цифрови елементи на пазара на Съюза, вносителите гарантират, че:

а) съответната процедура за оценяване на съответствието, посочена в член 24, е била проведена от производителя;

б) производителят е изготвил техническата документация;

в) върху продукта с цифрови елементи е нанесена маркировката „СЕ“, посочена в член 22, ЕС декларацията за съответствие е налице и продуктът е придружен от информацията и инструкциите за употреба, посочени в приложение II.

вa) производителят е представил всички документи, доказващи изпълнението на изискванията, посочени в настоящия член.

3. Когато вносител счита или има основание да счита, че продукт с цифрови елементи или процесите, въведени от производителя, не са в съответствие със съществените изисквания, посочени в приложение I, вносителят не пуска продукта на пазара, докато този продукт или процесите, въведени от производителя, не бъдат приведени в съответствие със съществените изисквания, посочени в приложение I. Освен това, когато продуктът с цифрови елементи представлява значителен киберриск, вносителят информира за това производителя и органите за надзор на пазара.

Вносителят прилага целенасочените препоръки, получени от органите за надзор на пазара или от Комисията в съответствие с член 43 и член 45, включително за изтегляне на продукта от пазара или изземването му. Освен това, когато вносител счита или има основания да счита, че даден продукт с цифрови елементи може да представлява киберриск с оглед на нетехнически рискови фактори, той изтегля този продукт от пазара или го изземва. Вносителите информират за това органите за надзор на пазара и Комисията.

4. Вносителите посочват своето име, регистрирано търговско наименование или регистрирана търговска марка, пощенския адрес, адреса на електронна поща и когато е налице такъв, уебсайта, на които може да се осъществи връзка с тях, върху продукта с цифрови елементи или▌ върху неговата опаковка, или в документ, който придружава продукта с цифрови елементи. Данните за връзка са на език, лесноразбираем за ползвателите и органите за надзор на пазара.

5. Вносителите гарантират, че продуктът с цифрови елементи се придружава от инструкциите и информацията, посочени в приложение II, предоставени на лесноразбираем за ползвателите език.

6. Вносителите, които знаят или имат основание да смятат, че продукт с цифрови елементи, който са пуснали на пазара, или процесите, въведени от неговия производител, не са в съответствие със съществените изисквания, посочени в приложение I, незабавно изискват от производителя да предприеме необходимите корективни мерки за привеждане на продукта с цифрови елементи или на процесите, въведени от неговия производител, в съответствие със съществените изисквания, посочени в приложение I, или за изтегляне или изземване на продукта, ако е целесъобразно.

6a. Когато узнаят за уязвимост в продукта с цифрови елементи вносителите информират производителя без неоправдано забавяне за тази уязвимост. Освен това, когато продуктът с цифрови елементи представлява значителен киберриск, вносителите информират незабавно за това органите за надзор на пазара на държавите членки, в които са предоставили продукта с цифрови елементи на пазара, като предоставят подробни данни, по-специално за несъответствието с изискванията и за всякакви предприети корективни мерки.

7. В продължение на десет години след пускането на пазара на продукта с цифрови елементи, вносителите съхраняват копие от ЕС декларацията за съответствие на разположение на органите за надзор на пазара и гарантират, че при поискване техническата документация може да бъде предоставена на тези органи.

8. При мотивирано искане от страна на орган за надзор на пазара вносителите му предоставят цялата информация и документация на хартиен или електронен носител, необходима за доказване на съответствието на продукта с цифрови елементи със съществените изисквания, посочени в приложение I, раздел 1, както и на въведените от производителя процеси със съществените изисквания, посочени в приложение I, раздел 2, на лесноразбираем за този орган език. Те сътрудничат на този орган, по негово искане, за всякакви корективни мерки, предприети за отстраняване на киберрисковете, свързани с продуктите с цифрови елементи, които те са пуснали на пазара.

9. Когато вносителят на продукт с цифрови елементи узнае, че производителят на този продукт е преустановил дейността си и в резултат на това не е в състояние да изпълни задълженията, предвидени в настоящия регламент, вносителят информира съответните органи за надзор на пазара за това положение, както и, с всички налични средства и доколкото е възможно, ползвателите на пуснатите на пазара продукти с цифрови елементи.

Член 14
Задължения на дистрибуторите

1. Когато предоставят продукт с цифрови елементи на пазара, дистрибуторите действат с дължимата грижа по отношение на изискванията на настоящия регламент.

2. Преди да предоставят на пазара продукт с цифрови елементи, дистрибуторите проверяват дали:

а) продуктът с цифрови елементи има нанесена маркировката „СЕ“;

б) производителят и вносителят са изпълнили задълженията, посочени съответно в член 10, параграфи 10 и 11 и член 13, параграф 4, и са предоставили всички съответни документи на дистрибутора;

3. Когато дистрибутор счита или има основание да счита, въз основа на информацията, с която разполага, че продукт с цифрови елементи или процесите, въведени от производителя, не са в съответствие със съществените изисквания, посочени в приложение I, дистрибуторът не предоставя продукта с цифрови елементи на пазара, докато този продукт или процесите, въведени от производителя, не бъдат приведени в съответствие. Освен това, когато продуктът с цифрови елементи представлява значителен киберриск, дистрибуторът информира за това производителя и органите за надзор на пазара.

4. Дистрибуторите, които знаят или имат основание да считат, въз основа на информацията, с която разполагат, че продукт с цифрови елементи, който са предоставили на пазара, или процесите, въведени от неговия производител, не са в съответствие със съществените изисквания, посочени в приложение I, изискват от производителя да предприеме необходимите корективни мерки за привеждане на продукта с цифрови елементи или на процесите, въведени от неговия производител, в съответствие, или за изтегляне или изземване на продукта, ако е целесъобразно.

4a. Когато узнаят за уязвимост в продукта с цифрови елементи дистрибуторите информират производителя за тази уязвимост без неоправдано забавяне. Освен това, когато продуктът с цифрови елементи представлява значителен киберриск, дистрибуторите информират незабавно за това органите за надзор на пазара на държавите членки, в които са предоставили продукта с цифрови елементи на пазара, като предоставят подробни данни, по-специално за несъответствието с изискванията и за всякакви предприети корективни мерки.

5. При мотивирано искане от страна на орган за надзор на пазара дистрибуторите му предоставят цялата информация и документация на хартиен или електронен носител, необходима за доказване на съответствието на продукта с цифрови елементи и на въведените от производителя процеси със съществените изисквания, посочени в приложение I на лесноразбираем за този орган език. Те сътрудничат на този орган, по негово искане, за всякакви корективни мерки, предприети за отстраняване на киберрисковете, свързани с продуктите с цифрови елементи, които те са предоставили на пазара.

6. Въз основа на информацията, с която разполага, когато дистрибуторът на продукт с цифрови елементи узнае, че производителят на този продукт е преустановил дейността си и в резултат на това не е в състояние да изпълни задълженията, предвидени в настоящия регламент, дистрибуторът информира съответните органи за надзор на пазара за това положение, както и, с всички налични средства и доколкото е възможно, ползвателите на пуснатите на пазара продукти с цифрови елементи.

Член 15
Случаи, в които задълженията на производителите се прилагат и към вносителите и дистрибуторите

Вносител или дистрибутор се счита за производител за целите на настоящия регламент и подлежи на задълженията на производителя, посочени в член 10 и член 11, параграфи 1, 2, 4 и 7, когато този вносител или дистрибутор пуска на пазара продукт с цифрови елементи под своето име или търговска марка или извършва съществено изменение на вече пуснатия на пазара продукт с цифрови елементи.

Член 16
Други случаи, в които се прилагат задълженията на производителите

Физическо или юридическо лице, различно от производителя, вносителя или дистрибутора, което извършва съществено изменение на продукта с цифрови елементи и го предоставя на пазара, се счита за производител за целите на настоящия регламент.

Това лице подлежи на задълженията на производителя, посочени в член 10 и член 11, параграфи 1, 2, 4 и 7, за частта от продукта, която е засегната от същественото изменение, или, ако същественото изменение оказва въздействие върху киберсигурността на продукта с цифрови елементи като цяло, за целия продукт.

Член 17
Идентификация на икономическите оператори

1. По искане на органите за надзор на пазара ▌икономическите оператори предоставят следната информация:

а) име и адрес на всеки икономически оператор, който им е доставил продукт с цифрови елементи;

б) име и адрес на всеки икономически оператор, на когото са доставили продукт с цифрови елементи;

2. Икономическите оператори могат да представят информацията, посочена в параграф 1, в продължение на десет години, след като продуктът с цифрови елементи им е бил доставен, и в продължение на десет години, след като те са доставили продукта с цифрови елементи.

Член 17a
Насоки

1. С цел да се създаде яснота и сигурност за практиките на икономическите оператори, както и съгласуваност между тях, Комисията изготвя и издава насоки за икономическите оператори, в които се обяснява как настоящият регламент да се прилага, със специален акцент върху това как да се улесни спазването на изискванията от страна на микро-, малките и средните предприятия.

2. Насоките се публикуват не по-късно от ... [12 месеца след датата на влизане в сила на настоящия регламент] и се актуализират, когато е необходимо, по-специално с оглед на потенциалните изменения на списъка с критичните продукти, включен в приложение III. Те съдържат най-малко следните елементи:

а) подробно обяснение на обхвата на настоящия регламент, със специален акцент върху решенията за обработване на данни от разстояние и свободния софтуер с отворен код;

б) подробни критерии, използвани за разпределяне на критичните продукти с цифрови елементи в класове I или II, посочени в приложение III;

в) взаимодействието между настоящия регламент и другите законодателни актове на Съюза, по-специално по отношение на презумпциите за съответствие и оценките на съответствието;

г) указания за производителите относно начина на извършване на оценката на киберриска, посочена в член 10, параграф 2, и относно приложимостта на съществените изисквания, заедно с най-добрите практики, когато такива съществуват;

д) указания за производителите относно това как правилно да определят срока на поддръжка за различните категории продукти в съответствие с член 10, параграф 6;

е) обяснение на начина за изпълнение на изискванията за докладване съгласно настоящия регламент или съгласно други законодателни актове на Съюза;

ж) списък на делегираните актове и актовете за изпълнение, публикувани от Комисията съгласно настоящия регламент;

з) указания за държавите членки относно отказа от наказателно преследване на изследователи в областта на информационната сигурност;

и) указания относно това какво представлява съществено изменение.

3. При изготвянето на насоките съгласно настоящия член Комисията се консултира с експертната група.

ГЛАВА III

Съответствие на продукта с цифрови елементи

Член 18
Презумпция за съответствие

1. За продуктите с цифрови елементи и процесите, въведени от производителя, които съответстват на хармонизираните стандарти или на части от тях, данните за които са били публикувани в Официален вестник на Европейския съюз, се приема, че съответстват на съществените изисквания, установени в приложение I, обхванати от тези стандарти или части от тях.

В съответствие с член 10, параграф 1 от Регламент (ЕС) 1025/2012 Комисията отправя искане към една или повече европейски организации за стандартизация за изготвяне на проекти на хармонизирани стандарти за съществените изисквания, посочени в приложение I от настоящия регламент. При изготвянето на искането за стандартизация за настоящия регламент Комисията се стреми да взема предвид съществуващите или предстоящите международни стандарти за киберсигурност с цел опростяване на разработването на хармонизирани стандарти.

2. За продуктите с цифрови елементи и процесите, въведени от производителя, които отговарят на общите спецификации, посочени в член 19, се приема, че съответстват на съществените изисквания, посочени в приложение I, доколкото тези общи спецификации обхващат посочените изисквания.

3. За продуктите с цифрови елементи и процесите, въведени от производителя, за които е издадена ЕС декларация за съответствие или сертификат по европейска схема за сертифициране на киберсигурността, приета съгласно Регламент (ЕС) 2019/881 и посочена в параграф 4, се приема, че съответстват на съществените изисквания, определени в приложение I, доколкото ЕС декларацията за съответствие или сертификатът за киберсигурност, или части от тях, покриват тези изисквания.

4. Комисията има правомощието да приема в съответствие с член 50 делегирани актове за допълване на настоящия регламент чрез определяне на европейските схеми за сертифициране на киберсигурността, приети съгласно Регламент (ЕС) 2019/881, които да се използват за доказване на съответствие на продукти с цифрови елементи със съществените изисквания или части от тях, както е посочено в приложение I. Освен това издаването на сертификат за киберсигурност по тези схеми със „значително“ или „високо“ ниво на увереност, премахва задължението на производителя да извърши оценяване на съответствието от трета страна за съответните изисквания, както е посочено в член 24, параграф 2, букви а) и б) и член 24, параграф 3, букви а) и б). ▌

Член 19
Общи спецификации

1. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 50 за допълване на настоящия регламент чрез установяване на общи спецификации, които обхващат техническите изисквания, осигуряващи начини за изпълнение на изискванията, посочени в приложение I, за продукти, попадащи в обхвата на настоящия регламент, когато са изпълнени следните условия:

а) в съответствие с член 10, параграф 1 от Регламент (ЕС) № 1025/2012, Комисията е поискала от една или повече европейски организации за стандартизация изготвянето на хармонизиран стандарт за съществените изисквания, посочени в приложение I, като искането не е прието или европейските стандартизационни документи в отговор на това искане не са предоставени в рамките на срока, определен в съответствие с член 10, параграф 1 от Регламент (ЕС) № 1025/2012, или европейските стандартизационни документи не съответстват на искането; и

б) в Официален вестник на Европейския съюз не са публикувани в съответствие с Регламент (ЕС) № 1025/2012 данни за хармонизирани стандарти, обхващащи предвидените в приложение I съществени изисквания, и не се очаква такива данни да бъдат публикувани в разумен срок.

2. Преди да изготви делегирания акт, Комисията информира експертната група за това, че счита, че условията в параграф 1 са изпълнени. При изготвянето на делегираните актове Комисията взема предвид становищата на експертната група.

3. Когато хармонизиран стандарт е приет от европейска организация за стандартизация и на Комисията е предложено да публикува данните за него в Официален вестник на Европейския съюз, Комисията оценява хармонизирания стандарт в съответствие с Регламент (ЕС) № 1025/2012. Когато в Официален вестник на Европейския съюз се публикуват данни за хармонизиран стандарт, Комисията отменя съответните делегирани актове, посочени в параграф 1, или частите от тях, които обхващат същите съществени изисквания, посочени в приложение I от настоящия регламент.

Член 20
ЕС декларация за съответствие

1. ЕС декларацията за съответствие се изготвя от производителите в съответствие с член 10, параграф 7 и в нея се посочва, че изпълнението на приложимите съществени изисквания, определени в приложение І, е доказано.

2. ЕС декларацията за съответствие се съставя по образеца, установен в приложение IV, и съдържа елементите, определени в съответните процедури за оценяване на съответствието, установени в приложение VI. Тази декларация се актуализира по целесъобразност. Тя се предоставя на езика или езиците, изисквани от държавата членка, в която продуктът с цифрови елементи се пуска на пазара или се предоставя.

3. Когато приложимите към продукта с цифрови елементи актове на Съюза, които изискват ЕС декларация за съответствие, са повече от един, се изготвя само една ЕС декларация за съответствие във връзка с всички такива актове на Съюза. В тази декларация се посочват съответните актове на Съюза, включително данните за публикуването им.

4. Като изготвя ЕС декларация за съответствие, производителят поема отговорността за съответствието на продукта.

5. Комисията има правомощието да приема делегирани актове в съответствие с член 50 за допълване на настоящия регламент чрез добавяне на елементи към минималното съдържание на ЕС декларацията за съответствие, посочено в приложение IV, за да бъде отчетено технологичното развитие.

Член 21
Основни принципи за маркировката „СЕ“

За маркировката „CE“, определена в член 3, параграф 32, се прилагат основните принципи, определени в член 30 от Регламент (ЕО) № 765/2008.

Член 22
Правила и условия за нанасяне на маркировката „СЕ“

1. Маркировката „СЕ“ се нанася върху самия продукт с цифрови елементи така, че да бъде видима, четлива и незаличима. Когато това не е възможно или не е гарантирано поради естеството на продукта с цифрови елементи, тя се поставя върху опаковката и върху ЕС декларацията за съответствие, посочена в член 20, придружаваща продукта с цифрови елементи. За продукти с цифрови елементи, които са под формата на софтуер, маркировката „СЕ“ се нанася или в ЕС декларацията за съответствие, посочена в член 20, или в уебсайта, придружаващ софтуерния продукт. В последния случай съответният раздел на уебсайта трябва да бъде лесно и пряко достъпен за потребителите.

2. Поради естеството на продукта с цифрови елементи височината на маркировката „СЕ“, нанесена върху продукта с цифрови елементи, може да бъде по-малка от 5 mm, при условие че тя остава видима и четлива.

3. Маркировката „СЕ“ се нанася, преди продуктът с цифрови елементи да бъде пуснат на пазара. Тя може да бъде следвана от пиктограма или друг знак, указващи специален риск или употреба, определени в актове за изпълнение, посочени в параграф 6.

4. Маркировката „СЕ“ е следвана от идентификационния номер на нотифицирания орган, когато този орган участва в процедурата за оценяване на съответствието въз основа на пълно осигуряване на качеството (въз основа на модул Н), посочено в член 24.

Идентификационният номер на нотифицирания орган се нанася от самия орган или, по негови указания, от производителя или от негов упълномощен представител.

5. Държавите членки се основават на съществуващите механизми за гарантиране на правилното прилагане на режима за маркировката „СЕ“ и предприемат подходящите действия в случай на неправомерно използване на тази маркировка. Когато продуктът с цифрови елементи е предмет на друго законодателство на Съюза, което също предвижда нанасянето на маркировката „СЕ“, маркировката „СЕ“ указва, че продуктът отговаря и на изискванията на това друго законодателство.

6. След като се консултира с експертната група, със специализираната група за административно сътрудничество (ADCO), и когато е необходимо, с други съответни заинтересовани страни, Комисията може чрез актове за изпълнение да определя технически спецификации за схеми за маркировка, включително хармонизирана маркировка, пиктограми или други знаци, свързани със сигурността на продуктите с цифрови елементи, срока на поддръжката им, както и механизми за насърчаване на тяхното използване от предприятията и потребителите и за повишаване на обществената осведоменост относно сигурността на продуктите с цифрови елементи. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 51, параграф 2.

Член 23
Техническа документация

1. Техническата документация включва всички подходящи данни или подробности за средствата, използвани от производителя, за да се гарантира, че продуктът с цифрови елементи и процесите, въведени от производителя, съответстват на изискванията, определени в приложение I. Тя съдържа най-малко данните, посочени в приложение V.

2. Техническата документация се изготвя преди пускането на продукта с цифрови елементи на пазара и се актуализира непрекъснато, когато е целесъобразно, поне по време на срока за поддръжка на продукта.

3. По отношение на продуктите с цифрови елементи, посочени в член 8 и член 24, параграф 4, които са предмет и на други актове на Съюза, се изготвя едно-единствено досие с техническа документация, което съдържа информацията, посочена в приложение V към настоящия регламент, и информацията, изисквана от тези съответни актове на Съюза.

4. Техническата документация и кореспонденцията, свързани с всяка процедура за оценяване на съответствието, се изготвят на официалния език на държавата членка, в която е установен нотифицираният орган, или на език, приемлив за този орган.

5. Комисията има правомощието да приема делегирани актове в съответствие с член 50 за допълване на настоящия регламент с елементите, които трябва да бъдат включени в техническата документация, посочена в приложение V, за да бъде отчетено технологичното развитие, както и промените, настъпили в процеса на прилагане на настоящия регламент. Комисията гарантира, че административната тежест за микропредприятията и малките и средните предприятия е пропорционална.

Член 24
Процедури за оценяване на съответствието на продукти с цифрови елементи

1. Производителят извършва оценяване на съответствието на продукта с цифрови елементи и процесите, въведени от производителя, за да определи дали са спазени съществените изисквания, посочени в приложение I. Производителят или неговият упълномощен представител доказва съответствието със съществените изисквания, като се използва една от следните процедури:

а) процедурата за вътрешен контрол (въз основа на модул А), посочена в приложение VI; или

б) процедурата „ЕС изследване на типа“ (въз основа на модул B), определена в приложение VI, последвана от процедура „ЕС съответствие с типа въз основа на вътрешен производствен контрол“ (въз основа на модул C), определена в приложение VI; или

в) „оценка на съответствието въз основа на пълно осигуряване на качеството“ (въз основа на модул H), определена в приложение VI;

вa) европейска схема за сертифициране на киберсигурността, приета съгласно Регламент (ЕС) 2019/881 в съответствие с член 18, параграф 4.

2. Когато при оценяването на съответствието на даден критичен продукт с цифрови елементи от клас I, както е посочено в приложение III, и на процесите, въведени от неговия производител, със съществените изисквания, посочени в приложение I, производителят или неговият упълномощен представител не е приложил или е приложил само частично хармонизирани стандарти, общи спецификации или европейски схеми за сертифициране на киберсигурността с ниво на увереност „съществено“ или „високо“, както е посочено в член 18, или когато такива хармонизирани стандарти, общи спецификации или европейски схеми за сертифициране на киберсигурността не съществуват, по отношение на тези съществени изисквания за съответния продукт с цифрови елементи и за процесите, въведени от производителя, се използва една от следните процедури:

а) процедура „ЕС изследване на типа“ (въз основа на модул B), определена в приложение VI, последвана от процедура „ЕС съответствие с типа въз основа на вътрешен производствен контрол“ (въз основа на модул C), определена в приложение VI; или

б) „оценка на съответствието въз основа на пълно осигуряване на качеството“ (въз основа на модул H), определена в приложение VI.

2a. Хармонизираните стандарти, общите спецификации или европейските схеми за сертифициране на киберсигурността се прилагат за срок от шест месеца преди да се приложи процедурата за оценка на съответствието, посочена в параграф 2 от настоящия член. През шестте месеца преди прилагането на параграф 2 от настоящия член или когато не съществуват хармонизирани стандарти, общи спецификации или европейски схеми за сертифициране на киберсигурността, производителите доказват съответствието на критичния продукт с цифрови елементи от клас I, както е посочено в приложение III, посредством процедурата, посочена в параграф 1 от настоящия член.

3. Когато продуктът е критичен продукт с цифрови елементи от клас II, както е посочено в приложение III, производителят или неговият упълномощен представител доказва съответствието със съществените изисквания, посочени в приложение I, като използва една от следните процедури:

-a) европейски сертификат за киберсигурност съгласно европейска схема за сертифициране на киберсигурност с ниво на увереност „съществено“ или „високо“, съгласно Регламент (ЕС) 2019/881;

3a. Комисията отправя искане към ENISA да подготви липсващите проекти за схеми в съответствие с член 48 от Регламент (ЕС) 2019/881.

4. Производителите на продукти с цифрови елементи, които са класифицирани като системи за ЕЗД съгласно Регламент [Регламент относно европейското пространство на здравни данни], доказват съответствието със съществените изисквания, определени в приложение I към настоящия регламент, като използват съответната процедура за оценяване на съответствието, както се изисква от Регламент [глава III от Регламент относно европейското пространство на здравни данни].

5. Нотифицираните органи вземат предвид специфичните интереси и потребности на микропредприятията и малките и средните предприятия ▌при определянето на таксите за процедурите за оценяване на съответствието и ги намаляват пропорционално на техните специфични интереси и нужди. Комисията осигурява подходяща финансова подкрепа в регулаторната рамка на съществуващите програми на Съюза, по-специално с цел облекчаване на финансовата тежест върху микропредприятията и върху малките и средните предприятия.

Член 24a
Споразумения за взаимно признаване

За да се насърчи международната търговия, Комисията се стреми да сключва споразумения за взаимно признаване (СВП) с трети държави. Съюзът сключва СВП само с трети държави, които се намират на сравнимо ниво на техническо развитие и имат съвместим подход по отношение на оценяването на съответствието. СВП осигуряват същото ниво на защита като предвиденото в настоящия регламент.

ГЛАВА IV

НОТИФИЦИРАНЕ НА ОРГАНИТЕ ЗА ОЦЕНЯВАНЕ НА СЪОТВЕТСТВИЕТО

Член 25
Нотифициране

Държавите членки нотифицират Комисията и другите държави членки относно органите за оценяване на съответствието, които са упълномощени да извършват оценяване на съответствието в съответствие с настоящия регламент.

Член 26
Нотифициращи органи

1. Държавите членки определят нотифициращ орган, отговорен за установяването и провеждането на необходимите процедури за оценка и нотифициране на органите за оценяване на съответствието, както и за наблюдението на нотифицираните органи, включително съответствието с член 31.

2. Държавите членки могат да решат, че оценката и наблюдението, посочени в параграф 1, се провеждат от национален орган по акредитация по смисъла и в съответствие с Регламент (ЕО) № 765/2008.

Член 27
Изисквания, свързани с нотифициращите органи

1. Нотифициращият орган се създава по такъв начин, че да няма конфликт на интереси с органите за оценяване на съответствието.

2. Нотифициращият орган се организира и работи така, че да се запази обективността и безпристрастността на дейността си.

3. Нотифициращият орган се организира по такъв начин, че всяко решение, свързано с нотифицирането на органа за оценяване на съответствието, да се взема от компетентни лица, различни от тези, които са извършили оценката.

4. Нотифициращият орган не предлага и не извършва дейности, осъществявани от органите за оценяване на съответствието, или консултантски услуги с търговска цел или на конкурентен принцип.

5. Нотифициращият орган запазва поверителността на получената от него информация.

6. Нотифициращият орган разполага с достатъчен брой компетентен персонал за правилното изпълнение на своите задачи.

6a. Нотифициращият орган свежда до минимум административната тежест и таксите, налагани по-специално на микропредприятията и малките и средните предприятия.

Член 28
Задължение за предоставяне на информация относно нотифициращите органи

1. Държавите членки информират Комисията за своите процедури за оценка и нотифициране на органите за оценяване на съответствието и за наблюдение на нотифицираните органи, както и за всякакви промени във връзка с това.

1a. До ... [24 месеца след датата на влизане в сила на настоящия регламент] държавите членки гарантират, че в Съюза има достатъчен брой нотифицирани органи за извършване на оценки на съответствието, за да се избегнат затруднения и пречки пред навлизането на пазара.

2. Комисията прави тази информация обществено достояние.

Член 29
Изисквания, свързани с нотифицираните органи

1. За целите на нотифицирането органите за оценяване на съответствието отговарят на изискванията, определени в параграфи 2 – 12.

2. Органът за оценяване на съответствието се създава съгласно вътрешното право и е юридическо лице.

3. Органът за оценяване на съответствието е трета страна, независима от организацията или от продукта, които оценява.

Орган, който принадлежи към стопанска асоциация и/или професионална федерация, представляващи предприятия, участващи в проектирането, разработването, производството, доставката, сглобяването, използването или поддръжката на продукти с цифрови елементи, които този орган оценява, може да се счита за такъв орган, при условие че са доказани неговата независимост и липсата на конфликт на интереси.

4. Органът за оценяване на съответствието, неговите ръководители и персонал, отговорен за изпълнение на задачите по оценяване на съответствието, не могат да бъдат проектант, програмист, производител, снабдител, лице, което монтира, купувач, собственик, ползвател или структура по поддръжка на продуктите с цифрови елементи, които се оценяват, нито упълномощени представители на някое от тези лица. Това не изключва използването на оценявани продукти, които са необходими за дейностите на органа за оценяване на съответствието или използването на такива продукти за лични цели.

Органът за оценяване на съответствието, неговото висше ръководство и персоналът, отговорен за изпълнение на задачите по оценяване на съответствието, не вземат пряко участие в проектирането, разработването, производството, продажбата, монтирането, използването или поддръжката на тези продукти, нито представляват лицата, ангажирани в тези дейности. Те нямат право да участват в никаква дейност, която може да е в противоречие с тяхната независима преценка или почтено поведение по отношение на дейностите по оценяване на съответствието, за които са нотифицирани. Това се прилага по-конкретно към консултантски услуги.

Органите за оценяване на съответствието гарантират, че дейностите на техните поделения или подизпълнители не влияят върху поверителността, обективността или безпристрастността на техните дейности по оценяване на съответствието.

5. Органите за оценяване на съответствието и техният персонал осъществяват дейностите по оценяване на съответствието с най-висока степен на почтено професионално поведение и необходимата техническа компетентност в определената област и са напълно освободени от всякакъв натиск и облаги, най-вече финансови, които биха могли да повлияят на тяхната преценка или на резултатите от техните дейности по оценяване на съответствието, особено по отношение на лица или групи лица, заинтересовани от резултатите от тези дейности.

6. Органът за оценяване на съответствието e в състояние да осъществява всички задачи по оценяване на съответствието, посочени в приложение VI и по отношение на които органът е бил нотифициран, независимо дали тези задачи се изпълняват от самия орган за оценяване на съответствието или от негово име и на негова отговорност.

По всяко време и за всяка процедура за оценяване на съответствието, и за всеки вид или категория продукти с цифрови елементи, за които органът за оценяване на съответствието е нотифициран, той разполага с необходимите:

а) персонал с технически знания и достатъчен и подходящ опит за изпълнение на задачите за оценяване на съответствието;

б) описания на процедурите, в съответствие с които се извършва оценяването на съответствието, гарантиращи прозрачността и възможността за повтаряне на тези процедури. Той прилага подходящи политика и процедури, които да позволяват разграничение между задачите, които изпълнява като нотифициран орган, и всички други дейности;

в) процедури за изпълнение на дейности, които надлежно отчитат размера на дадено предприятие, сектора в който осъществява дейност и неговата структура, степента на сложност на съответната технология на продукта и масовия или сериен характер на производството.

Той разполага със средствата, необходими за изпълнение на техническите и административни задачи, свързани с дейностите по оценяване на съответствието по подходящ начин, както трябва да разполага и с достъп до необходимото оборудване или помощни средства.

7. Персоналът, отговорен за провеждането на дейностите по оценяване на съответствието, разполага със следното:

а) добро техническо и професионално обучение, което обхваща всички дейности по оценяване на съответствието, по отношение на които органът за оценяване на съответствието е бил нотифициран;

б) задоволително познаване на изискванията за оценяването, което извършва, както и подходящи правомощия за извършването на такова оценяване;

в) подходящи знания и разбиране на съществените изисквания, установени в приложение I, на приложимите хармонизирани стандарти и на съответните разпоредби на законодателството на Съюза за хармонизация, както и актовете за изпълнението му;

г) способност за изготвяне на сертификати, отчети и доклади, които доказват, че оценяванията са извършени.

7a. Държавите членки и Комисията въвеждат подходящи мерки, за да осигурят достатъчна наличност на квалифицирани специалисти с цел да се сведат до минимум затрудненията в дейностите на органите за оценяване на съответствието и да се улесни спазването на настоящия регламент от страна на икономическите оператори.

8. Осигурява се безпристрастността на органите за оценяване на съответствието, на тяхното висше ръководство и на персонала, отговорен за оценяването.

Възнаграждението на ръководителите и на персонала, отговорен за оценките, на органа за оценяване на съответствието не зависи от броя на извършените оценки или от резултатите от тях.

9. Органите за оценяване на съответствието сключват застраховка за покриване на отговорността им, освен ако отговорността се поема от държавата съгласно националното право или държавата членка е пряко отговорна за оценяване на съответствието.

10. Персоналът на органа за оценяване на съответствието спазва задължение за служебна тайна по отношение на информацията, получена при изпълнение на неговите задачи, съгласно приложение VI или съгласно разпоредба от националното право по прилагането му, освен по отношение на органите за надзор на пазара на държавата членка, в която осъществява дейността си. Правата на собственост се защитават в съответствие с член 52. Органът за оценяване на съответствието разполага с документирани процедури, гарантиращи спазването на настоящия параграф.

11. Органите за оценяване на съответствието участват във или гарантират, че персоналът, отговорен за оценките, е информиран за съответните дейности по стандартизация и дейностите на координационната група на нотифицираните органи, създадена съгласно член 40, и прилагат като общи насоки административните решения и документи, приети в резултат от работата на тази група.

12. Органите за оценяване на съответствието извършват дейностите си съгласно набор от последователни, справедливи и разумни условия в съответствие с член 37, параграф 2, по-специално като вземат предвид интересите на микропредприятията и малките и средните предприятия във връзка с таксите.

Член 30
Презумпция за съответствие на нотифицираните органи

Когато органът за оценяване на съответствието доказва своето съответствие с критериите, определени в съответните хармонизирани стандарти или части от тях, данните за които са били публикувани в Официален вестник на Европейския съюз, се приема, че той отговаря на изискванията, установени в член 29, доколкото приложимите хармонизирани стандарти обхващат тези изисквания.

Член 31
Поделения и възлагане на подизпълнители от страна на нотифицираните органи

1. В случаите, в които нотифициран орган възлага на подизпълнители конкретни задачи, свързани с оценяване на съответствието, или използва поделенията си, той гарантира, че подизпълнителят или поделението отговаря на изискванията, определени в член 29, и надлежно информира нотифициращия орган.

2. Нотифицираните органи носят пълна отговорност за дейността, извършена от подизпълнители или дъщерни организации в случаите, когато такива съществуват.

3. Дейностите могат да бъдат възлагани на подизпълнители или изпълнявани от поделения само със съгласието на производителя.

4. Нотифицираните органи съхраняват на разположение на нотифициращия орган съответните документи относно оценката на квалификацията на подизпълнителя или на поделението и работата, извършена от тях съгласно настоящия регламент.

Член 32
Заявление за нотифициране

1. Органът за оценяване на съответствието подава заявление за нотифициране до нотифициращия орган на държавата членка, в която е установен.

2. Това заявление се придружава от описание на дейностите по оценяване на съответствието, процедурата или процедурите за оценяване на съответствието и продукта или продуктите, за които органът заявява компетентност, както и от сертификат за акредитация, когато има такъв, издаден от националния орган по акредитация и удостоверяващ, че органът за оценяване на съответствието отговаря на изискванията, предвидени в член 29.

3. Когато органът за оценяване на съответствието не може да предостави сертификат за акредитация, той представя пред нотифициращия орган всички документи, необходими за проверката, признаването и редовното наблюдение на неговото съответствие с изискванията, посочени в член 29.

Член 33
Процедура по нотифициране

1. Нотифициращите органи могат да нотифицират само органи за оценяване на съответствието, които отговарят на изискванията, установени в член 29.

2. Нотифициращият орган уведомява Комисията и другите държави членки, като използва информационната система NANDO (информационна система за нотифицираните и определените организации по Новия подход), разработена и управлявана от Комисията.

3. Нотифицирането включва всички подробности за дейностите по оценяване на съответствието, модула или модулите за оценяване на съответствието и съответния продукт или продукти, както и съответното удостоверение за компетентност.

4. Когато нотифицирането не се основава на сертификат за акредитация, посочен в член 32, параграф 2, нотифициращият орган предоставя на Комисията и на другите държави членки документите, които удостоверяват компетентността на органа за оценяване на съответствието и съществуващите правила, гарантиращи, че органът ще бъде редовно наблюдаван и ще продължи да отговаря на изискванията, установени в член 29.

5. Съответният орган може да изпълнява дейностите на нотифициран орган само ако от Комисията или от другите държави членки не са повдигнати възражения в срок от две седмици от нотифицирането — в случай че е използван сертификат за акредитация, или в срок от два месеца от нотифицирането — в случай че не е използвана акредитация.

Само такъв орган се счита за нотифициран орган за целите на настоящия регламент.

6. Комисията и другите държави членки се уведомяват за всякакви последващи промени, свързани с нотификацията.

Член 34
Идентификационни номера и списъци на нотифицираните органи

1. Комисията определя идентификационен номер на нотифицирания орган.

Тя определя само един такъв номер дори когато органът е нотифициран съгласно няколко акта на Съюза.

2. Комисията прави обществено достояние списъка на нотифицираните съгласно настоящия регламент органи, включително определените им идентификационни номера и дейностите, за които те са били нотифицирани.

Комисията прави необходимото за актуализирането на този списък.

Член 35
Промени в нотификациите

1. Когато нотифициращият орган е констатирал или е бил информиран, че даден нотифициран орган вече не отговаря на изискванията, установени в член 29, или че не изпълнява задълженията си, нотифициращият орган ограничава, спира действието или оттегля нотификацията, според случая, в зависимост от сериозността на неспазването на изискванията или на неизпълнението на задълженията. Съответно той незабавно информира за това Комисията и другите държави членки.

2. В случай на ограничение на обхвата, спиране на действието или отмяна на нотификацията или когато нотифицираният орган е прекратил дейността си, нотифициращата държава членка предприема съответните стъпки, за да гарантира, че досиетата на този орган или ще бъдат обработени от друг нотифициран орган, или ще бъдат запазени на разположение на отговорните нотифициращи органи и органи за надзор на пазара, по тяхно искане.

Член 36
Оспорване на компетентността на нотифицирани органи

1. Комисията разследва всички случаи, в които има съмнения или пред нея са изразени съмнения относно компетентността на нотифициран орган или относно непрекъснатото изпълнение от страна на нотифициран орган на изискванията и възложените му отговорности.

2. Нотифициращата държава членка предоставя на Комисията при поискване цялата информация, свързана с основанията за нотификацията или за запазването на компетентността на съответния орган.

3. Комисията гарантира, че всяка чувствителна информация, получена в хода на разследването, се третира като поверителна.

4. Когато Комисията констатира, че нотифицираният орган не отговаря или престане да отговаря на изискванията за нотифицирането му, тя информира нотифициращата държава членка за това и отправя искане държавата членка да предприеме необходимите корективни мерки, включително, ако е необходимо, отмяна на нотификацията.

Член 37
Задължения на нотифицираните органи при осъществяване на дейността им

1. Нотифицираните органи осъществяват оценяване на съответствието съгласно процедурите за оценяване на съответствието, предвидени в член 24 и приложение VI.

2. Оценяването на съответствието се осъществява по пропорционален начин, като се избягва ненужната тежест за икономическите оператори и се обръща специално внимание на микропредприятията и малките и средните предприятия. Органите за оценяване на съответствието осъществяват своите дейности, като надлежно отчитат размера на дадено предприятие, сектора, в който осъществява дейност, неговата структура, степента на сложност и експозицията на риск за съответния вид продукт и за съответната технология на продукта и масовия или серийния характер на производството.

3. Въпреки това нотифицираните органи спазват степента на взискателност и равнището на защита, необходими за съответствието на продукта с разпоредбите на регламента.

4. Когато нотифицираният орган прецени, че определен производител не е изпълнил изискванията, предвидени в приложение I или в съответстващите им хармонизирани стандарти или в общите спецификации, посочени в член 19, той изисква от този производител да предприеме подходящите корективни мерки и не издава сертификат за съответствие.

5. Когато в процеса на наблюдение на съответствието след издаването на сертификата нотифицираният орган установи, че даден продукт вече не отговаря на посочените в настоящия регламент изисквания, той изисква от производителя да предприеме подходящи корективни мерки и спира временно действието или отнема сертификата, ако това се налага.

6. Когато не са предприети корективни мерки или те не дадат необходимия резултат, нотифицираният орган ограничава, спира действието или отнема всякакви сертификати, в зависимост от случая.

Член 38
Задължения на нотифицираните органи за предоставяне на информация

1. Нотифицираният орган информира нотифициращите органи за:

а) всякакъв отказ, ограничаване, спиране на действието или отнемане на сертификати;

б) всякакви обстоятелства, които влияят върху обхвата и условията на нотифициране;

в) всякакви искания за информация, получени от органите за надзор на пазара, във връзка с дейности за оценка на съответствието;

г) при поискване — за дейностите по оценка на съответствието, извършени в обхвата на тяхната нотификация, и всякакви други извършени дейности, включително трансгранични, и дейности по възлагане на подизпълнители.

2. Нотифицираните органи предоставят на другите органи, нотифицирани съгласно настоящия регламент, осъществяващи подобни дейности по оценяване на съответствието, чийто предмет са същите продукти, съответна информация по проблеми, свързани с отрицателни и, при поискване, положителни резултати от оценяване на съответствието.

Член 39
Обмен на опит

Комисията създава организация за обмен на опит между националните органи на държавите членки, отговорни за политиката по нотификация.

Член 40
Координация на нотифицираните органи

1. Комисията гарантира създаването и правилното функциониране на подходяща координация и сътрудничество между нотифицираните органи, вземайки предвид и необходимостта от намаляване на административната тежест и таксите, под формата на междусекторна група от нотифицирани органи.

2. Държавите членки осигуряват участието на нотифицираните от тях органи в работата на такава група пряко или чрез определени представители.

ГЛАВА V

НАДЗОР НА ПАЗАРА И ПРАВОПРИЛАГАНЕ

Член 41
Надзор на пазара и контрол на продуктите с цифрови елементи, които се въвеждат на пазара на Съюза

1. Регламент (ЕС) 2019/1020 се прилага за продуктите с цифрови елементи, които попадат в обхвата на настоящия регламент.

2. Всяка държава членка определя един или повече органи за надзор на пазара с цел да се гарантира ефективното прилагане на настоящия регламент. Държавите членки могат да определят съществуващ или нов орган, който да действа като орган за надзор на пазара за целите на настоящия регламент.

3. Когато е приложимо, органите за надзор на пазара си сътрудничат с националните органи за сертифициране в областта на киберсигурността, определени съгласно член 58 от Регламент (ЕС) 2019/881, компетентните органи и ЕРИКС, определени съгласно Директива (ЕС) 2022/2555, и редовно обменят информация. ▌

3a. По отношение на надзора на изпълнението на задълженията за докладване по член 11 от настоящия регламент определените органи за надзор на пазара си сътрудничат с ENISA. Органите за надзор на пазара могат да поискат от ENISA да предостави технически съвети по въпроси, свързани с изпълнението и правоприлагането на настоящия регламент. Когато провеждат разследване по член 43, органите за надзор на пазара могат да поискат от ENISA да предостави необвързващи оценки на съответствието на продуктите с цифрови елементи.

4. Когато е приложимо, органите за надзор на пазара си сътрудничат с други органи за надзор на пазара, определени въз основа на друго законодателство на Съюза за хармонизация на други продукти, и редовно обменят информация.

5. Органите за надзор на пазара си сътрудничат по целесъобразност с органите, които упражняват надзор върху правото на Съюза в областта на защитата на личните данни. Това сътрудничество включва информиране на тези органи за всички констатации, които са от значение за изпълнението на техните правомощия, включително при издаването на насоки и съвети съгласно параграф 8 от настоящия член, ако тези насоки и съвети се отнасят до обработването на лични данни.

Органите, които упражняват надзор върху правото на Съюза в областта на защитата на личните данни, имат правомощието да изискват и получават достъп до всяка документация, създадена или поддържана съгласно настоящия регламент, когато достъпът до тази документация е необходим за осъществяването на задачите им. Те информират определените органи за надзор на пазара на съответната държава членка за всяко такова искане.

6. Държавите членки гарантират, че на определените органи за надзор на пазара се предоставят подходящи финансови и човешки ресурси с подходящи умения в областта на киберсигурността за изпълнение на задачите им съгласно настоящия регламент.

7. Комисията улеснява редовния и структуриран обмен на опит между определените органи за надзор на пазара.

8. Органите за надзор на пазара могат да предоставят насоки и съвети на икономическите оператори относно прилагането на настоящия регламент, както и относно нетехнически рискови фактори, с подкрепата на ЕРИКС, ENISA и Комисията.

8a. На органите за надзор на пазара се осигуряват необходимите средства, за да получават жалби от потребителите в съответствие с член 11 от Регламент (ЕО) № 2019/1020, включително чрез създаване на ясни и достъпни механизми за улесняване на докладването на уязвимости, инциденти и киберзаплахи.

9. Органите за надзор на пазара докладват на Комисията на годишна база резултатите от съответните дейности по надзор на пазара. Определените органи за надзор на пазара докладват незабавно на Комисията и на съответните национални органи за защита на конкуренцията всяка информация, установена в хода на дейностите по надзор на пазара, която може да представлява потенциален интерес за прилагането на правото на Съюза в областта на конкуренцията.

Органите за надзор на пазара предоставят на Комисията данни за средния очакван срок за поддръжка на продукта, определен от производителите, както и ако има такива, данни за средния очакван експлоатационен срок на продукта, разпределени по категории продукти с цифрови елементи. Комисията анализира тази информация и я публикува в публично достъпна и лесна за използване база данни.

9a. Комисията оценява докладваните данни, включително съгласно параграф 9 от настоящия член, за целите на докладите, посочени в член 56. Когато докладваните данни сочат повишено ниво на несъответствие при конкретни категории продукти, Комисията, след консултация с експертната група и ADCO, може да препоръча на надзорните органи да съсредоточат вниманието си върху съответните категории продукти.

10. По отношение на продуктите с цифрови елементи, които попадат в обхвата на настоящия регламент, класифицирани като високорискови системи с ИИ съгласно член [член 6] от Регламента [Регламента относно ИИ], органите за надзор на пазара, определени за целите на Регламента [Регламент относно ИИ], са органите, които отговарят за дейностите по надзор на пазара, изисквани съгласно настоящия регламент. Органите за надзор на пазара, определени за целите на Регламент [Регламента относно ИИ], си сътрудничат по целесъобразност с органите за надзор на пазара, определени за целите на настоящия регламент, а по отношение на надзора на изпълнението на задълженията за докладване съгласно член 11 — с ENISA. Органите за надзор на пазара, определени в съответствие с Регламент [Регламента относно ИИ], информират по-специално органите за надзор на пазара, определени в съответствие с настоящия регламент, за всички констатации, които са от значение за изпълнението на техните задачи във връзка с прилагането на настоящия регламент.

11. Създава се ▌ADCO група за киберустойчивост на продукти с цифрови елементи за еднакво прилагане на настоящия регламент в съответствие с член 30, параграф 2 от Регламент (ЕС) 2019/1020. Тази ADCO група е съставена от представители на определените органи за надзор на пазара и ако е целесъобразно, от представители на единните служби за връзка. Тази ADCO група обменя по-конкретно най-добри практики и когато е уместно, си сътрудничи с експертната група и ENISA, както и с групата за сътрудничество и мрежата на ЕРИКС, посочени в Директива (ЕС) 2022/2555.

11a. Органите за надзор на пазара улесняват участието на заинтересованите страни, включително на научни, научноизследователски и потребителски организации, в техните дейности.

Член 42
Достъп до данни и документи

Когато това е необходимо за оценяване на съответствието на продуктите с цифрови елементи и на процесите, въведени от техните производители, със съществените изисквания, посочени в приложение I, и при мотивирано искане, на органите за надзор на пазара се предоставя достъп до данните, необходими за оценяване на проектирането, разработването, производството и отстраняването на уязвимостите на такива продукти, включително до свързаната с тях вътрешна документация на съответния икономически оператор.

Член 43
Процедура на национално равнище по отношение на продукти с цифрови елементи, представляващи значителен киберриск

1. Когато органът за надзор на пазара на дадена държава членка има достатъчно основания да счита, че даден продукт с цифрови елементи, включително отстраняването на уязвимости, представлява значителен киберриск, той извършва без неоправдано забавяне и когато е целесъобразно, в сътрудничество с ЕРИКС, оценка на съответния продукт с цифрови елементи по отношение на съответствието му с всички изисквания, установени в настоящия регламент. Съответните икономически оператори оказват необходимото съдействие на органа за надзор на пазара.

Когато в хода на тази оценка органът за надзор на пазара открие, че за продукта с цифрови елементи не са спазени изискванията, определени в настоящия регламент, той без забавяне изисква от съответния икономически оператор да предприеме необходимите корективни действия, за да приведе продукта в съответствие с тези изисквания или да го изтегли от пазара, или да го изземе в определен от него разумен срок, съобразен с естеството на риска.

Органът за надзор на пазара надлежно информира съответния нотифициран орган. За подходящите корективни действия се прилага член 18 от Регламент (ЕС) 2019/1020.

1a. Когато органът за надзор на пазара на дадена държава членка има достатъчно основания да счита, че даден продукт с цифрови елементи представлява значителен киберриск или заплаха за националната сигурност с оглед на нетехнически рискови фактори, той издава целенасочени препоръки за икономическите оператори, за да се осигури предприемането на подходящи корективни действия.

2. Когато органът за надзор на пазара счита, че несъответствието не е ограничено само до националната му територия, той информира Комисията и другите държави членки за резултатите от оценката и за действията, които той е изискал да бъдат предприети от оператора.

3. Производителят гарантира, че са предприети всички подходящи корективни действия по отношение на всички съответни продукти с цифрови елементи, които той предоставя на пазара в целия Съюз.

4. Когато производителят на даден продукт с цифрови елементи не предприеме подходящи корективни действия в посочения в параграф 1, втора алинея срок, органът за надзор на пазара предприема всички подходящи временни мерки, за да забрани или ограничи предоставянето на продукта на националния пазар, да изтегли продукта от този пазар или да го изземе.

Този орган незабавно информира Комисията и другите държави членки за тези мерки.

5. Информацията, посочена в параграф 4, включва всички налични подробни данни, по-специално данните, необходими за идентифицирането на несъответстващия продукт с цифрови елементи, произхода на продукта с цифрови елементи, естеството на предполагаемото несъответствие и съпътстващия риск, естеството и продължителността на предприетите на национално равнище мерки, както и аргументите, изтъкнати от съответния оператор. По-специално органите за надзор на пазара посочват дали несъответствието се дължи на една или няколко от следните причини:

а) несъответствие на продукта или на процесите, въведени от производителя, със съществените изисквания, посочени в приложение I;

б) недостатъци в хармонизираните стандарти, схемите за сертифициране на киберсигурността или общите спецификации, посочени в член 18.

6. Органите за надзор на пазара на държавите членки, различни от органа за надзор на пазара на държавата членка, започнала процедурата, без забавяне информират Комисията и другите държави членки за всички приети мерки и за всяка допълнителна информация, с която разполагат за несъответствието на съответната система с ИИ, и в случай на несъгласие с нотифицираната национална мярка — за своите възражения.

7. Когато в срок от три месеца от получаването на информацията, посочена в параграф 4, не е повдигнато възражение нито от държава членка, нито от Комисията във връзка с временна мярка, предприета от държава членка, тази мярка се счита за обоснована. Това не засяга процедурните права на съответния оператор в съответствие с член 18 от Регламент (ЕС) 2019/1020.

8. Органите за надзор на пазара на всички държави членки гарантират, че без забавяне се вземат подходящите ограничителни мерки по отношение на въпросния продукт, като например изтеглянето на продукта от пазарите им.

Член 44
Предпазна процедура на Съюза

1. Когато в срок от три месеца след получаване на уведомлението по член 43, параграф 4 държава членка е повдигнала възражения срещу мярка, предприета от друга държава членка, или когато Комисията счита, че мярката противоречи на законодателството на Съюза, тя незабавно започва консултации със съответната държава членка и съответния(-те) икономически оператор(и) и извършва оценка на тази национална мярка. Въз основа на резултатите от тази оценка Комисията решава дали националната мярка е оправдана или не в срок от девет месеца от уведомлението, посочено в член 43, параграф 4, и уведомява съответната държава членка за това решение.

2. Ако бъде преценено, че националната мярка е оправдана, всички държави членки предприемат необходимите мерки да осигурят изтеглянето от своя пазар на несъответстващия продукт с цифрови елементи и информират Комисията за това. Ако бъде преценено, че националната мярка не е оправдана, съответната държава членка оттегля мярката.

3. Когато се прецени, че националната мярка е оправдана и несъответствието на продукта с цифрови елементи се дължи на недостатъци в хармонизираните стандарти, Комисията прилага процедурата, предвидена в член 10 от Регламент (ЕС) № 1025/2012.

4. Когато се прецени, че националната мярка е оправдана и несъответствието на продукта с цифрови елементи се дължи на недостатъци в европейска схема за сертифициране на киберсигурността, както е посочено в член 18, Комисията преценява дали да измени или отмени акта за изпълнение, както е посочено в член 18, параграф 4, който определя презумпцията за съответствие по отношение на тази схема за сертифициране.

5. Когато националната мярка се счита за оправдана и несъответствието на продукта с цифрови елементи се дължи на недостатъци в общите спецификации, както е посочено в член 19, Комисията преценява дали да измени или отмени акта за изпълнение, посочен в член 19, с който се определят тези общи спецификации.

Член 45
Процедура на равнището на ЕС по отношение на продукти с цифрови елементи, представляващи значителен киберриск

1. Когато Комисията има достатъчно основания да счита, включително въз основа на информация, предоставена от ENISA, че продукт с цифрови елементи, който представлява значителен киберриск, не отговаря на изискванията, установени в настоящия регламент, тя отправя искане към съответните органи за надзор на пазара да извършат оценка на съответствието и да изпълнят процедурите, посочени в член 43.

1a. Когато Комисията има достатъчно основания да счита, че даден продукт с цифрови елементи представлява значителен киберриск с оглед на нетехнически рискови фактори, тя информира съответните органи за надзор на пазара и издава целенасочени препоръки за икономическите оператори, за да се осигури предприемането на подходящи корективни действия.

2. При ▌обстоятелства, които оправдават незабавна намеса за запазване на доброто функциониране на вътрешния пазар, и когато Комисията има основания да счита, че продуктът, посочен в параграф 1, продължава да не отговаря на изискванията, установени в настоящия регламент, и съответните органи за надзор на пазара не са предприели ефективни мерки, Комисията отправя искане към ENISA да извърши оценка на съответствието. Комисията надлежно информира съответните органи за надзор на пазара. Съответните икономически оператори си сътрудничат при необходимост с ENISA.

3. Въз основа на оценката на ENISA Комисията може да реши, че е необходима корективна или ограничителна мярка на равнището на Съюза. За тази цел тя незабавно се консултира със съответните държави членки и със съответния(те) икономически оператор(и).

4. Въз основа на консултацията, посочена в параграф 3, Комисията може да приеме актове за изпълнение, за да вземе решение за корективни или ограничителни мерки на равнището на Съюза, включително разпореждане за изтегляне от пазара или изземване, в разумен срок, съобразен с естеството на риска. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 51, параграф 2.

5. Комисията незабавно съобщава решението, посочено в параграф 4, на съответния(те) икономически оператор(и). Държавите членки незабавно изпълняват актовете, посочени в параграф 4, и надлежно информират Комисията.

6. Параграфи 2 – 5 се прилагат за срока на извънредната ситуация, която е оправдала намесата на Комисията, и докато съответният продукт не бъде приведен в съответствие с настоящия регламент.

Член 46
Съответстващи продукти с цифрови елементи, които представляват значителен киберриск

1. Когато след извършване на оценката по член 43 органът за надзор на пазара на държава членка установи, че въпреки че даден продукт с цифрови елементи и въведените от производителя процеси са в съответствие с настоящия регламент, те представляват значителен киберриск и освен това представляват риск за здравето или безопасността на хората, за спазването на задълженията по правото на Съюза или националното право, предназначени за защита на основните права, за достъпността, автентичността, целостта или поверителността на услугите, предлагани чрез електронна информационна система от основни субекти от вида, посочен в член 3 от Директива (ЕС) 2022/2555, или за други аспекти на защитата на обществения интерес, той изисква от съответния икономически оператор да предприеме всички подходящи мерки, за да гарантира, че продуктът с цифрови елементи и процесите, въведени от съответния производител, когато са пуснати на пазара, вече не представляват този риск, да изтегли продукта с цифрови елементи от пазара или да го изземе в разумен срок, съобразен с естеството на риска.

2. Производителят или други съответни икономически оператори гарантират, че се предприемат корективни действия по отношение на въпросните продукти с цифрови елементи, които те са предоставили на пазара в целия Съюз, в рамките на срока, определен от органа за надзор на пазара на държавата членка, посочен в параграф 1.

3. Държавата членка незабавно информира Комисията и другите държави членки за предприетите по параграф 1 мерки. Тази информация включва всички налични подробни данни, по-специално данните, необходими за идентифицирането на съответните продукти с цифрови елементи, произхода и веригата на доставка на тези продукти с цифрови елементи, естеството на съпътстващия риск и естеството и продължителността на взетите на национално равнище мерки.

4. Комисията без забавяне започва консултации с държавите членки и съответния икономически оператор и оценява предприетата национална мярка. Въз основа на резултатите от тази оценка Комисията взема решение дали мярката е оправдана или не и когато е необходимо, предлага подходящи мерки.

5. Комисията адресира решението си до държавите членки.

6. Когато Комисията има достатъчно основания да счита, включително въз основа на информация, предоставена от ENISA, че даден продукт с цифрови елементи, въпреки че е в съответствие с настоящия регламент, представлява рисковете, посочени в параграф 1, тя може да поиска от съответния орган или органи за надзор на пазара да извършат оценка на съответствието и да следват процедурите, посочени в член 43 и параграфи 1, 2 и 3 от настоящия член.

7. При ▌обстоятелства, които оправдават незабавна намеса за запазване на доброто функциониране на вътрешния пазар, и когато Комисията има достатъчно основания да счита, че продуктът, посочен в параграф 6, продължава да носи рисковете, посочени в параграф 1, и съответните национални органи за надзор на пазара не са предприели ефективни мерки, Комисията може да поиска от ENISA да извърши оценка на рисковете, свързани с този продукт, и информира съответните органи за надзор на пазара за това. Съответните икономически оператори си сътрудничат при необходимост с ENISA.

8. Въз основа на оценката на ENISA, посочена в параграф 7, Комисията определя, ако е необходимо, корективна или ограничителна мярка на равнището на Съюза. За тази цел тя незабавно се консултира със съответните държави членки и със съответния(те) оператор(и).

9. Въз основа на консултацията, посочена в параграф 8, Комисията може да приеме актове за изпълнение, за да вземе решение за корективни или ограничителни мерки на равнището на Съюза, включително разпореждане за изтегляне от пазара или изземване, в разумен срок, съобразен с естеството на риска. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 51, параграф 2.

10. Комисията незабавно съобщава решението, посочено в параграф 9, на съответния(те) оператор(и). Държавите членки изпълняват такива актове без забавяне – и уведомяват Комисията за това.

11. Параграфи 6 – 10 се прилагат за срока на извънредната ситуация, която е оправдала намесата на Комисията, и докато съответният продукт продължава да носи рисковете, посочени в параграф 1.

Член 47
Официално несъответствие

1. Когато органът за надзор на пазара на дадена държава членка направи някоя от следните констатации, той изисква от съответния производител да прекрати въпросното несъответствие:

а) маркировката за съответствие е нанесена в нарушение на членове 21 и 22;

б) маркировката за съответствие не е нанесена;

в) ЕС декларацията за съответствие не е съставена;

г) ЕС декларацията за съответствие е съставена неправилно;

д) идентификационният номер на нотифицирания орган, участващ в процедурата за оценка на съответствието, когато е приложимо, не е нанесен.

е) техническата документация не е налице или не е пълна.

2. Когато несъответствието, посочено в параграф 1, продължи, съответната държава членка предприема всички подходящи мерки да ограничи или да забрани предоставянето на продукта с цифрови елементи на пазара, или да осигури неговото изземване или изтегляне от пазара.

Член 48
Съвместни дейности на органите за надзор на пазара

1. Органите за надзор на пазара ▌извършват съвместни дейности, насочени към гарантиране на киберсигурността и защитата на потребителите по отношение на конкретни продукти с цифрови елементи, пуснати или предоставени на пазара, по-специално продукти, за които често се установява, че представляват киберрискове.

2. Комисията или ENISA предлагат съвместни дейности за проверка на съответствието с настоящия регламент, които да се провеждат от органите за надзор на пазара въз основа на признаци или информация за потенциално несъответствие в няколко държави членки на продукти, които попадат в обхвата на настоящия регламент, с изискванията, определени от него.

3. Когато е приложимо, органите за надзор на пазара и Комисията гарантират, че споразумението за извършване на съвместни дейности не води до нелоялна конкуренция между икономическите оператори и не засяга по отрицателен начин обективността, независимостта и безпристрастността на страните по споразумението.

4. Органът за надзор на пазара може да използва всяка информация, получена в резултат на дейностите, извършени като част от предприето от него разследване.

5. Когато е приложимо, съответният орган за надзор на пазара и Комисията правят споразумението за съвместни дейности, включително имената на участващите страни, достъпно за обществеността.

Член 49
Мащабни проверки

1. Органите за надзор на пазара ▌редовно провеждат едновременни координирани действия за контрол („мащабни проверки“) на конкретни продукти или категории продукти с цифрови елементи, за да проверят съответствието с настоящия регламент или да открият нарушения на настоящия регламент. Те включват проверки на продукти, придобити под прикрита самоличност, и имат за цел да проверят съответствието на тези продукти с настоящия регламент.

2. Освен когато участващите органи за надзор на пазара са се договорили за друго, мащабните проверки се координират от Комисията. Координаторът на мащабната проверка оповестява публично общите резултати.

3. При изпълнение на своите задачи ENISA ▌, включително въз основа на уведомленията, получени съгласно член 11, параграфи 1 и 2, определя категориите продукти, за които се организират мащабни проверки. Предложението за мащабни проверки се представя на потенциалния координатор, посочен в параграф 2, за разглеждане от органите за надзор на пазара.

4. Когато провеждат мащабни проверки, участващите органи за надзор на пазара могат да използват правомощията за разследване, предвидени в членове 41 – 47, и всички други правомощия, предоставени им по силата на националното право.

5. Органите за надзор на пазара приканват служители на Комисията и други придружаващи ги лица, упълномощени от Комисията, да участват в мащабните проверки.

ГЛАВА VI

ДЕЛЕГИРАНИ ПРАВОМОЩИЯ И ПРОЦЕДУРА НА КОМИТЕТ

Член 50
Упражняване на делегирането

1. Правомощието да приема делегирани актове се предоставя на Комисията при спазване на предвидените в настоящия член условия.

2. Правомощието да приема делегирани актове, посочено в член 2, параграф 4, член 6, параграфи 2, 3 и 5, член 10, параграф 15, член 11, параграф 5, член 18, параграф 4, член 19, параграф 1, член 20, параграф 5 и член 23, параграф 5, се предоставя на Комисията.

3. Делегирането на правомощия, посочено в член 2, параграф 4, член 6, параграфи 2, 3 и 5, член 10, параграф 15, член 11, параграф 5, член 18, параграф 4, член 19, параграф 1, член 20, параграф 5 и член 23, параграф 5, може да бъде оттеглено по всяко време от Европейския парламент или от Съвета. С решението за оттегляне се прекратява посоченото в него делегиране на правомощия. Оттеглянето поражда действие в деня след публикуването на решението в Официален вестник на Европейския съюз или на по-късна дата, посочена в решението. То не засяга действителността на делегираните актове, които вече са в сила.

4. Преди приемането на делегиран акт Комисията се консултира с експерти, определени от всяка държава членка в съответствие с принципите, залегнали в Междуинституционалното споразумение от 13 април 2016 г. за по-добро законотворчество.

5. Веднага след като приеме делегиран акт, Комисията нотифицира акта едновременно на Европейския парламент и на Съвета.

6. Делегиран акт, приет съгласно член 2, параграф 4, член 6, параграфи 2, 3 и 5, член 10, параграф 15, член 11, параграф 5, член 18, параграф 4, член 19, параграф 1, член 20, параграф 5 или член 23, параграф 5, влиза в сила единствено ако нито Европейският парламент, нито Съветът не са представили възражения в срок от два месеца след нотифицирането на същия акт на Европейския парламент и Съвета или ако преди изтичането на този срок и Европейският парламент, и Съветът са уведомили Комисията, че няма да представят възражения. Този срок се удължава с два месеца по инициатива на Европейския парламент или на Съвета.

Член 51
Процедура на комитет

1. Комисията се подпомага от комитет. Този комитет е комитет по смисъла на Регламент (ЕС) № 182/2011.

2. При позоваване на настоящия параграф се прилага член 5 от Регламент (ЕС) № 182/2011.

3. Когато становището на комитета трябва да бъде получено по писмена процедура, тази процедура се прекратява без резултат, ако в рамките на срока за даване на становище председателят на комитета вземе такова решение или член на комитета отправи такова искане.

ГЛАВА VII

ПОВЕРИТЕЛНОСТ И САНКЦИИ

Член 52
Поверителност

1. Всички страни, участващи в прилагането на настоящия регламент, зачитат поверителността на информацията и данните, получавани при изпълнение на техните задачи и дейности, така че да защитават по-специално:

а) правата върху интелектуалната собственост и поверителната търговска информация или търговски тайни на дадено физическо или юридическо лице, включително изходния код, освен в случаите, посочени в член 5 от Директива 2016/943 на Европейския парламент и на Съвета [38];

б) ефективното прилагане на настоящия регламент, по-конкретно при проверките, разследванията или одитите;

в) обществения интерес и националната сигурност;

г) независимостта на наказателните или административните производства.

2. Без да се засяга параграф 1, информацията, обменена на поверителна основа между самите органи за надзор на пазара и между органите за надзор на пазара и Комисията, не се разкрива без предварителното съгласие на предоставилия тази информация орган за надзор на пазара.

3. Параграфи 1 и 2 не засягат правата и задълженията на Комисията, държавите членки и нотифицираните органи по отношение на обмена на информация и разпространяването на предупреждения, нито задълженията на засегнатите лица за представяне на информация съгласно наказателното право на държавите членки.

4. Комисията и държавите членки могат при необходимост да обменят чувствителна информация със съответните органи на трети държави, с които са сключили двустранни или многостранни споразумения, като гарантират адекватно равнище на защита.

Член 53
Санкции

1. Държавите членки определят правилата относно санкциите, приложими при нарушения на настоящия регламент от икономически оператори, и вземат всички необходими мерки, за да осигурят тяхното изпълнение. Предвидените наказания трябва да бъдат ефективни, пропорционални и възпиращи. Държавите членки гарантират, че тези правила вземат предвид финансовите възможности на микропредприятията и на малките и средните предприятия.

2. Държавите членки незабавно съобщават на Комисията тези правила и мерки и незабавно я уведомяват за всяко последващо изменение, което ги засяга. Комисията гарантира, че тези правила и мерки се прилагат по еднакъв и последователен начин в целия Съюз.

3. Неспазването на съществените изисквания за киберсигурност, посочени в приложение I, и на задълженията, посочени в членове 10 и 11, подлежи на административни глоби в размер до 15 000 000 EUR или, ако нарушителят е дружество, до 2,5 % от общия му годишен световен оборот за предходната финансова година, в зависимост от това коя от двете суми е по-висока.

4. Неспазването на всякакви други изисквания съгласно настоящия регламент подлежи на административни глоби в размер до 10 000 000 EUR или, ако нарушителят е дружество, до 2 % от общия му годишен световен оборот за предходната финансова година, в зависимост от това коя от двете суми е по-висока.

5. Предоставянето на неправилна, непълна или подвеждаща информация в отговор на искане от нотифицираните органи и органите за надзор на пазара подлежи на административни глоби в размер до 5 000 000 EUR или, ако нарушителят е дружество, до 1 % от общия му годишен световен оборот за предходната финансова година, в зависимост от това коя от двете суми е по-висока.

6. При вземането на решение относно размера на административната глоба във всеки отделен случай се вземат предвид всички обстоятелства от значение за конкретната ситуация и се обръща надлежно внимание на следното:

а) естеството, тежестта и продължителността на нарушението и последиците от него;

aa) дали нарушението е извършено по непредпазливост;

б) дали същите или други органи за надзор на пазара вече са наложили административни глоби на същия оператор за подобно нарушение;

в) размера, по-специално по отношение на микропредприятията и малките и средните предприятия, включително стартиращите предприятия, и пазарния дял на оператора, извършил нарушението.

7. Органите за надзор на пазара, които налагат административни глоби, споделят тази информация с органите за надзор на пазара на други държави членки чрез информационната и комуникационната система, посочена в член 34 от Регламент (ЕС) 2019/1020.

8. Всяка държава членка определя правила за това дали и до каква степен могат да бъдат налагани административни глоби на публични органи и структури, установени в тази държава членка.

9. В зависимост от правната система на държавите членки правилата относно административните глоби могат да се прилагат по такъв начин, че глобите да се налагат от компетентните национални съдилища или други органи в съответствие с компетентностите, определени на национално равнище в тези държави членки. Прилагането на тези правила в тези държави членки има равностоен ефект.

10. В зависимост от обстоятелствата на всеки отделен случай могат да бъдат наложени административни глоби в допълнение към други корективни или ограничителни мерки, приложени от органите за надзор на пазара за същото нарушение.

Член 53a
Разпределяне на приходите от санкции

Държавите членки разпределят приходите от санкциите, посочени в член 53, параграф 1, за проекти за повишаване на равнището на киберсигурността в рамките на Съюза. Тези проекти имат най-малко една от следните цели:

а) увеличаване на броя на квалифицираните специалисти в областта на киберсигурността, особено жените;

б) увеличаване на изграждането на капацитет за микропредприятията и малките и средните предприятия, за да се улесни спазването на настоящия регламент от тяхна страна;

в) подобряване на обществената осведоменост относно киберзаплахите, особено по отношение на тяхното предотвратяване и управление;

г) разработване на инструменти за повишаване на устойчивостта на предприятията от Съюза срещу кражби на интелектуална собственост чрез кибернетични средства.

ГЛАВА VIII

ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Изменение 54
Изменение на Регламент (ЕС) 2019/1020

В приложение I към Регламент (ЕС) 2019/1020 се добавя следната точка:

,,71. [Регламент ХХХ] [Законодателен акт за киберустойчивост]“.

Член 54a
Изменение на Директива (ЕС) 2020/1828

В приложение I към Директива (ЕС) 2020/1828 на Европейския парламент и на Съвета [39] се добавя следната точка:

,,67. [Регламент ХХХ] [Законодателен акт за киберустойчивост]“.

Член 55
Преходни разпоредби

1. Сертификатите за „ЕС изследване на типа“ и решенията за одобрение, издадени по отношение на изискванията за киберсигурност за продукти с цифрови елементи, които са предмет на друго законодателство на Съюза за хармонизация, остават валидни до [42 месеца след датата на влизане в сила на настоящия регламент], освен ако срокът им на валидност изтича преди тази дата или ако няма други разпоредби в друго законодателство на Съюза, в който случай те остават валидни, както е посочено в това законодателство на Съюза.

2. Продукти с цифрови елементи, които са пуснати на пазара преди [дата на прилагане на настоящия регламент, посочена в член 57], подлежат на изискванията на настоящия регламент само ако от тази дата тези продукти са предмет на съществени изменения в техния проект или предвидена употреба.

3. Като изключение от параграф 2, определените в член 11 задължения се прилагат за всички продукти с цифрови елементи, които попадат в обхвата на настоящия регламент и които са били пуснати на пазара преди [дата на прилагане на настоящия регламент, посочена в член 57].

3a. До датата на прилагане на настоящия регламент производителите могат да спазват изискванията на настоящия регламент доброволно. Когато производителите спазват настоящия регламент по отношение на своите продукти с цифрови елементи, се счита, че те също така спазват и Делегиран регламент (ЕС) 2022/30.

Комисията отменя Делегиран регламент (ЕС) 2022/30 на същата дата, на която започва да се прилага настоящият регламент.

Член 56
Оценка и преглед

1. В срок до [36 месеца след датата на прилагане на настоящия регламент] и на всеки четири години след това, Комисията представя на Европейския парламент и на Съвета доклад относно оценката и прегледа на настоящия регламент. Тези доклади се публикуват.

2. Всяка година, когато представя проектобюджета за следващата година, Комисията представя подробна оценка на задачите на ENISA съгласно настоящия регламент, както е посочено в приложение VIа, и в други съответни законодателни актове на Съюза, и подробно описва финансовите и човешките ресурси, необходими за изпълнението на тези задачи.

Член 57
Влизане в сила и прилагане

Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.

Той се прилага от [36 месеца след датата на влизане в сила на настоящия регламент]. Член 11 обаче се прилага от [18 месеца след датата на влизане в сила на настоящия регламент].

Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.

Съставено в ▌на [...] година.

За Европейския парламент За Съвета

Председател Председател

ПРИЛОЖЕНИЕ I

СЪЩЕСТВЕНИ ИЗИСКВАНИЯ ЗА КИБЕРСИГУРНОСТ

1. Изисквания за сигурност, свързани със свойствата на продуктите с цифрови елементи

(1) Продуктите с цифрови елементи се проектират, разработват и произвеждат по такъв начин, че да гарантират подходящо ниво на киберсигурност въз основа на рисковете;

▌

(3) Въз основа на оценката на киберриска, посочена в член 10, параграф 2, и когато е приложимо, продуктите с цифрови елементи:

-a) се предоставят без известни уязвимости, които могат да бъдат използвани,

а) се предоставят с конфигурация с настройки за сигурност по подразбиране, освен ако е договорено друго между страните в контекста на сделка между предприятия, включително възможност за възстановяване на продукта до първоначалното му състояние, като едновременно с това се запазват всички инсталирани актуализации на защитата,

aa) когато това е технически осъществимо, се предоставят на пазара с функционално разделение на актуализациите на защитата от актуализацията на функционалните възможности,

aб) гарантират автоматични актуализации на защитата с ясен и лесен за използване механизъм за отказ и уведомяване на ползвателите за налични актуализации,

б) гарантират защита от непозволен достъп чрез подходящи механизми за контрол, включително, но не само, системи за управление на удостоверяването, самоличността и достъпа,

в) защитават поверителността на съхранени, предадени или обработени по друг начин данни, лични или други, като например чрез криптиране на съответните данни в покой или при пренос чрез най-съвременните механизми и чрез използване на други технически средства,

г) защитават целостта на съхранени, предадени или обработени по друг начин данни, лични или други, команди, програми и конфигурация срещу манипулиране или промяна, които не са разрешени от ползвателя, както и докладват за повреди или възможен неразрешен достъп,

д) обработват само данни, лични или други, които са подходящи, свързани със и ограничени до необходимото във връзка с предвидената употреба на продукта („свеждане на данните до минимум“),

е) защитават наличието на основни и базисни функции, също така и след инцидент, включително с управлението на архивирането, и мерки за устойчивост срещу и овладяване на атаки за отказ на услуга,

ж) ограничават до минимум собственото си отрицателно въздействие върху наличието на услуги, предоставяни от други устройства или мрежи,

з) са проектирани, разработени и произведени по такъв начин, че да бъдат ограничени повърхностите, уязвими за атаки, включително външните интерфейси,

и) са проектирани, разработени и произведени по такъв начин, че да бъде намалено въздействието на даден инцидент чрез подходящи механизми и техники за овладяване на зловреден код,

й) осигуряват информация, свързана със сигурността, посредством възможности за записване и/или наблюдение на съответната вътрешна дейност, включително достъпа до данни, услуги или функции или тяхната промяна, с механизъм за отказ за ползвателя,

▌

ка) дават възможност на ползвателите да изтеглят и премахват за постоянно данните си по сигурен начин.

2. Изисквания относно отстраняването на уязвимости

Производителите на продукти с цифрови елементи:

(1) идентифицират и документират уязвимостите и компонентите, съдържащи се в продукта, включително чрез изготвяне на опис на софтуерните компоненти в общоприет и машинночитаем формат, обхващащ най-малко зависимостите на продукта на най-високо равнище,

(2) във връзка с рисковете за продуктите с цифрови елементи, незабавно предприемат действия и отстраняват уязвимостите, включително чрез осигуряване на актуализации на защитата, които се инсталират автоматично, където е приложимо, в съответствие с раздел I,

(3) изпълняват ефективни и редовни проверки и прегледи на сигурността на продукта с цифрови елементи,

(4) след като бъде предоставена актуализация на защитата, споделят и публично разкриват информация за коригираните уязвимости по контролиран начин, включително описание на уязвимостите, информация, която дава възможност на ползвателите да идентифицират засегнатия продукт с цифрови елементи, въздействието на уязвимостите, тяхната сериозност и ясна и достъпна информация, помагаща на ползвателите да коригират уязвимостите,

(5) въвеждат и прилагат политика относно координирано оповестяване на уязвимости,

(6) предприемат мерки за улесняване на споделянето на информация за потенциалните уязвимости в техния продукт с цифрови елементи, както и в компоненти на трети страни, съдържащи се в този продукт, включително чрез предоставяне на адрес за контакт за докладване на уязвимостите, открити в продукта с цифрови елементи,

(7) предоставят механизми за сигурно разпространение на актуализации на защитата за продукти с цифрови елементи, за да се гарантира, че уязвимостите, които могат да бъдат използвани, са коригирани или овладени своевременно,

(8) гарантират, че когато са налични софтуерни поправки или актуализации за сигурност с цел преодоляване на установени проблеми със сигурността, те се разпространяват незабавно и – освен ако е договорено друго между страните в контекста на сделка между предприятия – безплатно, придружени от информационни съобщения, предоставящи на ползвателите необходимата информация, включително относно потенциалните действия, които трябва да бъдат предприети.

(8a) когато е възможно и приложимо, уведомяват ползвателя за края на периода на поддръжка.

ПРИЛОЖЕНИЕ II

ИНФОРМАЦИЯ И УКАЗАНИЯ ЗА ПОЛЗВАТЕЛЯ

Като минимум продуктът с цифрови елементи се придружава от:

1. името, регистрираното търговско наименование или регистрираната търговска марка на производителя, пощенския адрес, адреса на електронна поща и уебсайта – когато има наличен такъв, на които може да се осъществи контакт с производителя, върху продукта или ▌ върху неговата опаковка, или в документ, който придружава продукта,

2. единния център за контакт, където може да бъде докладвана и получена информация за уязвимости в киберсигурността на продукта и политиката на производителя по отношение на координираните уязвимости, както и това къде може да бъде намерена тя;

3. правилното идентифициране на типа, партидата, версията или серийния номер или друг елемент, позволяващ идентифицирането на продукта и съответните указания и информация за ползвателите,

4. предвидената употреба, включително средата на сигурност, осигурена от производителя, както и основните функции на продукта и информация за параметрите на сигурността,

5. известните или предвидимите обстоятелства, свързани с използването на продукта с цифрови елементи в съответствие с неговото предназначение или в условия на разумно предвидима неправилна експлоатация, които могат да доведат до значими рискове за киберсигурността,

6. ако и когато е приложимо, къде може да бъде намерен описът на софтуерните компоненти от страна на компетентните органи в съответствие с условията за неразкриване на информация по член 52;

7. когато е приложимо, интернет адреса, на който може да бъде намерена декларацията за съответствие с изискванията на ЕС,

8. вида на техническата поддръжка за сигурност, предлагана от производителя, и периода на поддръжка, през който ползвателите могат да очакват да бъдат отстранявани уязвимостите и да получават актуализации на защитата;

9. подробни инструкции или интернет адрес, препращащ към такива подробни инструкции и информация за:

а) необходимите мерки при първоначалното пускане в експлоатация и през целия жизнен цикъл на продукта, за да се гарантира неговото безопасно използване,

б) по какъв начин промените в продукта ще засягат сигурността на данните,

в) как да се инсталират актуализациите, свързани със сигурността,

г) сигурното извеждане от експлоатация на продукта, включително информация за това как данните на ползвателите могат да бъдат премахнати по сигурен начин.

ПРИЛОЖЕНИЕ ІІІ

КРИТИЧНИ ПРОДУКТИ С ЦИФРОВИ ЕЛЕМЕНТИ

Клас I

1. Софтуер за системи за управление на самоличността и софтуер за управление на привилегирования достъп;

2. Отделни и вградени браузъри;

3. Мениджъри на пароли;

3a. Биометрични четци;

4. Софтуер, който търси, премахва или поставя под карантина зловреден софтуер;

5. Продукти с цифрови елементи с функцията виртуална частна мрежа (VPN);

6. Системи за управление на мрежата;

7. Инструменти за управление на конфигурацията на мрежата;

8. Системи за наблюдение на мрежовия трафик;

9. Управление на мрежови ресурси;

10. Системи за управление на информацията за безопасност и на събитията, свързани със сигурността;

11. Управление на актуализациите/поправките, включително мениджъри за зареждане;

12. Системи за управление на конфигурацията на приложенията;

13. Софтуер за отдалечен достъп ▌;

14. Софтуер за управление на мобилни устройства;

15. Физически и виртуални мрежови интерфейси;

16. Операционни системи, които са извън обхвата на клас II;

17. Защитни стени, системи за установяване и/или предотвратяване на проникване, които са извън обхвата на клас II;

19. Микропроцесори с общо предназначение и микропроцесори, които са извън обхвата на клас II;

20. Микроконтролери;

21. Интегрални схеми, специфични за приложенията (ASIC), и програмируеми логически матрици (FPGA), предназначени за използване от основни субекти от вида, посочен в член 3 от Директива (ЕС) 2022/2555;

22. Системи за индустриална автоматизация и контрол (IACS) извън обхвата на клас II, като програмируеми логически контролери (PLC), системи за разпределен контрол (DCS), компютъризирани цифрови контролери за обработващи машини (CNC), промишлени роботи и техните системи за контрол и системи за събиране и контрол на данни (SCADA);

23. Индустриален интернет на предметите, който е извън обхвата на клас II;

23a. Системи за автоматизация на дома, включително сървъри за интелигентни сгради и виртуални асистенти;

23б. Устройства за сигурност, включително интелигентни брави за врати, камери и алармени системи;

23в. Интелигентни играчки;

23г. Лични здравни уреди и носими устройства.

Клас II

1. Операционни системи за сървъри, настолни компютри и преносими устройства;

2. Хипервайзори и системи за изпълнение на контейнери, които поддържат виртуализация на операционни системи и подобни среди;

3. Инфраструктура на публичния ключ и издатели на електронни сертификати;

4. Защитни стени, системи за установяване и/или предотвратяване на проникване, предназначени за промишлена употреба;

▌

6. Микропроцесори, предназначени за интегриране в програмируеми логически контролери и елементи за защита;

7. Маршрутизатори, модеми, предназначени за връзка с интернет, и комутатори ▌;

8. Елементи за защита;

9. Хардуерни модули за сигурност (HSM);

10. Защитни криптопроцесори;

11. Карти с чип, четящи устройства за карти с чип и токени;

12. Системи за индустриална автоматизация и контрол (IACS), предназначени за използване от основни субекти от вида, посочен в член 3 от Директива (ЕС) 2022/2555, като програмируеми логически контролери (PLC), системи за разпределен контрол (DCS), компютъризирани цифрови контролери за обработващи машини (CNC) и системи за събиране и контрол на данни (SCADA);

13. Устройства за индустриален интернет на предметите, предназначени за използване от съществени субекти от вида, посочен в член 3 от Директива (ЕС) 2022/2555;

▌

15. Интелигентни измервателни уреди.

ПРИЛОЖЕНИЕ IV

ДЕКЛАРАЦИЯ ЗА СЪОТВЕТСТВИЕ С ИЗИСКВАНИЯТА НА ЕС

Декларацията за съответствие с изискванията на ЕС по член 20 съдържа цялата посочена по-долу информация:

1. наименование, тип и всякаква допълнителна информация за уникалната идентификация на продукта с цифрови елементи,

2. име и адрес на производителя или на неговия упълномощен представител,

3. изявление, че единствено доставчикът носи отговорност за издадената декларация за съответствие с изискванията на ЕС,

4. предмет на декларацията (идентификация на продукта, позволяваща проследяването му. При необходимост може да се добави снимка),

5. изявление, че описаният по-горе предмет на декларацията е в съответствие с приложимото законодателство на Съюза за хармонизация,

6. позоваване на използваните хармонизирани стандарти или на други общи спецификации или сертифициране за киберсигурност, по отношение на които се декларира съответствие,

7. когато е приложимо, наименование и номер на нотифицирания орган, описание на извършената процедура за оценяване на съответствието и идентификация на издадения сертификат,

8. Допълнителна информация:

Подписано за и от името на: …………………………………

(място и дата на издаване):

(име, длъжност) (подпис):

ПРИЛОЖЕНИЕ V

СЪДЪРЖАНИЕ НА ТЕХНИЧЕСКАТА ДОКУМЕНТАЦИЯ

Техническата документация по член 23 съдържа най-малко следната информация, приложима за съответния продукт с цифрови елементи:

1. общо описание на продукта с цифрови елементи, включително:

а) неговото предназначение,

б) версии на софтуера, които засягат съответствието със съществените изисквания,

в) в случаите, когато продуктът с цифрови елементи е хардуерен продукт, снимки или илюстрации, показващи външните характеристики, маркировките и вътрешната схема,

г) информация и указания за ползвателите, както е посочено в приложение II;

2. описание на проектирането, разработването и производството на продукта и на процесите на отстраняване на уязвимостите, включително:

а) пълна информация за проекта и разработването на продукта с цифрови елементи, включително, когато е приложимо, чертежи и схеми и/или описание на архитектурата на системата, в което се обяснява как компонентите на софтуера се надграждат или се свързват помежду си и се интегрират в цялостното обработване,

б) пълна информация и спецификации на процесите за отстраняване на уязвимости, въведени от производителя, включително опис на софтуерните компоненти, политика относно координираното оповестяване на уязвимости, доказателство за предоставяне на адрес за контакт за докладване на уязвимостите и описание на техническите решения за безопасно разпространение на актуализации;

в) пълна информация и спецификации на процесите на производство и наблюдение на продукта с цифрови елементи и валидирането на тези процеси;

3. оценка на рисковете за киберсигурността, срещу които продуктът с цифрови елементи е проектиран, разработен, произведен, доставен и поддържан, както е посочено в член 10 от настоящия регламент, включително по какъв начин са приложими съществените изисквания по приложение I, раздел 1;

4. списък на хармонизираните стандарти, приложени изцяло или частично, данните за които са публикувани в Официален вестник на Европейския съюз, общи спецификации, както е посочено в член 19 от настоящия регламент, или схеми за сертифициране в областта на киберсигурността в съответствие с Регламент (ЕС) 2019/881 съгласно член 18, параграф 3, а в случаите, когато тези хармонизирани стандарти, общи спецификации или схеми за сертифициране в областта на киберсигурността не са били приложени – описания на решенията, приети за изпълнение на съществените изисквания, посочени в раздели 1 и 2 към приложение I, включително списък на приложените други подходящи технически спецификации. При частично приложени хармонизирани стандарти, общи спецификации или сертификати за киберсигурност, в техническата документация се посочват частите, които са били приложени,

5. докладите от изпитванията, извършени с цел проверка на съответствието на продукта и на процесите за отстраняване на уязвимостите с приложимите съществени изисквания, посочени в раздели 1 и 2 към приложение I,

6. копие на декларацията за съответствие с изискванията на ЕС,

7. когато е приложимо, опис на софтуерните компоненти, както е определено в член 3, точка 36, при обосновано искане от страна на орган за надзор на пазара, при условие че това е необходимо, за да може този орган да проверява съответствието със съществените изисквания, посочени в приложение I.

ПРИЛОЖЕНИЕ VI

ПРОЦЕДУРИ ЗА ОЦЕНЯВАНЕ НА СЪОТВЕТСТВИЕТО

Процедура за оценяване на съответствието въз основа на вътрешен контрол (въз основа на модул А)

1. Вътрешният контрол е процедурата за оценяване на съответствието, чрез която производителят изпълнява задълженията си по точки 2, 3 и 4 и гарантира и декларира на своя отговорност, че продуктите с цифрови елементи отговарят на всички съществени изисквания, посочени в приложение I, раздел 1, както и че производителят отговаря на съществените изисквания, посочени в приложение I, раздел 2.

2. Производителят изготвя техническата документация, описана в приложение V.

3. Проектиране, разработване, производство и отстраняване на уязвимостите на продукти с цифрови елементи

Производителят взема всички необходими мерки за това процесите по проектиране, разработване, производство и отстраняване на уязвимостите и тяхното наблюдение да гарантират съответствието на произвежданите или разработваните продукти с цифрови елементи и на въведените от производителя процеси със съществените изисквания, определени в раздели 1 и 2 към приложение I.

4. Маркировка за съответствие и декларация за съответствие

4.1. Производителят поставя маркировката „СЕ“ върху всеки отделен продукт с цифрови елементи, който отговаря на приложимите изисквания на настоящия регламент.

4.2. Производителят изготвя писмена декларация за съответствие с изискванията на ЕС за всеки продукт с цифрови елементи в съответствие с член 20 и я съхранява заедно с техническата документация на разположение на националните органи в продължение на 10 години след пускането на продукта с цифрови елементи на пазара или през очаквания експлоатационен срок на продукта или периода на поддръжка, в зависимост от това кой период е по-дълъг. В декларацията за съответствие с изискванията на ЕС се посочва продуктът с цифрови елементи, за който е изготвена. Копие от декларацията за съответствие с изискванията на ЕС се предоставя на съответните органи при поискване.

5. Упълномощени представители

Задълженията на производителя по точка 4 могат да бъдат изпълнявани от негов упълномощен представител, от негово име и на негова отговорност, при условие че са посочени в пълномощието.

ЕС изследване на типа (въз основа на модул B)

1. ЕС изследване на типа е част от процедура за оценяване на съответствието, в която нотифициран орган проверява техническия проект и разработването на продукт и процесите за отстраняването на уязвимостите, въведени от производителя, и удостоверява, че продукт с цифрови елементи отговаря на съществените изисквания, определени в приложение I, раздел 1, както и че производителят отговаря на съществените изисквания, определени в приложение I, раздел 2.

2. ЕС изследване на типа се извършва чрез оценка на пригодността на техническия проект и на разработването на продукта чрез изследване на техническата документация и подкрепящите доказателства по точка 3, с изследване на образци от една или повече основни части на продукта (комбинация от производствен тип и проектен тип).

3. Производителят подава заявление за ЕС изследване на типа само до един нотифициран орган по свой избор.

Заявлението включва:

– името и адреса на производителя, а в случаите когато заявлението е подадено от упълномощен представител, и неговото име и адрес,

– писмена декларация, че същото заявление не е подадено до друг нотифициран орган,

– техническата документация, която позволява да се направи оценка на съответствието на продукта с приложимите съществени изисквания, определени в приложение I, раздел 1, и на процесите на отстраняване на уязвимостите на производителя, посочени в приложение I, раздел 2, и включва подходящ анализ и оценка на риска (рисковете). В техническата документация се посочват приложимите изисквания и се обхващат, доколкото е необходимо за оценяването, проектирането, производството и експлоатацията на продукта. Техническата документация съдържа, когато е приложимо, като минимум елементите, определени в приложение V,

– подкрепящите доказателства за пригодност на техническите решения за проекта и разработването и на процесите на отстраняване на уязвимостите. В тези подкрепящи доказателства се посочват всички използвани документи, по-специално в случаите, когато съответните хармонизирани стандарти и/или технически спецификации не са били приложени изцяло. Когато е необходимо, подкрепящите доказателства включват резултатите от изпитванията, проведени от подходяща лаборатория на производителя или от друга лаборатория от негово име и на негова отговорност.

4. Нотифицираният орган:

4.1. разглежда техническата документация и подкрепящите доказателства, за да направи оценка на съответствието на техническия проект и на разработката на продукта със съществените изисквания, посочени в приложение I, раздел 1, както и на въведените от производителя процеси на отстраняване на уязвимостите със съществените изисквания, посочени в приложение I, раздел 2,

4.2. удостоверява, че образецът (образците) са разработени или произведени в съответствие с техническата документация, и определя елементите, проектирани и разработени в съответствие с приложимите разпоредби на съответните хармонизирани стандарти и/или технически спецификации, както и елементите, които са проектирани и разработени без прилагане на съответните разпоредби на тези стандарти,

4.3. извършва подходящи изследвания и изпитвания или организира извършването им с цел да провери дали в случаите, когато производителят е предпочел да приложи решенията от съответните хармонизирани стандарти и/или технически спецификации по отношение на изискванията, посочени в приложение I, същите са били приложени правилно,

4.4. извършва подходящи изследвания и изпитвания или организира извършването им с цел да провери дали в случаите, когато решенията от съответните хармонизирани стандарти и/или технически спецификации по отношение на изискванията, посочени в приложение I, не са приложени, решенията, избрани от производителя, отговарят на съответните съществени изисквания,

4.5. съгласува с производителя мястото, където да се извършат изследванията и изпитванията.

5. Нотифицираният орган изготвя доклад от оценката, в който описва действията, предприети съгласно точка 4, и получените резултати. Без да се нарушават задълженията му по отношение на нотифициращите органи, нотифицираният орган разгласява изцяло или отчасти съдържанието на доклада само със съгласието на производителя.

6. Когато типът и процесите на отстраняване на уязвимостите отговарят на съществените изисквания, посочени в приложение I, нотифицираният орган издава на производителя сертификат за ЕС изследване на типа. Сертификатът съдържа името и адреса на производителя, заключенията от изследването, условията (ако има такива) за неговата валидност, необходимите данни за идентификация на одобрения тип и на процесите на отстраняване на уязвимостите. Сертификатът може да съдържа едно или повече приложения.

Сертификатът и приложенията към него съдържат цялата необходима информация, за да може да бъде оценено съответствието на произведените или разработените продукти с изследвания тип и процеси на отстраняване на уязвимости, и да се даде възможност за контрол по време на експлоатация.

Когато типът и процесите на отстраняване на уязвимости не отговарят на приложимите съществени изисквания, посочени в приложение I, нотифицираният орган отказва издаването на сертификат за ЕС изследване на типа и информира заявителя по надлежния ред, като подробно мотивира отказа си.

7. Нотифицираният орган следи за евентуални промени в общоприетото ниво на технически познания, които показват, че има вероятност одобреният тип и процесите на отстраняване на уязвимости вече да не отговарят на приложимите съществени изисквания, посочени в приложение I към настоящия регламент, и преценява дали е необходимо по-нататъшно проучване на такива промени. Ако това е така, нотифицираният орган информира производителя по съответния начин.

Производителят информира нотифицирания орган, у когото се намира техническата документация, отнасяща се до сертификата за ЕС изследване на типа, за всички промени на одобрения тип и на процесите на отстраняване на уязвимостите, които могат да повлияят на съответствието със съществените изисквания, посочени в приложение I, или на условията за валидност на сертификата. Такива промени изискват допълнително одобрение под формата на допълнение към оригиналния сертификат за ЕС изследване на типа.

8. Всеки нотифициран орган информира своите нотифициращи органи за сертификатите за ЕС изследване на типа и/или за допълненията към тях, които е издал или отнел, и периодично или при поискване предоставя на нотифициращите органи списъка на сертификатите и/или допълненията към тях, които е отказал, временно прекратил или ограничил по някакъв друг начин.

Всеки нотифициран орган информира останалите нотифицирани органи за сертификатите за ЕС изследване на типа и/или за допълненията към тях, които е отказал, отнел, временно прекратил или ограничил по някакъв друг начин, а при поискване — и за сертификатите и/или допълненията към тях, които е издал.

Комисията, държавите членки и останалите нотифицирани органи могат при поискване да получат копие от сертификатите за ЕС изследване на типа и/или от допълненията към тях. При поискване Комисията и държавите членки могат да получат копие от техническата документация и резултатите от проведените от нотифицирания орган изследвания. Нотифицираният орган съхранява копие от сертификата за ЕС изследване на типа, неговите приложения и допълнения, както и техническото досие, включващо документацията, представена от производителя, до изтичане на валидността на сертификата.

9. Производителят съхранява копие от сертификата за ЕС изследване на типа, неговите приложения и допълнения заедно с техническата документация на разположение на националните органи в продължение на 10 години след пускането на продукта на пазара или в продължение на периода на поддръжка.

10. Упълномощеният представител на производителя има право да подава заявлението по точка 3 и да изпълнява задълженията по точки 7 и 9, при условие че са посочени в пълномощието.

Съответствие с типа въз основа на вътрешен производствен контрол (въз основа на модул C)

1. Съответствието с типа въз основа на вътрешен производствен контрол е тази част от процедурата за оценяване на съответствието, чрез която производителят изпълнява задълженията си по точки 2 и 3 и гарантира и декларира, че съответните продукти са в съответствие с типа, описан в сертификата за ЕС изследване на типа, и отговарят на съществените изисквания, посочени в приложение I, раздел 1.

2. Производство

2.1. Производителят взема всички необходими мерки за това производството и неговото наблюдение да осигурят съответствието на произвежданите продукти с одобрения тип, описан в сертификата за ЕС изследване на типа, и със съществените изисквания, посочени в приложение I, раздел 1.

3. Маркировка за съответствие и декларация за съответствие

3.1. Производителят поставя маркировката за съответствие „СЕ“ върху всеки отделен продукт, който е в съответствие с типа, описан в сертификата за ЕС изследване на типа, и което отговаря на приложимите изисквания на нормативния акт.

3.2. Производителят изготвя писмена декларация за съответствие за образец от продукта и я съхранява на разположение на националните органи в продължение на 10 години след пускането на продукта на пазара или в продължение на периода на поддръжка. Декларацията за съответствие идентифицира образеца от продукта, за който е изготвена. Копие от декларацията за съответствие се предоставя на съответните органи при поискване.

4. Упълномощен представител

Задълженията на производителя по точка 3 могат да бъдат изпълнявани от негов упълномощен представител, от негово име и на негова отговорност, при условие че са посочени в пълномощието.

Съответствие въз основа на пълно осигуряване на качеството (въз основа на модул H)

1. Съответствие въз основа на пълно осигуряване на качеството е процедурата за оценяване на съответствието, чрез която производителят изпълнява задълженията си по точки 2 и 5 и гарантира и декларира на своя отговорност, че съответните продукти (или продуктови категории) отговарят на съществените изисквания, посочени в приложение I, раздел 1, както и че процесите на отстраняване на уязвимостите, въведени от производителя, отговарят на изискванията, посочени в приложение I, раздел 2.

2. Проектиране, разработване, производство и отстраняване на уязвимостите на продукти с цифрови елементи

Производителят разполага с одобрена система за управление на качеството, както е посочено в точка 3, за проектирането, разработването и производството на съответните продукти и за отстраняването на уязвимости, поддържа нейната ефективност през целия жизнен цикъл на съответните продукти и подлежи на надзор, както е посочено в точка 4.

3. Система за управление на качеството

3.1. Производителят подава заявление за оценяване на неговата система за управление на качеството по отношение на съответните продукти до нотифициран орган по свой избор.

Заявлението включва:

– името и адреса на производителя, а в случаите, когато заявлението е подадено от упълномощен представител, и неговото име и адрес,

– техническата документация за един образец от всяка категория продукти, чието производство или разработване се предвижда. Техническата документация съдържа, когато е приложимо, като минимум елементите, посочени в приложение V,

– документацията относно системата за управление на качеството и

– писмена декларация, че същото заявление не е подадено до друг нотифициран орган.

3.2. Системата за управление на качеството осигурява съответствието на продуктите със съществените изисквания, посочени в приложение I, раздел 1, и съответствието на въведените от производителя процеси на отстраняване на уязвимостите с изискванията, посочени в приложение I, раздел 2.

Всички елементи, изисквания и предписания, приети от производителя, се документират редовно и систематично под формата на писмени политики, процедури и инструкции. Документацията на системата за управление на качеството позволява еднозначно тълкуване на програмите, плановете, наръчниците и записите във връзка с контрола на качеството.

По-конкретно тя включва достатъчно описание на:

– целите във връзка с качеството и организационната структура, отговорностите и правомощията на ръководството по отношение на проектирането, разработването, качеството на продукта и отстраняването на уязвимостите,

– техническите спецификации на проекта и разработването, включително стандарти, които ще бъдат приложени, а когато съответните хармонизирани стандарти и/или технически спецификации няма да бъдат приложени изцяло, средствата, които ще се използват за осигуряване съответствието на продуктите със съществените изисквания, посочени в приложение I, раздел 1,

– спецификациите на процедурите, включително стандарти, които ще бъдат приложени, а когато съответните хармонизирани стандарти и/или технически спецификации няма да бъдат приложени изцяло, средствата, които ще се използват за осигуряване съответствието на производителя със съществените изисквания, посочени в приложение I, раздел 2,

– контролът на проектирането и разработката, както и техниките, процесите и системните действия за проверка на проекта и разработката, които ще бъдат използвани при проектирането и разработването на продуктите, принадлежащи към обхванатата продуктова категория,

– съответните техники на производство, контрол на качеството и осигуряване на качеството, процесите и системните действия, които ще се използват,

– изследванията и изпитванията, които ще се извършват преди, по време на и след производството, и честотата с която ще се извършват,

– записите по качеството, като доклади от проверки, данни от изпитвания, данни от калибриране, доклади за квалификацията на съответния персонал и др.,

– средствата за наблюдение за постигане на изискваното качество на проекта и на продукта, и за ефективното функциониране на системата за управление на качеството.

3.3. Нотифицираният орган оценява системата за управление на качеството, за да определи дали тя отговаря на изискванията, посочени в точка 3.2.

По отношение на елементите на системата за управление на качеството, които отговарят на съответните спецификации на националния стандарт, който въвежда съответния хармонизиран стандарт и/или технически спецификации нотифицираният орган приема, че е налице съответствие с посочените по-горе изисквания.

В допълнение към опита в системи за управление на качеството, екипът одитори разполага най-малко с един член с опит в оценяването на съответната продуктова област и технологията на продукта, както и с познания за приложимите изисквания на настоящия регламент. Одитът включва посещение за оценка в помещенията на производителя, когато такива помещения съществуват. Екипът одитори извършва преглед на техническата документация по точка 3.1, второ тире с цел да установи способността на производителя да определи приложимите изисквания на настоящия регламент и да проведе необходимите изследвания, за да осигури съответствието на продукта с тези изисквания.

Производителят или неговият упълномощен представител се уведомява за решението.

Уведомлението съдържа заключенията от одита и мотивирано решение относно извършеното оценяване.

3.4. Производителят се задължава да изпълнява задълженията, произтичащи от одобрената система за управление на качеството, както и да я поддържа в състояние на пригодност и ефикасно функциониране.

3.5. Производителят редовно информира нотифицирания орган, одобрил системата за управление на качеството, за всякакви планирани изменения в нея.

Нотифицираният орган оценява предложените изменения и решава дали изменената система за управление на качеството ще продължи да отговаря на изискванията по точка 3.2, или се налага ново оценяване.

Той уведомява производителя за своето решение. Уведомлението включва заключенията от извършеното изследване и мотивирано решение относно извършеното оценяване.

4. Надзор под отговорността на нотифицирания орган

4.1. Целта на надзора е да се гарантира, че производителят изпълнява правилно задълженията, произтичащи от одобрената система за управление на качеството.

4.2. За целите на оценката производителят предоставя достъп на нотифицирания орган до местата на проектиране, разработване, производство, проверка, изпитване и съхраняване и му предоставя цялата налична информация, по-специално:

– документацията на системата за управление на качеството,

– архивните документи за качеството, посочени в проектната част на системата за управление на качеството, като резултати от анализи, изчисления, изпитвания и др.,

– записите по качеството, посочени в производствената част на системата за управление на качеството, като доклади от проверки, данни от изпитвания, данни от калибриране, доклади за квалификацията на съответния персонал и др.

4.3. Нотифицираният орган извършва периодични одити, за да се увери, че производителят поддържа и прилага системата за управление на качеството, и предоставя на производителя доклад от одита.

5. Маркировка за съответствие и декларация за съответствие

5.1. Производителят поставя маркировката „СЕ“, и на отговорността на нотифицирания орган, посочен в точка 3.1, идентификационния му номер, върху всеки отделен продукт, който отговаря на изискванията, посочени в приложение I, раздел 1 от настоящия регламент.

5.2. Производителят изготвя писмена декларация за съответствие за образец от всеки продукт и я съхранява на разположение на националните органи в продължение на 10 години след пускането на продукта на пазара или в продължение на периода на поддръжка. Декларацията за съответствие идентифицира образеца от продукта, за който е изготвена.

Копие от декларацията за съответствие се предоставя на съответните органи при поискване.

6. В продължение на най-малко 10 години след пускането на продукта на пазара или в продължение на периода на поддръжка или периода, през който се отстраняват уязвимостите, производителят съхранява на разположение на националните органи:

– техническата документация по точка 3.1,

– документацията относно системата за управление на качеството по точка 3.1,

– одобрените изменения по точка 3.5,

– решенията и докладите на нотифицирания орган по точки 3.5, 4.3 и 4.4.

7. Всеки нотифициран орган информира своите нотифициращи органи за одобренията на системи за управление на качеството, които е издал или отнел, и периодично или при поискване им предоставя списък с одобренията на системи за управление на качеството, които е отказал, временно прекратил или ограничил по някакъв друг начин.

Всеки нотифициран орган информира останалите нотифицирани органи за одобренията на системи за управление на качеството, които е отказал, временно прекратил или отнел, и при поискване, за одобренията на системи за управление на качеството, които е издал.

8. Упълномощен представител

Задълженията на производителя по точки 3.1, 3.5, 5 и 6 могат да бъдат изпълнявани от негов упълномощен представител, от негово име и на негова отговорност, при условие че са посочени в пълномощието.

ПРИЛОЖЕНИЕ VIа

НУЖДИ ОТ КАПАЦИТЕТ НА АГЕНЦИЯТА НА ЕВРОПЕЙСКИЯ СЪЮЗ ЗА КИБЕРСИГУРНОСТ (ENISA)

За да може ENISA да изпълни задълженията си съгласно настоящия регламент и за да не се компрометират съществуващите ѝ задължения съгласно други законодателни актове на Съюза, на тази агенция се осигурява достатъчно персонал и финансиране. Следователно допълнителните задачи на ENISA съгласно настоящия регламент се придружават от допълнителни човешки и финансови ресурси. Ще са необходими девет допълнителни еквивалента на пълно работно време и съответните допълнителни бюджетни кредити, за да се покрият допълнителните задачи, предвидени съгласно настоящия регламент.

ИЗЛОЖЕНИЕ НА МОТИВИТЕ

Докладчикът горещо приветства предложението на Комисията за справяне с недостатъците в киберсигурността на хардуерните и софтуерните продукти. През 2021 г. разходите във връзка с киберпрестъпността в световен мащаб достигнаха зашеметяващите 5,5 трилиона евро. Това явление, съчетано с възходящата тенденция на цифровизацията, призовава законодателите да гарантират, че са въведени подходящи мерки за киберсигурност, за да се защитят интересите както на потребителите, така и на промишлеността.

Във връзка с това докладчикът изразява задоволство, че Комисията е представила амбициозно предложение, което ще повиши общото ниво на киберсигурността в държавите членки и функционирането на вътрешния пазар. Необходима е хармонизирана регулаторна рамка, така че предприятията, които осъществяват дейност на единния пазар, да могат да се възползват от правна яснота, както и да се гарантира, че Съюзът може да играе водеща роля при определянето на норми относно киберсигурността на световната сцена.

По въпроса за обхвата докладчикът изразява съгласие с предложението на Комисията да се включат всички продукти с цифрови елементи. Този всеобхватен подход би осигурил увереност, че ще се постигне съответствие с изискванията по отношение на киберсигурността по цялата верига на стойността, като се подобрят конкурентоспособността и привлекателността на продуктите, произведени в Съюза. Въпреки това е необходимо да се опрости настоящата формулировка и тя да се отнася за пряко и непряко свързани продукти, като се изключат резервните части, предназначени единствено за ремонт, които са били на пазара преди прилагането на настоящия регламент. Когато става въпрос за софтуер с отворен код, докладчикът е наясно с необходимостта да се запази този важен източник на иновации и поради това представи изменение, с което да се гарантира, че от разработчиците не следва да се очаква да спазват настоящия регламент, ако не получават финансови възнаграждения за своите проекти. Все пак софтуерът с отворен код, предоставян в рамките на търговска дейност, следва да бъде обхванат, за да се гарантира киберсигурността на екосистемата на Съюза.

Макар че по-голямата част от продуктите с цифрови елементи трябва да бъдат подложени единствено на самостоятелна оценка, критичните продукти съгласно член 6 ще подлежат на оценка от трета страна. По този въпрос докладчикът счита, че регламентът следва да бъде подобрен, като се осигури по-голяма яснота относно това колко често списъкът, представен в приложение III, може да бъде изменян, както и относно процедурите, които трябва да се следват след добавянето на даден продукт към този списък. Последното е особено важно, за да се осигури на предприятията достатъчно време за адаптиране. Въпреки това докладчикът счита, че системите за автоматизация на дома и продуктите, които подобряват личната сигурност, като камери и интелигентни ключалки, следва да представляват критични продукти от клас I. Това е така, защото интегритетът на тези стоки е от първостепенно значение за безопасността и неприкосновеността на личния живот на гражданите.

Освен това в проекта на доклад се предвижда по-голямо участие на заинтересованите страни чрез създаването на Експертната група по киберустойчивост. Този орган следва да бъде натоварен със задачата да съветва Комисията и да играе активна роля при изготвянето на делегираните актове, посочени в настоящия регламент. По този начин, за да отразява напълно интересите на всички страни, експертната група следва да включва представители на институциите, промишлеността, гражданското общество, академичните среди и независими експерти.

В допълнение към горепосочената тема в проекта на доклад се подчертава необходимостта държавите членки да обърнат сериозно внимание на киберсигурността, когато предмет на техни обществени поръчки са продукти с цифрови елементи, както и да гарантират, че уязвимостите се отстраняват своевременно.

По въпроса за задълженията на производителите докладчикът счита, че определянето на фиксирана дата за очаквания експлоатационен срок на продукта не е подходящо за хоризонтално регулиране, което има за цел да обхване широк спектър от продукти – от софтуер до телефони и промишлени машини. Ето защо докладчикът счита, че е по-подходящо производителите да определят експлоатационния срок на съответните си продукти, при условие че предложената продължителност е съвместима с разумните очаквания на потребителите. Променливата продължителност също така би позволила на производителите да демонстрират своите продукти и дългият експлоатационен срок да стане елемент на конкуренцията. Поради това, за да се повиши осведомеността на потребителите по този определен въпрос, в регламентът следва също така да се задължат производителите ясно да посочват очаквания експлоатационен срок на продукта върху неговата опаковка или да го включат в договорни споразумения, както и да уведомят потребителите, когато експлоатационният срок предстои да изтече. Освен това в проекта на доклад се иска да се постави най-голям акцент върху безопасността. Ето защо докладчикът счита, че производителите следва също така да бъдат задължени автоматично да актуализират, когато е възможно, функциите за безопасност на съответния свой продукт. Когато даден производител е определил очакван експлоатационен срок, по-малък от пет години, той следва да бъде готов да сключи договорни споразумения с предприятия, които желаят да предоставят услуги, удължаващи експлоатационния срок на продукта, и да им предостави неговия изходен код. Тази възможност не следва да предполага прехвърляне на собствеността или публично оповестяване на изходния код.

Що се отнася до задълженията за докладване съгласно член 11, докладчикът желае да приведе графика в съответствие с МИС2, така че да има по-голяма съгласуваност и правна сигурност за заинтересованите страни. В този смисъл докладчикът предлага да се докладват значителните инциденти (а не всички инциденти), както и активно използваните уязвимости, при условие че са налице ясни протоколи за това как да се обработват тези уведомления по сигурен начин, за да се избегне разпространението на информация относно некоригирани уязвимости. Докладчикът също така въвежда и механизъм за доброволно докладване на други инциденти, ситуации, близки до инциденти, и киберзаплахи.

Въпреки това, за да се постигне максимален ефект от докладването, е важно да има субект за „обслужване на едно гише“, също така с цел опростяване на изискванията за докладване за производителите в целия Съюз. В тази връзка докладчикът счита, че най-добрата институция, която може да изпълнява тази роля, е ENISA. Поради това, с оглед на увеличаването на задачите и компетентностите, възложени на ENISA, Комисията следва да измени законодателната финансова обосновка, придружаваща настоящия регламент, като предостави на Агенцията на Европейския съюз за киберсигурност допълнителни длъжности и съответните допълнителни бюджетни кредити, за да може тя да изпълнява своите допълнителни задачи, посочени в настоящия регламент.

Освен това основен за докладчика въпрос е да гарантира, че на предприятията се предоставя достатъчно подкрепа за изпълнение на изискванията на настоящия регламент. Това важи с особена сила за микропредприятията, малките и средните предприятия, които, предвид ограничените си възможности, могат да се изправят пред известни предизвикателства при осигуряването на съответствие със Законодателния акт за киберустойчивост. Поради това докладчикът счита, че е от съществено значение датата на прилагане на регламента да бъде отложена с 40 месеца. През този преходен период следва да бъде възможно производителите да изпълнят изискванията на Законодателния акт за киберустойчивост доброволно, за да получат презумпция за съответствие с Делегирания регламент относно Директивата за радиосъоръженията и да се адаптират към настоящия регламент преди официалното му прилагане. Освен това докладчикът иска да подчертае значението на това Съюзът да предоставя подкрепа за повишаване на квалификацията и за преквалификация на служителите и да гарантира наличието на специалисти в областта на киберсигурността, което е ключов елемент за успеха на настоящия регламент.

Освен това, като общ подход за подпомагане на всички заинтересовани страни, докладчикът призовава Комисията да изготви насоки, които да предоставят повече подробности относно действителния етап на прилагане, като по този начин се осигурява по-голяма яснота за всички участващи страни.

Друг също толкова належащ въпрос за докладчика е международната търговия. Ето защо в проекта на доклад се призовава Комисията да разгледа споразуменията за взаимно признаване с мислещите по сходен начин трети държави, които имат сравнимо ниво на техническо развитие и съвместим подход по отношение на оценката на съответствието, като се гарантира същото ниво на защита като предвиденото в настоящия регламент. Въпреки това е от съществено значение да се осигури подходящ мониторинг на продуктите, идващи от рискови държави, които може да съдържат „задни вратички“ или други уязвимости: ENISA следва да предприеме съгласувани действия с органите за надзор на пазара и да извършва необходимите проверки на доставчиците, които биха могли да представляват по-висок риск.

И накрая, докладчикът счита, че генерираните от санкции приходи следва да бъдат заделени за проекти, които ще повишат общото ниво на киберсигурност в целия Съюз, и поради това следва да бъдат разпределени за програмата „Цифрова Европа“, по която се подкрепят проекти насочени, наред с другото, към преквалификация и повишаване на квалификацията на наличната работна сила.

ПРИЛОЖЕНИЕ: СПИСЪК НА СУБЕКТИТЕ ИЛИ ЛИЦАТА, ПРЕДОСТАВИЛИ ИНФОРМАЦИЯ НА ДОКЛАДЧИКА

Представеният по-долу списък е изготвен на изцяло доброволна основа под изключителната отговорност на докладчика. В хода на изготвянето на доклада и преди той да бъде приет в комисия, следните субекти или лица са предоставили информация на докладчика:

Субект и/или лице

(ISC)2

ACEM

Airlines4Europe

Alliance for IoT and Edge Computing Innovation (Алианс за иновации в областта на интернет на нещата и периферните изчисления)

Amazon

Американска търговска камара

ANEC

Apple

APPLiA

Associazione Italiana Internet Provider

BDI

Beuc

Bitkom

BritCham

Broadcom

BSA - The Software alliance (BSA – Алиансът за софтуер)

Business Europe

Card Payment Sweden

CEMA

Centrum für Europäische Politik

CNH

Конфедерация на датската промишленост (DI)

Confindustria

Cybersecurity Coalition (Коалиция за киберсигурност)

DEKRA

Deutsche Telekom

Developers Alliance (Алианс на разработчиците)

Digital Europe

Enedis

Engineering

Ericsson

ESMIG

ETNO

ETRMA

Европейска организация за киберсигурност

European Materials Handling Federation (FEM) (Европейска федерация за боравене с материали, товаро-разтоварни дейности и складиране)

Eurosmart

Federunacoma

Free Software Foundation Europe (Фондация за безплатен софтуер в Европа)

German Insurance Association

Giesecke+Devrient

GitHub

Google

GSMA

Hanbury Strategy

Huawei

IBM

Independent Retail Europe

Information Technology Industry Council (Съвет на сектора на информационните технологии)

Leaseurope

Lenovo

Отраслово сдружение в областта на машиностроенето (VDMA)

MedTechEurope

Microsoft

Okta

Open Forum Europe

Orange

Orgalim

Постоянно представителство на Белгия

Постоянно представителство на Италия

Постоянно представителство на Нидерландия

Piaggio

Privacy International

SAP

Schneider Electric

Siemens

SME United

Splunk

Technology Industries of Finland (Технологични индустрии на Финландия)

Telefonica

TIC Council

Trellix

Twillio

Unife

Vodafone Group

Wikimedia

Worldr

Xiaomi

Zoom

СТАНОВИЩЕ НА КОМИСИЯТА ПО ВЪТРЕШНИЯ ПАЗАР И ЗАЩИТА НА ПОТРЕБИТЕЛИТЕ (30.6.2023)

на вниманието на комисията по промишленост, изследвания и енергетика

(COM(2022)0454 – C9‑0308/2022 – 2022/0272(COD))

Докладчик по становище (*): Мортен Льокегор

(*) Процедура с асоциирана комисия – член 57 от Правилника за дейността

КРАТКА ОБОСНОВКА

Като бивш докладчик по становище в комисията IMCO относно Директивата за мрежовата и информационна сигурност 2 (МИС 2), докладчикът счита, че Законодателният акт за киберустойчивост е решаваща и естествена следваща стъпка за подобряване на киберсигурността на Европейския съюз. Считайки, че по определение киберсигурността никога няма да бъде стопроцентово осигурена, докладчикът е на мнение, че е важно да направим всичко, което е по силите ни, за да се намали броят на слабите звена в нашия Съюз, и че за тази цел Законодателният акт за киберустойчивост е приветствана следваща стъпка. Трябва да повишим киберсигурността на продуктите с цифрови елементи и други нови продукти, като например устройствата от вида „интернет на нещата“, които са се превърнали в естествена част от ежедневието на европейските потребители и предприятия.

Тъй като комисията IMCO отговаря за функционирането и прилагането на единния пазар, включително цифровия единен пазар, и правилата за защита на потребителите, стремежът на докладчика беше да въведе изменения, които имат за цел да подобрят функционирането на вътрешния пазар, като същевременно осигуряват високо равнище на защита на потребителите в рамките на приложното поле на предложението, по-специално по отношение на изискванията за киберсигурност за продуктите с цифрови елементи.

В допълнение докладчикът счита, че се налага подобряване на някои аспекти на предложения регламент, за да се осигури правна яснота и съгласуваност между относимите разпоредби на предложения регламент и други законодателни актове. Това е свързано по-специално с Директивата за МИС 2, наскоро приетия Регламент относно общата безопасност на продуктите, Регламента за изкуствения интелект и Регламента относно машиностроителните изделия, както и с редица съответни делегирани актове и актове за изпълнение. Поради това докладчикът предложи изменения, които имат за цел да подобрят правната яснота и да спомогнат за осигуряването на съгласувано, ефективно и последователно тълкуване и прилагане на посочените законодателни актове.

Освен това, тъй като микро-, малките и средните предприятия са икономически участници от решаващо значение на цифровия пазар, докладчикът внесе редица изменения с цел опростяване на административните процедури и ограничаване на административната тежест за малките предприятия, без да се понижава равнището на безопасност. Докладчикът въведе също така изменения, които гарантират, че на микропредприятията и МСП ще бъдат предоставени конкретни насоки и съвети за спазване на изискванията на Законодателния акт за киберустойчивост.

И накрая, докладчикът въведе изменения с цел осигуряване на по-ефективна комуникация с компетентните органи (националните органи за надзор на пазара, ENISA), както и засилване на разпоредбите за задълженията и правомощията на съответните органи по отношение на жалбите, инспекциите и съвместните дейности. В допълнение към това някои изменения на докладчика се съсредоточават върху подобряването на изискванията за киберсигурност за компонентите, интегрирани в крайни продукти с цифрови елементи, като се уточняват задълженията на икономическите оператори, като например производителите и упълномощените представители.

Докладчикът отново изразява позицията, че въвеждането на Законодателния акт за киберустойчивост е навременна и естествена следваща стъпка за засилване на борбата срещу заплахите за киберсигурността в нашия Съюз. С предложените изменения докладчикът се стреми да намери правилния баланс между гарантирането на повишено ниво на киберсигурност в полза на европейските потребители и пропорционална тежест за бизнес общността. Амбицията на докладчика е киберсигурността да се превърне в естествен параметър на конкуренцията на вътрешния пазар. С оглед на това докладчикът се стреми да коригира предложението.

ИЗМЕНЕНИЯ

Комисията по вътрешния пазар и защита на потребителите приканва водещата комисия по промишленост, изследвания и енергетика да вземе предвид следните изменения:

Изменение 1

Предложение за регламент

Съображение 1


Текст, предложен от Комисията	Изменение
(1) Необходимо е да се подобри функционирането на вътрешния пазар, като се установи единна правна рамка за съществените изисквания за киберсигурност при пускането на продукти с цифрови елементи на пазара на Съюза. Следва да бъдат решени два основни проблема, които увеличават разходите за ползвателите и обществото: ниското ниво на киберсигурност на продуктите с цифрови елементи, което се изразява в широко разпространени уязвимости и недостатъчно и непоследователно предоставяне на актуализации на защитата за справяне с тях, и недостатъчно разбиране и достъп до информация от страна на ползвателите, което им пречи да избират продукти с подходящи характеристики за киберсигурност или да ги използват по защитен начин.	(1) Необходимо е да се подобри функционирането на вътрешния пазар, като същевременно се предоставя високо равнище на защита на потребителите и киберсигурност, като се установи единна правна рамка за съществените изисквания за киберсигурност при пускането на продукти с цифрови елементи на пазара на Съюза. Следва да бъдат решени два основни проблема, които увеличават разходите за ползвателите и обществото: ниското ниво на киберсигурност на продуктите с цифрови елементи, което се изразява в широко разпространени уязвимости и недостатъчно и непоследователно предоставяне на актуализации на защитата за справяне с тях, и недостатъчно разбиране и достъп до информация от страна на ползвателите, което им пречи да избират продукти с подходящи характеристики за киберсигурност или да ги използват по защитен начин.

Изменение 2

Предложение за регламент

Съображение 7


Текст, предложен от Комисията	Изменение
(7) При определени условия всички продукти с цифрови елементи, интегрирани в по-голяма електронна информационна система или свързани с нея, могат да послужат като вектор на атака за злонамерени участници. В резултат на това дори хардуерът и софтуерът, считани за по-малко критични, могат да улеснят първоначалното компрометиране на дадено устройство или мрежа, като позволят на злонамерените участници да получат привилегирован достъп до дадена система или да се придвижат странично между системите. Поради това производителите следва да гарантират, че всички свързващи се продукти с цифрови елементи са проектирани и разработени в съответствие със съществените изисквания, определени в настоящия регламент. Това включва както продукти, които могат да бъдат свързани физически чрез хардуерни интерфейси, така и продукти, които са свързани логически, например чрез сокет, канали, файлове, приложно-програмен интерфейс или други видове софтуерни интерфейси. Тъй като киберзаплахите могат да се разпространяват чрез различни продукти с цифрови елементи преди да достигнат до определена цел, например чрез верижно използване на множество уязвимости, производителите следва да гарантират киберсигурността и на тези продукти, които са само непряко свързани с други устройства или мрежи.	(7) При определени условия всички продукти с цифрови елементи, интегрирани в по-голяма електронна информационна система или свързани с нея, могат да послужат като вектор на атака за злонамерени участници. В резултат на това дори хардуерът и софтуерът, считани за по-малко критични, могат да улеснят първоначалното компрометиране на дадено устройство или мрежа, като позволят на злонамерените участници да получат привилегирован достъп до дадена система или да се придвижат странично между системите. Поради това производителите следва да гарантират, че всички продукти с цифрови елементи, свързани с външна мрежа или устройство, са проектирани и разработени в съответствие със съществените изисквания, определени в настоящия регламент. Това включва както продукти, които могат да бъдат свързани с външни мрежи или устройство физически чрез хардуерни интерфейси, така и продукти, които са свързани логически, например чрез сокет, канали, файлове, приложно-програмен интерфейс или други видове софтуерни интерфейси. Тъй като киберзаплахите могат да се разпространяват чрез различни продукти с цифрови елементи преди да достигнат до определена цел, например чрез верижно използване на множество уязвимости, производителите следва да гарантират киберсигурността и на тези продукти, които са само непряко свързани с други устройства или мрежи.

Изменение 3

Предложение за регламент

Съображение 7 a (ново)


Текст, предложен от Комисията	Изменение
	(7 a) Настоящият регламент не следва да се прилага за вътрешните мрежи на продукт с цифрови елементи, ако тези мрежи имат специални крайни точки и са напълно изолирани и защитени от външна връзка на данни.

Изменение 4

Предложение за регламент

Съображение 7 б (ново)


Текст, предложен от Комисията	Изменение
	(7 б) Настоящият регламент не следва да се прилага за резервни части, предназначени единствено за замяна на дефектни части на продукти с цифрови елементи с цел възстановяване на тяхната функционалност.

Изменение 5

Предложение за регламент

Съображение 9


Текст, предложен от Комисията	Изменение
(9) С настоящия регламент се гарантира високо равнище на киберсигурност на продуктите с цифрови елементи. С него не се уреждат услуги, като например софтуер като услуга (SaaS), с изключение на решенията за дистанционна обработка на данни, свързани с продукт с цифрови елементи, разбирани като всяка обработка на данни от разстояние, за която софтуерът е проектиран и разработен от производителя на съответния продукт или на негова отговорност, и липсата на която би попречила на такъв продукт с цифрови елементи да изпълнява някоя от функциите си. С [Директива XXX/XXXX (МИС 2)] се въвеждат изисквания за киберсигурност и докладване на инциденти за съществени и важни субекти, като например критична инфраструктура, с оглед повишаване на устойчивостта на предоставяните от тях услуги. [Директива XXX/XXXX (МИС 2)] се прилага за облачни услуги и модели на облачни услуги, като например SaaS. Всички субекти, предоставящи облачни услуги в Съюза, които отговарят на или надвишават прага за средни предприятия, попадат в обхвата на тази директива.	(9) С настоящия регламент се гарантира високо равнище на киберсигурност на продуктите с цифрови елементи. С него не се уреждат услуги, като например софтуер като услуга (SaaS). С [Директива XXX/XXXX (МИС 2)] се въвеждат изисквания за киберсигурност и докладване на инциденти за съществени и важни субекти, като например критична инфраструктура, с оглед повишаване на устойчивостта на предоставяните от тях услуги. [Директива XXX/XXXX (МИС 2)] се прилага за облачни услуги и модели на облачни услуги, като например SaaS. Всички субекти, предоставящи облачни услуги в Съюза, които отговарят на или надвишават прага за средни предприятия, попадат в обхвата на тази директива.

Изменение 6

Предложение за регламент

Съображение 10


Текст, предложен от Комисията	Изменение
(10) С оглед да не се възпрепятстват иновациите или научните изследвания, свободният софтуер с отворен код, разработен или предоставян извън рамките на търговска дейност, не следва да бъде обхванат от настоящия регламент. Това се отнася по-специално за софтуер, включително неговия изходен код и модифицирани версии, който е свободно споделян и свободно достъпен, използваем, модифицируем и преразпределяем. В контекста на софтуера търговската дейност може да се характеризира не само с начисляване на цена за продукт, но и с начисляване на цена за услуги по техническа поддръжка, с предоставяне на софтуерна платформа, чрез която производителят печели от други услуги, или с използване на лични данни по причини, различни от такива, свързани изключително с подобряване на сигурността, съвместимостта или оперативната съвместимост на софтуера.	(10) Софтуерът и данните, които се споделят открито и до които ползвателите имат свободен достъп и свободно могат да използват, променят и разпространяват същите или техни модифицирани версии, могат да допринесат за научните изследвания и иновациите на пазара. Изследванията на Комисията показват също, че свободният софтуер с отворен код може да допринесе с между 65 и 95 млрд. евро за БВП на Съюза и че може да предостави значителни възможности за растеж на европейската икономика. С оглед да не се възпрепятстват иновациите или научните изследвания, свободният софтуер с отворен код, разработен или предоставян извън рамките на търговска дейност, не следва да бъде обхванат от настоящия регламент. Това се отнася по-специално за софтуер, включително неговия изходен код и модифицирани версии, който е свободно споделян и свободно достъпен, използваем, модифицируем и преразпределяем. Търговска дейност в смисъл на предоставяне на пазара обаче може да се характеризира с начисляване на цена за компонент на свободен софтуер с отворен код, но и с извличане на парична печалба, като например начисляване на цена за услуги по техническа поддръжка или платени актуализации на софтуер, освен ако това служи само за възстановяване на действителни разходи, с предоставяне на софтуерна платформа, чрез която производителят печели от други услуги, или с използване на лични данни по причини, различни от такива, свързани изключително с подобряване на сигурността, съвместимостта или оперативната съвместимост на софтуера. Нито съвместното разработване на компоненти на свободен софтуер с отворен код, нито предоставянето им в хранилища със свободен достъп не следва да представлява пускане на пазара или въвеждане в експлоатация. Обстоятелствата, при които е разработен продуктът, или начинът, по който е финансирана разработката, не следва да се вземат предвид при определяне на търговския или нетърговския характер на тази дейност. Когато софтуер с отворен код е интегриран в краен продукт с цифрови елементи, който се пуска на пазара, икономическият оператор, който е пуснал на пазара крайния продукт с цифрови елементи, следва да носи отговорност за съответствието на продукта, включително на компонентите на свободния софтуер с отворен код.

Изменение 7

Предложение за регламент

Съображение 11


Текст, предложен от Комисията	Изменение
(11) Сигурният интернет е незаменим за функционирането на критичните инфраструктури и за обществото като цяло. [Директива XXX/XXXX (МИС 2)] има за цел да осигури високо ниво на киберсигурност на услугите, предоставяни от съществени и важни субекти, включително доставчици на цифрова инфраструктура, които поддържат основните функции на отворения интернет, осигуряват достъп до интернет и интернет услуги. Поради това е важно продуктите с цифрови елементи, необходими на доставчиците на цифрова инфраструктура за осигуряване на функционирането на интернет, да се разработват по сигурен начин и да отговарят на утвърдените стандарти за сигурност в интернет. Настоящият регламент, който се прилага за всички свързващи се хардуерни и софтуерни продукти, има за цел също така да улесни доставчиците на цифрова инфраструктура при спазването на изискванията за веригата на доставките съгласно [Директива XXX/XXXX (МИС 2)], като се гарантира, че продуктите с цифрови елементи, които те използват за предоставяне на своите услуги, са разработени по сигурен начин и че те имат достъп до своевременни актуализации на защитата на тези продукти.	(11) Сигурният интернет е незаменим за функционирането на критичните инфраструктури и за обществото като цяло. [Директива XXX/XXXX (МИС 2)] има за цел да осигури високо ниво на киберсигурност на услугите, предоставяни от съществени и важни субекти, включително доставчици на цифрова инфраструктура, които поддържат основните функции на отворения интернет, осигуряват достъп до интернет и интернет услуги. Поради това е важно продуктите с цифрови елементи, необходими на доставчиците на цифрова инфраструктура за осигуряване на функционирането на интернет, да се разработват по сигурен начин и да отговарят на утвърдените стандарти за сигурност в интернет. Настоящият регламент, който се прилага за всички хардуерни и софтуерни продукти, свързани с външна мрежа или устройство, има за цел също така да улесни доставчиците на цифрова инфраструктура при спазването на изискванията за веригата на доставките съгласно [Директива XXX/XXXX (МИС 2)], като се гарантира, че продуктите с цифрови елементи, които те използват за предоставяне на своите услуги, са разработени по сигурен начин и че те имат достъп до своевременни актуализации на защитата на тези продукти.

Изменение 8

Предложение за регламент

Съображение 15


Текст, предложен от Комисията	Изменение
(15) В Делегиран Регламент (ЕС) 2022/30 се уточнява, че съществените изисквания, определени в член 3, параграф 3, буква г) (вреди за мрежата и неправилна употреба на мрежови ресурси), буква д) (лични данни и неприкосновеност на личния живот) и буква е) (измами) от Директива 2014/53/ЕС, се прилагат за определени радиосъоръжения. В [Решение за изпълнение ХХХ/2022 на Комисията относно искане за стандартизация, отправено до европейските организации за стандартизация] се определят изисквания за разработване на специфични стандарти, в които допълнително се уточнява как следва да се отговори на тези три съществени изисквания. Съществените изисквания, определени с настоящия регламент, включват всички елементи на съществените изисквания по член 3, параграф 3, букви г), д) и е) от Директива 2014/53/ЕС. Освен това съществените изисквания, определени в настоящия регламент, са съгласувани с целите на изискванията за специфични стандарти, включени в посоченото искане за стандартизация. Поради това, ако Комисията отмени или измени Делегиран регламент (ЕС) 2022/30, вследствие на което той престане да се прилага за някои продукти, предмет на настоящия регламент, при изготвянето и разработването на хармонизирани стандарти за улесняване на прилагането на настоящия регламент, Комисията и европейските организации за стандартизация следва да вземат предвид работата по стандартизацията, извършена в контекста на Решение за изпълнение C(2022)5637 на Комисията относно искане за стандартизация за Делегиран регламент 2022/30 относно радиосъоръженията.	(15) В Делегиран регламент (ЕС) 2022/30 се уточнява, че съществените изисквания, определени в член 3, параграф 3, буква г) (вреди за мрежата и неправилна употреба на мрежови ресурси), буква д) (лични данни и неприкосновеност на личния живот) и буква е) (измами) от Директива 2014/53/ЕС, се прилагат за определени радиосъоръжения. В [Решение за изпълнение ХХХ/2022 на Комисията относно искане за стандартизация, отправено до европейските организации за стандартизация] се определят изисквания за разработване на специфични стандарти, в които допълнително се уточнява как следва да се отговори на тези три съществени изисквания. Съществените изисквания, определени с настоящия регламент, включват всички елементи на съществените изисквания по член 3, параграф 3, букви г), д) и е) от Директива 2014/53/ЕС. Освен това съществените изисквания, определени в настоящия регламент, са съгласувани с целите на изискванията за специфични стандарти, включени в посоченото искане за стандартизация. Поради това, когато Комисията отмени Делегиран регламент (ЕС) 2022/30, вследствие на което той престане да се прилага за някои продукти, предмет на настоящия регламент, при изготвянето и разработването на хармонизирани стандарти за улесняване на прилагането на настоящия регламент, Комисията и европейските организации за стандартизация следва да вземат предвид работата по стандартизацията, извършена в контекста на Решение за изпълнение C(2022)5637 на Комисията относно искане за стандартизация за Делегиран регламент 2022/30 относно радиосъоръженията.

Изменение 9

Предложение за регламент

Съображение 18 a (ново)


Текст, предложен от Комисията	Изменение
	(18 a) За да се гарантира, че разработчиците на софтуер, които са физически лица или микропредприятия, както са определени в Препоръка 2003/361/ЕО на Комисията, не се сблъскват с големи финансови пречки и не са възпрепятствани да изпитат на пазара концепцията, както и икономическата обосновка, от тези субекти следва да се изисква да положат максимални усилия, за да спазят изискванията в настоящото предложение през 6-те месеца от пускането на софтуера на пазара. Този специален режим следва да предотврати възпиращото въздействие, което високите разходи за привеждане в съответствие и за навлизане на пазара биха могли да окажат върху предприемачите или квалифицираните лица, обмислящи разработването на софтуер в Съюза. Въпреки това този специален режим не следва да се прилага за продуктите с цифрови елементи с висока степен на критичност.

Изменение 10

Предложение за регламент

Съображение 19


Текст, предложен от Комисията	Изменение
(19) Някои задачи, предвидени в настоящия регламент, следва да се изпълняват от ENISA в съответствие с член 3, параграф 2 от Регламент (ЕС) 2019/881. По-специално ENISA следва да получава уведомления от производителите за активно експлоатирани уязвимости, съдържащи се в продукти с цифрови елементи, както и за инциденти, които оказват въздействие върху сигурността на тези продукти. ENISA следва също така да препраща тези уведомления до съответните екипи за реагиране при инциденти с компютърната сигурност (ЕРИКС) или съответно до съответните единни звена за контакт на държавите членки, определени в съответствие с [член X] от [Директива XXX/XXXX (МИС 2)], и да информира съответните органи за надзор на пазара за уязвимостта, за която е получено уведомление. Въз основа на събраната информация ENISA следва да изготвя двугодишен технически доклад за нововъзникващите тенденции по отношение на киберрисковете в продуктите с цифрови елементи и да го представя на групата за сътрудничество за МИС, посочена в [Директива XXX/XXXX (МИС 2)]. Освен това, като се имат предвид нейният експертен опит и мандат, ENISA следва да може да подкрепя процеса по правоприлагането на настоящия регламент. По-специално, тя следва да може да предлага съвместни дейности, които да бъдат провеждани от органите за надзор на пазара въз основа на признаци или информация относно потенциално несъответствие с настоящия регламент на продукти с цифрови елементи в няколко държави членки, или да определя категориите продукти, за които следва да се организират едновременни координирани контролни действия. При извънредни обстоятелства по искане на Комисията ENISA следва да може да извършва оценки по отношение на конкретни продукти с цифрови елементи, които представляват значителен киберриск, когато е необходима незабавна намеса за запазване на доброто функциониране на вътрешния пазар.	(19) Някои задачи, предвидени в настоящия регламент, следва да се изпълняват от ENISA в съответствие с член 3, параграф 2 от Регламент (ЕС) 2019/881. По-специално ENISA следва да получава уведомления от производителите чрез ранно предупреждение за активно експлоатирани уязвимости, съдържащи се в продукти с цифрови елементи, както и за инциденти, които оказват значително въздействие върху сигурността на тези продукти. ENISA следва също така да препраща тези уведомления до съответните екипи за реагиране при инциденти с компютърната сигурност (ЕРИКС) или съответно до съответните единни звена за контакт на държавите членки, определени в съответствие с [член X] от [Директива XXX/XXXX (МИС 2)], и незабавно да информира съответните органи за надзор на пазара за съществуването на уязвимост и когато е приложимо – за възможните мерки за смекчаване на риска. Когато за уязвимостта, за която е получено уведомление, няма налични корективни или смекчаващи мерки, ENISA следва да гарантира, че информацията за тази съобщена уязвимост се споделя в съответствие със строги протоколи за сигурност и въз основа на принципа „необходимост да се знае“. Въз основа на събраната информация ENISA следва да изготвя двугодишен технически доклад за нововъзникващите тенденции по отношение на киберрисковете в продуктите с цифрови елементи и да го представя на групата за сътрудничество за МИС, посочена в [Директива XXX/XXXX (МИС 2)]. Освен това, като се имат предвид нейният експертен опит и мандат, ENISA следва да може да подкрепя процеса по правоприлагането на настоящия регламент. По-специално, тя следва да може да предлага съвместни дейности, които да бъдат провеждани от органите за надзор на пазара въз основа на признаци или информация относно потенциално несъответствие с настоящия регламент на продукти с цифрови елементи в няколко държави членки, или да определя категориите продукти, за които следва да се организират едновременни координирани контролни действия. При извънредни обстоятелства по искане на Комисията ENISA следва да може да извършва оценки по отношение на конкретни продукти с цифрови елементи, които представляват значителен киберриск, когато е необходима незабавна намеса за запазване на доброто функциониране на вътрешния пазар.

Изменение 11

Предложение за регламент

Съображение 20


Текст, предложен от Комисията	Изменение
(20) Продуктите с цифрови елементи следва да носят маркировката „СЕ“, указваща тяхното съответствие с настоящия регламент с цел свободно движение в рамките на вътрешния пазар. Държавите членки следва да не създават необосновани пречки пред пускането на пазара на продукти с цифрови елементи, които съответстват на изискванията, предвидени в настоящия регламент, и носят маркировката „СЕ“.	(20) Продуктите с цифрови елементи следва да носят маркировката „СЕ“, указваща по видим, четлив и незаличим начин тяхното съответствие с настоящия регламент с цел свободно движение в рамките на вътрешния пазар. Държавите членки следва да не създават необосновани пречки пред пускането на пазара на продукти с цифрови елементи, които съответстват на изискванията, предвидени в настоящия регламент, и носят маркировката „СЕ“.

Изменение 12

Предложение за регламент

Съображение 22


Текст, предложен от Комисията	Изменение
(22) С цел да се гарантира, че когато се пускат на пазара, продуктите с цифрови елементи не създават киберрискове за хората и организациите, следва да се определят съществени изисквания за такива продукти. Когато продуктите впоследствие бъдат изменени с физически или цифрови средства по начин, който не е предвиден от производителя, и това може да означава, че те вече не отговарят на съответните съществени изисквания, изменението следва да се смята за съществено. Например актуализациите на софтуера или ремонтите биха могли да бъдат приравнени към операциите по поддръжка, при условие че те не променят вече пуснатия на пазара продукт по начин, по който може да бъде засегнато съответствието с приложимите изисквания или да бъде променена предвидената употреба, за която продуктът е бил оценен. Както и в случая с физическите ремонти или изменения, даден продукт с цифрови елементи следва да се счита за съществено изменен чрез промяна на софтуера, когато актуализацията на софтуера променя първоначално предвидените функции, типа или експлоатационните характеристики на продукта и тези промени не са били предвидени в първоначалната оценка на риска, или естеството на опасността се е променило, или нивото на риска се е увеличило поради актуализацията на софтуера.	(22) С цел да се гарантира, че когато се пускат на пазара, продуктите с цифрови елементи не създават киберрискове за хората и организациите, следва да се определят съществени изисквания за такива продукти. Когато продуктите впоследствие бъдат изменени с физически или цифрови средства по начин, който не е предвиден от производителя, и това може да означава, че те вече не отговарят на съответните съществени изисквания, изменението следва да се смята за съществено. Например актуализациите на софтуера или ремонтите, като незначителни корекции на изходния код, които могат да подобрят сигурността и функционирането, биха могли да бъдат приравнени към операциите по поддръжка, при условие че те не променят вече пуснатия на пазара продукт по начин, по който може да бъде засегнато съответствието с приложимите изисквания или да бъде променена предвидената употреба, за която продуктът е бил оценен. Както и в случая с физическите ремонти или изменения, даден продукт с цифрови елементи следва да се счита за съществено изменен чрез промяна на софтуера, когато актуализацията на софтуера променя първоначално предвидените функции, типа или експлоатационните характеристики на продукта и тези промени не са били предвидени в първоначалната оценка на риска, или естеството на опасността се е променило, или нивото на риска се е увеличило поради актуализацията на софтуера.

Изменение 13

Предложение за регламент

Съображение 23


Текст, предложен от Комисията	Изменение
(23) В съответствие с общоприетото понятие за съществено изменение за продукти, регулирани от законодателството на Съюза за хармонизация, когато настъпи съществено изменение, което може да повлияе на съответствието на даден продукт с настоящия регламент, или когато се промени предназначението на този продукт, е целесъобразно да се провери съответствието на продукта с цифровите елементи и, когато е приложимо, той да бъде подложен на ново оценяване на съответствието. Когато е приложимо, ако производителят извършва оценяване на съответствието с участието на трета страна, за промените, които могат да доведат до съществени изменения, следва да се уведоми третата страна.	(23) В съответствие с общоприетото понятие за съществено изменение за продукти, регулирани от законодателството на Съюза за хармонизация, когато настъпи съществено изменение, което може да повлияе на съответствието на даден продукт с настоящия регламент, или когато се промени предназначението на този продукт, е целесъобразно да се провери съответствието на продукта с цифровите елементи и, когато е приложимо, да се актуализира оценяването на съответствието. Когато е приложимо, ако производителят извършва оценяване на съответствието с участието на трета страна, за промените, които могат да доведат до съществени изменения, следва да се уведоми третата страна. Последващото оценяване на съответствието следва да бъде насочено към промените, които водят до новото оценяване, освен ако тези промени оказват значително въздействие върху съответствието на други части на продукта. Когато се въвеждат актуализации на софтуера, от производителя следва да не се изисква да извършва друга оценка на съответствието на продукта с цифрови елементи, освен ако актуализацията на софтуера води до съществено изменение на продукта с цифрови елементи.

Изменение 14

Предложение за регламент

Съображение 24 a (ново)


Текст, предложен от Комисията	Изменение
	(24 a) Производителите на продукти с цифрови елементи следва да гарантират, че актуализациите на софтуера се предоставят по ясен и прозрачен начин с ясно разграничение между актуализациите на защитата и актуализациите на функционалността. Въпреки че актуализациите на защитата имат за цел да намалят нивото на риска на даден продукт с цифрови елементи, използването на актуализации на функционалността, предоставени от производителя, следва винаги да остане избор на ползвателя. Поради това производителите следва да предоставят тези актуализации отделно, освен ако това е технически невъзможно. Производителите следва да предоставят на потребителите подходяща информация за причините за всяка актуализация и за предвиденото ѝ въздействие върху продукта, както и ясен и лесен за използване механизъм за отказ.

Изменение 15

Предложение за регламент

Съображение 25


Текст, предложен от Комисията	Изменение
(25) Продуктите с цифрови елементи следва да се считат за критични, ако отрицателното въздействие от използването на потенциални уязвимости в киберсигурността на продукта може да бъде сериозно поради, наред с другото, функционалните възможности, свързани с киберсигурността или предвидената употреба. По-специално, уязвимостите в продуктите с цифрови елементи, които имат свързани с киберсигурността функционални възможности, като например защитени елементи, могат да доведат до разпространение на проблеми със сигурността по цялата верига на доставките. Сериозността на въздействието на киберинцидент може да се увеличи и когато се вземе предвид предвидената употреба на продукта, например в промишлена среда или в контекста на основен субект от вида, посочен в [приложение I] към [Директива XXX/XXXX (МИС 2)], или за изпълнението на критични или чувствителни функции, като например обработването на лични данни.	(25) Продуктите с цифрови елементи следва да се считат за критични, ако отрицателното въздействие от използването на потенциални уязвимости в киберсигурността на продукта може да бъде сериозно поради, наред с другото, функционалните възможности, свързани с киберсигурността или предвидената употреба. По-специално, уязвимостите в продуктите с цифрови елементи, които имат свързани с киберсигурността функционални възможности, като например защитени елементи, могат да доведат до разпространение на проблеми със сигурността по цялата верига на доставките. Сериозността на въздействието на киберинцидент може да се увеличи и когато се вземе предвид предвидената употреба на продукта в критични приложения в чувствителна среда, например в промишлена среда или в контекста на основен субект от вида, посочен в [приложение I] към [Директива XXX/XXXX (МИС 2)], или за изпълнението на критични или чувствителни функции, като например обработването на лични данни.

Изменение 16

Предложение за регламент

Съображение 26


Текст, предложен от Комисията	Изменение
(26) Критичните продукти с цифрови елементи следва да подлежат на по-строги процедури за оценяване на съответствието, като се запази пропорционален подход. За тази цел критичните продукти с цифрови елементи следва да бъдат разделени на два класа, които отразяват нивото на киберриска, свързан с тези категории продукти. Потенциален киберинцидент, свързан с продукти от клас II, може да доведе до по-големи отрицателни въздействия, отколкото инцидент, свързан с продукти от клас I, например поради естеството на тяхната функция, свързана с киберсигурността, или предвидената им употреба в чувствителна среда, и поради това следва да се подложи на по-строга процедура за оценяване на съответствието.	(26) Критичните продукти с цифрови елементи следва да подлежат на по-строги процедури за оценяване на съответствието, като се запази пропорционален подход. За тази цел критичните продукти с цифрови елементи следва да бъдат разделени на два класа, които отразяват нивото на киберриска, свързан с тези категории продукти. Потенциален киберинцидент, свързан с продукти от клас II, може да доведе до по-големи отрицателни въздействия, отколкото инцидент, свързан с продукти от клас I, например поради естеството на тяхната функция, свързана с киберсигурността, или предвидената им употреба в чувствителна среда, и поради това следва да се подложи на по-строга процедура за оценяване на съответствието. По изключение малките и микропредприятията следва да могат да използват процедурата за продукти от клас I.

Изменение 17

Предложение за регламент

Съображение 29


Текст, предложен от Комисията	Изменение
(29) Продуктите с цифрови елементи, класифицирани като високорискови системи с ИИ съгласно член 6 от Регламент27 [Регламента относно ИИ], които попадат в обхвата на настоящия регламент, следва да отговарят на съществените изисквания, определени в настоящия регламент. Когато тези високорискови системи с ИИ отговарят на съществените изисквания на настоящия регламент, те следва да се считат за съответстващи на изискванията за киберсигурност, определени в [член 15] от Регламент [Регламента относно ИИ], доколкото тези изисквания са обхванати от ЕС декларацията за съответствие или части от нея, издадена съгласно настоящия регламент. По отношение на процедурите за оценяване на съответствието, свързани със съществените изисквания за киберсигурност на даден продукт с цифрови елементи, обхванат от настоящия регламент и класифициран като високорискова система с ИИ, по правило следва да се прилагат съответните разпоредби на член 43 от Регламент [Регламента относно ИИ] вместо съответните разпоредби на настоящия регламент. Това правило обаче следва да не води до намаляване на необходимото ниво на увереност за критичните продукти с цифрови елементи, обхванати от настоящия регламент. Поради това, като изключение от това правило, високорисковите системи с ИИ, които попадат в обхвата на Регламента [Регламента относно ИИ] и са определени също като критични продукти с цифрови елементи съгласно настоящия регламент и за които се прилага процедурата за оценяване на съответствието въз основа на вътрешен контрол, посочена в приложение VI към Регламент [Регламента относно ИИ], следва да бъдат предмет на разпоредбите за оценяване на съответствието на настоящия регламент, доколкото това се отнася до съществените изисквания на настоящия регламент. В този случай за всички останали аспекти, обхванати от Регламент [Регламента относно ИИ], следва да се прилагат съответните разпоредби за оценяване на съответствието въз основа на вътрешен контрол, посочени в приложение VI към Регламент [Регламента относно ИИ].	(29) Продуктите с цифрови елементи или частично комплектованите продукти с цифрови елементи, класифицирани като високорискови системи с ИИ съгласно член 6 от Регламент27 [Регламента относно ИИ], които попадат в обхвата на настоящия регламент, следва да отговарят на съществените изисквания, определени в настоящия регламент. Когато тези високорискови системи с ИИ отговарят на съществените изисквания на настоящия регламент, те следва да се считат за съответстващи на изискванията за киберсигурност, определени в [член 15] от Регламент [Регламента относно ИИ], доколкото тези изисквания са обхванати от ЕС декларацията за съответствие или части от нея, издадена съгласно настоящия регламент. По отношение на процедурите за оценяване на съответствието, свързани със съществените изисквания за киберсигурност на даден продукт с цифрови елементи, обхванат от настоящия регламент и класифициран като високорискова система с ИИ, по правило следва да се прилагат съответните разпоредби на [приложимите разпоредби] от Регламент [Регламента относно ИИ] вместо съответните разпоредби на настоящия регламент. Това правило следва да създаде високо ниво на увереност за критичните продукти с цифрови елементи, обхванати от настоящия регламент. За високорисковите системи с ИИ, които попадат в обхвата на Регламента [Регламента относно ИИ] и са определени също като критични продукти с цифрови елементи съгласно настоящия регламент, отговорният секторен нотифициран орган следва да отговаря за извършването на оценяването на съответствието съгласно настоящия регламент и да ръководи административния процес, така че икономическите оператори да могат да отправят искането си за оценяване на съответствието до единствен регулаторен орган.
__________________	__________________
27 [Регламент относно ИИ].	27 [Регламент относно ИИ].

Изменение 18

Предложение за регламент

Съображение 32


Текст, предложен от Комисията	Изменение
(32) За да се гарантира, че продуктите с цифрови елементи са безопасни както в момента на пускането им на пазара, така и по време на целия им жизнен цикъл, е необходимо да се определят съществени изисквания за отстраняване на уязвимостите и съществени изисквания за киберсигурността, свързани с характеристиките на продуктите с цифрови елементи. Въпреки че производителите следва да спазват всички съществени изисквания, свързани с отстраняването на уязвимостите, и да гарантират, че всички техни продукти се доставят без известни уязвимости, които могат да бъдат използвани, те следва да определят кои други съществени изисквания, свързани с характеристиките на продукта, са приложими за съответния вид продукт. За тази цел производителите следва да извършат оценка на киберрисковете, свързани с даден продукт с цифрови елементи, за да определят съответните рискове и съответните съществени изисквания, както и за да приложат по уместен начин подходящи хармонизирани стандарти или общи спецификации.	(32) За да се гарантира, че продуктите с цифрови елементи са безопасни както в момента на пускането им на пазара, така и по време на целия им жизнен цикъл, е необходимо да се определят съществени изисквания за отстраняване на уязвимостите и съществени изисквания за киберсигурността, свързани с характеристиките на продуктите с цифрови елементи. Въпреки че производителите следва да спазват всички съществени изисквания, свързани с отстраняването на уязвимостите, и да гарантират, че всички техни продукти се доставят без известни уязвимости, които могат да бъдат използвани, те следва да определят кои други съществени изисквания, свързани с характеристиките на продукта, са приложими за съответния вид продукт. За тази цел производителите следва да извършат оценка на киберрисковете, свързани с даден продукт с цифрови елементи, за да определят съответните рискове и съответните съществени изисквания, както и за да приложат по уместен начин подходящи хармонизирани стандарти.

Изменение 19

Предложение за регламент

Съображение 33 a (ново)


Текст, предложен от Комисията	Изменение
	(33 a) С цел да се гарантира, че продуктите са проектирани, разработени и произведени в съответствие със съществените изисквания, предвидени в приложение I, раздел 1, производителите следва да полагат дължимата грижа, когато интегрират компоненти, доставени от трети страни, в продукти с цифрови елементи. Такъв е случаят при компоненти, които са съобразени с особеностите на продукта и са интегрирани в него, по-специално в случай на свободен софтуер с отворен код, който не е пуснат на пазара в замяна на финансова или друг вид печалба.

Изменение 20

Предложение за регламент

Съображение 34


Текст, предложен от Комисията	Изменение
(34) За да се гарантира, че на националните ЕРИКС и на единното звено за контакт, определени в съответствие с член [член X] от [Директива XX/XXXX (МИС 2)], се предоставя необходимата информация за изпълнение на техните задачи и за повишаване на цялостното ниво на киберсигурност на съществените и важните субекти, както и за да се осигури ефективното функциониране на органите за надзор на пазара, производителите на продукти с цифрови елементи следва да уведомяват ENISA за уязвимости, които се използват активно. Тъй като повечето продукти с цифрови елементи се предлагат на целия вътрешен пазар, всяка използвана уязвимост в даден продукт с цифрови елементи следва да се счита за заплаха за функционирането на вътрешния пазар. Производителите следва също така да обмислят възможността за разкриване на фиксирани уязвимости в европейската база данни за уязвимости, създадена съгласно Директива [Директива XX/XXXX (МИС 2)] и управлявана от ENISA, или във всяка друга публично достъпна база данни за уязвимости.	(34) За да се гарантира, че на националните ЕРИКС и на единното звено за контакт, определени в съответствие с член [член X] от [Директива XX/XXXX (МИС 2)], се предоставя необходимата информация за изпълнение на техните задачи и за повишаване на цялостното ниво на киберсигурност на съществените и важните субекти, както и за да се осигури ефективното функциониране на органите за надзор на пазара, производителите на продукти с цифрови елементи следва да уведомяват ENISA без неоправдано забавяне и във всички случаи в рамките на 48 часа от узнаването, чрез ранно предупреждение, за уязвимости, които се използват активно. След узнаването за активно използвана уязвимост, оказваща значително въздействие върху сигурността на продукта с цифрови елементи производителите следва да съобщават без неоправдано забавяне на ENISA допълнителни подробности относно използваната уязвимост. ENISA следва да бъде уведомена за всички други уязвимости, които не оказват значително въздействие върху сигурността на продукта с цифрови елементи, след като уязвимостта бъде отстранена. Тъй като повечето продукти с цифрови елементи се предлагат на целия вътрешен пазар, всяка използвана уязвимост в даден продукт с цифрови елементи следва да се счита за заплаха за функционирането на вътрешния пазар. Производителите следва също така да обмислят възможността за разкриване на фиксирани уязвимости в европейската база данни за уязвимости, създадена съгласно Директива [Директива XX/XXXX (МИС 2)] и управлявана от ENISA, или във всяка друга публично достъпна база данни за уязвимости.

Изменение 21

Предложение за регламент

Съображение 34 a (ново)


Текст, предложен от Комисията	Изменение
	(34 a) ENISA следва да отговаря за публикуването и поддържането на база данни с известни използвани уязвимости. Производителите следва да следят базата данни и да уведомяват за открити уязвимости в техните продукти.

Изменение 22

Предложение за регламент

Съображение 35


Текст, предложен от Комисията	Изменение
(35) Производителите следва също така да докладват на ENISA за всеки инцидент, който оказва въздействие върху сигурността на продукта с цифрови елементи. Независимо от задълженията за докладване на инциденти в Директива [Директива XXX/XXXX (МИС 2)] за съществени и важни субекти, от решаващо значение за ENISA, единните звена за контакт, определени от държавите членки в съответствие с член [член X] от Директива [Директива XXX/XXXX (МИС 2)], и органите за надзор на пазара е да получават информация от производителите на продукти с цифрови елементи, която да им позволи да оценят сигурността на тези продукти. С цел да се гарантира, че ползвателите могат да реагират бързо на инциденти, които оказват въздействие върху сигурността на техните продукти с цифрови елементи, производителите следва също така да информират своите ползватели за всеки такъв инцидент и, когато е приложимо, за всички корективни мерки, които ползвателите могат да приложат, за да намалят въздействието на инцидента, например чрез публикуване на съответната информация на своите уебсайтове или, когато производителят е в състояние да се свърже с ползвателите и когато това е оправдано от рисковете, като се обърне директно към ползвателите.	(35) Производителите следва също така да докладват на ENISA чрез ранно предупреждение за всеки инцидент, който оказва значително въздействие върху сигурността на продукта с цифрови елементи. Производителите следва да уведомяват допълнително ENISA за повече подробности относно значителния инцидент, свързан с продукта с цифрови елементи, без неоправдано забавяне и във всички случаи в рамките на 72 часа след узнаването му. Независимо от задълженията за докладване на инциденти в Директива [Директива XXX/XXXX (МИС 2)] за съществени и важни субекти, от решаващо значение за ENISA, единните звена за контакт, определени от държавите членки в съответствие с член [член X] от Директива [Директива XXX/XXXX (МИС 2)], и органите за надзор на пазара е да получават информация от производителите на продукти с цифрови елементи, която да им позволи да оценят сигурността на тези продукти. С цел да се гарантира, че ползвателите могат да реагират бързо на инциденти, които оказват значително въздействие върху сигурността на техните продукти с цифрови елементи, производителите следва също така да информират своите ползватели за всеки такъв инцидент, когато е целесъобразно и ако е вероятно те да бъдат засегнати неблагоприятно от него, и когато е приложимо, за смекчаването на риска и всички корективни мерки, които ползвателите могат да приложат, за да намалят въздействието на значителния инцидент, например чрез публикуване на съответната информация на своите уебсайтове или, когато производителят е в състояние да се свърже с ползвателите и когато това е оправдано от рисковете, като се обърне директно към ползвателите. Без да се засягат други задължения, производителите, които установят уязвимост в компонент, интегриран в продукт с цифрови елементи, включително в свободен компонент с отворен код, следва да докладват за уязвимостта на физическото или юридическото лице, което поддържа компонента, заедно с предприетата корективна мярка.

Изменение 23

Предложение за регламент

Съображение 37 a (ново)


Текст, предложен от Комисията	Изменение
	(37 a) Съгласно Споразумението на СТО за техническите пречки пред търговията, когато са необходими технически правила и съществуват съответни международни стандарти, членовете на СТО следва да използват тези стандарти като основа за своите технически правила. Важно е да се избягва дублирането на работата на организациите за стандартизация, тъй като международните стандарти имат за цел да улеснят хармонизирането на националните и регионалните технически регламенти и стандарти, като по този начин се намалят нетарифните технически пречки пред търговията. Като се има предвид, че киберсигурността е глобален проблем, Съюзът следва да се стреми към максимално съгласуване. За да се постигне тази цел, с искането за стандартизация за настоящия регламент, както е посочено в член 10 от Регламент 1025/2012, следва да се търси намаляване на пречките пред приемането на стандартите, като се публикуват данните за тях в Официален вестник на ЕС в съответствие с член 10, параграф 6 от Регламент 1025/2012.

Изменение 24

Предложение за регламент

Съображение 37 б (ново)


Текст, предложен от Комисията	Изменение
	(37 б) Като се има предвид широкият обхват на настоящия регламент, своевременното разработване на хармонизирани стандарти представлява сериозно предизвикателство. За да се повиши сигурността на продуктите с цифрови компоненти на пазара на Съюза във възможно най-кратък срок, Комисията следва да бъде оправомощена за ограничен период от време да обявява съществуващите международни стандарти за киберсигурност на продуктите за отговарящи на изискванията на настоящия регламент. Тези стандарти следва да бъдат публикувани като стандарти, осигуряващи презумпция за съответствие.

Изменение 25

Предложение за регламент

Съображение 38


Текст, предложен от Комисията	Изменение
(38) С цел да се улесни оценяването на съответствието с изискванията, определени в настоящия регламент, следва да има презумпция за съответствие за продукти с цифрови елементи, които са в съответствие с хармонизирани стандарти, които превръщат съществените изисквания на настоящия регламент в подробни технически спецификации и които са приети в съответствие с Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета29. Регламент (ЕС) № 1025/2012 предвижда процедура за възражения срещу хармонизирани стандарти, когато тези стандарти не отговарят напълно на изискванията на настоящия регламент.	(38) С цел да се улесни оценяването на съответствието с изискванията, определени в настоящия регламент, следва да има презумпция за съответствие за продукти с цифрови елементи, които са в съответствие с хармонизирани стандарти, които превръщат съществените изисквания на настоящия регламент в подробни технически спецификации и които са приети в съответствие с Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета29. Регламент (ЕС) № 1025/2012 предвижда процедура за възражения срещу хармонизирани стандарти, когато тези стандарти не отговарят напълно на изискванията на настоящия регламент. Процесът на стандартизация следва да гарантира балансирано представяне на интересите и ефективно участие на заинтересованите страни от гражданското общество, включително организациите на потребителите.
__________________	__________________
29 Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета от 25 октомври 2012 г. относно европейската стандартизация, за изменение на директиви 89/686/ЕИО и 93/15/ЕИО на Съвета и на директиви 94/9/ЕО, 94/25/ЕО, 95/16/ЕО, 97/23/ЕО, 98/34/ЕО, 2004/22/ЕО, 2007/23/ЕО, 2009/23/ЕО и 2009/105/ЕО на Европейския парламент и на Съвета и за отмяна на Решение 87/95/ЕИО на Съвета и на Решение № 1673/2006/ЕО на Европейския парламент и на Съвета (ОВ L 316, 14.11.2012 г., стр. 12).	29 Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета от 25 октомври 2012 г. относно европейската стандартизация, за изменение на директиви 89/686/ЕИО и 93/15/ЕИО на Съвета и на директиви 94/9/ЕО, 94/25/ЕО, 95/16/ЕО, 97/23/ЕО, 98/34/ЕО, 2004/22/ЕО, 2007/23/ЕО, 2009/23/ЕО и 2009/105/ЕО на Европейския парламент и на Съвета и за отмяна на Решение 87/95/ЕИО на Съвета и на Решение № 1673/2006/ЕО на Европейския парламент и на Съвета (ОВ L 316, 14.11.2012 г., стр. 12).

Изменение 26

Предложение за регламент

Съображение 41


Текст, предложен от Комисията	Изменение
(41) Когато не са приети хармонизирани стандарти или когато хармонизираните стандарти не отговарят в достатъчна степен на съществените изисквания на настоящия регламент, Комисията следва да може да приема общи спецификации чрез актове за изпълнение. Причините за разработване на такива общи спецификации, вместо да се разчита на хармонизирани стандарти, могат да включват отказ на искане за стандартизация от някоя от европейските организации за стандартизация, неоправдано забавяне при установяването на подходящи хармонизирани стандарти или липса на съответствие на разработените стандарти с изискванията на настоящия регламент или с искане на Комисията. С цел да се улесни оценяването на съответствието със съществените изисквания, определени в настоящия регламент, следва да има презумпция за съответствие за продукти с цифрови елементи, които са в съответствие с общите спецификации, приети от Комисията съгласно настоящия регламент за целите на представянето на подробни технически спецификации на тези изисквания.	(41) Когато в съответствие с Регламент (ЕС) 1025/2012 в Официален вестник на Европейския съюз не са публикувани позовавания на хармонизираните стандарти, които обхващат посочените в приложение I изисквания, и не се очаква да бъдат публикувани подобни позовавания в разумен срок, Комисията следва да може да приема общи спецификации чрез актове за изпълнение. Причините за разработване на такива общи спецификации, вместо да се разчита на хармонизирани стандарти, могат да включват отказ на искане за стандартизация от някоя от европейските организации за стандартизация, неоправдано забавяне при установяването на подходящи хармонизирани стандарти или липса на съответствие на разработените стандарти с изискванията на настоящия регламент или с искане на Комисията. С цел да се улесни оценяването на съответствието със съществените изисквания, определени в настоящия регламент, следва да има презумпция за съответствие за продукти с цифрови елементи, които са в съответствие с общите спецификации, приети от Комисията съгласно настоящия регламент за целите на представянето на подробни технически спецификации на тези изисквания.

Изменение 27

Предложение за регламент

Съображение 43


Текст, предложен от Комисията	Изменение
(43) Маркировката „СЕ“, указваща съответствието на продукта, е видимата последица от цял един процес, включващ оценяване на съответствието в широк смисъл. Основните принципи относно маркировката „СЕ“ са установени в Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета30. Правилата за нанасяне на маркировката „СЕ“ върху продукти с цифрови елементи следва да бъдат определени в настоящия регламент. Маркировката „CE“ следва да бъде единствената маркировка, гарантираща съответствието на продуктите с цифрови елементи с изискванията на настоящия регламент.	(43) Маркировката „СЕ“, указваща съответствието на продукта, е видимата последица от цял един процес, включващ оценяване на съответствието в широк смисъл. Основните принципи относно маркировката „СЕ“ са установени в Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета30. Правилата за нанасяне на маркировката „СЕ“ върху продукти с цифрови елементи следва да бъдат определени в настоящия регламент. Маркировката „CE“ следва да бъде единствената маркировка, гарантираща съответствието на продуктите с цифрови елементи с изискванията на настоящия регламент. Въпреки това частично комплектован продукт с цифрови елементи не се маркира с маркировката „СЕ“ съгласно настоящия регламент, без да се засягат разпоредбите за маркиране, произтичащи от друго приложимо законодателство на Съюза. За частично комплектован продукт с цифрови елементи производителите следва да изготвят ЕС декларация за вграждане.
__________________	__________________
30 Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. за определяне на изискванията за акредитация и за отмяна на Регламент (ЕИО) № 339/93 (OВ L 218, 13.8.2008 г., стр. 30).	30 Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. за определяне на изискванията за акредитация и за отмяна на Регламент (ЕИО) № 339/93 (OВ L 218, 13.8.2008 г., стр. 30).

Изменение 28

Предложение за регламент

Съображение 45


Текст, предложен от Комисията	Изменение
(45) Като общо правило оценяването на съответствието на продукти с цифрови елементи следва да се извършва от производителя на негова отговорност, като се следва процедурата, основана на модул A от Решение 768/2008/ЕО. Производителят следва да запази гъвкавостта си да избере по-строга процедура за оценяване на съответствието с участието на трета страна. Ако продуктът е класифициран като критичен продукт от клас I, се изисква допълнителна гаранция за доказване на съответствието със съществените изисквания, определени в настоящия регламент. Производителят следва да прилага хармонизирани стандарти, общи спецификации или схеми за сертифициране на киберсигурността съгласно Регламент (ЕС) 2019/881, които са определени от Комисията в акт за изпълнение, ако иска да извърши оценяване на съответствието на своя отговорност (модул А). Ако производителят не прилага такива хармонизирани стандарти, общи спецификации или схеми за сертифициране на киберсигурността, той следва да извърши оценяване на съответствието с участието на трета страна. Като се има предвид административната тежест за производителите и фактът, че киберсигурността играе важна роля в етапа на проектиране и разработване на материални и нематериални продукти с цифрови елементи, процедурите за оценяване на съответствието, основани съответно на модули В+С или модул H от Решение 768/2008/ЕО, бяха избрани като най-подходящи за оценяване на съответствието на критични продукти с цифрови елементи по пропорционален и ефективен начин. Производителят, който извършва оценяване на съответствието от трета страна, може да избере процедурата, която най-добре отговаря на неговия процес по проектиране и производство. Предвид още по-големия киберриск, свързан с използването на продукти, класифицирани като критични продукти от клас II, в оценяването на съответствието винаги трябва да участва трета страна.	(45) Като общо правило изискванията за оценяване на съответствието на продукти с цифрови елементи следва да се основават на риска и в тази връзка в много случаи оценяването може да се извършва от производителя на негова отговорност, като се следва процедурата, основана на модул A от Решение 768/2008/ЕО. Производителят следва да запази гъвкавостта си да избере по-строга процедура за оценяване на съответствието с участието на трета страна. Ако продуктът е класифициран като критичен продукт от клас I, се изисква допълнителна гаранция за доказване на съответствието със съществените изисквания, определени в настоящия регламент. Производителят следва да прилага хармонизирани стандарти или схеми за сертифициране на киберсигурността съгласно Регламент (ЕС) 2019/881, които са определени от Комисията в акт за изпълнение, ако иска да извърши оценяване на съответствието на своя отговорност (модул А). Ако производителят не прилага такива хармонизирани стандарти или схеми за сертифициране на киберсигурността, той следва да извърши оценяване на съответствието с участието на трета страна. Като се има предвид административната тежест за производителите и фактът, че киберсигурността играе важна роля в етапа на проектиране и разработване на материални и нематериални продукти с цифрови елементи, процедурите за оценяване на съответствието, основани съответно на модули В+С или модул H от Решение 768/2008/ЕО, бяха избрани като най-подходящи за оценяване на съответствието на критични продукти с цифрови елементи по пропорционален и ефективен начин. Производителят, който извършва оценяване на съответствието от трета страна, може да избере процедурата, която най-добре отговаря на неговия процес по проектиране и производство. Предвид още по-големия киберриск, свързан с използването на продукти, класифицирани като критични продукти от клас II, в оценяването на съответствието винаги трябва да участва трета страна.

Изменение 29

Предложение за регламент

Съображение 46 a (ново)


Текст, предложен от Комисията	Изменение
	(46 a) Когато продуктите с цифрови елементи са еквивалентни, един от тези продукти може да бъде приет като представителен за семейство или категория продукти за целите на определени процедури за оценяване на съответствието.

Изменение 30

Предложение за регламент

Съображение 55


Текст, предложен от Комисията	Изменение
(55) В съответствие с Регламент (ЕС) 2019/1020 органите за надзор на пазара осъществяват надзор на пазара на територията на съответната държава членка. Настоящият регламент следва да не възпрепятства държавите членки да избират компетентните органи, които да изпълняват тези задачи. Всяка държава членка следва да определи един или повече органи за надзор на пазара на своята територия. Държавите членки могат да изберат да определят всеки съществуващ или нов орган, който да действа като орган за надзор на пазара, включително националните компетентни органи съгласно член [член X] от Директива [Директива XXX/XXXX (МИС 2)], или определените национални органи за сертифициране на киберсигурността, посочени в член 58 от Регламент (ЕС) 2019/881. Икономическите оператори следва да си сътрудничат изцяло с органите за надзор на пазара и с други компетентни органи. Всяка държава членка следва да информира Комисията и другите държави членки за своите органи за надзор на пазара и за областите на компетентност на всеки от тези органи, както и да осигури необходимите ресурси и умения за изпълнение на задачите по надзора, свързани с настоящия регламент. Съгласно член 10, параграфи 2 и 3 от Регламент (ЕС) 2019/1020 всяка държава членка следва да определи единна служба за връзка, което следва да отговаря, наред с другото, за представянето на съгласуваната позиция на органите за надзор на пазара и за подпомагането на сътрудничеството между органите за надзор на пазара в различните държави членки.	(55) В съответствие с Регламент (ЕС) 2019/1020 органите за надзор на пазара осъществяват надзор на пазара на територията на съответната държава членка. Настоящият регламент следва да не възпрепятства държавите членки да избират компетентните органи, които да изпълняват тези задачи. Всяка държава членка следва да определи един или повече органи за надзор на пазара на своята територия.Държавите членки могат да изберат да определят всеки съществуващ или нов орган, който да действа като орган за надзор на пазара, включително националните компетентни органи съгласно член 8 от Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 г. относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директивата за МИС 2), или определените национални органи за сертифициране на киберсигурността, посочени в член 58 от Регламент (ЕС) 2019/881. Икономическите оператори следва да си сътрудничат изцяло с органите за надзор на пазара и с други компетентни органи. Всяка държава членка следва да информира Комисията и другите държави членки за своите органи за надзор на пазара и за областите на компетентност на всеки от тези органи, както и да осигури необходимите ресурси и умения за изпълнение на задачите по надзора, свързани с настоящия регламент. Съгласно член 10, параграфи 2 и 3 от Регламент (ЕС) 2019/1020 всяка държава членка следва да определи единна служба за връзка, което следва да отговаря, наред с другото, за представянето на съгласуваната позиция на органите за надзор на пазара и за подпомагането на сътрудничеството между органите за надзор на пазара в различните държави членки.

Изменение 31

Предложение за регламент

Съображение 56 a (ново)


Текст, предложен от Комисията	Изменение
	(56 a) За да могат икономическите оператори, които са МСП и микропредприятия, да се справят с наложените от настоящия регламент нови задължения, Комисията следва да им предостави лесни за разбиране насоки и съвети, например чрез пряк канал за връзка с експерти, в случай че имат въпроси, като се отчита необходимостта от опростяване и ограничаване на административните тежести. При разработването на такива насоки Комисията следва да вземе предвид потребностите на МСП, така че административната и финансовата тежест да се сведат до минимум, като същевременно се улесни спазването на настоящия регламент от страна на МСП. Комисията следва да се консултира със съответните заинтересовани страни с експертен опит в областта на киберсигурността.

Изменение 32

Предложение за регламент

Съображение 58


Текст, предложен от Комисията	Изменение
(58) В определени случаи даден продукт с цифрови елементи, който е в съответствие с настоящия регламент, може въпреки това да представлява значителен киберриск или риск за здравето или безопасността на хората, за спазването на задълженията по правото на Съюза или националното право, предназначени за защита на основните права, за достъпността, автентичността, целостта или поверителността на услугите, предлагани чрез електронна информационна система от основни субекти от вида, посочен в [приложение I към Директива XXX/XXXX (МИС 2)], или за други аспекти на опазването на обществения интерес. Поради това е необходимо да се установят правила, които да гарантират намаляването на тези рискове. В резултат на това органите за надзор на пазара следва да предприемат мерки, с които да изискат от икономическия оператор да гарантира, че продуктът вече не представлява този риск, да го изземе или да го изтегли, в зависимост от риска. След като орган за надзор на пазара ограничи или забрани свободното движение на продукта по такъв начин, държавата членка следва незабавно да уведоми Комисията и другите държави членки за временните мерки, като посочи причините и основанията за решението. Когато орган за надзор на пазара приема такива мерки срещу продукти, представляващи риск, Комисията следва незабавно да започне консултации с държавите членки и със съответния(те) икономически оператор(и) и да извърши оценка на националната мярка. Въз основа на резултатите от тази оценка Комисията следва да взема решение дали националната мярка е оправдана или не. Комисията следва да адресира решението си до всички държави членки, като го съобщава незабавно на тях и на съответния(те) икономически оператор(и). Ако мярката бъде счетена за обоснована, Комисията може също така да обмисли приемането на предложения за преразглеждане на съответното законодателство на Съюза.	(58) В определени случаи даден продукт с цифрови елементи, който е в съответствие с настоящия регламент, може въпреки това да представлява значителен киберриск или риск за здравето или безопасността на хората, за спазването на задълженията по правото на Съюза или националното право, предназначени за защита на основните права, за достъпността, автентичността, целостта или поверителността на услугите, предлагани чрез електронна информационна система от основни субекти от вида, посочен в приложение I към Директива (ЕС) 2022/2555 (Директивата МИС 2), или за други аспекти на опазването на обществения интерес. Поради това е необходимо да се установят правила, които да гарантират намаляването на тези рискове. В резултат на това органите за надзор на пазара следва да предприемат мерки, с които да изискат от икономическия оператор да гарантира, че продуктът вече не представлява този риск, да го изземе или да го изтегли, в зависимост от риска. След като орган за надзор на пазара ограничи или забрани свободното движение на продукта по такъв начин, държавата членка следва незабавно да уведоми Комисията и другите държави членки за временните мерки, като посочи причините и основанията за решението. Когато орган за надзор на пазара приема такива мерки срещу продукти, представляващи риск, Комисията следва незабавно да започне консултации с държавите членки и със съответния(те) икономически оператор(и) и да извърши оценка на националната мярка. Въз основа на резултатите от тази оценка Комисията следва да взема решение дали националната мярка е оправдана или не. Комисията следва да адресира решението си до всички държави членки, като го съобщава незабавно на тях и на съответния(те) икономически оператор(и). Ако мярката бъде счетена за обоснована, Комисията може също така да обмисли приемането на предложения за преразглеждане на съответното законодателство на Съюза.

Изменение 33

Предложение за регламент

Съображение 59


Текст, предложен от Комисията	Изменение
(59) По отношение на продукти с цифрови елементи, представляващи значителен киберриск, и когато има основание да се смята, че те не са в съответствие с настоящия регламент, или по отношение на продукти, които са в съответствие с настоящия регламент, но представляват други съществени рискове, като например рискове за здравето или безопасността на хората, основните права или предоставянето на услуги от основни субекти от вида, посочен в [приложение I към Директива XXX/XXXX (МИС 2)], Комисията може да поиска от ENISA да извърши оценка. Въз основа на тази оценка Комисията може да приеме чрез актове за изпълнение корективни или ограничителни мерки на равнището на Съюза, включително да разпореди изтегляне от пазара или изземване на съответните продукти в разумен срок, съобразен с естеството на риска. Комисията може да прибегне до такава намеса само при извънредни обстоятелства, които оправдават незабавна намеса за запазване на доброто функциониране на вътрешния пазар, и само когато органите за надзор не са предприели ефективни мерки за коригиране на ситуацията. Такива извънредни обстоятелства могат да бъдат извънредни ситуации, когато например несъответстващ на изискванията продукт е широко предлаган от производителя в няколко държави членки, използва се също така в ключови сектори от субекти, обхванати от [Директива XXX/XXXX (МИС 2)], като същевременно съдържа известни уязвимости, които се използват от злонамерени участници и за които производителят не предоставя налични корекции. Комисията може да се намесва в такива извънредни ситуации само за периода на извънредните обстоятелства и ако несъответствието с настоящия регламент или наличните съществени рискове продължават да съществуват.	(59) По отношение на продукти с цифрови елементи, представляващи значителен киберриск, и когато има основание да се смята, че те не са в съответствие с настоящия регламент, или по отношение на продукти, които са в съответствие с настоящия регламент, но представляват други съществени рискове, като например рискове за здравето или безопасността на хората, основните права или предоставянето на услуги от основни субекти от вида, посочен в приложение I към Директива (ЕС) 2022/2555 (Директивата МИС 2), Комисията може да поиска от ENISA да извърши оценка. Въз основа на тази оценка Комисията може да приеме чрез актове за изпълнение корективни или ограничителни мерки на равнището на Съюза, включително да разпореди изтегляне от пазара или изземване на съответните продукти в разумен срок, съобразен с естеството на риска. Комисията може да прибегне до такава намеса само при извънредни обстоятелства, които оправдават незабавна намеса за запазване на доброто функциониране на вътрешния пазар, и само когато органите за надзор не са предприели ефективни мерки за коригиране на ситуацията. Такива извънредни обстоятелства могат да бъдат извънредни ситуации, когато например несъответстващ на изискванията продукт е широко предлаган от производителя в няколко държави членки, използва се също така в ключови сектори от субекти, обхванати от Директива (ЕС) 2022/2555 (Директивата МИС 2, като същевременно съдържа известни уязвимости, които се използват от злонамерени участници и за които производителят не предоставя налични корекции. Комисията може да се намесва в такива извънредни ситуации само за периода на извънредните обстоятелства и ако несъответствието с настоящия регламент или наличните съществени рискове продължават да съществуват.

Изменение 34

Предложение за регламент

Съображение 62


Текст, предложен от Комисията	Изменение
(62) С цел да се гарантира, че регулаторната рамка може да бъде адаптирана, когато е необходимо, на Комисията следва да се предостави правомощието да приема актове в съответствие с член 290 от Договора по отношение на актуализирането на списъка с критични продукти в приложение III и уточняването на определенията на тези категории продукти. На Комисията следва да бъде предоставено правомощието да приема актове в съответствие с посочения член за определянето на продукти с цифрови елементи, обхванати от други правила на Съюза, които постигат същото ниво на защита като настоящия регламент, като се уточнява дали ще е необходимо ограничение или изключване от обхвата на настоящия регламент, както и обхватът на това ограничение, ако е приложимо. На Комисията следва също така да бъде предоставено правомощието да приема актове в съответствие с посочения член във връзка с евентуалното въвеждане на задължение за сертифициране на някои продукти с цифрови елементи с висока степен на критичност въз основа на критериите за критичност, посочени в настоящия регламент, както и за определянето на минималното съдържание на ЕС декларацията за съответствие и за допълване на елементите, които трябва да бъдат включени в техническата документация. От особена важност е по време на подготвителната си работа Комисията да проведе подходящи консултации, включително на експертно равнище, и тези консултации да се проведат в съответствие с принципите, залегнали в Междуинституционалното споразумение от 13 април 2016 г. за по-добро законотворчество33. По-специално, с цел осигуряване на равно участие при подготовката на делегираните актове, Европейският парламент и Съветът получават всички документи едновременно с експертите от държавите членки, като техните експерти получават систематично достъп до заседанията на експертните групи на Комисията, занимаващи се с подготовката на делегираните актове.	(62) С цел да се гарантира, че регулаторната рамка може да бъде адаптирана, когато е необходимо, на Комисията следва да се предостави правомощието да приема актове в съответствие с член 290 от Договора по отношение на актуализирането на списъка с критични продукти в приложение III и уточняването на определенията на тези категории продукти. На Комисията следва да бъде предоставено правомощието да приема актове в съответствие с посочения член за определянето на продукти с цифрови елементи, обхванати от други правила на Съюза, които постигат същото ниво на защита като настоящия регламент, като се уточнява дали ще е необходимо ограничение или изключване от обхвата на настоящия регламент, както и обхватът на това ограничение, ако е приложимо. На Комисията следва също така да бъде предоставено правомощието да приема актове в съответствие с посочения член във връзка с евентуалното доброволно сертифициране на някои продукти с цифрови елементи с висока степен на критичност въз основа на критериите за критичност, посочени в настоящия регламент, както и за определянето на минималното съдържание на ЕС декларацията за съответствие и за допълване на елементите, които трябва да бъдат включени в техническата документация. От особена важност е по време на подготвителната си работа Комисията да проведе подходящи консултации, включително на експертно равнище, и тези консултации да се проведат в съответствие с принципите, залегнали в Междуинституционалното споразумение от 13 април 2016 г. за по-добро законотворчество33. По-специално, с цел осигуряване на равно участие при подготовката на делегираните актове, Европейският парламент и Съветът получават всички документи едновременно с експертите от държавите членки, като техните експерти получават систематично достъп до заседанията на експертните групи на Комисията, занимаващи се с подготовката на делегираните актове.
__________________	__________________
33 ОВ L 123, 12.5.2016 г., стр. 1.	33 ОВ L 123, 12.5.2016 г., стр. 1.

Изменение 35

Предложение за регламент

Съображение 63


Текст, предложен от Комисията	Изменение
(63) За да се гарантират еднакви условия за изпълнение на настоящия регламент, на Комисията следва да бъдат предоставени изпълнителни правомощия: да определя формата и елементите на описа на софтуерните компоненти, да определя допълнително вида на информацията, формата и процедурата за уведомленията относно активно използвани уязвимости и инциденти, подавани до ENISA от производителите, да определя европейските схеми за сертифициране на киберсигурността, приети съгласно Регламент (ЕС) 2019/881, които могат да се използват за доказване на съответствие със съществените изисквания или части от тях, както е посочено в приложение I към настоящия регламент, да приема общи спецификации по отношение на съществените изисквания, посочени в приложение I, да определя техническите спецификации за пиктограми или всякакви други знаци, свързани със сигурността на продуктите с цифрови елементи, и механизмите за насърчаване на тяхното използване, да взема решение за корективни или ограничителни мерки на равнището на Съюза при извънредни обстоятелства, които оправдават незабавна намеса за запазване на доброто функциониране на вътрешния пазар. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета34.	(63) За да се гарантират еднакви условия за изпълнение на настоящия регламент, на Комисията следва да бъдат предоставени изпълнителни правомощия: да определя формата и елементите на описа на софтуерните компоненти, да определя допълнително вида на информацията, формата и процедурата за уведомленията относно активно използвани уязвимости и инциденти, подавани до ENISA от производителите, въз основа на най-добрите практики в сектора, да определя европейските схеми за сертифициране на киберсигурността, приети съгласно Регламент (ЕС) 2019/881, които могат да се използват за доказване на съответствие със съществените изисквания или части от тях, както е посочено в приложение I към настоящия регламент, да приема общи спецификации по отношение на съществените изисквания, посочени в приложение I, да определя техническите спецификации за пиктограми или всякакви други знаци, свързани със сигурността на продуктите с цифрови елементи, и механизмите за насърчаване на тяхното използване, да взема решение за корективни или ограничителни мерки на равнището на Съюза при извънредни обстоятелства, които оправдават незабавна намеса за запазване на доброто функциониране на вътрешния пазар. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета34.
__________________	__________________
34 Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия от страна на Комисията (ОВ L 55, 28.2.2011 г., стр. 13).	34 Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия от страна на Комисията (ОВ L 55, 28.2.2011 г., стр. 13).

Изменение 36

Предложение за регламент

Съображение 69


Текст, предложен от Комисията	Изменение
(69) На икономическите оператори следва да се предостави достатъчно време, за да се адаптират към изискванията на настоящия регламент. Настоящият регламент следва да се прилага [24 месеца] от влизането му в сила, с изключение на задълженията за докладване относно активно използвани уязвимости и инциденти, които следва да се прилагат [12 месеца] от влизането в сила на настоящия регламент.	(69) На икономическите оператори следва да се предостави достатъчно време, за да се адаптират към изискванията на настоящия регламент. Настоящият регламент следва да се прилага [36 месеца] от влизането му в сила.

Изменение 37

Предложение за регламент

Член 1 – параграф 1 – уводна част


Текст, предложен от Комисията	Изменение
С настоящия регламент се определят:	Целта на настоящия регламент е да се подобри функционирането на вътрешния пазар, като същевременно се осигури високо равнище на защита на потребителите и киберсигурност.
	С настоящия регламент се определят хармонизирани правила относно:

Изменение 38

Предложение за регламент

Член 1 – параграф 1 – буква а


Текст, предложен от Комисията	Изменение
a) правила за пускането на пазара на продукти с цифрови елементи, за да се гарантира киберсигурността на тези продукти;	a) пускането на пазара на продукти с цифрови елементи, за да се гарантира киберсигурността на тези продукти;

Изменение 39

Предложение за регламент

Член 1 – параграф 1 – буква г


Текст, предложен от Комисията	Изменение
г) правила за надзор на пазара и правоприлагане на горепосочените правила и изисквания.	г) надзор на пазара и правоприлагане на горепосочените правила и изисквания.

Изменение 40

Предложение за регламент

Член 2 – параграф 1


Текст, предложен от Комисията	Изменение
1. Настоящият регламент се прилага за всички продукти с цифрови елементи, чиято планирана или разумно предвидима употреба включва пряка или непряка логическа или физическа връзка на данни с устройство или мрежа.	1. Настоящият регламент се прилага за всички пуснати на пазара продукти с цифрови елементи, чиято планирана или разумно предвидима употреба включва пряка или непряка логическа или физическа връзка на данни с външно устройство или мрежа.

Изменение 41

Предложение за регламент

Член 2 – параграф 5 а (нов)


Текст, предложен от Комисията	Изменение
	5 a. Настоящият регламент не се прилага за свободен софтуер с отворен код, включително за неговия изходен код и модифицирани версии, освен ако софтуерът се предоставя в хода на търговска дейност чрез:
	i) начисляване на цена за продукт; или
	ii) предоставяне на софтуерна платформа, зависима от други услуги, от които производителят печели; или
	iii) използване на лични данни, генерирани от софтуера, по причини, различни от тези, свързани изключително с подобряване на сигурността, съвместимостта или оперативната съвместимост на софтуера; или
	iv) начисляване на цена за услуги по техническа поддръжка.
	Съответствието на свободните продуктови компоненти с отворен код се осигурява от производителя на продукта, в който те са включени.

Изменение 42

Предложение за регламент

Член 2 – параграф 5 б (нов)


Текст, предложен от Комисията	Изменение
	5 б. Настоящият регламент не се прилага за вътрешните мрежи на продукт с цифрови елементи, ако тези мрежи имат специални крайни точки и са напълно изолирани и защитени от външна връзка на данни.

Изменение 43

Предложение за регламент

Член 2 – параграф 5 в (нов)


Текст, предложен от Комисията	Изменение
	5 в. Настоящият регламент не се прилага за резервни части, предназначени единствено за замяна на дефектни части на продукти с цифрови елементи с цел възстановяване на тяхната функционалност.

Изменение 44

Предложение за регламент

Член 3 – параграф 1 – точка 1


Текст, предложен от Комисията	Изменение
(1) „продукт с цифрови елементи“ означава всеки софтуерен или хардуерен продукт и неговите решения за обработване на данни от разстояние, включително софтуерни или хардуерни компоненти, които ще бъдат пуснати на пазара поотделно;	(1) „продукт с цифрови елементи“ означава всеки софтуерен или хардуерен продукт, включително софтуерни или хардуерни компоненти, които ще бъдат пуснати на пазара поотделно;

Изменение 45

Предложение за регламент

Член 3 – параграф 1 – точка 2


Текст, предложен от Комисията	Изменение
(2) „обработване на данни от разстояние“ означава всяко обработване на данни от разстояние, за което софтуерът е проектиран и разработен от производителя или за което производителят носи отговорност и липсата на което би попречила на продукта с цифрови елементи да изпълнява една от своите функции;	заличава се

Изменение 46

Предложение за регламент

Член 3 – параграф 1 – точка 6 а (нова)


Текст, предложен от Комисията	Изменение
	(6 a) „софтуер с отворен код“ означава софтуер, разпространяван с лиценз, който позволява на ползвателите да го използват, копират, разпространяват, изучават, променят и подобряват свободно, както и да го интегрират като компонент в други продукти, да го предоставят като услуга или да осигуряват търговска поддръжка за него;

Изменение 47

Предложение за регламент

Член 3 – параграф 1 – точка 18


Текст, предложен от Комисията	Изменение
(18) „производител“ означава всяко физическо или юридическо лице, което разработва или произвежда продукти с цифрови елементи или възлага проектирането, разработването или производството на продукти с цифрови елементи и ги предлага на пазара под своето име или търговска марка, независимо дали срещу заплащане или безвъзмездно;	(Не се отнася до българския текст.)

Изменение 48

Предложение за регламент

Член 3 – параграф 1 – точка 19


Текст, предложен от Комисията	Изменение
(19) „упълномощен представител“ означава всяко физическо или юридическо лице, установено в Съюза, което е упълномощено писмено от производител да действа от негово име във връзка с определени задачи;	(19) „упълномощен представител“ означава всяко физическо или юридическо лице, установено в Съюза, което е упълномощено писмено от производител да действа от негово име във връзка с определени задачи по отношение на задълженията на производителя;

Изменение 49

Предложение за регламент

Член 3 – параграф 1 – точка 23 а (нова)


Текст, предложен от Комисията	Изменение
	(23 a) „изземване“ означава изземване съгласно определението в член 3, точка 22 от Регламент (ЕС) 2019/1020;

Изменение 50

Предложение за регламент

Член 3 – параграф 1 – точка 26


Текст, предложен от Комисията	Изменение
(26) „разумно предвидима неправилна експлоатация“ е използването на продукт с цифрови елементи по начин, който не е в съответствие с неговата предвидена употреба, но който е възможно да е резултат от разумно предвидимо човешко поведение или от взаимодействие с други системи;	заличава се

Изменение 51

Предложение за регламент

Член 3 – параграф 1 – точка 31


Текст, предложен от Комисията	Изменение
(31) „съществено изменение“ означава промяна на продукта с цифрови елементи след пускането му на пазара, която засяга съответствието на продукта с цифрови елементи със съществените изисквания, определени в приложение I, раздел 1, или води до промяна на предвидената употреба, за която е оценен продуктът с цифрови елементи;	(31) „съществено изменение“ означава промяна на продукта с цифрови елементи, с изключение на актуализациите на защитата и поддръжката, след пускането му на пазара, която засяга съответствието на продукта с цифрови елементи със съществените изисквания, определени в приложение I, раздел 1, или води до промяна на предвидената употреба, за която е оценен продуктът с цифрови елементи;

Изменение 52

Предложение за регламент

Член 3 – параграф 1 – точка 39


Текст, предложен от Комисията	Изменение
(39) „активно използвана уязвимост“ означава уязвимост, за която има надеждни доказателства, че е извършено изпълнение на злонамерен код от участник в система без разрешението на собственика на системата;	(39) „активно използвана уязвимост“ означава коригирана уязвимост, за която има надеждни доказателства, че е извършено изпълнение на злонамерен код от участник в система без разрешението на собственика на системата;

Изменение 53

Предложение за регламент

Член 3 – параграф 1 – точка 40 а (нова)


Текст, предложен от Комисията	Изменение
	(40 a) „частично комплектовани продукти с цифрови елементи“ означава материално изделие, което не е в състояние да функционира самостоятелно и което е произведено единствено с цел да бъде включено или сглобено в продукт с цифрови елементи или друг частично комплектован продукт с цифрови елементи и чието съответствие може да бъде ефективно оценено единствено като се вземе предвид начинът, по който е включено в предвидения краен продукт с цифрови елементи;

Изменение 54

Предложение за регламент

Член 3 – параграф 1 – точка 40 б (нова)


Текст, предложен от Комисията	Изменение
	(40 б) „жизнен цикъл“ означава периода от момента, в който продукт, попадащ в обхвата на настоящия регламент, е пуснат на пазара или въведен в експлоатация, до момента, в който бъде изхвърлен, включително ефективното време, когато може да бъде използван, и етапите на транспортиране, монтаж, демонтаж, извеждане от експлоатация, бракуване или други физически или софтуерни промени, предвидени от производителя.

Изменение 55

Предложение за регламент

Член 4 – параграф 1


Текст, предложен от Комисията	Изменение
1. Държавите членки не възпрепятстват по отношение на областите, обхванати от настоящия регламент, предоставянето на пазара на продукти с цифрови елементи, които отговарят на изискванията на настоящия регламент.	1. Държавите членки не възпрепятстват по отношение на областите, обхванати от настоящия регламент, предоставянето на пазара на продукти с цифрови елементи или на частично комплектовани продукти с цифрови елементи, които отговарят на изискванията на настоящия регламент.

Изменение 56

Предложение за регламент

Член 4 – параграф 2


Текст, предложен от Комисията	Изменение
2. По време на търговски панаири, изложения и демонстрации или други подобни събития държавите членки не възпрепятстват представянето и използването на даден продукт с цифрови елементи, който не отговаря на изискванията на настоящия регламент.	2. По време на търговски панаири, изложения и демонстрации или други подобни събития държавите членки не възпрепятстват представянето и използването на даден продукт с цифрови елементи, прототип на даден продукт с цифрови елементи или частично комплектован продукт с цифрови елементи, който не отговаря на изискванията на настоящия регламент, при условие че продуктът с цифрови елементи се използва изключително за целите на представянето в хода на събитието и че видим знак ясно показва, че въпросният продукт не съответства на настоящия регламент.

Изменение 57

Предложение за регламент

Член 4 – параграф 3


Текст, предложен от Комисията	Изменение
3. Държавите членки не възпрепятстват предоставянето на незавършен софтуер, който не съответства на настоящия регламент, при условие че софтуерът се предоставя само за ограничен период от време, необходим за целите на изпитването, и че видим знак ясно показва, че той не съответства на настоящия регламент и няма да се предоставя на пазара за цели, различни от тестване.	3. Държавите членки не възпрепятстват предоставянето на незавършен продукт с цифрови елементи или прототип на продукт с цифрови елементи, който не съответства на настоящия регламент, при условие че той се предоставя само в непроизводствена версия за целите на изпитването, и че видим знак ясно показва, че той не съответства на настоящия регламент и няма да се предоставя на пазара за цели, различни от тестване.

Изменение 58

Предложение за регламент

Член 4 – параграф 3 а (нов)


Текст, предложен от Комисията	Изменение
	3 a. Настоящият регламент не възпрепятства държавите членки да прилагат допълнителни мерки по отношение на продуктите с цифрови елементи, когато тези конкретни продукти ще бъдат използвани за военни цели, за цели в областта на отбраната или за цели в областта на националната сигурност в съответствие с националното законодателство и правото на Съюза и такива мерки са необходими и пропорционални за постигането на въпросните цели.

Изменение 59

Предложение за регламент

Член 5 – параграф 1 – точка 1


Текст, предложен от Комисията	Изменение
(1) при правилно инсталиране, извършване на техническа поддръжка и използване по предназначение или при разумно предвидими условия, и, когато е приложимо, актуализиране, отговарят на съществените изисквания, посочени в приложение I, раздел 1; и	(1) при правилно инсталиране, извършване на техническа поддръжка и използване по предназначение или при разумно предвидими условия, и, когато е приложимо, предоставяне на необходимите актуализации на защитата, отговарят на съществените изисквания, посочени в приложение I, раздел 1; и

Изменение 60

Предложение за регламент

Член 6 – параграф 1


Текст, предложен от Комисията	Изменение
1. Продуктите с цифрови елементи, които принадлежат към категория, посочена в приложение III, се считат за критични продукти с цифрови елементи. Счита се, че продуктите, които притежават основните функционални възможности на категория, която е посочена в приложение III към настоящия регламент, попадат в тази категория. Категориите критични продукти с цифрови елементи се разделят на клас I и клас II, както е посочено в приложение III, като отразяват нивото на киберриска, свързан с тези продукти.	1. Продуктите с цифрови елементи, които принадлежат към категория, посочена в приложение III, се считат за критични продукти с цифрови елементи. Счита се, че само продуктите, които притежават основните функционални възможности на категория, която е посочена в приложение III към настоящия регламент, попадат в тази категория. Категориите критични продукти с цифрови елементи се разделят на клас I и клас II, както е посочено в приложение III, като отразяват нивото на киберриска, свързан с тези продукти. Интегрирането на компонент с по-висока степен на критичност в продукт с по-ниска степен на критичност не променя задължително нивото на критичност за продукта, в който е интегриран компонентът.

Изменение 61

Предложение за регламент

Член 6 – параграф 2 – буква б


Текст, предложен от Комисията	Изменение
б) предвидената употреба в чувствителна среда, включително в промишлени условия или от основни субекти от вида, посочен в приложение [приложение I] към Директива [Директива XXX/XXXX (МИС 2)];	б) предвидената употреба в критични приложения в чувствителна среда или от основни субекти от вида, посочен в приложение [приложение I] към Директива [Директива XXX/XXXX (МИС 2)];

Изменение 62

Предложение за регламент

Член 6 – параграф 2 – буква в


Текст, предложен от Комисията	Изменение
в) предвидената употреба за изпълнение на критични или чувствителни функции, като например обработване на лични данни;	в) предвидената употреба и мащаба за изпълнение на критични или чувствителни функции, като например обработване на лични данни;

Изменение 63

Предложение за регламент

Член 6 – параграф 4


Текст, предложен от Комисията	Изменение
4. Критичните продукти с цифрови елементи подлежат на процедурите за оценяване на съответствието, посочени в член 24, параграфи 2 и 3.	4. Критичните продукти с цифрови елементи подлежат на процедурите за оценяване на съответствието, посочени в член 24, параграфи 2 и 3. По изключение малките и микропредприятията могат да използват процедурата, посочена в член 24, параграф 2.

Изменение 64

Предложение за регламент

Член 6 – параграф 5 – уводна част


Текст, предложен от Комисията	Изменение
5. Комисията има правомощието да приема делегирани актове в съответствие с член 50 за допълване на настоящия регламент чрез определяне на категориите продукти с цифрови елементи с висока степен на критичност, за които от производителите се изисква да получат европейски сертификат за киберсигурност в съответствие с европейска схема за сертифициране на киберсигурността съгласно Регламент (ЕС) 2019/881, за да докажат съответствието си със съществените изисквания, посочени в приложение I, или с части от него. При определянето на такива категории продукти с цифрови елементи с висока степен на критичност Комисията взема предвид нивото на киберриска, свързан с категорията продукти с цифрови елементи, като се отчитат един или няколко от критериите, посочени в параграф 2, както и с оглед на оценката дали тази категория продукти:	5. Комисията има правомощието да приема делегирани актове в съответствие с член 50 за допълване на настоящия регламент чрез определяне на категориите продукти с цифрови елементи с висока степен на критичност, за които производителите могат да получат европейски сертификат за киберсигурност в съответствие с европейска схема за сертифициране на киберсигурността съгласно Регламент (ЕС) 2019/881, за да докажат съответствието си със съществените изисквания, посочени в приложение I, или с части от него. При определянето на такива категории продукти с цифрови елементи с висока степен на критичност Комисията взема предвид нивото на киберриска, свързан с категорията продукти с цифрови елементи, като се отчитат един или няколко от критериите, посочени в параграф 2, както и с оглед на оценката дали тази категория продукти:

Изменение 65

Предложение за регламент

Член 8 – параграф 1


Текст, предложен от Комисията	Изменение
1. Продукти с цифрови елементи, класифицирани като високорискови системи с ИИ в съответствие с член [член 6] от Регламент [Регламента относно ИИ], които попадат в обхвата на настоящия регламент и отговарят на съществените изисквания, посочени в раздел 1 от приложение I към настоящия регламент, и при които въведените от производителя процеси са в съответствие със съществените изисквания, посочени в приложение I, раздел 2, се считат за съответстващи на изискванията, свързани с киберсигурността, посочени в член [член 15] от Регламент [Регламента относно ИИ], без да се засягат другите изисквания, свързани с точността и надеждността, включени в посочения член, и доколкото постигането на нивото на защита, наложено от тези изисквания, е доказано с ЕС декларацията за съответствие, издадена съгласно настоящия регламент.	1. Продукти с цифрови елементи или частично комплектовани продукти с цифрови елементи, класифицирани като високорискови системи с ИИ в съответствие с член [член 6] от Регламент [Регламента относно ИИ], които попадат в обхвата на настоящия регламент и отговарят на съществените изисквания, посочени в раздел 1 от приложение I към настоящия регламент, и при които въведените от производителя процеси са в съответствие със съществените изисквания, посочени в приложение I, раздел 2, се считат за съответстващи на изискванията, свързани с киберсигурността, посочени в член [член 15] от Регламент [Регламента относно ИИ], без да се засягат другите изисквания, свързани с точността и надеждността, включени в посочения член, и доколкото постигането на нивото на защита, наложено от тези изисквания, е доказано с ЕС декларацията за съответствие, издадена съгласно настоящия регламент.

Изменение 66

Предложение за регламент

Член 8 – параграф 2


Текст, предложен от Комисията	Изменение
2. По отношение на продуктите и изискванията за киберсигурност, посочени в параграф 1, се прилага съответната процедура за оценяване на съответствието съгласно изискванията на член [член 43] от Регламент [Регламент относно ИИ]. За целите на това оценяване нотифицираните органи, които имат право да проверяват съответствието на високорисковите системи с ИИ съгласно Регламента [Регламент относно ИИ], имат право също така да проверяват съответствието на високорисковите системи с ИИ в обхвата на настоящия регламент с изискванията, посочени в приложение I към настоящия регламент, при условие че съответствието на тези нотифицирани органи с изискванията, определени в член 29 от настоящия регламент, е било оценено в контекста на процедурата за нотифициране съгласно Регламент [Регламент относно ИИ].	2. По отношение на продуктите и изискванията за киберсигурност, посочени в параграф 1, се прилага съответната процедура за оценяване на съответствието съгласно изискванията на [приложимите разпоредби] от Регламент [Регламент относно ИИ]. За целите на това оценяване нотифицираните органи, които имат право да проверяват съответствието на високорисковите системи с ИИ съгласно Регламента [Регламент относно ИИ], имат право също така да проверяват съответствието на високорисковите системи с ИИ в обхвата на настоящия регламент с изискванията, посочени в приложение I към настоящия регламент.

Изменение 67

Предложение за регламент

Член 8 – параграф 3


Текст, предложен от Комисията	Изменение
3. Като изключение от параграф 2, критичните продукти с цифрови елементи, изброени в приложение III към настоящия регламент, за които трябва да се прилагат процедурите за оценяване на съответствието, посочени в член 24, параграф 2, букви а) и б), член 24, параграф 3, букви а) и б) съгласно настоящия регламент, и които също така са класифицирани като високорискови системи с ИИ по член [член 6] от Регламента [Регламент относно ИИ] и за които се прилага процедурата за оценяване на съответствието, основана на вътрешен контрол, посочена в приложение [приложение VI] към Регламент [Регламента относно ИИ], подлежат на процедурите за оценяване на съответствието, изисквани от настоящия регламент, доколкото това се отнася до съществените изисквания на настоящия регламент.	заличава се

Изменение 68

Предложение за регламент

Член 9 – параграф 1


Текст, предложен от Комисията	Изменение
Машиностроителните изделия в обхвата на Регламент [Предложение за регламент за машините], които са продукти с цифрови елементи по смисъла на настоящия регламент и за които е издадена ЕС декларация за съответствие въз основа на настоящия регламент, се считат за съответстващи на съществените изисквания за здраве и безопасност, определени в приложение [приложение III, раздели 1.1.9 и 1.2.1] към Регламент [Предложение за регламент за машините], по отношение на защитата срещу корупция и безопасността и надеждността на системите за управление, и доколкото постигането на нивото на защита, наложено от тези изисквания, е доказано в ЕС декларацията за съответствие, издадена съгласно настоящия регламент.	Машиностроителните изделия в обхвата на Регламент [Предложение за регламент за машините], които са продукти с цифрови елементи или частично комплектовани продукти с цифрови елементи по смисъла на настоящия регламент и за които е издадена ЕС декларация за съответствие въз основа на настоящия регламент, се считат за съответстващи на съществените изисквания за здраве и безопасност, определени в приложение [приложение III, раздели 1.1.9 и 1.2.1] към Регламент [Предложение за регламент за машините], по отношение на защитата срещу корупция и безопасността и надеждността на системите за управление, и доколкото постигането на нивото на защита, наложено от тези изисквания, е доказано в ЕС декларацията за съответствие, издадена съгласно настоящия регламент.

Изменение 69

Предложение за регламент

Член 10 – параграф -1 (нов)


Текст, предложен от Комисията	Изменение
	-1. Производителите на софтуер, които се класифицират като микропредприятие съгласно определението в Препоръка 2003/361/ЕО на Комисията, полагат максимални усилия, за да изпълнят изискванията на настоящия регламент през 6-те месеца след пускането на софтуера на пазара. Тази разпоредба не се прилага за продуктите с цифрови елементи с висока степен на критичност.

Изменение 70

Предложение за регламент

Член 10 – параграф 1


Текст, предложен от Комисията	Изменение
1. Когато пускат на пазара даден продукт с цифрови елементи, производителите гарантират, че той е проектиран, разработен и изработен в съответствие със съществените изисквания, посочени в приложение I, раздел 1.	1. Когато пускат на пазара даден продукт с цифрови елементи, производителите гарантират, че той е проектиран, разработен и произведен в съответствие със съществените изисквания, посочени в приложение I, раздел 1.

Изменение 71

Предложение за регламент

Член 10 – параграф 4


Текст, предложен от Комисията	Изменение
4. С оглед спазването на задължението, посочено в параграф 1, производителите полагат дължимата грижа, когато интегрират компоненти, доставени от трети страни, в продукти с цифрови елементи. Те гарантират, че тези компоненти не застрашават сигурността на продукта с цифрови елементи.	4. С оглед спазването на задължението, посочено в параграф 1, производителите полагат дължимата грижа, когато интегрират компоненти, доставени от трети страни, в продукти с цифрови елементи. Производителят е длъжен да гарантира, че тези компоненти не застрашават сигурността на продукта с цифрови елементи.

Изменение 72

Предложение за регламент

Член 10 – параграф 4 а (нов)


Текст, предложен от Комисията	Изменение
	4 a. Производителите на компоненти предоставят информацията и документите, необходими за спазване на изискванията на настоящия регламент, когато доставят такива компоненти на производителя на крайните продукти. Тази информация се предоставя безплатно.

Изменение 73

Предложение за регламент

Член 10 – параграф 6 – алинея 1


Текст, предложен от Комисията	Изменение
При пускането на даден продукт с цифрови елементи на пазара и за очаквания експлоатационен срок на продукта или за период от пет години от пускането на продукта на пазара, в зависимост от това кой период е по-кратък, производителите гарантират, че уязвимостите на този продукт се отстраняват ефективно и в съответствие със съществените изисквания, посочени в приложение I, раздел 2.	При пускането на даден продукт с цифрови елементи на пазара и за очаквания експлоатационен срок на продукта към момента на пускането на продукта на пазара или за период от пет години от пускането на продукта на пазара, в зависимост от това кой период е по-дълъг, производителите гарантират, че уязвимостите на този продукт се отстраняват ефективно и в съответствие със съществените изисквания, посочени в приложение I, раздел 2, при условие че това се контролира от производителя.

Изменение 74

Предложение за регламент

Член 10 – параграф 10 – алинея 3 а (нова)


Текст, предложен от Комисията	Изменение
	Когато се правят актуализации на софтуера, от производителя не се изисква да извършва друга оценка на съответствието на продукта с цифрови елементи, освен ако актуализацията на софтуера води до съществено изменение на продукта с цифрови елементи по смисъла на член 3, параграф 31 от настоящия регламент.

Изменение 75

Предложение за регламент

Член 10 – параграф 9


Текст, предложен от Комисията	Изменение
9. Производителите гарантират, че съществуват процедури, чрез които продуктите с цифрови елементи, които са обект на серийно производство, остават в съответствие. Производителят взема предвид по подходящ начин промените в процеса на разработване и производство или в проектирането или характеристиките на продукта с цифрови елементи, както и промените в хармонизираните стандарти, европейските схеми за сертифициране на киберсигурността или общите спецификации, посочени в член 19, чрез позоваване на които се декларира съответствието на продукта с цифрови елементи или чрез прилагане на които се проверява неговото съответствие.	9. Производителите гарантират, че съществуват процедури, чрез които продуктите с цифрови елементи, които са обект на серийно производство, остават в съответствие. Производителят взема предвид по подходящ начин промените в процеса на разработване и производство или в проектирането или характеристиките на продукта с цифрови елементи, както и промените в хармонизираните стандарти, европейските схеми за сертифициране на киберсигурността или общите спецификации, посочени в член 19, чрез позоваване на които се декларира съответствието на продукта с цифрови елементи или чрез прилагане на които се проверява неговото съответствие. Когато се появят нови знания, техники или стандарти, които не са били налични по време на проектирането на сериен продукт, производителят може да предвиди периодичното въвеждане на такива подобрения за бъдещите поколения продукти.

Изменение 76

Предложение за регламент

Член 10 – параграф 9 а (нов)


Текст, предложен от Комисията	Изменение
	9 a. Производителите съобщават публично какъв е очакваният експлоатационен срок на техните продукти по ясен и разбираем начин.

Изменение 77

Предложение за регламент

Член 10 – параграф 12


Текст, предложен от Комисията	Изменение
12. От пускането на пазара и за очаквания експлоатационен срок на даден продукт или за период от пет години от пускането на продукта на пазара, в зависимост от това кой период е по-кратък, производителите, които знаят или имат основание да смятат, че продуктът с цифрови елементи или въведените от производителя процеси не са в съответствие със съществените изисквания, определени в приложение I, незабавно предприемат необходимите корективни мерки, за да приведат продукта с цифрови елементи или процесите на производителя в съответствие с изискванията, да изтеглят или да изземат продукта, според случая.	12. От пускането на пазара и за очаквания експлоатационен срок на даден продукт или за период от пет години от пускането на продукта на пазара, в зависимост от това кой период е по-дълъг, производителите, които знаят или имат основание да смятат, че продуктът с цифрови елементи или въведените от производителя процеси не са в съответствие със съществените изисквания, определени в приложение I, незабавно предприемат необходимите корективни мерки, за да приведат продукта с цифрови елементи или процесите на производителя в съответствие с изискванията, да изтеглят или да изземат продукта, според случая.

Изменение 78

Предложение за регламент

Член 11 – параграф 1


Текст, предложен от Комисията	Изменение
1. Производителят уведомява ENISA за всяка активно използвана уязвимост, съдържаща се в продукта с цифрови елементи, без неоправдано забавяне и във всички случаи в рамките на 24 часа от узнаването ѝ. Уведомлението включва подробности относно тази уязвимост и, когато е приложимо, всички предприети корективни или смекчаващи мерки. Без неоправдано забавяне, освен ако не са налице основателни причини, свързани с киберриска, ENISA препраща уведомлението до ЕРИКС, определен за целите на координираното оповестяване на уязвимости в съответствие с член [член X] от Директива [Директива XXX/XXXX (МИС 2)], на съответните държави членки след получаването му и информира органа за надзор на пазара за съобщената уязвимост.	1. Производителят уведомява ENISA чрез ранно предупреждение за всяка активно използвана уязвимост, съдържаща се в продукта с цифрови елементи, без неоправдано забавяне и във всички случаи в рамките на 48 часа от узнаването ѝ.

Изменение 79

Предложение за регламент

Член 11 – параграф 1 а (нов)


Текст, предложен от Комисията	Изменение
	1 a. След узнаването за активно използвана уязвимост, оказваща значително въздействие върху сигурността на продукта с цифрови елементи, производителят съобщава без неоправдано забавяне на ENISA допълнителни подробности относно използваната уязвимост.

Изменение 80

Предложение за регламент

Член 11 – параграф 1 б (нов)


Текст, предложен от Комисията	Изменение
	1 б. След като бъде решен проблемът с уязвимостта, ENISA трябва да бъде уведомена за всички други уязвимости, които не оказват значително въздействие върху сигурността на продукта с цифрови елементи.

Изменение 81

Предложение за регламент

Член 11 – параграф 1 в (нов)


Текст, предложен от Комисията	Изменение
	1 в. Уведомлението включва подробности относно тази уязвимост и когато е приложимо, всички предприети корективни или смекчаващи мерки, както и препоръчаните мерки за намаляване на риска. Без неоправдано забавяне, освен ако са налице основателни причини, свързани с киберриска, ENISA препраща уведомлението до ЕРИКС, определен за целите на координираното оповестяване на уязвимости в съответствие с член [член X] от Директива [Директива XXX/XXXX (МИС 2)], на съответните държави членки след получаването му и незабавно информира органа за надзор на пазара за наличието на уязвимост и когато е приложимо, за потенциалните мерки за намаляване на риска. Когато за съобщената уязвимост няма налични корективни или смекчаващи мерки, ENISA гарантира, че информацията за тази съобщена уязвимост се споделя в съответствие със строги протоколи за сигурност и въз основа на принципа „необходимост да се знае“.

Изменение 82

Предложение за регламент

Член 11 – параграф 2


Текст, предложен от Комисията	Изменение
2. Производителят уведомява ENISA за всеки инцидент, който оказва въздействие върху сигурността на продукта с цифрови елементи, без неоправдано забавяне и във всички случаи в рамките на 24 часа от узнаването му. Без неоправдано забавяне, освен ако не са налице основателни причини, свързани с киберриска, ENISA препраща уведомлението до единното звено за контакт, определено за целите на координираното оповестяване на уязвимости в съответствие с член [член X] от Директива [Директива XXX/XXXX (МИС 2)], на съответните държави членки след получаването му и информира органа за надзор на пазара за съобщените инциденти. Уведомлението за инцидент включва информация за сериозността и въздействието на инцидента и, когато е приложимо, посочва дали производителят подозира, че инцидентът е причинен от незаконни или злонамерени действия, или смята, че той има трансгранично въздействие.	2. Производителят уведомява чрез ранно предупреждение ENISA за всеки инцидент, който оказва значително въздействие върху сигурността на продукта с цифрови елементи, без неоправдано забавяне и във всички случаи в рамките на 24 часа от узнаването му. Освен това производителят предоставя на ENISA повече подробности относно значителния инцидент, свързан с продукта с цифрови елементи, без неоправдано забавяне и във всички случаи в рамките на 72 часа след узнаването за този значителен инцидент. Без неоправдано забавяне, освен ако са налице основателни причини, свързани с киберриска, ENISA препраща уведомлението до единното звено за контакт, определено в съответствие с член [член X] от Директива [Директива XXX/XXXX (МИС 2)], на съответните държави членки и незабавно информира органа за надзор на пазара за съобщените значителни инциденти. Уведомлението за инцидент включва информация, която е строго необходима, за да се осведоми компетентният орган за инцидента и ако е целесъобразно и пропорционално на риска, за сериозността и въздействието на инцидента, и когато е приложимо, посочва дали производителят подозира, че инцидентът е причинен от незаконни или злонамерени действия, или смята, че той има трансгранично въздействие. Актът на уведомяване сам по себе си не води до повишена отговорност за уведомяващия субект.

Изменение 83

Предложение за регламент

Член 11 – параграф 2 а (нов)


Текст, предложен от Комисията	Изменение
	2 a. Икономическите оператори, които са определени също така като съществени или важни субекти съгласно МИС 2 и които подават своето уведомление за инцидент съгласно МИС 2, следва да се считат за отговарящи на изискванията по точка 2 от настоящия член.

Изменение 84

Предложение за регламент

Член 11 – параграф 3


Текст, предложен от Комисията	Изменение
3. ENISA предоставя на европейската мрежа за връзка на организациите при кибернетични кризи (EU-CyCLONe), създадена по силата на член [член X] от Директива [Директива XXX/XXXX (МИС 2)], информацията, съобщена по параграфи 1 и 2, ако тази информация е от значение за координираното управление на мащабни киберинциденти и кризи на оперативно равнище.	3. ENISA предоставя на европейската мрежа за връзка на организациите при кибернетични кризи (EU-CyCLONe), създадена по силата на член [член X] от Директива [Директива XXX/XXXX (МИС 2)], информацията, съобщена по параграфи 1 и 2, ако тази информация е от значение за координираното управление на мащабни и значителни киберинциденти и кризи на оперативно равнище.

Изменение 85

Предложение за регламент

Член 11 – параграф 4


Текст, предложен от Комисията	Изменение
4. Без неоправдано забавяне и след като е узнал за него, производителят информира ползвателите на продукта с цифрови елементи за инцидента и, когато е необходимо, за корективните мерки, които ползвателят може да приложи, за да намали въздействието на инцидента.	4. Без неоправдано забавяне и след като е узнал за него, производителят информира ползвателите на продукта с цифрови елементи за значителния инцидент, ако е целесъобразно и има вероятност те да бъдат неблагоприятно засегнати от този инцидент, и когато е необходимо, за намаляването на риска и за всички корективни мерки, които ползвателят може да приложи, за да намали въздействието на значителния инцидент по отношение на данните, които може да са засегнати, и потенциалните вреди.

Изменение 86

Предложение за регламент

Член 11 – параграф 4 а (нов)


Текст, предложен от Комисията	Изменение
	4 a. Задълженията, определени в параграфи 1, 2 и 4, се прилагат по време на експлоатационния срок на продукта. По време на очаквания експлоатационен срок на продукта производителят предоставя безплатно актуализации на защитата, които се прилагат само за продукти с цифрови елементи, за които производителят е изготвил ЕС декларация за съответствие съгласно член 20 от настоящия регламент.

Изменение 87

Предложение за регламент

Член 11 – параграф 5


Текст, предложен от Комисията	Изменение
5. Чрез приемане на актове за изпълнение Комисията може да определи допълнително вида на информацията, формата и процедурата на уведомленията, подавани съгласно параграфи 1 и 2. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 51, параграф 2.	5. Чрез приемане на актове за изпълнение Комисията може да определи допълнително вида на информацията, формата и процедурата на уведомленията, подавани съгласно параграфи 1 и 2, след като се консултира със заинтересованите страни и ЕРИКС. Тези актове за изпълнение вземат под внимание европейските и международните стандарти и се приемат в съответствие с процедурата по разглеждане, посочена в член 51, параграф 2.

Изменение 88

Предложение за регламент

Член 11 – параграф 6


Текст, предложен от Комисията	Изменение
6. Въз основа на уведомленията, получени по параграфи 1 и 2, ENISA изготвя двугодишен технически доклад за нововъзникващите тенденции по отношение на киберрисковете в продуктите с цифрови елементи и го представя на групата за сътрудничество за МИС, посочена в член [член X] от Директива [Директива XXX/XXXX (МИС 2)]. Първият такъв доклад се представя в срок от 24 месеца след началото на прилагане на задълженията, посочени в параграфи 1 и 2.	6. Въз основа на уведомленията, получени по параграфи 1 и 2, ENISA изготвя двугодишен технически доклад за нововъзникващите тенденции по отношение на киберрисковете в продуктите с цифрови елементи и го представя на групата за сътрудничество за МИС, посочена в член 14 от Директива (ЕС) 2022/2555. Първият такъв доклад се представя в срок от 24 месеца след началото на прилагане на задълженията, посочени в параграфи 1 и 2.

Изменение 89

Предложение за регламент

Член 11 – параграф 7


Текст, предложен от Комисията	Изменение
7. При установяване на уязвимост в компонент, включително в компонент с отворен код, който е интегриран в продукта с цифрови елементи, производителите докладват за уязвимостта на лицето или субекта, който поддържа компонента.	7. При установяване на уязвимост в компонент, включително в компонент с отворен код, който е интегриран в продукта с цифрови елементи, производителите докладват за уязвимостта и за предприетите корективни или смекчаващи мерки на лицето или субекта, който поддържа компонента. Това не освобождава производителя от задължението да поддържа продукта в съответствие с изискванията на настоящия регламент, нито създава задължения за разработчиците на свободни компоненти с отворен код, които нямат договорни отношения с въпросния производител.

Изменение 90

Предложение за регламент

Член 12 – параграф 3 – уводна част


Текст, предложен от Комисията	Изменение
3. Упълномощеният представител изпълнява задачите, определени в пълномощието от страна на производителя. Пълномощието позволява на упълномощения представител да извършва най-малко следното:	3. Упълномощеният представител изпълнява задачите, определени в пълномощието от страна на производителя. Той предоставя на органите за надзор на пазара копие от пълномощието при поискване. Пълномощието позволява на упълномощения представител да извършва най-малко следното:

Изменение 91

Предложение за регламент

Член 12 – параграф 3 – буква а а (нова)


Текст, предложен от Комисията	Изменение
	(a a) когато упълномощеният представител има основание да счита, че даден продукт с цифрови елементи представлява киберриск, той информира производителя;

Изменение 92

Предложение за регламент

Член 12 – параграф 3 – буква б


Текст, предложен от Комисията	Изменение
б) при мотивирано искане от страна на орган за надзор на пазара да предоставя на този орган цялата информация и документация, необходима за доказване на съответствието на даден продукт с цифрови елементи;	б) при мотивирано искане от страна на орган за надзор на пазара да предоставя на този орган цялата информация и документация, необходима за доказване на безопасността и съответствието на даден продукт с цифрови елементи, на език, който е лесноразбираем за този орган;

Изменение 93

Предложение за регламент

Член 12 – параграф 3 – буква в


Текст, предложен от Комисията	Изменение
в) да сътрудничи на органите за надзор на пазара, по тяхно искане, при всяко действие, предприето за отстраняване на рисковете, свързани с продукти с цифрови елементи, обхванати от пълномощието на упълномощения представител.	в) да сътрудничи на органите за надзор на пазара, по тяхно искане, при всяко действие, предприето за ефективното отстраняване на рисковете, свързани с продукти с цифрови елементи, обхванати от пълномощието на упълномощения представител.

Изменение 94

Предложение за регламент

Член 13 – параграф 2 – буква в а (нова)


Текст, предложен от Комисията	Изменение
	(в a) всички документи, доказващи изпълнението на изискванията, посочени в настоящия член, са получени от производителя и са на разположение за проверка за период от 10 години.

Изменение 95

Предложение за регламент

Член 13 – параграф 3


Текст, предложен от Комисията	Изменение
3. Когато вносител счита или има основание да счита, че продукт с цифрови елементи или процесите, въведени от производителя, не са в съответствие със съществените изисквания, посочени в приложение I, вносителят не пуска продукта на пазара, докато този продукт или процесите, въведени от производителя, не бъдат приведени в съответствие със съществените изисквания, посочени в приложение I. Освен това, когато продуктът с цифрови елементи представлява значителен киберриск, вносителят информира за това производителя и органите за надзор на пазара.	3. Когато вносител счита или има основание да счита, въз основа на информацията, с която разполага, че продукт с цифрови елементи или процесите, въведени от производителя, не са в съответствие със съществените изисквания, посочени в приложение I, вносителят не пуска продукта на пазара, докато този продукт или процесите, въведени от производителя, не бъдат приведени в съответствие със съществените изисквания, посочени в приложение I. Освен това, когато продуктът с цифрови елементи представлява значителен киберриск, вносителят информира за това производителя и органите за надзор на пазара.

Изменение 96

Предложение за регламент

Член 13 – параграф 4


Текст, предложен от Комисията	Изменение
4. Вносителите посочват своето име, регистрирано търговско наименование или регистрирана търговска марка, пощенския адрес и адреса на електронна поща, на който може да се осъществи връзка с тях, върху продукта с цифрови елементи, или, когато това не е възможно, върху неговата опаковка, или в документ, който придружава продукта с цифрови елементи. Данните за връзка са на език, лесноразбираем за ползвателите и органите за надзор на пазара.	4. Вносителите посочват своето име, регистрираното си търговско наименование или регистрираната си търговска марка, пощенския си адрес и адреса на електронна поща, на който може да се осъществи връзка с тях, върху продукта с цифрови елементи, или, когато това не е възможно, върху неговата опаковка, или в документ, който придружава продукта с цифрови елементи. Данните за връзка са на език, лесноразбираем за ползвателите и органите за надзор на пазара.

Изменение 97

Предложение за регламент

Член 13 – параграф 6 – алинея 1


Текст, предложен от Комисията	Изменение
Вносителите, които знаят или имат основание да смятат, че продукт с цифрови елементи, който са пуснали на пазара, или процесите, въведени от неговия производител, не са в съответствие със съществените изисквания, посочени в приложение I, незабавно предприемат необходимите корективни мерки за привеждане на продукта с цифрови елементи или на процесите, въведени от неговия производител, в съответствие със съществените изисквания, посочени в приложение I, или за изтегляне или изземване на продукта, ако е целесъобразно.	Вносителите, които знаят или имат основание да смятат, че продукт с цифрови елементи, който са пуснали на пазара, или процесите, въведени от неговия производител, не са в съответствие със съществените изисквания, посочени в приложение I, незабавно предприемат необходимите корективни мерки за привеждане на продукта с цифрови елементи или на процесите, въведени от неговия производител, в съответствие със съществените изисквания, посочени в приложение I, или за изтегляне или изземване на продукта, ако е целесъобразно. Въз основа на оценката на риска дистрибуторите и крайните ползватели трябва да бъдат своевременно информирани за липсата на съответствие и за мерките за намаляване на риска, които могат да предприемат.

Изменение 98

Предложение за регламент

Член 14 – параграф 2 – буква б а (нова)


Текст, предложен от Комисията	Изменение
	б а) са получили от производителя или вносителя цялата информация и документация, изисквана съгласно настоящия регламент.

Изменение 99

Предложение за регламент

Член 16 – параграф 1


Текст, предложен от Комисията	Изменение
Физическо или юридическо лице, различно от производителя, вносителя или дистрибутора, което извършва съществено изменение на продукта с цифрови елементи, се счита за производител за целите на настоящия регламент.	Физическо или юридическо лице, различно от производителя, вносителя или дистрибутора, което извършва в рамките на професионалната си дейност съществено изменение на продукта с цифрови елементи и предоставя продукта на пазара, се счита за производител за целите на настоящия регламент.

Изменение 100

Предложение за регламент

Член 18 – параграф 1 а (нов)


Текст, предложен от Комисията	Изменение
	1 a. Съгласно предвиденото в член 10, параграф 1 от Регламент (ЕС) 1025/2012 Комисията изисква от една или повече европейски организации за стандартизация да изготвят хармонизирани стандарти за изискванията, определени в приложение I.

Изменение 101

Предложение за регламент

Член 18 – параграф 4 а (нов)


Текст, предложен от Комисията	Изменение
	4 a. В съответствие с член 10, параграф 1 от Регламент 1025/2012 при изготвянето на искането за стандартизация за продукти, попадащи в обхвата на настоящия регламент, Комисията се стреми към максимална хармонизация с международните стандарти за киберсигурност, които са действащи или предстои да бъдат приети. През първите три години след датата на прилагане на настоящия регламент Комисията разполага с правомощието да обявява действащи международни стандарти за отговарящи на изискванията на настоящия регламент без никакви европейски изменения, при условие че спазването на тези стандарти повишава в достатъчна степен сигурността на продуктите с цифрови елементи и че те са публикувани като отделна версия от една от европейските организации за стандартизация.

Изменение 102

Предложение за регламент

Член 19 – параграф 1


Текст, предложен от Комисията	Изменение
Когато не съществуват хармонизирани стандарти като посочените в член 18, или когато Комисията прецени, че съответните хармонизирани стандарти са недостатъчни, за да изпълнят изискванията на настоящия регламент или да отговорят на искането на Комисията за стандартизация, или когато има неоправдани забавяния в процедурата по стандартизация, или когато искането на Комисията за хармонизирани стандарти не е било прието от европейските организации за стандартизация, Комисията има правомощието чрез актове за изпълнение да приема общи спецификации по отношение на съществените изисквания, посочени в приложение I. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 51, параграф 2.	1. Комисията може да приема актове за изпълнение за установяване на общи спецификации, обхващащи технически изисквания, които осигуряват средства за постигане на съответствие със съществените изисквания по отношение на здравето и безопасността, установени в приложение I за продуктите, попадащи в обхвата на настоящия регламент. Тези актове за изпълнение се приемат само когато са изпълнени следните условия:
	a) съгласно предвиденото в член 10, параграф 1 от Регламент (ЕС) № 1025/2012 Комисията е изискала от една или повече европейски организации за стандартизация да изготвят хармонизиран стандарт за съществените изисквания, посочени в приложение I, както и:
	i) искането не е било прието; или
	ii) хармонизираните стандарти, отговарящи на това искане, не са представени в срока, определен в съответствие с член 10, параграф 1 от Регламент (ЕС) 1025/2012; или
	iii) хармонизираните стандарти не са в съответствие с искането; както и
	б) в Официален вестник на Европейския съюз не са публикувани данни за хармонизирани стандарти, обхващащи посочените в приложение I изисквания, в съответствие с Регламент (ЕС) 1025/2012 и не се очаква да бъдат публикувани такива данни в разумен срок.
	Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 3.

Изменение 103

Предложение за регламент

Член 19 – параграф 1 а (нов)


Текст, предложен от Комисията	Изменение
	1 a. Преди да изготви проекта на акт за изпълнение, посочен в параграф 3, Комисията информира комитета, посочен в член 22 от Регламент (ЕС) 1025/2012, че счита, че условията по параграф 3 са изпълнени.

Изменение 104

Предложение за регламент

Член 19 – параграф 1 б (нов)


Текст, предложен от Комисията	Изменение
	1 б. При изготвянето на проекта на акт за изпълнение, посочен в параграф 1, Комисията взема предвид становищата на съответните органи или на експертната група и надлежно се консултира с всички съответни заинтересовани страни.

Изменение 105

Предложение за регламент

Член 19 – параграф 1 в (нов)


Текст, предложен от Комисията	Изменение
	1 в. Когато хармонизиран стандарт е приет от европейска организация за стандартизация и е предложен на Комисията с цел публикуване на данните за него в Официален вестник на Европейския съюз, Комисията оценява хармонизирания стандарт в съответствие с Регламент (ЕС) 1025/2012. Когато в Официален вестник на Европейския съюз се публикуват данните за хармонизиран стандарт, Комисията отменя актовете за изпълнение, посочени в параграф 1, или части от тях, които обхващат същите изисквания като тези, обхванати от този хармонизиран стандарт.

Изменение 106

Предложение за регламент

Член 19 – параграф 1 г (нов)


Текст, предложен от Комисията	Изменение
	1 г. Когато държава членка счита, че дадена обща спецификация не отговаря напълно на изискванията, посочени в приложение I, тя информира Комисията за това, като представя подробно обяснение. Комисията прави оценка на това подробно обяснение и може, ако е целесъобразно, да измени акта за изпълнение, с който се установява въпросната обща спецификация.

Изменение 107

Предложение за регламент

Член 20 – параграф 2


Текст, предложен от Комисията	Изменение
2. ЕС декларацията за съответствие се съставя по образеца, установен в приложение IV, и съдържа елементите, определени в съответните процедури за оценяване на съответствието, установени в приложение VI. Тази декларация се актуализира непрекъснато. Тя се предоставя на езика или езиците, изисквани от държавата членка, в която продуктът с цифрови елементи се пуска или се предоставя на пазара.	2. ЕС декларацията за съответствие се съставя по образеца, установен в приложение IV, и съдържа елементите, определени в съответните процедури за оценяване на съответствието, установени в приложение VI. Тази декларация се актуализира по целесъобразност. Тя се предоставя на език, който е лесноразбираем за органите на държавата членка, в която продуктът с цифрови елементи се пуска или се предоставя на пазара.

Изменение 108

Предложение за регламент

Член 20 а (нов)


Текст, предложен от Комисията	Изменение
	Член 20 а
	ЕС декларацията за вграждане на частично комплектовани продукти с цифрови елементи
	1. ЕС декларацията за вграждане се изготвя от производителите в съответствие с член 10, параграф 7 и в нея се посочва, че изпълнението на съответните съществени изисквания, определени в приложение І, е доказано.
	2. ЕС декларацията за вграждане се съставя по образеца, установен в приложение IVa (ново). Тази декларация се актуализира по целесъобразност. Тя се предоставя на езика или езиците, изисквани от държавата членка, в която частично комплектованият продукт с цифрови елементи се пуска или се предоставя на пазара.
	3. Когато приложимите към частично комплектования продукт с цифрови елементи актове на Съюза, които изискват ЕС декларация за вграждане, са повече от един, се изготвя само една ЕС декларация за вграждане във връзка с всички такива актове на Съюза. В тази декларация се посочват съответните актове на Съюза, включително данните за публикуването им.
	4. Комисията има правомощието да приема делегирани актове в съответствие с член 50 за допълване на настоящия регламент чрез добавяне на елементи към минималното съдържание на ЕС декларацията за вграждане, както е посочено в приложение IVа (ново), за да бъде отчетено технологичното развитие.

Изменение 109

Предложение за регламент

Член 22 – параграф 1


Текст, предложен от Комисията	Изменение
1. Маркировката „СЕ“ се нанася върху самия продукт с цифрови елементи така, че да бъде видима, четлива и незаличима. Когато това не е възможно или не е гарантирано поради естеството на продукта с цифрови елементи, тя се поставя върху опаковката и върху ЕС декларацията за съответствие, посочена в член 20, придружаваща продукта с цифрови елементи. За продукти с цифрови елементи, които са под формата на софтуер, маркировката „СЕ“ се нанася или в ЕС декларацията за съответствие, посочена в член 20, или в уебсайта, придружаващ софтуерния продукт.	1. Маркировката „СЕ“ се нанася върху самия продукт с цифрови елементи така, че да бъде видима, четлива и незаличима. Когато това не е възможно или не е гарантирано поради естеството на продукта с цифрови елементи, тя се поставя върху опаковката и върху ЕС декларацията за съответствие, посочена в член 20, придружаваща продукта с цифрови елементи. За продукти с цифрови елементи, които са под формата на софтуер, маркировката „СЕ“ се нанася или в ЕС декларацията за съответствие, посочена в член 20, или в уебсайта, придружаващ софтуерния продукт. В последния случай съответният раздел на уебсайта трябва да бъде лесно и пряко достъпен за потребителите.

Изменение 110

Предложение за регламент

Член 22 – параграф 3


Текст, предложен от Комисията	Изменение
3. Маркировката „СЕ“ се нанася, преди продуктът с цифрови елементи да бъде пуснат на пазара. Тя може да бъде следвана от пиктограма или друг знак, указващи специален риск или употреба, определени в актове за изпълнение, посочени в параграф 6.	3. Маркировката „СЕ“ се нанася, преди продуктът с цифрови елементи да бъде пуснат на пазара. Тя може да бъде следвана от пиктограма или друг знак, указващи на потребителите специален риск или употреба, определени в актове за изпълнение, посочени в параграф 6.

Изменение 111

Предложение за регламент

Член 22 – параграф 5


Текст, предложен от Комисията	Изменение
5. Държавите членки се основават на съществуващите механизми за гарантиране на правилното прилагане на режима за маркировката „СЕ“ и предприемат подходящите действия в случай на неправомерно използване на тази маркировка. Когато продуктът с цифрови елементи е предмет на друго законодателство на Съюза, което също предвижда нанасянето на маркировката „СЕ“, маркировката „СЕ“ указва, че продуктът отговаря и на изискванията на това друго законодателство.	5. Държавите членки се основават на съществуващите механизми за гарантиране на правилното и хармонизирано прилагане на режима за маркировката „СЕ“ и предприемат подходящите и координирани действия в случай на неправомерно използване на тази маркировка. Когато продуктът с цифрови елементи е предмет на друго законодателство на Съюза, което също предвижда нанасянето на маркировката „СЕ“, маркировката „СЕ“ указва, че продуктът отговаря и на изискванията на това друго законодателство.

Изменение 112

Предложение за регламент

Член 22 – параграф 6


Текст, предложен от Комисията	Изменение
6. Комисията може чрез актове за изпълнение да определя технически спецификации за пиктограми или други знаци, свързани със сигурността на продуктите с цифрови елементи, както и механизми за насърчаване на тяхното използване. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 51, параграф 2.	6. Комисията може чрез делегирани актове да определя технически спецификации за схеми за етикетиране, включително хармонизирани етикети, пиктограми или други знаци, свързани със сигурността на продуктите с цифрови елементи, както и механизми за насърчаване на тяхното използване от предприятията и потребителите и за повишаване на обществената осведоменост относно сигурността на продуктите с цифрови елементи. Тези делегирани актове се приемат в съответствие с процедурата, посочена в член 50.

Изменение 113

Предложение за регламент

Член 22 – параграф 6 а (нов)


Текст, предложен от Комисията	Изменение
	6 a. Частично комплектован продукт с цифрови елементи не се маркира с маркировката „СЕ“ съгласно настоящия регламент, без да се засягат разпоредбите за маркиране, произтичащи от друго приложимо законодателство на Съюза.

Изменение 114

Предложение за регламент

Член 22 – параграф 6 б (нов)


Текст, предложен от Комисията	Изменение
	6 б. Комисията приема насоки и предоставя съвети на икономическите оператори, и по-специално тези, които са определени като МСП, включително микропредприятия, относно прилагането на настоящия регламент. Целта на насоките и съветите е, по-специално, да се опрости и ограничи административната и финансовата тежест, като същевременно се гарантира ефективното и последователно прилагане на настоящия регламент в съответствие с общата цел за гарантиране на безопасността на продуктите и защитата на потребителите. Комисията следва да се консултира със съответните заинтересовани страни с експертен опит в областта на киберсигурността.

Изменение 115

Предложение за регламент

Член 23 – параграф 2


Текст, предложен от Комисията	Изменение
2. Техническата документация се изготвя преди пускането на продукта с цифрови елементи на пазара и се актуализира непрекъснато, когато е целесъобразно, по време на очаквания експлоатационен срок на продукта или в продължение на пет години след пускането на пазара на продукта с цифрови елементи, в зависимост от това кой период е по-кратък.	2. Техническата документация се изготвя преди пускането на продукта с цифрови елементи на пазара и се актуализира непрекъснато, когато е целесъобразно, по време на очаквания експлоатационен срок на продукта или в продължение на пет години след пускането на пазара на продукта с цифрови елементи, в зависимост от това кой период е по-дълъг.

Изменение 116

Предложение за регламент

Член 23 – параграф 3


Текст, предложен от Комисията	Изменение
3. По отношение на продуктите с цифрови елементи, посочени в член 8 и член 24, параграф 4, които са предмет и на други актове на Съюза, се изготвя едно-единствено досие с техническа документация, което съдържа информацията, посочена в приложение V към настоящия регламент, и информацията, изисквана от тези съответни актове на Съюза.	3. По отношение на продуктите с цифрови елементи, които са предмет и на други актове на Съюза, се изготвя едно-единствено досие с техническа документация, което съдържа информацията, посочена в приложение V към настоящия регламент, и информацията, изисквана от тези съответни актове на Съюза.

Изменение 117

Предложение за регламент

Член 23 – параграф 5


Текст, предложен от Комисията	Изменение
5. Комисията има правомощието да приема делегирани актове в съответствие с член 50 за допълване на настоящия регламент с елементите, които трябва да бъдат включени в техническата документация, посочена в приложение V, за да бъде отчетено технологичното развитие, както и промените, настъпили в процеса на прилагане на настоящия регламент.	5. Комисията има правомощието да приема делегирани актове в съответствие с член 50 за допълване на настоящия регламент с елементите, които трябва да бъдат включени в техническата документация, посочена в приложение V, за да бъде отчетено технологичното развитие, както и промените, настъпили в процеса на прилагане на настоящия регламент. Комисията се стреми да сведе до минимум административната тежест, и по-специално за микро-, малките и средните предприятия.

Изменение 118

Предложение за регламент

Член 24 – параграф 1 – буква в а (нова)


Текст, предложен от Комисията	Изменение
	(в a) европейска схема за сертифициране на киберсигурността, приета в съответствие с член 18, параграф 4 от Регламент (ЕС) 2019/881.

Изменение 119

Предложение за регламент

Член 24 – параграф 3 – буква б


Текст, предложен от Комисията	Изменение
б) „оценка на съответствието въз основа на пълно осигуряване на качеството“ (въз основа на модул H), определена в приложение VI.	б) „оценка на съответствието въз основа на пълно осигуряване на качеството“ (въз основа на модул H), определена в приложение VI; или

Изменение 120

Предложение за регламент

Член 24 – параграф 3 – буква б а (нова)


Текст, предложен от Комисията	Изменение
	б а) когато е приложимо, европейска схема за сертифициране на киберсигурността с ниво на увереност „съществено“ или „високо“ съгласно Регламент (ЕС) 2019/881.

Изменение 121

Предложение за регламент

Член 24 – параграф 4 а (нов)


Текст, предложен от Комисията	Изменение
	4 a. За продуктите, за които се прилага законодателството на Съюза за хармонизация, основано на новата законодателна рамка, производителят следва съответното оценяване на съответствието, както се изисква съгласно тези правни актове. Изискванията, посочени в глава III, се прилагат за тези продукти.

Изменение 122

Предложение за регламент

Член 24 – параграф 5


Текст, предложен от Комисията	Изменение
5. Нотифицираните органи вземат предвид специфичните интереси и потребности на малките и средните предприятия (МСП) при определянето на таксите за процедурите за оценяване на съответствието и ги намаляват пропорционално на техните специфични интереси и нужди.	5. Нотифицираните органи вземат предвид специфичните интереси и потребности на микро-, малките и средните предприятия при определянето на таксите за процедурите за оценяване на съответствието и ги намаляват пропорционално на техните специфични интереси и нужди. Комисията предприема действия за осигуряване на по-достъпни процедури на разумни цени и подходяща финансова подкрепа в рамките на съществуващите програми на Съюза, по-специално с цел облекчаване на тежестта за микро-, малките и средните предприятия.

Изменение 123

Предложение за регламент

Член 24 – параграф 5 а (нов)


Текст, предложен от Комисията	Изменение
	5 a. За продуктите с цифрови елементи, които попадат в обхвата на настоящия регламент и са пуснати на пазара или въведени в експлоатация от кредитни институции, регулирани от Директива 2013/36/ЕС, оценяването на съответствието се извършва като част от процедурата, посочена в членове 97 – 101 от тази директива.

Изменение 124

Предложение за регламент

Член 24 а (нов)


Текст, предложен от Комисията	Изменение
	Член 24 а (нов)
	Когато продуктите с цифрови елементи имат еквивалентен хардуер или софтуер, образец от продукта може да бъде представителен за група продукти за целите на следните процедури за оценяване на съответствието:
	a) процедурата за вътрешен контрол (въз основа на модул А), посочена в приложение VI; или
	б) процедурата „ЕС изследване на типа“ (въз основа на модул B), определена в приложение VI, последвана от процедура „ЕС съответствие с типа въз основа на вътрешен производствен контрол“ (въз основа на модул C), определена в приложение VI;

Изменение 125

Предложение за регламент

Член 27 – параграф 5


Текст, предложен от Комисията	Изменение
5. Нотифициращият орган запазва поверителността на получената от него информация.	5. Нотифициращият орган запазва поверителността на получената от него информация, включително правата върху интелектуалната собственост, поверителната търговска информация и търговските тайни.

Изменение 126

Предложение за регламент

Член 27 – параграф 6 а (нов)


Текст, предложен от Комисията	Изменение
	6 a. Нотифициращият орган свежда до минимум бюрократичните процедури и таксите, особено за МСП.

Изменение 127

Предложение за регламент

Член 29 – параграф 7 а (нов)


Текст, предложен от Комисията	Изменение
	7 a. Държавите членки и Комисията въвеждат подходящи мерки, за да гарантират достатъчна наличност на квалифицирани специалисти, така че да се сведат до минимум затрудненията в дейностите на органите за оценяване на съответствието.

Изменение 128

Предложение за регламент

Член 29 – параграф 10


Текст, предложен от Комисията	Изменение
10. Персоналът на органа за оценяване на съответствието спазва задължение за служебна тайна по отношение на информацията, получена при изпълнение на неговите задачи, съгласно приложение VI или съгласно разпоредба от националното право по прилагането му, освен по отношение на органите за надзор на пазара на държавата членка, в която осъществява дейността си. Правата на собственост се защитават. Органът за оценяване на съответствието разполага с документирани процедури, гарантиращи спазването на настоящия параграф.	10. Персоналът на органа за оценяване на съответствието спазва задължение за служебна тайна по отношение на информацията, получена при изпълнение на неговите задачи, съгласно приложение VI или съгласно разпоредба от националното право по прилагането му, освен по отношение на органите за надзор на пазара на държавата членка, в която осъществява дейността си. Правата върху интелектуалната собственост, поверителната търговска информация и търговските тайни се защитават. Органът за оценяване на съответствието разполага с документирани процедури, гарантиращи спазването на настоящия параграф.

Изменение 129

Предложение за регламент

Член 29 – параграф 12


Текст, предложен от Комисията	Изменение
12. Органите за оценяване на съответствието извършват дейностите си съгласно набор от последователни, справедливи и разумни условия, по-специално като вземат предвид интересите на МСП във връзка с таксите.	12. Органите за оценяване на съответствието извършват дейностите си съгласно набор от последователни, справедливи и разумни условия в съответствие с член 37, параграф 2, по-специално като вземат предвид интересите на микро-, малките и средните предприятия във връзка с таксите.

Изменение 130

Предложение за регламент

Член 36 – параграф 3


Текст, предложен от Комисията	Изменение
3. Комисията гарантира, че всяка чувствителна информация, получена в хода на разследването, се третира като поверителна.	3. Комисията гарантира, че всяка информация, получена в хода на разследването, се третира като поверителна, включително правата върху интелектуалната собственост, поверителната търговска информация и търговските тайни.

Изменение 131

Предложение за регламент

Член 37 – параграф 2


Текст, предложен от Комисията	Изменение
2. Оценяването на съответствието се осъществява по пропорционален начин, като се избягва ненужната тежест за икономическите оператори. Органите за оценяване на съответствието осъществяват своите дейности, като надлежно отчитат размера на дадено предприятие, сектора, в който осъществява дейност, неговата структура, степента на сложност на съответната технология на продукта и масовия или серийния характер на производството.	2. Оценяването на съответствието се осъществява по пропорционален начин, като се избягва ненужната тежест за икономическите оператори и се обръща специално внимание на МСП. Органите за оценяване на съответствието осъществяват своите дейности, като надлежно отчитат размера на дадено предприятие, сектора, в който осъществява дейност, неговата структура, степента на сложност и излагане на риск на съответния тип и технология на продукта и масовия или серийния характер на производството.

Изменение 132

Предложение за регламент

Член 37 – параграф 5


Текст, предложен от Комисията	Изменение
5. Когато в процеса на наблюдение на съответствието след издаването на сертификата нотифицираният орган установи, че даден продукт вече не отговаря на посочените в настоящия регламент изисквания, той изисква от производителя да предприеме подходящи корективни мерки и спира временно действието или отнема сертификата, ако това се налага.	5. Когато в процеса на наблюдение на съответствието след издаването на сертификата нотифицираният орган установи, че даден продукт вече не отговаря на посочените в настоящия регламент изисквания, той изисква от производителя да предприеме подходящи корективни мерки и ограничава, спира временно действието или отнема сертификата, ако това се налага.

Изменение 133

Предложение за регламент

Член 40 – параграф 1


Текст, предложен от Комисията	Изменение
1. Комисията гарантира създаването и правилното функциониране на подходяща координация и сътрудничество между нотифицираните органи под формата на междусекторна група от нотифицирани органи.	1. Комисията гарантира създаването и правилното функциониране на подходяща координация и сътрудничество между нотифицираните органи, вземайки предвид необходимостта от намаляване на бюрократичните процедури и таксите, под формата на междусекторна група от нотифицирани органи.

Изменение 134

Предложение за регламент

Член 40 – параграф 2


Текст, предложен от Комисията	Изменение
2. Държавите членки осигуряват участието на нотифицираните от тях органи в работата на такава група пряко или чрез определени представители.	2. Държавите членки осигуряват участието на нотифицираните от тях органи в работата на такава група пряко или чрез определени представители, вземайки предвид необходимостта от намаляване на бюрократичните процедури и таксите.

Изменение 135

Предложение за регламент

Член 41 – параграф 3


Текст, предложен от Комисията	Изменение
3. Когато е приложимо, органите за надзор на пазара си сътрудничат с националните органи за сертифициране в областта на киберсигурността, определени съгласно член 58 от Регламент (ЕС) 2019/881, и редовно обменят информация. По отношение на надзора на изпълнението на задълженията за докладване по член 11 от настоящия регламент определените органи за надзор на пазара си сътрудничат с ENISA.	3. Когато е приложимо, органите за надзор на пазара си сътрудничат с националните органи за сертифициране в областта на киберсигурността, определени съгласно член 58 от Регламент (ЕС) 2019/881, и редовно обменят информация. По отношение на надзора на изпълнението на задълженията за докладване по член 11 от настоящия регламент определените органи за надзор на пазара си сътрудничат ефективно с ENISA. Органите за надзор на пазара могат да поискат от ENISA да предостави технически консултации по въпроси, свързани с изпълнението и прилагането на настоящия регламент, включително по време на разследвания в съответствие с член 43, когато органите за надзор на пазара могат да поискат от ENISA да предостави необвързващи оценки на съответствието на продуктите с цифрови елементи.

Изменение 136

Предложение за регламент

Член 41 – параграф 7


Текст, предложен от Комисията	Изменение
7. Комисията улеснява обмена на опит между определените органи за надзор на пазара.	7. Комисията улеснява редовния и структуриран обмен на опит между определените органи за надзор на пазара, включително чрез специализирана група за административно сътрудничество (ADCO), създадена съгласно параграф 11 от настоящия член.

Изменение 137

Предложение за регламент

Член 41 – параграф 8


Текст, предложен от Комисията	Изменение
8. Органите за надзор на пазара могат да предоставят насоки и съвети на икономическите оператори относно прилагането на настоящия регламент с подкрепата на Комисията.	8. Комисията приема насоки и предоставя съвети на икономическите оператори, и по-специално на тези, които са определени като МСП, включително микропредприятия, относно прилагането на настоящия регламент. Целта на насоките и съветите е, по-специално, да се опрости и ограничи административната и финансовата тежест, като същевременно се гарантира ефективното и последователно прилагане в съответствие с общата цел за гарантиране на безопасността на продуктите и защитата на потребителите.

Изменение 138

Предложение за регламент

Член 41 – параграф 8 а (нова)


Текст, предложен от Комисията	Изменение
	8 a. На органите за надзор на пазара се осигуряват необходимите средства, за да получават жалби от потребителите в съответствие с член 11 от Регламент (ЕО) № 2019/1020, също и чрез създаване на ясни и достъпни механизми за улесняване на докладването на уязвимости, инциденти и киберзаплахи.

Изменение 139

Предложение за регламент

Член 41 – параграф 11


Текст, предложен от Комисията	Изменение
11. Създава се специализирана група за административно сътрудничество (ADCO) за еднакво прилагане на настоящия регламент в съответствие с член 30, параграф 2 от Регламент (ЕС) 2019/1020. Тази ADCO група е съставена от представители на определените органи за надзор на пазара и, ако е целесъобразно, от представители на единните служби за връзка.	11. Създава се специализирана група за административно сътрудничество (ADCO) за еднакво прилагане на настоящия регламент, за да се улеснява структурното сътрудничество във връзка с прилагането на настоящия регламент и да се рационализират практиките на органите за надзор на пазара в рамките на Съюза, в съответствие с член 30, параграф 2 от Регламент (ЕС) 2019/1020. Тази ADCO група има по-специално задачите, посочени в член 32, параграф 2 от Регламент (ЕС) 2019/1020, и е съставена от представители на определените органи за надзор на пазара, ENISA и ако е целесъобразно, от представители на единните служби за връзка. ADCO групата провежда редовни заседания и когато е необходимо, по надлежно обосновано искане на Комисията, ENISA или държава членка, координира действията си с други съществуващи дейности на Съюза, свързани с надзора на пазара и безопасността на потребителите, и по целесъобразност си сътрудничи и обменя информация с други мрежи, групи и органи на Съюза. ADCO групата може да кани експерти и други трети страни, включително организации на потребителите, да присъстват на нейните заседания.

Изменение 140

Предложение за регламент

Член 41 – параграф 11 а (нов)


Текст, предложен от Комисията	Изменение
	11 a. За продукти с цифрови елементи, попадащи в обхвата на настоящия регламент, които се разпространяват, въвеждат в експлоатация или използват от финансови институции, регулирани от съответното законодателство на Съюза в областта на финансовите услуги, органът за надзор на пазара за целите на настоящия регламент е съответният орган, отговарящ за финансовия надзор на тези институции съгласно посоченото законодателство.

Изменение 141

Предложение за регламент

Член 42 – параграф 1


Текст, предложен от Комисията	Изменение
Когато това е необходимо за оценяване на съответствието на продуктите с цифрови елементи и на процесите, въведени от техните производители, със съществените изисквания, посочени в приложение I, и при мотивирано искане, на органите за надзор на пазара се предоставя достъп до данните, необходими за оценяване на проектирането, разработването, производството и отстраняването на уязвимостите на такива продукти, включително до свързаната с тях вътрешна документация на съответния икономически оператор.	Когато това е необходимо за оценяване на съответствието на продуктите с цифрови елементи и на процесите, въведени от техните производители, със съществените изисквания, посочени в приложение I, и при мотивирано искане, на органите за надзор на пазара се предоставя достъп до данните, необходими за оценяване на проектирането, разработването, производството и отстраняването на уязвимостите на такива продукти, включително до свързаната с тях вътрешна документация на съответния икономически оператор. Когато е целесъобразно и в съответствие с член 52, параграф 1, буква а), това става в защитена и контролирана среда, определена от производителя.

Изменение 142

Предложение за регламент

Член 43 – параграф 1 – алинея 2


Текст, предложен от Комисията	Изменение
Когато в хода на тази оценка органът за надзор на пазара открие, че за продукта с цифрови елементи не са спазени изискванията, определени в настоящия регламент, той без забавяне изисква от съответния оператор да предприеме необходимите корективни действия, за да приведе продукта в съответствие с тези изисквания или да го изтегли от пазара, или да го изземе в определен от него разумен срок, съобразен с естеството на риска.	Когато в хода на тази оценка органът за надзор на пазара открие, че за продукта с цифрови елементи не са спазени изискванията, определени в настоящия регламент, или че продуктът представлява друга заплаха за националната сигурност, той без забавяне изисква от съответния икономически оператор да предприеме необходимите корективни действия, за да приведе продукта в съответствие с тези изисквания или да го изтегли от пазара, или да го изземе в определен от него разумен срок, съобразен с естеството на риска.
	Преди да извърши горепосочената оценка, органът за надзор на пазара може, ако е необходимо и като отчита значимостта на киберриска, да изиска от съответния оператор да предприеме незабавни действия за временно прекратяване или ограничаване на наличността на продукта на пазара за периода на горепосочената оценка.

Изменение 143

Предложение за регламент

Член 43 – параграф 4 – алинея 1


Текст, предложен от Комисията	Изменение
Когато производителят на даден продукт с цифрови елементи не предприеме подходящи корективни действия в посочения в параграф 1, втора алинея срок, органът за надзор на пазара предприема всички подходящи временни мерки, за да забрани или ограничи предоставянето на продукта на националния пазар, да изтегли продукта от този пазар или да го изземе.	Когато производителят на даден продукт с цифрови елементи не предприеме подходящи корективни действия в посочения в параграф 1, втора алинея срок или компетентният орган на държавата членка счита, че продуктът представлява заплаха за националната сигурност, органът за надзор на пазара предприема всички подходящи временни мерки, за да забрани или ограничи предоставянето на продукта на националния пазар, да изтегли продукта от този пазар или да го изземе.

Изменение 144

Предложение за регламент

Член 45 – параграф 1


Текст, предложен от Комисията	Изменение
1. Когато Комисията има достатъчно основания да счита, включително въз основа на информация, предоставена от ENISA, че продукт с цифрови елементи, който представлява значителен киберриск, не отговаря на изискванията, установени в настоящия регламент, тя може да поиска от съответните органи за надзор на пазара да извършат оценка на съответствието и да изпълнят процедурите, посочени в член 43.	1. Когато Комисията има достатъчно основания да счита, включително въз основа на информация, предоставена от компетентните органи на държавите членки, екипите за реагиране при инциденти с компютърната сигурност (ЕРИКС), определени или създадени в съответствие с Директива (ЕС) 2022/2555, или ENISA, че продукт с цифрови елементи, който представлява значителен киберриск, не отговаря на изискванията, установени в настоящия регламент, тя изисква от съответните органи за надзор на пазара да извършат оценка на съответствието и да изпълнят процедурите, посочени в член 43.

Изменение 145

Предложение за регламент

Член 45 – параграф 2


Текст, предложен от Комисията	Изменение
2. При извънредни обстоятелства, които оправдават незабавна намеса за запазване на доброто функциониране на вътрешния пазар, и когато Комисията има достатъчно основания да счита, че продуктът, посочен в параграф 1, продължава да не отговаря на изискванията, установени в настоящия регламент, и съответните органи за надзор на пазара не са предприели ефективни мерки, Комисията може да поиска от ENISA да извърши оценка на съответствието. Комисията надлежно информира съответните органи за надзор на пазара. Съответните икономически оператори си сътрудничат при необходимост с ENISA.	2. При обстоятелства, които оправдават незабавна намеса за запазване на доброто функциониране на вътрешния пазар, и когато Комисията има основания да счита, че продуктът, посочен в параграф 1, продължава да не отговаря на изискванията, установени в настоящия регламент, и съответните органи за надзор на пазара не са предприели ефективни мерки, Комисията изисква от ENISA да извърши оценка на съответствието. Комисията надлежно информира съответните органи за надзор на пазара. Съответните икономически оператори си сътрудничат при необходимост с ENISA.

Изменение 146

Предложение за регламент

Член 46 – параграф 1


Текст, предложен от Комисията	Изменение
1. Когато след извършване на оценката по член 43 органът за надзор на пазара на държава членка установи, че въпреки че даден продукт с цифрови елементи и въведените от производителя процеси са в съответствие с настоящия регламент, те представляват значителен киберриск и освен това представляват риск за здравето или безопасността на хората, за спазването на задълженията по правото на Съюза или националното право, предназначени за защита на основните права, за достъпността, автентичността, целостта или поверителността на услугите, предлагани чрез електронна информационна система от основни субекти от вида, посочен в [приложение I към Директива XXX/XXXX (МИС 2)], или за други аспекти на защитата на обществения интерес, той изисква от съответния оператор да предприеме всички подходящи мерки, за да гарантира, че продуктът с цифрови елементи и процесите, въведени от съответния производител, когато са пуснати на пазара, вече не представляват този риск, да изтегли продукта с цифрови елементи от пазара или да го изземе в разумен срок, съобразен с естеството на риска.	1. Когато след извършване на оценката по член 43 органът за надзор на пазара на държава членка установи, че въпреки че даден продукт с цифрови елементи и въведените от производителя процеси са в съответствие с настоящия регламент, те представляват значителен киберриск и освен това представляват риск за здравето или безопасността на хората, за спазването на задълженията по правото на Съюза или националното право, предназначени за защита на основните права, за достъпността, автентичността, целостта или поверителността на услугите, предлагани чрез електронна информационна система от основни субекти от вида, посочен в приложение I към Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 г. относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директива МИС 2), или за други аспекти на защитата на обществения интерес, той изисква от съответния икономически оператор да предприеме всички подходящи мерки, за да гарантира, че продуктът с цифрови елементи и процесите, въведени от съответния производител, когато са пуснати на пазара, вече не представляват този риск, да изтегли продукта с цифрови елементи от пазара или да го изземе в разумен срок, съобразен с естеството на риска.

Изменение 147

Предложение за регламент

Член 46 – параграф 2


Текст, предложен от Комисията	Изменение
2. Производителят или други съответни оператори гарантират, че се предприемат корективни действия по отношение на въпросните продукти с цифрови елементи, които те са предоставили на пазара в целия Съюз, в рамките на срока, определен от органа за надзор на пазара на държавата членка, посочен в параграф 1.	2. Производителят или други съответни икономически оператори гарантират, че се предприемат корективни действия по отношение на въпросните продукти с цифрови елементи, които те са предоставили на пазара в целия Съюз, в рамките на срока, определен от органа за надзор на пазара на държавата членка, посочен в параграф 1.

Изменение 148

Предложение за регламент

Член 46 – параграф 6


Текст, предложен от Комисията	Изменение
6. Когато Комисията има достатъчно основания да счита, включително въз основа на информация, предоставена от ENISA, че даден продукт с цифрови елементи, въпреки че е в съответствие с настоящия регламент, представлява рисковете, посочени в параграф 1, тя може да поиска от съответния орган или органи за надзор на пазара да извършат оценка на съответствието и да следват процедурите, посочени в член 43 и параграфи 1, 2 и 3 от настоящия член.	6. Когато Комисията има достатъчно основания да счита, включително въз основа на информация, предоставена от ENISA, че даден продукт с цифрови елементи, въпреки че е в съответствие с настоящия регламент, представлява рисковете, посочени в параграф 1, тя изисква от съответния орган или органи за надзор на пазара да извършат оценка на съответствието и да следват процедурите, посочени в член 43 и параграфи 1, 2 и 3 от настоящия член.

Изменение 149

Предложение за регламент

Член 46 – параграф 7


Текст, предложен от Комисията	Изменение
7. При извънредни обстоятелства, които оправдават незабавна намеса за запазване на доброто функциониране на вътрешния пазар, и когато Комисията има достатъчно основания да счита, че продуктът, посочен в параграф 6, продължава да носи рисковете, посочени в параграф 1, и съответните национални органи за надзор на пазара не са предприели ефективни мерки, Комисията може да поиска от ENISA да извърши оценка на рисковете, свързани с този продукт, и информира съответните органи за надзор на пазара за това. Съответните икономически оператори си сътрудничат при необходимост с ENISA.	7. При обстоятелства, които оправдават незабавна намеса за запазване на доброто функциониране на вътрешния пазар, и когато Комисията има достатъчно основания да счита, че продуктът, посочен в параграф 6, продължава да носи рисковете, посочени в параграф 1, и съответните национални органи за надзор на пазара не са предприели ефективни мерки, Комисията изисква от ENISA да извърши оценка на рисковете, свързани с този продукт, и информира съответните органи за надзор на пазара за това. Съответните икономически оператори си сътрудничат при необходимост с ENISA.

Изменение 150

Предложение за регламент

Член 48 – параграф 1


Текст, предложен от Комисията	Изменение
1. Органите за надзор на пазара могат да се договорят с други съответни органи да извършват съвместни дейности, насочени към гарантиране на киберсигурността и защитата на потребителите по отношение на конкретни продукти с цифрови елементи, пуснати или предоставени на пазара, по-специално продукти, за които често се установява, че представляват киберрискове.	1. Органите за надзор на пазара редовно извършват съвместни действия с други съответни органи, насочени към гарантиране на киберсигурността и защитата на потребителите по отношение на конкретни продукти с цифрови елементи, пуснати или предоставени на пазара, по-специално продукти, за които често се установява, че представляват киберрискове. Тези действия включват проверки на продукти, придобити под прикрита самоличност.

Изменение 151

Предложение за регламент

Член 48 – параграф 2


Текст, предложен от Комисията	Изменение
2. Комисията или ENISA могат да предложат съвместни дейности за проверка на съответствието с настоящия регламент, които да се провеждат от органите за надзор на пазара въз основа на признаци или информация за потенциално несъответствие в няколко държави членки на продукти, попадащи в обхвата на настоящия регламент, с изискванията, определени от него.	2. Комисията или ENISA предлагат съвместни дейности за проверка на съответствието с настоящия регламент, които да се провеждат от органите за надзор на пазара въз основа на признаци или информация за потенциално несъответствие в няколко държави членки на продукти, попадащи в обхвата на настоящия регламент, с изискванията, определени от него.

Изменение 152

Предложение за регламент

Член 49 – параграф 1


Текст, предложен от Комисията	Изменение
1. Органите за надзор на пазара могат да решат да проведат едновременни координирани действия за контрол („мащабни проверки“) на конкретни продукти или категории продукти с цифрови елементи, за да проверят съответствието с настоящия регламент или да открият нарушения на настоящия регламент.	1. Органите за надзор на пазара редовно провеждат едновременни координирани действия за контрол („мащабни проверки“) на конкретни продукти или категории продукти с цифрови елементи, за да проверят съответствието с настоящия регламент или да открият нарушения на настоящия регламент.

Изменение 153

Предложение за регламент

Член 49 – параграф 2


Текст, предложен от Комисията	Изменение
2. Освен когато участващите органи за надзор на пазара са се договорили за друго, мащабните проверки се координират от Комисията. Координаторът на мащабната проверка може, когато е целесъобразно, да оповести публично общите резултати.	2. Освен когато участващите органи за надзор на пазара са се договорили за друго, мащабните проверки се координират от Комисията. Координаторът на мащабната проверка оповестява публично, когато е целесъобразно, общите резултати.

Изменение 154

Предложение за регламент

Член 49 – параграф 3


Текст, предложен от Комисията	Изменение
3. При изпълнение на своите задачи ENISA може, включително въз основа на уведомленията, получени съгласно член 11, параграфи 1 и 2, да определи категориите продукти, за които могат да бъдат организирани мащабни проверки. Предложението за мащабни проверки се представя на потенциалния координатор, посочен в параграф 2, за разглеждане от органите за надзор на пазара.	3. При изпълнение на своите задачи ENISA, включително въз основа на уведомленията, получени съгласно член 11, параграфи 1 и 2, определя категориите продукти, за които се организират мащабни проверки. Предложението за мащабни проверки се представя на потенциалния координатор, посочен в параграф 2, за разглеждане от органите за надзор на пазара.

Изменение 155

Предложение за регламент

Член 49 – параграф 5


Текст, предложен от Комисията	Изменение
5. Органите за надзор на пазара могат да приканят служители на Комисията и други придружаващи ги лица, упълномощени от Комисията, да участват в мащабните проверки.	5. Органите за надзор на пазара приканват служители на Комисията и други придружаващи ги лица, упълномощени от Комисията, да участват в мащабните проверки.

Изменение 156

Предложение за регламент

Член 49 а (нов)


Текст, предложен от Комисията	Изменение
	Член 49 а (нов)
	Предоставяне на технически консултации
	1. Комисията определя чрез акт за изпълнение експертна група, която да предоставя технически консултации на органите за надзор на пазара по въпроси, свързани с изпълнението и прилагането на настоящия регламент. В акта за изпълнение се посочват, inter alia, подробностите, свързани със състава на групата, нейното функциониране и възнаграждението на нейните членове. Експертната група по-специално предоставя необвързващи оценки на продукти с цифрови елементи по искане на орган за надзор на пазара, който провежда разследване съгласно член 43, както и необвързващи оценки на списъка на критичните продукти с цифрови елементи, посочен в приложение II, и на евентуалната необходимост от актуализиране на този списък.
	2. Експертната група се състои от независими експерти, назначени от Комисията за срок от три години, който може да бъде подновен, въз основа на техния научен или технически опит в областта.
	3. Комисията назначава брой експерти, който се счита за достатъчен, за да се отговори на предвидените нужди
	4. Комисията предприема необходимите мерки за управление и предотвратяване на евентуални конфликти на интереси. Декларациите за интереси на членовете на експертната група се оповестяват публично.
	5. Назначените експерти изпълняват задачите си с най-високо ниво на професионализъм, независимост, безпристрастност и обективност.
	6. При приемането на позиции, становища и доклади експертната група се опитва да постигне консенсус. Ако не може да бъде постигнат консенсус, решенията се вземат с обикновено мнозинство от членовете на групата.

Изменение 157

Предложение за регламент

Член 53 – параграф 1


Текст, предложен от Комисията	Изменение
1. Държавите членки определят правилата относно санкциите, приложими при нарушения на настоящия регламент от икономически оператори, и вземат всички необходими мерки, за да осигурят тяхното изпълнение. Предвидените наказания трябва да бъдат ефективни, пропорционални и възпиращи.	1. Държавите членки определят правилата относно санкциите, приложими при нарушения на настоящия регламент от икономически оператори, и вземат всички необходими мерки, за да осигурят тяхното изпълнение. Предвидените санкции трябва да бъдат ефективни, пропорционални и възпиращи и да отчитат особеностите на микро-, малките и средните предприятия.

Изменение 158

Предложение за регламент

Член 53 – параграф 6 – буква а а (нова)


Текст, предложен от Комисията	Изменение
	(a a) дали нарушението е извършено по непредпазливост;

Изменение 159

Предложение за регламент

Член 53 – параграф 6 – буква б


Текст, предложен от Комисията	Изменение
б) дали други органи за надзор на пазара вече са наложили административни глоби на същия оператор за подобно нарушение;	б) дали същите или други органи за надзор на пазара вече са наложили административни глоби на същия оператор за подобно нарушение;

Изменение 160

Предложение за регламент

Член 53 – параграф 6 – буква в


Текст, предложен от Комисията	Изменение
в) размера и пазарния дял на оператора, извършил нарушението.	в) размера и пазарния дял на оператора, извършил нарушението, като се вземат предвид мащабът на рисковете и последиците и финансовите особености на микро-, малките и средните предприятия;

Изменение 161

Предложение за регламент

Член 53 – параграф 6 – буква в а (нова)


Текст, предложен от Комисията	Изменение
	(в a) последващото поведение на оператора след получаване на информация или узнаване за съответното несъответствие, включително дали след като е узнал за несъответствието, операторът е предприел всички подходящи корективни мерки и обосновани необходими мерки за избягване или свеждане до минимум на потенциалните отрицателни последици.

Изменение 162

Предложение за регламент

Раздел VII a (нов)


Текст, предложен от Комисията	Изменение
	МЕРКИ В ПОДКРЕПА НА ИНОВАЦИИТЕ

Изменение 163

Предложение за регламент

Член 53 а (нов)


Текст, предложен от Комисията	Изменение
	Член 53 а
	Регулаторни лаборатории
	Комисията и ENISA могат да създадат Европейска регулаторна лаборатория с доброволно участие на производителите на продукти с цифрови елементи с цел:
	a) осигуряване на контролирана среда, която улеснява разработването, изпитването и валидирането при проектирането, разработването и производството на продукти с цифрови елементи, преди те да бъдат пуснати на пазара или въведени в експлоатация в съответствие с конкретен план;
	б) предоставяне на практическа подкрепа на икономическите оператори, включително чрез насоки и най-добри практики за спазване на съществените изисквания, посочени в приложение I;
	в) допринасяне за натрупването на регулаторен опит, основан на факти.

Изменение 164

Предложение за регламент

Член 54 – заглавие


Текст, предложен от Комисията	Изменение
Изменение на Регламент (ЕС) 2019/1020	Изменение на Регламент (ЕС) 2019/1020 и на Директива 2020/1828/ЕО

Изменение 165

Предложение за регламент

Член 54 – параграф 1 а (нов)


Текст, предложен от Комисията	Изменение
	1a. В приложение I към Директива 2020/1828/ЕО се добавя следната точка:
	„67. [Регламент ХХХ] [Законодателен акт за киберустойчивост]“.

Изменение 166

Предложение за регламент

Член 54 а (нов)


Текст, предложен от Комисията	Изменение
	Член 54 а (нов)
	Делегиран регламент (ЕС) 2022/30
	Настоящият регламент е изготвен така, че всички продукти, обхванати от съществените изисквания, определени в член 3, параграф 3, букви г), д) и е) от Директива 2014/53/ЕС, във вида, в който са описани в делегиран регламент (ЕС) 2022/30, да отговарят на изискванията на настоящия регламент. За да се създаде правна сигурност, Делегиран регламент (ЕС) 2022/30 ще бъде отменен, когато настоящият регламент влезе в сила.

Изменение 167

Предложение за регламент

Член 57 – параграф 2


Текст, предложен от Комисията	Изменение
Той се прилага от [24 месеца след датата на влизането в сила на настоящия регламент]. Член 11 обаче се прилага от [12 месеца след датата на влизането в сила на настоящия регламент].	Той се прилага от [36 месеца след датата на влизането в сила на настоящия регламент]. Що се отнася до продуктите с критични елементи, глави II, III, V и VII се прилагат не по-рано от [20 месеца след датата на публикуване на хармонизираните стандарти, разработени в рамките на стандартизацията, изисквана за целите на настоящия регламент].
	Не по-късно от 6 месеца след датата на влизане в сила на настоящия регламент Комисията издава насоки за това как да се прилагат изискванията на настоящия регламент по отношение на нематериални продукти.

Изменение 168

Предложение за регламент

Приложение I – част 1 – точка 3 – уводна част


Текст, предложен от Комисията	Изменение
(3) Въз основа на оценката на риска, посочена в член 10, параграф 2, и когато е приложимо, продуктите с цифрови елементи:	(3) Въз основа на оценката на киберриска, посочена в член 10, параграф 2, и когато е приложимо, продуктите с цифрови елементи:

Изменение 169

Предложение за регламент

Приложение I – част 1 – точка 3 – буква - а (нова)


Текст, предложен от Комисията	Изменение
	-a) се пускат на пазара без известни уязвимости, които могат да бъдат използвани по отношение на външно устройство или мрежа;

Изменение 170

Предложение за регламент

Приложение I – част 1 – точка 3 – буква а


Текст, предложен от Комисията	Изменение
a) се доставят с конфигурация с настройки за сигурност по подразбиране, включително възможност за възстановяване на продукта до първоначалното му състояние,	a) се доставят с конфигурация с настройки за сигурност по подразбиране,

Изменение 171

Предложение за регламент

Приложение I – част 1 – точка 3 – буква в


Текст, предложен от Комисията	Изменение
в) защитават поверителността на съхранени, предадени или обработени по друг начин данни, лични или други, като например чрез криптиране на съответните данни в покой или при пренос чрез най-съвременните механизми,	в) защитават поверителността на съхранени, предадени или обработени по друг начин данни, лични или други, като например чрез криптиране, токенизация, проверки за отстраняване на слабостите или друга адекватна защита на съответните данни в покой или при пренос чрез най-съвременните механизми,

Изменение 172

Предложение за регламент

Приложение I – част 1 – точка 3 – буква г


Текст, предложен от Комисията	Изменение
г) защитават целостта на съхранени, предадени или обработени по друг начин данни, лични или други, команди, програми и конфигурация срещу манипулиране или промяна, които не са разрешени от ползвателя, както и докладват за повреди,	г) защитават целостта на съхранени, предадени или обработени по друг начин данни, лични или други, команди, програми и конфигурация срещу манипулиране или промяна, които не са разрешени от ползвателя, както и докладват за повреди или възможен неразрешен достъп,

Изменение 173

Предложение за регламент

Приложение I – част 1 – точка 3 – буква е


Текст, предложен от Комисията	Изменение
е) защитават наличието на основни функции, включително устойчивост срещу и овладяване на атаки за отказ на услуга,	е) защитават наличието на съществени и основни функции, включително устойчивост срещу и овладяване на атаки за отказ на услуга,

Изменение 174

Предложение за регламент

Приложение I – част 1 – точка 3 – буква и


Текст, предложен от Комисията	Изменение
и) са проектирани, разработени и произведени по такъв начин, че да бъде намалено въздействието на даден инцидент чрез подходящи механизми и техники за овладяване на зловреден код,	и) са проектирани, разработени и произведени по такъв начин, че да бъде намалено въздействието на даден значителен инцидент чрез подходящи механизми и техники за овладяване на зловреден код,

Изменение 175

Предложение за регламент

Приложение I – част 1 – точка 3 – буква й


Текст, предложен от Комисията	Изменение
й) осигуряват информация, свързана със сигурността, посредством записване и/или наблюдение на съответната вътрешна дейност, включително достъпа до данни, услуги или функции или тяхната промяна,	й) осигуряват информация, свързана със сигурността, като при поискване от ползвателя предоставят възможности за записване и/или наблюдение, локално и на ниво устройство, за съответната вътрешна дейност, включително достъпа до данни, услуги или функции или тяхната промяна,

Изменение 176

Предложение за регламент

Приложение I – част 1 – точка 3 – буква к


Текст, предложен от Комисията	Изменение
к) гарантират, че по отношение на уязвимостите се предприемат мерки посредством актуализации на защитата, включително, когато е приложимо, чрез автоматични актуализации и уведомяване на ползвателите за налични актуализации.	к) гарантират, че по отношение на уязвимостите се предприемат мерки посредством актуализации на защитата, включително, когато е приложимо, отделно от актуализациите на функционалните възможности, както и чрез автоматични актуализации и уведомяване на ползвателите за налични актуализации;

Изменение 177

Предложение за регламент

Приложение I – част 1 – точка 3 – буква к а (нова)


Текст, предложен от Комисията	Изменение
	(ка) са проектирани, разработени и произведени така, че при достигане на края на жизнения цикъл да могат по безопасен начин да бъдат спрени и евентуално рециклирани, включително като се позволява на потребителите да изтеглят и премахват за постоянно всички данни по безопасен начин.

Изменение 178

Предложение за регламент

Приложение I – част 2 – параграф 1 – точка 2


Текст, предложен от Комисията	Изменение
(2) във връзка с рисковете за продуктите с цифрови елементи, незабавно предприемат действия и отстраняват уязвимостите, включително чрез осигуряване на актуализации на защитата,	(2) във връзка с рисковете за продуктите с цифрови елементи, незабавно предприемат действия и отстраняват критичните и сериозните уязвимости, включително чрез осигуряване на актуализации на защитата, или документират причините за неотстраняването на уязвимостта,

Изменение 179

Предложение за регламент

Приложение I – част 2 – параграф 1 – точка 4


Текст, предложен от Комисията	Изменение
(4) след като бъде предоставена актуализация на защитата, публично разкриват информация за коригираните уязвимости, включително описание на уязвимостите, информация, която дава възможност на ползвателите да идентифицират засегнатия продукт с цифрови елементи, въздействието на уязвимостите, тяхната сериозност и информация, помагаща на ползвателите да коригират уязвимостите,	(4) след като бъде предоставена актуализация на защитата, публично или в съответствие с най-добрите практики в сектора разкриват информация за коригираните известни уязвимости, включително описание на уязвимостите, информация, която дава възможност на ползвателите да идентифицират засегнатия продукт с цифрови елементи, въздействието на уязвимостите, тяхната сериозност и ясна и достъпна информация, помагаща на ползвателите да коригират уязвимостите,

Изменение 180

Предложение за регламент

Приложение I – част 2 – параграф 1 – точка 4 а (нова)


Текст, предложен от Комисията	Изменение
	(4 a) информацията относно корекциите и уязвимостите се споделя и разкрива по контролиран начин, като се спазват принципите за „намаляване на вредите“ и търговските тайни чрез отговорно разкриване на уязвимостите на участниците, които могат да предприемат действия за намаляване на уязвимостта, и тя не се прави публично достояние, за да се избегне рискът от неволно информиране на потенциални извършители на атаки;

Изменение 181

Предложение за регламент

Приложение I – част 2 – параграф 1 – точка 7


Текст, предложен от Комисията	Изменение
(7) предоставят механизми за сигурно разпространение на актуализации за продукти с цифрови елементи, за да се гарантира, че уязвимостите, които могат да бъдат използвани, са коригирани или овладени своевременно,	(7) предоставят механизми за сигурно разпространение на актуализации на защитата за продукти с цифрови елементи, за да се гарантира, че уязвимостите, които могат да бъдат използвани, са коригирани или овладени своевременно,

Изменение 182

Предложение за регламент

Приложение I – част 2 – параграф 1 – точка 8


Текст, предложен от Комисията	Изменение
(8) гарантират, че когато са налични софтуерни поправки или актуализации за сигурност с цел преодоляване на установени проблеми със сигурността, те се разпространяват незабавно и безплатно, придружени от информационни съобщения, предоставящи на ползвателите необходимата информация, включително относно потенциалните действия, които трябва да бъдат предприети.	(8) гарантират, че когато могат разумно да бъдат предоставени софтуерни поправки или актуализации за сигурност с цел преодоляване на установени проблеми със сигурността, има средства, чрез които ползвателите могат да ги получат незабавно и безплатно или на прозрачна и недискриминационна цена, придружени от информационни съобщения, предоставящи на ползвателите необходимата информация, включително относно потенциалните действия, които трябва да бъдат предприети.

Изменение 183

Предложение за регламент

Приложение II – параграф 1 – точка 2


Текст, предложен от Комисията	Изменение
2. центъра за контакт, където може да бъде докладвана и получена информация за уязвимости в киберсигурността на продукта,	2. единното звено за контакт, където може да бъде докладвана и получена информация за уязвимости в киберсигурността на продукта,

Изменение 184

Предложение за регламент

Приложение II – параграф 1 – точка 5


Текст, предложен от Комисията	Изменение
5. известните или предвидимите обстоятелства, свързани с използването на продукта с цифрови елементи в съответствие с неговото предназначение или в условия на разумно предвидима неправилна експлоатация, които могат да доведат до значими рискове за киберсигурността,	заличава се

Изменение 185

Предложение за регламент

Приложение II – параграф 1 – точка 6


Текст, предложен от Комисията	Изменение
6. ако и когато е приложимо, къде може да бъде намерен описът на софтуерните компоненти,	6. ако и когато е приложимо, къде компетентните органи могат да намерят описа на софтуерните компоненти,

Изменение 186

Предложение за регламент

Приложение II – параграф 1 – точка 8


Текст, предложен от Комисията	Изменение
8. вида на техническата поддръжка за сигурност, предлагана от производителя, и до кога ще бъде предоставяна, най-малко до кога ползвателите могат да очакват да получават актуализации на защитата,	8. вида на техническата поддръжка за сигурност, предлагана от производителя, и до кога ще бъде предоставяна,

Изменение 187

Предложение за регламент

Приложение II – параграф 1 – точка 8 a (нова)


Текст, предложен от Комисията	Изменение
	8 a. крайната дата на очаквания експлоатационен срок на продукта, ясно посочена, когато е приложимо, върху опаковката на продукта, до която производителят гарантира ефективното отстраняване на уязвимостите и предоставянето на актуализации на защитата,

Изменение 188

Предложение за регламент

Приложение II – параграф 1 – точка 9 – буква а


Текст, предложен от Комисията	Изменение
a) необходимите мерки при първоначалното пускане в експлоатация и през целия жизнен цикъл на продукта, за да се гарантира неговото безопасно използване,	заличава се

Изменение 189

Предложение за регламент

Приложение II – параграф 1 – точка 9 – буква б


Текст, предложен от Комисията	Изменение
б) по какъв начин промените в продукта ще засягат сигурността на данните,	заличава се

Изменение 190

Предложение за регламент

Приложение II – параграф 1 – точка 9 – буква в а (нова)


Текст, предложен от Комисията	Изменение
	(в a) очаквания експлоатационен срок на продукта и докога производителят гарантира ефективното отстраняване на уязвимостите и предоставянето на актуализации на защитата;

Изменение 191

Предложение за регламент

Приложение II – параграф 1 – точка 9 – буква г


Текст, предложен от Комисията	Изменение
г) сигурното извеждане от експлоатация на продукта, включително информация за това как данните на ползвателите могат да бъдат премахнати по сигурен начин.	заличава се

Изменение 192

Предложение за регламент

Приложение III – параграф 1 – точка 3 a (нова)


Текст, предложен от Комисията	Изменение
	3 a. Платформи за удостоверяване на автентичността, разрешаване и проследяване;

Изменение 193

Предложение за регламент

Приложение III – част I – точка 15


Текст, предложен от Комисията	Изменение
15. Физически мрежови интерфейси;	15. Физически и виртуални мрежови интерфейси;

Изменение 194

Предложение за регламент

Приложение III – част I – точка 18


Текст, предложен от Комисията	Изменение
18. Маршрутизатори, модеми, предназначени за връзка с интернет, и комутатори, които са извън обхвата на клас II;	заличава се

Изменение 195

Предложение за регламент

Приложение III – част I – точка 23


Текст, предложен от Комисията	Изменение
23. Индустриален интернет на предметите, който е извън обхвата на клас II.	23. Индустриални продукти с цифрови елементи, които могат да бъдат посочени като част от интернет на предметите, който е извън обхвата на клас II.

Изменение 196

Предложение за регламент

Приложение III – част II – точка 4


Текст, предложен от Комисията	Изменение
4. Защитни стени, системи за установяване и/или предотвратяване на проникване, предназначени за промишлена употреба;	4. Защитни стени, защитни шлюзове, системи за установяване и/или предотвратяване на проникване, предназначени за промишлена употреба;

Изменение 197

Предложение за регламент

Приложение III – част II – точка 7


Текст, предложен от Комисията	Изменение
7. Маршрутизатори, модеми, предназначени за връзка с интернет, и комутатори, предназначени за промишлена употреба;	7. Маршрутизатори, модеми, предназначени за връзка с интернет, комутатори и други мрежови възли, които са необходими за предоставянето на услугата за свързаност;

Изменение 198

Предложение за регламент

Приложение IV a (ново)


Текст, предложен от Комисията	Изменение
	ПРИЛОЖЕНИЕ IVа
	ЕС ДЕКЛАРАЦИЯ ЗА ВГРАЖДАНЕ НА ЧАСТИЧНО КОМПЛЕКТОВАНИ ПРОДУКТИ С ЦИФРОВИ ЕЛЕМЕНТИ
	ЕС декларацията за вграждане за частично комплектовани продукти, посочена в член 20а, съдържа цялата изброена по-долу информация:
	1. наименование, тип и всякаква допълнителна информация за уникалната идентификация на частично комплектования продукт с цифрови елементи,
	2. предмет на декларацията (идентификация на частично окомплектования продукт, позволяваща проследяването му. При необходимост може да се добави снимка),
	3. изявление, че описаният по-горе частично комплектован продукт е в съответствие с приложимото законодателство на Съюза за хармонизация,
	4. позоваване на съответните актове на Съюза, включително данните за публикуването им,
	5. Допълнителна информация:
	Подписано за и от името на: …………………………………
	(място и дата на издаване):
	(име, длъжност) (подпис):

Изменение 199

Предложение за регламент

Приложение V – параграф 1 – част 1 – буква а


Текст, предложен от Комисията	Изменение
a) неговото предназначение,	заличава се

Изменение 200

Предложение за регламент

Приложение V – параграф 1 – точка 2


Текст, предложен от Комисията	Изменение
2. описание на проектирането, разработването и производството на продукта и на процесите на отстраняване на уязвимостите, включително:	заличава се
a) пълна информация за проекта и разработването на продукта с цифрови елементи, включително, когато е приложимо, чертежи и схеми и/или описание на архитектурата на системата, в което се обяснява как компонентите на софтуера се надграждат или се свързват помежду си и се интегрират в цялостното обработване,
б) пълна информация и спецификации на процесите за отстраняване на уязвимости, въведени от производителя, включително опис на софтуерните компоненти, политика относно координираното оповестяване на уязвимости, доказателство за предоставяне на адрес за контакт за докладване на уязвимостите и описание на техническите решения за безопасно разпространение на актуализации;
в) пълна информация и спецификации на процесите на производство и наблюдение на продукта с цифрови елементи и валидирането на тези процеси;

Изменение 201

Предложение за регламент

Приложение V – параграф 1 – точка 3


Текст, предложен от Комисията	Изменение
3. оценка на рисковете за киберсигурността, срещу които продуктът с цифрови елементи е проектиран, разработен, произведен, доставен и поддържан, както е посочено в член 10 от настоящия Регламент;	3. деклариране или обобщение на киберрисковете, с оглед на които продуктът с цифрови елементи е проектиран, разработен, произведен, доставен и поддържан, в съответствие с член 10 от настоящия регламент, и след обосновано искане от орган за надзор на пазара, при условие че е необходимо, за да може този орган да провери съответствието със съществените изисквания, посочени в приложение I, подробна оценка на рисковете за киберсигурността, срещу които продуктът с цифрови елементи е проектиран, разработен, произведен, доставен и поддържан, както е посочено в член 10 от настоящия Регламент;

ПРИЛОЖЕНИЕ: СПИСЪК НА ОБРАЗУВАНИЯТА ИЛИ ЛИЦАТА, ПРЕДОСТАВИЛИ ИНФОРМАЦИЯ НА ДОКЛАДЧИКА

Следният списък е изготвен на доброволни начала в рамките на изключителната отговорност на докладчика. В хода на изготвянето на проекта на становище следните образувания или лица са предоставили информация на докладчика:

Образувание и/или лице

Apple

BDI Federation of German Industries

BEUC

BSA The Software Alliance

Confederation of Danish Industries

Digital Europe

ETNO

Kaspersky

Microsoft

Samsung

TIC Council

Xiaomi

ПРОЦЕДУРА НА ПОДПОМАГАЩАТА КОМИСИЯ

Пълни заглавия	Хоризонтални изисквания за киберсигурност за продукти с цифрови елементи и изменение на Регламент (ЕС) 2019/1020
Позовавания	COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)
Водеща комисия Дата на обявяване в заседание	ITRE 9.11.2022
Становище на Дата на обявяване в заседание	IMCO 9.11.2022
Асоциирани комисии - Дата на обявяване в заседание	20.4.2023
Докладчик по становище Дата на назначаване	Morten Løkkegaard 16.12.2022
Разглеждане в комисия	2.3.2023	25.4.2023	23.5.2023
Дата на приемане	29.6.2023
Резултат от окончателното гласуване	+: –: 0:	41 1 0
Членове, присъствали на окончателното гласуване	Alex Agius Saliba, Andrus Ansip, Pablo Arias Echeverría, Alessandra Basso, Biljana Borzan, Vlad-Marius Botoş, Anna Cavazzini, Dita Charanzová, Deirdre Clune, David Cormand, Alexandra Geese, Maria Grapini, Svenja Hahn, Krzysztof Hetman, Virginie Joron, Eugen Jurzyca, Arba Kokalari, Kateřina Konečná, Andrey Kovatchev, Maria-Manuel Leitão-Marques, Antonius Manders, Beata Mazurek, Leszek Miller, Anne-Sophie Pelletier, Miroslav Radačovský, René Repasi, Christel Schaldemose, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Kim Van Sparrentak, Marion Walsmann
Заместници, присъствали на окончателното гласуване	Marco Campomenosi, Maria da Graça Carvalho, Geoffroy Didier, Francisco Guerreiro, Tsvetelina Penkova, Catharina Rinzema, Kosma Złotowski
Заместници (чл. 209, пар. 7), присъствали на окончателното гласуване	Asger Christensen, Nicolás González Casares, Grzegorz Tobiszowski

ПОИМЕННО ОКОНЧАТЕЛНО ГЛАСУВАНЕ В ПОДПОМАГАЩАТА КОМИСИЯ

41	+
ECR	Beata Mazurek, Grzegorz Tobiszowski, Kosma Złotowski
ID	Alessandra Basso, Marco Campomenosi, Virginie Joron
NI	Miroslav Radačovský
PPE	Pablo Arias Echeverría, Maria da Graça Carvalho, Deirdre Clune, Geoffroy Didier, Krzysztof Hetman, Arba Kokalari, Andrey Kovatchev, Antonius Manders, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Marion Walsmann
Renew	Andrus Ansip, Vlad-Marius Botoş, Dita Charanzová, Asger Christensen, Svenja Hahn, Catharina Rinzema
S&D	Alex Agius Saliba, Biljana Borzan, Nicolás González Casares, Maria Grapini, Maria-Manuel Leitão-Marques, Leszek Miller, Tsvetelina Penkova, René Repasi, Christel Schaldemose
The Left	Kateřina Konečná, Anne-Sophie Pelletier
Verts/ALE	Anna Cavazzini, David Cormand, Alexandra Geese, Francisco Guerreiro, Kim Van Sparrentak

1	-
ECR	Eugen Jurzyca

0	0

Легенда на използваните знаци:

+ : „за“

- : „против“

0 : „въздържал се“

ПРОЦЕДУРА НА ВОДЕЩАТА КОМИСИЯ

Пълни заглавия	Хоризонтални изисквания за киберсигурност за продукти с цифрови елементи и изменение на Регламент (ЕС) 2019/1020
Позовавания	COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)
Дата на представяне на ЕП	15.9.2022
Водеща комисия Дата на обявяване в заседание	ITRE 9.11.2022
Подпомагащи комисии Дата на обявяване в заседание	IMCO 9.11.2022	LIBE 9.11.2022
Асоциирани комисии Дата на обявяване в заседание	LIBE 20.4.2023	IMCO 20.4.2023
Докладчици Дата на назначаване	Nicola Danti 26.10.2022
Разглеждане в комисия	25.4.2023
Дата на приемане	19.7.2023
Резултат от окончателното гласуване	+: –: 0:	61 1 10
Членове, присъствали на окончателното гласуване	Nicola Beer, François-Xavier Bellamy, Hildegard Bentele, Vasile Blaga, Michael Bloss, Paolo Borchia, Cristian-Silviu Buşoi, Jerzy Buzek, Maria da Graça Carvalho, Ignazio Corrao, Beatrice Covassi, Nicola Danti, Marie Dauchy, Pilar del Castillo Vera, Martina Dlabajová, Christian Ehler, Valter Flego, Niels Fuglsang, Jens Geier, Nicolás González Casares, Christophe Grudler, Henrike Hahn, Robert Hajšel, Ivo Hristov, Ivars Ijabs, Romana Jerković, Seán Kelly, Zdzisław Krasnodębski, Andrius Kubilius, Thierry Mariani, Marisa Matias, Marina Mesure, Dan Nica, Niklas Nienass, Ville Niinistö, Johan Nissinen, Mauri Pekkarinen, Tsvetelina Penkova, Morten Petersen, Markus Pieper, Manuela Ripa, Robert Roos, Sara Skyttedal, Maria Spyraki, Grzegorz Tobiszowski, Patrizia Toia, Henna Virkkunen, Pernille Weiss, Carlos Zorrinho
Заместници, присъствали на окончателното гласуване	Damian Boeselager, Franc Bogovič, Francesca Donato, Matthias Ecke, Ladislav Ilčić, Elena Lizzi, Dace Melbārde, Jutta Paulus, Massimiliano Salini, Jordi Solé, Susana Solís Pérez, Ivan Štefanec, Nils Torvalds, Emma Wiesner
Заместници (чл. 209, пар. 7), присъствали на окончателното гласуване	Rosanna Conte, Arnaud Danjean, César Luena, Nicola Procaccini, Elżbieta Rafalska, Antonio Maria Rinaldi, Daniela Rondinelli, Nacho Sánchez Amor, Edina Tóth
Дата на внасяне	27.7.2023

ПОИМЕННО ОКОНЧАТЕЛНО ГЛАСУВАНЕ ВЪВ ВОДЕЩАТА КОМИСИЯ

61	+
ECR	Ladislav Ilčić, Zdzisław Krasnodębski, Nicola Procaccini, Elżbieta Rafalska, Grzegorz Tobiszowski
NI	Francesca Donato, Edina Tóth
PPE	François-Xavier Bellamy, Hildegard Bentele, Vasile Blaga, Franc Bogovič, Cristian-Silviu Buşoi, Jerzy Buzek, Maria da Graça Carvalho, Pilar del Castillo Vera, Arnaud Danjean, Christian Ehler, Seán Kelly, Andrius Kubilius, Dace Melbārde, Markus Pieper, Massimiliano Salini, Maria Spyraki, Ivan Štefanec, Henna Virkkunen, Pernille Weiss
Renew	Nicola Beer, Nicola Danti, Martina Dlabajová, Valter Flego, Christophe Grudler, Ivars Ijabs, Mauri Pekkarinen, Morten Petersen, Susana Solís Pérez, Nils Torvalds, Emma Wiesner
S&D	Beatrice Covassi, Matthias Ecke, Niels Fuglsang, Jens Geier, Nicolás González Casares, Robert Hajšel, Ivo Hristov, Romana Jerković, César Luena, Dan Nica, Tsvetelina Penkova, Daniela Rondinelli, Nacho Sánchez Amor, Patrizia Toia, Carlos Zorrinho
Verts/ALE	Michael Bloss, Damian Boeselager, Ignazio Corrao, Henrike Hahn, Niklas Nienass, Ville Niinistö, Jutta Paulus, Manuela Ripa, Jordi Solé

1	-
The Left	Marina Mesure

10	0
ECR	Johan Nissinen, Robert Roos
ID	Paolo Borchia, Rosanna Conte, Marie Dauchy, Elena Lizzi, Thierry Mariani, Antonio Maria Rinaldi
PPE	Sara Skyttedal
The Left	Marisa Matias

Легенда на използваните знаци:

+ : „за“

- : „против“

0 : „въздържал се“

[1] ОВ С 100, 16.3.2023 г., стр. 101.
[*] Изменения: нов или изменен текст се обозначава с получер курсив; заличаванията се посочват със символа ▌.
[2] ОВ С 100, 16.3.2023 г., стр. 101.
[3] OВ C , , стp. .
[4] Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета от 17 април 2019 г. относно ENISA (Агенцията на Европейския съюз за киберсигурност) и сертифицирането на киберсигурността на информационните и комуникационните технологии, както и за отмяна на Регламент (ЕС) № 526/2013 (Акт за киберсигурността) (OB L 151, 7.6.2019 г., стр. 15).
[5] Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 г. относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директива МИС 2) (OВ L 333, 27.12.2022 г., стp. 80).
[6] Регламент (ЕС) 2023/988 на Европейския парламент и на Съвета от 10 май 2023 г. относно общата безопасност на продуктите, за изменение на Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета и на Директива (ЕС) 2020/1828 на Европейския парламент и на Съвета, и за отмяна на Директива 2001/95/ЕО на Европейския парламент и на Съвета и на Директива 87/357/ЕИО на Съвета (ОВ L 135, 23.5.2023 г., стр. 1).
[7] JOIN(2020) 18 final, https://eur-lex.europa.eu/legal-content/BG/ALL/?uri=JOIN:2020:18:FIN.
[8] 2021/2568(RSP), https://www.europarl.europa.eu/doceo/document/TA-9-2021-0286_BG.html.
[9] Конференция за бъдещето на Европа – Доклад за крайните резултати, май 2022 г., предложение 28(2). Конференцията се проведе между април 2021 г. и май 2022 г. Тя беше единствена по рода си, водена от гражданите проява на съвещателна демокрация на равнището целия Европейски съюз, която включи хиляди европейски граждани, както и политически дейци, социални партньори, представители на гражданското общество и основни заинтересовани страни.
[10] The impact of open source software and hardware on technological independence, competitiveness and innovation in the EU economy (Въздействието на софтуера и хардуера с отворен код върху технологичната независимост, конкурентоспособността и иновациите в икономиката на ЕС), Европейска комисия, 6 септември 2021 г. https://ec.europa.eu/newsroom/dae/redirection/document/79021
[11] Регламент (ЕС) 2017/745 на Европейския парламент и на Съвета от 5 април 2017 г. за медицинските изделия, за изменение на Директива 2001/83/ЕО, Регламент (ЕО) № 178/2002 и Регламент (ЕО) № 1223/2009 и за отмяна на директиви 90/385/ЕИО и 93/42/ЕИО на Съвета (ОВ L 117, 5.5.2017 г., стр. 1).
[12] Регламент (ЕС) 2017/746 на Европейския парламент и на Съвета от 5 април 2017 г. за медицинските изделия за инвитро диагностика и за отмяна на Директива 98/79/ЕО и Решение 2010/227/ЕС на Комисията (ОВ L 117, 5.5.2017 г., стр. 176).
[13] MDCG 2019-16, одобрен от Координационната група по медицинските изделия (MDCG), създадена с член 103 от Регламент (ЕС) 2017/745.
[14] Регламент (ЕС) 2019/2144 на Европейския парламент и на Съвета от 27 ноември 2019 г. относно изискванията за одобряване на типа на моторни превозни средства и техните ремаркета, както и на системи, компоненти и отделни технически възли, предназначени за такива превозни средства, по отношение на общата безопасност на моторните превозни средства и защитата на пътниците и уязвимите участници в движението по пътищата, за изменение на Регламент (EС) 2018/858 на Европейския парламент и на Съвета и за отмяна на регламенти (ЕО) № 78/2009, (ЕО) № 79/2009 и (ЕО) № 661/2009 на Европейския парламент и на Съвета и на регламенти (EО) № 631/2009, (EС) № 406/2010, (EС) № 672/2010, (EС) № 1003/2010, (EС) № 1005/2010, (EС) № 1008/2010, (EС) № 1009/2010, (EС) № 19/2011, (EС) № 109/2011, (EС) № 458/2011, (EС) № 65/2012, (EС) № 130/2012, (EС) № 347/2012, (EС) № 351/2012, (EС) № 1230/2012 и (EС) 2015/166 на Комисията (ОВ L 325, 16.12.2019 г., стр. 1)
[15] Правило № 155 на ООН – Единни предписания за одобрение на превозни средства по отношение на киберсигурността и системата за управление на киберсигурността [2021/387].
[16] Регламент (ЕС) 2018/1139 на Европейския парламент и на Съвета от 4 юли 2018 г. относно общи правила в областта на гражданското въздухоплаване и за създаването на Агенция за авиационна безопасност на Европейския съюз и за изменение на регламенти (ЕО) № 2111/2005, (ЕО) № 1008/2008, (ЕС) № 996/2010, (ЕС) № 376/2014 и на директиви 2014/30/ЕС и 2014/53/ЕС на Европейския парламент и на Съвета и за отмяна на регламенти (ЕО) № 552/2004 и (ЕО) № 216/2008 на Европейския парламент и на Съвета и Регламент (ЕИО) № 3922/91 на Съвета (ОВ L 212, 22.8.2018 г., стр. 1).
[17] Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета от 14 декември 2022 г. относно оперативната устойчивост на цифровите технологии във финансовия сектор и за изменение на регламенти (ЕО) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (OВ L 333, 27.12.2022 г., стр. 1).
[18] Регламент (ЕС) № 167/2013 на Европейския парламент и на Съвета от 5 февруари 2013 г. относно одобряването и надзора на пазара на земеделски и горски превозни средства (ОВ L 60, 2.3.2013 г., стр. 1).
[19] Делегиран регламент (ЕС) 2022/30 на Комисията за от 29 октомври 2021 г. допълнение на Директива 2014/53/ЕС на Европейския парламент и на Съвета по отношение на прилагането на съществените изисквания, посочени в член 3, параграф 3, букви г), д) и е) от същата директива (ОВ L 7, 12.1.2022 г., стр. 6).
[20] Директива 85/374/ЕИО на Съвета от 25 юли 1985 г. за сближаване на законовите, подзаконовите и административните разпоредби на държавите членки относно отговорността за вреди, причинени от дефект на стока (ОВ L 210, 7.8.1985 г., стр. 29).
[21] Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) ( ОВ L 119, 4.5.2016 г., стр. 1).
[22] [Регламент относно ИИ].
[23] Регламент (ЕС) 2023/1230 на Европейския парламент и на Съвета от 14 юни 2023 г. относно машините и за отмяна на Директива 2006/42/ЕО на Европейския парламент и на Съвета и на Директива 73/361/ЕИО на Съвета (ОВ L 165, 29.6.2023 г., стр. 1).
[24] Вж. JOIN (2023)20, Съвместно съобщение до Европейския парламент, Европейския съвет и Съвета относно „Европейска стратегия за икономическа сигурност“
[25] Директива 2002/58/EО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (ОВ L 201, 31.7.2002 г., стр. 37).
[26] Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета от 25 октомври 2012 г. относно европейската стандартизация, за изменение на директиви 89/686/ЕИО и 93/15/ЕИО на Съвета и на директиви 94/9/ЕО, 94/25/ЕО, 95/16/ЕО, 97/23/ЕО, 98/34/ЕО, 2004/22/ЕО, 2007/23/ЕО, 2009/23/ЕО и 2009/105/ЕО на Европейския парламент и на Съвета и за отмяна на Решение 87/95/ЕИО на Съвета и на Решение № 1673/2006/ЕО на Европейския парламент и на Съвета (ОВ L 316, 14.11.2012 г., стр. 12).
[27] Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. за определяне на изискванията за акредитация и за отмяна на Регламент (ЕИО) № 339/93 (OВ L 218, 13.8.2008 г., стр. 30).
[28] Решение № 768/2008/ЕО на Европейския парламент и Съвета от 9 юли 2008 г. относно обща рамка за предлагането на пазара на продукти и за отмяна на Решение № 93/465/ЕИО (ОВ L 218, 13.8.2008 г., стр. 82).
[29] Регламент (ЕС) 2019/1020 на Европейския парламент и на Съвета от 20 юни 2019 г. относно надзора на пазара и съответствието на продуктите и за изменение на Директива 2004/42/ЕО и регламенти (ЕО) № 765/2008 и (ЕС) № 305/2011 (OB L 169, 25.6.2019 г., стр. 1).
[30] ОВ L 123, 12.5.2016 г., стр. 1.
[31] Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия от страна на Комисията (ОВ L 55, 28.2.2011 г., стр. 13).
[32] Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 21.11.2018 г., стр. 39).
[33] ОВ L 452, 29.11.2022 г., стр. 23.
[34] Препоръка на Комисията от 6 май 2003 г. относно определението за микро-, малки и средни предприятия (нотифицирано под номер C(2003) 1422) (ОВ L 124, 20.5.2003 г., стр. 36).
[35] Директива 2014/24/ЕС на Европейския парламент и на Съвета от 26 февруари 2014 г. за обществените поръчки и за отмяна на Директива 2004/18/ЕО (ОВ L 94, 28.3.2014 г., стр. 65).
[36] Директива 2014/25/ЕС на Европейския парламент и на Съвета от 26 февруари 2014 г. относно възлагането на поръчки от възложители, извършващи дейност в секторите на водоснабдяването, енергетиката, транспорта и пощенските услуги и за отмяна на Директива 2004/17/ЕО (ОВ L 94, 28.3.2014, стр. 243).
[37] Директива 2000/31/ЕО на Европейския парламент и на Съвета от 8 юни 2000 г. за някои правни аспекти на услугите на информационното общество, и по-специално на електронната търговия на вътрешния пазар (ОВ L 178, 17.7.2000 г., стр. 1).
[38] Директива (ЕС) 2016/943 на Европейския парламент и на Съвета от 8 юни 2016 г. относно защитата на неразкрити ноу-хау и търговска информация (търговски тайни) срещу тяхното незаконно придобиване, използване и разкриване (ОВ L 157, 15.6.2016 г., стр. 1).
[39] Директива (ЕС) 2020/1828 на Европейския парламент и на Съвета от 25 ноември 2020 г. относно представителни искове за защита на колективните интереси на потребителите и за отмяна на Директива 2009/22/ЕО (ОВ L 409, 4.12.2020 г., стр. 1).

Последно осъвременяване: 5 септември 2023 г.

Правна информация - Политика за поверителност