INFORME sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020

26.7.2023 - (COM(2022)0454 – C9‑0308/2022 – 2022/0272(COD)) - ***I

Comisión de Industria, Investigación y Energía
Ponente: Nicola Danti
Ponente de opinión de las comisiones asociadas de conformidad con el artículo 57 del Reglamento interno:
Morten Løkkegaard, Comisión de Mercado Interior y Protección del Consumidor

Enmiendas

• 001-001 (PDF - 509 KB)
• 001-001 (DOC - 145 KB)
• 002-002 (PDF - 710 KB)
• 002-002 (DOC - 196 KB)
• 003-003 (PDF - 111 KB)
• 003-003 (DOC - 69 KB)

PROYECTO DE RESOLUCIÓN LEGISLATIVA DEL PARLAMENTO EUROPEO

sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020

(COM(2022)0454 – C9‑0308/2022 – 2022/0272(COD))

(Procedimiento legislativo ordinario: primera lectura)

El Parlamento Europeo,

– Vista la propuesta de la Comisión al Parlamento Europeo y al Consejo (COM(2022)0454),

– Vistos el artículo 294, apartado 2, y el artículo 114 del Tratado de Funcionamiento de la Unión Europea, conforme a los cuales la Comisión le ha presentado su propuesta [C9‑0308(2022)],

– Visto el artículo 294, apartado 3, del Tratado de Funcionamiento de la Unión Europea,

– Visto el Dictamen del Comité Económico y Social Europeo, de 14 de diciembre de 2022[1],

– Visto el artículo 59 de su Reglamento interno,

– Visto el dictamen de la Comisión de Mercado Interior y Protección del Consumidor,

– Visto el informe de la Comisión de Industria, Investigación y Energía (A9‑0253/2023),

1. Aprueba la Posición en primera lectura que figura a continuación;

2. Solicita a la Comisión modificar la ficha de financiación adjunta a la propuesta, incrementando el plan de establecimiento de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en 9,0 puestos de trabajo a tiempo completo adicionales y aportando los correspondientes créditos adicionales, a fin de garantizar que se puedan cumplir las obligaciones de la ENISA en virtud del presente Reglamento, sin comprometer las obligaciones existentes de la Agencia con arreglo a otra legislación de la Unión;

3. Pide a la Comisión que le consulte de nuevo si sustituye su propuesta, la modifica sustancialmente o se propone modificarla sustancialmente;

4. Encarga a su presidenta que transmita la Posición del Parlamento al Consejo y a la Comisión, así como a los Parlamentos nacionales.

Enmienda  1

ENMIENDAS DEL PARLAMENTO EUROPEO[*]

a la propuesta de la Comisión

---------------------------------------------------------

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020 y la Directiva 2020/1828/CE (Ley de Ciberresiliencia)

(Texto pertinente a efectos del EEE)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo[2],

Visto el dictamen del Comité de las Regiones[3],

De conformidad con el procedimiento legislativo ordinario,

Considerando lo siguiente:

(1) La ciberseguridad es uno de los retos clave para la Unión y el número y la variedad de dispositivos conectados aumentarán exponencialmente en los próximos años. Los ciberataques constituyen un asunto de interés público, ya que ejercen un impacto fundamental no solo en la economía de la Unión, sino también en la democracia y en la salud y la seguridad de los consumidores. Por lo tanto, es necesario reforzar el enfoque de la Unión respecto a la ciberseguridad, abordar la ciberresiliencia a escala de la Unión y mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme relativo a los requisitos esenciales de ciberseguridad para la comercialización de productos con elementos digitales en la Unión. Deben abordarse dos problemas importantes que suponen un aumento de los costes para los usuarios y la sociedad: un bajo nivel de ciberseguridad de los productos con elementos digitales, que se refleja en vulnerabilidades generalizadas y en la oferta insuficiente e incoherente de actualizaciones de seguridad para hacerles frente, y la insuficiencia de la comprensión de la información y del acceso a ella por parte de los usuarios, que les impide elegir productos con las características de ciberseguridad adecuadas o utilizarlos de manera segura.

(2) El presente Reglamento tiene por objeto fijar condiciones límite que permitan el desarrollo de productos con elementos digitales seguros, garantizando que los productos consistentes en equipos y programas informáticos se introduzcan en el mercado con menos vulnerabilidades y que los fabricantes se tomen en serio la seguridad a lo largo de todo el ciclo de vida de un producto. También aspira a crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad a la hora de elegir y utilizar productos con elementos digitales, por ejemplo, mejorando la transparencia con respecto al período de soporte de los productos comercializados.

(3) La legislación pertinente de la Unión actualmente en vigor está compuesta por varios conjuntos de normas horizontales que abordan determinados aspectos relacionados con la ciberseguridad desde diferentes perspectivas, incluidas medidas para mejorar la seguridad de la cadena de suministro digital. Sin embargo, la legislación vigente de la Unión relativa a la ciberseguridad, en particular el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo[4] y la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo[5], no aborda de manera directa los requisitos obligatorios para la seguridad de los productos con elementos digitales.

(4) Aunque la legislación vigente de la Unión se aplica a determinados productos con elementos digitales, no existe un marco regulador horizontal de la Unión que establezca requisitos de ciberseguridad exhaustivos para todos los productos con elementos digitales. Los diversos actos e iniciativas adoptados hasta la fecha a escala nacional y de la Unión abordan solo de manera parcial los problemas y riesgos detectados en relación con la ciberseguridad, creando un mosaico legislativo dentro del mercado interior, aumentando la inseguridad jurídica tanto para los fabricantes como para los usuarios de dichos productos y añadiendo una carga innecesaria a las empresas y las organizaciones vinculada al cumplimiento de una serie de requisitos para tipos de productos similares. La ciberseguridad de estos productos tiene una dimensión transfronteriza de particular importancia, ya que los productos fabricados en un país suelen ser utilizados por organizaciones y consumidores en todo el mercado interior. Por todo ello se hace necesario regular este ámbito a escala de la Unión, a fin de garantizar un marco normativo armonizado y claro para las empresas, en particular para las microempresas y las pequeñas y medianas empresas. El panorama normativo de la Unión debe armonizarse mediante la introducción de requisitos de ciberseguridad para los productos con elementos digitales. Además, debe garantizarse una mayor seguridad jurídica para los operadores y los usuarios de toda la Unión, así como una mejor armonización del mercado único, de una forma proporcional para las microempresas y las pequeñas y medianas empresas, y de este modo establecer condiciones más viables para los operadores económicos que deseen acceder al mercado de la Unión.

4 bis. La naturaleza horizontal del presente Reglamento significa que tendrá un impacto en segmentos muy diferentes de la economía de la Unión. Por lo tanto, es importante que se tengan en cuenta las especificidades de cada sector y que los requisitos de ciberseguridad expuestos en el presente Reglamento sean proporcionados a los riesgos. En este sentido, la Comisión debe emitir directrices en las que se explique de un modo claro y detallado la manera de aplicar el presente Reglamento. Las directrices deben contener, entre otros elementos, una explicación detallada de su alcance, en particular, por lo que respecta a la noción de tratamiento de datos y las implicaciones para los desarrolladores de código libre y abierto, los criterios utilizados para determinar cómo se clasifican los productos críticos con elementos digitales y la interacción entre el presente Reglamento y otra legislación de la Unión.

4 ter. Una empresa que opere en línea puede ofrecer una gama de servicios diferentes. Dependiendo de la naturaleza de los servicios prestados, la misma entidad puede pertenecer a varias categorías distintas de operador económico. Cuando una entidad presta servicios de intermediación en línea respecto a un producto con elementos digitales y es proveedora de un mercado en línea, conforme se define en el artículo 3, apartado 14 del Reglamento 2023/988 del Parlamento Europeo y del Consejo[6], no puede ser considerada operador económico conforme se define este en el presente Reglamento. Cuando una misma entidad es proveedora de un mercado en línea y ejerce como operador económico conforme se define en el presente Reglamento respecto a la venta de productos con elementos digitales, debe someterse al ámbito de aplicación del presente Reglamento en lo que atañe a tales productos. Las disposiciones del Reglamento (UE) 2023/988 son plenamente aplicables al presente Reglamento. Habida cuenta del papel destacado que desempeñan los mercados en línea en la posibilitación del comercio electrónico, deben afanarse por cooperar con las autoridades de vigilancia del mercado de los Estados miembros con el fin de velar por que los productos adquiridos en dichos mercados se atengan a los requisitos de ciberseguridad formulados en el presente Reglamento.

(5) A escala de la Unión, diversos documentos programáticos y políticos, como la Estrategia de Ciberseguridad de la UE para la Década Digital[7], las Conclusiones del Consejo de 2 de diciembre de 2020 y de 23 de mayo de 2022 o la Resolución del Parlamento Europeo de 10 de junio de 2021[8], han hecho un llamamiento a que se establezcan requisitos específicos de ciberseguridad de la Unión para los productos digitales o conectados, y varios países de todo el mundo han introducido por iniciativa propia medidas para abordar esta cuestión. En el informe final de la Conferencia sobre el Futuro de Europa[9], los ciudadanos pidieron «reforzar el papel de la Unión en la lucha contra las amenazas a la ciberseguridad». A fin de que la Unión desempeñe internacionalmente un papel protagonista en materia de ciberseguridad, es importante establecer un marco normativo general ambicioso.

(6) Para aumentar el nivel general de ciberseguridad de todos los productos con elementos digitales que se comercialicen en el mercado interior, es necesario disponer de requisitos esenciales de ciberseguridad orientados a objetivos y tecnológicamente neutros que se apliquen horizontalmente a estos productos.

(7) En determinadas condiciones, todos los productos con elementos digitales integrados en un sistema electrónico de información más amplio o conectados a este pueden servir de vector de ataque para agentes malintencionados. En consecuencia, incluso los equipos y programas informáticos considerados menos críticos pueden facilitar que un dispositivo o red se vea comprometido en una fase inicial, lo que permite a los agentes malintencionados obtener un acceso privilegiado a un sistema o moverse lateralmente entre sistemas. Por consiguiente, los fabricantes deben garantizar que todos los productos con elementos digitales conectables se diseñen y desarrollen de conformidad con los requisitos esenciales establecidos en el presente Reglamento. Se incluyen aquí tanto los productos que puedan conectarse físicamente, a través de interfaces en los equipos informáticos, como los que se conecten mediante conexiones lógicas, a través, por ejemplo, de zócalos, conductos, archivos, interfaces de programación de aplicaciones o cualquier otro tipo de interfaz de programa. Teniendo en cuenta que las amenazas a la ciberseguridad pueden propagarse a través de diversos productos con elementos digitales antes de alcanzar un objetivo determinado, por ejemplo, mediante el aprovechamiento sucesivo de múltiples vulnerabilidades, los fabricantes también deben garantizar la ciberseguridad de aquellos productos cuya conexión a otros dispositivos o redes es indirecta.

(8) El establecimiento de requisitos de ciberseguridad para la introducción en el mercado de productos con elementos digitales mejorará la ciberseguridad de dichos productos tanto para los consumidores como para las empresas. Entre ellos se incluyen requisitos para la introducción en el mercado de productos de consumo con elementos digitales destinados a consumidores vulnerables, como juguetes y vigilabebés. Dichos requisitos garantizarán asimismo que se tenga en cuenta la ciberseguridad a lo largo de todas las cadenas de suministro, mejorando así la seguridad de los productos finales con elementos digitales. Esto, a su vez, representará una ventaja competitiva para los fabricantes establecidos o representados en la Unión, que podrán publicitar la ciberseguridad de sus productos.

(9) El presente Reglamento garantiza un elevado nivel de ciberseguridad de los productos con elementos digitales y sus soluciones de tratamiento de datos a distancia integradas. Tales soluciones de tratamiento de datos a distancia relacionadas con un producto con elementos digitales se definen como todo tratamiento de datos a distancia para el que el programa informático haya sido diseñado y desarrollado por el fabricante del producto en cuestión o en nombre de este▌, y cuya ausencia impediría que el producto con elementos digitales cumpliera alguna de sus funciones. Por ejemplo, las funciones habilitadas en la nube y prestadas por el fabricante de dispositivos para el hogar inteligente que permiten a los usuarios controlar el dispositivo de que se trate a distancia, deben entrar en el ámbito de aplicación del presente Reglamento.  Por otro lado, los sitios web no vinculados inextricablemente a un producto con elementos digitales o los servicios en nube ajenos a la responsabilidad del fabricante no deben considerarse soluciones de tratamiento de datos a distancia con arreglo al presente Reglamento. La Directiva (UE) 2022/2555 establece requisitos de ciberseguridad y de notificación de incidentes para las entidades esenciales e importantes, como las infraestructuras críticas, con el objetivo de aumentar la resiliencia de los servicios prestados. Aunque la Directiva (UE) 2022/2555 se aplica a los servicios de computación en nube y a los modelos de servicios en nube, y el presente Reglamento no se aplica a servicios como los de software como servicio (SaaS), plataforma como servicios (PaaS) o infraestructura como servicio (IaaS), estos pueden entrar en el ámbito de aplicación del presente Reglamento en la medida en que se atengan a la definición de soluciones de tratamiento de datos a distancia.  ▌

(9 bis) Los programas informáticos y los datos que se compartan abiertamente y a los que los usuarios puedan acceder, usar, modificar y redistribuir con libertad (ya sean estos o versiones modificadas de los mismos) pueden contribuir a la investigación e innovación en el mercado. Los estudios llevados a cabo por la Comisión Europea[10] también ponen de relieve que los programas informáticos libres y de código abierto pueden aportar al PIB de la Unión entre 65 000 y 95 000 millones de euros, y que pueden proporcionar oportunidades de crecimiento significativas a la economía de la Unión. Los usuarios están autorizados a ejecutar, copiar, distribuir, estudiar, modificar y mejorar los programas informáticos y los datos, incluidos los modelos, mediante licencias libres y de código abierto. Para promover el desarrollo y el despliegue de programas informáticos libres y de código abierto, en particular por parte de microempresas y pequeñas y medianas empresas, incluidas las empresas emergentes y las organizaciones sin ánimo de lucro, y entidades y particulares dedicados a la investigación académica, el presente Reglamento debe aplicarse a los programas informáticos libres y de código abierto en determinados casos, con el fin de tener en cuenta que existen diferentes modelos de desarrollo de programas informáticos distribuidos y desarrollados con arreglo a licencias públicas.

(10) el presente Reglamento ▌debe aplicarse únicamente a los programas informáticos libres y de código abierto comercializados en el curso de una actividad comercial. ▌ Que un producto libre y de código abierto se haya facilitado o no como parte de una actividad comercial debe evaluarse respecto a cada producto, considerando tanto el modelo de desarrollo como la fase de suministro del producto libre y de código abierto con elementos digitales.

(10 bis) Por ejemplo, un modelo de desarrollo plenamente descentralizado, en el que ninguna entidad comercial por sí sola ejerce control sobre lo que se acepta en el código base del proyecto, debe tomarse como una indicación de que el producto se ha desarrollado en un entorno no comercial. Por otro lado, cuando los programas informáticos libres y de código abierto los desarrolla una única organización o una comunidad asimétrica, en el caso de que la organización en cuestión genere ingresos derivados de un uso asociado en el marco de las relaciones empresariales, esta actividad debe considerarse comercial. Del mismo modo, cuando los que realizan las principales aportaciones a los proyectos de código libre y abierto son desarrolladores empleados por entidades mercantiles, y cuando tales desarrolladores o el empleador pueden ejercer control respecto a qué modificaciones se aceptan en el código base, el proyecto debe considerarse en general de naturaleza comercial.

(10 ter) Con respecto a la fase de suministro, en el contexto de los programas informáticos libres y de código abierto, una actividad comercial puede caracterizarse no solo por la aplicación de un precio a un producto, sino también por la aplicación de un precio a los servicios de asistencia técnica, cuando esta no se utilice únicamente para la recuperación de costes efectivos, por el suministro de una plataforma de software a través de la cual el fabricante monetiza otros servicios o por el uso de datos personales por razones distintas de las relacionadas exclusivamente con la mejora de la seguridad, la compatibilidad o la interoperabilidad del programa informático. La aceptación de donaciones sin la intención de obtener un beneficio no debe considerarse una actividad comercial, salvo que tales donaciones las lleven a cabo entidades comerciales y sean de naturaleza recurrente.

(10 quater) Los desarrolladores que contribuyan a título individual a proyectos libres y de código abierto no deben someterse a las obligaciones que se formulan en el presente Reglamento.

(10 quinquies) El solo acto de albergar programas informáticos libres y de código abierto en repositorios abiertos no constituye en sí mismo una comercialización de un producto con elementos digitales. En este sentido, la mayoría de los administradores de paquetes, servicios de alojamiento de código y plataformas de colaboración no deben considerarse distribuidores en el sentido del presente Reglamento.

(10 sexies) Con el fin de garantizar que los productos se diseñen, desarrollen y produzcan con arreglo a los requisitos esenciales previstos en el anexo I, sección 1, los fabricantes deben ejercer la diligencia debida a la hora de integrar componentes procedentes de terceros, también en el caso de los programas informáticos libres y de código abierto que no se hayan comercializado. El nivel apropiado de diligencia debida depende de la naturaleza y del nivel de riesgo del componente, y puede incluir una o varias de las acciones que siguen: comprobar si el componente lleva ya el marcado CE, comprobar el historial de actualizaciones de seguridad, verificar si está libre de vulnerabilidades registradas en la base de datos europea de vulnerabilidades u otras bases de datos públicas, o efectuar otras pruebas de seguridad. Cuando, en el ejercicio de la diligencia debida, el fabricante del producto identifique una vulnerabilidad en un componente, incluido un componente libre y de código abierto, debe informar al desarrollador del componente, abordar y corregir la vulnerabilidad y, en su caso, facilitar al desarrollador la reparación de seguridad aplicada. Una vez que el fabricante haya comercializado el producto, debe encargarse de velar por que las vulnerabilidades se aborden a lo largo del período de soporte, también en el caso de los componentes libres y de código abierto integrados en los productos con elementos digitales.

(10 septies) La falta de competencias profesionales en el ámbito de la ciberseguridad es una cuestión clave que es necesario abordar para que el presente Reglamento pueda aplicarse con éxito. Debe hacerse especial hincapié en la brecha de competencias en el caso de los fabricanets, las autoridades de vigilancia del mercado y los organismos notificados. Por lo tanto, en consonancia con la Comunicación de la Comisión titulada «Colmar la brecha de talento en materia de ciberseguridad para impulsar la competitividad, el crecimiento y la resiliencia de la UE ("Academia de Cibercapacidades")», se han de poner en marcha medidas concretas tanto en el plano de la Unión como en el de los Estados miembros para evaluar el estado y la evolución del mercado laboral de la ciberseguridad y las sinergias para las ofertas de educación y formación en ciberseguridad, abordando asimismo la brecha de género en el sector, con el objetivo de establecer un enfoque común de la Unión en materia de formación sobre ciberseguridad.

(11) Una internet segura es indispensable para el funcionamiento de las infraestructuras críticas y para la sociedad en su conjunto. La Directiva (UE) 2022/2555 tiene por objeto garantizar un elevado nivel de ciberseguridad de los servicios prestados por entidades esenciales e importantes, incluidos los proveedores de infraestructuras digitales que apoyan las funciones básicas de la internet abierta o garantizan el acceso a internet y los servicios de internet. Por consiguiente, es importante que los productos con elementos digitales necesarios para que los proveedores de infraestructuras digitales garanticen el funcionamiento de internet se desarrollen de manera segura y cumplan normas de seguridad de internet bien establecidas. El presente Reglamento, que se aplica a todos los productos conectables consistentes en equipos y programas informáticos, tiene también por objeto facilitar que los proveedores de infraestructuras digitales cumplan los requisitos de la cadena de suministro con arreglo a la Directiva (UE) 2022/2555, garantizando que los productos con elementos digitales que utilizan para prestar sus servicios se desarrollen de forma segura y que tienen acceso a actualizaciones de seguridad oportunas para dichos productos.

(12) El Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo[11] establece normas sobre los productos sanitarios y el Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo[12] establece normas sobre los productos sanitarios para diagnóstico in vitro. Ambos Reglamentos abordan los riesgos de ciberseguridad y adoptan enfoques particulares que el presente Reglamento también aborda. Más concretamente, los Reglamentos (UE) 2017/745 y (UE) 2017/746 establecen requisitos esenciales para los productos sanitarios que funcionan a través de un sistema electrónico o que son en sí mismos programas informáticos. Estos Reglamentos también abarcan algunos tipos de programas informáticos no incorporados y el enfoque global del ciclo de vida. Estos requisitos obligan a los fabricantes a desarrollar y crear sus productos aplicando principios de gestión de riesgos y estableciendo requisitos que tengan en cuenta las medidas de seguridad informática y los procedimientos de evaluación de la conformidad correspondientes. Además, desde diciembre de 2019[13] existen orientaciones específicas sobre la ciberseguridad de los productos sanitarios, que proporcionan a los fabricantes de productos sanitarios, incluidos los productos para diagnóstico in vitro, orientaciones relativas al cumplimiento de todos los requisitos esenciales pertinentes relativos a la ciberseguridad establecidos en el anexo I de dichos Reglamentos. Por lo tanto, los productos con elementos digitales a los que se aplique alguno de estos Reglamentos no deben estar sujetos al presente Reglamento.

(12 bis) Los Productos con elementos digitales que se desarrollen exclusivamente con fines militares o de seguridad nacional o los productos que estén específicamente diseñados para procesar información clasificada no entrarán dentro del alcance del presente Reglamento. Sin embargo, se anima a los Estados miembros a garantizar el mismo grado o uno mayor de protección para dichos productos que para aquellos entrantes en el alcance del presente Reglamento.

(13) El Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo[14] establece requisitos para la homologación de tipo de los vehículos, así como de sus sistemas y componentes, a cuyo fin introduce determinados requisitos de ciberseguridad, en particular relativos al funcionamiento de un sistema de gestión de la ciberseguridad certificado y a las actualizaciones de los programas informáticos; aborda las políticas y los procesos de las organizaciones en relación con los riesgos de ciberseguridad que afectan a todo el ciclo de vida de los vehículos, los equipos y los servicios, en consonancia con los reglamentos aplicables de las Naciones Unidas sobre especificaciones técnicas y ciberseguridad[15]; y establece procedimientos específicos de evaluación de la conformidad. En el ámbito de la aviación, el principal objetivo del Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo[16] es establecer y mantener un nivel elevado y uniforme de seguridad de la aviación civil en la Unión. Este Reglamento crea un marco para los requisitos esenciales de aeronavegabilidad de los productos, componentes y equipos aeronáuticos, incluidos los programas informáticos, en el que se tienen en cuenta las obligaciones relativas a la protección contra las amenazas para la seguridad de la información. Por consiguiente, los productos con elementos digitales a los que se aplica el Reglamento (UE) 2019/2144 y los productos certificados de conformidad con el Reglamento (UE) 2018/1139 no están sujetos a los requisitos esenciales ni a los procedimientos de evaluación de la conformidad establecidos en el presente Reglamento. El proceso de certificación establecido en el Reglamento (UE) 2018/1139 garantiza el nivel de garantía al que aspira el presente Reglamento.

(14) El presente Reglamento establece normas horizontales en materia de ciberseguridad que no son específicas de determinados sectores o productos con elementos digitales. No obstante, podrían introducirse normas de la Unión específicas por productos o sectores que establezcan requisitos que aborden la totalidad o parte de los riesgos cubiertos por los requisitos esenciales establecidos en el presente Reglamento. En tales casos, la aplicación del presente Reglamento a los productos con elementos digitales sujetos a otras normas de la Unión que establezcan requisitos que abordan la totalidad o parte de los riesgos cubiertos por los requisitos esenciales establecidos en el anexo I del presente Reglamento podrá limitarse o excluirse siempre que dicha limitación o exclusión sea coherente con el marco regulador general aplicable a dichos productos y que las normas sectoriales alcancen un nivel de protección equivalente al previsto en el presente Reglamento. La Comisión estará facultada para adoptar actos delegados a fin de modificar el presente Reglamento mediante la especificación de dichos productos y normas. El presente Reglamento contiene disposiciones específicas que aclaran su relación con la legislación vigente de la Unión que implique la aplicación de tales limitaciones o exclusiones.

(14 bis) Con el fin de garantizar que los productos comercializados puedan repararse eficazmente y que su durabilidad se amplíe, debe disponerse una exención para los repuestos. Este debe ser el caso tanto para los repuestos concebidos para reparar productos heredados comercializados antes de la fecha de aplicación del presente Reglamento como para los repuestos que ya se hayan sometido a un procedimiento de evaluación de la conformidad con arreglo al presente Reglamento y que suministra el mismo fabricante.

(14 ter) El Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo[17] establece varios requisitos para garantizar la seguridad de la red y los sistemas de información que soportan los procesos empresariales de las entidades financieras. La Comisión debe efectuar un seguimiento de la ejecución del presente Reglamento en el sector financiero, con el fin de garantizar la compatibilidad y evitar solapamientos en los productos con elementos digitales que también puede cubrir el Reglamento (UE) 2022/2554.

(14 quater) Los vehículos agrícolas y forestales incluidos en el ámbito de aplicación del Reglamento (UE) 167/2013 del Parlamento Europeo y del Consejo[18] también entran en el ámbito de aplicación del presente Reglamento. Las enmiendas futuras al Reglamento (UE) 167/2013 deben evitar los solapamientos normativos.

(15) El Reglamento Delegado (UE) 2022/30 de la Comisión[19] especifica que los requisitos esenciales establecidos en el artículo 3, apartado 3, letra d) (daños a la red y utilización inadecuada de los recursos de la red), letra e) (datos personales y privacidad) y letra f) (fraude) de la Directiva 2014/53/UE se aplican a determinados equipos radioeléctricos. [La Decisión de Ejecución XXX/2022 de la Comisión relativa a una petición de normalización dirigida a las organizaciones europeas de normalización] establece requisitos para la elaboración de normas específicas que detallan con mayor precisión cómo deben abordarse estos tres requisitos esenciales. Los requisitos esenciales establecidos por el presente Reglamento incluyen todos los elementos de los requisitos esenciales mencionados en el artículo 3, apartado 3, letras d), e) y f), de la Directiva 2014/53/UE. Además, los requisitos esenciales establecidos en el presente Reglamento se ajustan a los objetivos de los requisitos de las normas específicas incluidos en dicha petición de normalización. Por tanto, cuando la Comisión ▌modifique el Reglamento Delegado (UE) 2022/30 y, en consecuencia, este deje de aplicarse a determinados productos sujetos al presente Reglamento, la Comisión y las organizaciones europeas de normalización deben tener en cuenta el trabajo de normalización llevado a cabo en el contexto de la Decisión de Ejecución C(2022)5637 de la Comisión, relativa a una petición de normalización para el Reglamento Delegado (UE) 2022/30, que completa la Directiva sobre equipos radioeléctricos, en lo que respecta a la preparación y el desarrollo de normas armonizadas para facilitar la ejecución del presente Reglamento. Si los fabricantes cumplen el presente Reglamento antes de su fecha de aplicación, debe considerarse que cumplen también el Reglamento Delegado (UE) 2022/30, hasta que la Comisión derogue este último.

(16) La Directiva 85/374/CEE del Consejo[20] se complementa con el presente Reglamento. Esta Directiva establece normas en materia de responsabilidad por los daños causados por productos defectuosos, de forma que los perjudicados puedan reclamar una indemnización cuando hayan sufrido un daño derivado de dichos productos. Establece el principio de que el fabricante de un producto es responsable de los daños causados por la falta de seguridad de su producto, con independencia de la eventual existencia de culpa («responsabilidad objetiva»). Cuando dicha falta de seguridad consista en una falta de actualizaciones de seguridad posterior a la introducción del producto en el mercado, y esta cause daños, podría aplicarse la responsabilidad del fabricante. Las obligaciones de los fabricantes relativas a la provisión de actualizaciones de seguridad deben establecerse en el presente Reglamento.

(17) El presente Reglamento debe entenderse sin perjuicio del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo[21], en particular de las disposiciones para implantar mecanismos de certificación en materia de protección de datos y sellos y marcas de protección de datos a fin de demostrar la conformidad con ese Reglamento de las operaciones realizadas por los responsables y los encargados del tratamiento. Este tipo de operaciones podrían integrarse en un producto con elementos digitales. La protección de datos desde el diseño y por defecto, así como la ciberseguridad en general, son elementos clave del Reglamento (UE) 2016/679. Al proteger a los consumidores y a las organizaciones de los riesgos de ciberseguridad, los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento también contribuyen a mejorar la protección de los datos personales y la privacidad de las personas. Deben tenerse en cuenta las sinergias tanto en materia de normalización como de certificación en los aspectos relativos a la ciberseguridad a través de la cooperación entre la Comisión, las organizaciones europeas de normalización, la Agencia de la Unión Europea para la Ciberseguridad (ENISA), el Comité Europeo de Protección de Datos (CEPD) creado por el Reglamento (UE) 2016/679 y las autoridades nacionales de supervisión de la protección de datos. También deben fomentarse las sinergias entre el presente Reglamento y el Derecho de la Unión en materia de protección de datos en el ámbito de la vigilancia del mercado y la ejecución de las normas. A tal fin, las autoridades nacionales de vigilancia del mercado designadas en virtud del presente Reglamento deben cooperar con las autoridades responsables de la supervisión del Derecho de la Unión en materia de protección de datos. Estas últimas también deben tener acceso a la información pertinente para el desempeño de sus tareas.

(18) En la medida en que sus productos entren en el ámbito de aplicación del presente Reglamento, los emisores de carteras de identidad digital europea a que se refiere el artículo [artículo 6 bis, apartado 2, del Reglamento (UE) n.º 910/2014, modificado por la propuesta de Reglamento por el que se modifica el Reglamento (UE) n.º 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea] deben cumplir tanto los requisitos esenciales horizontales establecidos en el presente Reglamento como los requisitos específicos de seguridad establecidos en el artículo [artículo 6 bis del Reglamento (UE) n.º 910/2014, modificado por la propuesta de Reglamento por el que se modifica el Reglamento (UE) n.º 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea]. A fin de facilitar el cumplimiento de sus obligaciones, los emisores de carteras deben poder demostrar la conformidad de las carteras de identidad digital europea con los requisitos establecidos en cada uno de los dos actos mediante la certificación de sus productos con arreglo a un esquema europeo de certificación de la ciberseguridad establecido en virtud del Reglamento (UE) 2019/881 para el cual la Comisión haya especificado, mediante acto de ejecución, una presunción de conformidad con el presente Reglamento, en la medida en que el certificado, o partes de este, abarque dichos requisitos.

(18 bis) Al comprar productos con elementos digitales, los Estados miembros deberán dar prioridad a los productos con un elevado nivel de ciberseguridad y un período de soporte adecuado, a fin de mejorar su capacidad de gestionar las ciberamenazas, así como asegurar el uso eficiente de los recursos públicos. Además, los Estados miembros deberán garantizar que los fabricantes subsanen las vulnerabilidades que afecten a los productos con elementos digitales comprados públicamente a la mayor brevedad y con carácter de urgencia cuando tales productos posean un perfil de riesgo significativo.

(19) De conformidad con el artículo 3, apartado 2, del Reglamento (UE) 2019/881, corresponde a la ENISA desempeñar determinadas tareas previstas en el presente Reglamento. En particular, la ENISA debe recibir notificaciones de los fabricantes relativas a las vulnerabilidades aprovechadas activamente presentes en los productos con elementos digitales y a los incidentes significativos que repercutan en la seguridad de dichos productos. Las vulnerabilidades sujetas a una obligación de notificación atañen a aquellos casos en los que un agente ejecuta código malicioso en un producto con elementos digitales con el fin de generar una violación de la seguridad, por ejemplo, explotando deficiencias en las funciones de identificación y autenticación. Las vulnerabilidades que se descubren sin una intención maliciosa con fines de comprobación de buena fe, investigación, corrección o divulgación para promover la seguridad o la protección del propietario del sistema y sus usuarios no deben ser objeto de notificaciones obligatorias. Un incidente significativo que repercuta en la seguridad de un producto con elementos digitales consiste en un incidente de ciberseguridad que puede afectar gravemente a los procesos de desarrollo, producción y mantenimiento del fabricante y que, a su vez, puede ejercer un impacto significativo en la seguridad de sus productos. Tal incidente significativo puede consistir en una situación en la que un atacante haya comprometido con éxito el canal de publicación a través del que el fabricante hace llegar las actualizaciones de seguridad a los usuarios.

(19 bis) La ENISA también debe transmitir estas notificaciones a los equipos de respuesta a incidentes de seguridad informática (CSIRT) pertinentes o, según corresponda, a los puntos de contacto únicos de los Estados miembros designados de conformidad con el artículo [artículo X] de la Directiva (UE)  2022/2555, así como informar a las autoridades de vigilancia del mercado pertinentes sobre la vulnerabilidad notificada. La ENISA se deberá asegurar de que dichas notificaciones se reciban, almacenen y transmitan a través de canales seguros y que haya instaurados unos protocolos claros con respecto a quiénes pueden acceder a ellas y las disposiciones para su ulterior transmisión. La ENISA debe velar por la confidencialidad de tales notificaciones prestando especial atención a aquellas vulnerabilidades para las que exista una actualización de seguridad. Sobre la base de la información que recopile, la ENISA debe elaborar un informe técnico bienal sobre las tendencias emergentes en relación con los riesgos de ciberseguridad en productos con elementos digitales y presentarlo al Grupo de Cooperación especificado en la Directiva (UE) 2022/2555. Además, teniendo en cuenta sus conocimientos técnicos y su mandato, la ENISA debe poder apoyar el proceso de ejecución del presente Reglamento. En particular, debe ser capaz de proponer actividades conjuntas que las autoridades de vigilancia del mercado deberán llevar a cabo sobre la base de determinadas indicaciones o información sobre el posible incumplimiento del presente Reglamento por parte de productos con elementos digitales en varios Estados miembros, o de identificar categorías de productos para las que deban organizarse acciones de control simultáneas coordinadas. En circunstancias excepcionales que requieran una intervención inmediata para preservar el buen funcionamiento del mercado interior, la ENISA, a petición de la Comisión, debe poder llevar a cabo evaluaciones relativas a productos específicos con elementos digitales que presenten un riesgo de ciberseguridad significativo.

(20) Los productos con elementos digitales deben llevar el marcado CE para acreditar de manera visible, legible e indeleble su conformidad con el presente Reglamento y así poder circular libremente por el mercado interno. Los Estados miembros no deben crear obstáculos injustificados a la introducción en el mercado de productos con elementos digitales que cumplan los requisitos establecidos en el presente Reglamento y lleven el marcado CE. Además, los Estados miembros no deben impedir que en ferias, exposiciones, demostraciones o actos similares se presenten y usen prototipos de productos con elementos digitales.

(21) A fin de garantizar que los fabricantes puedan publicar programas informáticos a efectos de ensayo antes de someter sus productos a la evaluación de la conformidad, los Estados miembros no deben impedir la disponibilidad en una versión no de producción de programas informáticos inacabados, como versiones alfa, beta o candidatas a la publicación, siempre y cuando la versión solo esté disponible durante el tiempo necesario para probarla y recabar información al respecto. Los fabricantes deben garantizar que los programas informáticos disponibles en estas condiciones solo se publiquen una vez que se sometan a la evaluación de riesgos y que cumplan, en la medida de lo posible, los requisitos de seguridad relativos a las propiedades de los productos con elementos digitales que establece el presente Reglamento. Los fabricantes también deben aplicar, en la medida de lo posible, los requisitos de gestión de las vulnerabilidades. Los fabricantes no deben obligar a los usuarios a actualizar las versiones publicadas únicamente a efectos de ensayo.

(22) A fin de garantizar que los productos con elementos digitales no planteen riesgos de ciberseguridad para las personas y las organizaciones al ser introducidos en el mercado, deben establecerse requisitos esenciales para dichos productos. Cuando estos se modifiquen posteriormente, por medios físicos o digitales, de una manera no prevista por el fabricante y que pueda implicar que dejen de cumplir los requisitos esenciales pertinentes, dicha modificación deberá considerarse sustancial. Por ejemplo, las actualizaciones de seguridad necesarias, las actualizaciones de los programas informáticos o las reparaciones, como un leve ajuste del código fuente que pueda mejorar la seguridad, no deben considerarse modificaciones sustanciales, siempre que no modifiquen un producto ya introducido en el mercado de tal manera que puedan afectar a su observancia de los requisitos vigentes o cambiar el uso previsto para el cual se ha evaluado el producto. Tal es generalmente el caso para las nuevas versiones de programas informáticos que persiguen la mejora del rendimiento y la subsanación de vulnerabilidades. Las actualizaciones de funcionalidad menores, como las mejoras visuales, la adición de nuevas lenguas a la interfaz de usuario, o de un nuevo conjunto de pictogramas, en general, no deben considerarse modifiaciones sustanciales. Al igual que en el caso de las reparaciones o modificaciones físicas, un producto con elementos digitales debe considerarse sustancialmente modificado por un cambio en los programas informáticos cuando la actualización de los programas informáticos modifique las funciones, el tipo o las prestaciones del producto previstos originalmente y ese cambio no estuviese previsto en la evaluación inicial del riesgo; o cuando la naturaleza del peligro haya cambiado o el nivel de riesgo haya aumentado debido a la actualización de los programas informáticos, como es el caso en general para las revisiones de tales programas. La Comisión debe emitir directrices sobre el modo de determinar lo que constituye una modificación sustancial.

(23) En consonancia con la noción comúnmente establecida de «modificación sustancial» de los productos regulados por la legislación de armonización de la Unión, cada vez que se produzca una modificación sustancial que pueda afectar al cumplimiento del presente Reglamento por parte del producto o cuando la finalidad prevista del producto cambie, conviene que se verifique la conformidad del producto con elementos digitales y que, cuando proceda, se someta a una nueva evaluación de la conformidad. En su caso, si el fabricante lleva a cabo una evaluación de la conformidad en la que participa un tercero, deben notificarse a este último los cambios que puedan dar lugar a modificaciones sustanciales.

(24) La renovación, el mantenimiento y la reparación de un producto con elementos digitales, tal como se definen en el Reglamento [Reglamento sobre diseño ecológico], no conducen necesariamente a una modificación sustancial del producto, por ejemplo, si el uso previsto y las funcionalidades no se modifican y el nivel de riesgo no se ve afectado. No obstante, la mejora de un producto por parte del fabricante podría dar lugar a cambios en el diseño y el desarrollo del producto y, por tanto, podría afectar al uso previsto y a la conformidad del producto con los requisitos establecidos en el presente Reglamento.

(25) Los productos con elementos digitales deben considerarse críticos si las consecuencias negativas del aprovechamiento de posibles vulnerabilidades de ciberseguridad en el producto pueden ser graves debido a, entre otras cosas, su funcionalidad relacionada con la ciberseguridad o su uso previsto. En particular, las vulnerabilidades de los productos con elementos digitales cuya funcionalidad está relacionada con la ciberseguridad, como los elementos seguros, pueden llevar a que los problemas de seguridad se propaguen a lo largo de la cadena de suministro. La gravedad de las consecuencias de un incidente de ciberseguridad también puede acrecentarse dependiendo del uso previsto del producto, como puede ocurrir en un entorno industrial o en el contexto de una entidad esencial contemplada en el anexo [anexo I] de la Directiva (UE) 2022/2555, así como del ▌desempeño de funciones críticas o sensibles, que ejercen un impacto en la salud, la seguridad y los derechos fundamentales.

(26) Los productos críticos con elementos digitales deben estar sujetos a procedimientos de evaluación de la conformidad más estrictos, al tiempo que se garantiza un enfoque proporcionado. A tal fin, los productos críticos con elementos digitales deben dividirse en dos clases que reflejen el nivel de riesgo de ciberseguridad presente en estas categorías de productos. Un posible incidente de ciberseguridad que afecte a productos de la clase II podría tener repercusiones negativas de mayor gravedad que un incidente que afecte a productos de la clase I, por ejemplo, debido a la naturaleza de su función vinculada a la ciberseguridad o su uso previsto en entornos de alto riesgo, por lo que estos productos deben someterse a un procedimiento de evaluación de la conformidad más estricto.

(27) Las categorías de productos críticos con elementos digitales a que se refiere el anexo III del presente Reglamento deben entenderse como productos cuya funcionalidad principal se enumera en el anexo III del presente Reglamento. Por ejemplo, el anexo III del presente Reglamento incluye en la clase I los productos que se definen, por su funcionalidad principal, como microprocesadores de uso general. Como consecuencia de ello, los microprocesadores de uso general están sujetos a una evaluación de la conformidad por parte de terceros obligatoria. Esto no sucede con otros productos que no se mencionan explícitamente en el anexo III del presente Reglamento y que pueden llevar incorporado un microprocesador de uso general. La Comisión debe adoptar actos delegados [a más tardar seis meses después de la entrada en vigor del presente Reglamento] para especificar las definiciones de las categorías de productos comprendidas en las clases I y II, tal como se dispone en el anexo III. Con el fin de garantizar la claridad y la seguridad jurídicas, así como la previsibilidad para que las partes interesadas cumplan el presente Reglamento, las enmiendas a la lista que figura en el anexo III deben efectuarse, como muy pronto, dos años después de la entrada en vigor del presente Reglamento y, nuevamente, como muy pronto, una vez transcurridos otros dos años. La Comisión debe establecer un proceso por el cual un producto que sea candidato a producto crítico pueda revisarse en un proceso de colaboración por todas las partes interesadas pertinentes, incluidos fabricantes y usuarios, para evaluar el riesgo de seguridad que presentan los posibles problemas de ciberseguridad del producto, si designar producto como crítico supondría probablemente reducir ese riesgo y en qué medida, así como los costes relacionados con la designación del producto como crítico, antes de adoptar los actos delegados pertinentes.

(27 bis) La Comisión deberá establecer un grupo de expertos sobre ciberresiliencia (el «Grupo de Expertos»), integrado por un amplio y variado abanico de miembros. El Grupo de Expertos deberá apoyar a la Comisión a fin de garantizar la aplicación adecuada del presente Reglamento, por ejemplo, asesorándola sobre posibles enmiendas a la lista de productos críticos establecida en el anexo III o analizando cómo las normas europeas e internacionales pueden facilitar el cumplimiento de los requisitos básicos del presente Reglamento. La Comisión deberá consultar al Grupo de Expertos y efectuar consultas públicas al preparar los actos delegados y de ejecución con arreglo al presente Reglamento, con el fin de garantizar que todas las partes interesadas pueden realizar las aportaciones necesarias.

(28) El presente Reglamento aborda los riesgos de ciberseguridad de una manera específica. Sin embargo, los productos con elementos digitales podrían plantear otros riesgos para la seguridad no siempre relacionados con la ciberseguridad, y que pueden ser consecuencia de una violación de la seguridad. Estos riesgos deben seguir estando regulados por otra legislación pertinente de la Unión sobre productos. Si ninguna otra legislación de armonización de la Unión es aplicable, los productos deben estar sujetos al Reglamento (UE) 2023/988. Por consiguiente, habida cuenta del carácter específico del presente Reglamento, no obstante lo dispuesto en el artículo 2, apartado 1, párrafo tercero, letra b), del Reglamento (UE) 2023/988el capítulo III, sección 1, los capítulos V y VII y los capítulos IX a XI del Reglamento (UE) 2023/988deben ser aplicables a los productos con elementos digitales en lo que respecta a los riesgos para la seguridad no contemplados en el presente Reglamento, a condición de que dichos productos no estén sujetos a requisitos específicos impuestos por otra legislación de armonización de la Unión a los efectos del artículo 3, punto 25, del Reglamento (UE) 2023/988.

(29) Los productos con elementos digitales considerados sistemas de inteligencia artificial (IA) de alto riesgo con arreglo al artículo 6 del Reglamento[22] [Reglamento sobre IA] que entren en el ámbito de aplicación del presente Reglamento deben cumplir los requisitos esenciales establecidos en el presente Reglamento. Cuando estos sistemas de IA de alto riesgo cumplan los requisitos esenciales del presente Reglamento, debe considerarse que cumplen los requisitos de ciberseguridad establecidos en el artículo [artículo 15] del Reglamento [Reglamento sobre IA] en la medida en que dichos requisitos estén contemplados en la declaración UE de conformidad expedida en virtud del presente Reglamento o en partes de esta. Por lo que se refiere a los procedimientos de evaluación de la conformidad relativos a los requisitos esenciales de ciberseguridad de un producto con elementos digitales sujeto al presente Reglamento y considerado sistema de IA de alto riesgo, las disposiciones pertinentes del artículo 43 del Reglamento [Reglamento sobre IA] deben aplicarse como norma general en lugar de las respectivas disposiciones del presente Reglamento. Sin embargo, esta norma no debe dar lugar a una reducción del nivel de garantía necesario para los productos críticos con elementos digitales sujetos al presente Reglamento. Por consiguiente, no obstante lo dispuesto en esta norma, los sistemas de IA de alto riesgo que entren en el ámbito de aplicación del Reglamento [Reglamento sobre IA], que asimismo se consideren productos críticos con elementos digitales con arreglo al presente Reglamento y a los que se aplique el procedimiento de evaluación de la conformidad basado en el control interno especificado en el anexo VI del Reglamento [Reglamento sobre IA] deben estar sujetos a las disposiciones relativas a la evaluación de la conformidad incluidas en el presente Reglamento en la medida en que se refieran a los requisitos esenciales del presente Reglamento. En este caso, para todos los demás aspectos que entren en el ámbito de aplicación del Reglamento [Reglamento sobre IA], deben aplicarse las respectivas disposiciones relativas a la evaluación de la conformidad basadas en el control interno establecidas en el anexo VI del Reglamento [Reglamento sobre IA].

(30) Las máquinas y sus partes y accesorios que entren en el ámbito de aplicación del Reglamento (UE) 2023/1230 del Parlamento Europeo y del Consejo[23], que sean productos con elementos digitales a los efectos del presente Reglamento y para los que se haya expedido una declaración de conformidad sobre la base del presente Reglamento deben presumirse conformes con los requisitos esenciales de salud y seguridad establecidos en el [anexo III, secciones 1.1.9 y 1.2.1] del Reglamento (UE) 2023/1230, en lo que respecta a la protección contra la corrupción y la seguridad y fiabilidad de los sistemas de mando, en la medida en que la declaración UE de conformidad emitida en virtud del presente Reglamento demuestre el cumplimiento de dichos requisitos.

(31) El Reglamento [propuesta de Reglamento sobre el espacio europeo de datos sanitarios] completa los requisitos esenciales establecidos en el presente Reglamento. Por tanto, los sistemas de historiales médicos electrónicos («sistemas HME») que entren en el ámbito de aplicación del Reglamento [propuesta de Reglamento sobre el espacio europeo de datos sanitarios] y sean productos con elementos digitales a los efectos del presente Reglamento también deben cumplir los requisitos esenciales establecidos en el presente Reglamento. Sus fabricantes deben demostrar la conformidad con arreglo a lo dispuesto en el Reglamento [propuesta de Reglamento sobre el espacio europeo de datos sanitarios]. A fin de facilitar el cumplimiento, los fabricantes pueden elaborar una única documentación técnica que contenga los elementos requeridos por ambos actos jurídicos. Dado que el presente Reglamento no regula el SaaS propiamente dicho, los sistemas HME que se ofrezcan a través del modelo de concesión de licencias y distribución del SaaS no entran en el ámbito de aplicación del presente Reglamento. Del mismo modo, los sistemas HME desarrollados y utilizados internamente no entran en el ámbito de aplicación del presente Reglamento, ya que no se introducen en el mercado.

(32) Para garantizar que los productos con elementos digitales sean seguros tanto en el momento de su introducción en el mercado como a lo largo de su ciclo de vida, es necesario establecer requisitos esenciales para la gestión de las vulnerabilidades y requisitos esenciales de ciberseguridad relativos a las propiedades de los productos con elementos digitales. Si bien los fabricantes deben cumplir todos los requisitos esenciales en relación con la gestión de las vulnerabilidades a lo largo de todo el período de soporte, también deben determinar qué otros requisitos esenciales relacionados con las propiedades del producto son pertinentes para el tipo de producto de que se trate. A tal fin, los fabricantes deben llevar a cabo una evaluación de los riesgos de ciberseguridad asociados a un producto con elementos digitales para determinar los riesgos y los requisitos esenciales pertinentes, ofrecer sus productos sin vulnerabilidades aprovechables conocidas que puedan incidir en su seguridad y aplicar adecuadamente las normas armonizadas, especificaciones comunes o normas internacionales apropiadas.

(32 bis) Los fabricantes deben determinar el período de soporte durante el que garantizarán que las vulnerabilidades se aborden, teniendo debidamente en cuenta diversos criterios, incluida la vida útil prevista del producto, la naturaleza del producto en sí, la disponibilidad del entorno operativo, las expectativas de los usuarios, y en particular de los consumidores y, cuando resulte posible, el período de soporte de otros componentes principales integrados en el producto. Los fabricantes deben velar por que el período de soporte refleje adecuadamente la necesidad de promover la ciberseguridad en el mercado de la Unión, y por que se fije teniendo debidamente en cuenta el período durante el que está prevista la comercialización de un producto con elementos digitales. Las autoridades de vigilancia del mercado deben garantizar de manera proactiva que los fabricantes apliquen tales criterios de un modo adecuado. Dichas autoridades y la Comisión deben recabar y analizar los datos sobre los períodos de soporte fijados por los fabricantes y la vida útil prevista de los productos, con el fin de garantizar que el presente Reglamento alcance su objetivo de promover la ciberseguridad de los productos con elementos digitales. Tales análisis, entre otros cometidos, deben informar la evaluación del presente Reglamento por parte de la Comisión, una vez que sea aplicable.

(32 ter) Los fabricantes deben garantizar, cuando resulte técnicamente viable, que los productos con elementos digitales diferencien claramente entre las actualizaciones de seguridad y las de funcionalidad. Las actualizaciones de seguridad, diseñadas para reducir el nivel de riesgo o corregir vulnerabilidades potenciales, deben instalarse automáticamente, en particular, en el caso de los productos de consumo. Los usuarios deben conservar la posibilidad de desactivar tal función, con un mecanismo claro y fácil de usar. Cuando el fabricante deje de garantizar que las vulnerabilidades del producto con elementos digitales se abordan, debe informar de esta circunstancia a los usuarios de un modo sencillo e inequívoco, por ejemplo, mediante la exhibición de una notificación de fácil utilización.

(32 quater) Si los fabricantes establecen un período de soporte inferior a cinco años y dejan de ofrecer la gestión de vulnerabilidades para el producto con elementos digitales, deberán poder poner su código fuente a disposición de aquellas empresas que deseen proporcionar actualizaciones de seguridad y otros servicios similares. Dicho acceso se deberá ofrecer solo en el ámbito de una relación contractual que proteja la titularidad del producto con elementos digitales e impida la difusión del código fuente al público general, excepto cuando dicho código ya se haya facilitado con arreglo a una licencia libre y de código abierto.

(33) Para mejorar la seguridad de los productos con elementos digitales comercializados en el mercado interior, es necesario establecer requisitos esenciales. Dichos requisitos deben entenderse sin perjuicio de las evaluaciones coordinadas de riesgos de la UE de las cadenas de suministro críticas, según lo establecido en la Directiva (UE) 2022/2555▌que tienen en cuenta factores de riesgo tanto técnicos como, cuando proceda, de otra índole, por ejemplo la influencia indebida de un tercer país sobre los proveedores. Además, sin perjuicio de las prerrogativas de los Estados miembros y con el fin de garantizar un alto nivel de resiliencia, deben establecerse requisitos adicionales que tengan en cuenta los factores no técnicos, incluidos los definidos en la Recomendación (UE) 2019/534, en la evaluación coordinada de riesgos a escala de la Unión de la seguridad de las redes 5G y en el conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G acordado por el Grupo de Cooperación SRI a que hace referencia la Directiva (UE) 2022/2555.

(34) Para garantizar que los CSIRT nacionales y los puntos de contacto únicos designados de conformidad con ▌la Directiva (UE) 2022/2555 reciban la información necesaria para desempeñar sus funciones y aumentar el nivel general de ciberseguridad de las entidades esenciales e importantes, así como para garantizar el funcionamiento efectivo de las autoridades de vigilancia del mercado, los fabricantes de productos con elementos digitales deben notificar a la ENISA las vulnerabilidades que se estén aprovechando activamente.Dado que la mayoría de los productos con elementos digitales se comercializan en todo el mercado interior, cualquier vulnerabilidad aprovechada en un producto con elementos digitales debe considerarse una amenaza para el funcionamiento del mercado interior. Por consiguiente, los fabricantes deben divulgar las vulnerabilidades subsanadas en la base de datos europea de vulnerabilidades creada en virtud de la Directiva (UE) 2022/2555 ygestionada por la ENISA▌. La ENISA también debe publicar las vulnerabilidades notificadas en la base de datos europea de vulnerabilidades y deberá tener instaurado un procedimiento adecuado en relación con el proceso de publicación a fin de darles a los fabricantes el tiempo necesario para desarrollar las actualizaciones de seguridad necesarias y, a los usuarios, para instalarlas o tomar otras medidas correctoras o de mitigación. La base de datos europea de vulnerabilidades debe ayudar a los fabricantes a detectar las vulnerabilidades aprovechables conocidas halladas en sus productos con el fin de velar por la comercialización de productos seguros.

(34 bis) La Unión debe maximizar los beneficios de su apertura económica, al tiempo que reduce al mínimo los riesgos derivados de las dependencias económicas respecto a proveedores de alto riesgo, mediante un marco estratégico común para la seguridad económica de la Unión[24]. Las dependencias respecto a proveedores de alto riesgo de productos críticos con elementos digitales entrañan un riesgo estratégico que debe abordarse a escala de la Unión, especialmente cuando los productos críticos con elementos digitales se han concebido para su uso por entidades esenciales del tipo al que se refiere la Directiva (UE) 2022/2555. Tales riesgos pueden estar vinculados a la jurisdicción aplicable al fabricante, a las características de su titularidad corporativa y los vínculos de control con el gobierno de un tercer país en el que se encuentre establecido, en particular si un país lleva a cabo actividades de espionaje económico y su legislación exige el acceso arbitrario a todo tipo de operaciones o datos empresariales, incluidos los datos comercialmente sensibles, y puede imponer obligaciones con fines de inteligencia sin controles ni equilibrios democráticos, mecanismos de supervisión, garantías procesales o el derecho de recurso ante un poder judicial independiente. Las autoridades de vigilancia del mercado y la Comisión deben proporcionar orientaciones y recomendaciones específicas a los operadores económicos, con el fin de garantizar que se emprendan las acciones correctivas apropiadas cuando existan motivos suficientes para considerar que un producto con elementos digitales entraña un riesgo de ciberseguridad significativo a la luz de tales factores de riesgo no técnicos.

(35) Los fabricantes también deben notificar a la ENISA cualquier incidente significativo que repercuta en la seguridad del producto con elementos digitales. Sin perjuicio de las obligaciones de notificación de incidentes establecidas en la Directiva (UE) 2022/2555 para las entidades esenciales e importantes, es fundamental que los fabricantes de productos con elementos digitales proporcionen a la ENISA, a los puntos de contacto únicos designados por los Estados miembros de conformidad con el artículo [artículo X] de la Directiva (UE) 2022/2555 y a las autoridades de vigilancia del mercado información que les permita evaluar la seguridad de dichos productos. Para garantizar que los usuarios puedan reaccionar rápidamente ante incidentes significativos que repercutan en la seguridad de sus productos con elementos digitales, los fabricantes también deben informar a sus usuarios sobre cualquier incidente de este tipo y, en su caso, sobre las medidas correctoras que los usuarios puedan adoptar para mitigar las repercusiones del incidente, por ejemplo, mediante la publicación de la información pertinente en sus sitios web o, cuando el fabricante pueda ponerse en contacto con los usuarios y los riesgos lo justifiquen, comunicándose directamente con ellos.

35 bis) Los fabricantes y otras entidades y agentes deberán poder además notificar a la ENISA, de manera voluntaria, otros incidentes de ciberseguridad, ciberamenazas, cuasiincidentes y cualquier otra vulnerabilidad.

35 ter) La ENISA debe establecer un mecanismo de notificación digital seguro que, con el fin de simplificar la notificación para los fabricantes, sirva como punto de entrada único respecto a las obligaciones de notificación formuladas en el presente Reglamento. Los fabricantes de productos con elementos digitales suelen verse en la situación de que un incidente concreto, por sus características, debe notificarse a diversas autoridades en cumplimiento de las obligaciones de información recogidas en varios instrumentos jurídicos. El mecanismo, cuando resulte posible, podría permitir que otra legislación de la Unión, como el Reglamento (UE) 2016/679, la Directiva (UE) 2022/2555 y la Directiva 2002/58/CE del Parlamento Europeo y del Consejo[25] se notifique a través del mismo mecanismo. El mecanismo también puede utilizarse para las notificaciones voluntarias por los fabricantes y otras entidades y agentes. La ENISA debe velar por que hayan implementado procedimientos para gestionar la información clasificada de un modo seguro y confidencial.

35 quater) En algunos Estados miembros, las entidades y las personas físicas que investigan las vulnerabilidades pueden incurrir en responsabilidad penal y civil. La Comisión debe emitir directrices con respecto al no enjuiciamiento de los investigadores de la seguridad de la información, y una exención de responsabilidad civil para tales actividades.

(36) Los fabricantes de productos con elementos digitales deben establecer políticas de divulgación coordinada de las vulnerabilidades para facilitar la notificación de vulnerabilidades por parte de particulares o entidades, ya sea directamente al fabricante o indirectamente, y cuando se requiera de forma anónima, a través de CSIRT designados como coordinadores a efectos de la divulgación coordinada de vulnerabilidades de conformidad con el artículo 12, apartado 1 de la Directiva (UE) 2022/2555. Una política de divulgación coordinada de vulnerabilidades de los fabricantes debe especificar un proceso estructurado a través del cual las vulnerabilidades se notifican al fabricante de tal manera que este pueda diagnosticar y subsanar las vulnerabilidades antes de que se revele información detallada sobre ellas a terceros o al público. Dado que la información sobre vulnerabilidades aprovechables en productos de uso generalizado con elementos digitales puede venderse a precios elevados en el mercado negro, los fabricantes de estos productos, como parte de sus políticas de divulgación coordinada de vulnerabilidades, deben poder utilizar programas para incentivar la notificación de vulnerabilidades, garantizando que las personas o las entidades reciban reconocimiento y compensación por sus esfuerzos (los denominados «programas de recompensa por detección de errores» o «bug bounty»).

(36 bis) Los Estados miembros y la ENISA deben asegurarse de que las vulnerabilidades notificadas con arreglo al presente Reglamento no sean utilizadas por organismos públicos con fines de inteligencia, vigilancia u ofensivos. 

(37) A fin de facilitar el análisis de las vulnerabilidades, los fabricantes deben especificar y documentar los componentes contenidos en los productos con elementos digitales, en particular mediante la elaboración de una nomenclatura de materiales de los programas informáticos (NMPI). Una NMPI puede proporcionar a quienes fabrican, compran y utilizan dichos programas información que mejore su comprensión de la cadena de suministro, lo que tiene múltiples beneficios, sobre todo ayudar a los fabricantes y a los usuarios a rastrear las vulnerabilidades y los riesgos conocidos de reciente aparición. Es de particular importancia que los fabricantes garanticen que sus productos no contengan componentes vulnerables desarrollados por terceros. No obstante, el fabricante no deberá estar obligado a publicar la nomenclatura de materiales de los programas informáticos, ya que esto podría tener consecuencias no deseadas en la ciberseguridad de sus productos con elementos digitales.

(38) A fin de facilitar la evaluación de la conformidad con los requisitos establecidos en el presente Reglamento, debe aplicarse una presunción de conformidad de los productos con elementos digitales que sean conformes con normas armonizadas que plasmen los requisitos esenciales del presente Reglamento en especificaciones técnicas detalladas y se adopten con arreglo al Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo[26]. El Reglamento (UE) n.º 1025/2012 establece un procedimiento de presentación de objeciones a las normas armonizadas para el caso en que estas no cumplan plenamente los requisitos del presente Reglamento. El proceso de normalización debe garantizar una representación equilibrada de intereses y la participación efectiva de las partes interesadas de la sociedad civil, incluidas las organizaciones de consumidores. También se deben tener en cuenta las normas internacionales, con el fin de simplificar el desarrollo de normas armonizadas y la ejecución del presente Reglamento, así como de reducir las barreras técnicas no arancelarias al comercio.

(38 bis) Habida cuenta el amplio ámbito de aplicación del presente Reglamento, la elaboración oportuna de normas armonizadas plantea un reto considerable. La Comisión debe velar por que se hayan establecido normas armonizadas, a más tardar, en la fecha de aplicación del presente Reglamento, con el fin de garantizar la ejecución eficaz del mismo.

(39) El Reglamento (UE) 2019/881 establece un marco europeo voluntario de certificación de la ciberseguridad para productos, procesos y servicios de TIC. Los esquemas europeos de certificación de la ciberseguridad pueden proporcionar un marco común de confianza para que los usuarios utilicen los productos con elementos digitales regulados por el presente Reglamento.  El presente Reglamento debe crear por consiguiente sinergias con el Reglamento (UE) 2019/881. A fin de facilitar la evaluación de la conformidad con los requisitos establecidos en el presente Reglamento, se presupondrá que los productos con elementos digitales que hayan sido certificados o para los que se haya expedido una declaración de conformidad en el marco de un esquema de ciberseguridad establecido en virtud del Reglamento (UE) 2019/881 y reconocido por la Comisión mediante acto de ejecución son conformes con los requisitos esenciales del presente Reglamento en la medida en que el certificado de ciberseguridad o la declaración de conformidad, o partes de estos, cubran dichos requisitos. La necesidad de nuevos esquemas europeos de certificación de la ciberseguridad para productos con elementos digitales debe evaluarse a la luz del presente Reglamento. Estos futuros esquemas europeos de certificación de la ciberseguridad que se apliquen a productos con elementos digitales deben tener en cuenta los requisitos esenciales establecidos en el presente Reglamento y facilitar su cumplimiento. La Comisión debe estar facultada para especificar, mediante actos delegados, los esquemas europeos de certificación de la ciberseguridad que puedan utilizarse para demostrar la conformidad de los productos con elementos digitales con los requisitos esenciales establecidos en el presente Reglamento.  Además, con el fin de evitar cargas administrativas excesivas para los fabricantes, no debería haber obligación alguna para los fabricantes de llevar a cabo una evaluación de la conformidad por parte de terceros, tal como dispone el presente Reglamento para los requisitos correspondientes cuando se haya expedido un certificado de ciberseguridad en el marco de dichos esquemas europeos de certificación de la ciberseguridad, en un nivel sustancial o alto.

(39 bis) Con el fin de facilitar el cumplimiento del presente Reglamento, la Comisión debe actualizar el programa de trabajo plurianual de la Unión, y solicitar a la ENISA que prepare las propuestas de esquema que falten de conformidad con el artículo 48 del Reglamento (UE) 2019/881.

(40) Tras la entrada en vigor del acto de ejecución por el que se establece el [Reglamento de Ejecución (UE) n.º .../... de la Comisión, de XXX, relativo al esquema europeo de certificación de la ciberseguridad basado en criterios comunes], que regula los productos consistentes en equipos informáticos sujetos al presente Reglamento, como los módulos de seguridad y los microprocesadores de los equipos informáticos, la Comisión podrá especificar, mediante acto de ejecución, el modo en que el esquema europeo de certificación de la ciberseguridad supone la presunción de conformidad con los requisitos esenciales especificados en el anexo I del presente Reglamento o partes de estos. Además, dicho acto de ejecución podrá especificar la medida en que un certificado expedido en virtud del esquema europeo de certificación de la ciberseguridad exime a los fabricantes de la obligación de llevar a cabo una evaluación de terceros, tal como exige el presente Reglamento para los requisitos correspondientes.

(41) Cuando no se adopten normas armonizadas o cuando las normas armonizadas no tengan suficientemente en cuenta los requisitos esenciales del presente Reglamento, la Comisión debe poder adoptar especificaciones comunes mediante actos delegados, después de tener en cuenta las normas internacionales. Dicha opción deberá considerarse una solución «de emergencia» excepcional, cuando el proceso de normalización esté bloqueado, existan retrasos indebidos en el establecimiento de normas armonizadas apropiadas o si los entregables no cumplen con la petición inicial de la Comisión. Para facilitar la evaluación de la conformidad con los requisitos esenciales establecidos en el presente Reglamento, debe presuponerse la conformidad de los productos con elementos digitales que sean conformes con las especificaciones comunes adoptadas por la Comisión con arreglo al presente Reglamento a fin de indicar las especificaciones técnicas detalladas de dichos requisitos.

(42) Los fabricantes deben elaborar una declaración UE de conformidad a fin de aportar la información requerida por el presente Reglamento sobre la conformidad de los productos con elementos digitales con los requisitos esenciales del presente Reglamento y, cuando proceda, de otra legislación de armonización de la Unión aplicable al producto. También puede obligarse a los fabricantes a preparar una declaración UE de conformidad con arreglo a otras normas de la Unión. Para garantizar un acceso efectivo a la información con fines de vigilancia del mercado, deberá prepararse una única declaración UE de conformidad relativa al cumplimiento de todos los actos pertinentes de la Unión. A fin de reducir las cargas administrativas para los operadores económicos, dicha declaración única de la UE ha de poder consistir en un expediente compuesto por cada una de las correspondientes declaraciones de conformidad.

(43) El marcado CE, que indica la conformidad de un producto, es el resultado visible de todo un proceso que comprende la evaluación de la conformidad en sentido amplio. Los principios generales por los que se rige el marcado CE se establecen en el Reglamento (CE) n.º 765/2008 del Parlamento Europeo y del Consejo[27]. En el presente Reglamento deben establecerse normas relativas a la colocación del marcado CE en productos con elementos digitales. El marcado CE debe ser el único marcado que garantice que los productos con elementos digitales cumplen con los requisitos del presente Reglamento.

(44) Para que los operadores económicos puedan demostrar la conformidad con los requisitos esenciales establecidos en el presente Reglamento y para que las autoridades de vigilancia del mercado puedan garantizar que los productos con elementos digitales comercializados cumplen dichos requisitos, es necesario establecer procedimientos de evaluación de la conformidad. La Decisión n.º 768/2008/CE del Parlamento Europeo y del Consejo[28] establece módulos de procedimientos de evaluación de la conformidad proporcionales al nivel de riesgo existente y al nivel de seguridad requerido. Para garantizar la coherencia intersectorial y evitar variantes ad hoc, los procedimientos de evaluación de la conformidad adecuados para verificar la conformidad de los productos con elementos digitales con los requisitos esenciales establecidos en el presente Reglamento se han basado en dichos módulos. Los procedimientos de evaluación de la conformidad deben examinar y verificar los requisitos relacionados con los productos y los procesos que abarcan todo el ciclo de vida de los productos con elementos digitales, en particular la planificación, el diseño, el desarrollo o la producción, los ensayos y el mantenimiento del producto.

(45) Como norma general, el fabricante debe llevar a cabo en la mayoría de los casos la evaluación de la conformidad de los productos con elementos digitales basada en el riesgo, bajo su propia responsabilidad mediante un procedimiento basado en el módulo A de la Decisión n.º 768/2008/CE. El fabricante deberá ser flexible en lo que se refiere a la elección de un procedimiento de evaluación de la conformidad más estricto en el que participe un tercero. Si el producto está considerado producto crítico de la clase I, se requieren garantías adicionales para demostrar la conformidad con los requisitos esenciales establecidos en el presente Reglamento. Si el fabricante desea llevar a cabo la evaluación de la conformidad bajo su propia responsabilidad (módulo A), debe aplicar normas armonizadas, especificaciones comunes o esquemas de certificación de la ciberseguridad con arreglo al Reglamento (UE) 2019/881 que hayan sido reconocidos por la Comisión mediante acto de ejecución. Si tales normas armonizadas, especificaciones comunes o esquemas de certificación de la ciberseguridad llevan establecidas un período mínimo de tiempo que permita a los fabricantes adoptarlas y el fabricante no las aplica, debe someterse a una evaluación de la conformidad en la que participe un tercero. Teniendo en cuenta la carga administrativa de los fabricantes y el hecho de que la ciberseguridad desempeña un papel importante en la fase de diseño y desarrollo de productos tangibles e intangibles con elementos digitales, los procedimientos de evaluación de la conformidad basados, respectivamente, en los módulos B + C o H de la Decisión n.º 768/2008/CE han sido elegidos como los más adecuados para evaluar la conformidad de los productos críticos con los elementos digitales de manera proporcionada y eficaz. El fabricante que opte por la evaluación de la conformidad de terceros puede elegir el procedimiento que mejor se adapte a su proceso de diseño y producción. Habida cuenta del riesgo de ciberseguridad aún mayor asociado al uso de productos clasificados como productos críticos de la clase II, la evaluación de la conformidad de estos productos siempre debe contar con la participación de un tercero.

(46) Si bien la creación de productos tangibles con elementos digitales suele exigir a los fabricantes un esfuerzo considerable a lo largo de las fases de diseño, desarrollo y producción, la creación de productos con elementos digitales en forma de programas informáticos se centra casi exclusivamente en el diseño y el desarrollo, mientras que la fase de producción desempeña un papel menor. No obstante, en muchos casos, los productos consistentes en programas informáticos aún tienen que compilarse, integrarse, empaquetarse, hacerse disponibles para su descarga o copiarse en soportes físicos antes de su introducción en el mercado. Estas actividades deben considerarse como equivalentes a la fase de producción cuando se apliquen los módulos de evaluación de la conformidad pertinentes para verificar la conformidad del producto con los requisitos esenciales del presente Reglamento a lo largo de las fases de diseño, desarrollo y producción.

(47) Las autoridades notificantes nacionales deben informar a la Comisión y a los demás Estados miembros acerca de los organismos que realizarán la evaluación de la conformidad por parte de terceros de los productos con elementos digitales, siempre y cuando cumplan una serie de requisitos, fundamentalmente en lo que respecta a su independencia, sus competencias y la ausencia de conflictos de intereses.

(48) Para garantizar un mismo nivel de calidad en la evaluación de la conformidad de los productos con elementos digitales, también es necesario establecer los requisitos que deben cumplir las autoridades notificantes y otros organismos que participen en la evaluación, la notificación y la supervisión de los organismos notificados. El sistema que dispone el presente Reglamento debe complementarse con el sistema de acreditación establecido en el Reglamento (CE) n.º 765/2008. Puesto que la acreditación es un medio esencial para comprobar la competencia de los organismos de evaluación de la conformidad, debe utilizarse también a efectos de notificación.

(49) Una acreditación transparente como la prevista en el Reglamento (CE) n.º 765/2008, que garantice el nivel de confianza necesario en los certificados de conformidad, debe ser considerada por las autoridades públicas nacionales de toda la Unión la forma más adecuada de demostrar la competencia técnica de dichos organismos de evaluación. No obstante, las autoridades nacionales pueden considerar que poseen los medios adecuados para llevar a cabo esa evaluación por sí mismas. En tal caso, con el fin de garantizar que las evaluaciones realizadas por otras autoridades nacionales tengan un grado adecuado de credibilidad, estas autoridades deben proporcionar a la Comisión y a los demás Estados miembros las pruebas documentales necesarias de que los organismos de evaluación de la conformidad evaluados cumplen los requisitos normativos aplicables.

(50) Es frecuente que los organismos de evaluación de la conformidad subcontraten parte de sus actividades relacionadas con la evaluación de la conformidad o que recurran a una filial. A fin de salvaguardar el nivel de protección exigido para la introducción en el mercado de productos con elementos digitales, es esencial que los subcontratistas y las filiales que evalúen la conformidad cumplan los mismos requisitos que los organismos notificados en cuanto a la realización de las tareas de evaluación de la conformidad.

(51) La autoridad notificante debe enviar la notificación de un organismo de evaluación de la conformidad a la Comisión y a los demás Estados miembros a través del Sistema de información sobre organismos notificados y designados de nuevo enfoque (NANDO). El Sistema de información NANDO es la herramienta de notificación electrónica desarrollada y gestionada por la Comisión, y en ella se puede encontrar una lista de todos los organismos notificados.

(52) Dado que los organismos notificados pueden ofrecer sus servicios en toda la Unión, procede ofrecer a los demás Estados miembros y a la Comisión la oportunidad de presentar objeciones a propósito de un organismo notificado. Por lo tanto, es importante fijar un plazo durante el que se pueda aclarar cualquier duda o preocupación sobre la competencia de los organismos de evaluación de la conformidad antes de que empiecen a trabajar como organismos notificados.

(53) En interés de la competitividad, es fundamental que los organismos notificados apliquen los procedimientos de evaluación de la conformidad sin crear cargas innecesarias para los operadores económicos, en particular para las microempresas y las pequeñas y medianas empresas. A este respecto, los Estados miembros, con el apoyo de la Comisión, deben velar por que exista una disponibilidad adecuada de profesionales cualificados con el fin de garantizar que los organismos notificados puedan desempeñar sus actividades de manera eficiente, minimizando de este modo posibles impedimentos, evitando cuellos de botella y facilitando el cumplimiento del presente Reglamento por parte de los operadores económicos. Por el mismo motivo y para garantizar la igualdad de trato a estos operadores, debe garantizarse que la aplicación técnica de los procedimientos de evaluación de la conformidad sea uniforme. La mejor manera de lograrlo es instaurar una coordinación y una cooperación adecuadas entre los organismos notificados.

(53 bis) Con el fin de aumentar la eficiencia y la transparencia, los Estados miembros deben garantizar, antes de la fecha de aplicación del presente Reglamento, que existe un número suficiente de organismos notificados en la Unión para llevar a cabo las evaluaciones de conformidad. La Comisión debe efectuar un seguimiento de la evolución del mercado, y asistir a los Estados miembros en esta labor, con el fin de evitar los cuellos de botella y los obstáculos a la entrada al mercado.

(54) La vigilancia del mercado es un instrumento esencial para garantizar la aplicación correcta y uniforme de la legislación de la Unión. Por lo tanto, es oportuno establecer un marco jurídico en el que pueda llevarse a cabo la vigilancia del mercado de manera apropiada. Las normas sobre vigilancia del mercado de la Unión y control de los productos que entran en el mercado de la Unión establecidas en el Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo[29] se aplican a los productos con elementos digitales regulados por el presente Reglamento.

(55) De conformidad con el Reglamento (UE) 2019/1020, las autoridades de vigilancia del mercado son responsables de efectuar la vigilancia del mercado en el territorio del Estado miembro correspondiente. El presente Reglamento no debe impedir que los Estados miembros escojan a las autoridades competentes que desempeñan esas tareas. Cada Estado miembro debe designar a una o varias autoridades de vigilancia del mercado en su territorio. Los Estados miembros podrán optar por designar a cualquier autoridad existente o nueva para que actúe en calidad de autoridad de vigilancia del mercado, incluidas las autoridades nacionales competentes especificadas en la ▌Directiva (UE) 2022/2555 y las autoridades nacionales de certificación de la ciberseguridad designadas a las que hace referencia el artículo 58 del Reglamento (UE) 2019/881. Los operadores económicos deben cooperar plenamente con las autoridades de vigilancia del mercado y otras autoridades competentes. Cada Estado miembro debe informar a la Comisión y a los demás Estados miembros acerca de sus autoridades de vigilancia del mercado y de los ámbitos de competencia de cada una de ellas, así como garantizar las capacidades y los recursos necesarios para desempeñar las funciones de vigilancia relacionadas con el presente Reglamento. De conformidad con el artículo 10, apartados 2 y 3, del Reglamento (UE) 2019/1020, cada Estado miembro debe designar una oficina de enlace única que debe ser responsable de, entre otras cosas, representar la posición coordinada de las autoridades de vigilancia del mercado y prestar asistencia en la cooperación entre las autoridades de vigilancia del mercado en diferentes Estados miembros.

(56) Debe establecerse un Grupo de Cooperación Administrativa (ADCO) específico en relación con la ciberresiliencia de los productos con elementos digitales para la aplicación uniforme del presente Reglamento, de conformidad con el artículo 30, apartado 2, del Reglamento (UE) 2019/1020. Este ADCO debe estar compuesto por representantes de las autoridades de vigilancia del mercado designadas y, en su caso, por representantes de las oficinas de enlace únicas. La Comisión debe apoyar y fomentar la cooperación entre las autoridades de vigilancia del mercado a través de la Red de la Unión sobre Conformidad de los Productos, establecida sobre la base del artículo 29 del Reglamento (UE) 2019/1020 y compuesta por representantes de cada Estado miembro, incluidos un representante de cada oficina de enlace única a que se refiere el artículo 10 del citado Reglamento y un experto nacional opcional, los presidentes de los ADCO y representantes de la Comisión. La Comisión debe participar en las reuniones de la Red, sus subgrupos y este ADCO. También debe ayudar a este ADCO por medio de una secretaría ejecutiva que preste apoyo técnico y logístico.

(57) A fin de garantizar el establecimiento de medidas oportunas, proporcionadas y eficaces en relación con los productos con elementos digitales que presenten un riesgo de ciberseguridad significativo, debe preverse un procedimiento de salvaguardia de la Unión en virtud del cual se informe a las partes interesadas de las medidas que se vayan a adoptar en relación con dichos productos. También debe permitir a las autoridades de vigilancia del mercado actuar, en cooperación con los operadores económicos correspondientes, en una fase más temprana cuando sea necesario. Si los Estados miembros y la Comisión están de acuerdo en la justificación de una medida adoptada por un Estado miembro, no debe exigirse mayor intervención de la Comisión excepto en los casos en los que la no conformidad pueda atribuirse a la insuficiencia de una norma armonizada.

(58) En determinados casos, un producto con elementos digitales que cumpla lo dispuesto en el presente Reglamento puede, no obstante, presentar un riesgo de ciberseguridad significativo o plantear un riesgo para la salud o la seguridad de las personas, para el cumplimiento de las obligaciones en virtud del Derecho nacional o de la Unión en materia de protección de los derechos fundamentales, para la disponibilidad, autenticidad, integridad o confidencialidad de los servicios ofrecidos mediante un sistema de información electrónico por entidades esenciales contempladas en la ▌Directiva (UE) 2022/2555 (SRI 2) o para otros aspectos relativos a la protección del interés público. Es por tanto necesario establecer normas que garanticen la mitigación de estos riesgos. En consecuencia, las autoridades de vigilancia del mercado deben adoptar medidas para exigir al operador económico que se asegure de que el producto ya no presente dicho riesgo, retirarlo del mercado o recuperarlo, dependiendo del riesgo que presente. Tan pronto como una autoridad de vigilancia del mercado restrinja o prohíba la libre circulación de un producto de esa manera, el Estado miembro debe notificar inmediatamente a la Comisión y a los demás Estados miembros las medidas provisionales, indicando las razones y la justificación de esa decisión. Cuando una autoridad de vigilancia del mercado adopte tales medidas contra productos que planteen un riesgo, la Comisión debe consultar sin demora a los Estados miembros y al operador o los operadores económicos pertinentes y debe evaluar la medida nacional. Basándose en los resultados de dicha evaluación, la Comisión debe decidir si la medida nacional está o no justificada. La Comisión debe comunicar inmediatamente su decisión a todos los Estados miembros y al operador o los operadores económicos pertinentes. Si la medida se considera justificada, la Comisión también puede considerar la adopción de propuestas para revisar la legislación de la Unión que corresponda.

(59) Por lo que respecta a los productos con elementos digitales que presenten un riesgo de ciberseguridad significativo y en relación con los cuales existan motivos para creer que no son conformes con el presente Reglamento, o bien a los productos que son conformes con el presente Reglamento pero presentan otros riesgos importantes, como riesgos para la salud o la seguridad de las personas, los derechos fundamentales o la prestación de servicios por parte de entidades esenciales del tipo contemplado en la ▌Directiva (UE) 2022/2555, la Comisión podrá solicitar a la ENISA que lleve a cabo una evaluación. Sobre la base de dicha evaluación, la Comisión podrá adoptar, mediante actos de ejecución, medidas correctoras o restrictivas a escala de la Unión, como retirar del mercado o recuperar los productos correspondientes en un plazo razonable, proporcional a la naturaleza del riesgo. La Comisión solo puede recurrir a tal medida en circunstancias excepcionales que justifiquen una intervención inmediata para preservar el buen funcionamiento del mercado interior y únicamente cuando las autoridades de vigilancia no hayan adoptado medidas eficaces para remediar la situación. Estas circunstancias excepcionales pueden darse en situaciones de emergencia en las que, por ejemplo, un fabricante comercialice de manera generalizada en varios Estados miembros un producto no conforme utilizado asimismo en sectores clave por entidades que entren en el ámbito de aplicación de la Directiva (UE) 2022/2555, a pesar de contener vulnerabilidades conocidas que estén siendo aprovechadas por agentes malintencionados y para las que el fabricante no proporcione parches disponibles. La Comisión solo podrá intervenir en situaciones de emergencia de este tipo mientras duren las circunstancias excepcionales y si persiste el incumplimiento del presente Reglamento o los riesgos importantes detectados.

(60) En los casos en que existan indicios de incumplimiento del presente Reglamento en varios Estados miembros, las autoridades de vigilancia del mercado deben poder llevar a cabo actividades conjuntas con otras autoridades, con el objetivo de verificar el cumplimiento y determinar los riesgos de ciberseguridad de los productos con elementos digitales.

(61) Las acciones de control simultáneas coordinadas («barridos») son medidas de ejecución específicas que las autoridades de vigilancia del mercado llevan a cabo para seguir mejorando la seguridad de los productos. En particular, deben llevarse a cabo barridos cuando las tendencias del mercado, las reclamaciones de los consumidores u otras indicaciones muestren que determinadas categorías de productos presentan a menudo riesgos de ciberseguridad graves. La ENISA debe presentar a las autoridades de vigilancia del mercado propuestas de categorías de productos para las que deberían organizarse barridos, sobre la base, entre otras cosas, de las notificaciones que reciba relativas a vulnerabilidades e incidentes de los productos. La Comisión debe coordinar asimismo a las autoridades de vigilancia del mercado en las inspecciones periódicas de productos con elementos digitales que podrían entrañar un riesgo para la seguridad de la Unión, habida cuenta asimismo del factor de riesgo no técnico.

(62) A fin de garantizar que el marco regulador pueda adaptarse cuando sea necesario, deben delegarse en la Comisión los poderes para adoptar actos con arreglo a lo dispuesto en el artículo 290 del Tratado a efectos de actualizar la lista de productos críticos del anexo III y especificar las definiciones de dichas categorías de productos. Deben delegarse en la Comisión los poderes para adoptar actos con arreglo a dicho artículo a fin de identificar los productos con elementos digitales regulados por otras normas de la Unión que alcancen el mismo nivel de protección que el presente Reglamento, especificando si sería necesaria una limitación o una exclusión del ámbito de aplicación del presente Reglamento, así como, en su caso, el alcance de dicha limitación. También deben delegarse en la Comisión los poderes para adoptar actos con arreglo a dicho artículo con respecto a la especificación de los esquemas europeos de certificación de la ciberseguridad adoptados con arreglo al Reglamento (UE) 2019/881 que pueden utilizarse para demostrar conformidad con los requisitos esenciales, o parte de los mismos, formulados en el anexo I al presente Reglamento, la posible exigencia de certificación de determinados productos altamente críticos con elementos digitales, sobre la base de criterios de criticidad establecidos en el presente Reglamento, así como con respecto a la especificación del contenido mínimo de la declaración UE de conformidad y al complemento de los elementos que deban incluirse en la documentación técnica. Asimismo, deben delegarse en la Comisión los poderes para adoptar actos delegados con el fin de especificar el formato y los elementos de la nomenclatura de materiales de los programas informáticos, así como el formato y el procedimiento para las notificaciones de vulnerabilidades aprovechadas activamente e incidentes significativos presentadas por los fabricantes a la ENISA. Si es necesario, la Comisión estará facultada para adoptar actos delegados a fin de adoptar especificaciones comunes, al amparo de los requisitos esenciales establecidos en el anexo I. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo Interinstitucional sobre la Mejora de la Legislación[30], de 13 de abril de 2016. En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados. A efectos del desarrollo de actos delegados con arreglo al presente Reglamento, la Comisión debe consultar al Grupo de Expertos sobre ciberresiliencia. La Comisión también debe entablar un diálogo estructural periódico con los operadores económicos y llevar a cabo consultas públicas, entre otros fines, para evaluar el alcance del presente Reglamento y si ciertas categorías de productos deben incluirse o excluirse.

(63) A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución para: ▌establecer especificaciones técnicas para los sistemas de etiquetado, incluidas las etiquetas armonizadas, los pictogramas o cualquier otro marcado relativo a la seguridad de los productos con elementos digitales y mecanismos para promover su uso; y adoptar decisiones sobre medidas correctoras o restrictivas a escala de la Unión en circunstancias excepcionales que justifiquen una intervención inmediata para preservar el buen funcionamiento del mercado interior. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo[31].

(64) Todas las partes implicadas en la aplicación del presente Reglamento deben respetar la confidencialidad de la información y los datos que obtengan en el ejercicio de sus funciones, con vistas a garantizar la cooperación fiable y constructiva de las autoridades de vigilancia del mercado en la Unión y a escala nacional.

(65) A fin de garantizar el cumplimiento efectivo de las obligaciones establecidas en el presente Reglamento, las autoridades de vigilancia del mercado deben estar facultadas para imponer multas administrativas o solicitar su imposición. Por consiguiente, deben establecerse niveles máximos para las multas administrativas que deben prever las legislaciones nacionales en caso de incumplimiento de las obligaciones establecidas en el presente Reglamento. A la hora de decidir la cuantía de la multa administrativa en cada caso concreto se tomarán en consideración todas las circunstancias pertinentes de la situación correspondiente y, como mínimo, las establecidas explícitamente en el presente Reglamento, en particular si el fabricante es una microempresa, una pequeña o mediana empresa o una empresa emergente, o si otras autoridades de vigilancia del mercado han impuesto ya multas administrativas al mismo operador por infracciones similares. Tales circunstancias pueden ser agravantes, en situaciones en las que la infracción cometida por el mismo operador persista en el territorio de Estados miembros distintos de aquel en el que ya se haya impuesto una multa administrativa, o bien atenuantes, si se garantiza que cualquier otra multa administrativa propuesta por otra autoridad de vigilancia del mercado para el mismo operador económico o el mismo tipo de infracción ya toma en consideración, además de otras circunstancias específicas pertinentes, una sanción impuesta en otros Estados miembros y la cuantía de esta. En todos estos casos, la multa administrativa acumulada que podrían aplicar las autoridades de vigilancia del mercado de varios Estados miembros a un mismo operador económico por el mismo tipo de infracción debe garantizar el respeto del principio de proporcionalidad.

(66) Si las multas administrativas se imponen a personas que no son una empresa, al valorar la cuantía apropiada de la multa, la autoridad competente debe tener en cuenta el nivel general de ingresos en el Estado miembro, así como la situación económica de la persona. Debe corresponder a los Estados miembros determinar si se debe imponer multas administrativas a las autoridades públicas y en qué medida.

(66 bis) Los ingresos generados por el pago de sanciones deben utilizarse para reforzar el nivel de ciberseguridad en la Unión, por ejemplo, desarrollando capacidades y competencias relacionadas con la ciberseguridad, mejorando la ciberresiliencia de los operadores económicos, en especial de las microempresas y pequeñas y medianas empresas, y, de forma más general, fomentando la sensibilización pública sobre cuestiones de ciberseguridad.

(67) En sus relaciones con terceros países, la UE procura fomentar el comercio internacional de productos regulados. Puede aplicarse una amplia variedad de medidas para facilitar el comercio, incluidos varios instrumentos jurídicos, como los acuerdos de reconocimiento mutuo (ARM) bilaterales (intergubernamentales) para la evaluación de la conformidad y el marcado de productos regulados. Los ARM se establecen entre la Unión y los terceros países que poseen un nivel comparable de desarrollo técnico y un enfoque compatible en lo concerniente a la evaluación de la conformidad. Estos acuerdos se basan en la aceptación mutua de certificados, marcas de conformidad e informes de ensayos emitidos por los organismos de evaluación de la conformidad de cualquiera de las partes de conformidad con la legislación de la otra parte. Actualmente hay ARM vigentes con varios países. Se han celebrado acuerdos de este tipo en varios sectores específicos que pueden variar entre países. Con el fin de facilitar aún más el comercio y reconociendo que las cadenas de suministro de productos con elementos digitales son mundiales, la Unión, de conformidad con el artículo 218 del Tratado de Funcionamiento de la Unión Europea (TFUE), puede celebrar ARM relativos a la evaluación de la conformidad de los productos regulados por el presente Reglamento. La cooperación con los países socios también es importante para reforzar la ciberresiliencia a escala mundial, ya que, a largo plazo, contribuirá a reforzar el marco de ciberseguridad tanto dentro como fuera de la UE.

(68) La Comisión debe revisar periódicamente lo dispuesto en el presente Reglamento, en consulta con el Grupo de Expertos y otras partes interesadas, en particular para determinar si se precisa alguna modificación a raíz de cambios en la situación social, política, tecnológica o del mercado.

(69) Los operadores económicos deben disponer de tiempo suficiente para adaptarse a los requisitos del presente Reglamento. El presente Reglamento debe ser aplicable [treinta y seis meses] después de su entrada en vigor, a excepción de las obligaciones de información relativas a vulnerabilidades aprovechadas activamente e incidentes, que deben ser aplicables [dieciocho meses] después de la entrada en vigor del presente Reglamento.

(69 bis) El presente Reglamento generará costes adicionales para las microempresas y las pequeñas y medianas empresas, incluidas las emergentes. Para prestarles apoyo, la Comisión debe establecer ayudas financieras y técnicas que les permitan contribuir al crecimiento de la economía europea y al refuerzo del panorama europeo de la ciberseguridad, entre otras vías, mediante la optimización de la asistencia financiera con cargo al programa Europa Digital y otros programas pertinentes de la Unión, y la provisión de apoyo a empresas y organizaciones del sector público a través de los centros europeos de innovación digital. Por otra parte, los Estados miembros deben considerar todas las posibles acciones complementarias encaminadas a proporcionar orientación y apoyo a las microempresas y a las pymes, entre otras vías, mediante el establecimiento de espacios controlados de pruebas, ejes de ciberseguridad y aceleradores de empresas emergentes.

(70) Dado que el objetivo del presente Reglamento no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a los efectos de la acción, puede lograrse mejor a nivel de la Unión, la Unión puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De acuerdo con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

(71) El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) n.º 2018/1725 del Parlamento Europeo y del Consejo[32], emitió su dictamen el 9 de noviembre de 2022[33].

(71 bis) La Comisión deberá modificar la ficha de financiación legislativa adjunta al presente Reglamento aportando a la ENISA nueve puestos equivalentes a tiempo completo adicionales y los correspondientes créditos adicionales a fin de realizar sus tareas complementarias dispuestas en el presente Reglamento,

 

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1
Objeto

El presente Reglamento establece:

(a) normas para la comercialización de productos con elementos digitales a fin de garantizar la ciberseguridad de dichos productos;

(b) requisitos esenciales para el diseño, el desarrollo y la fabricación de productos con elementos digitales y las obligaciones de los operadores económicos en relación con dichos productos, en lo que respecta a la ciberseguridad;

(c) requisitos esenciales para los procesos de gestión de la vulnerabilidad establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales a lo largo de todo el ciclo de vida, y las obligaciones de los operadores económicos en relación con dichos procesos;

(d) normas relativas al seguimiento y a la vigilancia del mercado, y a la aplicación de los requisitos y las normas antes mencionados.

Artículo 2
Ámbito de aplicación

1. El presente Reglamento es aplicable a los productos con elementos digitales comercializados que puedan tener una conexión de ▌ datos directa o indirecta a un dispositivo o red.

2. El presente Reglamento no es aplicable a los productos con elementos digitales a los que sean aplicables los siguientes actos legislativos de la Unión:

(a) el Reglamento (UE) 2017/745;

(b) el Reglamento (UE) 2017/746;

(c) el Reglamento (UE) 2019/2144.

3. El presente Reglamento no es aplicable a los productos con elementos digitales que hayan sido certificados de conformidad con el Reglamento (UE) 2018/1139.

3 bis. El presente Reglamento se aplica a los programas informáticos libres y de código abierto únicamente cuando estos se introduzcan en el mercado en el curso de una actividad comercial.

4. La aplicación del presente Reglamento a los productos con elementos digitales regulados por otras normas de la Unión que establezcan requisitos que aborden la totalidad o parte de los riesgos cubiertos por los requisitos esenciales establecidos en el anexo I podrá limitarse o excluirse cuando:

(a) dicha limitación o exclusión sea coherente con el marco regulador general aplicable a dichos productos, y

(b) las normas sectoriales alcancen un nivel de protección equivalente al previsto en el presente Reglamento.

La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 50 a fin de modificar el presente Reglamento, especificando si dicha limitación o exclusión es necesaria, los productos y normas afectados y, si procede, el alcance de la limitación.

4 bis. El presente Reglamento no se aplica a los repuestos que se fabrican exclusivamente para sustituir piezas idénticas y que suministra el fabricante de los productos originales con elementos digitales.

5. El presente Reglamento no se aplica a los productos con elementos digitales desarrollados exclusivamente con fines militares o de seguridad nacional ni a los productos diseñados específicamente para el tratamiento de información clasificada.

Artículo 3
Definiciones

A los efectos del presente Reglamento, se entenderá por: «producto con elementos digitales»:

(1) cualquier producto consistente en programas informáticos o equipos informáticos y sus soluciones de tratamiento de datos a distancia, incluidos los componentes de programas informáticos o equipos informáticos que se introduzcan en el mercado por separado;

(2) «tratamiento de datos a distancia»: todo tratamiento de datos a distancia para el que el programa informático ha sido diseñado y desarrollado por el fabricante▌ del producto en cuestión o en nombre de este, y cuya ausencia impediría que el producto con elementos digitales cumpliera alguna de sus funciones;

(3) «producto crítico con elementos digitales»: un producto con elementos digitales que presenta un riesgo de ciberseguridad de conformidad con los criterios establecidos en el artículo 6, apartado 2, y cuya función principal se establece en el anexo III;

(4) «producto altamente crítico con elementos digitales»: un producto con elementos digitales que presenta un riesgo de ciberseguridad de conformidad con los criterios establecidos en el artículo 6, apartado 5;

4 bis. «ciberseguridad»: la ciberseguridad tal como se define en el artículo 2, punto 1, del Reglamento (UE) 2019/881;

(5) «tecnología operativa»: sistemas o dispositivos digitales programables que interactúan con el entorno físico o administran dispositivos que interactúan con el entorno físico;

(6) «programa informático»: parte de un sistema electrónico de información consistente en un código informático;

(7) «equipo informático»: un sistema electrónico de información físico, o partes de este, capaz de tratar, almacenar o transmitir datos digitales;

(8) «componente»: programa o equipo informático destinado a su integración en un sistema electrónico de información;

(9) «sistema electrónico de información»: cualquier sistema, incluidos los aparatos eléctricos o electrónicos, capaz de tratar, almacenar o transmitir datos digitales;

(10) «conexión lógica»: representación virtual de una conexión de datos implementada a través de una interfaz de programa informático;

(11) «conexión física»: cualquier conexión entre sistemas de información o componentes electrónicos ejecutada por medios físicos, incluso a través de interfaces eléctricas o mecánicas, cables u ondas de radio;

(12) «conexión indirecta»: conexión a un dispositivo o red que no tiene lugar directamente, sino como parte de un sistema más amplio que puede conectarse directamente a dicho dispositivo o red;

(13) «privilegio»: un derecho de acceso concedido a usuarios o programas concretos para llevar a cabo operaciones pertinentes en materia de seguridad dentro de un sistema electrónico de información;

(14) «privilegio elevado»: un derecho de acceso concedido a usuarios o programas concretos para llevar a cabo un conjunto ampliado de operaciones pertinentes en materia de seguridad dentro de un sistema electrónico de información, que, si se utiliza indebidamente o se ve comprometido, podría permitir a un agente malintencionado obtener un mayor acceso a los recursos de un sistema u organización;

(15) «nodo final»: cualquier dispositivo conectado a una red que sirve de punto de entrada a dicha red;

(16) «recursos de red o informáticos»: funcionalidad de datos o de equipos o programas informáticos accesible a nivel local o a través de una red o de otro dispositivo conectado;

(17) «operador económico»: el fabricante, el representante autorizado, el importador, el distribuidor o cualquier otra persona física o jurídica sujeta a las obligaciones establecidas en el presente Reglamento;

(18) «fabricante»: toda persona física o jurídica que desarrolla o fabrica productos con elementos digitales o para quien se diseñan, desarrollan o fabrican productos con elementos digitales, y que los comercializa con su nombre o marca comercial, ya sea de manera remunerada, monetizada o gratuita;

(19) «representante autorizado»: toda persona física o jurídica establecida en la Unión que ha recibido un mandato escrito de un fabricante para actuar en su nombre en relación con tareas especificadas;

(20) «importador»: toda persona física o jurídica establecida en la Unión que introduce en el mercado un producto con elementos digitales que lleve el nombre o la marca comercial de una persona física o jurídica establecida fuera de la Unión;

(21) «distribuidor»: toda persona física o jurídica que forme parte de la cadena de suministro, distinta del fabricante o el importador, que comercialice un producto con elementos digitales en el mercado de la Unión sin influir sobre sus propiedades;

21 bis) «microempresas, pequeñas y medianas empresas»: las microempresas, pequeñas y medianas empresas con arreglo a la definición de la Recomendación 2003/361/CE de la Comisión[34];

21 ter) «consumidor»: toda persona física que, en las circunstancias que se recogen en el presente Reglamento, actúe con un propósito ajeno a su actividad comercial, empresa, oficio o profesión.

21 quater) «período de soporte»: período durante el que el fabricante garantiza que las vulnerabilidades del producto con elementos digitales se abordarán de manera efectiva y con arreglo a los requisitos esenciales formulados en el anexo I, sección 2;

(22) «introducción en el mercado»: primera comercialización de un producto con elementos digitales en el mercado de la Unión;

(23) «comercialización»: todo suministro, ya sea remunerado o gratuito, de un producto con elementos digitales para su distribución o utilización en el mercado de la Unión en el curso de una actividad comercial;

(24) «finalidad prevista»: el uso para el que un fabricante concibe un producto con elementos digitales, incluido el contexto y las condiciones de uso concretas, según la información facilitada por el fabricante en las instrucciones de uso, los materiales y las declaraciones de promoción y venta, y la documentación técnica;

(25) «uso razonablemente previsible»: uso que no corresponde necesariamente a la finalidad prevista indicada por el fabricante en las instrucciones de uso, los materiales y las declaraciones de promoción y venta y la documentación técnica, pero que puede derivarse de un comportamiento humano o de intervenciones e interacciones técnicas razonablemente previsibles;

(26) «uso indebido razonablemente previsible»: el uso de un producto con elementos digitales de un modo que no corresponde a su finalidad prevista, pero que puede derivarse de un comportamiento humano o una interacción con otros sistemas razonablemente previsible;

(27) «autoridad notificante»: la autoridad nacional responsable de establecer y llevar a cabo los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad, así como de su seguimiento;

(28) «evaluación de la conformidad»: el proceso por el que se verifica si se cumplen los requisitos esenciales establecidos en el anexo I;

(29) «organismo de evaluación de la conformidad»: un organismo tal como se define en el artículo 2, punto 13, del Reglamento (UE) n.º 765/2008;

(30) «organismo notificado»: un organismo de evaluación de la conformidad designado con arreglo al artículo 33 del presente Reglamento y otras normas de armonización pertinentes de la Unión;

(31) «modificación sustancial»: un cambio en un producto con elementos digitales tras su introducción en el mercado que afecta al cumplimiento por parte del producto de los requisitos esenciales establecidos en la sección 1 del anexo I o que provoca la modificación de la finalidad prevista para la que se ha evaluado el producto con elementos digitales, excluyendo las actualizaciones de seguridad necesarias destinadas a paliar las vulnerabilidades;

(32) «marcado CE»: un marcado con el que un fabricante indica que un producto con elementos digitales y los procesos establecidos por el fabricante son conformes con los requisitos esenciales establecidos en el anexo I y otras normas de la Unión aplicables que armonicen las condiciones para la comercialización de productos (las «normas de armonización de la Unión») y prevean su colocación;

(33) «autoridad de vigilancia del mercado»: una autoridad tal como se define en el artículo 3, punto 4, del Reglamento (UE) 2019/1020;

(34) «norma armonizada»: una norma armonizada tal como se define en el artículo 2, punto 1, letra c), del Reglamento (UE) n.º 1025/2012;

(34 bis) «norma internacional»: la definida en el artículo 2, punto 1, letra a), del Reglamento (UE) n.º 1025/2012;

(35) « ▌ riesgo»: un riesgo tal como se define en el artículo 6, punto 9, de la Directiva (UE) 2022/2555;

(36) «riesgo de ciberseguridad significativo»: un riesgo de ciberseguridad debido al cual, sobre la base de sus características técnicas, se puede considerar que existe una alta probabilidad de que se produzca un incidente capaz de acarrear consecuencias negativas graves, en particular causando pérdidas o perturbaciones materiales o inmateriales considerables;

(37) «nomenclatura de materiales de los programas informáticos» o «NMPI»: un registro formal que contiene los detalles y las relaciones de la cadena de suministro de los componentes incluidos en los elementos de programa informático de un producto con elementos digitales;

(38) «vulnerabilidad»: una vulnerabilidad tal como se define en el artículo 6, punto 15, de la Directiva (UE) 2022/2555;

(39) «vulnerabilidad aprovechada activamente»: una vulnerabilidad respecto de la cual existen pruebas fiables de la ejecución de un código malicioso en un sistema por parte de un agente sin autorización del propietario del sistema;

(39 bis) «incidente»: un incidente tal como se definen en el artículo 6, punto 6, de la Directiva (UE) 2022/2555;

(39 ter) «cuasiincidente»: un cuasiincidente en el sentido del artículo 6, punto 5, de la Directiva (UE) 2022/2555;

39 quater) «ciberamenaza»: una ciberamenaza tal como se define en el artículo 2, punto 8, del Reglamento (UE) 2019/881;(40)  «datos personales»: los datos tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

Artículo 4
Libre circulación

1. Los Estados miembros no impedirán, por los aspectos contemplados en el presente Reglamento, la comercialización de productos con elementos digitales que sean conformes con el presente Reglamento.

2. ▌ Los Estados miembros no impedirán que se presenten y usen prototipos de productos con elementos digitales que no sean conformes con el presente Reglamento a condición de que la disponibilidad de tal producto sea limitada en el tiempo y el ámbito geográfico, que se suministren exclusivamente a efectos de ensayo y, cuando resulte posible, que una indicación visible señale su incumplimiento.

3. Los Estados miembros no impedirán la comercialización gratuita de programas informáticos inacabados que no sean conformes con el presente Reglamento, siempre que dichos programas solo se comercialicen durante un período de tiempo limitado, requerido a efectos de ensayo, y que se indique con claridad, mediante una señal visible, que no son conformes con el presente Reglamento y que no se comercializarán con fines distintos de su ensayo.

3 bis. Los Estados miembros, en su caso con el apoyo de la ENISA, podrán establecer entornos de ensayo controlados para productos innovadores que faciliten su desarrollo. En ese contexto, se prestará apoyo en particular a las microempresas y a las pequeñas y medianas empresas, incluidas las empresas emergentes.

Artículo 5
Requisitos aplicables a los productos con elementos digitales

Solo se procederá a la comercialización de los productos con elementos digitales si:

(1) cumplen los requisitos esenciales establecidos en la sección 1 del anexo I, a condición de que hayan sido instalados de manera adecuada, mantenidos y utilizados para los fines previstos o en condiciones que se puedan prever razonablemente y, en su caso, dotados con las actualizaciones de seguridad y funcionalidad necesarias, y si

(2) los procesos establecidos por el fabricante cumplen los requisitos esenciales establecidos en la sección 2 del anexo I.

Artículo 6
Productos críticos con elementos digitales

1. Los productos con elementos digitales que pertenezcan a una categoría mencionada en el anexo III se considerarán productos críticos con elementos digitales. Los productos que tengan una función principal de una categoría mencionada en el anexo III del presente Reglamento se considerarán incluidos en dicha categoría. Las categorías de productos críticos con elementos digitales se dividirán en las clases I y II, tal como se establece en el anexo III, para reflejar el nivel de riesgo de ciberseguridad asociado a dichos productos.

La integración de un producto de una clase de criticidad superior no modifica el nivel de criticidad del producto en el que se integre.

2. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 50 a fin de modificar el anexo III para incluir una nueva categoría en la lista de categorías de productos críticos con elementos digitales o retirar una categoría de dicha lista. El primero de dichos actos delegados podrá adoptarse una vez transcurridos dos años después de la fecha de entrada en vigor del presente Reglamento. Todo acto delegado ulterior podrá adoptarse, como muy pronto, una vez transcurridos otros dos años. A la hora de evaluar la necesidad de modificar la lista del anexo III, la Comisión tendrá en cuenta el nivel de riesgo de ciberseguridad asociado a la categoría de productos con elementos digitales. Para determinar el nivel de riesgo de ciberseguridad, se tendrán en cuenta uno o varios de los criterios siguientes:

(a) la funcionalidad relacionada con la ciberseguridad del producto con elementos digitales y si el producto con elementos digitales tiene al menos uno de los siguientes atributos:

(i) está diseñado para funcionar con un privilegio elevado o para gestionar privilegios;

ii) tiene acceso directo o privilegiado a redes o recursos informáticos;

iii) está diseñado para controlar el acceso a datos o a tecnología operativa;

iv) desempeña una función esencial para la confianza, en particular funciones de seguridad como el control de las redes, la seguridad de los nodos finales y la protección de las redes;

(b) el uso previsto en entornos sensibles, en particular en entornos industriales o por parte de entidades esenciales contempladas en el artículo 3 de la Directiva (UE) 2022/2555;

(c) el uso previsto relativo a la realización de funciones críticas o sensibles, como el tratamiento de datos personales;

(d) el posible alcance potencial de las repercusiones negativas, en particular en lo que respecta a su intensidad y su capacidad para afectar a una pluralidad de personas;

(e) la medida en que el uso de productos con elementos digitales ya ha causado pérdidas o perturbaciones materiales o inmateriales o ha dado lugar a preocupaciones importantes en relación con la materialización de repercusiones negativas.

3. La Comisión estará facultada para adoptar un acto delegado con arreglo al artículo 50 a fin de completar el presente Reglamento mediante la especificación de las definiciones de las categorías de productos de las clases I y II que figuran en el anexo III. El acto delegado se adoptará a más tardar el... [▌ seis meses después de la entrada en vigor del presente Reglamento].

4. Los productos críticos con elementos digitales estarán sujetos a los procedimientos de evaluación de la conformidad especificados en el artículo 24, apartados 2 y 3.

Cuando se añada una nueva categoría de productos críticos con elementos digitales a la clase I o II que figura en el anexo III mediante un acto delegado en virtud del apartado 2 del presente artículo, estará sujeta a los procedimientos de evaluación de la conformidad pertinentes a que se refiere el artículo 24, apartados 2 y 3 del presente Reglamento, en el plazo de doce meses a partir de la fecha de adopción del acto delegado en cuestión.

5. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 50 a fin de completar el presente Reglamento mediante el establecimiento de categorías de productos altamente críticos con elementos digitales, cuyos fabricantes deberán obtener un certificado europeo de ciberseguridad expedido en el marco de un esquema europeo de certificación de la ciberseguridad con un nivel de garantía «alto» con arreglo al Reglamento (UE) 2019/881 con el fin de demostrar la conformidad con los requisitos esenciales establecidos en el anexo I o parte de ellos. La obligación de obtener un certificado europeo de ciberseguridad surtirá efecto doce meses después de la adopción del acto delegado relacionado. A la hora de determinar dichas categorías de productos altamente críticos con elementos digitales, la Comisión tendrá en cuenta el nivel de riesgo de ciberseguridad asociado a la categoría de productos con elementos digitales, a la luz de uno o varios de los criterios enumerados en el apartado 2 y de la evaluación que determine si dicha categoría de productos:

(a) es utilizada por las entidades esenciales del tipo contemplado en el artículo 3 de la ▌Directiva (UE) 2022/2555, si sirve a estas de referencia o si, en el futuro, podría desempeñar un papel importante para las actividades de estas entidades; o

(b) si resulta pertinente para la resiliencia la cadena de suministro global de productos con elementos digitales frente a las perturbaciones.

5 bis. La Comisión estará facultada para adoptar los actos delegados mencionados en el apartado 5 del presente artículo una vez hayan transcurrido doce meses de la adopción del esquema europeo de certificación de la ciberseguridad en virtud del Reglamento (UE) 2019/881.

Artículo 6 bis
Grupo de expertos sobre ciberresiliencia

1. A más tardar el... [6 meses después de la fecha de entrada en vigor del presente Reglamento], la Comisión establecerá un grupo de expertos sobre ciberresiliencia (el «Grupo de Expertos»). El Grupo de Expertos se nombrarán por un mandato de tres años renovable por la Comisión. La composición del Grupo de Expertos tendrá como objetivo un equilibrio geográfico y entre hombres y mujeres e incluirá a los siguientes miembros:

(a) representantes de cada uno de los organismos siguientes:

(i) la Agencia de la Unión Europea para la Ciberseguridad;

i bis) el Centro Europeo de Competencia en Ciberseguridad;

ii) el Comité Europeo de Protección de Datos;

iii) organismos europeos de normalización.

Cuando resulte necesario, podrá invitarse a representantes de otras agencias de la Unión.

(b) expertos representantes de operadores económicos pertinentes, que garanticen una representación adecuada de las microempresas y las pequeñas y medianas empresas;

(c) expertos representantes de la sociedad civil, incluidas las organizaciones de consumidores y la comunidad del código libre y abierto;

(d) expertos designados a título personal, con conocimientos y experiencia acreditados en los ámbitos de aplicación del presente Reglamento;

(e) expertos que representen al mundo académico, en particular las universidades, los institutos de investigación y otras organizaciones científicas, también personas con experiencia a nivel mundial.

2. El Grupo de Expertos asesorará a la Comisión con respecto a lo siguiente:

(a) la lista de productos críticos con elementos digitales establecida en el anexo III, así como sobre la posible necesidad de actualizarla;

(b) la implantación de esquemas europeos de certificación de la ciberseguridad en virtud del Reglamento (UE) 2019/881 y sobre la posibilidad de hacerlos obligatorios para productos con elementos digitales altamente críticos;

(c) las evaluaciones no vinculantes de productos con elementos digitales a petición de una autoridad de vigilancia del mercado que lleve a cabo una investigación con arreglo al artículo 43;

(d) la aplicación de los conceptos pertinentes del nuevo marco legislativo a los programas informáticos, en particular los programas informáticos libres y de código abierto;

(e) los elementos del Reglamento que se habrán de abordar en las directrices a que se refiere el artículo 17 bis;

(f) la disponibilidad y la calidad de normas europeas e internacionales y la posibilidad de complementarlas o sustituirlas por especificaciones técnicas comunes;

(g) la disponibilidad de profesionales capacitados en el ámbito de la ciberseguridad en toda la Unión, incluido de personal adecuado para efectuar evaluaciones de conformidad de terceros en virtud del presente Reglamento;

(h) la posible necesidad de modificar el presente Reglamento.

El Grupo de Expertos cartografiará asimismo las tendencias a escala de la Unión y de los Estados miembros en relación con las vulnerabilidades existentes y subsanadas.

3. El Grupo de Expertos tendrá en cuenta las opiniones de una amplia gama de partes interesadas y llevará a cabo sus tareas con el nivel más elevado de profesionalismo, independencia, imparcialidad y objetividad.

3 bis. La Comisión consultará con el Grupo de Expertos al preparar los actos delegados y de ejecución basados en el presente Reglamento.

3 ter. El Grupo de Expertos podrá proporcionar a las autoridades de vigilancia del mercado evaluaciones no vinculantes de productos con elementos digitales, con el fin de facilitar las investigaciones con arreglo al artículo 43.

4. El Grupo de Expertos estará presidido por la Comisión y se constituirá de conformidad con las normas horizontales sobre la creación y funcionamiento de los grupos de expertos de la Comisión. En este contexto, la Comisión podrá invitar de forma puntual a expertos en ámbitos específicos.

5. El Grupo de Expertos llevará a cabo sus tareas de conformidad con el principio de transparencia. La Comisión publicará la composición del Grupo de expertos, la declaración de intereses de sus miembros, un resumen de las actas de las reuniones del Grupo de Expertos y otros documentos pertinentes en el sitio web de la Comisión.

Artículo 6 ter
Refuerzo de las competencias en un entorno digital ciberresiliente

A efectos del presente Reglamento y con el fin de responder a la demanda de profesionales capaces de garantizar la ciberseguridad de los productos con elementos digitales, la Comisión y los Estados miembros, en cooperación con la ENISA, garantizarán la ejecución de:

(a) programas de educación y formación en el ámbito de la ciberseguridad y sus itinerarios profesionales asociados, contribuyendo así a procurar que la población activa de la ciberseguridad sea más resiliente e inclusiva, también en lo que atañe al género, y acorde con las necesidades de las empresas interesadas, en particular en los casos en los que tales empresas sean microempresas, pequeñas y medianas empresas, incluidas empresas emergentes, o entidades de la Administración pública;

(b) iniciativas encaminadas a reforzar la colaboración entre el sector privado, los operadores económicos, también mediante la mejora de las capacidades y el reciclaje profesional de los empleados de los fabricantes, los consumidores, los proveedores de educación y formación, y los Estados miembros, ampliando las opciones para que los jóvenes accedan a un puesto de trabajo en este sector;

(c) estrategias encaminadas a fomentar la movilidad de las plantillas, desarrollar las competencias para la ciberseguridad y crear herramientas organizativas y tecnológicas para maximizar el talento existente en el ámbito de la ciberseguridad.

Artículo 7
Seguridad general de los productos

No obstante lo dispuesto en el artículo 2, apartado 1, párrafo tercero, letra b), del Reglamento (UE) 2023/988 cuando los productos con elementos digitales no estén sujetos a requisitos específicos establecidos en otras normas de armonización de la Unión en el sentido del [artículo 3, punto 25, del Reglamento (UE) 2023/988,el capítulo III, sección 1, los capítulos V y VII, y los capítulos IX a XI del Reglamento (UE) 2023/988 serán aplicables a dichos productos en lo que respecta a los riesgos para la seguridad no contemplados en el presente Reglamento.

Artículo 8
Sistemas de IA de alto riesgo

1. Los productos con elementos digitales clasificados como sistemas de IA de alto riesgo de conformidad con el artículo [artículo 6] del Reglamento [Reglamento sobre IA] que entran en el ámbito de aplicación del presente Reglamento y cumplen los requisitos esenciales establecidos en la sección 1 del anexo I del presente Reglamento, siempre que los procesos establecidos por el fabricante cumplan los requisitos esenciales establecidos en la sección 2 del anexo I, se considerarán conformes con los requisitos relativos a la ciberseguridad establecidos en el artículo [artículo 15] del Reglamento [Reglamento sobre IA], sin perjuicio de los demás requisitos relativos a la precisión y la solidez incluidos en el citado artículo, en la medida en que la consecución del nivel de protección exigido por dichos requisitos se demuestre mediante la declaración UE de conformidad expedida en virtud del presente Reglamento.

2. Para los productos y los requisitos de ciberseguridad mencionados en el apartado 1, será aplicable el procedimiento de evaluación de la conformidad pertinente de conformidad con el artículo [artículo 43] del Reglamento [Reglamento sobre IA]. A efectos de dicha evaluación, los organismos pertinentes que dispongan de la facultad de controlar la conformidad de los sistemas de IA de alto riesgo que entren en el ámbito de aplicación del Reglamento [Reglamento sobre IA] también dispondrán de la facultad de controlar la conformidad de los sistemas de IA de alto riesgo incluidos en el ámbito de aplicación del presente Reglamento con los requisitos establecidos en su anexo I, a condición de que se haya evaluado el cumplimiento por parte de dichos organismos notificados de los requisitos dispuestos en el artículo 29 del presente Reglamento en el contexto del procedimiento de notificación contemplado en el Reglamento [Reglamento sobre IA].

3. No obstante lo dispuesto en el apartado 2, los productos críticos con elementos digitales enumerados en el anexo III del presente Reglamento que requieran la aplicación de los procedimientos de evaluación de la conformidad establecidos en el artículo 24, apartado 2, letras a) y b), y el artículo 24, apartado 3, letras a) y b), del presente Reglamento, que también estén clasificados como sistemas de IA de alto riesgo con arreglo al artículo [artículo 6] del Reglamento [Reglamento sobre IA] y a los que se aplique el procedimiento de evaluación de la conformidad basado en el control interno a que se refiere el anexo [anexo VI] del Reglamento [Reglamento sobre IA] estarán sujetos a los procedimientos de evaluación de la conformidad exigidos por el presente Reglamento en lo que respecta a los requisitos esenciales del presente Reglamento.

3 bis. Los fabricantes de productos con elementos digitales clasificados como sistemas de IA de alto riesgo de conformidad con el apartado 1 del presente artículo podrán participar en los espacios controlados de pruebas sobre IA a que se refiere el artículo 53 del Reglamento [Reglamento sobre IA].

Artículo 9
Máquinas y sus partes y accesorios

Las máquinas y sus partes y accesorios que entren en el ámbito de aplicación del Reglamento (UE) 2023/1230, que sean productos con elementos digitales o productos parcialmente completados con elementos digitales en el sentido del presente Reglamento y para los que se haya expedido una declaración UE de conformidad sobre la base del presente Reglamento se presumirán conformes con los requisitos esenciales de salud y seguridad establecidos en el anexo [anexo III, secciones 1.1.9 y 1.2.1] del Reglamento (UE) 2023/1230, en lo que respecta a la protección contra la corrupción y la seguridad y fiabilidad de los sistemas de mando, en la medida en que la declaración UE de conformidad emitida en virtud del presente Reglamento demuestre el cumplimiento del nivel de protección exigido por dichos requisitos.

Artículo 9 bis
Compra pública de productos con elementos digitales

1. Sin perjuicio de las Directivas 2014/24/UE[35] y 2014/25/UE[36] del Parlamento Europeo y del Consejo, los Estados miembros garantizarán, al comprar productos con elementos digitales, un alto nivel de ciberseguridad y un período de soporte apropiado.

2. Los Estados miembros se asegurarán de que los fabricantes subsanen las vulnerabilidades de los productos con elementos digitales comprados públicamente, como ofreciendo sin dilación actualizaciones de seguridad.

CAPÍTULO II

OBLIGACIONES DE LOS OPERADORES ECONÓMICOS

Artículo 10
Obligaciones de los fabricantes

1. Cuando se introduzca en el mercado un producto con elementos digitales, los fabricantes garantizarán que ha sido diseñado, desarrollado y producido de conformidad con los requisitos esenciales establecidos en la sección 1 del anexo I.

2. A efectos del cumplimiento de la obligación establecida en el apartado 1, los fabricantes llevarán a cabo una evaluación de los riesgos de ciberseguridad asociados a un producto con elementos digitales y tendrán en cuenta el resultado de dicha evaluación durante las fases de planificación, diseño, desarrollo, producción, entrega y mantenimiento del producto con elementos digitales, con el objetivo de minimizar los riesgos de ciberseguridad, prevenir incidentes de seguridad y reducir al mínimo las repercusiones de dichos incidentes, incluidas las relacionadas con la salud y la seguridad de los usuarios.

2 bis. Sobre la base de una evaluación de riesgos de ciberseguridad, los fabricantes determinarán el modo en que los requisitos esenciales formulados en la sección 1 del anexo I son aplicables a su producto con elementos digitales. Incluirán la evaluación de riesgo en la documentación técnica de conformidad con lo dispuesto en el artículo 23, apartado 3.  Al introducir en el mercado un producto con elementos digitales, el fabricante incluirá en la documentación técnica una evaluación de riesgos de ciberseguridad, tal como se establece en el artículo 23 y en el anexo V. En el caso de los productos con elementos digitales a que se refieren el artículo 8 y el artículo 24, apartado 4, que también estén sujetos a otros actos de la Unión, la evaluación de los riesgos de ciberseguridad podrá formar parte de la evaluación de riesgos exigida por los actos de la Unión que correspondan. Cuando determinados requisitos esenciales no sean aplicables al producto con elementos digitales comercializado, el fabricante incluirá una justificación clara en dicha documentación.

4. A efectos del cumplimiento de la obligación establecida en el apartado 1, los fabricantes ejercerán la diligencia debida al integrar componentes procedentes de terceros en productos con elementos digitales. Corresponde al fabricante velar por que dichos componentes no comprometan la seguridad del producto con elementos digitales, también al integrar componentes de programas informáticos libres y de código abierto que no se han comercializado en el curso de una actividad comercial.

Los fabricantes, al identificar una vulnerabilidad en un componente, también en un componente libre y de código abierto, que se encuentre integrado en el producto con elementos digitales, abordarán y subsanarán la vulnerabilidad de conformidad con los requisitos de gestión de las vulnerabilidades expuestos en el anexo I, sección 2, y compartirán las medidas correctivas adoptadas con la persona o la entidad que mantenga el componente.

4 bis. El fabricante de los componentes proporcionará al fabricante del producto final con elementos digitales la información y la documentación necesarias para cumplir los requisitos del presente Reglamento, cuando le suministre tales componentes. Dicha información se ofrecerá de manera gratuita.

5. El fabricante documentará sistemáticamente, de manera proporcionada a la naturaleza y a los riesgos de ciberseguridad, los aspectos pertinentes relativos a la ciberseguridad del producto con elementos digitales, incluidas las vulnerabilidades de las que tengan conocimiento y cualquier información pertinente facilitada por terceros, y, cuando corresponda, actualizará la evaluación de riesgos del producto.

6. Desde la introducción de un producto con elementos digitales en el mercado, los fabricantes determinarán el período de soporte durante el que las vulnerabilidades de dicho producto se gestionarán de manera eficaz y de conformidad con los requisitos esenciales establecidos en la sección 2 del anexo I. A este respecto, el fabricante se asegurará de que el período de soporte sea proporcionado respecto a la vida útil prevista del producto, y que esté en consonancia con la naturaleza del producto y las expectativas de los usuarios, la disponibilidad del entorno operativo y, en su caso, el período de soporte de los principales componentes integrados en el producto con elementos digitales. A tal efecto, los fabricantes, a petición de las autoridades de vigilancia del mercado, facilitarán información sobre la vida útil prevista del producto que consideran con el fin de determinar la duración del período de soporte para el producto comercializado. Las autoridades de vigilancia del mercado efectuarán un seguimiento de los productos con elementos digitales y velarán activamente por que los fabricantes hayan aplicado estos criterios de una manera adecuada, también en lo que ataña a una evaluación de la información recibida de los fabricantes sobre la vida útil esperada del producto, al determinar el período de soporte.

En su caso, el período de soporte se indicará claramente en el producto o su embalaje, o se incluirá en los acuerdos contractuales. En cualquier caso, a los usuarios finales también se les informará antes de la compra de la duración del período de soporte.

Los fabricantes contarán con políticas y procedimientos adecuados, incluidas las políticas de divulgación coordinada de vulnerabilidades a que se refiere la sección 2, punto 5, del anexo I, para tratar y subsanar las posibles vulnerabilidades del producto con elementos digitales comunicadas por fuentes internas o externas.

Si procede, en el caso de productos con elementos digitales destinados al consumidor, dichos procedimientos incluirán actualizaciones de seguridad automáticas por defecto. Los usuarios deberán seguir teniendo la posibilidad de desactivar estas actualizaciones de seguridad automáticas.

Los fabricantes informarán activamente a los usuarios cuando su producto con elementos digitales haya alcanzado el final de su período de soporte.

6 bis. Cuando el período de soporte sea inferior a cinco años y la gestión de las vulnerabilidades haya concluido, los fabricantes podrán facilitar el acceso al código fuente del producto con elementos digitales a otras empresas que se comprometan a prorrogar la provisión de servicios de gestión de vulnerabilidades, en particular, en cuanto a las actualizaciones de seguridad. El acceso a dichos códigos fuente se ofrecerá solo en el ámbito de una relación contractual. Tales acuerdos protegerán la titularidad del producto con elementos digitales e impedirán la difusión del código fuente al público general, excepto cuando dicho código ya se haya facilitado con arreglo a una licencia libre y de código abierto.

7. Antes de introducir en el mercado un producto con elementos digitales, los fabricantes elaborarán la documentación técnica especificada en el artículo 23.

También aplicarán o mandarán aplicar los procedimientos de evaluación de la conformidad de su elección a que se hace referencia en el artículo 24.

Cuando mediante dicho procedimiento de evaluación de la conformidad se haya demostrado la conformidad del producto con elementos digitales con los requisitos esenciales establecidos en la sección 1 del anexo I y la conformidad de los procesos establecidos por el fabricante con los requisitos esenciales establecidos en la sección 2 del anexo I, los fabricantes elaborarán la declaración UE de conformidad con arreglo al artículo 20 y colocarán el marcado CE con arreglo al artículo 22.

8. Los fabricantes mantendrán la documentación técnica y la declaración UE de conformidad▌ a disposición de las autoridades de vigilancia del mercado durante al menos diez años o el período de soporte, si este periodo fuese más prolongado, a partir de la introducción en el mercado del producto con elementos digitales.

Las autoridades de vigilancia del mercado garantizarán la confidencialidad y la protección apropiada de la información en la documentación técnica aportada por los fabricantes con arreglo al artículo 52.

9. Los fabricantes se asegurarán de que existan procedimientos para que los productos con elementos digitales que formen parte de una producción en serie mantengan su conformidad. El fabricante tomará debidamente en consideración los cambios en el proceso de desarrollo y producción o en el diseño o las características del producto con elementos digitales, así como los cambios en las normas armonizadas horizontales o específicas de un determinado sector, en los esquemas europeos de certificación de la ciberseguridad o en las especificaciones técnicas a que se hace referencia en el artículo 19 en virtud de las cuales se declara o por aplicación de las cuales se verifica la conformidad del producto.

10. Los fabricantes se asegurarán de que los productos con elementos digitales vayan acompañados de la información y las instrucciones especificadas en el anexo II, en formato electrónico o físico. Dichas instrucciones e información figurarán en una lengua fácilmente comprensible para los usuarios. Serán claras, comprensibles, inteligibles y legibles. Permitirán la instalación, el funcionamiento y el uso seguros de los productos con elementos digitales.

Si dicha información e instrucciones se proporcionan en formato electrónico, los fabricantes:

(a) las presentarán en un formato sencillo que posibilite su consulta en línea por parte del usuario, así como su descarga, su almacenamiento en un dispositivo electrónico y su impresión;

(b) se asegurarán de que sean accesibles en línea al menos durante el período de soporte del producto con elementos digitales.

11. Los fabricantes entregarán la declaración UE de conformidad junto con el producto con elementos digitales o incluirán en las instrucciones y la información especificadas en el anexo II la dirección de internet donde se pueda acceder a la declaración UE de conformidad.

12. Desde la introducción en el mercado de un producto con elementos digitales y al menos durante el período de soporte▌, los fabricantes que sepan o tengan motivos para creer que el producto con elementos digitales o los procesos establecidos por el fabricante no son conformes con los requisitos esenciales establecidos en el anexo I adoptarán inmediatamente las medidas correctoras necesarias para que el producto con elementos digitales o los procesos del fabricante sean conformes, para retirarlo del mercado o para recuperarlo, según proceda.

13. Previa solicitud motivada de una autoridad de vigilancia del mercado, los fabricantes facilitarán a esa autoridad, bien en papel o bien en formato electrónico y redactadas en una lengua fácilmente comprensible para dicha autoridad, toda la información y documentación necesarias para demostrar la conformidad del producto con elementos digitales y de los procesos establecidos por el fabricante con los requisitos esenciales establecidos en el anexo I. Cooperarán con dicha autoridad, a petición de esta, en cualquier medida que se adopte para eliminar los riesgos de ciberseguridad que presente el producto con elementos digitales que hayan introducido en el mercado.

14. El fabricante que cese sus actividades y, en consecuencia, no pueda cumplir las obligaciones establecidas en el presente Reglamento informará de esta situación, antes de que dicho cese surta efecto, a las autoridades de vigilancia del mercado pertinentes, así como, por cualquier medio disponible y en la medida de lo posible, a los usuarios de los productos con elementos digitales introducidos en el mercado que se vean afectados.

15. La Comisión, después de consultar al Grupo de Expertos y teniendo en cuenta las normas internacionales, estará facultada para adoptar actos delegados de conformidad con el artículo 50 a fin de completar el presente Reglamento mediante la especificación del formato y los elementos de la nomenclatura de materiales de los programas informáticos establecida en la sección 2, punto 1, del anexo I.  ▌

Artículo 11
Obligaciones de información de los fabricantes

1. El fabricante notificará▌ a la ENISA cualquier vulnerabilidad aprovechada activamente presente en el producto con elementos digitales de conformidad con el apartado 1 bis del presente artículo. ▌La ENISA transmitirá la notificación tras su recepción, sin demora indebida salvo por motivos justificados en relación con los riesgos de ciberseguridad, al CSIRT designado a efectos de la divulgación coordinada de vulnerabilidades con arreglo al artículo 12 de la Directiva (UE) 2022/2555 de losEstados miembros afectados e informará a la autoridad de vigilancia del mercado sobre la vulnerabilidad notificada. Si para una vulnerabilidad notificada no hay disponibles medidas correctoras o de mitigación disponibles, la ENISA velará por quela información sobre tal vulnerabilidad se comunique en línea con arreglo a unos protocolos de seguridad estrictos y según la necesidad de conocerla.

1 bis. Las notificaciones a que se refiere el apartado 1 estarán sujetas al siguiente procedimiento:

(a) una alerta temprana, sin demora indebida y en cualquier caso en el plazo de veinticuatro horas a partir de que el fabricante entre en conocimiento de la existencia de una vulnerabilidad aprovechada activamente, en la que se detalle si hay disponible cualquier medida correctora conocida o de mitigación de riesgos recomendada;

(b) una notificación de vulnerabilidad, sin demora indebida y en cualquier caso en el plazo de setenta y dos horas a partir de que el fabricante entre en conocimiento de la vulnerabilidad aprovechada activamente, en la que, en su caso, se actualice la información a que se refiere la letra a), se incluya cualquier medida correctora o de mitigación adoptada y se indique una evaluación del alcance de la vulnerabilidad, incluidos su gravedad e impacto;

(c) un informe final, en el plazo de un mes después de presentar la notificación de la vulnerabilidad contemplada en la letra b), o cuando una medida correctora o de mitigación se encuentre disponible, en el que se recojan al menos los siguientes elementos:

(i) una descripción de la vulnerabilidad, incluidos su gravedad e impacto;

ii) cuando esté disponible, información relativa a cualquier agente que haya aprovechado o esté aprovechando la vulnerabilidad;

iii) detalles sobre la actualización de seguridad u otras medidas correctoras disponibles para subsanar la vulnerabilidad.

1 ter. Una vez que haya disponible una actualización de seguridad o se instaure otra forma de medidas correctoras o de mitigación, la ENISA añadirá la vulnerabilidad notificada en virtud del apartado 1 del presente artículo a la base de datos europea de vulnerabilidades a que se refiere el artículo 12 de la Directiva (UE) 2022/2555.

2. El fabricante ▌ notificará a la ENISA cualquier incidente significativo que afecte al producto con elementos digitales de acuerdo con el apartado 2 ter del presente artículo. La ENISA transmitirá la notificación, sin demora indebida, salvo por motivos justificados en relación con los riesgos de ciberseguridad, al punto único de contacto designado con arreglo al artículo  de la Directiva (UE) 2022/2555 de los Estados miembros afectados e informará a la autoridad de vigilancia del mercado sobre los incidentes notificados. El mero acto de notificar no elevará la responsabilidad de la entidad notificante.

2 bis. Un incidente se considerará significativo según lo indicado en el apartado 2 si:

(a) ha causado o puede causar una interrupción operativa grave de la producción o los servicios del fabricante afectado, lo que incidiría en la seguridad de un producto; o

(b) ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

2 ter. Las notificaciones a que se refiere el apartado 2 estarán sujetas al siguiente procedimiento:

(a) sin demora indebida y, en cualquier caso, en el plazo de veinticuatro horas desde que el fabricante haya tenido constancia del incidente significativo, una alerta temprana en la que se indicará si cabe sospechar que el incidente significativo responde a una acción ilícita o malintencionada o puede tener repercusiones transfronterizas;

(b) sin demora indebida y, en cualquier caso, en el plazo de setenta y dos horas desde que el fabricante haya tenido constancia del incidente significativo, una notificación del incidente en la que se actualizará, cuando proceda, la información contemplada en la letra a) y se exponga una evaluación inicial del incidente significativo, incluidos su gravedad e impacto, así como los indicadores de compromiso, cuando se disponga de ellos; 

(c) un informe final, en el plazo de un mes después de presentar la notificación del incidente contemplada en la letra b), en el que se recojan al menos los siguientes elementos:

(i) una descripción detallada del incidente, incluidos su gravedad e impacto;

ii) el tipo de amenaza o causa principal que probablemente haya desencadenado el incidente;

iii) las medidas de mitigación aplicadas y en curso;

iv) cuando proceda, las repercusiones transfronterizas del incidente;

En el caso de que el incidente siga en curso en el momento de la presentación del informe final contemplado en la letra d) del presente párrafo, los Estados miembros velarán por que el fabricante afectado presente un informe de situación en ese momento y un informe final en el plazo de un mes a partir de que haya gestionado el incidente.

2 quater. Los fabricantes que hayan notificado incidentes significativos de conformidad con el presente Reglamento y que estén identificado asimismo como entidades esenciales o importantes con arreglo a la Directiva (UE) 2022/2555, se considerarán conformes con los requisitos formulados en el artículo 23 de la Directiva (UE) 2022/2555. La ENISA transmitirá las notificaciones recibidas con arreglo al presente Reglamento al CSIRT responsable, de conformidad con la Directiva (UE) 2022/2555. Una entidad solo puede ser multada una vez por incumplimiento de requisitos solapados.

2 quinquies. En caso necesario, la ENISA o el CSIRT pertinente podrán pedir a los fabricantes que presenten un informe intermedio con las actualizaciones de estado que procedan sobre la vulnerabilidad aprovechada activamente o el incidente significativo.

2 sexies. A  los fabricantes que cumplan los requisitos para ser considerados microempresas o pequeñas o medianas empresas se les eximirá de cumplir lo dispuesto en el apartado 1 bis, letra a) y en el apartado 2 ter, letra a).

3. La ENISA presentará a la red de organizaciones de enlace para la gestión de cibercrisis de la UE (CyCLONe) creada por el artículo 16 de la Directiva (UE) 2022/2555 la información notificada con arreglo a los apartados 1 y 2 si dicha información es pertinente para la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala a nivel operativo.

4. El fabricante informará, sin demora indebida y una vez tenga conocimiento de ello, a los usuarios afectados del producto con elementos digitales, y cuando proceda, a todos los usuarios, sobre el incidente significativo y, cuando así se requiera, sobre la mitigación del riesgo y cualquier medida correctora que el usuario pueda adoptar para mitigar las repercusiones del incidente.

4 bis. La ENISA garantizará que las notificaciones con arreglo a los apartados 1 y 2 se envíen a través de canales de comunicación y se almacenen en servidores que garanticen los niveles más elevados posibles de ciberseguridad y protección de agentes maliciosos.

4 ter. Cuando el conocimiento del público sea necesario para evitar un incidente significativo o hacer frente a un incidente significativo en curso, o cuando la divulgación del incidente significativo redunde en el interés público, la ENISA y, si procede, los CSIRT o las autoridades competentes de los Estados miembros pertinentes, podrán informar al público, después de consultarlo con el fabricante afectado, del incidente significativo o exigir al fabricante que lo haga.

5. La Comisión adoptará actos delegados conforme al artículo 50 a fin de completar el presente Reglamento mediante la especificación ulterior del▌formato y el procedimiento de las notificaciones presentadas con arreglo a los apartados 1 y 2. Dichos actos delegados se adoptarán a más tardar el... [doce meses a partir de la fecha deentrada en vigor del Reglamento].

6. Sobre la base de las notificaciones recibidas con arreglo a los apartados 1 y 2, la ENISA elaborará un informe técnico bienal sobre las tendencias emergentes en relación con los riesgos de ciberseguridad en los productos con elementos digitales y lo presentará al Grupo de Cooperación especificado en el artículo 14 de la Directiva (UE) 2022/2555. El primero de estos informes se presentará en un plazo de veinticuatro meses a partir de la fecha en que empiecen a ser aplicables las obligaciones establecidas en los apartados 1 y 2. La ENISA incluirá información pertinente de sus informes técnicos en su informe sobre la situación de ciberseguridad en la Unión con arreglo al artículo 18 de la Directiva (UE) 2022/2555.

6 bis. La ENISA establecerá un mecanismo de notificación digital seguro, después de consultar con el Grupo de Expertos, con el fin de simplificar las obligaciones de notificación de los fabricantes. Este mecanismo servirá como punto de entrada único para las obligaciones de notificación formuladas en el presente Reglamento y, cuando sea posible, otra legislación de la Unión.

▌Artículo 11 bis
Notificación voluntaria

1. Además de las obligaciones de notificación expuestas en el artículo 11, los siguientes agentes podrán enviar notificaciones a la ENISA de manera voluntaria:

(a) fabricantes, con respecto a incidentes, ciberamenazas y cuasiincidentes;

(b) entidades distintas de las mencionadas en la letra a), independientemente de si están o no comprendidas en el ámbito de aplicación del presente Reglamento, en el caso de incidentes, ciberamenazas o cuasiincidentes, significativos o no;

(c) cualquier agente con respecto a vulnerabilidades que se puedan incluir en la base de datos europea de vulnerabilidades a que se refiere el artículo 12 del Reglamento 2022/2555.

2. La ENISA tramitará las notificaciones contempladas en el apartado 1, letra a) del presente artículo de conformidad con el procedimiento establecido en el artículo 11. La ENISA podrá dar prioridad a la tramitación de notificaciones obligatorias sobre la de notificaciones voluntarias.

3. Con el fin de simplificar las notificaciones voluntarias, será posible llevarlas a cabo a través del mecanismo de notificación digital seguro a que se refiere el artículo 11, apartado 6 bis.

4. En su caso, la ENISA garantizará la confidencialidad y la protección adecuada de la información proporcionada por la entidad notificante. Sin perjuicio de la prevención, investigación, detección y enjuiciamiento de infracciones penales, la notificación voluntaria no dará lugar a la imposición a la entidad notificante de obligaciones adicionales a las que no estaría sujeta de no haber presentado dicha notificación.

Artículo 11 ter
Punto único de contacto para usuarios

1. Con el fin de facilitar la notificación sobre la seguridad de los productos, los fabricantes designarán un punto único de contacto para que los usuarios puedan comunicarse directa y rápidamente con ellos, cuando proceda, por medios electrónicos y de manera sencilla, también permitiendo a los usuarios del producto elegir los medios de comunicación previstos en el punto 1 del anexo II, que no se basarán únicamente en herramientas automatizadas.

2. Además de las obligaciones previstas en la Directiva 2000/31/CE del Parlamento Europeo y del Consejo[37], los fabricantes harán pública la información necesaria para que los usuarios finales puedan determinar fácilmente cuáles son sus puntos únicos de contacto y comunicarse con ellos. Dicha información será fácilmente accesible y se mantendrá actualizada.

Artículo 12
Representantes autorizados

1. El fabricante podrá designar a un representante autorizado mediante mandato escrito.

2. Las obligaciones establecidas en el artículo 10, apartados 1 a 7, primer guion, y 9, no formarán parte del mandato del representante autorizado.

3. El representante autorizado efectuará las tareas especificadas en el mandato recibido del fabricante. Facilitará a las autoridades de vigilancia del mercado, siempre que estas lo soliciten, una copia del mandato. El mandato permitirá al representante autorizado realizar como mínimo las tareas siguientes:

(a) mantener la declaración UE de conformidad a que se refiere el artículo 20 y la documentación técnica a que se refiere el artículo 23 a disposición de las autoridades de vigilancia del mercado durante diez años a partir de la introducción en el mercado del producto con elementos digitales;

a bis)  cuando el representante autorizado tenga motivos para creer que el producto con elementos digitales en cuestión presenta un riesgo de ciberseguridad, informar de ello al fabricante;

(b) en respuesta a una solicitud motivada de una autoridad de vigilancia del mercado, facilitar a dicha autoridad toda la información y documentación necesarias para demostrar la conformidad del producto con elementos digitales;

(c) cooperar con las autoridades de vigilancia del mercado, a petición de estas, en cualquier acción destinada a eliminar de manera efectiva los riesgos que presente un producto con elementos digitales objeto del mandato del representante autorizado.

Artículo 13
Obligaciones de los importadores

1. Los importadores solo introducirán en el mercado productos con elementos digitales que cumplan los requisitos esenciales establecidos en la sección 1 del anexo I, y siempre que los procesos establecidos por el fabricante cumplan los requisitos esenciales establecidos en la sección 2 del anexo I.

2. Antes de introducir en el mercado un producto con elementos digitales, los importadores se asegurarán de que:

(a) el fabricante ha llevado a cabo los procedimientos de evaluación de la conformidad adecuados a los que hace referencia el artículo 24;

(b) el fabricante ha redactado la documentación técnica;

(c) el producto con elementos digitales lleva el marcado CE contemplado en el artículo 22, la declaración de conformidad se encuentra disponible y el producto va acompañado de la información y las instrucciones de uso especificadas en el anexo II;

c bis) todos los documentos que demuestran el cumplimiento de los requisitos que se establecen en el presente artículo se han recibido del fabricante.

3. Si un importador considera o tiene motivos para creer que un producto con elementos digitales o los procesos establecidos por el fabricante no son conformes con los requisitos esenciales establecidos en el anexo I, no lo introducirá en el mercado hasta que el producto o los procesos establecidos por el fabricante no se hayan llevado a la conformidad con los requisitos esenciales establecidos en el anexo I. Además, cuando el producto con elementos digitales presente un riesgo de ciberseguridad significativo, el importador informará de ello al fabricante y a las autoridades de vigilancia del mercado.

Sobre la base de las recomendaciones específicas recibidas por las autoridades de vigilancia del mercado o por la Comisión de conformidad con los artículos 43 y 45, un importador aplicará tales recomendaciones, incluida la retirada o la recuperación del producto. Además, cuando un importador considere, o tenga motivos para creer, que un producto con elementos digitales puede entrañar un riesgo de ciberseguridad a la luz de factores de riesgo no técnicos, lo retirará del mercado o lo recuperará. Los importadores informarán a tal efecto a las autoridades de vigilancia del mercado y a la Comisión.

4. Los importadores indicarán su nombre, nombre comercial registrado o marca registrada, su dirección postal y su dirección de correo electrónico, y cuando dispongan del mismo, su sitio web, de contacto en el producto con elementos digitales o, ▌, en su embalaje o en un documento que acompañe al producto con elementos digitales. Los datos de contacto figurarán en una lengua fácilmente comprensible para los usuarios finales y las autoridades de vigilancia del mercado.

5. Los importadores garantizarán que el producto con elementos digitales vaya acompañado de las instrucciones y la información establecidas en el anexo II, en una lengua fácilmente comprensible para los usuarios.

6. Los importadores que sepan o tengan motivos para creer que un producto con elementos digitales que han introducido en el mercado o los procesos establecidos por su fabricante no son conformes con los requisitos esenciales establecidos en el anexo I exigirán inmediatamente que el fabricante adoptelas medidas correctoras necesarias para que dicho producto con elementos digitales o los procesos establecidos por su fabricante sean conformes con los requisitos esenciales establecidos en el anexo I, o bien para retirarlo del mercado o recuperarlo, cuando proceda.

6 bis. Al tomar conciencia de una vulnerabilidad en el producto con elementos digitales, los importadores informarán al fabricante sobre dicha vulnerabilidad sin demora indebida. Además, cuando el producto con elementos digitales presente un riesgo de ciberseguridad significativo, los importadores informarán inmediatamente de ello a las autoridades de vigilancia del mercado de los Estados miembros en los que lo comercializaron y proporcionarán detalles, en particular, sobre la no conformidad y cualquier medida correctora adoptada.

7. Durante un período de diez años a partir de la introducción del producto con elementos digitales en el mercado, los importadores mantendrán una copia de la declaración UE de conformidad a disposición de las autoridades de vigilancia del mercado y se asegurarán de que, previa petición, dichas autoridades puedan disponer de la documentación técnica.

8. Previa solicitud motivada de una autoridad de vigilancia del mercado, los importadores facilitarán a esta, bien en papel o bien en formato electrónico y redactadas en una lengua fácilmente comprensible para dicha autoridad, toda la información y documentación necesarias para demostrar la conformidad del producto con elementos digitales con los requisitos esenciales establecidos en la sección 1 del anexo I, así como la conformidad de los procesos establecidos por el fabricante con los requisitos esenciales establecidos en el sección 2 del anexo I. Cooperarán con dicha autoridad, a petición de esta, en cualquier medida adoptada para eliminar los riesgos de ciberseguridad que presente el producto con elementos digitales que hayan introducido en el mercado.

9. Cuando el importador de un producto con elementos digitales tenga conocimiento de que el fabricante haya cesado sus actividades y, en consecuencia, no pueda cumplir las obligaciones establecidas en el presente Reglamento, el importador informará de esa situación a las autoridades de vigilancia del mercado pertinentes, así como, por cualquier medio disponible y en la medida de lo posible, a los usuarios de los productos con elementos digitales introducidos en el mercado que se vean afectados.

Artículo 14
Obligaciones de los distribuidores

1. Al comercializar un producto con elementos digitales, los distribuidores actuarán con la diligencia debida en relación con los requisitos del presente Reglamento.

2. Antes de comercializar un producto con elementos digitales, los distribuidores comprobarán que:

(a) el producto con elementos digitales lleva el marcado CE;

(b) el fabricante y el importador han cumplido las obligaciones establecidas, respectivamente, en el artículo 10, apartados 10 y 11, y en el artículo 13, apartado 4, y han transmitido todos los documentos pertinentes al distribuidor;

3. Si un distribuidor considera o tiene motivos para creer, con arreglo a la información que obre en su poder, que un producto con elementos digitales o los procesos establecidos por el fabricante no son conformes con los requisitos esenciales establecidos en el anexo I, el distribuidor no comercializará el producto con elementos digitales hasta que el producto o los procesos establecidos por el fabricante no se hayan llevado a conformidad. Además, cuando el producto con elementos digitales presente un riesgo de ciberseguridad significativo, el distribuidor informará de ello al fabricante y a las autoridades de vigilancia del mercado.

4. Los distribuidores que sepan o tengan motivos para creer, con arreglo a la información que obre en su poder, que un producto con elementos digitales que han comercializado o los procesos establecidos por su fabricante no son conformes con los requisitos esenciales establecidos en el anexo I pedirán al fabricante que adopte las medidas correctoras necesarias para que dicho producto con elementos digitales o los procesos establecidos por su fabricante sean conformes con dichos requisitos, o bien para retirarlo del mercado o recuperarlo, cuando proceda.

4 bis. Al tomar conciencia de una vulnerabilidad en el producto con elementos digitales, los distribuidores informarán al fabricante sobre dicha vulnerabilidad sin demora indebida. Además, cuando el producto con elementos digitales presente un riesgo de ciberseguridad significativo, los distribuidores informarán inmediatamente de ello a las autoridades de vigilancia del mercado de los Estados miembros en los que lo hayan comercializado y proporcionarán detalles, en particular, sobre la no conformidad y cualquier medida correctora adoptada.

5. Previa solicitud motivada de una autoridad de vigilancia del mercado, los distribuidores facilitarán a esta, bien en papel o bien en formato electrónico y redactadas en una lengua fácilmente comprensible para dicha autoridad, toda la información y documentación necesarias para demostrar la conformidad del producto con elementos digitales y de los procesos establecidos por el fabricante con los requisitos esenciales establecidos en el anexo I. Cooperarán con dicha autoridad, a petición de esta, en cualquier medida adoptada para eliminar los riesgos de ciberseguridad que presente el producto con elementos digitales que han comercializado.

6. Con arreglo a la información que obre en su poder, cuando el distribuidor de un producto con elementos digitales tenga conocimiento de que el fabricante haya cesado sus actividades y, en consecuencia, no pueda cumplir las obligaciones establecidas en el presente Reglamento, el distribuidor informará de esa situación a las autoridades de vigilancia del mercado pertinentes, así como, por cualquier medio disponible y en la medida de lo posible, a los usuarios de los productos con elementos digitales introducidos en el mercado que se vean afectados.

Artículo 15
Casos en que las obligaciones de los fabricantes se aplican a los importadores y los distribuidores

A los efectos del presente Reglamento, se considerará fabricante a un importador o distribuidor, que, por consiguiente, estará sujeto a las obligaciones del fabricante establecidas en el artículo 10 y en el artículo 11, apartados 1, 2, 4 y 7, cuando dicho importador o distribuidor introduzca en el mercado un producto con elementos digitales con su nombre o marca o lleve a cabo una modificación sustancial de un producto con elementos digitales que ya se haya introducido en el mercado.

Artículo 16
Otros casos en que son aplicables las obligaciones de los fabricantes

A los efectos del presente Reglamento, se considerará fabricante a una persona física o jurídica, distinta del fabricante, el importador o el distribuidor, que lleve a cabo una modificación sustancial del producto con elementos digitales y lo comercialice.

Esta persona estará sujeta a las obligaciones del fabricante establecidas en el artículo 10 y en el artículo 11, apartados 1, 2, 4 y 7, con respecto a la parte del producto afectada por la modificación sustancial o, si la modificación sustancial afecta a la ciberseguridad del producto con elementos digitales en su conjunto, con respecto a la totalidad del producto.

Artículo 17
Identificación de los operadores económicos

1. Los operadores económicos facilitarán▌, previa solicitud, la siguiente información a las autoridades de vigilancia del mercado:

(a) el nombre y la dirección de cualquier operador económico que les haya suministrado un producto con elementos digitales;

(b) el nombre y la dirección de cualquier operador económico al que hayan suministrado un producto con elementos digitales.

2. Los operadores económicos deberán poder aportar la información a que se refiere el apartado 1 durante diez años después de que se les haya suministrado el producto con elementos digitales y durante diez años después de que ellos hayan suministrado el producto con elementos digitales.

Artículo 17 bis
Directrices

1. A fin de generar claridad y seguridad respecto a las prácticas de los operadores económicos, y coherencia entre las mismas, la Comisión preparará y emitirá directrices dirigida a estos operadores, en las que se les explicará cómo aplicar el presente Reglamento, haciendo especial hincapié en la manera de facilitar el cumplimiento de las microempresas y pequeñas y medianas empresas.

2. Las directrices se publicarán, a más tardar, el... [doce meses a partir de la fecha de entrada en vigor del presente Reglamento] y se actualizarán cuando sea necesario, en particular a la luz de posibles modificaciones en la lista de productos críticos expuesta en el anexo III. Incluirán, por lo menos, los siguientes elementos:

(a) una explicación detallada del ámbito de aplicación del presente Reglamento, haciendo especial hincapié en las soluciones de tratamiento de datos a distancia y los programas informáticos libres y de código abierto;

(b) los criterios detallados utilizados para determinar cómo se clasifican los productos críticos con elementos digitales en las clases I o II consignadas en el anexo III;

(c) la interacción entre el presente Reglamento y otra legislación de la Unión, especialmente en relación con las presunciones y las evaluaciones de conformidad;

(d) orientaciones dirigidas a los fabricantes sobre la manera de efectuar la evaluación de riesgos de ciberseguridad a que se refiere el artículo 10, apartado 2, y sobre la aplicabilidad de los requisitos esenciales, incluidas, cuando se disponga de ellas, las buenas prácticas;

(e) orientaciones dirigidas a los fabricantes sobre la manera de determinar con propiedad el período de soporte de las diferentes categorías de productos de conformidad con el artículo 10, apartado 6;

(f) una explicación de cómo gestionar los requisitos de notificación en virtud del presente Reglamento u otra legislación de la Unión;

(g) una lista de los actos delegados y de ejecución publicados por la Comisión con arreglo al presente Reglamento;

(h) orientaciones dirigidas a los Estados miembros sobre el no enjuiciamiento de los investigadores de la seguridad de la información;

(i) orientaciones respecto a lo que constituye modificaciones sustanciales.

3. A la hora de preparar las directrices en virtud del presente artículo, la Comisión consultará al Grupo de Expertos.

CAPÍTULO III

Conformidad del producto con elementos digitales

Artículo 18
Presunción de conformidad

1. Se presumirá que los productos con elementos digitales y los procesos establecidos por el fabricante que sean conformes con normas armonizadas o partes de estas, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea, son conformes con los requisitos esenciales de salud y seguridad establecidos en el anexo I que estén regulados por dichas normas o partes de ellas.

La Comisión, conforme al artículo 10, apartado 1, del Reglamento (UE) 1025/2012, solicitará a uno o varios organismos europeos de normalización que elaboren normas armonizadas para los requisitos esenciales que se establecen en el anexo I al presente Reglamento. Al preparar la solicitud de normalización para el presente Reglamento, la Comisión procurará tener en cuenta las normas internacionales vigentes o inminentes de ciberseguridad, con el fin de simplificar el desarrollo de normas armonizadas.

2. Se presumirá que los productos con elementos digitales y los procesos establecidos por el fabricante que sean conformes con las especificaciones comunes a que hace referencia el artículo 19 son conformes con los requisitos esenciales establecidos en el anexo I, en la medida en que dichas especificaciones comunes prevean estos requisitos.

3. Se presumirá que los productos con elementos digitales y los procesos establecidos por el fabricante para los que se haya expedido una declaración UE de conformidad o un certificado en el marco de un esquema europeo de certificación de la ciberseguridad adoptado con arreglo al Reglamento (UE) 2019/881 y especificado con arreglo al apartado 4 son conformes con los requisitos esenciales establecidos en el anexo I en la medida en que la declaración UE de conformidad o el certificado de ciberseguridad, o partes de ellos, prevean dichos requisitos.

4. La Comisión estará facultada para adoptar[, mediante ]actos delegados de conformidad con el artículo 50 a fin de completar el presente Reglamento mediante la especificación de los esquemas europeos de certificación de la ciberseguridad adoptados con arreglo al Reglamento (UE) 2019/881 que puedan servir para demostrar la conformidad de los productos con elementos digitales con los requisitos esenciales, o partes de ellos, establecidos en el anexo I. Además, la expedición de un certificado de ciberseguridad expedido en el marco de dichos esquemas, en un nivel de aseguramiento «sustancial» o «alto», elimina la obligación de un fabricante de llevar a cabo una evaluación de la conformidad por parte de terceros para los requisitos correspondientes, tal como se establece en el artículo 24, apartado 2, letras a) y b), y apartado 3, letras a) y b).  ▌

Artículo 19
Especificaciones comunes

1. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 50 a fin de completar el presente Reglamento mediante el establecimiento de especificaciones comunes que abarquen unos requisitos técnicos que supongan un medio para ajustarse a los requisitos expuestos en el anexo I respecto de los productos dentro del alcance del presente Reglamento cuando se hayan cumplido las condiciones siguientes:

(a) que la Comisión haya solicitado, en virtud del artículo 10, apartado 1, del Reglamento (UE) n.º 1025/2012, a una o varias organizaciones europeas de normalización la redacción de una norma armonizada con respecto a los requisitos esenciales establecidos en el anexo Iy la solicitud no haya sido aceptada, los resultados de normalización europeos en respuesta a dicha solicitud no se entreguen dentro del plazo establecido de conformidad con el artículo 10, apartado 1, del Reglamento (UE) n.º 1025/2012 o los resultados de normalización europeos no cumplan con la solicitud; y

(b) que no se haya publicado ninguna referencia a normas armonizadas que regulen los requisitos esenciales pertinentes establecidos en el anexo I al presente Reglamento en el Diario Oficial de la Unión Europea de conformidad con el Reglamento (UE) n.º 1025/2012 y no se prevea la publicación de ningún proyecto de norma en un plazo razonable.

2. Antes de preparar el acto delegado, la Comisión informará al Grupo de Expertos de que considera cumplidas las condiciones expuestas en el apartado 1. A la hora de preparar los actos delegados, la Comisión tendrá en cuenta las opiniones del Grupo de Expertos.

3. Cuando una norma armonizada sea adoptada por una organización europea de normalización y propuesta a la Comisión con el fin de publicar su referencia en el Diario Oficial de la Unión Europea, la Comisión evaluará la norma armonizada de conformidad con el Reglamento (UE) n.º 1025/2012. Cuando se publique la referencia a una norma armonizada en el Diario Oficial de la Unión Europea, la Comisión derogará los actos delegados pertinentes a que se refiere el apartado 1 o las partes de ellos que cubran los mismos requisitos esenciales expuestos en el anexo I al presente Reglamento.

Artículo 20
Declaración UE de conformidad

1. La declaración UE de conformidad será elaborada por los fabricantes con arreglo a lo dispuesto en el artículo 10, apartado 7, y hará constar que se ha demostrado el cumplimiento de los requisitos esenciales aplicables establecidos en el anexo I.

2. La declaración UE de conformidad tendrá la estructura tipo establecida en el anexo IV y contendrá los elementos especificados en los procedimientos de evaluación de la conformidad correspondientes establecidos en el anexo VI. La declaración se mantendrá ▌ actualizada como corresponda. Estará disponible en la lengua o las lenguas requeridas por el Estado miembro en cuyo mercado se introduzca o se comercialice el producto con elementos digitales.

3. Cuando un producto con elementos digitales esté sujeto a más de un acto de la Unión que exija una declaración UE de conformidad, se elaborará una única declaración UE de conformidad con respecto a todos esos actos de la Unión. Dicha declaración contendrá la identificación de los actos de la Unión correspondientes y sus referencias de publicación.

4. Al elaborar una declaración UE de conformidad, el fabricante asumirá la responsabilidad del cumplimiento por parte del producto.

5. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 50 a fin de completar el presente Reglamento mediante la inclusión de elementos al contenido mínimo de la declaración UE de conformidad establecido en el anexo IV a fin de tener en cuenta los avances tecnológicos.

Artículo 21
Principios generales del marcado CE

El marcado CE, tal como se define en el artículo 3, punto 32, estará sujeto a los principios generales establecidos en el artículo 30 del Reglamento (CE) n.º 765/2008.

Artículo 22
Reglas y condiciones para la colocación del marcado CE

1. El marcado CE se colocará en el producto con elementos digitales de manera visible, legible e indeleble. Cuando ello no sea posible o no se justifique dada la naturaleza del producto con elementos digitales, se colocará en el embalaje y en la declaración UE de conformidad mencionada en el artículo 20 que acompañen al producto con elementos digitales. En el caso de los productos con elementos digitales en forma de programas informáticos, el marcado CE se colocará en la declaración UE de conformidad mencionada en el artículo 20 o el sitio web que acompañen al producto. En este último caso, los consumidores podrán acceder de manera sencilla y directa al apartado pertinente del sitio web.

2. Habida cuenta de la naturaleza del producto con elementos digitales, la altura del marcado CE colocado en él podrá ser inferior a 5 mm, siempre y cuando siga siendo visible y legible.

3. El marcado CE se colocará antes de que el producto con elementos digitales se introduzca en el mercado. Podrá ir seguido de un pictograma o cualquier otra marca que indique un riesgo o uso especial establecido en los actos de ejecución a que se refiere el apartado 6.

4. El marcado CE irá seguido del número de identificación del organismo notificado cuando dicho organismo participe en el procedimiento de evaluación de la conformidad basado en el aseguramiento de calidad total (basado en el módulo H) a que hace referencia el artículo 24.

Dicho número de identificación del organismo notificado será colocado por el propio organismo notificado o bien, siguiendo las instrucciones de este, por el fabricante o por el representante autorizado de este.

5. Los Estados miembros se basarán en los mecanismos existentes para garantizar la correcta aplicación del régimen que regula el marcado CE y adoptarán las medidas adecuadas en caso de uso indebido de dicho marcado. Cuando el producto con elementos digitales esté sujeto a otras disposiciones legislativas de la Unión que también requieran la colocación del marcado CE, este indicará que el producto también cumple los requisitos de esas otras disposiciones legislativas.

6. Después de consultar con el Grupo de Expertos, el Grupo de Cooperación Administrativa (ADCO) específico y, cuando sea necesario, otras partes interesadas pertinentes, la Comisión podrá, mediante actos de ejecución, establecer especificaciones técnicas para sistemas de etiquetado, incluidas las etiquetas armonizadas, pictogramas o cualquier otro marcado relativo a la seguridad de los productos con elementos digitales, su período de soporte, así como mecanismos para promover su uso entre las empresas y los consumidores y fomentar la sensibilización pública respecto a la seguridad de los productos con elementos digitales. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que hace referencia el artículo 51, apartado 2.

Artículo 23
Documentación técnica

1. La documentación técnica contendrá todos los datos o detalles pertinentes relativos a los medios utilizados por el fabricante para garantizar que el producto con elementos digitales y los procesos establecidos por el fabricante cumplen los requisitos esenciales establecidos en el anexo I. Incluirá, como mínimo, los elementos establecidos en el anexo V.

2. La documentación técnica se elaborará antes de que el producto con elementos digitales se introduzca en el mercado y, en su caso, se mantendrá permanentemente actualizada durante, al menos, el período de soporte▌.

3. En el caso de los productos con elementos digitales a que se refieren el artículo 8 y el artículo 24, apartado 4, que también estén sujetos a otros actos de la Unión, se elaborará una única documentación técnica que contenga la información a que hace referencia el anexo V del presente Reglamento y la información requerida por esos actos de la Unión respectivos.

4. La documentación técnica y la correspondencia relacionada con cualquiera de los procedimientos de evaluación de la conformidad se redactarán en una lengua oficial del Estado miembro en el que esté establecido el organismo notificado, o en una lengua aceptable para este último.

5. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 50 a fin de completar el presente Reglamento mediante la inclusión de elementos en la documentación técnica establecida en el anexo V a fin de tener en cuenta los avances tecnológicos, así como los imprevistos que surjan durante el proceso de ejecución del presente Reglamento. La Comisión velará por que la carga administrativa para las microempresas y pequeñas y medianas empresas sea proporcionada.

Artículo 24
Procedimientos de evaluación de la conformidad de los productos con elementos digitales

1. El fabricante llevará a cabo una evaluación de la conformidad del producto con elementos digitales y de los procesos establecidos por el fabricante para determinar si se cumplen los requisitos esenciales establecidos en el anexo I. El fabricante o su representante autorizado demostrarán la conformidad con los requisitos esenciales mediante uno de los procedimientos siguientes:

(a) procedimiento de control interno (basado en el módulo A) que se establece en el anexo VI; o

(b) procedimiento de examen de tipo UE (basado en el módulo B) que se establece en el anexo VI, seguido de la conformidad de tipo UE basada en el control interno de la producción (basada en el módulo C) que se establece en el anexo VI; o

(c) evaluación de la conformidad basada en el aseguramiento de calidad total (basada en el módulo H) que se establece en el anexo VI;

c bis) un esquema europeo de certificación de la ciberseguridad adoptado con arreglo al Reglamento (UE) 2019/881 de conformidad con el artículo 18, apartado 4.

2. Cuando, al evaluar la conformidad del producto crítico con elementos digitales de la clase I según lo establecido en el anexo III y de los procesos establecidos por su fabricante con los requisitos esenciales establecidos en el anexo I, el fabricante o su representante autorizado no haya aplicado o solo haya aplicado parcialmente las normas armonizadas, las especificaciones comunes o los esquemas europeos de certificación de la ciberseguridad con un nivel de garantía «sustancial» o «alto» a que se refiere el artículo 18, o bien cuando no existan tales normas armonizadas, especificaciones comunes o esquemas europeos de certificación de la ciberseguridad, la conformidad del producto con elementos digitales de que se trate y de los procesos establecidos por el fabricante respecto de dichos requisitos esenciales se evaluará con arreglo a uno de los procedimientos siguientes:

(a) procedimiento de examen de tipo UE (basado en el módulo B) que se establece en el anexo VI, seguido de la conformidad de tipo UE basada en el control interno de la producción (basada en el módulo C) que se establece en el anexo VI; o

(b) evaluación de la conformidad basada en el aseguramiento de calidad total (basada en el módulo H) que se establece en el anexo VI.

2 bis. Seis meses antes de la aplicación del procedimiento de evaluación de la conformidad a que se refiere el apartado 2 del presente artículo, habrá instauradas normas armonizadas, especificaciones comunes o esquemas europeos de certificación de la ciberseguridad. En los seis meses anteriores a la aplicación del apartado 2 del presente artículo o si no existen normas armonizadas, especificaciones comunes o esquemas europeos de certificación de la ciberseguridad, los fabricantes demostrarán la conformidad del producto crítico con elementos digitales de clase I expuesto en el anexo III mediante el procedimiento a que se refiere el apartado 1 Artículos.

3. Cuando el producto sea un producto crítico con elementos digitales de la clase II según lo establecido en el anexo III, el fabricante o su representante autorizado demostrará la conformidad con los requisitos esenciales establecidos en el anexo I mediante uno de los procedimientos siguientes:

-a) un certificado europeo de ciberseguridad, con arreglo a un esquema europeo de certificación de la ciberseguridad con un nivel de garantía «sustancial» o «alto» conforme al Reglamento (UE) 2019/881.

(a) procedimiento de examen de tipo UE (basado en el módulo B) que se establece en el anexo VI, seguido de la conformidad de tipo UE basada en el control interno de la producción (basada en el módulo C) que se establece en el anexo VI; o

(b) evaluación de la conformidad basada en el aseguramiento de calidad total (basada en el módulo H) que se establece en el anexo VI.

3 bis. La Comisión solicitará a la ENISA que prepare las propuestas de esquema que falten de conformidad con el artículo 48 del Reglamento (UE) 2019/881.

4. Los fabricantes de productos con elementos digitales considerados sistemas HME con arreglo al ▌Reglamento [Reglamento sobre el espacio europeo de datos sanitarios] demostrarán la conformidad con los requisitos esenciales establecidos en el anexo I del presente Reglamento mediante el procedimiento de evaluación de la conformidad pertinente exigido por el Reglamento [capítulo III del Reglamento sobre el espacio europeo de datos sanitarios].

5. Los organismos notificados tendrán en cuenta los intereses y las necesidades específicos de las microempresas y pequeñas y medianas empresas ▌ a la hora de fijar las tasas que aplican a las evaluaciones de conformidad y reducirán dichas tasas de forma proporcionada a dichos intereses y necesidades específicos. La Comisión garantizará un apoyo financiero apropiado en el marco normativo de los programas de la Unión existentes, en particular a fin de aliviar la carga financiera para las microempresas y pequeñas y medianas empresas.

Artículo 24 bis
Acuerdos de reconocimiento mutuo

A efectos de fomentar el comercio internacional, la Comisión procurará estipular acuerdos de reconocimiento mutuo (ARM) con países terceros. La Unión establecerá ARM únicamente con los terceros países que posean un nivel comparable de desarrollo técnico y un enfoque compatible en lo concerniente a la evaluación de la conformidad. Los ARM garantizarán un nivel de protección equivalente al previsto en el presente Reglamento.

CAPÍTULO IV

NOTIFICACIÓN DE LOS ORGANISMOS DE EVALUACIÓN DE LA CONFORMIDAD

Artículo 25
Notificación

Los Estados miembros notificarán a la Comisión y a los demás Estados miembros los organismos de evaluación de la conformidad autorizados a realizar evaluaciones de la conformidad con arreglo al presente Reglamento.

Artículo 26
Autoridades notificantes

1. Los Estados miembros designarán una autoridad notificante que será responsable de establecer y aplicar los procedimientos necesarios para la evaluación y notificación de los organismos de evaluación de la conformidad y para la supervisión de los organismos notificados, lo que incluye el cumplimiento del artículo 31.

2. Los Estados miembros podrán decidir que la evaluación y la supervisión contempladas en el apartado 1 sean realizadas por un organismo nacional de acreditación en el sentido del Reglamento (CE) n.º 765/2008 y con arreglo a él.

Artículo 27
Requisitos relativos a las autoridades notificantes

1. La autoridad notificante se establecerá de forma que no exista ningún conflicto de intereses con los organismos de evaluación de la conformidad.

2. La autoridad notificante se organizará y funcionará de manera que se preserve la objetividad e imparcialidad de sus actividades.

3. La autoridad notificante se organizará de forma que toda decisión relativa a la notificación de un organismo de evaluación de la conformidad sea adoptada por personas competentes distintas de las que llevaron a cabo la evaluación.

4. La autoridad notificante no ofrecerá ni ejercerá ninguna actividad que lleven a cabo los organismos de evaluación de la conformidad, ni servicios de consultoría con carácter comercial o competitivo.

5. La autoridad notificante preservará la confidencialidad de la información obtenida.

6. La autoridad notificante dispondrá de suficiente personal competente para llevar a cabo adecuadamente sus tareas.

6 bis. La autoridad notificante reducirá al mínimo la carga administrativa y las tasas impuestas, en particular, a las microempresas y las pequeñas y medianas empresas.

Artículo 28
Obligación de información de las autoridades notificantes

1. Los Estados miembros informarán a la Comisión de sus procedimientos de evaluación y notificación de organismos de evaluación de la conformidad y de supervisión de los organismos notificados, así como de cualquier cambio en estos.

1 bis. Los Estados miembros, a más tardar... [veinticuatro meses después de la fecha de entrada en vigor del presente Reglamento], velarán por que haya un número suficiente de organismos notificados en la Unión para llevar a cabo evaluaciones de la conformidad, con objeto de evitar cuellos de botella y obstáculos para el acceso al mercado.

2. La Comisión hará pública esa información.

Artículo 29
Requisitos relativos a los organismos notificados

1. A efectos de la notificación, los organismos de evaluación de la conformidad cumplirán los requisitos establecidos en los apartados 2 a 12.

2. Los organismos de evaluación de la conformidad se establecerán con arreglo al Derecho nacional y tendrán personalidad jurídica.

3. Los organismos de evaluación de la conformidad serán terceros organismos independientes de la organización o el producto que evalúen.

Se puede considerar como organismos de evaluación de la conformidad a los organismos pertenecientes a una asociación comercial o una federación profesional que represente a las empresas que participan en el diseño, el desarrollo, la producción, el suministro, el montaje, el uso o el mantenimiento de los productos con elementos digitales que evalúen, a condición de que se demuestre su independencia y la ausencia de conflictos de interés.

4. El organismo de evaluación de la conformidad, sus directivos de alto rango y el personal responsable de la realización de las tareas de evaluación de la conformidad no serán el diseñador, el desarrollador, el fabricante, el proveedor, el instalador, el comprador, el dueño, el usuario o el encargado del mantenimiento de los productos con elementos digitales que deben evaluarse, ni el representante autorizado de ninguno de ellos. Ello no será óbice para que usen los productos evaluados que sean necesarios para el funcionamiento del organismo de evaluación de la conformidad, ni para que usen dichos productos con fines personales.

Los organismos de evaluación de la conformidad, sus directivos de alto rango y el personal responsable de la realización de las tareas de evaluación de la conformidad no intervendrán directamente en el diseño, el desarrollo, la producción, la comercialización, la instalación, el uso ni el mantenimiento de estos productos, ni representarán a las partes que participen en estas actividades. No realizarán ninguna actividad que pueda entrar en conflicto con su independencia de criterio o su integridad en relación con las actividades de evaluación de la conformidad para las que hayan sido notificados. Ello se aplicará, en particular, a los servicios de consultoría.

Los organismos de evaluación de la conformidad se asegurarán de que las actividades de sus filiales o subcontratistas no afecten a la confidencialidad, objetividad o imparcialidad de sus actividades de evaluación de la conformidad.

5. Los organismos de evaluación de la conformidad y su personal llevarán a cabo las actividades de evaluación de la conformidad con el máximo nivel de integridad profesional y con la competencia técnica exigida para el campo específico, y estarán libres de cualquier presión o incentivo, especialmente de índole financiera, que pudieran influir en su apreciación o en el resultado de sus actividades de evaluación de la conformidad, en particular por parte de personas o grupos de personas que tengan algún interés en los resultados de estas actividades.

6. El organismo de evaluación de la conformidad será capaz de realizar todas las tareas de evaluación de la conformidad especificadas en el anexo VI y para las que haya sido notificado, independientemente de si realiza las tareas el propio organismo o si se realizan en su nombre y bajo su responsabilidad.

En todo momento, para cada procedimiento de evaluación de la conformidad y para cada tipo o categoría de productos con elementos digitales para los que ha sido notificado, el organismo de evaluación de la conformidad dispondrá:

(a) de personal con conocimientos técnicos y experiencia suficiente y adecuada para realizar las tareas de evaluación de la conformidad;

(b) de las descripciones de los procedimientos con arreglo a los cuales se efectúa la evaluación de la conformidad, garantizando la transparencia y la posibilidad de reproducción de estos procedimientos; dispondrá también de las políticas y procedimientos adecuados que permitan distinguir entre las tareas efectuadas como organismo notificado y cualquier otra actividad;

(c) de procedimientos para desempeñar sus actividades teniendo debidamente en cuenta el tamaño de las empresas, el sector en que operan, su estructura, el grado de complejidad de la tecnología del producto y el carácter masivo o en serie del proceso de producción.

Dispondrá de los medios necesarios para realizar adecuadamente las tareas técnicas y administrativas relacionadas con las actividades de evaluación de la conformidad y tendrá acceso a todo el equipo o las instalaciones que necesite.

7. El personal encargado de llevar a cabo las tareas de evaluación de la conformidad dispondrá de:

(a) una buena formación técnica y profesional para realizar todas las actividades de evaluación de la conformidad para las que el organismo de evaluación de la conformidad haya sido notificado;

(b) un conocimiento satisfactorio de los requisitos de las evaluaciones que efectúe y la autoridad necesaria para efectuarlas;

(c) un conocimiento y una comprensión adecuados de los requisitos esenciales establecidos en el anexo I, de las normas armonizadas aplicables y de las disposiciones pertinentes de las normas de armonización de la Unión aplicables, así como de las normas de aplicación correspondientes;

(d) la capacidad necesaria para elaborar certificados, documentos e informes que demuestren que se han efectuado las evaluaciones.

7 bis. Los Estados miembros y la Comisión instaurarán medidas apropiadas para garantizar una disponibilidad suficiente de profesionales capacitados, a fin de minimizar los cuellos de botella en las actividades d de los organismos de evaluación de la conformidad y facilitar el cumplimiento del presente Reglamento por parte de los operadores económicos.

8. Se garantizará la imparcialidad de los organismos de evaluación de la conformidad, de sus directivos de alto rango y del personal de evaluación.

La remuneración de los directivos de alto rango y del personal de evaluación de los organismos de evaluación de la conformidad no dependerá del número de evaluaciones realizadas ni de los resultados de dichas evaluaciones.

9. El organismo de evaluación de la conformidad suscribirá un seguro de responsabilidad, salvo que el Estado asuma la responsabilidad con arreglo al Derecho interno, o que el propio Estado miembro sea directamente responsable de la evaluación de la conformidad.

10. El personal del organismo de evaluación de la conformidad deberá observar el secreto profesional acerca de toda la información recabada en el ejercicio de sus tareas, con arreglo al anexo VI o a cualquier disposición de Derecho interno por la que se aplique, salvo con respecto a las autoridades de vigilancia del mercado del Estado miembro en que realice sus actividades. Se protegerán los derechos de propiedad de conformidad con el artículo 52. El organismo de evaluación de la conformidad contará con procedimientos documentados que garanticen el cumplimiento del presente apartado.

11. Los organismos de evaluación de la conformidad participarán en las actividades pertinentes de normalización y las actividades del grupo de coordinación de los organismos notificados establecido con arreglo al artículo 40, o se asegurarán de que su personal de evaluación esté informado al respecto, y aplicarán a modo de directrices generales las decisiones y los documentos administrativos que resulten de las labores del grupo.

12. Los organismos de evaluación de la conformidad funcionarán con arreglo a un conjunto de condiciones coherentes, justas y razonables de conformidad con el artículo 37, apartado 2, que tengan particularmente en cuenta los intereses de las microempresas y de las pymes en relación con las tasas.

Artículo 30
Presunción de conformidad de los organismos notificados

Si un organismo de evaluación de la conformidad demuestra su conformidad con los criterios establecidos en las normas armonizadas pertinentes, o partes de ellas, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea, se presumirá que cumple los requisitos establecidos en el artículo 29 en la medida en que las normas armonizadas aplicables cubran estos requisitos.

Artículo 31
Filiales y subcontratación de los organismos notificados

1. Cuando un organismo notificado subcontrate tareas específicas relacionadas con la evaluación de la conformidad o recurra a una filial, se asegurará de que el subcontratista o la filial cumplen los requisitos establecidos en el artículo 29 e informará a la autoridad notificante en consecuencia.

2. El organismo notificado asumirá la plena responsabilidad de las tareas realizadas por los subcontratistas o las filiales, con independencia de dónde estén establecidos.

3. Las actividades solo podrán subcontratarse o delegarse en una filial previo consentimiento del fabricante.

4. Los organismos notificados mantendrán a disposición de la autoridad notificante los documentos pertinentes sobre la evaluación de las cualificaciones del subcontratista o de la filial, así como sobre el trabajo que estos realicen con arreglo al presente Reglamento.

Artículo 32
Solicitud de notificación

1. El organismo de evaluación de la conformidad presentará una solicitud de notificación a la autoridad notificante del Estado miembro en el que esté establecido.

2. Dicha solicitud irá acompañada de una descripción de las actividades de evaluación de la conformidad, del procedimiento o procedimientos de evaluación de la conformidad y del producto o productos para los cuales el organismo se considere competente, así como de un certificado de acreditación, si lo hay, expedido por un organismo nacional de acreditación, en el que se declare que el organismo de evaluación de la conformidad cumple los requisitos establecidos en el artículo 29.

3. Si el organismo de evaluación de la conformidad en cuestión no puede facilitar un certificado de acreditación, entregará a la autoridad notificante todas las pruebas documentales necesarias para verificar, reconocer y supervisar regularmente que cumple los requisitos establecidos en el artículo 29.

Artículo 33
Procedimiento de notificación

1. Las autoridades notificantes solo podrán notificar organismos de evaluación de la conformidad que hayan satisfecho los requisitos establecidos en el artículo 29.

2. La autoridad notificante pertinente enviará una notificación a la Comisión y a los demás Estados miembros por medio del Sistema de información sobre organismos notificados y designados de nuevo enfoque (NANDO) desarrollado y gestionado por la Comisión.

3. La notificación incluirá información detallada de las actividades de evaluación de la conformidad, el módulo o los módulos de evaluación de la conformidad, el producto o los productos afectados y la correspondiente certificación de competencia.

4. Si la notificación no está basada en el certificado de acreditación a que se hace referencia en el artículo 32, apartado 2, la autoridad notificante transmitirá a la Comisión y a los demás Estados miembros las pruebas documentales que demuestren la competencia del organismo de evaluación de la conformidad y las disposiciones existentes destinadas a garantizar que se controlará periódicamente al organismo y que este continuará satisfaciendo los requisitos establecidos en el artículo 29.

5. El organismo en cuestión solo podrá realizar las actividades de un organismo notificado si la Comisión o los demás Estados miembros no han formulado ninguna objeción en el plazo de dos semanas a partir de la notificación en caso de que se utilice un certificado de acreditación o de dos meses a partir de la notificación en caso de no se utilice la acreditación.

Solo entonces ese organismo será considerado un organismo notificado a efectos del presente Reglamento.

6. La Comisión y los demás Estados miembros serán informados de todo cambio pertinente posterior a la notificación.

Artículo 34
Números de identificación y listas de organismos notificados

1. La Comisión asignará un número de identificación a cada organismo notificado.

Asignará un solo número incluso si el organismo es notificado con arreglo a varios actos de la Unión.

2. La Comisión hará pública la lista de organismos notificados con arreglo al presente Reglamento, junto con los números de identificación que les hayan sido asignados y las actividades para las que hayan sido notificados.

La Comisión se asegurará de que la lista se mantiene actualizada.

Artículo 35
Cambios en las notificaciones

1. Cuando una autoridad notificante compruebe que un organismo notificado ya no cumple los requisitos establecidos en el artículo 29 o no está cumpliendo sus obligaciones, o sea informada de ello, dicha autoridad notificante restringirá, suspenderá o retirará la notificación, según proceda, dependiendo de la gravedad del incumplimiento de los requisitos u obligaciones. Informará inmediatamente a la Comisión y a los demás Estados miembros al respecto.

2. En caso de restricción, suspensión o retirada de la notificación o si el organismo notificado ha cesado en su actividad, el Estado miembro notificante adoptará las medidas oportunas para garantizar que los expedientes de dicho organismo sean tratados por otro organismo notificado o se pongan a disposición de las autoridades notificantes y de vigilancia del mercado responsables cuando estas los soliciten.

Artículo 36
Cuestionamiento de la competencia de los organismos notificados

1. La Comisión investigará todos los casos en los que tenga o le planteen dudas de que un organismo notificado sea competente o cumpla de manera continuada los requisitos y las responsabilidades a los que esté sujeto.

2. El Estado miembro notificante facilitará a la Comisión, a petición de esta, toda la información en que se base la notificación o el mantenimiento de la competencia del organismo en cuestión.

3. La Comisión garantizará el tratamiento confidencial de toda la información sensible recabada en el curso de sus investigaciones.

4. Cuando la Comisión compruebe que un organismo notificado no cumple o ha dejado de cumplir los requisitos de su notificación, informará al Estado miembro notificante al respecto y le pedirá que adopte las medidas correctoras necesarias, que pueden consistir, si es necesario, en la anulación de la notificación.

Artículo 37
Obligaciones operativas de los organismos notificados

1. Los organismos notificados realizarán evaluaciones de la conformidad siguiendo los procedimientos de evaluación de la conformidad establecidos en el artículo 24 y en el anexo VI.

2. Las evaluaciones de la conformidad se llevarán a cabo de manera proporcionada, evitando imponer cargas innecesarias a los operadores económicos, teniendo en consideración a las microempresas y a las pequeñas y medianas empresas. Los organismos de evaluación de la conformidad llevarán a cabo sus actividades teniendo debidamente en cuenta el tamaño de las empresas, el sector en que operan, su estructura, el grado de complejidad y la exposición al riesgo del tipo y de la tecnología del producto y el carácter masivo o en serie del proceso de producción.

3. Para ello respetarán, sin embargo, el grado de rigor y el nivel de protección requeridos para que el producto sea conforme con lo dispuesto en el presente Reglamento.

4. Si un organismo notificado comprueba que el fabricante no cumple los requisitos establecidos en el anexo I, en las normas armonizadas correspondientes o en las especificaciones comunes a que se hace referencia en el artículo 19, instará al fabricante a adoptar las medidas correctoras oportunas y no expedirá el certificado de conformidad.

5. Si durante la supervisión de la conformidad posterior a la expedición del certificado, un organismo notificado constata que el producto ya no es conforme con los requisitos establecidos en el presente Reglamento, instará al fabricante a adoptar las medidas correctoras adecuadas y, si es necesario, suspenderá o retirará el certificado.

6. Si no se adoptan medidas correctoras o estas no surten el efecto requerido, el organismo notificado restringirá, suspenderá o retirará cualquier certificado, según el caso.

Artículo 38
Obligación de información para los organismos notificados

1. Los organismos notificados informarán a la autoridad notificante de lo siguiente:

(a) toda denegación, restricción, suspensión o retirada de un certificado;

(b) toda circunstancia que afecte al ámbito y a las condiciones de notificación;

(c) toda solicitud de información sobre las actividades de evaluación de la conformidad que hayan recibido de las autoridades de vigilancia del mercado;

(d) previa solicitud, toda actividad de evaluación de la conformidad realizada dentro del ámbito de su notificación y cualquier otra actividad llevada a cabo, con inclusión de la subcontratación y las actividades transfronterizas.

2. Los organismos notificados proporcionarán a los demás organismos notificados con arreglo al presente Reglamento que realicen actividades de evaluación de la conformidad similares con respecto a los mismos productos información pertinente sobre cuestiones relacionadas con resultados negativos y, previa solicitud, con resultados positivos de la evaluación de la conformidad.

Artículo 39
Intercambio de experiencias

La Comisión dispondrá que se organice el intercambio de experiencias entre las autoridades nacionales de los Estados miembros responsables de la política de notificación.

Artículo 40
Coordinación de los organismos notificados

1. La Comisión se asegurará de que se instauren, teniendo en cuenta también la necesidad de reducir la carga administrativa y las tasas, y se gestionen convenientemente una coordinación y una cooperación adecuadas entre los organismos notificados, a través de un grupo intersectorial de organismos notificados.

2. Los Estados miembros se asegurarán de que los organismos notificados por ellos participan en el trabajo de dicho grupo, directamente o por medio de representantes designados.

CAPÍTULO V

VIGILANCIA DEL MERCADO Y APLICACIÓN DE LA LEGISLACIÓN

Artículo 41
Vigilancia del mercado y control de los productos con elementos digitales en el mercado de la Unión

1. El Reglamento (UE) 2019/1020 será aplicable a los productos con elementos digitales que entren en el ámbito de aplicación del presente Reglamento.

2. Cada Estado miembro designará una o varias autoridades de vigilancia del mercado que se encarguen de supervisar la aplicación eficaz del presente Reglamento. Los Estados miembros podrán designar una autoridad existente o nueva para que actúe en calidad de autoridad de vigilancia del mercado a efectos del presente Reglamento.

3. Cuando corresponda, las autoridades de vigilancia del mercado cooperarán con las autoridades nacionales de certificación de la ciberseguridad designadas en virtud del artículo 58 del Reglamento (UE) 2019/881, las autoridades competentes y los CSIRT designados con arreglo a la Directiva (UE) 2022/2555, e intercambiarán información periódicamente.  ▌

3 bis. Por lo que respecta a la supervisión de la aplicación de las obligaciones de información con arreglo al artículo 11 del presente Reglamento, las autoridades de vigilancia del mercado designadas cooperarán con la ENISA. Las autoridades de vigilancia del mercado podrán solicitar a la ENISA asesoramiento técnico sobre cuestiones relacionadas con la aplicación y ejecución del presente Reglamento. Al llevar a cabo una investigación en virtud del artículo 43, las autoridades de vigilancia del mercado podrán solicitar a la ENISA que proporcione evaluaciones no vinculantes del cumplimiento de los productos con elementos digitales.

4. Cuando corresponda, las autoridades de vigilancia del mercado cooperarán con otras autoridades de vigilancia del mercado designadas sobre la base de otras normas de armonización de la Unión para otros productos e intercambiarán información periódicamente.

5. Las autoridades de vigilancia del mercado cooperarán, en su caso, con las autoridades responsables de supervisar el Derecho de la Unión en materia de protección de datos. Dicha cooperación implica informar a estas autoridades de toda constatación pertinente para el ejercicio de sus competencias, en particular al proporcionar orientaciones y asesoramiento con arreglo al apartado 8 del presente artículo, si dichas orientaciones y asesoramiento se refieren al tratamiento de datos personales.

Las autoridades responsables de supervisar el Derecho de la Unión en materia de protección de datos estarán facultadas para solicitar cualquier documentación creada o conservada con arreglo al presente Reglamento y acceder a ella cuando el acceso a dicha documentación sea necesario para el ejercicio de sus funciones. Informarán de ello a las autoridades de vigilancia del mercado designadas del Estado miembro pertinente para la solicitud.

6. Los Estados miembros garantizarán que las autoridades de vigilancia del mercado designadas dispongan de recursos financieros y humanos adecuados, con competencias apropiadas en materia de ciberseguridad, para el desempeño de sus funciones con arreglo al presente Reglamento.

7. La Comisión facilitará el intercambio periódico y estructurado de experiencias entre las autoridades de vigilancia del mercado designadas.

8. Las autoridades de vigilancia del mercado, con el apoyo de los CSIRT, la ENISA y la Comisión, podrán proporcionar orientación y asesoramiento a los operadores económicos sobre la aplicación del presente Reglamento, así como sobre los factores de riesgo que no tengan un carácter técnico.

8 bis. Las autoridades de vigilancia del mercado se equiparán para recibir las reclamaciones formuladas por los consumidores de conformidad con el artículo 11 del Reglamento (UE) 2019/1020, también mediante el establecimiento de un mecanismo claro y accesible que facilite la notificación de vulnerabilidades, incidentes y ciberamenazas.

9. Las autoridades de vigilancia del mercado presentarán a la Comisión un informe anual acerca de las actividades pertinentes de vigilancia del mercado. Las autoridades de vigilancia del mercado designadas comunicarán sin demora a la Comisión y a las autoridades nacionales de competencia pertinentes cualquier información recabada durante las actividades de vigilancia del mercado que pueda ser de interés potencial para la aplicación de las disposiciones del Derecho de la Unión en materia de competencia.

Las autoridades de vigilancia del mercado proporcionarán a la Comisión datos sobre el período de soporte medio establecido por los fabricantes, así como, cuando se encuentren disponibles, sobre la vida útil media prevista del producto, desagregados por categoría de producto con elementos digitales. La Comisión analizará esta información y la publicará en una base de datos de acceso público y uso sencillo.

9 bis. La Comisión evaluará los datos notificados, también con arreglo al apartado 9 del presente artículo a efectos del informe a que se refiere el artículo 56. Cuando los datos notificados sugieran un mayor nivel de incumplimiento en categorías de productos específicas, la Comisión, después de consultar al Grupo de Expertos y al ADCO, podrá recomendar que las autoridades de vigilancia se centren estrechamente en las categorías de productos afectadas.

10. En el caso de los productos con elementos digitales que entran en el ámbito de aplicación del presente Reglamento clasificados como sistemas de IA de alto riesgo con arreglo al artículo [artículo 6] del Reglamento [Reglamento sobre IA], las autoridades de vigilancia del mercado designadas a efectos del Reglamento [Reglamento sobre IA] serán las autoridades responsables de las actividades de vigilancia del mercado que se requieran en virtud del presente Reglamento. Las autoridades de vigilancia del mercado designadas con arreglo al Reglamento [Reglamento sobre IA] cooperarán, según proceda, con las autoridades de vigilancia del mercado designadas con arreglo al presente Reglamento y, en lo que respecta a la supervisión del cumplimiento de las obligaciones de información que establece el artículo 11, con la ENISA. Las autoridades de vigilancia del mercado designadas con arreglo al Reglamento [Reglamento sobre IA] informarán, en particular, a las autoridades de vigilancia del mercado designadas con arreglo al presente Reglamento de toda constatación pertinente para el ejercicio de sus funciones en relación con la aplicación del presente Reglamento.

11. Se establecerá un ▌ADCO para la ciberresiliencia de productos con elementos digitales para la aplicación uniforme del presente Reglamento, de conformidad con el artículo 30, apartado 2, del Reglamento (UE) 2019/1020. Este ADCO estará compuesto por representantes de las autoridades de vigilancia del mercado designadas y, en su caso, por representantes de las oficinas de enlace únicas. En particular, este ADCO intercambiará buenas prácticas y, cuando proceda, cooperará con el Grupo de Expertos y con la ENISA, así como con el Grupo de Cooperación y la Red de CSIRT a que se refiere la Directiva (UE) 2022/2555.

11 bis. Las autoridades de vigilancia del mercado facilitarán la participación de las partes interesadas, incluidas las organizaciones científicas, de investigación y de consumidores, en sus actividades.

Artículo 42
Acceso a datos y documentación

Cuando sea necesario para evaluar la conformidad de los productos con elementos digitales y los procesos establecidos por los fabricantes con los requisitos esenciales establecidos en el anexo I, se concederá a las autoridades de vigilancia del mercado, previa solicitud motivada, acceso a los datos necesarios para evaluar el diseño, el desarrollo y la producción de dichos productos y la gestión de sus vulnerabilidades, incluida la documentación interna correspondiente del operador económico correspondiente.

Artículo 43
Procedimiento a nivel nacional aplicable a los productos con elementos digitales que presentan un riesgo de ciberseguridad significativo

1. Cuando la autoridad de vigilancia del mercado de un Estado miembro tenga motivos suficientes para considerar que un producto con elementos digitales, en particular en lo que respecta a la gestión de las vulnerabilidades, presenta un riesgo de ciberseguridad significativo, efectuará, sin demora indebida, y cuando proceda en cooperación con el CSIRT, una evaluación del producto con elementos digitales de que se trate para verificar su cumplimiento de todos los requisitos establecidos en el presente Reglamento. Los operadores económicos pertinentes cooperarán con la autoridad de vigilancia del mercado en todo lo necesario.

Si, en el transcurso de dicha evaluación, la autoridad de vigilancia del mercado constata que el producto con elementos digitales no cumple los requisitos establecidos en el presente Reglamento, pedirá sin demora al operador económico pertinente que adopte las medidas correctoras oportunas para llevar el producto a conformidad con los citados requisitos o bien retirarlo del mercado o recuperarlo en un plazo razonable, proporcional a la naturaleza del riesgo, que dicha autoridad prescriba.

La autoridad de vigilancia del mercado informará al organismo notificado correspondiente en consecuencia. El artículo 18 del Reglamento (UE) 2019/1020 será aplicable a las medidas correctoras oportunas.

1 bis. Cuando la autoridad de vigilancia del mercado de un Estado miembro posea motivos suficientes para considerar que un producto con elementos digitales presenta un riesgo de ciberseguridad significativo o constituye una amenaza para la seguridad nacional a la luz de factores de riesgo no técnicos, emitirá recomendaciones específicas dirigidas a los operadores económicos y encaminadas a garantizar que se emprendan las acciones correctivas apropiadas.

2. Cuando la autoridad de vigilancia del mercado considere que el incumplimiento no se limita a su territorio nacional, informará a la Comisión y a los demás Estados miembros de los resultados de la evaluación y de las medidas que haya instado al operador a adoptar.

3. El fabricante se asegurará de que se adopten todas las medidas correctoras adecuadas en relación con todos los productos con elementos digitales afectados que haya comercializado en toda la Unión.

4. Si el fabricante de un producto con elementos digitales no adopta las medidas correctoras adecuadas en el plazo a que hace referencia el apartado 1, párrafo segundo, la autoridad de vigilancia del mercado adoptará todas las medidas provisionales adecuadas para prohibir o restringir la comercialización del producto en su mercado nacional, para retirarlo de ese mercado o para recuperarlo.

Dicha autoridad informará sin demora a la Comisión y a los demás Estados miembros de estas medidas.

5. La información mencionada en el apartado 4 incluirá todos los detalles disponibles, en particular los datos necesarios para la identificación de los productos con elementos digitales no conformes, el origen del producto con elementos digitales, la naturaleza de la supuesta no conformidad y del riesgo planteado, la naturaleza y duración de las medidas nacionales adoptadas y los argumentos formulados por el operador en cuestión. En particular, la autoridad de vigilancia del mercado indicará si la no conformidad se debe a uno o varios de los motivos siguientes:

(a) el incumplimiento de los requisitos esenciales establecidos en el anexo I por parte del producto o de los procesos establecidos por el fabricante;

(b) deficiencias en las normas armonizadas, esquemas de certificación de la ciberseguridad o especificaciones comunes a que hace referencia el artículo 18.

6. Las autoridades de vigilancia del mercado de los Estados miembros distintas de la autoridad de vigilancia del mercado del Estado miembro que haya iniciado el procedimiento comunicarán sin demora a la Comisión y a los demás Estados miembros toda medida que adopten y cualquier información adicional de que dispongan sobre la no conformidad del producto en cuestión y, en caso de desacuerdo con la medida nacional notificada, sus objeciones al respecto.

7. Si, en el plazo de tres meses tras la recepción de la información indicada en el apartado 4, ningún Estado miembro ni la Comisión presentan objeción alguna sobre una medida provisional adoptada por un Estado miembro, la medida se considerará justificada. Esto se entiende sin perjuicio de los derechos procedimentales del operador correspondiente con arreglo al artículo 18 del Reglamento (UE) 2019/1020.

8. Las autoridades de vigilancia del mercado de todos los Estados miembros velarán por que las medidas restrictivas adecuadas respecto del producto de que se trate, tales como la retirada del producto del mercado, se adopten sin demora.

Artículo 44
Procedimiento de salvaguardia de la Unión

1. Cuando, en el plazo de tres meses desde la recepción de la notificación a que hace referencia el artículo 43, apartado 4, un Estado miembro formule objeciones sobre una medida adoptada por otro Estado miembro, o cuando la Comisión considere que la medida es contraria al Derecho de la Unión, la Comisión entablará consultas sin demora con el Estado miembro y el operador u operadores económicos pertinentes, y evaluará la medida nacional. Sobre la base de los resultados de la mencionada evaluación, la Comisión decidirá, en un plazo de nueve meses a partir de la notificación a que hace referencia el artículo 43, apartado 4, si la medida nacional está justificada o no, y notificará dicha decisión al Estado miembro implicado.

2. Si la medida nacional se considera justificada, todos los Estados miembros adoptarán las medidas necesarias para garantizar la retirada de su mercado del producto con elementos digitales no conforme e informarán a la Comisión en consecuencia. Si la medida nacional se considera injustificada, el Estado miembro de que se trate retirará la medida.

3. Cuando la medida nacional se considere justificada y la no conformidad del producto con elementos digitales se atribuya a deficiencias de las normas armonizadas, la Comisión aplicará el procedimiento previsto en el artículo 10 del Reglamento (UE) n.º 1025/2012.

4. Cuando la medida nacional se considere justificada y la no conformidad del producto con elementos digitales se atribuya a deficiencias de un esquema europeo de certificación de la ciberseguridad a que hace referencia el artículo 18, la Comisión estudiará la posibilidad de modificar o derogar el acto de ejecución a que hace referencia el artículo 18, apartado 4, que especifique la presunción de conformidad en relación con dicho esquema de certificación.

5. Cuando la medida nacional se considere justificada y la no conformidad del producto con elementos digitales se atribuya a deficiencias de las especificaciones comunes a que hace referencia el artículo 19, la Comisión estudiará la posibilidad de modificar o derogar el acto de ejecución a que se hace referencia el artículo 19 por el que se establezcan dichas especificaciones comunes.

Artículo 45
Procedimiento a escala de la UE aplicable a los productos con elementos digitales que presentan un riesgo de ciberseguridad significativo

1. Cuando la Comisión tenga motivos suficientes para considerar, en particular sobre la base de la información facilitada por la ENISA, que un producto con elementos digitales que presenta un riesgo de ciberseguridad significativo no cumple los requisitos establecidos en el presente Reglamento, solicitará a las autoridades de vigilancia del mercado pertinentes que lleven a cabo una evaluación del cumplimiento y sigan los procedimientos a que hace referencia el artículo 43.

1 bis. Cuando la Comisión posea motivos suficientes para considerar que un producto con elementos digitales presenta un riesgo de ciberseguridad significativo a la luz de factores de riesgo no técnicos, informará a las autoridades de vigilancia del mercado y emitirá recomendaciones específicas dirigidas a los operadores económicos y encaminadas a garantizar que se emprendan las acciones correctivas apropiadas.

2. En circunstancias ▌que justifiquen una intervención inmediata para preservar el buen funcionamiento del mercado interior y siempre que la Comisión tenga motivos suficientes para considerar que el producto a que hace referencia el apartado 1 sigue sin cumplir los requisitos establecidos en el presente Reglamento y que las autoridades de vigilancia del mercado pertinentes no han adoptado medidas eficaces, la Comisión solicitará a la ENISA que lleve a cabo una evaluación del cumplimiento. La Comisión informará de ello a las autoridades de vigilancia del mercado pertinentes. Los operadores económicos pertinentes cooperarán con la ENISA en todo lo necesario.

3. Sobre la base de la evaluación de la ENISA, la Comisión podrá decidir sobre la necesidad de una medida correctora o restrictiva a escala de la Unión. A tal fin, consultará sin demora a los Estados miembros afectados y al operador u operadores económicos pertinentes.

4. Sobre la base de la consulta a que hace referencia el apartado 3, la Comisión podrá adoptar actos de ejecución para decidir sobre medidas correctoras o restrictivas a escala de la Unión, como ordenar la retirada del mercado de los productos correspondientes o recuperarlos, en un plazo razonable, proporcional a la naturaleza del riesgo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que hace referencia el artículo 51, apartado 2.

5. La Comisión comunicará inmediatamente la decisión a que hace referencia el apartado 4 al operador u operadores económicos pertinentes. Los Estados miembros aplicarán los actos a que hace referencia el apartado 4 sin demora e informarán de ello a la Comisión.

6. Los apartados 2 a 5 serán aplicables mientras dure la situación excepcional que haya justificado la intervención de la Comisión y mientras el producto correspondiente no se lleve a conformidad con lo dispuesto en el presente Reglamento.

Artículo 46
Productos con elementos digitales conformes que presentan un riesgo de ciberseguridad significativo

1. Si, tras efectuar una evaluación con arreglo al artículo 43, la autoridad de vigilancia del mercado de un Estado miembro constata que un producto con elementos digitales y los procesos establecidos por el fabricante, a pesar de ser conformes con el presente Reglamento, presentan un riesgo de ciberseguridad significativo y, además, plantean un riesgo para la salud o la seguridad de las personas, para el cumplimiento de las obligaciones que impone el Derecho nacional o de la Unión en materia de protección de los derechos fundamentales, para la disponibilidad, autenticidad, integridad o confidencialidad de los servicios ofrecidos mediante un sistema de información electrónico por entidades esenciales del tipo contemplado en el artículo 3 de la Directiva (UE) 2022/2555 o para otros aspectos relativos a la protección del interés público, dicha autoridad exigirá al operador económico pertinente que adopte todas las medidas necesarias para garantizar que el producto con elementos digitales en cuestión y los procesos establecidos por el fabricante ya no presenten ese riesgo cuando se introduzca el producto en el mercado, o bien para retirarlo del mercado o recuperarlo en un plazo razonable, proporcional a la naturaleza del riesgo.

2. El fabricante u otros operadores económicos pertinentes se asegurarán de que se adoptan medidas correctoras con respecto a todos los productos con elementos digitales afectados que hayan comercializado en toda la Unión en el plazo establecido por la autoridad de vigilancia del mercado del Estado miembro a que hace referencia el apartado 1.

3. El Estado miembro informará inmediatamente a la Comisión y a los demás Estados miembros acerca de las medidas adoptadas de conformidad con el apartado 1. La información facilitada incluirá todos los detalles de que se disponga, en particular los datos necesarios para identificar los productos con elementos digitales en cuestión y para determinar su origen, su cadena de suministro, la naturaleza del riesgo planteado y la naturaleza y duración de las medidas nacionales adoptadas.

4. La Comisión consultará sin demora a los Estados miembros y a los operadores económicos pertinentes y evaluará las medidas nacionales adoptadas. Sobre la base de los resultados de dicha evaluación, la Comisión decidirá si la medida está justificada o no y, en su caso, propondrá medidas adecuadas.

5. La Comisión dirigirá su decisión a los Estados miembros.

6. Cuando la Comisión tenga motivos suficientes para considerar, en particular sobre la base de la información facilitada por la ENISA, que un producto con elementos digitales, a pesar de ser conforme con el presente Reglamento, presenta los riesgos a que hace referencia el apartado 1, podrá solicitar a la autoridad o las autoridades de vigilancia del mercado pertinentes que lleven a cabo una evaluación del cumplimiento y sigan los procedimientos a que hacen referencia el artículo 43 y los apartados 1, 2 y 3 del presente artículo.

7. En circunstancias ▌que justifiquen una intervención inmediata para preservar el buen funcionamiento del mercado interior y siempre que la Comisión tenga motivos suficientes para considerar que el producto a que hace referencia el apartado 6 sigue presentando los riesgos a que hace referencia el apartado 1 y que las autoridades de vigilancia del mercado nacionales pertinentes no han adoptado medidas eficaces, la Comisión podrá solicitar a la ENISA que lleve a cabo una evaluación de los riesgos que presenta el producto e informará de ello a las autoridades de vigilancia del mercado pertinentes. Los operadores económicos pertinentes cooperarán con la ENISA en todo lo necesario.

8. Sobre la base de la evaluación de la ENISA a que hace referencia el apartado 7, la Comisión establecerá ▌una medida correctora o restrictiva a escala de la Unión en caso necesario. A tal fin, consultará sin demora a los Estados miembros afectados y al operador u operadores pertinentes.

9. Sobre la base de la consulta a que hace referencia el apartado 8, la Comisión podrá adoptar actos de ejecución para decidir sobre medidas correctoras o restrictivas a escala de la Unión, como ordenar la retirada del mercado de los productos correspondientes o recuperarlos, en un plazo razonable, proporcional a la naturaleza del riesgo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que hace referencia el artículo 51, apartado 2.

10. La Comisión comunicará inmediatamente la decisión a que hace referencia el apartado 9 al operador u operadores pertinentes. Los Estados miembros aplicarán dichos actos sin demora e informarán de ello a la Comisión.

11. Los apartados 6 a 10 serán aplicables mientras dure la situación excepcional que haya justificado la intervención de la Comisión y mientras el producto correspondiente siga presentando los riesgos a que hace referencia el apartado 1.

Artículo 47
Incumplimiento formal

1. Cuando la autoridad de vigilancia del mercado de un Estado miembro constate una de las situaciones indicadas a continuación, pedirá al fabricante correspondiente que subsane el incumplimiento de que se trate:

(a) la colocación del marcado de conformidad no es conforme con los artículos 21 y 22;

(b) no se ha colocado el marcado de conformidad;

(c) no se ha redactado la declaración UE de conformidad;

(d) la declaración UE de conformidad no se ha elaborado correctamente;

(e) no se ha colocado, en su caso, el número de identificación del organismo notificado que interviene en el procedimiento de evaluación de la conformidad;

(f) la documentación técnica no está disponible o está incompleta.

2. Cuando el incumplimiento indicado en el apartado 1 persista, el Estado miembro correspondiente adoptará todas las medidas adecuadas para restringir o prohibir la comercialización del producto con elementos digitales o asegurarse de que se recupera o se retira del mercado.

Artículo 48
Actividades conjuntas de las autoridades de vigilancia del mercado

1. Las autoridades de vigilancia del mercado realizarán actividades conjuntas con objeto de garantizar la ciberseguridad y la protección de los consumidores respecto de productos específicos con elementos digitales introducidos en el mercado o comercializados, en particular aquellos que con frecuencia presentan riesgos de ciberseguridad.

2. La Comisión o la ENISA propondrán actividades conjuntas de control del cumplimiento del presente Reglamento que las autoridades de vigilancia del mercado deberán llevar a cabo sobre la base de determinadas indicaciones o información sobre posibles incumplimientos en varios Estados miembros de los requisitos establecidos por el presente Reglamento por parte de los productos que entran en el ámbito de aplicación de este.

3. Las autoridades de vigilancia del mercado y, en su caso, la Comisión se asegurarán de que el acuerdo para llevar a cabo las actividades conjuntas no conduzca a una competencia desleal entre los operadores económicos y no afecte negativamente a la objetividad, independencia e imparcialidad de las partes en el acuerdo.

4. Una autoridad de vigilancia del mercado podrá utilizar cualquier información resultante de las actividades llevadas a cabo como parte de cualquier investigación que realice.

5. La autoridad de vigilancia del mercado de que se trate y, en su caso, la Comisión publicarán el acuerdo sobre actividades conjuntas, incluidos los nombres de las partes.

Artículo 49
Barridos

1. Las autoridades de vigilancia del mercado llevarán periódicamente a cabo acciones de control simultáneas coordinadas («barridos») de determinados productos con elementos digitales o categorías de estos para comprobar el cumplimiento o detectar infracciones del presente Reglamento. Estos incluirán inspecciones de productos adquiridos bajo una identidad ficticia y se dirigirán a verificar el cumplimiento de dichos productos con el presente Reglamento.

2. Salvo que las autoridades de vigilancia del mercado implicadas acuerden otra cosa, los barridos serán coordinados por la Comisión. El coordinador del barrido hará públicos los resultados agregados.

3. En el desempeño de sus funciones, la ENISA determinará, en particular sobre la base de las notificaciones recibidas de conformidad con el artículo 11, apartados 1 y 2, categorías de productos para las que se organizarán barridos. La propuesta de barrido se presentará al posible coordinador mencionado en el apartado 2 para su examen por las autoridades de vigilancia del mercado.

4. Cuando efectúen barridos, las autoridades de vigilancia del mercado participantes podrán ejercer las facultades de investigación contempladas en los artículos 41 a 47 y las demás facultades que les confiera el Derecho nacional.

5. Las autoridades de vigilancia del mercado invitarán a funcionarios de la Comisión y otros acompañantes autorizados por esta a participar en las operaciones de barrido.

CAPÍTULO VI

PODERES DELEGADOS Y PROCEDIMIENTO DE COMITÉ

Artículo 50
Ejercicio de la delegación

1. Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.

2. Se otorgarán a la Comisión los poderes para adoptar los actos delegados mencionados en el artículo 2, apartado 4, el artículo 6, apartados 2, 3 y 5, el artículo 10, apartado 15, el artículo 11, apartado 5, el artículo 18, apartado 4, el artículo 19, apartado 1, el artículo 20, apartado 5, y el artículo 23, apartado 5.

3. La delegación de poderes a que se hace referencia en el artículo 2, apartado 4, el artículo 6, apartados 2, 3 y 5, el artículo 10, apartado 15, el artículo 11, apartado 5, el artículo 18, apartado 4, el artículo 19, apartado 1, el artículo 20, apartado 5, y el artículo 23, apartado 5 podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La Decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en la misma. No afectará a la validez de los actos delegados que ya estén en vigor.

4. Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.

5. Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.

6. Los actos delegados adoptados en virtud del artículo 2, apartado 4, el artículo 6, apartados 2, 3 y 5, el artículo 10, apartado 15, el artículo 11, apartado 5, el artículo 18, apartado 4, el artículo 19, apartado 1, el artículo 20, apartado 5, o el artículo 23, apartado 5 entrarán en vigor únicamente si, en un plazo de dos meses desde su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo mencionado se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo.

Artículo 51
Procedimiento de comité

1. La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) n.º 182/2011.

2. En los casos en que se haga referencia al presente apartado, será aplicable el artículo 5 del Reglamento (UE) n.º 182/2011.

3. Cuando el dictamen del comité deba obtenerse mediante procedimiento escrito, se pondrá fin a dicho procedimiento sin resultado si, en el plazo para la emisión del dictamen, el presidente del comité así lo decide o si un miembro del comité así lo solicita.

CAPÍTULO VII

CONFIDENCIALIDAD Y SANCIONES

Artículo 52
Confidencialidad

1. Todas las partes involucradas en la aplicación del presente Reglamento respetarán la confidencialidad de la información y los datos obtenidos en el ejercicio de sus funciones y actividades de modo que se protejan, en particular:

(a) los derechos de propiedad intelectual y la información empresarial confidencial o los secretos comerciales de las personas físicas o jurídicas, incluido el código fuente, salvo en los casos contemplados en el artículo 5 de la Directiva 2016/943 del Parlamento Europeo y del Consejo[38];

(b) la aplicación eficaz del presente Reglamento, en particular a efectos de investigaciones, inspecciones o auditorías;

(c) los intereses públicos y de seguridad nacional;

(d) la integridad de las causas penales o los procedimientos administrativos.

2. Sin perjuicio de lo dispuesto en el apartado 1, la información intercambiada de manera confidencial entre las autoridades de vigilancia del mercado y entre estas y la Comisión no se revelará sin el acuerdo previo de la autoridad de vigilancia del mercado de origen.

3. Los apartados 1 y 2 no afectarán a los derechos y obligaciones de la Comisión, los Estados miembros y los organismos notificados en lo que se refiere al intercambio de información y la difusión de advertencias, ni a las obligaciones de facilitar información que incumban a las personas interesadas en virtud del Derecho penal de los Estados miembros.

4. Cuando sea necesario, la Comisión y los Estados miembros podrán intercambiar información sensible con autoridades pertinentes de terceros países con las que hayan celebrado acuerdos de confidencialidad bilaterales o multilaterales que garanticen un nivel de protección adecuado.

Artículo 53
Sanciones

1. Los Estados miembros establecerán las normas sobre las sanciones aplicables a las infracciones del presente Reglamento cometidas por los operadores económicos y adoptarán todas las medidas necesarias para garantizar su ejecución. Las sanciones establecidas serán efectivas, proporcionadas y disuasorias. Los Estados miembros garantizarán que dichas normas tengan en cuenta las capacidades financieras de las microempresas y pequeñas y medianas empresas.

2. Los Estados miembros comunicarán sin demora a la Comisión esas normas y las medidas adoptadas y le notificarán sin demora cualquier modificación posterior que las afecte. La Comisión se asegurará de que dichas normas y medidas se apliquen de una manera uniforme y consistente en toda la Unión.

3. El incumplimiento de los requisitos esenciales de ciberseguridad establecidos en el anexo I y de las obligaciones establecidas en los artículos 10 y 11 estará sujeto a multas administrativas de hasta 15 000 000 EUR o, si el infractor es una empresa, de hasta el 2,5 % del volumen de negocio total anual mundial del ejercicio financiero anterior, si esta cuantía fuese superior.

4. El incumplimiento de cualquier otra obligación establecida en el presente Reglamento estará sujeto a multas administrativas de hasta 10 000 000 EUR o, si el infractor es una empresa, de hasta el 2 % del volumen de negocio total anual mundial del ejercicio financiero anterior, si esta cuantía fuese superior.

5. La presentación de información incorrecta, incompleta o engañosa a organismos notificados y a las autoridades de vigilancia del mercado en respuesta a una solicitud estará sujeta a multas administrativas de hasta 5 000 000 EUR o, si el infractor es una empresa, de hasta el 1 % del volumen de negocio total anual mundial del ejercicio financiero anterior, si esta cuantía fuese superior.

6. Al decidir la cuantía de la multa administrativa en cada caso concreto se tomarán en consideración todas las circunstancias pertinentes de la situación correspondiente y se tendrá debidamente en cuenta lo siguiente:

(a) la naturaleza, la gravedad y la duración de la infracción y de sus consecuencias;

a bis) si la infracción no es intencionada;

(b) si las mismas u otras autoridades de vigilancia del mercado han impuesto ya multas administrativas al mismo operador por una infracción similar;

(c) el tamaño, en particular por lo que respecta a las microempresas y las pequeñas y medianas empresas, incluidas las empresas emergentes, y la cuota de mercado del operador que comete la infracción.

7. Las autoridades de vigilancia del mercado que apliquen multas administrativas compartirán esta información con las autoridades de vigilancia del mercado de otros Estados miembros por medio del sistema de información y comunicación a que hace referencia el artículo 34 del Reglamento (UE) 2019/1020.

8. Cada Estado miembro establecerá normas que determinen si es posible, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.

9. En función del ordenamiento jurídico de los Estados miembros, las normas relativas a las multas administrativas podrán aplicarse de tal modo que las multas las impongan órganos jurisdiccionales nacionales competentes u otros organismos, según las competencias establecidas a nivel nacional en dichos Estados miembros. La aplicación de dichas normas en estos Estados miembros tendrá un efecto equivalente.

10. Según las circunstancias de cada caso concreto, podrán imponerse multas administrativas de manera adicional a cualquier otra medida correctora o restrictiva aplicada por las autoridades de vigilancia del mercado por la misma infracción.

Artículo 53 bis
Asignación de los ingresos de sanciones

Los Estados miembros asignarán los ingresos de las sanciones a que se refiere el artículo 53, apartado 1 a proyectos que eleven el nivel de ciberseguridad en la Unión. Tales proyectos perseguirán, al menos, uno de los siguientes objetivos:

(a) aumentar el número de profesionales cualificados en el ámbito de la ciberseguridad, en particular de mujeres;

(b) fomentar el desarrollo de capacidades para las microempresas y las pequeñas y medianas empresas a fin de facilitar su cumplimiento del presente Reglamento;

(c) mejorar la sensibilización del público sobre las ciberamenazas, con especial atención a su prevención y gestión.

(d) desarrollar herramientas para incrementar la resiliencia de las empresas de la Unión contra el robo de propiedad intelectual por medios cibernéticos.

 

CAPÍTULO VIII

DISPOSICIONES TRANSITORIAS Y FINALES

Artículo 54
Modificación del Reglamento (UE) 2019/1020

En el anexo I del Reglamento (UE) 2019/1020, se añade el punto siguiente:

«71.  [Reglamento XXX] [Ley de Ciberresiliencia]».

Artículo 54 bis
Modificación de la Directiva (UE) 2020/1828

En el anexo I a la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo[39] se añade el punto siguiente:

«67.  [Reglamento XXX] [Ley de Ciberresiliencia]».

Artículo 55
Disposiciones transitorias

1. Los certificados de examen de tipo UE y las decisiones de aprobación expedidos en relación con los requisitos de ciberseguridad para productos con elementos digitales que estén sujetos a otras normas de armonización de la Unión seguirán siendo válidos hasta el [cuarenta y dos meses después de la fecha de entrada en vigor del presente Reglamento], salvo que caduquen con anterioridad a esa fecha o salvo que se indique lo contrario en otras normas de la Unión, caso en el que seguirán siendo válidos según lo que dispongan dichas normas de la Unión.

2. Los productos con elementos digitales que hayan sido introducidos en el mercado antes del [fecha de aplicación del presente Reglamento especificada en el artículo 57] estarán sujetos a los requisitos del presente Reglamento únicamente si, a partir de dicha fecha, los productos mencionados se ven sometidos a modificaciones sustanciales en su diseño o su finalidad prevista.

3. No obstante lo dispuesto en el apartado 2, las obligaciones establecidas en el artículo 11 se aplicarán a todos los productos con elementos digitales que entren en el ámbito de aplicación del presente Reglamento y hayan sido introducidos en el mercado antes del [fecha de aplicación del presente Reglamento especificada en el artículo 57].

3 bis. Hasta la fecha de aplicación del presente Reglamento, los fabricantes podrán cumplir con los requisitos del Reglamento de manera voluntaria. Si los fabricantes cumplen con el presente Reglamento con respecto a sus productos con elementos digitales, se considerará que también cumplen con el Reglamento Delegado (UE) 2022/30.

La Comisión derogará el Reglamento Delegado (UE) 2022/30 en la misma fecha de aplicación del presente Reglamento.

Artículo 56
Evaluación y revisión

1. A más tardar el [treinta y seis meses después de la fecha de aplicación del presente Reglamento], y posteriormente cada cuatro años, la Comisión presentará al Parlamento Europeo y al Consejo un informe sobre la evaluación y revisión del presente Reglamento. Los informes se harán públicos.

2. Cada año, al presentar el proyecto de presupuesto para el año siguiente, la Comisión enviará una evaluación detallada de las tareas de la ENISA en virtud del presente Reglamento, según lo expuesto en el anexo VI bis y otra legislación de la Unión pertinente, y desglosará los recursos financieros y humanos necesarios para acometer dichas tareas.

Artículo 57
Entrada en vigor y aplicación

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Será aplicable a partir del [treinta y seis meses después de la fecha de entrada en vigor del presente Reglamento]. No obstante, el artículo 11 será aplicable a partir del [dieciocho meses después de la fecha de entrada en vigor del presente Reglamento].

 

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en ▌…, el …

Por el Parlamento Europeo Por el Consejo

El Presidente / La Presidenta El Presidente / La Presidenta

 

ANEXO I

 

REQUISITOS ESENCIALES DE CIBERSEGURIDAD

1. Requisitos de seguridad relativos a las propiedades de los productos con elementos digitales

(1) Los productos con elementos digitales se diseñarán, desarrollarán y producirán de manera que garanticen un nivel adecuado de ciberseguridad sobre la base de los riesgos existentes;

  ▌

(3) Sobre la base de la evaluación de riesgos para la ciberseguridad a la que hace referencia el artículo 10, apartado 2, y cuando proceda, los productos con elementos digitales:

-a) se entregarán sin vulnerabilidades aprovechables conocidas;

(a)  se entregarán con una configuración segura por defecto, salvo que se convenga otra cosa por las partes en un contexto de operaciones entre empresas, que incluya la posibilidad de restablecer el producto a su estado original, manteniendo al mismo tiempo todas las actualizaciones de seguridad instaladas;

a bis) cuando resulte técnicamente viable, se comercializarán con una separación funcional de las actualizaciones de seguridad de la actualización de funcionalidad;

a ter) garantizarán unas actualizaciones de seguridad automáticas, con un mecanismo de exclusión voluntaria claro y fácil de utilizar, y la notificación de actualizaciones disponibles a los usuarios;

(b)  garantizarán la protección contra el acceso no autorizado mediante mecanismos de control adecuados, incluidos, entre otros, sistemas de gestión de la autenticación, la identidad o el acceso;

(c)  protegerán la confidencialidad de los datos personales o de otro tipo almacenados, transmitidos o tratados de otro modo, mediante, por ejemplo, el cifrado de los datos en reposo o en tránsito pertinentes por medio de los mecanismos más avanzados, o mediante la utilización de otros medios técnicos;

(d)  protegerán la integridad de los datos personales o de otro tipo almacenados, transmitidos o tratados de otro modo, los comandos, los programas y la configuración frente a toda manipulación o modificación no autorizada por el usuario, e informarán sobre los casos de corrupción de datos o de posibles casos de acceso no autorizado;

(e)  tratarán únicamente los datos personales o de otro tipo que sean adecuados, pertinentes y limitados a lo que sea necesario para el uso previsto del producto («minimización de datos»);

(f)  protegerán la disponibilidad de funciones esenciales y básicas, también tras un incidente, incluida la gestión de copias de seguridad y las medidas de resiliencia frente a ataques de denegación de servicio y mitigación de sus efectos;

(g)  minimizarán sus propias repercusiones negativas en la disponibilidad de servicios prestados por otros dispositivos o redes;

(h)  estarán diseñados, desarrollados y producidos para limitar las superficies de ataque, incluidas las interfaces externas;

(i)  estarán diseñados, desarrollados y producidos para reducir el impacto de un incidente, por medio de mecanismos y técnicas adecuados para paliar el aprovechamiento de las vulnerabilidades;

(j)  proporcionarán información relacionada con la seguridad mediante las capacidades de registro o seguimiento de la actividad interna pertinente, incluidos el acceso a datos, servicios o funciones y la modificación de estos, con un mecanismo de exclusión voluntaria para el usuario;

 ▌

k bis) permitirán que los usuarios supriman y retiren de manera segura sus datos con carácter permanente.

2. Requisitos de gestión de las vulnerabilidades

Los fabricantes de los productos con elementos digitales:

(1) identificarán y documentarán las vulnerabilidades y los componentes presentes en el producto, en particular mediante la elaboración de una nomenclatura de materiales de los programas informáticos en un formato comúnmente utilizado y legible por máquina, que incluya, como mínimo, las dependencias de máximo nivel del producto;

(2) por lo que respecta a los riesgos para los productos con elementos digitales, abordarán y subsanarán las vulnerabilidades sin demora, en particular mediante la provisión de actualizaciones de seguridad, instaladas automáticamente en su caso de conformidad con la sección I;

(3) llevarán a cabo exámenes y ensayos eficaces y periódicos de la seguridad del producto con elementos digitales;

(4) una vez esté disponible una actualización de seguridad, compartirán y divulgarán información sobre las vulnerabilidades subsanadas de un modo controlado, incluidas una descripción de las vulnerabilidades, información que permita a los usuarios identificar el producto con elementos digitales afectado, las repercusiones y la gravedad de las vulnerabilidades e información clara y accesible que ayude a los usuarios a corregir las vulnerabilidades;

(5) pondrán en marcha y aplicarán una política de divulgación coordinada de vulnerabilidades;

(6) adoptarán medidas para facilitar el intercambio de información sobre posibles vulnerabilidades de su producto con elementos digitales, así como de los componentes de terceros presentes en el producto, en particular proporcionando una dirección de contacto para la notificación de las vulnerabilidades descubiertas en el producto con elementos digitales;

(7) preverán mecanismos para distribuir de manera segura las actualizaciones de seguridad de los productos con elementos digitales, con el fin de garantizar que las vulnerabilidades aprovechables se subsanen o se mitiguen de manera oportuna;

(8) garantizarán que, cuando se disponga de parches o actualizaciones de seguridad para hacer frente a los problemas de seguridad detectados, estos se difundan sin demora y, salvo que las partes acuerden otra cosa en un contexto de operaciones entre empresas, de forma gratuita, acompañados de mensajes de aviso que proporcionen a los usuarios la información pertinente, en particular en relación con las posibles medidas que deban adoptarse.

8 bis) cuando resulte posible y aplicable, notificarán al usuario el final del período de soporte.

 

 

ANEXO II

 

INFORMACIÓN E INSTRUCCIONES PARA EL USUARIO

 

Junto al producto con elementos digitales, se especificará, como mínimo:

1. el nombre, nombre comercial registrado o marca registrada, la dirección postal, la dirección de correo electrónico y, cuando se encuentre disponible, el sitio web de contacto del fabricante, en el producto o ▌en su embalaje, o en un documento que acompañe al producto;

2. el punto único de contacto en el que pueda notificarse y obtenerse información sobre las vulnerabilidades de ciberseguridad del producto, así como la política del fabricante respecto a las vulnerabilidades coordinadas y el lugar en el que puede consultarse;

3. la correcta identificación del tipo, lote, versión o número de serie u otro elemento que permita la identificación del producto, así como las correspondientes instrucciones e información para el usuario;

4. el uso previsto, incluido el entorno de seguridad proporcionado por el fabricante, así como las funcionalidades esenciales del producto e información sobre sus propiedades de seguridad;

5. cualquier circunstancia conocida o previsible, asociada al uso del producto con elementos digitales conforme a su finalidad prevista o a un uso indebido razonablemente previsible, que pueda dar lugar a riesgos de ciberseguridad significativos;

6. si se puede acceder por parte de las autoridades competentes, de conformidad con las condiciones de no divulgación formuladas en el artículo 52, a la nomenclatura de materiales de los programas informáticos y, en su caso, dónde se puede acceder a ella;

7. cuando proceda, la dirección de internet en la que puede accederse a la declaración UE de conformidad;

8. el tipo de apoyo técnico en materia de seguridad ofrecido por el fabricante y el período de soporte durante el que está previsto que se gestionen las vulnerabilidades y que los usuarios puedan recibir actualizaciones de seguridad;

9. instrucciones detalladas o una dirección de internet en la que se especifiquen dichas instrucciones e información sobre:

(a)  las medidas necesarias durante la puesta en servicio inicial y a lo largo de toda la vida del producto para garantizar su uso seguro;

(b)  cómo los cambios en el producto pueden afectar a la seguridad de los datos;

(c)  cómo pueden instalarse las actualizaciones pertinentes para la seguridad;

(d)  cómo realizar la retirada del servicio del producto de forma segura, incluida información sobre cómo pueden eliminarse de forma segura los datos de los usuarios.

ANEXO III

 

PRODUCTOS CRÍTICOS CON ELEMENTOS DIGITALES

 

Clase I

1. Programas informáticos de sistemas de gestión de la identidad y programas informáticos de gestión de accesos privilegiados;

2. Navegadores independientes e integrados;

3. Gestores de contraseñas;

3 bis. Lectores biométricos;

4. Programas informáticos que busquen, eliminen o pongan en cuarentena programas maliciosos;

5. Productos con elementos digitales que ejerzan la función de red privada virtual (VPN);

6. Sistemas de gestión de redes;

7. Herramientas de gestión de la configuración de las redes;

8. Sistemas de seguimiento del tráfico de red;

9. Gestión de los recursos de red;

10. Sistemas de gestión de información y eventos de seguridad (SIEM);

11. Gestión de actualizaciones o parches, incluidos los gestores de arranque;

12. Sistemas de gestión de la configuración de aplicaciones;

13. Programas informáticos de acceso ▌a distancia;

14. Programas informáticos de gestión de dispositivos móviles;

15. Interfaces físicas y virtuales de red;

16. Sistemas operativos no incluidos en la clase II;

17. Cortafuegos, sistemas de detección o prevención de intrusiones no incluidos en la clase II;

19. Microprocesadores de uso general y microprocesadores no incluidos en la clase II;

20. Microcontroladores;

21. Circuitos integrados de aplicación específica (ASIC) y matrices de puertas programables in situ (FPGA) destinados a ser utilizados por entidades esenciales del tipo contemplado en el artículo 3 de la Directiva (UE) 2022/2555;

22. Sistemas de control de la automatización industrial no incluidos en la clase II, como controladores lógicos programables, sistemas de control distribuidos, controladores numéricos computerizados para máquinas-herramienta (CNC), robots industriales y sus sistemas de control y sistemas de control de supervisión y adquisición de datos (SCADA);

23. Internet industrial de las cosas no incluido en la clase II;

23 bis. Sistemas de domótica, incluidos servidores para el hogar inteligente y asistentes virtuales;

23 ter. Dispositivos de seguridad, incluidas cerraduras, cámaras y sistemas de alarma inteligentes;

23 quater. Juguetes inteligentes;

23 quinquies. Dispositivos de salud personal y ponibles.

 

Clase II

1. Sistemas operativos para servidores, ordenadores de mesa y dispositivos móviles;

2. Hipervisores y sistemas en tiempo de ejecución de contenedores que permitan la ejecución virtualizada de sistemas operativos y entornos similares;

3. Infraestructuras públicas clave y emisores de certificados digitales;

4. Cortafuegos y sistemas de detección o prevención de intrusiones destinados a un uso industrial;

▌

6. Microprocesadores destinados a su integración en controladores lógicos programables y elementos seguros;

7. Encaminadores, módems destinados a la conexión a internet e interruptores▌;

8. Elementos seguros;

9. Módulos de seguridad de los equipos informáticos;

10. Criptoprocesadores seguros;

11. Tarjetas inteligentes, lectores de tarjetas inteligentes y testigos de autenticación;

12. Sistemas de control de la automatización industrial destinados a ser utilizados por entidades esenciales del tipo contemplado en el artículo 3 de la Directiva (UE) 2022/2555, como controladores lógicos programables, sistemas de control distribuidos, controladores numéricos computerizados para máquinas-herramienta (CNC) y sistemas de control de supervisión y adquisición de datos (SCADA);

13. Internet industrial de las cosas destinado a ser utilizado por entidades esenciales del tipo contemplado en el artículo 3 de la Directiva (EU) 2022/ 2555;

▌

15. Contadores inteligentes.

 

ANEXO IV

 

DECLARACIÓN UE DE CONFORMIDAD

 

La declaración UE de conformidad a que hace referencia el artículo 20 contendrá toda la información siguiente:

1. El nombre y el tipo del producto con elementos digitales, y toda información adicional que permita su identificación única.

2. El nombre y la dirección del fabricante o de su representante autorizado.

3. La afirmación de que la declaración UE de conformidad se emite bajo la exclusiva responsabilidad del proveedor.

4. El objeto de la declaración (identificación del producto que permita la trazabilidad. Podrá incluir, cuando proceda, una fotografía).

5. La afirmación de que el objeto de la declaración descrito anteriormente es conforme a las normas de armonización de la Unión pertinentes.

6. Referencias a todas las normas armonizadas pertinentes utilizadas o a cualquier otra especificación común o certificación de la ciberseguridad respecto a las cuales se declara la conformidad.

7. En su caso, el nombre y número del organismo notificado, una descripción del procedimiento de evaluación de la conformidad llevado a cabo y la identificación del certificado emitido.

8. Información adicional:

 

Firmado por y en nombre de: …………………………………

(lugar y fecha de expedición):

(nombre, cargo) (firma):

ANEXO V

 

CONTENIDO DE LA DOCUMENTACIÓN TÉCNICA

 

La documentación técnica a que hace referencia el artículo 23 contendrá como mínimo la siguiente información, en función del producto con elementos digitales de que se trate:

1. una descripción general del producto con elementos digitales, incluidas:

(a) su finalidad prevista;

(b)  las versiones de los programas informáticos que afecten al cumplimiento de los requisitos esenciales;

(c)  cuando el producto con elementos digitales sea un producto consistente en equipos informáticos, fotografías o ilustraciones que muestren las características externas, el marcado y la configuración interna;

(d)  la información y las instrucciones para el usuario indicadas en el anexo II;

2. una descripción del diseño, el desarrollo y la producción del producto y de los procesos de gestión de las vulnerabilidades, que incluya:

(a) información completa sobre el diseño y el desarrollo del producto con elementos digitales, incluidos, en su caso, planos y esquemas, o una descripción de la arquitectura del sistema que explique cómo se apoyan o se alimentan mutuamente los componentes de los programas informáticos y cómo se integran en el tratamiento general;

(b)  información completa y especificaciones de los procesos de gestión de las vulnerabilidades establecidos por el fabricante, incluida la nomenclatura de materiales de los programas informáticos, la política de divulgación coordinada de vulnerabilidades, pruebas de que se ha facilitado una dirección de contacto para la notificación de vulnerabilidades y una descripción de las soluciones técnicas elegidas para la distribución segura de las actualizaciones;

(c)  información completa y especificaciones de los procesos de producción y seguimiento del producto con elementos digitales y la validación de estos procesos;

3. una evaluación de los riesgos de ciberseguridad frente a los cuales se haya diseñado, desarrollado, producido, entregado y mantenido el producto con elementos digitales, tal como se establece en el artículo 10 del presente Reglamento, también en lo que ataña al modo en que son aplicables los requisitos esenciales formulados en la sección 1 del anexo I;

4. una lista de las normas armonizadas, aplicadas total o parcialmente, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea, las especificaciones comunes tal como se definen en el artículo 19 del presente Reglamento o los esquemas de certificación de la ciberseguridad adoptados con arreglo al Reglamento (UE) 2019/881 de conformidad con el artículo 18, apartado 3, y, cuando no se hayan aplicado esas normas armonizadas, especificaciones comunes o esquemas de certificación de la ciberseguridad, la descripción de las soluciones adoptadas para cumplir los requisitos esenciales establecidos en las secciones 1 y 2 del anexo I, junto con una lista de otras especificaciones técnicas pertinentes aplicadas; en caso de normas armonizadas, especificaciones comunes o certificaciones de la ciberseguridad que se apliquen parcialmente, se especificarán en la documentación técnica las partes que se hayan aplicado;

5. informes de los ensayos realizados para verificar la conformidad del producto y de los procesos de gestión de las vulnerabilidades con los requisitos esenciales aplicables que se establecen en las secciones 1 y 2 del anexo I;

6. una copia de la declaración UE de conformidad;

7. cuando proceda, la nomenclatura de materiales de los programas informáticos, tal como se define en el artículo 3, punto 36, previa solicitud motivada por parte de una autoridad de vigilancia del mercado, siempre que sea necesario para que dicha autoridad pueda comprobar el cumplimiento de los requisitos esenciales establecidos en el anexo I.

ANEXO VI

 

PROCEDIMIENTOS DE EVALUACIÓN DE LA CONFORMIDAD

 

Procedimiento de evaluación de la conformidad basado en el control interno (basado en el módulo A)

1. El control interno es el procedimiento de evaluación de la conformidad mediante el cual el fabricante cumple las obligaciones establecidas en los puntos 2, 3 y 4, y garantiza y declara, bajo su exclusiva responsabilidad, que los productos con elementos digitales son conformes con todos los requisitos esenciales establecidos en la sección 1 del anexo I, y que el fabricante cumple los requisitos esenciales establecidos en la sección 2 del anexo I.

2. El fabricante elaborará la documentación técnica descrita en el anexo V.

3. Diseño, desarrollo, producción de los productos con elementos digitales y gestión de las vulnerabilidades

El fabricante adoptará todas las medidas necesarias para que los procesos de diseño, desarrollo, producción y gestión de las vulnerabilidades, así como el seguimiento de dichos procesos, garanticen la conformidad de los productos con elementos digitales fabricados o desarrollados y de los procesos establecidos por el fabricante con los requisitos esenciales establecidos en las secciones 1 y 2 del anexo I.

4. Marcado de conformidad y declaración de conformidad

4.1. El fabricante colocará el marcado CE en cada producto con elementos digitales que satisfaga los requisitos aplicables del presente Reglamento.

4.2. El fabricante redactará una declaración UE de conformidad por escrito para cada producto con elementos digitales con arreglo al artículo 20 y la mantendrá, junto con la documentación técnica, a disposición de las autoridades nacionales durante un periodo de diez años después de la introducción en el mercado del producto con elementos digitales o el período de soporte, si este fuese más prolongado. En la declaración UE de conformidad se identificará el producto con elementos digitales para el cual haya sido elaborada. Se facilitará una copia de la declaración CE de conformidad a las autoridades competentes que lo soliciten.

5. Representantes autorizados

Las obligaciones del fabricante establecidas en el punto 4 podrá cumplirlas, en su nombre y bajo su responsabilidad, su representante autorizado, siempre que estén especificadas en el mandato.

 

Examen de tipo UE (basado en el módulo B)

1. El examen de tipo UE es la parte de un procedimiento de evaluación de la conformidad mediante la cual un organismo notificado examina el diseño técnico y el desarrollo de un producto y los procesos de gestión de las vulnerabilidades establecidos por el fabricante, y certifica que un producto con elementos digitales cumple los requisitos esenciales establecidos en la sección 1 del anexo I y que el fabricante cumple los requisitos esenciales establecidos en la sección 2 del anexo I.

2. El examen de tipo UE se llevará a cabo mediante una evaluación de la adecuación del diseño técnico y el desarrollo del producto a través del examen de la documentación técnica y las pruebas de apoyo a que se hace referencia en el punto 3, más el examen de las muestras de una o varias partes críticas del producto (combinación del tipo de producción y el tipo de diseño).

3. El fabricante deberá presentar una solicitud de examen de tipo UE a un organismo notificado único de su elección.

La solicitud incluirá:

– El nombre y la dirección del fabricante y, si la solicitud la presenta el representante autorizado, también el nombre y la dirección de este;

– Una declaración por escrito de que no se ha presentado la misma solicitud ante ningún otro organismo notificado.

– La documentación técnica, que permitirá evaluar la conformidad del producto con los requisitos esenciales aplicables establecidos en la sección 1 del anexo I, y los procesos de gestión de las vulnerabilidades por parte del fabricante establecidos en la sección 2 del anexo I, e incluirá un análisis y una evaluación adecuados del riesgo o riesgos. Especificará los requisitos aplicables y contemplará, en la medida en que sea pertinente para la evaluación, el diseño, la fabricación y el funcionamiento del producto. Incluirá, cuando proceda, al menos los elementos establecidos en el anexo V.

– Pruebas que acrediten la adecuación de las soluciones técnicas de diseño y desarrollo y de los procesos de gestión de las vulnerabilidades. Estas pruebas mencionarán todos los documentos que se hayan utilizado, en particular, en caso de que las normas armonizadas pertinentes o las especificaciones técnicas no se hayan aplicado íntegramente. Las pruebas incluirán, en caso necesario, los resultados de los ensayos realizados por el laboratorio apropiado del fabricante o por otro laboratorio de ensayo en su nombre y bajo su responsabilidad.

4. El organismo notificado:

4.1. examinará la documentación técnica y las pruebas para evaluar la adecuación del diseño técnico y del desarrollo del producto con los requisitos esenciales establecidos en la sección 1 del anexo I y la adecuación de los procesos de gestión de las vulnerabilidades establecidos por el fabricante con los requisitos esenciales establecidos en la sección 2 del anexo I;

4.2. comprobará que las muestras se han desarrollado o fabricado conforme a la documentación técnica, e identificará los elementos que se han diseñado y desarrollado con arreglo a las disposiciones aplicables de las normas armonizadas o especificaciones técnicas pertinentes, así como los elementos que se han diseñado y desarrollado sin aplicar las disposiciones pertinentes de dichas normas;

4.3. efectuará, o hará que se efectúen, los exámenes y ensayos oportunos para comprobar si, cuando el fabricante haya optado por aplicar las soluciones de las normas armonizadas o especificaciones técnicas pertinentes en relación con los requisitos establecidos en el anexo I, su aplicación ha sido correcta;

4.4. efectuará, o hará que se efectúen, los exámenes y ensayos oportunos para comprobar si, en caso de que no se hayan aplicado las soluciones de las normas armonizadas o especificaciones técnicas pertinentes en relación con los requisitos establecidos en el anexo I, las soluciones adoptadas por el fabricante cumplen los requisitos esenciales correspondientes;

4.5. acordará con el fabricante el lugar donde se realizarán los exámenes y los ensayos.

5. El organismo notificado elaborará un informe de evaluación que recoja las actividades realizadas de conformidad con el punto 4 y sus resultados. Sin perjuicio de sus obligaciones frente a las autoridades notificantes, el organismo notificado solo dará a conocer el contenido del informe, íntegramente o en parte, con el acuerdo del fabricante.

6. Si el tipo y los procesos de gestión de las vulnerabilidades cumplen los requisitos esenciales establecidos en el anexo I, el organismo notificado expedirá al fabricante un certificado de examen de tipo UE. El certificado incluirá el nombre y la dirección del fabricante, las conclusiones del examen, las condiciones de validez (en su caso) y los datos necesarios para la identificación del tipo aprobado y de los procesos de gestión de las vulnerabilidades. Se podrán adjuntar al certificado uno o varios anexos.

El certificado y sus anexos contendrán toda la información pertinente que permita evaluar la conformidad de los productos fabricados o desarrollados con el tipo examinado y los procesos de gestión de las vulnerabilidades, y permitir el control en servicio.

En caso de que el tipo y los procesos de gestión de las vulnerabilidades no cumplan los requisitos esenciales aplicables establecidos en el anexo I, el organismo notificado se negará a expedir un certificado de examen de tipo UE e informará de ello al solicitante, explicando detalladamente su negativa.

7. El organismo notificado se mantendrá informado de los cambios en el estado actual de la técnica generalmente reconocido que indiquen que el tipo aprobado y los procesos de gestión de las vulnerabilidades ya no pueden cumplir los requisitos esenciales establecidos en el anexo I del presente Reglamento, y determinará si tales cambios requieren más investigaciones. En ese caso, el organismo notificado informará al fabricante en consecuencia.

El fabricante informará al organismo notificado en posesión de la documentación técnica relativa al certificado de examen de tipo UE de todas las modificaciones del tipo aprobado y los procesos de gestión de las vulnerabilidades que puedan afectar a la conformidad con los requisitos esenciales establecidos en el anexo I o las condiciones de validez del certificado. Tales modificaciones requerirán una aprobación adicional en forma de suplemento al certificado original de examen de tipo UE.

8. Cada organismo notificado informará a sus autoridades notificantes sobre los certificados de examen de tipo UE o cualquier añadido o añadidos a ellos que haya expedido o retirado, y, periódicamente o previa solicitud, pondrá a disposición de sus autoridades notificantes la lista de certificados o añadidos que hayan sido rechazados, suspendidos o restringidos de otro modo.

Cada organismo notificado informará a los demás organismos notificados sobre los certificados de examen de tipo UE o los añadidos a estos certificados que haya rechazado, retirado, suspendido o restringido de otro modo, y, previa solicitud, sobre los certificados o sus añadidos que haya expedido.

La Comisión, los Estados miembros y los demás organismos notificados podrán, previa solicitud, obtener una copia de los certificados de examen de tipo UE o sus suplementos. Previa solicitud, la Comisión y los Estados miembros podrán obtener una copia de la documentación técnica y los resultados de los exámenes efectuados por el organismo notificado. El organismo notificado conservará una copia del certificado de examen de tipo UE, sus anexos y sus añadidos, así como del expediente técnico que incluya la documentación presentada por el fabricante hasta el final de la validez del certificado.

9. El fabricante conservará a disposición de las autoridades nacionales una copia del certificado de examen de tipo UE, sus anexos y sus añadidos, así como la documentación técnica durante un período de diez años después de la introducción del producto en el mercado o durante el período de soporte.

10. El representante autorizado del fabricante podrá presentar la solicitud a que se hace referencia en el punto 3 y cumplir las obligaciones contempladas en los puntos 7 y 9, siempre que estén especificadas en su mandato.

 

Conformidad con el tipo basada en el control interno de la producción (basada en el módulo C)

1. La conformidad con el tipo basada en el control interno de la producción es la parte del procedimiento de evaluación de la conformidad según la cual el fabricante cumple las obligaciones establecidas en los puntos 2 y 3, y garantiza y declara que los productos en cuestión son conformes con el tipo descrito en el certificado de examen de tipo UE y cumplen los requisitos esenciales establecidos en la sección 1 del anexo I.

2. Producción

2.1. El fabricante tomará todas las medidas necesarias para que la producción y su seguimiento garanticen la conformidad de los productos fabricados con el tipo aprobado descrito en el certificado de examen de tipo UE y con los requisitos esenciales establecidos en la sección 1 del anexo I.

3. Marcado de conformidad y declaración de conformidad

3.1. El fabricante colocará el marcado CE en los productos que sean conformes al tipo descrito en el certificado de examen de tipo UE y satisfagan los requisitos aplicables del instrumento legislativo.

3.2. El fabricante redactará una declaración de conformidad para un modelo de producto y la mantendrá a disposición de las autoridades nacionales durante un período de diez años después de la introducción del producto en el mercado o durante el período de soporte. En la declaración de conformidad se identificará el modelo de producto para el cual ha sido elaborada. Se facilitará una copia de la declaración de conformidad a las autoridades competentes que la soliciten.

4. Representante autorizado

Las obligaciones del fabricante establecidas en el punto 3 podrá cumplirlas su representante autorizado, en su nombre y bajo su responsabilidad, siempre que estén especificadas en su mandato.

 

Conformidad basada en el aseguramiento de calidad total (basada en el módulo H)

1. La conformidad basada en el aseguramiento de calidad total es el procedimiento de evaluación de la conformidad mediante el cual el fabricante cumple las obligaciones establecidas en los puntos 2 y 5, y garantiza y declara, bajo su exclusiva responsabilidad, que los productos (o las categorías de productos) en cuestión son conformes con los requisitos establecidos en la sección 1 del anexo I y que los procesos de gestión de las vulnerabilidades establecidos por el fabricante cumplen los requisitos establecidos en la sección 2 del anexo I.

2. Diseño, desarrollo, producción de los productos con elementos digitales y gestión de las vulnerabilidades

El fabricante aplicará un sistema de calidad aprobado, tal como se especifica en el punto 3, para el diseño, el desarrollo y la producción de los productos en cuestión y la gestión de las vulnerabilidades, lo mantendrá operativo a lo largo de todo el ciclo de vida de los productos en cuestión y estará sujeto a la supervisión especificada en el punto 4.

3. Sistema de calidad

3.1. El fabricante presentará una solicitud de evaluación de su sistema de calidad ante el organismo notificado de su elección, para los productos de que se trate.

La solicitud incluirá:

– El nombre y la dirección del fabricante y, si la solicitud la presenta el representante autorizado, también el nombre y la dirección de este;

– la documentación técnica para un modelo de cada categoría de productos que se pretenda fabricar o desarrollar. La documentación técnica incluirá, cuando proceda, al menos los elementos establecidos en el anexo V;

– la documentación relativa al sistema de calidad; y

– una declaración por escrito de que no se ha presentado la misma solicitud ante ningún otro organismo notificado.

3.2. El sistema de calidad garantizará la conformidad de los productos con los requisitos esenciales establecidos en la sección 1 del anexo I y la conformidad de los procesos de gestión de las vulnerabilidades establecidos por el fabricante con los requisitos establecidos en la sección 2 del anexo I.

Todos los elementos, requisitos y disposiciones adoptados por el fabricante deberán reunirse de forma sistemática y ordenada en una documentación compuesta por políticas, procedimientos e instrucciones por escrito. Esta documentación del sistema de calidad permitirá una interpretación coherente de los programas, planes, manuales y registros de calidad.

En particular, incluirá una descripción adecuada de:

– los objetivos de calidad, el organigrama y las responsabilidades y competencias del personal de gestión en lo que se refiere al diseño, el desarrollo, la calidad del producto y la gestión de las vulnerabilidades;

– las especificaciones técnicas de diseño y desarrollo, incluidas las normas que se aplicarán y, en caso de que las normas armonizadas o las especificaciones técnicas pertinentes no se apliquen plenamente, los medios que se utilizarán para velar por que se cumplan los requisitos esenciales de la sección 1 del anexo I aplicables a los productos;

– las especificaciones de procedimiento, incluidas las normas que se aplicarán y, en caso de que las normas armonizadas o las especificaciones técnicas pertinentes no se apliquen plenamente, los medios que se utilizarán para velar por que se cumplan los requisitos esenciales establecidos en la sección 2 del anexo I aplicables al fabricante;

– las técnicas de control y verificación del diseño y el desarrollo, los procesos y las medidas sistemáticas que se vayan a utilizar en el diseño y el desarrollo de los productos por lo que se refiere a la categoría de productos de que se trate;

– las correspondientes técnicas, procesos y actividades sistemáticas de producción, control de la calidad y aseguramiento de la calidad que se utilizarán;

– los exámenes y los ensayos que se efectuarán antes, durante y después de la producción, y su frecuencia;

– los expedientes de calidad, como los informes de inspección y datos de ensayos, los datos de calibrado, los informes sobre la cualificación del personal implicado, etc.;

– los medios con los que se hace el seguimiento de la consecución del diseño y de la calidad exigidos de los productos y del funcionamiento eficaz del sistema de calidad.

3.3. El organismo notificado evaluará el sistema de calidad para determinar si cumple los requisitos a que se refiere el punto 3.2.

Dará por supuesta la conformidad con dichos requisitos de los elementos del sistema de calidad que cumplan las especificaciones correspondientes de la norma nacional que transponga la norma armonizada o la especificación técnica pertinente.

Además de experiencia en sistemas de gestión de la calidad, el equipo de auditoría tendrá, como mínimo, un miembro con experiencia como evaluador en el campo del producto pertinente y la tecnología del producto en cuestión, así como el conocimiento de los requisitos aplicables del presente Reglamento. La auditoría incluirá una visita de evaluación a las instalaciones del fabricante, siempre que estas existan. El equipo de auditores revisará la documentación técnica mencionada en el punto 3.1, segundo guion, para comprobar si el fabricante es capaz de identificar los requisitos pertinentes del presente Reglamento y de efectuar los exámenes necesarios a fin de garantizar que el producto cumple dichos requisitos.

La decisión se notificará al fabricante o a su representante autorizado.

La notificación incluirá las conclusiones de la auditoría y la decisión de evaluación motivada.

3.4. El fabricante se comprometerá a cumplir las obligaciones que se deriven del sistema de calidad tal como se haya aprobado y a mantenerlo de forma que siga resultando adecuado y eficaz.

3.5. El fabricante mantendrá informado al organismo notificado que haya aprobado el sistema de calidad de cualquier adaptación prevista de dicho sistema.

El organismo notificado evaluará las adaptaciones propuestas y decidirá si el sistema de calidad modificado sigue cumpliendo los requisitos mencionados en el punto 3.2, o si es necesaria una nueva evaluación.

El organismo notificado notificará su decisión al fabricante. La notificación incluirá las conclusiones del examen y la decisión de evaluación motivada.

4. Supervisión bajo la responsabilidad del organismo notificado

4.1. El objetivo de la supervisión es garantizar que el fabricante cumple debidamente las obligaciones que se derivan del sistema de calidad aprobado.

4.2. El fabricante permitirá la entrada del organismo notificado en los locales de diseño, desarrollo, producción, inspección, ensayo y almacenamiento, a efectos de evaluación, y le proporcionará toda la información necesaria, en particular:

– la documentación sobre el sistema de calidad;

– los registros de calidad previstos en la parte del sistema de calidad dedicada al diseño, como los resultados de análisis, cálculos, ensayos, etc.;

– los registros de calidad establecidos en la parte del sistema de calidad dedicada a la fabricación, tales como los informes de inspección, los datos sobre ensayos y calibración, los informes sobre la cualificación del personal afectado, etc.

4.3. El organismo notificado realizará periódicamente auditorías para asegurarse de que el fabricante mantiene y aplica el sistema de calidad y proporcionará un informe de la auditoría al fabricante.

5. Marcado de conformidad y declaración de conformidad

5.1. El fabricante colocará el marcado CE y, bajo la responsabilidad del organismo notificado mencionado en el apartado 3.1, el número de identificación de este último en cada producto que satisfaga los requisitos establecidos en la sección 1 del anexo I del presente Reglamento.

5.2. El fabricante redactará una declaración de conformidad para cada modelo de producto y la mantendrá a disposición de las autoridades nacionales durante un período de diez años después de la introducción del producto en el mercado o durante el período de soporte. En la declaración de conformidad se identificará el modelo de producto para el cual ha sido elaborada.

Se facilitará una copia de la declaración de conformidad a las autoridades competentes que la soliciten.

6. El fabricante mantendrá a disposición de las autoridades nacionales durante un periodo de diez años, durante el período de soporte, o durante el período en el que se gestionen las vulnerabilidades, después de la introducción del producto en el mercado:

– la documentación técnica a que se refiere el punto 3.1;

– la documentación relativa al sistema de calidad a que se refiere el punto 3.1;

– las adaptaciones a que se refiere el punto 3.5 que hayan sido aprobadas;

– las decisiones y los informes del organismo notificado a que se refieren los puntos 3.5, 4.3 y 4.4.

7. Cada organismo notificado informará a sus autoridades notificantes sobre las aprobaciones de sistemas de calidad expedidas o retiradas, y, periódicamente o previa solicitud, pondrá a disposición de sus autoridades notificantes la lista de aprobaciones de sistemas de calidad que haya rechazado, suspendido o restringido de otro modo.

Cada organismo notificado informará a los demás organismos notificados sobre las aprobaciones de sistemas de calidad que haya rechazado, suspendido o retirado y, previa solicitud, de las aprobaciones de sistemas de calidad que haya expedido.

8. Representante autorizado

Las obligaciones del fabricante mencionadas en los puntos 3.1, 3.5, 5 y 6 podrá cumplirlas, en su nombre y bajo su responsabilidad, su representante autorizado, siempre que estén especificadas en el mandato.

ANEXO VI bis

 

NECESIDADES DE CAPACIDADES DE LA AGENCIA DE LA UNIÓN EUROPEA PARA LA CIBERSEGURIDAD (ENISA)

A fin de cumplir con sus obligaciones en virtud del presente Reglamento y no poner en entredicho las obligaciones existentes de la Agencia en virtud de otra legislación de la Unión, se asegurará una dotación de personal y una financiación adecuadas de la ENISA. Por lo tanto, las tareas adicionales que se desprenden para la ENISA del presente Reglamento irán acompañadas de recursos humanos y financieros complementarios. Para ejecutar las tareas adicionales en virtud de este Reglamento serán necesarios nueve puestos de trabajo equivalentes a tiempo completo adicionales y los correspondientes créditos adicionales.

 

 

 

EXPOSICIÓN DE MOTIVOS

El ponente acoge con gran satisfacción la propuesta de la Comisión de abordar las deficiencias de ciberseguridad en equipos y programas informáticos. En 2021, el coste global de la ciberdelincuencia alcanzó la asombrosa suma de 5,5 billones EUR. Este fenómeno, acompañado de la creciente tendencia de digitalización, exige a los legisladores que garanticen la instauración de medidas de ciberseguridad apropiadas para salvaguardar los intereses tanto de los consumidores como de la industria.

 

En este sentido, el ponente saluda que la Comisión haya expuesto una ambiciosa propuesta, que elevará el nivel global de ciberseguridad en los Estados miembros y el funcionamiento del mercado interior. Es necesario un marco normativo armonizado para que las empresas que operan en el mercado único puedan beneficiarse de seguridad jurídica, así como para garantizar que la Unión pueda desempeñar un papel protagonista en la definición de normas de ciberseguridad en el escenario global.

 

En cuanto al alcance se refiere, el ponente coincide con la propuesta de la Comisión de incluir todos los productos con elementos digitales. Este enfoque exhaustivo aportaría una garantía de cumplimiento de ciberseguridad en toda la cadena de valor, mejorando la competitividad y el atractivo de los productos fabricados en la Unión. No obstante, se ha de simplificar la actual formulación y remitirse a productos directa e indirectamente conectables, mientras se excluyen las piezas de repuesto diseñadas exclusivamente para el proceso de reparación, comercializadas antes de la aplicación del presente Reglamento. En materia de programas informáticos de código abierto, el ponente es consciente de la necesidad de proteger esta importante fuente de innovación y, por ello, ha planteado una enmienda para garantizar que no se espere de los desarrolladores que cumplan el presente Reglamento si no reciben ninguna contraprestación financiera por sus proyectos. Sin embargo, los programas informáticos de código abierto suministrados en el ámbito de una actividad comercial sí se deben incluir, a fin de asegurar la ciberseguridad del ecosistema de la Unión.

 

Aunque la gran mayoría de productos con elementos digitales solo tendrán que someterse a una autoevaluación, los productos críticos con arreglo al artículo 6 estarán sujetos a una evaluación de terceros. Al respecto, el ponente cree que el Reglamento se debería mejorar aportando una mayor claridad sobre la frecuencia con que se puede modificar la lista establecida en el anexo III, así como los procedimientos que se han de seguir una vez añadido un producto a dicha lista. Esto último es especialmente importante a fin de darles a las empresas un tiempo adecuado para adaptarse. No obstante, el ponente opina que los sistemas de domótica y los productos que mejoran la seguridad privada, como las cámaras y las cerraduras inteligentes, deben constituir productos críticos de la clase I, puesto que la integridad de dichos artículos es fundamental para la seguridad y la privacidad de los ciudadanos.

 

Por añadidura, en el proyecto de informe se prevé una mayor implicación de las partes interesadas a través de la creación del Grupo de Expertos sobre Ciberresiliencia. Este organismo deberá tener como cometido asesorar a la Comisión y asumir una función activa en la preparación de los actos delegados a que se refiere el presente Reglamento. Así, a fin de expresar plenamente los intereses de todas las partes, el Grupo de Expertos deberá estar compuesto por instituciones, la industria, la sociedad civil, el mundo académico y expertos individuales.

 

Además de la temática susodicha, en el proyecto de informe se destaca la necesidad de que los Estados miembros tengan la ciberseguridad muy en cuenta al realizar compras públicas de productos con elementos digitales y garanticen que las vulnerabilidades se abordan sin dilación.

Sobre la cuestión de las obligaciones de los fabricantes, el ponente piensa que establecer una fecha fija para la vida útil prevista de los productos no es adecuado en un reglamento horizontal, que pretende abarcar una amplia gama de productos, desde programas informáticos hasta teléfonos y maquinaria industrial. Por ende, el ponente cree que resulta más adecuado que los fabricantes determinen la vida útil de sus respectivos productos, siempre que la duración sugerida sea compatible con unas expectativas del consumidor razonables. Una duración flexible permitiría además a los fabricantes exhibir las prolongadas vidas útiles de sus productos como un elemento de competitividad. Por tanto, a fin de aumentar la concienciación de los consumidores sobre este asunto concreto, el Reglamento debería asimismo obligar a los fabricantes a indicar claramente la vida útil prevista del producto en su embalaje o incluirla en los acuerdos contractuales y a notificar a los consumidores cuando la vida útil vaya a finalizar. Por añadidura, el proyecto de informe desea poner el mayor de los énfasis en la seguridad. Así, el ponente cree que los fabricantes deberían estar también obligados a actualizar automáticamente, cuando sea posible, las funciones de seguridad de sus respectivos productos. Si un fabricante ha definido una vida útil prevista inferior a cinco años, debería estar preparado para estipular acuerdos contractuales con empresas que deseen prestar servicios que amplíen dicha vida útil y comunicarles su código fuente. Esta posibilidad no deberá conllevar una transferencia de la titularidad o la divulgación pública del código fuente.

 

En lo referente a las obligaciones de notificación en virtud del artículo 11, el ponente desea adaptar el cronograma a la SRI 2, de manera que haya más coherencia y seguridad jurídica para las partes interesadas. En este sentido, el ponente sugiere notificar los incidentes significativos (en lugar de todos los incidentes), así como las vulnerabilidades aprovechadas activamente, siempre que haya instaurados unos protocolos claros sobre cómo gestionar tales notificaciones, a fin de evitar la difusión de información sobre vulnerabilidades no subsanadas. El ponente introduce igualmente un mecanismo de notificación voluntaria de otros incidentes, cuasiincidentes y ciberamenazas.

 

Empero, para maximizar el efecto de la notificación, es importante contar con una entidad que actúe de ventanilla única, también a fin de simplificar los requisitos de notificación para los fabricantes de toda la Unión. En este sentido, el ponente opina que la mejor institución para desempeñar esta función es la ENISA. Así pues, a la luz del incremento de las tareas y competencias conferidas a la ENISA, la Comisión deberá modificar la ficha financiera legislativa adjunta al presente Reglamento, proporcionándole a la Agencia de la Unión Europea para la Ciberseguridad puestos de trabajo adicionales y los correspondientes créditos adicionales, a fin de ejecutar las tareas complementarias de la agencia expuestas en este Reglamento.

 

Otrosí, una cuestión fundamental para el ponente es garantizar que haya instaurado un apoyo suficiente para que las empresas apliquen los requisitos del presente Reglamento. Tal es el caso, en particular, de las microempresas y las pequeñas y medianas empresas, que, dadas sus capacidades limitadas, podrían enfrentarse a problemas para garantizar el cumplimiento del Reglamento sobre la Ciberseguridad. Por consiguiente, el ponente estima que resulta esencial prolongar la fecha desde la aplicación del Reglamento a 40 meses. En este periodo transitorio, los fabricantes deberán poder cumplir con el Reglamento sobre la Ciberseguridad de manera voluntaria, a fin de obtener una presunción de conformidad con el Reglamento Delegado de la Directiva sobre equipos radioeléctricos y adaptarse al presente Reglamento antes de su aplicación oficial. Además, es deseo del ponente hacer hincapié en la importancia para la Unión de prestar asistencia para la mejora de las capacidades y el reciclaje profesional de los trabajadores y garantizar la disponibilidad de profesionales de ciberseguridad, un elemento esencial para el éxito del presente Reglamento.

 

Por añadidura, como enfoque general para ayudar a todas las partes interesadas, el ponente pide unas directrices de la Comisión para mejorar la concreción sobre la fase de aplicación real, aportando así más claridad a todas las partes interesadas.

 

Otro asunto igualmente apremiante para el ponente es el comercio internacional. Este es el motivo por el que en el proyecto de informe se insta a la Comisión a considerar acuerdos de reconocimiento mutuo con países terceros afines, si comparten un nivel comparable de desarrollo técnico y adoptan un enfoque compatible sobre la evaluación de la conformidad, garantizando el mismo nivel de protección que el ofrecido por el presente Reglamento. Sin embargo, es esencial que se asegure una supervisión adecuada de los productos provenientes de países de riesgo, que podrían contener puertas traseras u otras vulnerabilidades: la ENISA deberá coordinarse con las autoridades de vigilancia del mercado y realizar los controles necesarios a los proveedores que puedan presentar un perfil de mayor riesgo.

 

En último lugar, el ponente cree que los ingresos generados por las sanciones deberían asignarse a proyectos que eleven el nivel general de ciberseguridad en toda la Unión, afectándose así al programa Europa Digital y apoyando proyectos dirigidos —entre otros fines— a la mejora de las capacidades y el reciclaje profesional de la mano de obra actual.

 

 

 

ANEXO: LISTA DE LAS ORGANIZACIONES O PERSONAS QUE HAN COLABORADO CON EL PONENTE

La lista siguiente se ha elaborado con carácter totalmente voluntario y bajo la responsabilidad exclusiva del ponente. La ponente ha recibido contribuciones de las siguientes organizaciones o personas durante la preparación del informe hasta su adopción en comisión:

Organización o persona

(ISC)2

ACEM

Airlines4Europe

Alliance for IoT and Edge Computing Innovation

Amazon

American Chamber of Commerce

ANEC (Asociación Europea para la Coordinación de la Representación de los Consumidores en la Normalización)

Apple

APPLiA

Associazione Italiana Internet Provider

BDI

Beuc

Bitkom

BritCham

Broadcom

BSA - The Software alliance

Business Europe

Card Payment Sweden

CEMA

Centrum für Europäische Politik

CNH

Confederation of Danish Industries (DI)

Confindustria

Cybersecurity Coalition

DEKRA

Deutsche Telekom

Developers Alliance

Digital Europe

Enedis

Engineering

Ericsson

ESMIG

ETNO

ETRMA

Organización Europea de Ciberseguridad

European Materials Handling Federation (FEM)

Eurosmart

Federunacoma

Free Software Foundation Europe

German Insurance Association

Giesecke+Devrient

GitHub

Google

GSMA

Hanbury Strategy

Huawei

IBM

Independent Retail Europe

Information Technology Industry Council

Leaseurope

Lenovo

Mechanical Engineering Industry Association (VDMA)

MedTechEurope

Microsoft

Okta

Open Forum Europe

Orange

Orgalim

Representación Permanente de Bélgica

Representación Permanente de Italia

Representación Permanente de los Países Bajos

Piaggio

Privacy International

SAP

Schneider Electric

Siemens

SME United

Splunk

Technology Industries of Finland

Telefónica

TIC Council

Trellix

Twillio

Unife

Vodafone Group

Wikimedia

Worldr

Xiaomi

Zoom

 

 

OPINIÓN DE LA COMISIÓN DE MERCADO INTERIOR Y PROTECCIÓN DEL CONSUMIDOR (30.6.2023)

para la Comisión de Industria, Investigación y Energía

sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020

(COM(2022)0454 – C9‑0308/2022 – 2022/0272(COD))

Ponente de opinión (*): Morten Løkkegaard

(*) Comisión asociada – artículo 57 del Reglamento interno

 

BREVE JUSTIFICACIÓN

Como antiguo ponente de opinión en la Comisión IMCO sobre la Directiva SRI 2, el ponente percibe la Ley de ciberresiliencia como un siguiente paso crucial y natural para mejorar la ciberseguridad de la Unión Europea. Siendo plenamente conscientes de que, por definición, la ciberseguridad nunca será completa al 100 %, el ponente considera importante que hagamos todo lo que esté en nuestras manos para reducir el número de «eslabones débiles» existentes en nuestra Unión, y la Ley de ciberresiliencia constituye un paso adelante acogido favorablemente en esa dirección. Debemos reforzar la ciberseguridad de los productos con elementos digitales, así como de otros nuevos productos como los dispositivos del internet de las cosas que han pasado a constituir un componente natural de la vida ordinaria de los consumidores y las empresas europeos.

 

Habida cuenta de que la Comisión IMCO es responsable del funcionamiento y la implantación del mercado único, incluido el mercado único digital, y de las normas sobre la protección de los consumidores, el ponente ha procurado adoptar enmiendas encaminadas a mejorar el funcionamiento del mercado interior, proporcionando al mismo tiempo un elevado nivel de protección a los consumidores dentro del ámbito de aplicación de la propuesta, específicamente en lo que atañe a los requisitos de ciberseguridad de los productos con elementos digitales.

Además, el ponente cree que algunos aspectos de la propuesta de Reglamento deben mejorarse para generar claridad jurídica y coherencia entre las disposiciones pertinentes de dicha propuesta y otros instrumentos jurídicos, entre los que figuran, en particular, la Directiva SRI 2, el Reglamento relativo a la seguridad general de los productos recientemente adoptado, el Reglamento sobre la inteligencia artificial y el Reglamento relativo a las máquinas, así como diversos actos delegados y de ejecución pertinentes. En este sentido, el ponente ha propuesto enmiendas encaminadas a mejorar la claridad jurídica y a contribuir a garantizar una interpretación y una ejecución coherentes, eficaces y congruentes de los instrumentos referidos.

Por otra parte, dado que las microempresas y las pequeñas y medianas empresas son agentes económicos cruciales en el mercado digital, el ponente ha introducido varias enmiendas concebidas para simplificar los procedimientos administrativos y limitar la carga administrativa que soportan las pequeñas empresas, sin reducir el nivel de seguridad. El ponente ha introducido además varias enmiendas que garantizan que a las microempresas y a las pymes se les impartirán orientaciones y asesoramiento específicos para cumplir los requisitos de la Ley de ciberresiliencia.

Por último, el ponente ha introducido enmiendas con las que se pretende garantizar una comunicación más eficiente con las autoridades competentes (autoridades de vigilancia del mercado nacionales, ENISA), además de reforzar las disposiciones relativas a las obligaciones y a las competencias de las autoridades pertinentes en lo que atañe a las reclamaciones, las inspecciones y las actividades conjuntas. El ponente ha formulado asimismo algunas enmiendas centradas en la mejora de los requisitos de ciberseguridad para los componentes integrados en productos finales con elementos digitales, especificando las obligaciones de los operadores económicos, como los fabricantes y los representantes autorizados.

El ponente reitera la posición de que la adopción de la Ley de ciberresiliencia constituye un siguiente paso oportuno y natural para atajar las amenazas que se ciernen sobre la ciberseguridad en nuestra Unión. Con las enmiendas planteadas, el ponente ha procurado encontrar el equilibrio adecuado entre la consecución de un mayor nivel de ciberseguridad en beneficio de los consumidores europeos y una carga proporcionada para la comunidad empresarial. El ponente persigue que la ciberseguridad se convierta en un parámetro natural de la competencia en el mercado interior. El ponente ha procurado el ajuste de la propuesta con este objetivo en mente.

 

ENMIENDAS

La Comisión de Mercado Interior y Protección del Consumidor pide a la Comisión de Industria, Investigación y Energía, competente para el fondo, que tome en consideración las siguientes enmiendas:

 

Enmienda  1

 

Propuesta de Reglamento

Considerando 1

Texto de la Comisión	Enmienda
(1) Es necesario mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme relativo a los requisitos esenciales de ciberseguridad para la comercialización de productos con elementos digitales en la Unión. Deben abordarse dos problemas importantes que suponen un aumento de los costes para los usuarios y la sociedad: un bajo nivel de ciberseguridad de los productos con elementos digitales, que se refleja en vulnerabilidades generalizadas y en la oferta insuficiente e incoherente de actualizaciones de seguridad para hacerles frente, y la insuficiencia de la comprensión de la información y del acceso a ella por parte de los usuarios, que les impide elegir productos con las características de ciberseguridad adecuadas o utilizarlos de manera segura.	(1) Es necesario mejorar el funcionamiento del mercado interior procurando al mismo tiempo un nivel elevado de protección de los consumidores y de ciberseguridad mediante el establecimiento de un marco jurídico uniforme relativo a los requisitos esenciales de ciberseguridad para la comercialización de productos con elementos digitales en la Unión. Deben abordarse dos problemas importantes que suponen un aumento de los costes para los usuarios y la sociedad: un bajo nivel de ciberseguridad de los productos con elementos digitales, que se refleja en vulnerabilidades generalizadas y en la oferta insuficiente e incoherente de actualizaciones de seguridad para hacerles frente, y la insuficiencia de la comprensión de la información y del acceso a ella por parte de los usuarios, que les impide elegir productos con las características de ciberseguridad adecuadas o utilizarlos de manera segura.

Enmienda  2

 

Propuesta de Reglamento

Considerando 7

Texto de la Comisión	Enmienda
(7) En determinadas condiciones, todos los productos con elementos digitales integrados en un sistema electrónico de información más amplio o conectados a este pueden servir de vector de ataque para agentes malintencionados. En consecuencia, incluso los equipos y programas informáticos considerados menos críticos pueden facilitar que un dispositivo o red se vea comprometido en una fase inicial, lo que permite a los agentes malintencionados obtener un acceso privilegiado a un sistema o moverse lateralmente entre sistemas. Por consiguiente, los fabricantes deben garantizar que todos los productos con elementos digitales conectables se diseñen y desarrollen de conformidad con los requisitos esenciales establecidos en el presente Reglamento. Se incluyen aquí tanto los productos que puedan conectarse físicamente, a través de interfaces en los equipos informáticos, como los que se conecten mediante conexiones lógicas, a través, por ejemplo, de zócalos, conductos, archivos, interfaces de programación de aplicaciones o cualquier otro tipo de interfaz de programa. Teniendo en cuenta que las amenazas a la ciberseguridad pueden propagarse a través de diversos productos con elementos digitales antes de alcanzar un objetivo determinado, por ejemplo, mediante el aprovechamiento sucesivo de múltiples vulnerabilidades, los fabricantes también deben garantizar la ciberseguridad de aquellos productos cuya conexión a otros dispositivos o redes es indirecta.	(7) En determinadas condiciones, todos los productos con elementos digitales integrados en un sistema electrónico de información más amplio o conectados a este pueden servir de vector de ataque para agentes malintencionados. En consecuencia, incluso los equipos y programas informáticos considerados menos críticos pueden facilitar que un dispositivo o red se vea comprometido en una fase inicial, lo que permite a los agentes malintencionados obtener un acceso privilegiado a un sistema o moverse lateralmente entre sistemas. Por consiguiente, los fabricantes deben garantizar que todos los productos con elementos digitales conectados a una red o un dispositivo externos se diseñen y desarrollen de conformidad con los requisitos esenciales establecidos en el presente Reglamento. Se incluyen aquí tanto los productos que puedan conectarse a redes o dispositivos externos físicamente, a través de interfaces en los equipos informáticos, como los que se conecten mediante conexiones lógicas, a través, por ejemplo, de zócalos, conductos, archivos, interfaces de programación de aplicaciones o cualquier otro tipo de interfaz de programa. Teniendo en cuenta que las amenazas a la ciberseguridad pueden propagarse a través de diversos productos con elementos digitales antes de alcanzar un objetivo determinado, por ejemplo, mediante el aprovechamiento sucesivo de múltiples vulnerabilidades, los fabricantes también deben garantizar la ciberseguridad de aquellos productos cuya conexión a otros dispositivos o redes es indirecta.

Enmienda  3

 

Propuesta de Reglamento

Considerando 7 bis (nuevo)

Texto de la Comisión	Enmienda
	(7 bis) El presente Reglamento no debe aplicarse a las redes internas de un producto con elementos digitales si tales redes disponen de nodos finales dedicados y están completamente aisladas y protegidas frente a las conexiones de datos externas.

Enmienda  4

 

Propuesta de Reglamento

Considerando 7 ter (nuevo)

Texto de la Comisión	Enmienda
	(7 ter) El presente Reglamento no debe aplicarse a las piezas de repuesto destinadas únicamente a sustituir piezas defectuosas de productos con elementos digitales con el fin de restablecer su funcionalidad.

Enmienda  5

 

Propuesta de Reglamento

Considerando 9

Texto de la Comisión	Enmienda
(9) El presente Reglamento garantiza un elevado nivel de ciberseguridad de los productos con elementos digitales. No regula servicios, como el software como servicio (SaaS), excepto en el caso de las soluciones de tratamiento de datos a distancia relacionadas con un producto con elementos digitales, entendido como todo tratamiento de datos a distancia para el que el programa informático haya sido diseñado y desarrollado por el fabricante del producto en cuestión o bajo la responsabilidad de dicho fabricante, y cuya ausencia impediría que el producto con elementos digitales cumpliera alguna de sus funciones. La [Directiva XXX/XXXX (SRI 2)] establece requisitos de ciberseguridad y de notificación de incidentes para las entidades esenciales e importantes, como las infraestructuras críticas, con el objetivo de aumentar la resiliencia de los servicios prestados. La [Directiva XXX/XXXX (SRI 2)] se aplica a los servicios de computación en nube y a los modelos de servicios en nube, como el SaaS. Todas las entidades que prestan servicios de computación en nube en la Unión y alcanzan o superan el umbral para las medianas empresas entran en el ámbito de aplicación de la Directiva.	(9) El presente Reglamento garantiza un elevado nivel de ciberseguridad de los productos con elementos digitales. No regula servicios, como el software como servicio (SaaS). La [Directiva XXX/XXXX (SRI 2)] establece requisitos de ciberseguridad y de notificación de incidentes para las entidades esenciales e importantes, como las infraestructuras críticas, con el objetivo de aumentar la resiliencia de los servicios prestados. La [Directiva XXX/XXXX (SRI 2)] se aplica a los servicios de computación en nube y a los modelos de servicios en nube, como el SaaS. Todas las entidades que prestan servicios de computación en nube en la Unión y alcanzan o superan el umbral para las medianas empresas entran en el ámbito de aplicación de la Directiva.

Enmienda  6

 

Propuesta de Reglamento

Considerando 10

Texto de la Comisión	Enmienda
(10) Para no obstaculizar la innovación o la investigación, el presente Reglamento no debe aplicarse a los programas informáticos libres y de código abierto desarrollados o suministrados al margen de una actividad comercial. Este es el caso, en particular, de los programas informáticos, incluidos su código fuente y sus versiones modificadas, que se comparten abiertamente y son accesibles, utilizables, modificables y redistribuibles libremente. En el contexto de los programas informáticos, una actividad comercial puede caracterizarse no solo por la aplicación de un precio a un producto, sino también por la aplicación de un precio a los servicios de asistencia técnica, por el suministro de una plataforma de software a través de la cual el fabricante monetiza otros servicios o por el uso de datos personales por razones distintas de las relacionadas exclusivamente con la mejora de la seguridad, la compatibilidad o la interoperabilidad del programa informático.	(10) Los programas informáticos y los datos que se compartan abiertamente y a los que los usuarios puedan acceder, usar, modificar y redistribuir con libertad (ya sean estos o versiones modificadas de los mismos) pueden contribuir a la investigación e innovación en el mercado. Los estudios llevados a cabo por la Comisión también ponen de relieve que los programas informáticos libres y de código abierto pueden aportar al PIB de la Unión entre 65 000 y 95 000 millones EUR, y que pueden proporcionar oportunidades de crecimiento significativas a la economía europea. Para no obstaculizar la innovación o la investigación, el presente Reglamento no debe aplicarse a los programas informáticos libres y de código abierto desarrollados o suministrados al margen de una actividad comercial. Este es el caso, en particular, de los programas informáticos, incluidos su código fuente y sus versiones modificadas, que se comparten abiertamente y son accesibles, utilizables, modificables y redistribuibles libremente. No obstante, una actividad comercial, entendida como la introducción de un determinado producto o servicio en el mercado, puede caracterizarse por la aplicación de un precio a un componente de un programa informático libre y de código abierto, pero también por actividades de monetización como la aplicación de un precio a los servicios de asistencia técnica, por las actualizaciones de programas informáticos retribuidas, a menos que tenga por finalidad únicamente la recuperación de los costes reales, por el suministro de una plataforma de software a través de la cual el fabricante monetiza otros servicios o por el uso de datos personales por razones distintas de las relacionadas exclusivamente con la mejora de la seguridad, la compatibilidad o la interoperabilidad del programa informático. Ni el desarrollo colaborativo de componentes de programas informáticos libres y de código abierto ni su puesta a disposición en repositorios abiertos deben constituir actividades de comercialización o puesta en servicio. Las circunstancias en las que se ha desarrollado el producto o el modo en que se ha financiado el desarrollo no se han de tener en cuenta a la hora de determinar el carácter comercial o no comercial de dicha actividad. Cuando un programa informático de código abierto se integra en un producto final con elementos digitales que se comercializa, el operador económico que haya comercializado dicho producto final será responsable de la conformidad del producto, incluidos los componentes libres y de código abierto.

Enmienda  7

 

Propuesta de Reglamento

Considerando 11

Texto de la Comisión	Enmienda
(11) Una internet segura es indispensable para el funcionamiento de las infraestructuras críticas y para la sociedad en su conjunto. La [Directiva XXX/XXXX (SRI 2)] tiene por objeto garantizar un elevado nivel de ciberseguridad de los servicios prestados por entidades esenciales e importantes, incluidos los proveedores de infraestructuras digitales que apoyan las funciones básicas de la internet abierta o garantizan el acceso a internet y los servicios de internet. Por consiguiente, es importante que los productos con elementos digitales necesarios para que los proveedores de infraestructuras digitales garanticen el funcionamiento de internet se desarrollen de manera segura y cumplan normas de seguridad de internet bien establecidas. El presente Reglamento, que se aplica a todos los productos conectables consistentes en equipos y programas informáticos, tiene también por objeto facilitar que los proveedores de infraestructuras digitales cumplan los requisitos de la cadena de suministro con arreglo a la [Directiva XXX/XXXX (SRI 2)], garantizando que los productos con elementos digitales que utilizan para prestar sus servicios se desarrollen de forma segura y que tienen acceso a actualizaciones de seguridad oportunas para dichos productos.	(11) Una internet segura es indispensable para el funcionamiento de las infraestructuras críticas y para la sociedad en su conjunto. La [Directiva XXX/XXXX (SRI 2)] tiene por objeto garantizar un elevado nivel de ciberseguridad de los servicios prestados por entidades esenciales e importantes, incluidos los proveedores de infraestructuras digitales que apoyan las funciones básicas de la internet abierta o garantizan el acceso a internet y los servicios de internet. Por consiguiente, es importante que los productos con elementos digitales necesarios para que los proveedores de infraestructuras digitales garanticen el funcionamiento de internet se desarrollen de manera segura y cumplan normas de seguridad de internet bien establecidas. El presente Reglamento, que se aplica a todos los productos consistentes en equipos y programas informáticos conectados a una red o un dispositivo externos, tiene también por objeto facilitar que los proveedores de infraestructuras digitales cumplan los requisitos de la cadena de suministro con arreglo a la [Directiva XXX/XXXX (SRI 2)], garantizando que los productos con elementos digitales que utilizan para prestar sus servicios se desarrollen de forma segura y que tienen acceso a actualizaciones de seguridad oportunas para dichos productos.

Enmienda  8

 

Propuesta de Reglamento

Considerando 15

Texto de la Comisión	Enmienda
(15) El Reglamento Delegado (UE) 2022/30 especifica que los requisitos esenciales establecidos en el artículo 3, apartado 3, letra d) (daños a la red y utilización inadecuada de los recursos de la red), letra e) (datos personales y privacidad) y letra f) (fraude) de la Directiva 2014/53/UE se aplican a determinados equipos radioeléctricos. [La Decisión de Ejecución XXX/2022 de la Comisión relativa a una petición de normalización dirigida a las organizaciones europeas de normalización] establece requisitos para la elaboración de normas específicas que detallan con mayor precisión cómo deben abordarse estos tres requisitos esenciales. Los requisitos esenciales establecidos por el presente Reglamento incluyen todos los elementos de los requisitos esenciales mencionados en el artículo 3, apartado 3, letras d), e) y f), de la Directiva 2014/53/UE. Además, los requisitos esenciales establecidos en el presente Reglamento se ajustan a los objetivos de los requisitos de las normas específicas incluidos en dicha petición de normalización. Por tanto, si la Comisión deroga o modifica el Reglamento Delegado (UE) 2022/30 y, en consecuencia, este deja de aplicarse a determinados productos sujetos al presente Reglamento, la Comisión y las organizaciones europeas de normalización deben tener en cuenta el trabajo de normalización llevado a cabo en el contexto de la Decisión de Ejecución C(2022)5637 de la Comisión, relativa a una petición de normalización para el Reglamento Delegado (UE) 2022/30, que completa la Directiva sobre equipos radioeléctricos, en lo que respecta a la preparación y el desarrollo de normas armonizadas para facilitar la ejecución del presente Reglamento.	(15) El Reglamento Delegado (UE) 2022/30 especifica que los requisitos esenciales establecidos en el artículo 3, apartado 3, letra d) (daños a la red y utilización inadecuada de los recursos de la red), letra e) (datos personales y privacidad) y letra f) (fraude) de la Directiva 2014/53/UE se aplican a determinados equipos radioeléctricos. [La Decisión de Ejecución XXX/2022 de la Comisión relativa a una petición de normalización dirigida a las organizaciones europeas de normalización] establece requisitos para la elaboración de normas específicas que detallan con mayor precisión cómo deben abordarse estos tres requisitos esenciales. Los requisitos esenciales establecidos por el presente Reglamento incluyen todos los elementos de los requisitos esenciales mencionados en el artículo 3, apartado 3, letras d), e) y f), de la Directiva 2014/53/UE. Además, los requisitos esenciales establecidos en el presente Reglamento se ajustan a los objetivos de los requisitos de las normas específicas incluidos en dicha petición de normalización. Por tanto, cuando la Comisión derogue el Reglamento Delegado (UE) 2022/30 y, en consecuencia, este deje de aplicarse a determinados productos sujetos al presente Reglamento, la Comisión y las organizaciones europeas de normalización deben tener en cuenta el trabajo de normalización llevado a cabo en el contexto de la Decisión de Ejecución C(2022)5637 de la Comisión, relativa a una petición de normalización para el Reglamento Delegado (UE) 2022/30, que completa la Directiva sobre equipos radioeléctricos, en lo que respecta a la preparación y el desarrollo de normas armonizadas para facilitar la ejecución del presente Reglamento.

Enmienda  9

 

Propuesta de Reglamento

Considerando 18 bis (nuevo)

Texto de la Comisión	Enmienda
	(18 bis) Con el fin de garantizar que los desarrolladores individuales o microdesarrolladores de programas informáticos, tal como se definen en la Recomendación 2003/361/CE de la Comisión, no se enfrenten a importantes obstáculos financieros y no desistan de analizar la prueba de concepto, así como la justificación económica en el mercado, se debe exigir a estas entidades que hagan cuanto esté en su mano por cumplir con los requisitos de la presente propuesta durante los seis meses siguientes a la comercialización de un programa informático. Este régimen especial debe evitar el efecto disuasorio que unos elevados costes de conformidad y de entrada en el mercado podrían ejercer en los emprendedores y los particulares cualificados que consideren la opción de desarrollar programas informáticos en la Unión. Sin embargo, este régimen especial no debe aplicarse a los productos altamente críticos con elementos digitales.

Enmienda  10

 

Propuesta de Reglamento

Considerando 19

Texto de la Comisión	Enmienda
(19) De conformidad con el artículo 3, apartado 2, del Reglamento (UE) 2019/881, corresponde a la ENISA desempeñar determinadas tareas previstas en el presente Reglamento. En particular, la ENISA debe recibir notificaciones de los fabricantes relativas a las vulnerabilidades aprovechadas activamente presentes en los productos con elementos digitales y a los incidentes que repercutan en la seguridad de dichos productos. La ENISA también debe transmitir estas notificaciones a los equipos de respuesta a incidentes de seguridad informática (CSIRT) pertinentes o, según corresponda, a los puntos de contacto únicos de los Estados miembros designados de conformidad con el artículo [artículo X] de la Directiva [Directiva XXX/XXXX (SRI 2)], así como informar a las autoridades de vigilancia del mercado pertinentes sobre la vulnerabilidad notificada. Sobre la base de la información que recopile, la ENISA debe elaborar un informe técnico bienal sobre las tendencias emergentes en relación con los riesgos de ciberseguridad en productos con elementos digitales y presentarlo al Grupo de Cooperación especificado en la Directiva [Directiva XXX/XXXX (SRI 2)]. Además, teniendo en cuenta sus conocimientos técnicos y su mandato, la ENISA debe poder apoyar el proceso de ejecución del presente Reglamento. En particular, debe ser capaz de proponer actividades conjuntas que las autoridades de vigilancia del mercado deberán llevar a cabo sobre la base de determinadas indicaciones o información sobre el posible incumplimiento del presente Reglamento por parte de productos con elementos digitales en varios Estados miembros, o de identificar categorías de productos para las que deban organizarse acciones de control simultáneas coordinadas. En circunstancias excepcionales que requieran una intervención inmediata para preservar el buen funcionamiento del mercado interior, la ENISA, a petición de la Comisión, debe poder llevar a cabo evaluaciones relativas a productos específicos con elementos digitales que presenten un riesgo de ciberseguridad significativo.	(19) De conformidad con el artículo 3, apartado 2, del Reglamento (UE) 2019/881, corresponde a la ENISA desempeñar determinadas tareas previstas en el presente Reglamento. En particular, la ENISA debe recibir notificaciones de los fabricantes, mediante una alerta temprana, relativas a las vulnerabilidades aprovechadas activamente presentes en los productos con elementos digitales y a los incidentes que repercutan significativamente en la seguridad de dichos productos. La ENISA también debe transmitir estas notificaciones a los equipos de respuesta a incidentes de seguridad informática (CSIRT) pertinentes o, según corresponda, a los puntos de contacto únicos de los Estados miembros designados de conformidad con el artículo [artículo X] de la Directiva [Directiva XXX/XXXX (SRI 2)], así como informar inmediatamente a las autoridades de vigilancia del mercado pertinentes sobre la existencia de una vulnerabilidad y, cuando proceda, de las posibles medidas de mitigación del riesgo. Si para una vulnerabilidad notificada no hay disponibles medidas correctoras o de mitigación disponibles, la ENISA debe velar por que la información sobre la vulnerabilidad notificada se comunique en línea con unos estrictos protocolos de seguridad y según la necesidad de conocerla. Sobre la base de la información que recopile, la ENISA debe elaborar un informe técnico bienal sobre las tendencias emergentes en relación con los riesgos de ciberseguridad en productos con elementos digitales y presentarlo al Grupo de Cooperación especificado en la Directiva [Directiva XXX/XXXX (SRI 2)]. Además, teniendo en cuenta sus conocimientos técnicos y su mandato, la ENISA debe poder apoyar el proceso de ejecución del presente Reglamento. En particular, debe ser capaz de proponer actividades conjuntas que las autoridades de vigilancia del mercado deberán llevar a cabo sobre la base de determinadas indicaciones o información sobre el posible incumplimiento del presente Reglamento por parte de productos con elementos digitales en varios Estados miembros, o de identificar categorías de productos para las que deban organizarse acciones de control simultáneas coordinadas. En circunstancias excepcionales que requieran una intervención inmediata para preservar el buen funcionamiento del mercado interior, la ENISA, a petición de la Comisión, debe poder llevar a cabo evaluaciones relativas a productos específicos con elementos digitales que presenten un riesgo de ciberseguridad significativo.

Enmienda  11

 

Propuesta de Reglamento

Considerando 20

Texto de la Comisión	Enmienda
(20) Los productos con elementos digitales deben llevar el marcado CE para acreditar su conformidad con el presente Reglamento y así poder circular libremente por el mercado interno. Los Estados miembros no deben crear obstáculos injustificados a la introducción en el mercado de productos con elementos digitales que cumplan los requisitos establecidos en el presente Reglamento y lleven el marcado CE.	(20) Los productos con elementos digitales deben llevar el marcado CE para acreditar de manera visible, legible e indeleble su conformidad con el presente Reglamento y así poder circular libremente por el mercado interno. Los Estados miembros no deben crear obstáculos injustificados a la introducción en el mercado de productos con elementos digitales que cumplan los requisitos establecidos en el presente Reglamento y lleven el marcado CE.

Enmienda  12

 

Propuesta de Reglamento

Considerando 22

Texto de la Comisión	Enmienda
(22) A fin de garantizar que los productos con elementos digitales no planteen riesgos de ciberseguridad para las personas y las organizaciones al ser introducidos en el mercado, deben establecerse requisitos esenciales para dichos productos. Cuando estos se modifiquen posteriormente, por medios físicos o digitales, de una manera no prevista por el fabricante y que pueda implicar que dejen de cumplir los requisitos esenciales pertinentes, dicha modificación deberá considerarse sustancial. Por ejemplo, las actualizaciones de los programas informáticos o las reparaciones pueden ser incluidas entre las operaciones de mantenimiento siempre que no modifiquen un producto ya introducido en el mercado de tal manera que puedan afectar a su observancia de los requisitos vigentes o cambiar el uso previsto para el cual se ha evaluado el producto. Al igual que en el caso de las reparaciones o modificaciones físicas, un producto con elementos digitales debe considerarse sustancialmente modificado por un cambio en los programas informáticos cuando la actualización de los programas informáticos modifique las funciones, el tipo o las prestaciones del producto previstos originalmente y ese cambio no estuviese previsto en la evaluación inicial del riesgo; o cuando la naturaleza del peligro haya cambiado o el nivel de riesgo haya aumentado debido a la actualización de los programas informáticos.	(22) A fin de garantizar que los productos con elementos digitales no planteen riesgos de ciberseguridad para las personas y las organizaciones al ser introducidos en el mercado, deben establecerse requisitos esenciales para dichos productos. Cuando estos se modifiquen posteriormente, por medios físicos o digitales, de una manera no prevista por el fabricante y que pueda implicar que dejen de cumplir los requisitos esenciales pertinentes, dicha modificación deberá considerarse sustancial. Por ejemplo, las actualizaciones de los programas informáticos o las reparaciones, como los ajustes menores del código fuente que puedan mejorar la seguridad y el funcionamiento, pueden ser incluidas entre las operaciones de mantenimiento siempre que no modifiquen un producto ya introducido en el mercado de tal manera que puedan afectar a su observancia de los requisitos vigentes o cambiar el uso previsto para el cual se ha evaluado el producto. Al igual que en el caso de las reparaciones o modificaciones físicas, un producto con elementos digitales debe considerarse sustancialmente modificado por un cambio en los programas informáticos cuando la actualización de los programas informáticos modifique las funciones, el tipo o las prestaciones del producto previstos originalmente y ese cambio no estuviese previsto en la evaluación inicial del riesgo; o cuando la naturaleza del peligro haya cambiado o el nivel de riesgo haya aumentado debido a la actualización de los programas informáticos.

Enmienda  13

 

Propuesta de Reglamento

Considerando 23

Texto de la Comisión	Enmienda
(23) En consonancia con la noción comúnmente establecida de «modificación sustancial» de los productos regulados por la legislación de armonización de la Unión, cada vez que se produzca una modificación sustancial que pueda afectar al cumplimiento del presente Reglamento por parte del producto o cuando la finalidad prevista del producto cambie, conviene que se verifique la conformidad del producto con elementos digitales y que, cuando proceda, se someta a una nueva evaluación de la conformidad. En su caso, si el fabricante lleva a cabo una evaluación de la conformidad en la que participa un tercero, deben notificarse a este último los cambios que puedan dar lugar a modificaciones sustanciales.	(23) En consonancia con la noción comúnmente establecida de «modificación sustancial» de los productos regulados por la legislación de armonización de la Unión, cada vez que se produzca una modificación sustancial que pueda afectar al cumplimiento del presente Reglamento por parte del producto o cuando la finalidad prevista del producto cambie, conviene que se verifique la conformidad del producto con elementos digitales y que, cuando proceda, se actualice la evaluación de la conformidad. En su caso, si el fabricante lleva a cabo una evaluación de la conformidad en la que participa un tercero, deben notificarse a este último los cambios que puedan dar lugar a modificaciones sustanciales. La evaluación de conformidad posterior debe abordar los cambios que dieron lugar a la nueva evaluación, salvo que tales cambios ejerzan un efecto significativo en la conformidad de otras partes del producto. Cuando se ejecuten actualizaciones de programas informáticos, el fabricante no debe estar obligado a efectuar otra evaluación de conformidad del producto con elementos digitales, salvo que la actualización de que se trate dé lugar a una modificación sustancial de dicho producto con elementos digitales.

Enmienda  14

 

Propuesta de Reglamento

Considerando 24 bis (nuevo)

Texto de la Comisión	Enmienda
	(24 bis) Los fabricantes de productos con elementos digitales deben garantizar que las actualizaciones de los programas informáticos se proporcionen de una forma clara y transparente, y diferenciar con claridad entre actualizaciones de seguridad y de funcionalidad. Si bien las actualizaciones de seguridad están diseñadas para reducir el nivel de riesgo de un producto con elementos digitales, la adopción de las actualizaciones de funcionalidad que ofrezca el fabricante debe seguir siendo siempre una opción para el usuario. Por tanto, los fabricantes deben ofrecer estas actualizaciones por separado, salvo que técnicamente resulte inviable. Los fabricantes deben proporcionar a los consumidores información adecuada sobre los motivos de cada actualización y su impacto previsto en el producto, así como un mecanismo de exclusión voluntaria claro y fácil de usar.

Enmienda  15

 

Propuesta de Reglamento

Considerando 25

Texto de la Comisión	Enmienda
(25) Los productos con elementos digitales deben considerarse críticos si las consecuencias negativas del aprovechamiento de posibles vulnerabilidades de ciberseguridad en el producto pueden ser graves debido a, entre otras cosas, su funcionalidad relacionada con la ciberseguridad o su uso previsto. En particular, las vulnerabilidades de los productos con elementos digitales cuya funcionalidad está relacionada con la ciberseguridad, como los elementos seguros, pueden llevar a que los problemas de seguridad se propaguen a lo largo de la cadena de suministro. La gravedad de las consecuencias de un incidente de ciberseguridad también puede acrecentarse dependiendo del uso previsto del producto, como puede ocurrir en un entorno industrial o en el contexto de una entidad esencial contemplada en el anexo [anexo I] de la Directiva [Directiva XXX/XXXX (SRI 2)], así como del desempeño de funciones críticas o sensibles, como el tratamiento de datos personales.	(25) Los productos con elementos digitales deben considerarse críticos si las consecuencias negativas del aprovechamiento de posibles vulnerabilidades de ciberseguridad en el producto pueden ser graves debido a, entre otras cosas, su funcionalidad relacionada con la ciberseguridad o su uso previsto. En particular, las vulnerabilidades de los productos con elementos digitales cuya funcionalidad está relacionada con la ciberseguridad, como los elementos seguros, pueden llevar a que los problemas de seguridad se propaguen a lo largo de la cadena de suministro. La gravedad de las consecuencias de un incidente de ciberseguridad también puede acrecentarse dependiendo del uso previsto del producto en aplicaciones críticas en entornos sensibles, o en el contexto de una entidad esencial contemplada en el anexo [anexo I] de la Directiva [Directiva XXX/XXXX (SRI 2)], así como del desempeño de funciones críticas o sensibles, como el tratamiento de datos personales.

Enmienda  16

 

Propuesta de Reglamento

Considerando 26

Texto de la Comisión	Enmienda
(26) Los productos críticos con elementos digitales deben estar sujetos a procedimientos de evaluación de la conformidad más estrictos, al tiempo que se garantiza un enfoque proporcionado. A tal fin, los productos críticos con elementos digitales deben dividirse en dos clases que reflejen el nivel de riesgo de ciberseguridad presente en estas categorías de productos. Un posible incidente de ciberseguridad que afecte a productos de la clase II podría tener repercusiones negativas de mayor gravedad que un incidente que afecte a productos de la clase I, por ejemplo, debido a la naturaleza de su función vinculada a la ciberseguridad o su uso previsto en entornos sensibles, por lo que estos productos deben someterse a un procedimiento de evaluación de la conformidad más estricto.	(26) Los productos críticos con elementos digitales deben estar sujetos a procedimientos de evaluación de la conformidad más estrictos, al tiempo que se garantiza un enfoque proporcionado. A tal fin, los productos críticos con elementos digitales deben dividirse en dos clases que reflejen el nivel de riesgo de ciberseguridad presente en estas categorías de productos. Un posible incidente de ciberseguridad que afecte a productos de la clase II podría tener repercusiones negativas de mayor gravedad que un incidente que afecte a productos de la clase I, por ejemplo, debido a la naturaleza de su función vinculada a la ciberseguridad o su uso previsto en entornos sensibles, por lo que estos productos deben someterse a un procedimiento de evaluación de la conformidad más estricto. Como excepción, las pequeñas empresas y las microempresas podrán utilizar el procedimiento para los productos de la clase I.

Enmienda  17

 

Propuesta de Reglamento

Considerando 29

Texto de la Comisión	Enmienda
(29) Los productos con elementos digitales considerados sistemas de inteligencia artificial (IA) de alto riesgo con arreglo al artículo 6 del Reglamento [Reglamento sobre IA]27 que entren en el ámbito de aplicación del presente Reglamento deben cumplir los requisitos esenciales establecidos en el presente Reglamento. Cuando estos sistemas de IA de alto riesgo cumplan los requisitos esenciales del presente Reglamento, debe considerarse que cumplen los requisitos de ciberseguridad establecidos en el artículo [artículo 15] del Reglamento [Reglamento sobre IA] en la medida en que dichos requisitos estén contemplados en la declaración UE de conformidad expedida en virtud del presente Reglamento o en partes de esta. Por lo que se refiere a los procedimientos de evaluación de la conformidad relativos a los requisitos esenciales de ciberseguridad de un producto con elementos digitales sujeto al presente Reglamento y considerado sistema de IA de alto riesgo, las disposiciones pertinentes del artículo 43 del Reglamento [Reglamento sobre IA] deben aplicarse como norma general en lugar de las respectivas disposiciones del presente Reglamento. Sin embargo, esta norma no debe dar lugar a una reducción del nivel de garantía necesario para los productos críticos con elementos digitales sujetos al presente Reglamento. Por consiguiente, no obstante lo dispuesto en esta norma, los sistemas de IA de alto riesgo que entren en el ámbito de aplicación del Reglamento [Reglamento sobre IA], que asimismo se consideren productos críticos con elementos digitales con arreglo al presente Reglamento y a los que se aplique el procedimiento de evaluación de la conformidad basado en el control interno especificado en el anexo VI del Reglamento [Reglamento sobre IA] deben estar sujetos a las disposiciones relativas a la evaluación de la conformidad incluidas en el presente Reglamento en la medida en que se refieran a los requisitos esenciales del presente Reglamento. En este caso, para todos los demás aspectos que entren en el ámbito de aplicación del Reglamento [Reglamento sobre IA], deben aplicarse las respectivas disposiciones relativas a la evaluación de la conformidad basadas en el control interno establecidas en el anexo VI del Reglamento [Reglamento sobre IA].	(29) Los productos con elementos digitales o los productos parcialmente completados con elementos digitales considerados sistemas de inteligencia artificial (IA) de alto riesgo con arreglo al artículo 6 del Reglamento [Reglamento sobre IA]27 que entren en el ámbito de aplicación del presente Reglamento deben cumplir los requisitos esenciales establecidos en el presente Reglamento. Cuando estos sistemas de IA de alto riesgo cumplan los requisitos esenciales del presente Reglamento, debe considerarse que cumplen los requisitos de ciberseguridad establecidos en el artículo [artículo 15] del Reglamento [Reglamento sobre IA] en la medida en que dichos requisitos estén contemplados en la declaración UE de conformidad expedida en virtud del presente Reglamento o en partes de esta. Por lo que se refiere a los procedimientos de evaluación de la conformidad relativos a los requisitos esenciales de ciberseguridad de un producto con elementos digitales sujeto al presente Reglamento y considerado sistema de IA de alto riesgo, las disposiciones pertinentes del [disposiciones aplicables] del Reglamento [Reglamento sobre IA] deben aplicarse como norma general en lugar de las respectivas disposiciones del presente Reglamento. Esta norma debe crear un elevado nivel de garantía para los productos críticos con elementos digitales sujetos al presente Reglamento. En el caso de los sistemas de IA de alto riesgo que entren en el ámbito de aplicación del Reglamento [Reglamento sobre IA], que asimismo se consideren productos críticos con elementos digitales con arreglo al presente Reglamento, el organismo notificado sectorial responsable debe encargarse de llevar a cabo la evaluación de la conformidad con arreglo al presente Reglamento, y de dirigir el proceso administrativo de tal manera que los operadores económicos puedan dirigir su solicitud de evaluación de la conformidad a un único organismo regulador.
__________________	__________________
27 Reglamento [Reglamento sobre IA].	27 Reglamento [Reglamento sobre IA].

Enmienda  18

 

Propuesta de Reglamento

Considerando 32

Texto de la Comisión	Enmienda
(32) Para garantizar que los productos con elementos digitales sean seguros tanto en el momento de su introducción en el mercado como a lo largo de su ciclo de vida, es necesario establecer requisitos esenciales para la gestión de las vulnerabilidades y requisitos esenciales de ciberseguridad relativos a las propiedades de los productos con elementos digitales. Si bien los fabricantes deben cumplir todos los requisitos esenciales en relación con la gestión de las vulnerabilidades y garantizar que todos sus productos se entreguen sin ninguna vulnerabilidad aprovechable conocida, también deben determinar qué otros requisitos esenciales relacionados con las propiedades del producto son pertinentes para el tipo de producto de que se trate. A tal fin, los fabricantes deben llevar a cabo una evaluación de los riesgos de ciberseguridad asociados a un producto con elementos digitales para determinar los riesgos y los requisitos esenciales pertinentes y aplicar adecuadamente las normas armonizadas o especificaciones comunes apropiadas.	(32) Para garantizar que los productos con elementos digitales sean seguros tanto en el momento de su introducción en el mercado como a lo largo de su ciclo de vida, es necesario establecer requisitos esenciales para la gestión de las vulnerabilidades y requisitos esenciales de ciberseguridad relativos a las propiedades de los productos con elementos digitales. Si bien los fabricantes deben cumplir todos los requisitos esenciales en relación con la gestión de las vulnerabilidades y garantizar que todos sus productos se entreguen sin ninguna vulnerabilidad aprovechable conocida, también deben determinar qué otros requisitos esenciales relacionados con las propiedades del producto son pertinentes para el tipo de producto de que se trate. A tal fin, los fabricantes deben llevar a cabo una evaluación de los riesgos de ciberseguridad asociados a un producto con elementos digitales para determinar los riesgos y los requisitos esenciales pertinentes y aplicar adecuadamente las normas armonizadas apropiadas.

Enmienda  19

 

Propuesta de Reglamento

Considerando 33 bis (nuevo)

Texto de la Comisión	Enmienda
	(33 bis) Con el fin de garantizar que los productos se diseñen, desarrollen y fabriquen en consonancia con los requisitos esenciales previstos en la sección 1 del anexo I, los fabricantes deben ejercer la diligencia debida al integrar los componentes obtenidos de terceros en productos con elementos digitales. Esto ocurre con los componentes que se elaboran a medida y se integran teniendo en cuenta las especificidades del producto, en particular en el caso de los programas informáticos libres y de código abierto que no se hayan comercializado a cambio de una monetización financiera o de otra índole.

Enmienda  20

 

Propuesta de Reglamento

Considerando 34

Texto de la Comisión	Enmienda
(34) Para garantizar que los CSIRT nacionales y los puntos de contacto únicos designados de conformidad con el artículo [artículo X] de la Directiva [Directiva XX/XXXX (SRI 2)] reciban la información necesaria para desempeñar sus funciones y aumentar el nivel general de ciberseguridad de las entidades esenciales e importantes, así como para garantizar el funcionamiento efectivo de las autoridades de vigilancia del mercado, los fabricantes de productos con elementos digitales deben notificar a la ENISA las vulnerabilidades que se estén aprovechando activamente. Dado que la mayoría de los productos con elementos digitales se comercializan en todo el mercado interior, cualquier vulnerabilidad aprovechada en un producto con elementos digitales debe considerarse una amenaza para el funcionamiento del mercado interior. Los fabricantes también deben considerar la posibilidad de divulgar las vulnerabilidades subsanadas en la base de datos europea de vulnerabilidades creada en virtud de la Directiva [Directiva XX/XXXX (SRI 2)] y gestionada por la ENISA o en cualquier otra base de datos de vulnerabilidades que sea de acceso público.	(34) Para garantizar que los CSIRT nacionales y los puntos de contacto únicos designados de conformidad con el artículo [artículo X] de la Directiva [Directiva XX/XXXX (SRI 2)] reciban la información necesaria para desempeñar sus funciones y aumentar el nivel general de ciberseguridad de las entidades esenciales e importantes, así como para garantizar el funcionamiento efectivo de las autoridades de vigilancia del mercado, los fabricantes de productos con elementos digitales deben notificar a la ENISA, sin demora indebida y, en cualquier caso, en un plazo de cuarenta y ocho horas a partir del momento en que tenga conocimiento de ello, mediante una alerta temprana las vulnerabilidades que se estén aprovechando activamente. Además, los fabricantes, sin demora indebida a partir del momento en que tengan conocimiento de una vulnerabilidad aprovechada que afecte de manera significativa a la seguridad del producto con elementos digitales, deben proporcionar a la ENISA información pormenorizada adicional sobre la vulnerabilidad de que se trate. Todas las demás vulnerabilidades que no afecten de manera significativa a la seguridad del producto con elementos digitales deben notificarse a la ENISA una vez que se haya abordado la vulnerabilidad. Dado que la mayoría de los productos con elementos digitales se comercializan en todo el mercado interior, cualquier vulnerabilidad aprovechada en un producto con elementos digitales debe considerarse una amenaza para el funcionamiento del mercado interior. Los fabricantes también deben considerar la posibilidad de divulgar las vulnerabilidades subsanadas en la base de datos europea de vulnerabilidades creada en virtud de la Directiva [Directiva XX/XXXX (SRI 2)] y gestionada por la ENISA o en cualquier otra base de datos de vulnerabilidades que sea de acceso público.

Enmienda  21

 

Propuesta de Reglamento

Considerando 34 bis (nuevo)

Texto de la Comisión	Enmienda
	(34 bis) La ENISA debe encargarse de publicar y mantener una base de datos de vulnerabilidades aprovechadas conocidas. Los fabricantes deben llevar a cabo un seguimiento de dicha base y notificar las vulnerabilidades encontradas en sus productos.

Enmienda  22

 

Propuesta de Reglamento

Considerando 35

Texto de la Comisión	Enmienda
(35) Los fabricantes también deben notificar a la ENISA cualquier incidente que repercuta en la seguridad del producto con elementos digitales. Sin perjuicio de las obligaciones de notificación de incidentes establecidas en la Directiva [Directiva XXX/XXXX (SRI 2)] para las entidades esenciales e importantes, es fundamental que los fabricantes de productos con elementos digitales proporcionen a la ENISA, a los puntos de contacto únicos designados por los Estados miembros de conformidad con el artículo [artículo X] de la Directiva [Directiva XXX/XXXX (SRI 2)] y a las autoridades de vigilancia del mercado información que les permita evaluar la seguridad de dichos productos. Para garantizar que los usuarios puedan reaccionar rápidamente ante incidentes que repercutan en la seguridad de sus productos con elementos digitales, los fabricantes también deben informar a sus usuarios sobre cualquier incidente de este tipo y, en su caso, sobre las medidas correctoras que los usuarios puedan adoptar para mitigar las repercusiones del incidente, por ejemplo, mediante la publicación de la información pertinente en sus sitios web o, cuando el fabricante pueda ponerse en contacto con los usuarios y los riesgos lo justifiquen, comunicándose directamente con ellos.	(35) Los fabricantes también deben notificar a la ENISA, mediante una alerta temprana, cualquier incidente que repercuta significativamente en la seguridad del producto con elementos digitales. Los fabricantes proporcionarán a la ENISA, sin demora indebida, y en cualquier caso en un plazo de setenta y dos horas a partir del momento en que tengan conocimiento del incidente significativo relacionado con el producto con elementos digitales, información pormenorizada adicional sobre el incidente significativo de que se trate. Sin perjuicio de las obligaciones de notificación de incidentes establecidas en la Directiva [Directiva XXX/XXXX (SRI 2)] para las entidades esenciales e importantes, es fundamental que los fabricantes de productos con elementos digitales proporcionen a la ENISA, a los puntos de contacto únicos designados por los Estados miembros de conformidad con el artículo [artículo X] de la Directiva [Directiva XXX/XXXX (SRI 2)] y a las autoridades de vigilancia del mercado información que les permita evaluar la seguridad de dichos productos. Para garantizar que los usuarios puedan reaccionar rápidamente ante incidentes que repercutan de manera significativa en la seguridad de sus productos con elementos digitales, los fabricantes también deben informar a sus usuarios, cuando proceda y si es probable que este les afecte negativamente, sobre cualquier incidente de este tipo y, en su caso, sobre las medidas de mitigación de riesgos y correctoras que los usuarios puedan adoptar para mitigar las repercusiones del incidente significativo, por ejemplo, mediante la publicación de la información pertinente en sus sitios web o, cuando el fabricante pueda ponerse en contacto con los usuarios y los riesgos lo justifiquen, comunicándose directamente con ellos. Sin perjuicio del resto de sus obligaciones, los fabricantes que detecten una vulnerabilidad en un componente integrado en un producto con elementos digitales, y en particular, en un componente libre y de código abierto, deben notificar la vulnerabilidad a la persona física o jurídica que mantenga el componente, junto con las medidas correctivas adoptadas.

Enmienda  23

 

Propuesta de Reglamento

Considerando 37 bis (nuevo)

Texto de la Comisión	Enmienda
	(37 bis) En virtud del Acuerdo sobre Obstáculos Técnicos al Comercio de la OMC, cuando se precisen reglamentos técnicos y existan normas internacionales pertinentes, los miembros de la OMC deben utilizar dichas normas como base para la elaboración de sus propios reglamentos técnicos. Es importante evitar la duplicación de tareas entre las organizaciones de normalización, habida cuenta de que con las normas internacionales se pretende facilitar la armonización de los reglamentos y las normas técnicos nacionales y regionales, reduciendo de este modo las barreras técnicas no arancelarias al comercio. Dado que la ciberseguridad es un asunto de alcance mundial, la Unión debe esforzarse por procurar la máxima coherencia. A tal efecto, la solicitud de normalización respecto al presente Reglamento, conforme se dispone en el artículo 10 del Reglamento (UE) n.º 1025/2012, debe perseguir que se reduzcan las barreras a la aceptación de normas mediante la publicación de sus referencias en el Diario Oficial de la UE, de conformidad con el artículo 10, apartado 6, del Reglamento (UE) n.º 1025/2012.

Enmienda  24

 

Propuesta de Reglamento

Considerando 37 ter (nuevo)

Texto de la Comisión	Enmienda
	(37 ter) Habida cuenta del amplio alcance del presente Reglamento, el desarrollo oportuno de normas armonizadas plantea un reto significativo. Con el fin de reforzar la seguridad de los productos con componentes digitales en el mercado de la Unión a la mayor brevedad posible, la Comisión debe estar facultada, durante un período limitado, para declarar que las normas internacionales sobre ciberseguridad de los productos satisfacen los requisitos del presente Reglamento. Deberán publicarse como normas que proporcionan presunción de conformidad.

Enmienda  25

 

Propuesta de Reglamento

Considerando 38

Texto de la Comisión	Enmienda
(38) A fin de facilitar la evaluación de la conformidad con los requisitos establecidos en el presente Reglamento, debe aplicarse una presunción de conformidad de los productos con elementos digitales que sean conformes con normas armonizadas que plasmen los requisitos esenciales del presente Reglamento en especificaciones técnicas detalladas y se adopten con arreglo al Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo29. El Reglamento (UE) n.º 1025/2012 establece un procedimiento de presentación de objeciones a las normas armonizadas para el caso en que estas no cumplan plenamente los requisitos del presente Reglamento.	(38) A fin de facilitar la evaluación de la conformidad con los requisitos establecidos en el presente Reglamento, debe aplicarse una presunción de conformidad de los productos con elementos digitales que sean conformes con normas armonizadas que plasmen los requisitos esenciales del presente Reglamento en especificaciones técnicas detalladas y se adopten con arreglo al Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo29. El Reglamento (UE) n.º 1025/2012 establece un procedimiento de presentación de objeciones a las normas armonizadas para el caso en que estas no cumplan plenamente los requisitos del presente Reglamento. El proceso de normalización debe garantizar una representación equilibrada de intereses y la participación efectiva de las partes interesadas de la sociedad civil, incluidas las organizaciones de consumidores.
__________________	__________________
29 Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión n.º 1673/2006/CE del Parlamento Europeo y del Consejo (DO L 316 de 14.11.2012, p. 12).	29 Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión n.º 1673/2006/CE del Parlamento Europeo y del Consejo (DO L 316 de 14.11.2012, p. 12).

Enmienda  26

 

Propuesta de Reglamento

Considerando 41

Texto de la Comisión	Enmienda
(41) Cuando no se adopten normas armonizadas o cuando las normas armonizadas no tengan suficientemente en cuenta los requisitos esenciales del presente Reglamento, la Comisión debe poder adoptar especificaciones comunes mediante actos de ejecución. Las razones para elaborar estas especificaciones comunes en lugar de basarse en normas armonizadas pueden incluir la denegación de la solicitud de normalización por parte de cualquiera de los organismos europeos de normalización, retrasos indebidos en el establecimiento de normas armonizadas apropiadas o la falta de conformidad de las normas establecidas con los requisitos del presente Reglamento o con una petición de la Comisión. Para facilitar la evaluación de la conformidad con los requisitos esenciales establecidos en el presente Reglamento, debe presuponerse la conformidad de los productos con elementos digitales que sean conformes con las especificaciones comunes adoptadas por la Comisión con arreglo al presente Reglamento a fin de indicar las especificaciones técnicas detalladas de dichos requisitos.	(41) Cuando no se haya publicado en el Diario Oficial de la Unión Europea ninguna referencia a normas armonizadas que regulen los requisitos establecidos en el anexo I de conformidad con el Reglamento (UE) n.º 1025/2012 y no se prevea la publicación de ninguna referencia de este tipo en un plazo razonable, la Comisión debe poder adoptar especificaciones comunes mediante actos de ejecución. Las razones para elaborar estas especificaciones comunes en lugar de basarse en normas armonizadas pueden incluir la denegación de la solicitud de normalización por parte de cualquiera de los organismos europeos de normalización, retrasos indebidos en el establecimiento de normas armonizadas apropiadas o la falta de conformidad de las normas establecidas con los requisitos del presente Reglamento o con una petición de la Comisión. Para facilitar la evaluación de la conformidad con los requisitos esenciales establecidos en el presente Reglamento, debe presuponerse la conformidad de los productos con elementos digitales que sean conformes con las especificaciones comunes adoptadas por la Comisión con arreglo al presente Reglamento a fin de indicar las especificaciones técnicas detalladas de dichos requisitos.

Enmienda  27

 

Propuesta de Reglamento

Considerando 43

Texto de la Comisión	Enmienda
(43) El marcado CE, que indica la conformidad de un producto, es el resultado visible de todo un proceso que comprende la evaluación de la conformidad en sentido amplio. Los principios generales por los que se rige el marcado CE se establecen en el Reglamento (CE) n.º 765/2008 del Parlamento Europeo y del Consejo30. En el presente Reglamento deben establecerse normas relativas a la colocación del marcado CE en productos con elementos digitales. El marcado CE debe ser el único marcado que garantice que los productos con elementos digitales cumplen con los requisitos del presente Reglamento.	(43) El marcado CE, que indica la conformidad de un producto, es el resultado visible de todo un proceso que comprende la evaluación de la conformidad en sentido amplio. Los principios generales por los que se rige el marcado CE se establecen en el Reglamento (CE) n.º 765/2008 del Parlamento Europeo y del Consejo30. En el presente Reglamento deben establecerse normas relativas a la colocación del marcado CE en productos con elementos digitales. El marcado CE debe ser el único marcado que garantice que los productos con elementos digitales cumplen con los requisitos del presente Reglamento. Sin embargo, un producto parcialmente completado con elementos digitales no se marcará con el marcado CE conforme al presente Reglamento, sin perjuicio de las disposiciones sobre marcado que se deriven de otra legislación aplicable de la Unión. Para los productos parcialmente completados con elementos digitales, los fabricantes deben elaborar una declaración UE de incorporación.
__________________	__________________
30 Reglamento (CE) n.º 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y por el que se deroga el Reglamento (CEE) n.º 339/93 (DO L 218 de 13.8.2008, p. 30).	30 Reglamento (CE) n.º 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y por el que se deroga el Reglamento (CEE) n.º 339/93 (DO L 218 de 13.8.2008, p. 30).

Enmienda  28

 

Propuesta de Reglamento

Considerando 45

Texto de la Comisión	Enmienda
(45) Como norma general, el fabricante debe llevar a cabo la evaluación de la conformidad de los productos con elementos digitales bajo su propia responsabilidad mediante un procedimiento basado en el módulo A de la Decisión n.º 768/2008/CE. El fabricante deberá ser flexible en lo que se refiere a la elección de un procedimiento de evaluación de la conformidad más estricto en el que participe un tercero. Si el producto está considerado producto crítico de la clase I, se requieren garantías adicionales para demostrar la conformidad con los requisitos esenciales establecidos en el presente Reglamento. Si el fabricante desea llevar a cabo la evaluación de la conformidad bajo su propia responsabilidad (módulo A), debe aplicar normas armonizadas, especificaciones comunes o esquemas de certificación de la ciberseguridad con arreglo al Reglamento (UE) 2019/881 que hayan sido reconocidos por la Comisión mediante acto de ejecución. Si el fabricante no aplica estas normas armonizadas, especificaciones comunes o esquemas de certificación de la ciberseguridad, debe someterse a una evaluación de la conformidad en la que participe un tercero. Teniendo en cuenta la carga administrativa de los fabricantes y el hecho de que la ciberseguridad desempeña un papel importante en la fase de diseño y desarrollo de productos tangibles e intangibles con elementos digitales, los procedimientos de evaluación de la conformidad basados, respectivamente, en los módulos B + C o H de la Decisión n.º 768/2008/CE han sido elegidos como los más adecuados para evaluar la conformidad de los productos críticos con los elementos digitales de manera proporcionada y eficaz. El fabricante que opte por la evaluación de la conformidad de terceros puede elegir el procedimiento que mejor se adapte a su proceso de diseño y producción. Habida cuenta del riesgo de ciberseguridad aún mayor asociado al uso de productos clasificados como productos críticos de la clase II, la evaluación de la conformidad de estos productos siempre debe contar con la participación de un tercero.	(45) Como norma general, los requisitos de la evaluación de la conformidad de los productos con elementos digitales deben basarse en el riesgo y, en ese sentido, en muchos casos, el fabricante podría llevar a cabo tal evaluación bajo su propia responsabilidad mediante un procedimiento basado en el módulo A de la Decisión n.º 768/2008/CE. El fabricante deberá ser flexible en lo que se refiere a la elección de un procedimiento de evaluación de la conformidad más estricto en el que participe un tercero. Si el producto está considerado producto crítico de la clase I, se requieren garantías adicionales para demostrar la conformidad con los requisitos esenciales establecidos en el presente Reglamento. Si el fabricante desea llevar a cabo la evaluación de la conformidad bajo su propia responsabilidad (módulo A), debe aplicar normas armonizadas o esquemas de certificación de la ciberseguridad con arreglo al Reglamento (UE) 2019/881 que hayan sido reconocidos por la Comisión mediante un acto de ejecución. Si el fabricante no aplica estas normas armonizadas o esquemas de certificación de la ciberseguridad, debe someterse a una evaluación de la conformidad en la que participe un tercero. Teniendo en cuenta la carga administrativa de los fabricantes y el hecho de que la ciberseguridad desempeña un papel importante en la fase de diseño y desarrollo de productos tangibles e intangibles con elementos digitales, los procedimientos de evaluación de la conformidad basados, respectivamente, en los módulos B + C o H de la Decisión n.º 768/2008/CE han sido elegidos como los más adecuados para evaluar la conformidad de los productos críticos con los elementos digitales de manera proporcionada y eficaz. El fabricante que opte por la evaluación de la conformidad de terceros puede elegir el procedimiento que mejor se adapte a su proceso de diseño y producción. Habida cuenta del riesgo de ciberseguridad aún mayor asociado al uso de productos clasificados como productos críticos de la clase II, la evaluación de la conformidad de estos productos siempre debe contar con la participación de un tercero.

Enmienda  29

 

Propuesta de Reglamento

Considerando 46 bis (nuevo)

Texto de la Comisión	Enmienda
	(46 bis) Cuando los productos con elementos digitales sean equivalentes, uno de estos productos puede aceptarse como representativo de una familia o categoría de productos a efectos de determinados procedimientos de evaluación de la conformidad.

Enmienda  30

 

Propuesta de Reglamento

Considerando 55

Texto de la Comisión	Enmienda
(55) De conformidad con el Reglamento (UE) 2019/1020, las autoridades de vigilancia del mercado son responsables de efectuar la vigilancia del mercado en el territorio del Estado miembro correspondiente. El presente Reglamento no debe impedir que los Estados miembros escojan a las autoridades competentes que desempeñan esas tareas. Cada Estado miembro debe designar a una o varias autoridades de vigilancia del mercado en su territorio. Los Estados miembros podrán optar por designar a cualquier autoridad existente o nueva para que actúe en calidad de autoridad de vigilancia del mercado, incluidas las autoridades nacionales competentes especificadas en el artículo [artículo X] de la Directiva [Directiva XXX/XXXX (SRI 2)] y las autoridades nacionales de certificación de la ciberseguridad designadas a las que hace referencia el artículo 58 del Reglamento (UE) 2019/881. Los operadores económicos deben cooperar plenamente con las autoridades de vigilancia del mercado y otras autoridades competentes. Cada Estado miembro debe informar a la Comisión y a los demás Estados miembros acerca de sus autoridades de vigilancia del mercado y de los ámbitos de competencia de cada una de ellas, así como garantizar las capacidades y los recursos necesarios para desempeñar las funciones de vigilancia relacionadas con el presente Reglamento. De conformidad con el artículo 10, apartados 2 y 3, del Reglamento (UE) 2019/1020, cada Estado miembro debe designar una oficina de enlace única que debe ser responsable de, entre otras cosas, representar la posición coordinada de las autoridades de vigilancia del mercado y prestar asistencia en la cooperación entre las autoridades de vigilancia del mercado en diferentes Estados miembros.	(55) De conformidad con el Reglamento (UE) 2019/1020, las autoridades de vigilancia del mercado son responsables de efectuar la vigilancia del mercado en el territorio del Estado miembro correspondiente. El presente Reglamento no debe impedir que los Estados miembros escojan a las autoridades competentes que desempeñan esas tareas. Cada Estado miembro debe designar a una o varias autoridades de vigilancia del mercado en su territorio. Los Estados miembros podrán optar por designar a cualquier autoridad existente o nueva para que actúe en calidad de autoridad de vigilancia del mercado, incluidas las autoridades nacionales competentes especificadas en el artículo 8 de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) o las autoridades nacionales de certificación de la ciberseguridad designadas a las que hace referencia el artículo 58 del Reglamento (UE) 2019/881. Los operadores económicos deben cooperar plenamente con las autoridades de vigilancia del mercado y otras autoridades competentes. Cada Estado miembro debe informar a la Comisión y a los demás Estados miembros acerca de sus autoridades de vigilancia del mercado y de los ámbitos de competencia de cada una de ellas, así como garantizar las capacidades y los recursos necesarios para desempeñar las funciones de vigilancia relacionadas con el presente Reglamento. De conformidad con el artículo 10, apartados 2 y 3, del Reglamento (UE) 2019/1020, cada Estado miembro debe designar una oficina de enlace única que debe ser responsable de, entre otras cosas, representar la posición coordinada de las autoridades de vigilancia del mercado y prestar asistencia en la cooperación entre las autoridades de vigilancia del mercado en diferentes Estados miembros.

Enmienda  31

 

Propuesta de Reglamento

Considerando 56 bis (nuevo)

Texto de la Comisión	Enmienda
	(56 bis) A fin de que los operadores económicos que sean pymes y microempresas puedan hacer frente a las nuevas obligaciones impuestas por el presente Reglamento, la Comisión debe facilitarles directrices y asesoramiento fáciles de entender, por ejemplo, a través de un canal directo para contactar con expertos en caso de que tengan preguntas, teniendo en cuenta la necesidad de simplificar y limitar las cargas administrativas. Al elaborar dichas directrices, la Comisión debe tener en cuenta las necesidades de las pymes de modo que se reduzcan al mínimo las cargas administrativas y financieras, facilitando al mismo tiempo su cumplimiento del presente Reglamento. La Comisión debe consultar a las partes interesadas pertinentes con conocimientos técnicos en el ámbito de la ciberseguridad.

Enmienda  32

 

Propuesta de Reglamento

Considerando 58

Texto de la Comisión	Enmienda
(58) En determinados casos, un producto con elementos digitales que cumpla lo dispuesto en el presente Reglamento puede, no obstante, presentar un riesgo de ciberseguridad significativo o plantear un riesgo para la salud o la seguridad de las personas, para el cumplimiento de las obligaciones en virtud del Derecho nacional o de la Unión en materia de protección de los derechos fundamentales, para la disponibilidad, autenticidad, integridad o confidencialidad de los servicios ofrecidos mediante un sistema de información electrónico por entidades esenciales contempladas en el [anexo I de la Directiva XXX/XXXX (SRI 2)] o para otros aspectos relativos a la protección del interés público. Es por tanto necesario establecer normas que garanticen la mitigación de estos riesgos. En consecuencia, las autoridades de vigilancia del mercado deben adoptar medidas para exigir al operador económico que se asegure de que el producto ya no presente dicho riesgo, retirarlo del mercado o recuperarlo, dependiendo del riesgo que presente. Tan pronto como una autoridad de vigilancia del mercado restrinja o prohíba la libre circulación de un producto de esa manera, el Estado miembro debe notificar inmediatamente a la Comisión y a los demás Estados miembros las medidas provisionales, indicando las razones y la justificación de esa decisión. Cuando una autoridad de vigilancia del mercado adopte tales medidas contra productos que planteen un riesgo, la Comisión debe consultar sin demora a los Estados miembros y al operador o los operadores económicos pertinentes y debe evaluar la medida nacional. Basándose en los resultados de dicha evaluación, la Comisión debe decidir si la medida nacional está o no justificada. La Comisión debe comunicar inmediatamente su decisión a todos los Estados miembros y al operador o los operadores económicos pertinentes. Si la medida se considera justificada, la Comisión también puede considerar la adopción de propuestas para revisar la legislación de la Unión que corresponda.	(58) En determinados casos, un producto con elementos digitales que cumpla lo dispuesto en el presente Reglamento puede, no obstante, presentar un riesgo de ciberseguridad significativo o plantear un riesgo para la salud o la seguridad de las personas, para el cumplimiento de las obligaciones en virtud del Derecho nacional o de la Unión en materia de protección de los derechos fundamentales, para la disponibilidad, autenticidad, integridad o confidencialidad de los servicios ofrecidos mediante un sistema de información electrónico por entidades esenciales contempladas en el anexo I de la Directiva (UE) 2022/2555 (SRI 2) o para otros aspectos relativos a la protección del interés público. Es por tanto necesario establecer normas que garanticen la mitigación de estos riesgos. En consecuencia, las autoridades de vigilancia del mercado deben adoptar medidas para exigir al operador económico que se asegure de que el producto ya no presente dicho riesgo, retirarlo del mercado o recuperarlo, dependiendo del riesgo que presente. Tan pronto como una autoridad de vigilancia del mercado restrinja o prohíba la libre circulación de un producto de esa manera, el Estado miembro debe notificar inmediatamente a la Comisión y a los demás Estados miembros las medidas provisionales, indicando las razones y la justificación de esa decisión. Cuando una autoridad de vigilancia del mercado adopte tales medidas contra productos que planteen un riesgo, la Comisión debe consultar sin demora a los Estados miembros y al operador o los operadores económicos pertinentes y debe evaluar la medida nacional. Basándose en los resultados de dicha evaluación, la Comisión debe decidir si la medida nacional está o no justificada. La Comisión debe comunicar inmediatamente su decisión a todos los Estados miembros y al operador o los operadores económicos pertinentes. Si la medida se considera justificada, la Comisión también puede considerar la adopción de propuestas para revisar la legislación de la Unión que corresponda.

Enmienda  33

 

Propuesta de Reglamento

Considerando 59

Texto de la Comisión	Enmienda
(59) Por lo que respecta a los productos con elementos digitales que presenten un riesgo de ciberseguridad significativo y en relación con los cuales existan motivos para creer que no son conformes con el presente Reglamento, o bien a los productos que son conformes con el presente Reglamento pero presentan otros riesgos importantes, como riesgos para la salud o la seguridad de las personas, los derechos fundamentales o la prestación de servicios por parte de entidades esenciales del tipo contemplado en el [anexo I de la Directiva XXX/XXXX (SRI 2)], la Comisión podrá solicitar a la ENISA que lleve a cabo una evaluación. Sobre la base de dicha evaluación, la Comisión podrá adoptar, mediante actos de ejecución, medidas correctoras o restrictivas a escala de la Unión, como retirar del mercado o recuperar los productos correspondientes en un plazo razonable, proporcional a la naturaleza del riesgo. La Comisión solo puede recurrir a tal medida en circunstancias excepcionales que justifiquen una intervención inmediata para preservar el buen funcionamiento del mercado interior y únicamente cuando las autoridades de vigilancia no hayan adoptado medidas eficaces para remediar la situación. Estas circunstancias excepcionales pueden darse en situaciones de emergencia en las que, por ejemplo, un fabricante comercialice de manera generalizada en varios Estados miembros un producto no conforme utilizado asimismo en sectores clave por entidades incluidas en el ámbito de aplicación de la [Directiva XXX/XXXX (SRI 2)], a pesar de contener vulnerabilidades conocidas que estén siendo aprovechadas por agentes malintencionados y para las que el fabricante no proporcione parches disponibles. La Comisión solo podrá intervenir en situaciones de emergencia de este tipo mientras duren las circunstancias excepcionales y si persiste el incumplimiento del presente Reglamento o los riesgos importantes detectados.	(59) Por lo que respecta a los productos con elementos digitales que presenten un riesgo de ciberseguridad significativo y en relación con los cuales existan motivos para creer que no son conformes con el presente Reglamento, o bien a los productos que son conformes con el presente Reglamento pero presentan otros riesgos importantes, como riesgos para la salud o la seguridad de las personas, los derechos fundamentales o la prestación de servicios por parte de entidades esenciales del tipo contemplado en el anexo I de la Directiva (UE) 2022/2555 (SRI 2), la Comisión podrá solicitar a la ENISA que lleve a cabo una evaluación. Sobre la base de dicha evaluación, la Comisión podrá adoptar, mediante actos de ejecución, medidas correctoras o restrictivas a escala de la Unión, como retirar del mercado o recuperar los productos correspondientes en un plazo razonable, proporcional a la naturaleza del riesgo. La Comisión solo puede recurrir a tal medida en circunstancias excepcionales que justifiquen una intervención inmediata para preservar el buen funcionamiento del mercado interior y únicamente cuando las autoridades de vigilancia no hayan adoptado medidas eficaces para remediar la situación. Estas circunstancias excepcionales pueden darse en situaciones de emergencia en las que, por ejemplo, un fabricante comercialice de manera generalizada en varios Estados miembros un producto no conforme utilizado asimismo en sectores clave por entidades incluidas en el ámbito de aplicación de la Directiva (UE) 2022/2555 (SRI 2), a pesar de contener vulnerabilidades conocidas que estén siendo aprovechadas por agentes malintencionados y para las que el fabricante no proporcione parches disponibles. La Comisión solo podrá intervenir en situaciones de emergencia de este tipo mientras duren las circunstancias excepcionales y si persiste el incumplimiento del presente Reglamento o los riesgos importantes detectados.

Enmienda  34

 

Propuesta de Reglamento

Considerando 62

Texto de la Comisión	Enmienda
(62) A fin de garantizar que el marco regulador pueda adaptarse cuando sea necesario, deben delegarse en la Comisión los poderes para adoptar actos con arreglo a lo dispuesto en el artículo 290 del Tratado a efectos de actualizar la lista de productos críticos del anexo III y especificar las definiciones de dichas categorías de productos. Deben delegarse en la Comisión los poderes para adoptar actos con arreglo a dicho artículo a fin de identificar los productos con elementos digitales regulados por otras normas de la Unión que alcancen el mismo nivel de protección que el presente Reglamento, especificando si sería necesaria una limitación o una exclusión del ámbito de aplicación del presente Reglamento, así como, en su caso, el alcance de dicha limitación. También deben delegarse en la Comisión los poderes para adoptar actos con arreglo a dicho artículo con respecto a la posible exigencia de certificación de determinados productos altamente críticos con elementos digitales, sobre la base de criterios de criticidad establecidos en el presente Reglamento, así como con respecto a la especificación del contenido mínimo de la declaración UE de conformidad y al complemento de los elementos que deban incluirse en la documentación técnica. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo Interinstitucional sobre la Mejora de la Legislación, de 13 de abril de 201633. En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.	(62) A fin de garantizar que el marco regulador pueda adaptarse cuando sea necesario, deben delegarse en la Comisión los poderes para adoptar actos con arreglo a lo dispuesto en el artículo 290 del Tratado a efectos de actualizar la lista de productos críticos del anexo III y especificar las definiciones de dichas categorías de productos. Deben delegarse en la Comisión los poderes para adoptar actos con arreglo a dicho artículo a fin de identificar los productos con elementos digitales regulados por otras normas de la Unión que alcancen el mismo nivel de protección que el presente Reglamento, especificando si sería necesaria una limitación o una exclusión del ámbito de aplicación del presente Reglamento, así como, en su caso, el alcance de dicha limitación. También deben delegarse en la Comisión los poderes para adoptar actos con arreglo a dicho artículo con respecto a la posible certificación voluntaria de determinados productos altamente críticos con elementos digitales, sobre la base de criterios de criticidad establecidos en el presente Reglamento, así como con respecto a la especificación del contenido mínimo de la declaración UE de conformidad y al complemento de los elementos que deban incluirse en la documentación técnica. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo Interinstitucional sobre la Mejora de la Legislación, de 13 de abril de 201633. En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.
__________________	__________________
33 DO L 123 de 12.5.2016, p. 1.	33 DO L 123 de 12.5.2016, p. 1.

Enmienda  35

 

Propuesta de Reglamento

Considerando 63

Texto de la Comisión	Enmienda
(63) A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución para: especificar el formato y los elementos de la nomenclatura de materiales de los programas informáticos; especificar el tipo de información, el formato y el procedimiento para las notificaciones de vulnerabilidades aprovechadas activamente e incidentes presentadas por los fabricantes a la ENISA; especificar los esquemas europeos de certificación de la ciberseguridad adoptados en virtud del Reglamento (UE) 2019/881 que puedan utilizarse para demostrar la conformidad con los requisitos esenciales, o partes de estos, establecidos en el anexo I del presente Reglamento; adoptar especificaciones comunes relacionadas con los requisitos esenciales establecidos en el anexo I; establecer especificaciones técnicas para los pictogramas o cualquier otro marcado relativo a la seguridad de los productos con elementos digitales y mecanismos para promover su uso; y adoptar decisiones sobre medidas correctoras o restrictivas a escala de la Unión en circunstancias excepcionales que justifiquen una intervención inmediata para preservar el buen funcionamiento del mercado interior. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo34.	(63) A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución para: especificar el formato y los elementos de la nomenclatura de materiales de los programas informáticos; especificar el tipo de información, el formato y el procedimiento para las notificaciones de vulnerabilidades aprovechadas activamente e incidentes presentadas por los fabricantes a la ENISA, sobre la base de las mejores prácticas sectoriales; especificar los esquemas europeos de certificación de la ciberseguridad adoptados en virtud del Reglamento (UE) 2019/881 que puedan utilizarse para demostrar la conformidad con los requisitos esenciales, o partes de estos, establecidos en el anexo I del presente Reglamento; adoptar especificaciones comunes relacionadas con los requisitos esenciales establecidos en el anexo I; establecer especificaciones técnicas para los pictogramas o cualquier otro marcado relativo a la seguridad de los productos con elementos digitales y mecanismos para promover su uso; y adoptar decisiones sobre medidas correctoras o restrictivas a escala de la Unión en circunstancias excepcionales que justifiquen una intervención inmediata para preservar el buen funcionamiento del mercado interior. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo34.
__________________	__________________
34 Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).	34 Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

Enmienda  36

 

Propuesta de Reglamento

Considerando 69

Texto de la Comisión	Enmienda
(69) Los operadores económicos deben disponer de tiempo suficiente para adaptarse a los requisitos del presente Reglamento. El presente Reglamento debe ser aplicable [veinticuatro meses] después de su entrada en vigor, a excepción de las obligaciones de información relativas a vulnerabilidades aprovechadas activamente e incidentes, que deben ser aplicables [doce meses] después de la entrada en vigor del presente Reglamento.	(69) Los operadores económicos deben disponer de tiempo suficiente para adaptarse a los requisitos del presente Reglamento. El presente Reglamento debe ser aplicable [treinta y seis meses] después de su entrada en vigor.

Enmienda  37

 

Propuesta de Reglamento

Artículo 1 – párrafo 1 – parte introductoria

Texto de la Comisión	Enmienda
El presente Reglamento establece:	El objetivo del presente Reglamento es mejorar el funcionamiento del mercado interior, garantizando al mismo tiempo un nivel elevado de protección de los consumidores y de ciberseguridad.
	El presente Reglamento establece disposiciones armonizadas sobre:

Enmienda  38

 

Propuesta de Reglamento

Artículo 1 – párrafo 1 – letra a

Texto de la Comisión	Enmienda
a) normas para la introducción en el mercado de productos con elementos digitales a fin de garantizar la ciberseguridad de dichos productos;	a) la introducción en el mercado de productos con elementos digitales a fin de garantizar la ciberseguridad de dichos productos;

Enmienda  39

 

Propuesta de Reglamento

Artículo 1 – párrafo 1 – letra d

Texto de la Comisión	Enmienda
d) normas relativas a la vigilancia del mercado y a la aplicación de los requisitos y las normas antes mencionados.	d) la vigilancia del mercado y la aplicación de los requisitos y las normas antes mencionados.

Enmienda  40

 

Propuesta de Reglamento

Artículo 2 – apartado 1

Texto de la Comisión	Enmienda
1. El presente Reglamento es aplicable a los productos con elementos digitales cuyo uso previsto o razonablemente previsible incluya una conexión de datos directa o indirecta, lógica o física, a un dispositivo o red.	1. El presente Reglamento es aplicable a los productos con elementos digitales comercializados cuyo uso previsto o razonablemente previsible incluya una conexión de datos directa o indirecta, lógica o física, a un dispositivo o red externos.

Enmienda  41

 

Propuesta de Reglamento

Artículo 2 – apartado 5 bis (nuevo)

Texto de la Comisión	Enmienda
	5 bis. El presente Reglamento no se aplica a los programas informáticos libres y de código abierto, incluido su código fuente y las versiones modificadas, excepto cuando dicho programa informático se proporcione a cambio de una actividad comercial, ya sea:
	i) por la aplicación de un precio a un producto;
	ii) suministrando una plataforma de software que se sirva de otros servicios que el fabricante monetiza;
	iii) utilizando datos personales generados por el programa informático por razones distintas de las relacionadas exclusivamente con la mejora de la seguridad, la compatibilidad o la interoperabilidad del programa informático;
	iv) aplicando un precio a los servicios de asistencia técnica.
	El fabricante se encargará de garantizar la conformidad de los componentes libres y de código abierto de los productos en los que estén incluidos.

Enmienda  42

 

Propuesta de Reglamento

Artículo 2 – apartado 5 ter (nuevo)

Texto de la Comisión	Enmienda
	5 ter. El presente Reglamento no se aplica a las redes internas de un producto con elementos digitales si tales redes disponen de nodos finales dedicados y están protegidas frente a las conexiones de datos externas.

Enmienda  43

 

Propuesta de Reglamento

Artículo 2 – apartado 5 quater (nuevo)

Texto de la Comisión	Enmienda
	5 quater. El presente Reglamento no se aplicará a las piezas de repuesto destinadas únicamente a sustituir piezas defectuosas de productos con elementos digitales con el fin de restablecer su funcionalidad.

Enmienda  44

 

Propuesta de Reglamento

Artículo 3 – párrafo 1 – punto 1

Texto de la Comisión	Enmienda
1) «producto con elementos digitales»: cualquier producto consistente en programas informáticos o equipos informáticos y sus soluciones de tratamiento de datos a distancia, incluidos los componentes de programas informáticos o equipos informáticos que se introduzcan en el mercado por separado;	1) «producto con elementos digitales»: cualquier producto consistente en programas informáticos o equipos informáticos, incluidos los componentes de programas informáticos o equipos informáticos que se introduzcan en el mercado por separado;

Enmienda  45

 

Propuesta de Reglamento

Artículo 3 – párrafo 1 – punto 2

Texto de la Comisión	Enmienda
2) «tratamiento de datos a distancia»: todo tratamiento de datos a distancia para el que el programa informático ha sido diseñado y desarrollado por el fabricante del producto en cuestión o bajo su responsabilidad, y cuya ausencia impediría que el producto con elementos digitales cumpliera alguna de sus funciones;	suprimido

Enmienda  46

 

Propuesta de Reglamento

Artículo 3 – párrafo 1 – punto 6 bis (nuevo)

Texto de la Comisión	Enmienda
	6 bis) «programa informático de código abierto»: programa informático distribuido bajo licencia que permite a los usuarios proceder libremente a su ejecución, copia, distribución, estudio, modificación o mejora, así como a su integración como componente en otros productos, su prestación como servicio, o a la prestación de apoyo comercial para el mismo;

Enmienda  47

 

Propuesta de Reglamento

Artículo 3 – párrafo 1 – punto 18

Texto de la Comisión	Enmienda
18) «fabricante»: toda persona física o jurídica que desarrolla o fabrica productos con elementos digitales o para quien se diseñan, desarrollan o fabrican productos con elementos digitales, y que los comercializa con su nombre o marca comercial, ya sea de manera remunerada o gratuita;	(No afecta a la versión española).

Enmienda  48

 

Propuesta de Reglamento

Artículo 3 – párrafo 1 – punto 19

Texto de la Comisión	Enmienda
19) «representante autorizado»: toda persona física o jurídica establecida en la Unión que ha recibido un mandato escrito de un fabricante para actuar en su nombre en relación con tareas especificadas;	19) «representante autorizado»: toda persona física o jurídica establecida en la Unión que ha recibido un mandato escrito de un fabricante para actuar en su nombre en relación con tareas especificadas relativas a las obligaciones del fabricante;

Enmienda  49

 

Propuesta de Reglamento

Artículo 3 – párrafo 1 – punto 23 bis (nuevo)

Texto de la Comisión	Enmienda
	23 bis) «recuperación»: la recuperación según se define en el artículo 3, punto 22, del Reglamento (UE) 2019/1020;

Enmienda  50

 

Propuesta de Reglamento

Artículo 3 – párrafo 1 – punto 26

Texto de la Comisión	Enmienda
26) «uso indebido razonablemente previsible»: el uso de un producto con elementos digitales de un modo que no corresponde a su finalidad prevista, pero que puede derivarse de un comportamiento humano o una interacción con otros sistemas razonablemente previsible;	suprimido

Enmienda  51

 

Propuesta de Reglamento

Artículo 3 – párrafo 1 – punto 31

Texto de la Comisión	Enmienda
31) «modificación sustancial»: un cambio en un producto con elementos digitales tras su introducción en el mercado que afecta al cumplimiento por parte del producto de los requisitos esenciales establecidos en la sección 1 del anexo I o que provoca la modificación de la finalidad prevista para la que se ha evaluado el producto con elementos digitales;	31) «modificación sustancial»: un cambio en un producto con elementos digitales, con exclusión de las actualizaciones de seguridad y de mantenimiento, tras su introducción en el mercado que afecta al cumplimiento por parte del producto de los requisitos esenciales establecidos en la sección 1 del anexo I o que provoca la modificación de la finalidad prevista para la que se ha evaluado el producto con elementos digitales;

Enmienda  52

 

Propuesta de Reglamento

Artículo 3 – párrafo 1 – punto 39

Texto de la Comisión	Enmienda
39) «vulnerabilidad aprovechada activamente»: una vulnerabilidad respecto de la cual existen pruebas fiables de la ejecución de un código malicioso en un sistema por parte de un agente sin autorización del propietario del sistema;	39) «vulnerabilidad aprovechada activamente»: una vulnerabilidad parcheada respecto de la cual existen pruebas fiables de la ejecución de un código malicioso en un sistema por parte de un agente sin autorización del propietario del sistema;

Enmienda  53

 

Propuesta de Reglamento

Artículo 3 – párrafo 1 – punto 40 bis (nuevo)

Texto de la Comisión	Enmienda
	40 bis) «productos parcialmente completados con elementos digitales»: un producto tangible que no puede funcionar de manera independiente y que solo se produce con el objetivo de su incorporación o su montaje en un producto con elementos digitales u otro producto parcialmente completado con elementos digitales, y cuya conformidad solo puede evaluarse eficazmente teniendo en cuenta el modo en que se incorpora a un producto con elementos digitales concebido como definitivo;

Enmienda  54

 

Propuesta de Reglamento

Artículo 3 – párrafo 1 – punto 40 ter (nuevo)

Texto de la Comisión	Enmienda
	40 ter) «vida útil»: período comprendido entre el momento en que un producto cubierto por el presente Reglamento se introduce en el mercado o se pone en servicio y el momento en que es descartado, lo que incluye el tiempo efectivo en que puede utilizarse y las etapas de transporte, montaje, desmontaje, desactivación, desguace u otras modificaciones físicas o digitales previstas por el fabricante.

Enmienda  55

 

Propuesta de Reglamento

Artículo 4 – apartado 1

Texto de la Comisión	Enmienda
1. Los Estados miembros no impedirán, por los aspectos contemplados en el presente Reglamento, la comercialización de productos con elementos digitales que sean conformes con el presente Reglamento.	1. Los Estados miembros no impedirán, por los aspectos contemplados en el presente Reglamento, la comercialización de productos con elementos digitales o de productos parcialmente completados con elementos digitales que sean conformes con el presente Reglamento.

Enmienda  56

 

Propuesta de Reglamento

Artículo 4 – apartado 2

Texto de la Comisión	Enmienda
2. Los Estados miembros no impedirán que en ferias, exposiciones, demostraciones o actos similares se presenten y usen productos con elementos digitales que no sean conformes con el presente Reglamento.	2. Los Estados miembros no impedirán que en ferias, exposiciones, demostraciones o actos similares se presenten y usen productos con elementos digitales, prototipos de productos con elementos digitales o productos parcialmente completados con elementos digitales que no sean conformes con el presente Reglamento, a condición de que el producto con elementos digitales en cuestión se utilice exclusivamente con fines de presentación en el curso del acto de que se trate, y de que una señal visible indique claramente su falta de conformidad con el presente Reglamento.

Enmienda  57

 

Propuesta de Reglamento

Artículo 4 – apartado 3

Texto de la Comisión	Enmienda
3. Los Estados miembros no impedirán la comercialización de programas informáticos inacabados que no sean conformes con el presente Reglamento, siempre que dichos programas solo se comercialicen durante un período de tiempo limitado, requerido a efectos de ensayo, y que se indique con claridad, mediante una señal visible, que no son conformes con el presente Reglamento y que no se comercializarán con fines distintos de su ensayo.	3. Los Estados miembros no impedirán la comercialización de productos con elementos digitales inacabados o de prototipos de productos con elementos digitales que no sean conformes con el presente Reglamento, siempre que dichos programas solo se comercialicen en una versión que no sea de producción a efectos de ensayo, y que se indique con claridad, mediante una señal visible, que no son conformes con el presente Reglamento y que no se comercializarán con fines distintos de su ensayo.

Enmienda  58

 

Propuesta de Reglamento

Artículo 4 – apartado 3 bis (nuevo)

Texto de la Comisión	Enmienda
	3 bis. El presente Reglamento no impedirá que los Estados miembros sometan a los productos con elementos digitales a otras medidas adicionales cuando los productos en cuestión se utilicen con fines militares, de defensa o de seguridad nacional, de conformidad con el Derecho nacional y de la Unión, y tales medidas sean necesarias y proporcionadas para la consecución de dichos fines.

Enmienda  59

 

Propuesta de Reglamento

Artículo 5 – párrafo 1 – punto 1

Texto de la Comisión	Enmienda
1) cumplen los requisitos esenciales establecidos en la sección 1 del anexo I, a condición de que hayan sido instalados de manera adecuada, mantenidos y utilizados para los fines previstos o en condiciones que se puedan prever razonablemente y, en su caso, actualizados, y si	1) cumplen los requisitos esenciales establecidos en la sección 1 del anexo I, a condición de que hayan sido instalados de manera adecuada, mantenidos y utilizados para los fines previstos o en condiciones que se puedan prever razonablemente y, en su caso, reciban las actualizaciones de seguridad necesarias, y si

Enmienda  60

 

Propuesta de Reglamento

Artículo 6 – apartado 1

Texto de la Comisión	Enmienda
1. Los productos con elementos digitales que pertenezcan a una categoría mencionada en el anexo III se considerarán productos críticos con elementos digitales. Los productos que tengan una función principal de una categoría mencionada en el anexo III del presente Reglamento se considerarán incluidos en dicha categoría. Las categorías de productos críticos con elementos digitales se dividirán en las clases I y II, tal como se establece en el anexo III, para reflejar el nivel de riesgo de ciberseguridad asociado a dichos productos.	1. Los productos con elementos digitales que pertenezcan a una categoría mencionada en el anexo III se considerarán productos críticos con elementos digitales. Únicamente los productos que tengan una función principal de una categoría mencionada en el anexo III del presente Reglamento se considerarán incluidos en dicha categoría. Las categorías de productos críticos con elementos digitales se dividirán en las clases I y II, tal como se establece en el anexo III, para reflejar el nivel de riesgo de ciberseguridad asociado a dichos productos. La integración de un componente de una clase de criticidad superior en un producto de criticidad inferior no modifica necesariamente el nivel de criticidad del producto en el que se integre dicho componente.

Enmienda  61

 

Propuesta de Reglamento

Artículo 6 – apartado 2 – letra b

Texto de la Comisión	Enmienda
b) el uso previsto en entornos sensibles, en particular en entornos industriales o por parte de entidades esenciales contempladas en el anexo [anexo I] de la Directiva [Directiva XXX/XXXX (SRI 2)];	b) el uso previsto en aplicaciones críticas en entornos sensibles o por parte de entidades esenciales contempladas en el anexo [anexo I] de la Directiva [Directiva XXX/XXXX (SRI 2)];

Enmienda  62

 

Propuesta de Reglamento

Artículo 6 – apartado 2 – letra c

Texto de la Comisión	Enmienda
c) el uso previsto relativo a la realización de funciones críticas o sensibles, como el tratamiento de datos personales;	c) el uso y la escala previstos relativos a la realización de funciones críticas o sensibles, como el tratamiento de datos personales;

Enmienda  63

 

Propuesta de Reglamento

Artículo 6 – apartado 4

Texto de la Comisión	Enmienda
4. Los productos críticos con elementos digitales estarán sujetos a los procedimientos de evaluación de la conformidad especificados en el artículo 24, apartados 2 y 3.	4. Los productos críticos con elementos digitales estarán sujetos a los procedimientos de evaluación de la conformidad especificados en el artículo 24, apartados 2 y 3. Como excepción, las pequeñas empresas y las microempresas podrán utilizar el procedimiento a que se hace referencia en el artículo 24, apartado 2.

Enmienda  64

 

Propuesta de Reglamento

Artículo 6 – apartado 5 – parte introductoria

Texto de la Comisión	Enmienda
5. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 50 a fin de completar el presente Reglamento mediante el establecimiento de categorías de productos altamente críticos con elementos digitales, cuyos fabricantes deberán obtener un certificado europeo de ciberseguridad expedido en el marco de un esquema europeo de certificación de la ciberseguridad con arreglo al Reglamento (UE) 2019/881 con el fin de demostrar la conformidad con los requisitos esenciales establecidos en el anexo I o parte de ellos. A la hora de determinar dichas categorías de productos altamente críticos con elementos digitales, la Comisión tendrá en cuenta el nivel de riesgo de ciberseguridad asociado a la categoría de productos con elementos digitales, a la luz de uno o varios de los criterios enumerados en el apartado 2 y de la evaluación que determine si dicha categoría de productos:	5. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 50 a fin de completar el presente Reglamento mediante el establecimiento de categorías de productos altamente críticos con elementos digitales, cuyos fabricantes podrán obtener un certificado europeo de ciberseguridad expedido en el marco de un esquema europeo de certificación de la ciberseguridad con arreglo al Reglamento (UE) 2019/881 con el fin de demostrar la conformidad con los requisitos esenciales establecidos en el anexo I o parte de ellos. A la hora de determinar dichas categorías de productos altamente críticos con elementos digitales, la Comisión tendrá en cuenta el nivel de riesgo de ciberseguridad asociado a la categoría de productos con elementos digitales, a la luz de uno o varios de los criterios enumerados en el apartado 2 y de la evaluación que determine si dicha categoría de productos:

Enmienda  65

 

Propuesta de Reglamento

Artículo 8 – apartado 1

Texto de la Comisión	Enmienda
1. Los productos con elementos digitales clasificados como sistemas de IA de alto riesgo de conformidad con el artículo [artículo 6] del Reglamento [Reglamento sobre IA] que entran en el ámbito de aplicación del presente Reglamento y cumplen los requisitos esenciales establecidos en la sección 1 del anexo I del presente Reglamento, siempre que los procesos establecidos por el fabricante cumplan los requisitos esenciales establecidos en la sección 2 del anexo I, se considerarán conformes con los requisitos relativos a la ciberseguridad establecidos en el artículo [artículo 15] del Reglamento [Reglamento sobre IA], sin perjuicio de los demás requisitos relativos a la precisión y la solidez incluidos en el citado artículo, en la medida en que la consecución del nivel de protección exigido por dichos requisitos se demuestre mediante la declaración UE de conformidad expedida en virtud del presente Reglamento.	1. Los productos con elementos digitales, o los productos parcialmente completados con elementos digitales, clasificados como sistemas de IA de alto riesgo de conformidad con el artículo [artículo 6] del Reglamento [Reglamento sobre IA] que entran en el ámbito de aplicación del presente Reglamento y cumplen los requisitos esenciales establecidos en la sección 1 del anexo I del presente Reglamento, siempre que los procesos establecidos por el fabricante cumplan los requisitos esenciales establecidos en la sección 2 del anexo I, se considerarán conformes con los requisitos relativos a la ciberseguridad establecidos en el artículo [artículo 15] del Reglamento [Reglamento sobre IA], sin perjuicio de los demás requisitos relativos a la precisión y la solidez incluidos en el citado artículo, en la medida en que la consecución del nivel de protección exigido por dichos requisitos se demuestre mediante la declaración UE de conformidad expedida en virtud del presente Reglamento.

Enmienda  66

 

Propuesta de Reglamento

Artículo 8 – apartado 2

Texto de la Comisión	Enmienda
2. Para los productos y los requisitos de ciberseguridad mencionados en el apartado 1, será aplicable el procedimiento de evaluación de la conformidad pertinente de conformidad con el artículo [artículo 43] del Reglamento [Reglamento sobre IA]. A efectos de dicha evaluación, los organismos notificados que dispongan de la facultad de controlar la conformidad de los sistemas de IA de alto riesgo que entren en el ámbito de aplicación del Reglamento [Reglamento sobre IA] también dispondrán de la facultad de controlar la conformidad de los sistemas de IA de alto riesgo incluidos en el ámbito de aplicación del presente Reglamento con los requisitos establecidos en su anexo I, a condición de que se haya evaluado el cumplimiento por parte de dichos organismos notificados de los requisitos dispuestos en el artículo 29 del presente Reglamento en el contexto del procedimiento de notificación contemplado en el Reglamento [Reglamento sobre IA].	2. Para los productos y los requisitos de ciberseguridad mencionados en el apartado 1, será aplicable el procedimiento de evaluación de la conformidad pertinente de conformidad con las [disposiciones aplicables] del Reglamento [Reglamento sobre IA]. A efectos de dicha evaluación, los organismos notificados que dispongan de la facultad de controlar la conformidad de los sistemas de IA de alto riesgo que entren en el ámbito de aplicación del Reglamento [Reglamento sobre IA] también dispondrán de la facultad de controlar la conformidad de los sistemas de IA de alto riesgo incluidos en el ámbito de aplicación del presente Reglamento con los requisitos establecidos en su anexo I.

Enmienda  67

 

Propuesta de Reglamento

Artículo 8 – apartado 3

Texto de la Comisión	Enmienda
3. No obstante lo dispuesto en el apartado 2, los productos críticos con elementos digitales enumerados en el anexo III del presente Reglamento que requieran la aplicación de los procedimientos de evaluación de la conformidad establecidos en el artículo 24, apartado 2, letras a) y b), y el artículo 24, apartado 3, letras a) y b), del presente Reglamento, que también estén clasificados como sistemas de IA de alto riesgo con arreglo al artículo [artículo 6] del Reglamento [Reglamento sobre IA] y a los que se aplique el procedimiento de evaluación de la conformidad basado en el control interno a que se refiere el anexo [anexo VI] del Reglamento [Reglamento sobre IA] estarán sujetos a los procedimientos de evaluación de la conformidad exigidos por el presente Reglamento en lo que respecta a los requisitos esenciales del presente Reglamento.	suprimido

Enmienda  68

 

Propuesta de Reglamento

Artículo 9 – párrafo 1

Texto de la Comisión	Enmienda
Las máquinas y sus partes y accesorios que entren en el ámbito de aplicación del Reglamento [propuesta de Reglamento sobre máquinas], que sean productos con elementos digitales en el sentido del presente Reglamento y para los que se haya expedido una declaración UE de conformidad sobre la base del presente Reglamento se presumirán conformes con los requisitos esenciales de salud y seguridad establecidos en el anexo [anexo III, secciones 1.1.9 y 1.2.1] del Reglamento [propuesta de Reglamento sobre máquinas], en lo que respecta a la protección contra la corrupción y la seguridad y fiabilidad de los sistemas de mando, en la medida en que la declaración UE de conformidad emitida en virtud del presente Reglamento demuestre el cumplimiento del nivel de protección exigido por dichos requisitos.	Las máquinas y sus partes y accesorios que entren en el ámbito de aplicación del Reglamento [propuesta de Reglamento sobre máquinas], que sean productos con elementos digitales o productos parcialmente completados con elementos digitales en el sentido del presente Reglamento y para los que se haya expedido una declaración UE de conformidad sobre la base del presente Reglamento se presumirán conformes con los requisitos esenciales de salud y seguridad establecidos en el anexo [anexo III, secciones 1.1.9 y 1.2.1] del Reglamento [propuesta de Reglamento sobre máquinas], en lo que respecta a la protección contra la corrupción y la seguridad y fiabilidad de los sistemas de mando, en la medida en que la declaración UE de conformidad emitida en virtud del presente Reglamento demuestre el cumplimiento del nivel de protección exigido por dichos requisitos.

Enmienda  69

 

Propuesta de Reglamento

Artículo 10 – apartado –1 (nuevo)

Texto de la Comisión	Enmienda
	–1. Los fabricantes de programas informáticos que reúnan los requisitos para clasificarse como microempresas, según se definen en la Recomendación 2003/361/CE de la Comisión, harán cuando esté en su mano por cumplir los requisitos del presente Reglamento durante los seis meses posteriores a la comercialización de un programa informático. Esta disposición no se aplica a los productos altamente críticos con elementos digitales.

Enmienda  70

 

Propuesta de Reglamento

Artículo 10 – apartado 1

Texto de la Comisión	Enmienda
1. Cuando se introduzca en el mercado un producto con elementos digitales, los fabricantes garantizarán que ha sido diseñado, desarrollado y producido de conformidad con los requisitos esenciales establecidos en la sección 1 del anexo I.	1. Cuando se introduzca en el mercado un producto con elementos digitales, los fabricantes garantizarán que ha sido diseñado, desarrollado y fabricado de conformidad con los requisitos esenciales establecidos en la sección 1 del anexo I.

Enmienda  71

 

Propuesta de Reglamento

Artículo 10 – apartado 4

Texto de la Comisión	Enmienda
4. A efectos del cumplimiento de la obligación establecida en el apartado 1, los fabricantes ejercerán la diligencia debida al integrar componentes procedentes de terceros en productos con elementos digitales. Velarán por que dichos componentes no comprometan la seguridad del producto con elementos digitales.	4. A efectos del cumplimiento de la obligación establecida en el apartado 1, los fabricantes ejercerán la diligencia debida al integrar componentes procedentes de terceros en productos con elementos digitales. Es responsabilidad del fabricante velar por que dichos componentes no comprometan la seguridad del producto con elementos digitales.

Enmienda  72

 

Propuesta de Reglamento

Artículo 10 – apartado 4 bis (nuevo)

Texto de la Comisión	Enmienda
	4 bis. Los fabricantes de los componentes facilitarán la información y la documentación necesarias para cumplir los requisitos del presente Reglamento cuando suministren dichos componentes al fabricante de los productos finales. Dicha información se ofrecerá de manera gratuita.

Enmienda  73

 

Propuesta de Reglamento

Artículo 10 – apartado 6 – párrafo 1

Texto de la Comisión	Enmienda
Desde la introducción de un producto con elementos digitales en el mercado y durante la vida útil prevista del producto o durante cinco años a partir de la introducción del producto en el mercado, si este período fuese más breve, los fabricantes velarán por que las vulnerabilidades de dicho producto se gestionen de manera eficaz y de conformidad con los requisitos esenciales establecidos en la sección 2 del anexo I.	Desde la introducción de un producto con elementos digitales en el mercado y durante la vida útil prevista del producto en la fecha de su comercialización o durante cinco años a partir de la introducción del producto en el mercado, si este período fuese más prolongado, los fabricantes velarán por que las vulnerabilidades de dicho producto se gestionen de manera eficaz y de conformidad con los requisitos esenciales establecidos en la sección 2 del anexo I, siempre que esté bajo el control de los fabricantes.

Enmienda  74

 

Propuesta de Reglamento

Artículo 10 – apartado 7 – párrafo 3 bis (nuevo)

Texto de la Comisión	Enmienda
	Cuando se ejecuten actualizaciones de programas informáticos, el fabricante no estará obligado a efectuar otra evaluación de conformidad del producto con elementos digitales, salvo que la actualización de que se trate dé lugar a una modificación sustancial de dicho producto en el sentido de lo dispuesto en el artículo 3, punto 31, del presente Reglamento.

Enmienda  75

 

Propuesta de Reglamento

Artículo 10 – apartado 9

Texto de la Comisión	Enmienda
9. Los fabricantes se asegurarán de que existan procedimientos para que los productos con elementos digitales que formen parte de una producción en serie mantengan su conformidad. El fabricante tomará debidamente en consideración los cambios en el proceso de desarrollo y producción o en el diseño o las características del producto con elementos digitales, así como los cambios en las normas armonizadas, en los esquemas europeos de certificación de la ciberseguridad o en las especificaciones técnicas a que se hace referencia en el artículo 19 en virtud de las cuales se declara o por aplicación de las cuales se verifica la conformidad del producto.	9. Los fabricantes se asegurarán de que existan procedimientos para que los productos con elementos digitales que formen parte de una producción en serie mantengan su conformidad. El fabricante tomará debidamente en consideración los cambios en el proceso de desarrollo y producción o en el diseño o las características del producto con elementos digitales, así como los cambios en las normas armonizadas, en los esquemas europeos de certificación de la ciberseguridad o en las especificaciones técnicas a que se hace referencia en el artículo 19 en virtud de las cuales se declara o por aplicación de las cuales se verifica la conformidad del producto. Cuando estén disponibles nuevos conocimientos, técnicas o normas que no lo estaban en el momento del diseño de un producto en serie, el fabricante podrá considerar la implantación de tales mejoras periódicamente respecto a futuras generaciones de productos.

Enmienda  76

 

Propuesta de Reglamento

Artículo 10 – apartado 9 bis (nuevo)

Texto de la Comisión	Enmienda
	9 bis. Los fabricantes comunicarán públicamente la vida útil prevista de sus productos de un modo claro y comprensible.

Enmienda  77

 

Propuesta de Reglamento

Artículo 10 – apartado 12

Texto de la Comisión	Enmienda
12. Desde la introducción en el mercado de un producto con elementos digitales y durante la vida útil prevista del producto o durante cinco años a partir de la introducción en el mercado del producto, si este período fuese más breve, los fabricantes que sepan o tengan motivos para creer que el producto con elementos digitales o los procesos establecidos por el fabricante no son conformes con los requisitos esenciales establecidos en el anexo I adoptarán inmediatamente las medidas correctoras necesarias para que el producto con elementos digitales o los procesos del fabricante sean conformes, para retirarlo del mercado o para recuperarlo, según proceda.	12. Desde la introducción en el mercado de un producto con elementos digitales y durante la vida útil prevista del producto o durante cinco años a partir de la introducción en el mercado del producto, si este período fuese más prolongado, los fabricantes que sepan o tengan motivos para creer que el producto con elementos digitales o los procesos establecidos por el fabricante no son conformes con los requisitos esenciales establecidos en el anexo I adoptarán inmediatamente las medidas correctoras necesarias para que el producto con elementos digitales o los procesos del fabricante sean conformes, para retirarlo del mercado o para recuperarlo, según proceda.

Enmienda  78

 

Propuesta de Reglamento

Artículo 11 – apartado 1

Texto de la Comisión	Enmienda
1. El fabricante notificará a la ENISA, sin demora indebida, y en cualquier caso en un plazo de veinticuatro horas a partir del momento en que tenga conocimiento de ello, cualquier vulnerabilidad aprovechada activamente presente en el producto con elementos digitales. La notificación incluirá información detallada sobre dicha vulnerabilidad y, en su caso, sobre las medidas correctoras o paliativas adoptadas. La ENISA transmitirá la notificación tras su recepción, sin demora indebida salvo por motivos justificados en relación con los riesgos de ciberseguridad, al CSIRT designado a efectos de la divulgación coordinada de vulnerabilidades con arreglo al artículo [artículo X] de la Directiva [Directiva XXX/XXXX (SRI 2)] de los Estados miembros afectados e informará a la autoridad de vigilancia del mercado sobre la vulnerabilidad notificada.	1. El fabricante notificará a la ENISA, sin demora indebida, y en cualquier caso en un plazo de cuarenta y ocho horas a partir del momento en que tenga conocimiento de ello, mediante una alerta temprana, cualquier vulnerabilidad aprovechada activamente presente en el producto con elementos digitales.

Enmienda  79

 

Propuesta de Reglamento

Artículo 11 – apartado 1 bis (nuevo)

Texto de la Comisión	Enmienda
	1 bis. El fabricante proporcionará a la ENISA, sin demora indebida a partir del momento en que tenga conocimiento de una vulnerabilidad aprovechada que afecte de manera significativa a la seguridad del producto con elementos digitales, información pormenorizada adicional sobre la vulnerabilidad de que se trate.

Enmienda  80

 

Propuesta de Reglamento

Artículo 11 – apartado 1 ter (nuevo)

Texto de la Comisión	Enmienda
	1 ter. Todas las demás vulnerabilidades que no afecten de manera significativa a la seguridad del producto con elementos digitales se notificarán a la ENISA una vez que se haya abordado la vulnerabilidad.

Enmienda  81

 

Propuesta de Reglamento

Artículo 11 – apartado 1 quater (nuevo)

Texto de la Comisión	Enmienda
	1 quater. La notificación incluirá información detallada sobre dicha vulnerabilidad y, en su caso, sobre las medidas correctoras o paliativas adoptadas y las medidas de mitigación del riesgo recomendadas. La ENISA transmitirá la notificación tras su recepción, sin demora indebida salvo por motivos justificados en relación con los riesgos de ciberseguridad, al CSIRT designado a efectos de la divulgación coordinada de vulnerabilidades con arreglo al artículo [artículo X] de la Directiva [Directiva XXX/XXXX (SRI 2)] de los Estados miembros afectados e informará inmediatamente a la autoridad de vigilancia del mercado sobre la existencia de una vulnerabilidad y, cuando proceda, de las posibles medidas de mitigación del riesgo. Si para una vulnerabilidad notificada no hay disponibles medidas correctoras o de mitigación, la ENISA velará por que la información sobre la vulnerabilidad notificada se comunique en línea con unos estrictos protocolos de seguridad y según la necesidad de conocerla.

Enmienda  82

 

Propuesta de Reglamento

Artículo 11 – apartado 2

Texto de la Comisión	Enmienda
2. El fabricante notificará a la ENISA, sin demora indebida, y en cualquier caso en un plazo de veinticuatro horas a partir del momento en que tenga conocimiento de ello, cualquier incidente que afecte al producto con elementos digitales. La ENISA transmitirá la notificación, sin demora indebida, salvo por motivos justificados en relación con los riesgos de ciberseguridad, al punto único de contacto designado con arreglo al artículo [artículo X] de la Directiva [Directiva XXX/XXXX (SRI 2)] de los Estados miembros afectados e informará a la autoridad de vigilancia del mercado sobre los incidentes notificados. La notificación del incidente incluirá información sobre la gravedad y las repercusiones del incidente y, en su caso, indicará si el fabricante sospecha que el incidente ha sido causado por actos ilícitos o malintencionados o si considera que tiene repercusiones transfronterizas.	2. El fabricante notificará a la ENISA sin demora indebida, y en cualquier caso en un plazo de veinticuatro horas a partir del momento en que tenga conocimiento de ello, mediante una alerta temprana, cualquier incidente que afecte de manera significativa al producto con elementos digitales. El fabricante proporcionará a la ENISA, sin demora indebida, y en cualquier caso en un plazo de setenta y dos horas a partir del momento en que tenga conocimiento del incidente significativo relacionado con el producto con elementos digitales, información pormenorizada adicional sobre el incidente significativo de que se trate. La ENISA transmitirá la notificación, sin demora indebida, salvo por motivos justificados en relación con los riesgos de ciberseguridad, al punto único de contacto designado con arreglo al artículo [artículo X] de la Directiva [Directiva XXX/XXXX (SRI 2)] de los Estados miembros afectados e informará de inmediato a la autoridad de vigilancia del mercado sobre los incidentes significativos notificados. La notificación del incidente incluirá la información que resulte estrictamente necesaria para que la autoridad competente adquiera conocimiento del incidente, y cuando proceda y sea proporcional al riesgo, sobre la gravedad y las repercusiones del incidente y, en su caso, indicará si el fabricante sospecha que el incidente ha sido causado por actos ilícitos o malintencionados o si considera que tiene repercusiones transfronterizas. El mero acto de notificar no elevará la responsabilidad de la entidad notificante.

Enmienda  83

 

Propuesta de Reglamento

Artículo 11 – apartado 2 bis (nuevo)

Texto de la Comisión	Enmienda
	2 bis. Deberá considerarse que los operadores económicos a los que se identifique además como entidades esenciales o importantes en la Directiva SRI 2 y que presenten sus notificaciones de incidentes con arreglo a dicha Directiva, cumplen los requisitos formulados en el apartado 2 del presente artículo.

Enmienda  84

 

Propuesta de Reglamento

Artículo 11 – apartado 3

Texto de la Comisión	Enmienda
3. La ENISA presentará a la red de organizaciones de enlace para la gestión de cibercrisis de la UE (CyCLONe) creada por el artículo [artículo X] de la Directiva [Directiva XXX/XXXX (SRI 2)] la información notificada con arreglo a los apartados 1 y 2 si dicha información es pertinente para la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala a nivel operativo.	3. La ENISA presentará a la red de organizaciones de enlace para la gestión de cibercrisis de la UE (CyCLONe) creada por el artículo [artículo X] de la Directiva [Directiva XXX/XXXX (SRI 2)] la información notificada con arreglo a los apartados 1 y 2 si dicha información es pertinente para la gestión coordinada de incidentes significativos y crisis de ciberseguridad a gran escala a nivel operativo.

Enmienda  85

 

Propuesta de Reglamento

Artículo 11 – apartado 4

Texto de la Comisión	Enmienda
4. El fabricante informará, sin demora indebida y una vez tenga conocimiento de ello, a los usuarios del producto con elementos digitales sobre el incidente y, cuando así se requiera, sobre las medidas correctoras que el usuario pueda adoptar para mitigar las repercusiones del incidente.	4. El fabricante informará, sin demora indebida y una vez tenga conocimiento de ello, a los usuarios del producto con elementos digitales sobre el incidente significativo, cuando proceda y sea probable que les afecte negativamente, y, cuando así se requiera, sobre las medidas de mitigación del riesgo y medidas correctoras que el usuario pueda adoptar para mitigar las repercusiones del incidente significativo en relación con los posibles datos afectados y los daños potenciales.

Enmienda  86

 

Propuesta de Reglamento

Artículo 11 – apartado 4 bis (nuevo)

Texto de la Comisión	Enmienda
	4 bis. Las obligaciones previstas en los apartados 1, 2 y 4 se aplicarán a lo largo de la vida útil del producto. Durante el período previsto de vida útil del producto, el fabricante ofrecerá actualizaciones de seguridad de manera gratuita, que se aplicarán únicamente a los productos con elementos digitales respecto a los que el fabricante haya elaborado una declaración UE de conformidad, con arreglo al artículo 20 del presente Reglamento.

Enmienda  87

 

Propuesta de Reglamento

Artículo 11 – apartado 5

Texto de la Comisión	Enmienda
5. La Comisión podrá, mediante actos de ejecución, especificar el tipo de información, el formato y el procedimiento de las notificaciones presentadas con arreglo a los apartados 1 y 2. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 51, apartado 2.	5. La Comisión, tras consultar a las partes interesadas y los CSIRT, podrá, mediante actos de ejecución, especificar el tipo de información, el formato y el procedimiento de las notificaciones presentadas con arreglo a los apartados 1 y 2. Dichos actos de ejecución se basarán en las normas europeas e internacionales y se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 51, apartado 2.

Enmienda  88

 

Propuesta de Reglamento

Artículo 11 – apartado 6

Texto de la Comisión	Enmienda
6. Sobre la base de las notificaciones recibidas con arreglo a los apartados 1 y 2, la ENISA elaborará un informe técnico bienal sobre las tendencias emergentes en relación con los riesgos de ciberseguridad en los productos con elementos digitales y lo presentará al Grupo de Cooperación especificado en el artículo [artículo X] de la Directiva [Directiva XXX/XXXX (SRI 2)]. El primero de estos informes se presentará en un plazo de veinticuatro meses a partir de la fecha en que empiecen a ser aplicables las obligaciones establecidas en los apartados 1 y 2.	6. Sobre la base de las notificaciones recibidas con arreglo a los apartados 1 y 2, la ENISA elaborará un informe técnico bienal sobre las tendencias emergentes en relación con los riesgos de ciberseguridad en los productos con elementos digitales y lo presentará al Grupo de Cooperación especificado en el artículo 14 de la Directiva (UE) 2022/2555. El primero de estos informes se presentará en un plazo de veinticuatro meses a partir de la fecha en que empiecen a ser aplicables las obligaciones establecidas en los apartados 1 y 2.

Enmienda  89

 

Propuesta de Reglamento

Artículo 11 – apartado 7

Texto de la Comisión	Enmienda
7. Al detectar una vulnerabilidad en un componente, incluso si este es de código abierto, integrado en el producto con elementos digitales, los fabricantes notificarán la vulnerabilidad a la persona o entidad a cargo del mantenimiento del componente.	7. Al detectar una vulnerabilidad en un componente, incluso si este es de código abierto, integrado en el producto con elementos digitales, los fabricantes notificarán la vulnerabilidad y la medida correctiva o de mitigación adoptada a la persona o entidad a cargo del mantenimiento del componente. Ello no exime al fabricante de la obligación de mantener la conformidad del producto con los requisitos del presente Reglamento, ni crea obligaciones a los desarrolladores de componentes libres y de código abierto que carezcan de una relación contractual con el fabricante en cuestión.

Enmienda  90

 

Propuesta de Reglamento

Artículo 12 – apartado 3 – parte introductoria

Texto de la Comisión	Enmienda
3. El representante autorizado efectuará las tareas especificadas en el mandato recibido del fabricante. El mandato permitirá al representante autorizado realizar como mínimo las tareas siguientes:	3. El representante autorizado efectuará las tareas especificadas en el mandato recibido del fabricante. Facilitará a las autoridades de vigilancia del mercado, siempre que estas lo soliciten, una copia del mandato. El mandato permitirá al representante autorizado realizar como mínimo las tareas siguientes:

Enmienda  91

 

Propuesta de Reglamento

Artículo 12 – apartado 3 – letra a bis (nueva)

Texto de la Comisión	Enmienda
	a bis) cuando el representante autorizado tenga motivos para creer que el producto con elementos digitales en cuestión presenta un riesgo de ciberseguridad, informar de ello al fabricante;

Enmienda  92

 

Propuesta de Reglamento

Artículo 12 – apartado 3 – letra b

Texto de la Comisión	Enmienda
b) en respuesta a una solicitud motivada de una autoridad de vigilancia del mercado, facilitar a dicha autoridad toda la información y documentación necesarias para demostrar la conformidad del producto con elementos digitales;	b) en respuesta a una solicitud motivada de una autoridad de vigilancia del mercado, facilitar a dicha autoridad toda la información y documentación necesarias para demostrar la seguridad y la conformidad del producto con elementos digitales en una lengua que pueda entender fácilmente dicha autoridad;

Enmienda  93

 

Propuesta de Reglamento

Artículo 12 – apartado 3 – letra c

Texto de la Comisión	Enmienda
c) cooperar con las autoridades de vigilancia del mercado, a petición de estas, en cualquier acción destinada a eliminar los riesgos que presente un producto con elementos digitales objeto del mandato del representante autorizado.	c) cooperar con las autoridades de vigilancia del mercado, a petición de estas, en cualquier acción destinada a eliminar de manera efectiva los riesgos que presente un producto con elementos digitales objeto del mandato del representante autorizado;

Enmienda  94

 

Propuesta de Reglamento

Artículo 13 – apartado 2 – letra c bis (nueva)

Texto de la Comisión	Enmienda
	c bis) todos los documentos que acrediten el cumplimiento de los requisitos establecidos en el presente artículo se han recibido del fabricante y se encuentran disponibles para su inspección por un período de diez años.

Enmienda  95

 

Propuesta de Reglamento

Artículo 13 – apartado 3

Texto de la Comisión	Enmienda
3. Si un importador considera o tiene motivos para creer que un producto con elementos digitales o los procesos establecidos por el fabricante no son conformes con los requisitos esenciales establecidos en el anexo I, no lo introducirá en el mercado hasta que el producto o los procesos establecidos por el fabricante no se hayan llevado a la conformidad con los requisitos esenciales establecidos en el anexo I. Además, cuando el producto con elementos digitales presente un riesgo de ciberseguridad significativo, el importador informará de ello al fabricante y a las autoridades de vigilancia del mercado.	3. Si un importador considera o tiene motivos para creer, con arreglo a la información de la que dispone, que un producto con elementos digitales o los procesos establecidos por el fabricante no son conformes con los requisitos esenciales establecidos en el anexo I, no lo introducirá en el mercado hasta que el producto o los procesos establecidos por el fabricante no se hayan llevado a la conformidad con los requisitos esenciales establecidos en el anexo I. Además, cuando el producto con elementos digitales presente un riesgo de ciberseguridad significativo, el importador informará de ello al fabricante y a las autoridades de vigilancia del mercado.

Enmienda  96

 

Propuesta de Reglamento

Artículo 13 – apartado 4

Texto de la Comisión	Enmienda
4. Los importadores indicarán su nombre, nombre comercial registrado o marca registrada, su dirección postal y su dirección de correo electrónico de contacto en el producto con elementos digitales o, cuando no sea posible, en su embalaje o en un documento que acompañe al producto con elementos digitales. Los datos de contacto figurarán en una lengua fácilmente comprensible para los usuarios finales y las autoridades de vigilancia del mercado.	4. Los importadores indicarán su nombre, su nombre comercial registrado o marca registrada, su dirección postal y su dirección de correo electrónico de contacto en el producto con elementos digitales o, cuando no sea posible, en su embalaje o en un documento que acompañe al producto con elementos digitales. Los datos de contacto figurarán en una lengua fácilmente comprensible para los usuarios finales y las autoridades de vigilancia del mercado.

Enmienda  97

 

Propuesta de Reglamento

Artículo 13 – apartado 6 – párrafo 1

Texto de la Comisión	Enmienda
Los importadores que sepan o tengan motivos para creer que un producto con elementos digitales que han introducido en el mercado o los procesos establecidos por su fabricante no son conformes con los requisitos esenciales establecidos en el anexo I adoptarán inmediatamente las medidas correctoras necesarias para que dicho producto con elementos digitales o los procesos establecidos por su fabricante sean conformes con los requisitos esenciales establecidos en el anexo I, o bien para retirarlo del mercado o recuperarlo, cuando proceda.	Los importadores que sepan o tengan motivos para creer que un producto con elementos digitales que han introducido en el mercado o los procesos establecidos por su fabricante no son conformes con los requisitos esenciales establecidos en el anexo I adoptarán inmediatamente las medidas correctoras necesarias para que dicho producto con elementos digitales o los procesos establecidos por su fabricante sean conformes con los requisitos esenciales establecidos en el anexo I, o bien para retirarlo del mercado o recuperarlo, cuando proceda. Sobre la base de una evaluación de riesgos, a los distribuidores y a los usuarios finales se les informará puntualmente de la falta de conformidad y de las medidas de mitigación de riesgos que pueden adoptar.

Enmienda  98

 

Propuesta de Reglamento

Artículo 14 – apartado 2 – letra b bis (nueva)

Texto de la Comisión	Enmienda
	b bis) han recibido del fabricante o del importador toda la información y la documentación requeridas con arreglo al presente Reglamento.

Enmienda  99

 

Propuesta de Reglamento

Artículo 16 – párrafo 1

Texto de la Comisión	Enmienda
A los efectos del presente Reglamento, se considerará fabricante a una persona física o jurídica, distinta del fabricante, el importador o el distribuidor, que lleve a cabo una modificación sustancial del producto con elementos digitales.	A los efectos del presente Reglamento, se considerará fabricante a una persona física o jurídica, distinta del fabricante, el importador o el distribuidor, que, en el desempeño de una actividad profesional, lleve a cabo una modificación sustancial del producto con elementos digitales y lo comercialice.

Enmienda  100

 

Propuesta de Reglamento

Artículo 18 – apartado 1 bis (nuevo)

Texto de la Comisión	Enmienda
	1 bis. En virtud de lo dispuesto en el artículo 10, apartado 1, del Reglamento (UE) n.º 1025/2012, la Comisión solicitará que una o varias organizaciones europeas de normalización elaboren normas armonizadas relativas a los requisitos establecidos en el anexo I.

Enmienda  101

 

Propuesta de Reglamento

Artículo 18 – apartado 4 bis (nuevo)

Texto de la Comisión	Enmienda
	4 bis. De conformidad con el artículo 10, apartado 1, del Reglamento (UE) n.º 1025/2012, al preparar la petición de normalización para los productos en el ámbito de aplicación del presente Reglamento, la Comisión aspirará a la máxima armonización con las normas internacionales vigentes o inminentes en materia de ciberseguridad. En los tres primeros años posteriores a la fecha de aplicación del presente Reglamento, la Comisión estará facultada para declarar una norma internacional existente como conforme con los requisitos del presente Reglamento, sin modificaciones europeas, a condición de que la observancia de tales normas refuerce suficientemente la seguridad de los productos con elementos digitales, y de que la norma se publique como una versión separada por uno de los organismos europeos de normalización.

Enmienda  102

 

Propuesta de Reglamento

Artículo 19 – párrafo 1

Texto de la Comisión	Enmienda
Cuando no existan las normas armonizadas mencionadas en el artículo 18, cuando la Comisión considere que las normas armonizadas pertinentes son insuficientes para cumplir los requisitos del presente Reglamento o ajustarse a la petición de normalización de la Comisión, cuando se produzcan demoras indebidas en el procedimiento de normalización o cuando la solicitud de normas armonizadas por parte de la Comisión no haya sido aceptada por las organizaciones europeas de normalización, la Comisión estará facultada para adoptar, mediante actos de ejecución, especificaciones comunes con respecto a los requisitos esenciales establecidos en el anexo I. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 51, apartado 2.	1. La Comisión estará facultada para adoptar actos de ejecución por los que se establezcan especificaciones comunes relativas a los requisitos técnicos que proporcionen un medio para cumplir los requisitos esenciales de salud y seguridad establecidos en el anexo I para los productos incluidos en el ámbito de aplicación del presente Reglamento. Dichos actos de ejecución solo se adoptarán cuando se cumplan las condiciones siguientes:
	a) la Comisión, en virtud de lo dispuesto en el artículo 10, apartado 1, del Reglamento (UE) n.º 1025/2012, ha solicitado que una o varias organizaciones europeas de normalización elaboren una norma armonizada relativa a los requisitos esenciales establecidos en el anexo I y:
	i) la solicitud no se haya aceptado; o
	ii) las normas armonizadas que respondan a esa solicitud no se hayan entregado en el plazo establecido de conformidad con el artículo 10, apartado 1, del Reglamento (UE) n.º 1025/2012; o
	iii) las normas armonizadas incumplan la solicitud; y
	b) no se haya publicado en el Diario Oficial de la Unión Europea ninguna referencia a normas armonizadas que regulen los requisitos establecidos en el anexo I de conformidad con el Reglamento (UE) n.º 1025/2012 y no se prevea la publicación de ninguna referencia en un plazo razonable.
	Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 3.

Enmienda  103

 

Propuesta de Reglamento

Artículo 19 – párrafo 1 bis (nuevo)

Texto de la Comisión	Enmienda
	1 bis. Antes de preparar el proyecto de acto delegado a que se refiere el apartado 3, la Comisión informará al comité a que se refiere el artículo 22 del Reglamento (UE) n.º 1025/2012 de que considera que se cumplen las condiciones establecidas en el apartado 3.

Enmienda  104

 

Propuesta de Reglamento

Artículo 19 – párrafo 1 ter (nuevo)

Texto de la Comisión	Enmienda
	1 ter. Al preparar el proyecto de acto de ejecución a que se refiere el apartado 1, la Comisión tendrá en cuenta los puntos de vista de los organismos pertinentes o del grupo de expertos y consultará debidamente a todas las partes interesadas pertinentes.

Enmienda  105

 

Propuesta de Reglamento

Artículo 19 – párrafo 1 quater (nuevo)

Texto de la Comisión	Enmienda
	1 quater. Cuando una norma armonizada sea adoptada por una organización europea de normalización y propuesta a la Comisión con el fin de publicar su referencia en el Diario Oficial de la Unión Europea, la Comisión evaluará la norma armonizada de conformidad con el Reglamento (UE) n.º 1025/2012. Cuando se publique la referencia de una norma armonizada en el Diario Oficial de la Unión Europea, la Comisión derogará los actos de ejecución a que se refiere el apartado 1, o las partes de estos que prevean los mismos requisitos que prevé dicha norma armonizada.

Enmienda  106

 

Propuesta de Reglamento

Artículo 19 – párrafo 1 quinquies (nuevo)

Texto de la Comisión	Enmienda
	1 quinquies. Cuando un Estado miembro considere que una especificación común no cumple plenamente los requisitos establecidos en el anexo I, informará de ello a la Comisión presentando una explicación detallada. La Comisión evaluará dicha explicación detallada y, si procede, podrá modificar el acto de ejecución por el que se establezca la especificación común en cuestión.

Enmienda  107

 

Propuesta de Reglamento

Artículo 20 – apartado 2

Texto de la Comisión	Enmienda
2. La declaración UE de conformidad tendrá la estructura tipo establecida en el anexo IV y contendrá los elementos especificados en los procedimientos de evaluación de la conformidad correspondientes establecidos en el anexo VI. La declaración se mantendrá permanentemente actualizada. Estará disponible en la lengua o las lenguas requeridas por el Estado miembro en cuyo mercado se introduzca o se comercialice el producto con elementos digitales.	2. La declaración UE de conformidad tendrá la estructura tipo establecida en el anexo IV y contendrá los elementos especificados en los procedimientos de evaluación de la conformidad correspondientes establecidos en el anexo VI. La declaración se mantendrá actualizada como corresponda. Estará disponible en una lengua que puedan comprender fácilmente las autoridades del Estado miembro en cuyo mercado se introduzca o se comercialice el producto con elementos digitales.

Enmienda  108

 

Propuesta de Reglamento

Artículo 20 bis (nuevo)

Texto de la Comisión	Enmienda
	Artículo 20 bis
	Declaración UE de incorporación para productos parcialmente completados con elementos digitales
	1. Los fabricantes elaborarán la declaración UE de incorporación con arreglo a lo dispuesto en el artículo 10, apartado 7, y harán constar que se ha demostrado el cumplimiento de los requisitos esenciales aplicables establecidos en el anexo I.
	2. La declaración UE de incorporación tendrá la estructura tipo que se establece en el anexo IV bis (nuevo). La declaración se mantendrá actualizada como corresponda. Estará disponible en la lengua o las lenguas requeridas por el Estado miembro en cuyo mercado se introduzca o se comercialice el producto parcialmente completado con elementos digitales.
	3. Cuando un producto parcialmente completado con elementos digitales esté sujeto a más de un acto de la Unión que exija una declaración UE de incorporación, se elaborará una única declaración UE de incorporación con respecto a todos esos actos de la Unión. Dicha declaración contendrá la identificación de los actos de la Unión correspondientes y sus referencias de publicación.
	4. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 50 a fin de completar el presente Reglamento mediante la inclusión de elementos al contenido mínimo de la declaración UE de incorporación establecido en el anexo IV bis (nuevo) a fin de tener en cuenta los avances tecnológicos.

Enmienda  109

 

Propuesta de Reglamento

Artículo 22 – apartado 1

Texto de la Comisión	Enmienda
1. El marcado CE se colocará en el producto con elementos digitales de manera visible, legible e indeleble. Cuando ello no sea posible o no se justifique dada la naturaleza del producto con elementos digitales, se colocará en el embalaje y en la declaración UE de conformidad mencionada en el artículo 20 que acompañen al producto con elementos digitales. En el caso de los productos con elementos digitales en forma de programas informáticos, el marcado CE se colocará en la declaración UE de conformidad mencionada en el artículo 20 o el sitio web que acompañen al producto.	1. El marcado CE se colocará en el producto con elementos digitales de manera visible, legible e indeleble. Cuando ello no sea posible o no se justifique dada la naturaleza del producto con elementos digitales, se colocará en el embalaje y en la declaración UE de conformidad mencionada en el artículo 20 que acompañen al producto con elementos digitales. En el caso de los productos con elementos digitales en forma de programas informáticos, el marcado CE se colocará en la declaración UE de conformidad mencionada en el artículo 20 o el sitio web que acompañen al producto. En este último caso, los consumidores podrán acceder de manera sencilla y directa al apartado pertinente del sitio web.

Enmienda  110

 

Propuesta de Reglamento

Artículo 22 – apartado 3

Texto de la Comisión	Enmienda
3. El marcado CE se colocará antes de que el producto con elementos digitales se introduzca en el mercado. Podrá ir seguido de un pictograma o cualquier otra marca que indique un riesgo o uso especial establecido en los actos de ejecución a que se refiere el apartado 6.	3. El marcado CE se colocará antes de que el producto con elementos digitales se introduzca en el mercado. Podrá ir seguido de un pictograma o cualquier otra marca que indique a los consumidores un riesgo o uso especial establecido en los actos de ejecución a que se refiere el apartado 6.

Enmienda  111

 

Propuesta de Reglamento

Artículo 22 – apartado 5

Texto de la Comisión	Enmienda
5. Los Estados miembros se basarán en los mecanismos existentes para garantizar la correcta aplicación del régimen que regula el marcado CE y adoptarán las medidas adecuadas en caso de uso indebido de dicho marcado. Cuando el producto con elementos digitales esté sujeto a otras disposiciones legislativas de la Unión que también requieran la colocación del marcado CE, este indicará que el producto también cumple los requisitos de esas otras disposiciones legislativas.	5. Los Estados miembros se basarán en los mecanismos existentes para garantizar la aplicación correcta y armonizada del régimen que regula el marcado CE y adoptarán las medidas adecuadas y coordinadas en caso de uso indebido de dicho marcado. Cuando el producto con elementos digitales esté sujeto a otras disposiciones legislativas de la Unión que también requieran la colocación del marcado CE, este indicará que el producto también cumple los requisitos de esas otras disposiciones legislativas.

Enmienda  112

 

Propuesta de Reglamento

Artículo 22 – apartado 6

Texto de la Comisión	Enmienda
6. La Comisión podrá, mediante actos de ejecución, establecer especificaciones técnicas para pictogramas o cualquier otro marcado relativo a la seguridad de los productos con elementos digitales, así como mecanismos para promover su uso. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 51, apartado 2.	6. La Comisión podrá, mediante actos delegados, establecer especificaciones técnicas para sistemas de etiquetado, incluidas las etiquetas armonizadas, pictogramas o cualquier otro marcado relativo a la seguridad de los productos con elementos digitales, así como mecanismos para promover su uso entre las empresas y los consumidores y fomentar la sensibilización pública respecto a la seguridad de los productos con elementos digitales. Dichos actos delegados se adoptarán de conformidad con el procedimiento a que se refiere el artículo 50.

Enmienda  113

 

Propuesta de Reglamento

Artículo 22 – apartado 6 bis (nuevo)

Texto de la Comisión	Enmienda
	6 bis. Un producto parcialmente completado con elementos digitales no se marcará con el marcado CE conforme al presente Reglamento, sin perjuicio de las disposiciones sobre marcado que se deriven de otra legislación aplicable de la Unión.

Enmienda  114

 

Propuesta de Reglamento

Artículo 22 – apartado 6 ter (nuevo)

Texto de la Comisión	Enmienda
	6 ter. La Comisión adoptará directrices y proporcionará asesoramiento a los operadores económicos, en particular a los que cumplan los requisitos para ser considerados pymes, incluidas las microempresas, sobre la aplicación del presente Reglamento. En particular, las directrices y el asesoramiento tendrán por objeto simplificar y limitar las cargas administrativas y financieras, asegurando al mismo tiempo una aplicación eficaz y coherente del presente Reglamento de conformidad con el objetivo general de garantizar la seguridad de los productos y la protección de los consumidores. La Comisión debe consultar a las partes interesadas pertinentes con conocimientos técnicos en el ámbito de la ciberseguridad.

Enmienda  115

 

Propuesta de Reglamento

Artículo 23 – apartado 2

Texto de la Comisión	Enmienda
2. La documentación técnica se elaborará antes de que el producto con elementos digitales se introduzca en el mercado y, en su caso, se mantendrá permanentemente actualizada durante la vida útil prevista del producto o durante cinco años a partir de la introducción del producto con elementos digitales en el mercado, si este período fuese más breve.	2. La documentación técnica se elaborará antes de que el producto con elementos digitales se introduzca en el mercado y, en su caso, se mantendrá permanentemente actualizada durante la vida útil prevista del producto o durante cinco años a partir de la introducción del producto con elementos digitales en el mercado, si este período fuese más prolongado.

Enmienda  116

 

Propuesta de Reglamento

Artículo 23 – apartado 3

Texto de la Comisión	Enmienda
3. En el caso de los productos con elementos digitales a que se refieren el artículo 8 y el artículo 24, apartado 4, que también estén sujetos a otros actos de la Unión, se elaborará una única documentación técnica que contenga la información a que hace referencia el anexo V del presente Reglamento y la información requerida por esos actos de la Unión respectivos.	3. En el caso de los productos con elementos digitales que también estén sujetos a otros actos de la Unión, se elaborará una única documentación técnica que contenga la información a que hace referencia el anexo V del presente Reglamento y la información requerida por esos actos de la Unión respectivos.

Enmienda  117

 

Propuesta de Reglamento

Artículo 23 – apartado 5

Texto de la Comisión	Enmienda
5. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 50 a fin de completar el presente Reglamento mediante la inclusión de elementos en la documentación técnica establecida en el anexo V a fin de tener en cuenta los avances tecnológicos, así como los imprevistos que surjan durante el proceso de ejecución del presente Reglamento.	5. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 50 a fin de completar el presente Reglamento mediante la inclusión de elementos en la documentación técnica establecida en el anexo V a fin de tener en cuenta los avances tecnológicos, así como los imprevistos que surjan durante el proceso de ejecución del presente Reglamento. La Comisión procurará reducir al mínimo la carga administrativa, en especial para las microempresas y las pequeñas y medianas empresas.

Enmienda  118

 

Propuesta de Reglamento

Artículo 24 – apartado 1 – letra c bis (nueva)

Texto de la Comisión	Enmienda
	c bis) un esquema europeo de certificación de la ciberseguridad adoptado de conformidad con el artículo 18, apartado 4, del Reglamento (UE) 2019/881.

Enmienda  119

 

Propuesta de Reglamento

Artículo 24 – apartado 3 – letra b

Texto de la Comisión	Enmienda
b) evaluación de la conformidad basada en el aseguramiento de calidad total (basada en el módulo H) que se establece en el anexo VI.	b) evaluación de la conformidad basada en el aseguramiento de calidad total (basada en el módulo H) que se establece en el anexo VI; o

Enmienda  120

 

Propuesta de Reglamento

Artículo 24 – apartado 3 – letra b bis (nueva)

Texto de la Comisión	Enmienda
	b bis) en su caso, un esquema europeo de certificación de la ciberseguridad a un nivel de garantía «sustancial» o «elevada» con arreglo al Reglamento (UE) 2019/881.

Enmienda  121

 

Propuesta de Reglamento

Artículo 24 – apartado 4 bis (nuevo)

Texto de la Comisión	Enmienda
	4 bis. En el caso de los productos a los que se aplique la legislación de armonización de la Unión basada en el nuevo marco legislativo, el fabricante se atendrá a la evaluación de conformidad pertinente que se exija en tales actos legislativos. Los requisitos formulados en el capítulo III se aplicarán a tales productos.

Enmienda  122

 

Propuesta de Reglamento

Artículo 24 – apartado 5

Texto de la Comisión	Enmienda
5. Los organismos notificados tendrán en cuenta los intereses y las necesidades específicos de las pequeñas y medianas empresas (pymes) a la hora de fijar las tasas que aplican a los procedimientos de evaluación de la conformidad y reducirán dichas tasas de forma proporcionada a dichos intereses y necesidades específicos.	5. Los organismos notificados tendrán en cuenta los intereses y las necesidades específicos de las microempresas y de las pequeñas y medianas empresas a la hora de fijar las tasas que aplican a los procedimientos de evaluación de la conformidad y reducirán dichas tasas de forma proporcionada a dichos intereses y necesidades específicos. La Comisión emprenderá acciones encaminadas a garantizar procedimientos más accesibles y asequibles, así como el apoyo financiero adecuado en el marco de los programas vigentes de la Unión, en particular con el fin de aliviar la carga que soportan las microempresas y las pequeñas y medianas empresas.

Enmienda  123

 

Propuesta de Reglamento

Artículo 24 – apartado 5 bis (nuevo)

Texto de la Comisión	Enmienda
	5 bis. En el caso de los productos con elementos digitales que entren en el ámbito de aplicación del presente Reglamento y que se introduzcan en el mercado o se pongan en servicio por entidades de crédito reguladas por la Directiva 2013/36/UE, la evaluación de la conformidad se llevará a cabo como parte del procedimiento a que se refieren los artículos 97 a 101 de dicha Directiva.

Enmienda  124

 

Propuesta de Reglamento

Artículo 24 bis (nuevo)

Texto de la Comisión	Enmienda
	Artículo 24 bis
	Cuando los productos con elementos digitales posean equipos o programas informáticos equivalentes, un modelo de producto podrá ser representativo de una familia de productos a efectos de los siguientes procedimientos de evaluación de la conformidad:
	a) procedimiento de control interno (basado en el módulo A) que se establece en el anexo VI; o
	b) procedimiento de examen de tipo UE (basado en el módulo B) que se establece en el anexo VI, seguido de la conformidad de tipo UE basada en el control interno de la producción (basada en el módulo C) que se establece en el anexo VI.

Enmienda  125

 

Propuesta de Reglamento

Artículo 27 – apartado 5

Texto de la Comisión	Enmienda
5. La autoridad notificante preservará la confidencialidad de la información obtenida.	5. La autoridad notificante preservará la confidencialidad de la información obtenida, incluidos los derechos de propiedad intelectual, la información empresarial confidencial y los secretos comerciales.

Enmienda  126

 

Propuesta de Reglamento

Artículo 27 – apartado 6 bis (nuevo)

Texto de la Comisión	Enmienda
	6 bis. La autoridad notificante reducirá al mínimo la burocracia y las tasas, especialmente para las pymes.

Enmienda  127

 

Propuesta de Reglamento

Artículo 29 – apartado 7 bis (nuevo)

Texto de la Comisión	Enmienda
	7 bis. Los Estados miembros y la Comisión adoptarán las medidas apropiadas para garantizar una disponibilidad suficiente de profesionales cualificados, con el fin de reducir al mínimo los cuellos de botella existentes en las actividades de los organismos de evaluación de la conformidad.

Enmienda  128

 

Propuesta de Reglamento

Artículo 29 – apartado 10

Texto de la Comisión	Enmienda
10. El personal del organismo de evaluación de la conformidad deberá observar el secreto profesional acerca de toda la información recabada en el ejercicio de sus tareas, con arreglo al anexo VI o a cualquier disposición de Derecho interno por la que se aplique, salvo con respecto a las autoridades de vigilancia del mercado del Estado miembro en que realice sus actividades. Se protegerán los derechos de propiedad. El organismo de evaluación de la conformidad contará con procedimientos documentados que garanticen el cumplimiento del presente apartado.	10. El personal del organismo de evaluación de la conformidad deberá observar el secreto profesional acerca de toda la información recabada en el ejercicio de sus tareas, con arreglo al anexo VI o a cualquier disposición de Derecho interno por la que se aplique, salvo con respecto a las autoridades de vigilancia del mercado del Estado miembro en que realice sus actividades. Se protegerán los derechos de propiedad intelectual, la información empresarial confidencial y los secretos comerciales. El organismo de evaluación de la conformidad contará con procedimientos documentados que garanticen el cumplimiento del presente apartado.

Enmienda  129

 

Propuesta de Reglamento

Artículo 29 – apartado 12

Texto de la Comisión	Enmienda
12. Los organismos de evaluación de la conformidad funcionarán con arreglo a un conjunto de condiciones coherentes, justas y razonables que tengan particularmente en cuenta los intereses de las pymes en relación con las tasas.	12. Los organismos de evaluación de la conformidad funcionarán con arreglo a un conjunto de condiciones coherentes, justas y razonables en consonancia con el artículo 37, apartado 2, que tengan particularmente en cuenta los intereses de las microempresas y de las pymes en relación con las tasas.

Enmienda  130

 

Propuesta de Reglamento

Artículo 36 – apartado 3

Texto de la Comisión	Enmienda
3. La Comisión garantizará el tratamiento confidencial de toda la información sensible recabada en el curso de sus investigaciones.	3. La Comisión garantizará el tratamiento confidencial de toda la información, incluidos los derechos de propiedad intelectual, la información empresarial confidencial y los secretos comerciales, recabada en el curso de sus investigaciones.

Enmienda  131

 

Propuesta de Reglamento

Artículo 37 – apartado 2

Texto de la Comisión	Enmienda
2. Las evaluaciones de la conformidad se llevarán a cabo de manera proporcionada, evitando imponer cargas innecesarias a los operadores económicos. Los organismos de evaluación de la conformidad llevarán a cabo sus actividades teniendo debidamente en cuenta el tamaño de las empresas, el sector en que operan, su estructura, el grado de complejidad de la tecnología del producto y el carácter masivo o en serie del proceso de producción.	2. Las evaluaciones de la conformidad se llevarán a cabo de manera proporcionada, evitando imponer cargas innecesarias a los operadores económicos, con una consideración especial para las pymes. Los organismos de evaluación de la conformidad llevarán a cabo sus actividades teniendo debidamente en cuenta el tamaño de las empresas, el sector en que operan, su estructura, el grado de complejidad y la exposición al riesgo del tipo de producto y de la tecnología y el carácter masivo o en serie del proceso de producción.

Enmienda  132

 

Propuesta de Reglamento

Artículo 37 – apartado 5

Texto de la Comisión	Enmienda
5. Si durante la supervisión de la conformidad posterior a la expedición del certificado, un organismo notificado constata que el producto ya no es conforme con los requisitos establecidos en el presente Reglamento, instará al fabricante a adoptar las medidas correctoras adecuadas y, si es necesario, suspenderá o retirará el certificado.	5. Si durante la supervisión de la conformidad posterior a la expedición del certificado, un organismo notificado constata que el producto ya no es conforme con los requisitos establecidos en el presente Reglamento, instará al fabricante a adoptar las medidas correctoras adecuadas y, si es necesario, restringirá, suspenderá o retirará el certificado.

Enmienda  133

 

Propuesta de Reglamento

Artículo 40 – apartado 1

Texto de la Comisión	Enmienda
1. La Comisión se asegurará de que se instauren y se gestionen convenientemente una coordinación y una cooperación adecuadas entre los organismos notificados, a través de un grupo intersectorial de organismos notificados.	1. La Comisión se asegurará de que se instauren, teniendo en cuenta también la necesidad de reducir la burocracia y las tasas, y se gestionen convenientemente una coordinación y una cooperación adecuadas entre los organismos notificados, a través de un grupo intersectorial de organismos notificados.

Enmienda  134

 

Propuesta de Reglamento

Artículo 40 – apartado 2

Texto de la Comisión	Enmienda
2. Los Estados miembros se asegurarán de que los organismos notificados por ellos participan en el trabajo de dicho grupo, directamente o por medio de representantes designados.	2. Los Estados miembros se asegurarán de que los organismos notificados por ellos participan en el trabajo de dicho grupo, directamente o por medio de representantes designados, teniendo en cuenta también la necesidad de reducir la burocracia y las tasas.

Enmienda  135

 

Propuesta de Reglamento

Artículo 41 – apartado 3

Texto de la Comisión	Enmienda
3. Cuando corresponda, las autoridades de vigilancia del mercado cooperarán con las autoridades nacionales de certificación de la ciberseguridad designadas en virtud del artículo 58 del Reglamento (UE) 2019/881 e intercambiarán información periódicamente. Por lo que respecta a la supervisión de la aplicación de las obligaciones de información con arreglo al artículo 11 del presente Reglamento, las autoridades de vigilancia del mercado designadas cooperarán con la ENISA.	3. Cuando corresponda, las autoridades de vigilancia del mercado cooperarán con las autoridades nacionales de certificación de la ciberseguridad designadas en virtud del artículo 58 del Reglamento (UE) 2019/881 e intercambiarán información periódicamente. Por lo que respecta a la supervisión de la aplicación de las obligaciones de información con arreglo al artículo 11 del presente Reglamento, las autoridades de vigilancia del mercado designadas cooperarán eficazmente con la ENISA. Las autoridades de vigilancia del mercado podrán solicitar a la ENISA que preste asesoramiento técnico sobre asuntos relacionados con la aplicación y la ejecución del presente Reglamento, también durante las investigaciones de conformidad con el artículo 43 cuando las autoridades de vigilancia del mercado puedan solicitar a la ENISA que preste evaluaciones no vinculantes de la conformidad de los productos con elementos digitales.

Enmienda  136

 

Propuesta de Reglamento

Artículo 41 – apartado 7

Texto de la Comisión	Enmienda
7. La Comisión facilitará el intercambio de experiencias entre las autoridades de vigilancia del mercado designadas.	7. La Comisión facilitará el intercambio periódico y estructurado de experiencias entre las autoridades de vigilancia del mercado designadas, entre otras vías, mediante un Grupo de Cooperación Administrativa (ADCO) específico establecido con arreglo al apartado 11 del presente artículo.

Enmienda  137

 

Propuesta de Reglamento

Artículo 41 – apartado 8

Texto de la Comisión	Enmienda
8. Las autoridades de vigilancia del mercado, con el apoyo de la Comisión, podrán proporcionar orientación y asesoramiento a los operadores económicos sobre la aplicación del presente Reglamento.	8. La Comisión adoptará directrices y proporcionará asesoramiento a los operadores económicos, en particular a los que cumplan los requisitos para ser considerados pymes, incluidas las microempresas, sobre la aplicación del presente Reglamento. En particular, las directrices y el asesoramiento tendrán por objeto simplificar y limitar la carga administrativa y financiera, asegurando al mismo tiempo una aplicación eficaz y coherente de conformidad con el objetivo general de garantizar la seguridad de los productos y la protección de los consumidores.

Enmienda  138

 

Propuesta de Reglamento

Artículo 41 – apartado 8 bis (nuevo)

Texto de la Comisión	Enmienda
	8 bis. Las autoridades de vigilancia del mercado se equiparán para recibir las reclamaciones formuladas por los consumidores de conformidad con el artículo 11 del Reglamento (UE) 2019/1020 también mediante el establecimiento de un mecanismo claro y accesible que facilite la notificación de vulnerabilidades, incidentes y ciberamenazas.

Enmienda  139

 

Propuesta de Reglamento

Artículo 41 – apartado 11

Texto de la Comisión	Enmienda
11. Se establecerá un Grupo de Cooperación Administrativa (ADCO) específico para la aplicación uniforme del presente Reglamento, de conformidad con el artículo 30, apartado 2, del Reglamento (UE) 2019/1020. Este ADCO estará compuesto por representantes de las autoridades de vigilancia del mercado designadas y, en su caso, por representantes de las oficinas de enlace únicas.	11. Se establecerá un Grupo de Cooperación Administrativa (ADCO) específico para la aplicación uniforme del presente Reglamento, con el fin de facilitar la cooperación estructurada en relación con la ejecución del presente Reglamento y de optimizar las prácticas de las autoridades de vigilancia del mercado en el seno de la Unión, de conformidad con el artículo 30, apartado 2, del Reglamento (UE) 2019/1020. Este ADCO se encargará, en particular, de las tareas a que se refiere el artículo 32, apartado 2, del Reglamento (UE) 2019/1020 y estará compuesto por representantes de las autoridades de vigilancia del mercado designadas, la ENISA y, en su caso, por representantes de las oficinas de enlace únicas. El ADCO se reunirá periódicamente y, cuando sea necesario, previa petición debidamente justificada de la Comisión, de la ENISA, o de un Estado miembro, coordinará su actuación con otras actividades existentes de la Unión relativas a la vigilancia del mercado y la seguridad de los consumidores y, cuando proceda, cooperará e intercambiará información con otras redes, grupos y órganos de la Unión. El ADCO podrá invitar a expertos y otros terceros, incluidas las organizaciones de consumidores, a asistir a sus reuniones.

Enmienda  140

 

Propuesta de Reglamento

Artículo 41 – apartado 11 bis (nuevo)

Texto de la Comisión	Enmienda
	11 bis. En el caso de los productos con elementos digitales que entren en el ámbito de aplicación del presente Reglamento, distribuidos, puestos en servicio o utilizados por entidades financieras reguladas por la legislación pertinente de la Unión sobre servicios financieros, la autoridad de vigilancia del mercado a efectos del presente Reglamento será la autoridad pertinente responsable de la supervisión financiera de tales entidades con arreglo a dicha legislación.

Enmienda  141

 

Propuesta de Reglamento

Artículo 42 – párrafo 1

Texto de la Comisión	Enmienda
Cuando sea necesario para evaluar la conformidad de los productos con elementos digitales y los procesos establecidos por los fabricantes con los requisitos esenciales establecidos en el anexo I, se concederá a las autoridades de vigilancia del mercado, previa solicitud motivada, acceso a los datos necesarios para evaluar el diseño, el desarrollo y la producción de dichos productos y la gestión de sus vulnerabilidades, incluida la documentación interna correspondiente del operador económico correspondiente.	Cuando sea necesario para evaluar la conformidad de los productos con elementos digitales y los procesos establecidos por los fabricantes con los requisitos esenciales establecidos en el anexo I, se concederá a las autoridades de vigilancia del mercado, previa solicitud motivada, acceso a los datos necesarios para evaluar el diseño, el desarrollo y la producción de dichos productos y la gestión de sus vulnerabilidades, incluida la documentación interna correspondiente del operador económico correspondiente. Cuando proceda, y de conformidad con el artículo 52, apartado 1, letra a), tal acceso se efectuará en un entorno seguro y controlado determinado por el fabricante.

Enmienda  142

 

Propuesta de Reglamento

Artículo 43 – apartado 1 – párrafo 2

Texto de la Comisión	Enmienda
Si, en el transcurso de dicha evaluación, la autoridad de vigilancia del mercado constata que el producto con elementos digitales no cumple los requisitos establecidos en el presente Reglamento, pedirá sin demora al operador pertinente que adopte las medidas correctoras oportunas para llevar el producto a conformidad con los citados requisitos o bien retirarlo del mercado o recuperarlo en un plazo razonable, proporcional a la naturaleza del riesgo, que dicha autoridad prescriba.	Si, en el transcurso de dicha evaluación, la autoridad de vigilancia del mercado constata que el producto con elementos digitales no cumple los requisitos establecidos en el presente Reglamento o constituye de otro modo una amenaza para la seguridad nacional, pedirá sin demora al operador económico pertinente que adopte las medidas correctoras oportunas para llevar el producto a conformidad con los citados requisitos o bien retirarlo del mercado o recuperarlo en un plazo razonable, proporcional a la naturaleza del riesgo, que dicha autoridad prescriba.
	Antes de que se efectúe la evaluación mencionada, en caso necesario, y teniendo en cuenta la relevancia del riesgo de ciberseguridad, la autoridad de vigilancia del mercado podrá exigir al operador de que se trate que suspenda o restrinja de inmediato la disponibilidad del producto en el mercado durante el período de dicha evaluación.

Enmienda  143

 

Propuesta de Reglamento

Artículo 43 – apartado 4 – párrafo 1

Texto de la Comisión	Enmienda
Si el fabricante de un producto con elementos digitales no adopta las medidas correctoras adecuadas en el plazo a que hace referencia el apartado 1, párrafo segundo, la autoridad de vigilancia del mercado adoptará todas las medidas provisionales adecuadas para prohibir o restringir la comercialización del producto en su mercado nacional, para retirarlo de ese mercado o para recuperarlo.	Si el fabricante de un producto con elementos digitales no adopta las medidas correctoras adecuadas en el plazo a que hace referencia el apartado 1, párrafo segundo, o la autoridad pertinente del Estado miembro considera que el producto representa una amenaza para la seguridad nacional, la autoridad de vigilancia del mercado adoptará todas las medidas provisionales adecuadas para prohibir o restringir la comercialización del producto en su mercado nacional, para retirarlo de ese mercado o para recuperarlo.

Enmienda  144

 

Propuesta de Reglamento

Artículo 45 – apartado 1

Texto de la Comisión	Enmienda
1. Cuando la Comisión tenga motivos suficientes para considerar, en particular sobre la base de la información facilitada por la ENISA, que un producto con elementos digitales que presenta un riesgo de ciberseguridad significativo no cumple los requisitos establecidos en el presente Reglamento, podrá solicitar a las autoridades de vigilancia del mercado pertinentes que lleven a cabo una evaluación del cumplimiento y sigan los procedimientos a que hace referencia el artículo 43.	1. Cuando la Comisión tenga motivos suficientes para considerar, en particular sobre la base de la información facilitada por las autoridades competentes de los Estados miembros, los equipos de respuesta a incidentes de seguridad informática (CSIRT) designados o establecidos con arreglo a la Directiva (UE) 2022/2555 o la ENISA, que un producto con elementos digitales que presenta un riesgo de ciberseguridad significativo no cumple los requisitos establecidos en el presente Reglamento, solicitará a las autoridades de vigilancia del mercado pertinentes que lleven a cabo una evaluación del cumplimiento y sigan los procedimientos a que hace referencia el artículo 43.

Enmienda  145

 

Propuesta de Reglamento

Artículo 45 – apartado 2

Texto de la Comisión	Enmienda
2. En circunstancias excepcionales que justifiquen una intervención inmediata para preservar el buen funcionamiento del mercado interior y siempre que la Comisión tenga motivos suficientes para considerar que el producto a que hace referencia el apartado 1 sigue sin cumplir los requisitos establecidos en el presente Reglamento y que las autoridades de vigilancia del mercado pertinentes no han adoptado medidas eficaces, la Comisión podrá solicitar a la ENISA que lleve a cabo una evaluación del cumplimiento. La Comisión informará de ello a las autoridades de vigilancia del mercado pertinentes. Los operadores económicos pertinentes cooperarán con la ENISA en todo lo necesario.	2. En circunstancias que justifiquen una intervención inmediata para preservar el buen funcionamiento del mercado interior y siempre que la Comisión tenga motivos para considerar que el producto a que hace referencia el apartado 1 sigue sin cumplir los requisitos establecidos en el presente Reglamento y que las autoridades de vigilancia del mercado pertinentes no han adoptado medidas eficaces, la Comisión solicitará a la ENISA que lleve a cabo una evaluación del cumplimiento. La Comisión informará de ello a las autoridades de vigilancia del mercado pertinentes. Los operadores económicos pertinentes cooperarán con la ENISA en todo lo necesario.

Enmienda  146

 

Propuesta de Reglamento

Artículo 46 – apartado 1

Texto de la Comisión	Enmienda
1. Si, tras efectuar una evaluación con arreglo al artículo 43, la autoridad de vigilancia del mercado de un Estado miembro constata que un producto con elementos digitales y los procesos establecidos por el fabricante, a pesar de ser conformes con el presente Reglamento, presentan un riesgo de ciberseguridad significativo y, además, plantean un riesgo para la salud o la seguridad de las personas, para el cumplimiento de las obligaciones que impone el Derecho nacional o de la Unión en materia de protección de los derechos fundamentales, para la disponibilidad, autenticidad, integridad o confidencialidad de los servicios ofrecidos mediante un sistema de información electrónico por entidades esenciales del tipo contemplado en el [anexo I de la Directiva XXX/XXXX (SRI 2)] o para otros aspectos relativos a la protección del interés público, dicha autoridad exigirá al operador económico pertinente que adopte todas las medidas necesarias para garantizar que el producto con elementos digitales en cuestión y los procesos establecidos por el fabricante ya no presenten ese riesgo cuando se introduzca el producto en el mercado, o bien para retirarlo del mercado o recuperarlo en un plazo razonable, proporcional a la naturaleza del riesgo.	1. Si, tras efectuar una evaluación con arreglo al artículo 43, la autoridad de vigilancia del mercado de un Estado miembro constata que un producto con elementos digitales y los procesos establecidos por el fabricante, a pesar de ser conformes con el presente Reglamento, presentan un riesgo de ciberseguridad significativo y, además, plantean un riesgo para la salud o la seguridad de las personas, para el cumplimiento de las obligaciones que impone el Derecho nacional o de la Unión en materia de protección de los derechos fundamentales, para la disponibilidad, autenticidad, integridad o confidencialidad de los servicios ofrecidos mediante un sistema de información electrónico por entidades esenciales del tipo contemplado en el anexo I de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (SRI 2) o para otros aspectos relativos a la protección del interés público, dicha autoridad exigirá al operador económico pertinente que adopte todas las medidas necesarias para garantizar que el producto con elementos digitales en cuestión y los procesos establecidos por el fabricante ya no presenten ese riesgo cuando se introduzca el producto en el mercado, o bien para retirarlo del mercado o recuperarlo en un plazo razonable, proporcional a la naturaleza del riesgo.

Enmienda  147

 

Propuesta de Reglamento

Artículo 46 – apartado 2

Texto de la Comisión	Enmienda
2. El fabricante u otros operadores pertinentes se asegurarán de que se adoptan medidas correctoras con respecto a todos los productos con elementos digitales afectados que hayan comercializado en toda la Unión en el plazo establecido por la autoridad de vigilancia del mercado del Estado miembro a que hace referencia el apartado 1.	2. El fabricante u otros operadores económicos pertinentes se asegurarán de que se adoptan medidas correctoras con respecto a todos los productos con elementos digitales afectados que hayan comercializado en toda la Unión en el plazo establecido por la autoridad de vigilancia del mercado del Estado miembro a que hace referencia el apartado 1.

Enmienda  148

 

Propuesta de Reglamento

Artículo 46 – apartado 6

Texto de la Comisión	Enmienda
6. Cuando la Comisión tenga motivos suficientes para considerar, en particular sobre la base de la información facilitada por la ENISA, que un producto con elementos digitales, a pesar de ser conforme con el presente Reglamento, presenta los riesgos a que hace referencia el apartado 1, podrá solicitar a la autoridad o las autoridades de vigilancia del mercado pertinentes que lleven a cabo una evaluación del cumplimiento y sigan los procedimientos a que hacen referencia el artículo 43 y los apartados 1, 2 y 3 del presente artículo.	6. Cuando la Comisión tenga motivos suficientes para considerar, en particular sobre la base de la información facilitada por la ENISA, que un producto con elementos digitales, a pesar de ser conforme con el presente Reglamento, presenta los riesgos a que hace referencia el apartado 1, solicitará a la autoridad o las autoridades de vigilancia del mercado pertinentes que lleven a cabo una evaluación del cumplimiento y sigan los procedimientos a que hacen referencia el artículo 43 y los apartados 1, 2 y 3 del presente artículo.

Enmienda  149

 

Propuesta de Reglamento

Artículo 46 – apartado 7

Texto de la Comisión	Enmienda
7. En circunstancias excepcionales que justifiquen una intervención inmediata para preservar el buen funcionamiento del mercado interior y siempre que la Comisión tenga motivos suficientes para considerar que el producto a que hace referencia el apartado 6 sigue presentando los riesgos a que hace referencia el apartado 1 y que las autoridades de vigilancia del mercado nacionales pertinentes no han adoptado medidas eficaces, la Comisión podrá solicitar a la ENISA que lleve a cabo una evaluación de los riesgos que presenta el producto e informará de ello a las autoridades de vigilancia del mercado pertinentes. Los operadores económicos pertinentes cooperarán con la ENISA en todo lo necesario.	7. En circunstancias que justifiquen una intervención inmediata para preservar el buen funcionamiento del mercado interior y siempre que la Comisión tenga motivos suficientes para considerar que el producto a que hace referencia el apartado 6 sigue presentando los riesgos a que hace referencia el apartado 1 y que las autoridades de vigilancia del mercado nacionales pertinentes no han adoptado medidas eficaces, la Comisión solicitará a la ENISA que lleve a cabo una evaluación de los riesgos que presenta el producto e informará de ello a las autoridades de vigilancia del mercado pertinentes. Los operadores económicos pertinentes cooperarán con la ENISA en todo lo necesario.

Enmienda  150

 

Propuesta de Reglamento

Artículo 48 – apartado 1

Texto de la Comisión	Enmienda
1. Las autoridades de vigilancia del mercado podrán acordar con otras autoridades pertinentes la realización de actividades conjuntas con objeto de garantizar la ciberseguridad y la protección de los consumidores respecto de productos específicos con elementos digitales introducidos en el mercado o comercializados, en particular aquellos que con frecuencia presentan riesgos de ciberseguridad.	1. Las autoridades de vigilancia del mercado realizarán periódicamente actividades conjuntas con otras autoridades pertinentes con objeto de garantizar la ciberseguridad y la protección de los consumidores respecto de productos específicos con elementos digitales introducidos en el mercado o comercializados, en particular aquellos que con frecuencia presentan riesgos de ciberseguridad. Tales actividades incluirán la inspección de productos adquiridos bajo una identidad encubierta.

Enmienda  151

 

Propuesta de Reglamento

Artículo 48 – apartado 2

Texto de la Comisión	Enmienda
2. La Comisión o la ENISA podrán proponer actividades conjuntas de control del cumplimiento del presente Reglamento que las autoridades de vigilancia del mercado deberán llevar a cabo sobre la base de determinadas indicaciones o información sobre posibles incumplimientos en varios Estados miembros de los requisitos establecidos por el presente Reglamento por parte de los productos que entran en el ámbito de aplicación de este.	2. La Comisión o la ENISA propondrán actividades conjuntas de control del cumplimiento del presente Reglamento que las autoridades de vigilancia del mercado deberán llevar a cabo sobre la base de determinadas indicaciones o información sobre posibles incumplimientos en varios Estados miembros de los requisitos establecidos por el presente Reglamento por parte de los productos que entran en el ámbito de aplicación de este.

Enmienda  152

 

Propuesta de Reglamento

Artículo 49 – apartado 1

Texto de la Comisión	Enmienda
1. Las autoridades de vigilancia del mercado podrán llevar a cabo acciones de control simultáneas coordinadas («barridos») de determinados productos con elementos digitales o categorías de estos para comprobar el cumplimiento o detectar infracciones del presente Reglamento.	1. Las autoridades de vigilancia del mercado llevarán periódicamente a cabo acciones de control simultáneas coordinadas («barridos») de determinados productos con elementos digitales o categorías de estos para comprobar el cumplimiento o detectar infracciones del presente Reglamento.

Enmienda  153

 

Propuesta de Reglamento

Artículo 49 – apartado 2

Texto de la Comisión	Enmienda
2. Salvo que las autoridades de vigilancia del mercado implicadas acuerden otra cosa, los barridos serán coordinados por la Comisión. El coordinador del barrido podrá, en su caso, hacer públicos los resultados agregados.	2. Salvo que las autoridades de vigilancia del mercado implicadas acuerden otra cosa, los barridos serán coordinados por la Comisión. El coordinador del barrido hará públicos, en su caso, los resultados agregados.

Enmienda  154

 

Propuesta de Reglamento

Artículo 49 – apartado 3

Texto de la Comisión	Enmienda
3. En el desempeño de sus funciones, la ENISA podrá determinar, en particular sobre la base de las notificaciones recibidas de conformidad con el artículo 11, apartados 1 y 2, categorías de productos para las que puedan organizarse barridos. La propuesta de barrido se presentará al posible coordinador mencionado en el apartado 2 para su examen por las autoridades de vigilancia del mercado.	3. En el desempeño de sus funciones, la ENISA determinará, en particular sobre la base de las notificaciones recibidas de conformidad con el artículo 11, apartados 1 y 2, categorías de productos para las que se organizarán barridos. La propuesta de barrido se presentará al posible coordinador mencionado en el apartado 2 para su examen por las autoridades de vigilancia del mercado.

Enmienda  155

 

Propuesta de Reglamento

Artículo 49 – apartado 5

Texto de la Comisión	Enmienda
5. Las autoridades de vigilancia del mercado podrán invitar a funcionarios de la Comisión y otros acompañantes autorizados por esta a participar en las operaciones de barrido.	5. Las autoridades de vigilancia del mercado invitarán a funcionarios de la Comisión y otros acompañantes autorizados por esta a participar en las operaciones de barrido.

Enmienda  156

 

Propuesta de Reglamento

Artículo 49 bis (nuevo)

Texto de la Comisión	Enmienda
	Artículo 49 bis
	Prestación de asesoramiento técnico
	1. La Comisión, mediante un acto de ejecución, designará un grupo de expertos para que preste asesoramiento técnico a las autoridades de vigilancia del mercado sobre asuntos relacionados con la aplicación y la ejecución del presente Reglamento. El acto de ejecución especificará, entre otros aspectos, los detalles de la composición del grupo, su funcionamiento y la remuneración de sus miembros. En particular, el grupo de expertos llevará a cabo evaluaciones no vinculantes de productos con elementos digitales previa petición al respecto de una autoridad de vigilancia del mercado que lleve a cabo una investigación con arreglo al artículo 43, y de la lista de productos críticos con elementos digitales establecida en el anexo II, así como sobre la posible necesidad de actualizar dicha lista.
	2. El grupo constará de expertos independientes designados para un mandato renovable de tres años por la Comisión con arreglo a su pericia científica o técnica en el ámbito considerado.
	3. La Comisión designará un número de expertos que considere suficiente para atender las necesidades previstas.
	4. La Comisión adoptará las medidas necesarias para gestionar y evitar conflictos de intereses. Las declaraciones de intereses de los miembros del grupo de expertos se pondrán a disposición del público.
	5. Los expertos designados llevarán a cabo sus tareas con el máximo nivel de profesionalismo, independencia, imparcialidad y objetividad.
	6. Al adoptar posiciones, puntos de vista e informes, el grupo de expertos procurará alcanzar consensos. Si no pueden alcanzarse, las decisiones se tomarán por mayoría simple de los miembros del grupo.

Enmienda  157

 

Propuesta de Reglamento

Artículo 53 – apartado 1

Texto de la Comisión	Enmienda
1. Los Estados miembros establecerán las normas sobre las sanciones aplicables a las infracciones del presente Reglamento cometidas por los operadores económicos y adoptarán todas las medidas necesarias para garantizar su ejecución. Las sanciones establecidas serán efectivas, proporcionadas y disuasorias.	1. Los Estados miembros establecerán las normas sobre las sanciones aplicables a las infracciones del presente Reglamento cometidas por los operadores económicos y adoptarán todas las medidas necesarias para garantizar su ejecución. Las sanciones establecidas serán efectivas, proporcionadas y disuasorias, y tendrán en cuenta las especificidades de las microempresas y de las pequeñas y medianas empresas.

Enmienda  158

 

Propuesta de Reglamento

Artículo 53 – apartado 6 – letra a bis (nueva)

Texto de la Comisión	Enmienda
	a bis) si la infracción no es intencionada;

Enmienda  159

 

Propuesta de Reglamento

Artículo 53 – apartado 6 – letra b

Texto de la Comisión	Enmienda
b) si otras autoridades de vigilancia del mercado han impuesto ya multas administrativas al mismo operador por una infracción similar;	b) si las mismas u otras autoridades de vigilancia del mercado han impuesto ya multas administrativas al mismo operador por una infracción similar;

Enmienda  160

 

Propuesta de Reglamento

Artículo 53 – apartado 6 – letra c

Texto de la Comisión	Enmienda
c) el tamaño y la cuota de mercado del operador que comete la infracción.	c) el tamaño y la cuota de mercado del operador que comete la infracción, teniendo en cuenta la escala de los riesgos, las consecuencias y las especificidades financieras de las microempresas y las pequeñas y medianas empresas;

Enmienda  161

 

Propuesta de Reglamento

Artículo 53 – apartado 6 – letra c bis (nueva)

Texto de la Comisión	Enmienda
	c bis) el comportamiento del operador al adquirir información o conocimiento del incumplimiento en cuestión, también si, al conocer el incumplimiento en cuestión, el operador empleó todas las medidas correctivas apropiadas, así como las medidas razonablemente necesarias, para evitar o reducir al mínimo las posibles consecuencias negativas.

Enmienda  162

 

Propuesta de Reglamento

Capítulo VII bis (nuevo)

Texto de la Comisión	Enmienda
	MEDIDAS DE APOYO A LA INNOVACIÓN

Enmienda  163

 

Propuesta de Reglamento

Artículo 53 bis (nuevo)

Texto de la Comisión	Enmienda
	Artículo 53 bis
	Espacios controlados de pruebas
	La Comisión y la ENISA podrán establecer un espacio controlado de pruebas europeo con la participación voluntaria de los fabricantes de productos con elementos digitales con el fin de:
	a) proporcionar un entorno controlado que facilite el desarrollo, la comprobación y la validación del diseño, el desarrollo y la producción de productos con elementos digitales antes de su comercialización o su puesta en servicio con arreglo a un plan específico;
	b) prestar asistencia práctica a los operadores económicos, entre otras vías, mediante orientaciones y buenas prácticas para cumplir los requisitos esenciales establecidos en el anexo I;
	c) contribuir a un aprendizaje reglamentario basado en pruebas.

Enmienda  164

 

Propuesta de Reglamento

Artículo 54 – título

Texto de la Comisión	Enmienda
Modificación del Reglamento (UE) 2019/1020	Modificación del Reglamento (UE) 2019/1020 y de la Directiva (UE) 2020/1828

Enmienda  165

 

Propuesta de Reglamento

Artículo 54 – párrafo 1 bis (nuevo)

Texto de la Comisión	Enmienda
	1 bis. En el anexo I de la Directiva (UE) 2020/1828 se añade el punto siguiente:
	«67) [Reglamento XXX] [Ley de Ciberresiliencia]».

Enmienda  166

 

Propuesta de Reglamento

Artículo 54 bis (nuevo)

Texto de la Comisión	Enmienda
	Artículo 54 bis
	Reglamento Delegado (UE) 2022/30
	El presente Reglamento se ha diseñado de manera que todos los productos sujetos a los requisitos esenciales formulados en el artículo 3, apartado 3, letras d), e) y f), de la Directiva 2014/53/UE conforme se describe en el Reglamento Delegado (UE) 2022/30 se atengan al presente Reglamento. Con el fin de generar seguridad jurídica, el Reglamento Delegado (UE) 2022/30 se derogará cuando el presente Reglamento entre en vigor.

Enmienda  167

 

Propuesta de Reglamento

Artículo 57 – párrafo 2

Texto de la Comisión	Enmienda
Será aplicable a partir del [veinticuatro meses después de la fecha de entrada en vigor del presente Reglamento]. No obstante, el artículo 11 será aplicable a partir del [doce meses después de la fecha de entrada en vigor del presente Reglamento].	Será aplicable a partir del [treinta y seis meses después de la fecha de entrada en vigor del presente Reglamento]. Por lo que se refiere a los productos con elementos críticos, los capítulos II, III, V y VII serán aplicables una vez transcurridos [veinte meses después de la fecha de publicación de las normas armonizadas desarrolladas con arreglo a la petición de normalización a efectos del presente Reglamento].
	A más tardar seis meses después de la fecha de entrada en vigor del presente Reglamento, la Comisión publicará directrices sobre la manera de aplicar los requisitos formulados en el presente Reglamento a los productos intangibles.

Enmienda  168

 

Propuesta de Reglamento

Anexo I – parte 1 – punto 3 – parte introductoria

Texto de la Comisión	Enmienda
3) Sobre la base de la evaluación de riesgos a la que hace referencia el artículo 10, apartado 2, y cuando proceda, los productos con elementos digitales:	3) Sobre la base de la evaluación de riesgos para la ciberseguridad a la que hace referencia el artículo 10, apartado 2, y cuando proceda, los productos con elementos digitales:

Enmienda  169

 

Propuesta de Reglamento

Anexo I – parte 1 – punto 3 – letra –a (nueva)

Texto de la Comisión	Enmienda
	–a) se comercializarán sin vulnerabilidades conocidas que puedan aprovecharse respecto a un dispositivo externo o una red;

Enmienda  170

 

Propuesta de Reglamento

Anexo I – parte 1 – punto 3 – letra a

Texto de la Comisión	Enmienda
a) se entregarán con una configuración segura por defecto, que incluya la posibilidad de restablecer el producto a su estado original;	a) se entregarán con una configuración segura por defecto;

Enmienda  171

 

Propuesta de Reglamento

Anexo I – parte 1 – punto 3 – letra c

Texto de la Comisión	Enmienda
c) protegerán la confidencialidad de los datos personales o de otro tipo almacenados, transmitidos o tratados de otro modo, mediante, por ejemplo, el cifrado de los datos en reposo o en tránsito pertinentes por medio de los mecanismos más avanzados;	c) protegerán la confidencialidad de los datos personales o de otro tipo almacenados, transmitidos o tratados de otro modo, mediante, por ejemplo, el cifrado, la toquenización, los controles de compensación u otros medios de protección adecuados de los datos en reposo o en tránsito pertinentes por medio de los mecanismos más avanzados;

Enmienda  172

 

Propuesta de Reglamento

Anexo I – parte 1 – punto 3 – letra d

Texto de la Comisión	Enmienda
d) protegerán la integridad de los datos personales o de otro tipo almacenados, transmitidos o tratados de otro modo, los comandos, los programas y la configuración frente a toda manipulación o modificación no autorizada por el usuario, e informarán sobre los casos de corrupción de datos;	d) protegerán la integridad de los datos personales o de otro tipo almacenados, transmitidos o tratados de otro modo, los comandos, los programas y la configuración frente a toda manipulación o modificación no autorizada por el usuario, e informarán sobre los casos de corrupción de datos o de posibles casos de acceso no autorizado;

Enmienda  173

 

Propuesta de Reglamento

Anexo I – parte 1 – punto 3 – letra f

Texto de la Comisión	Enmienda
f) protegerán la disponibilidad de funciones esenciales, incluida la resiliencia frente a ataques de denegación de servicio y la mitigación de sus efectos;	f) protegerán la disponibilidad de funciones esenciales y básicas, incluida la resiliencia frente a ataques de denegación de servicio y la mitigación de sus efectos;

Enmienda  174

 

Propuesta de Reglamento

Anexo I – parte 1 – punto 3 – letra i

Texto de la Comisión	Enmienda
i) estarán diseñados, desarrollados y producidos para reducir el impacto de un incidente, por medio de mecanismos y técnicas adecuados para paliar el aprovechamiento de las vulnerabilidades;	i) estarán diseñados, desarrollados y producidos para reducir el impacto de un incidente significativo, por medio de mecanismos y técnicas adecuados para paliar el aprovechamiento de las vulnerabilidades;

Enmienda  175

 

Propuesta de Reglamento

Anexo I – parte 1 – punto 3 – letra j

Texto de la Comisión	Enmienda
j) proporcionarán información relacionada con la seguridad mediante el registro o el seguimiento de la actividad interna pertinente, incluidos el acceso a datos, servicios o funciones y la modificación de estos;	j) proporcionarán información relacionada con la seguridad mediante la provisión a petición de los usuarios de capacidades para el registro o el seguimiento, a escala local o del dispositivo, de la actividad interna pertinente, incluidos el acceso a datos, servicios o funciones y la modificación de estos;

Enmienda  176

 

Propuesta de Reglamento

Anexo I – parte 1 – punto 3 – letra k

Texto de la Comisión	Enmienda
k) garantizarán que las vulnerabilidades puedan subsanarse mediante actualizaciones de seguridad, incluidas, cuando proceda, las actualizaciones automáticas y la notificación de las actualizaciones disponibles a los usuarios.	k) garantizarán que las vulnerabilidades puedan subsanarse mediante actualizaciones de seguridad separadas de las actualizaciones de funcionalidad, incluidas, cuando proceda, las actualizaciones automáticas y la notificación de las actualizaciones disponibles a los usuarios;

Enmienda  177

 

Propuesta de Reglamento

Anexo I – parte 1 – punto 3 – letra k bis (nueva)

Texto de la Comisión	Enmienda
	k bis) se diseñarán, desarrollarán y producirán para permitir su supresión segura y el posible reciclaje cuando alcancen el final de su ciclo de vida útil, entre otras vías, permitiendo a los usuarios que supriman y retiren de manera segura todos los datos con carácter permanente.

Enmienda  178

 

Propuesta de Reglamento

Anexo I – parte 2 – párrafo 1 – punto 2

Texto de la Comisión	Enmienda
2) por lo que respecta a los riesgos para los productos con elementos digitales, abordarán y subsanarán las vulnerabilidades sin demora, en particular mediante la provisión de actualizaciones de seguridad;	2) por lo que respecta a los riesgos para los productos con elementos digitales, abordarán y subsanarán las vulnerabilidades críticas y graves sin demora, en particular mediante la provisión de actualizaciones de seguridad, o documentarán los motivos para no subsanar la vulnerabilidad;

Enmienda  179

 

Propuesta de Reglamento

Anexo I – parte 2 – párrafo 1 – punto 4

Texto de la Comisión	Enmienda
4) una vez esté disponible una actualización de seguridad, divulgarán información sobre las vulnerabilidades subsanadas, incluidas una descripción de las vulnerabilidades, información que permita a los usuarios identificar el producto con elementos digitales afectado, las repercusiones y la gravedad de las vulnerabilidades e información que ayude a los usuarios a corregir las vulnerabilidades;	4) una vez esté disponible una actualización de seguridad, divulgarán públicamente o con arreglo a las buenas prácticas del sector información sobre las vulnerabilidades conocidas subsanadas, incluidas una descripción de las vulnerabilidades, información que permita a los usuarios identificar el producto con elementos digitales afectado, las repercusiones y la gravedad de las vulnerabilidades e información clara y accesible que ayude a los usuarios a corregir las vulnerabilidades;

Enmienda  180

 

Propuesta de Reglamento

Anexo I – parte 2 – párrafo 1 – punto 4 bis (nuevo)

Texto de la Comisión	Enmienda
	4 bis) la información relativa a las subsanaciones y las vulnerabilidades se compartirá y divulgará de un modo controlado, respetando los principios de «reducción de daños» y los secretos comerciales mediante la divulgación responsable de las vulnerabilidades a los agentes que puedan actuar para mitigar la vulnerabilidad, y no se pondrá a disposición del público a fin de evitar el riesgo de informar de manera inadvertida a posibles atacantes;

Enmienda  181

 

Propuesta de Reglamento

Anexo I – parte 2 – párrafo 1 – punto 7

Texto de la Comisión	Enmienda
7) preverán mecanismos para distribuir de manera segura las actualizaciones de los productos con elementos digitales, con el fin de garantizar que las vulnerabilidades aprovechables se subsanen o se mitiguen de manera oportuna;	7) preverán mecanismos para distribuir de manera segura las actualizaciones de seguridad de los productos con elementos digitales, con el fin de garantizar que las vulnerabilidades aprovechables se subsanen o se mitiguen de manera oportuna;

Enmienda  182

 

Propuesta de Reglamento

Anexo I – parte 2 – párrafo 1 – punto 8

Texto de la Comisión	Enmienda
8) garantizarán que, cuando se disponga de parches o actualizaciones de seguridad para hacer frente a los problemas de seguridad detectados, estos se difundan sin demora y de forma gratuita, acompañados de mensajes de aviso que proporcionen a los usuarios la información pertinente, en particular en relación con las posibles medidas que deban adoptarse.	8) garantizarán que, cuando puedan facilitarse razonablemente parches o actualizaciones de seguridad para hacer frente a los problemas de seguridad detectados, existan medios a través de los cuales los usuarios puedan obtenerlos y estos se difundan sin demora y de forma gratuita o a un coste transparente y no discriminatorio, acompañados de mensajes de aviso que proporcionen a los usuarios la información pertinente, en particular en relación con las posibles medidas que deban adoptarse.

Enmienda  183

 

Propuesta de Reglamento

Anexo II – párrafo 1 – punto 2

Texto de la Comisión	Enmienda
2. el punto de contacto en el que pueda notificarse y obtenerse información sobre las vulnerabilidades de ciberseguridad del producto;	2. el punto de contacto único en el que pueda notificarse y obtenerse información sobre las vulnerabilidades de ciberseguridad del producto;

Enmienda  184

 

Propuesta de Reglamento

Anexo II – párrafo 1 – punto 5

Texto de la Comisión	Enmienda
5. cualquier circunstancia conocida o previsible, asociada al uso del producto con elementos digitales conforme a su finalidad prevista o a un uso indebido razonablemente previsible, que pueda dar lugar a riesgos de ciberseguridad significativos;	suprimido

Enmienda  185

 

Propuesta de Reglamento

Anexo II – párrafo 1 – punto 6

Texto de la Comisión	Enmienda
6. si se puede acceder a la nomenclatura de materiales de los programas informáticos y, en su caso, dónde se puede acceder a ella;	6. si las autoridades competentes pueden acceder a la nomenclatura de materiales de los programas informáticos y, en su caso, dónde se puede acceder a ella;

Enmienda  186

 

Propuesta de Reglamento

Anexo II – párrafo 1 – punto 8

Texto de la Comisión	Enmienda
8. el tipo de apoyo técnico en materia de seguridad ofrecido por el fabricante y hasta cuándo se prestará dicho servicio o, al menos, hasta cuándo está previsto que los usuarios puedan recibir actualizaciones de seguridad;	8. el tipo de apoyo técnico en materia de seguridad ofrecido por el fabricante y hasta cuándo se prestará dicho servicio;

Enmienda  187

 

Propuesta de Reglamento

Anexo II – párrafo 1 – punto 8 bis (nuevo)

Texto de la Comisión	Enmienda
	8 bis. la fecha final de la vida útil prevista del producto, mostrando claramente, en su caso, en el embalaje del producto, hasta cuándo garantizará el fabricante la gestión efectiva de las vulnerabilidades y la provisión de actualizaciones de seguridad;

Enmienda  188

 

Propuesta de Reglamento

Anexo II – párrafo 1 – punto 9 – letra a

Texto de la Comisión	Enmienda
a) las medidas necesarias durante la puesta en servicio inicial y a lo largo de toda la vida del producto para garantizar su uso seguro;	suprimida

Enmienda  189

 

Propuesta de Reglamento

Anexo II – párrafo 1 – punto 9 – letra b

Texto de la Comisión	Enmienda
b) cómo los cambios en el producto pueden afectar a la seguridad de los datos;	suprimida

Enmienda  190

 

Propuesta de Reglamento

Anexo II – párrafo 1 – punto 9 – letra c bis (nueva)

Texto de la Comisión	Enmienda
	c bis) la vida útil prevista del producto y hasta cuándo garantiza el fabricante la gestión efectiva de vulnerabilidades y la provisión de actualizaciones de seguridad;

Enmienda  191

 

Propuesta de Reglamento

Anexo II – párrafo 1 – punto 9 – letra d

Texto de la Comisión	Enmienda
d) cómo realizar la retirada del servicio del producto de forma segura, incluida información sobre cómo pueden eliminarse de forma segura los datos de los usuarios.	suprimida

Enmienda  192

 

Propuesta de Reglamento

Anexo III – clase I – punto 3 bis (nuevo)

Texto de la Comisión	Enmienda
	3 bis. Plataformas de autenticación, autorización y contabilidad (AAC);

Enmienda  193

 

Propuesta de Reglamento

Anexo III – clase I – punto 15

Texto de la Comisión	Enmienda
15. Interfaces físicas de red;	15. Interfaces físicas y virtuales de red;

Enmienda  194

 

Propuesta de Reglamento

Anexo III – clase I – punto 18

Texto de la Comisión	Enmienda
18. Encaminadores, módems destinados a la conexión a internet e interruptores, no incluidos en la clase II;	suprimido

Enmienda  195

 

Propuesta de Reglamento

Anexo III – clase I – punto 23

Texto de la Comisión	Enmienda
23. Internet industrial de las cosas no incluido en la clase II.	23. productos industriales con elementos digitales a los que es posible referirse como parte del internet de las cosas no incluido en la clase II.

Enmienda  196

 

Propuesta de Reglamento

Anexo III – clase II – punto 4

Texto de la Comisión	Enmienda
4. Cortafuegos y sistemas de detección o prevención de intrusiones destinados a un uso industrial;	4. Cortafuegos, pasarelas de seguridad y sistemas de detección o prevención de intrusiones destinados a un uso industrial;

Enmienda  197

 

Propuesta de Reglamento

Anexo III – clase II – punto 7

Texto de la Comisión	Enmienda
7. Encaminadores, módems destinados a la conexión a internet e interruptores destinados a un uso industrial;	7. Encaminadores, módems destinados a la conexión a internet, interruptores, y otros nodos de red que son necesarios para la provisión del servicio de conectividad;

Enmienda  198

 

Propuesta de Reglamento

Anexo IV bis (nuevo)

Texto de la Comisión	Enmienda
	ANEXO IV bis
	DECLARACIÓN UE DE INCORPORACIÓN PARA PRODUCTOS PARCIALMENTE COMPLETADOS CON ELEMENTOS DIGITALES
	La declaración UE de incorporación para productos parcialmente completados con elementos digitales a que hace referencia el artículo 20 bis contendrá toda la información siguiente:
	1. El nombre y el tipo del producto parcialmente completado con elementos digitales, y toda información adicional que permita su identificación única;
	2. El objeto de la declaración (identificación del producto parcialmente completado que permita la trazabilidad. Podrá incluir, cuando proceda, una fotografía);
	3. La afirmación de que el producto parcialmente completado descrito anteriormente es conforme a la legislación de armonización de la Unión pertinente;
	4. Referencias a cualquier acto pertinente de la Unión de que se trate, incluidas las referencias de publicación;
	5. Información adicional:
	Firmado por y en nombre de: …………………………………
	(lugar y fecha de expedición):
	(nombre, cargo) (firma):

Enmienda  199

 

Propuesta de Reglamento

Anexo V – párrafo 1 – punto 1 – letra a

Texto de la Comisión	Enmienda
a) su finalidad prevista;	suprimida

Enmienda  200

 

Propuesta de Reglamento

Anexo V – párrafo 1 – punto 2

Texto de la Comisión	Enmienda
2. una descripción del diseño, el desarrollo y la producción del producto y de los procesos de gestión de las vulnerabilidades, que incluya:	suprimido
a) información completa sobre el diseño y el desarrollo del producto con elementos digitales, incluidos, en su caso, planos y esquemas, o una descripción de la arquitectura del sistema que explique cómo se apoyan o se alimentan mutuamente los componentes de los programas informáticos y cómo se integran en el tratamiento general;
b) información completa y especificaciones de los procesos de gestión de las vulnerabilidades establecidos por el fabricante, incluida la nomenclatura de materiales de los programas informáticos, la política de divulgación coordinada de vulnerabilidades, pruebas de que se ha facilitado una dirección de contacto para la notificación de vulnerabilidades y una descripción de las soluciones técnicas elegidas para la distribución segura de las actualizaciones;
c) información completa y especificaciones de los procesos de producción y seguimiento del producto con elementos digitales y la validación de estos procesos;

Enmienda  201

 

Propuesta de Reglamento

Anexo V – párrafo 1 – punto 3

Texto de la Comisión	Enmienda
3. una evaluación de los riesgos de ciberseguridad frente a los cuales se haya diseñado, desarrollado, producido, entregado y mantenido el producto con elementos digitales, tal como se establece en el artículo 10 del presente Reglamento;	3. una declaración o resumen de los riesgos de ciberseguridad frente a los cuales se haya diseñado, desarrollado, producido, entregado y mantenido el producto con elementos digitales, tal como se establece en el artículo 10 del presente Reglamento y, previa petición justificada formulada por una autoridad de vigilancia del mercado, a condición de que sea necesaria para que esta autoridad pueda comprobar el cumplimiento de los requisitos esenciales formulados en el anexo I, una evaluación detallada de los riesgos de ciberseguridad frente a los cuales se haya diseñado, desarrollado, producido, entregado y mantenido el producto con elementos digitales, tal como se establece en el artículo 10 del presente Reglamento;

 

ANEXO: LISTA DE LAS ORGANIZACIONES O PERSONAS
QUE HAN COLABORADO CON EL PONENTE DE OPINIÓN

La lista siguiente se elabora con carácter totalmente voluntario y bajo la exclusiva responsabilidad del ponente de opinión. Las siguientes organizaciones o personas han colaborado con el ponente de opinión durante la preparación del proyecto de opinión:

 

Organización o persona

Apple

BDI Federation of German Industries

BEUC

BSA The Software Alliance

Confederation of Danish Industries

Digital Europe

ETNO

Kaspersky

Microsoft

Samsung

TIC Council

Xiaomi

 

PROCEDIMIENTO DE LA COMISIÓN COMPETENTE PARA EMITIR OPINIÓN

Título	Requisitos horizontales de ciberseguridad para los productos con elementos digitales y modificación del Reglamento (UE) 2019/1020
Referencias	COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)
Comisión competente para el fondo  Fecha del anuncio en el Pleno	ITRE 9.11.2022
Opinión emitida por  Fecha del anuncio en el Pleno	IMCO 9.11.2022
Comisiones asociadas - Fecha del anuncio en el Pleno	20.4.2023
Ponente de opinión  Fecha de designación	Morten Løkkegaard 16.12.2022
Examen en comisión	2.3.2023	25.4.2023	23.5.2023
Fecha de aprobación	29.6.2023
Resultado de la votación final	+: –: 0:	41 1 0
Miembros presentes en la votación final	Alex Agius Saliba, Andrus Ansip, Pablo Arias Echeverría, Alessandra Basso, Biljana Borzan, Vlad-Marius Botoş, Anna Cavazzini, Dita Charanzová, Deirdre Clune, David Cormand, Alexandra Geese, Maria Grapini, Svenja Hahn, Krzysztof Hetman, Virginie Joron, Eugen Jurzyca, Arba Kokalari, Kateřina Konečná, Andrey Kovatchev, Maria-Manuel Leitão-Marques, Antonius Manders, Beata Mazurek, Leszek Miller, Anne-Sophie Pelletier, Miroslav Radačovský, René Repasi, Christel Schaldemose, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Kim Van Sparrentak, Marion Walsmann
Suplentes presentes en la votación final	Marco Campomenosi, Maria da Graça Carvalho, Geoffroy Didier, Francisco Guerreiro, Tsvetelina Penkova, Catharina Rinzema, Kosma Złotowski
Suplentes (art. 209, apdo. 7) presentes en la votación final	Asger Christensen, Nicolás González Casares, Grzegorz Tobiszowski

 

VOTACIÓN FINAL NOMINAL
EN LA COMISIÓN COMPETENTE PARA EMITIR OPINIÓN

41	+
ECR	Beata Mazurek, Grzegorz Tobiszowski, Kosma Złotowski
ID	Alessandra Basso, Marco Campomenosi, Virginie Joron
NI	Miroslav Radačovský
PPE	Pablo Arias Echeverría, Maria da Graça Carvalho, Deirdre Clune, Geoffroy Didier, Krzysztof Hetman, Arba Kokalari, Andrey Kovatchev, Antonius Manders, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Marion Walsmann
Renew	Andrus Ansip, Vlad-Marius Botoş, Dita Charanzová, Asger Christensen, Svenja Hahn, Catharina Rinzema
S&D	Alex Agius Saliba, Biljana Borzan, Nicolás González Casares, Maria Grapini, Maria-Manuel Leitão-Marques, Leszek Miller, Tsvetelina Penkova, René Repasi, Christel Schaldemose
The Left	Kateřina Konečná, Anne-Sophie Pelletier
Verts/ALE	Anna Cavazzini, David Cormand, Alexandra Geese, Francisco Guerreiro, Kim Van Sparrentak

 

1	-
ECR	Eugen Jurzyca

 

0	0

 

Explicación de los signos utilizados

+ : a favor

- : en contra

0 : abstenciones

 

PROCEDIMIENTO DE LA COMISIÓN COMPETENTE PARA EL FONDO

Título	Requisitos horizontales de ciberseguridad para los productos con elementos digitales y modificación del Reglamento (UE) 2019/1020
Referencias	COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)
Fecha de la presentación al PE	15.9.2022
Comisión competente para el fondo Fecha del anuncio en el Pleno	ITRE 9.11.2022
Comisiones competentes para emitir opinión Fecha del anuncio en el Pleno	IMCO 9.11.2022	LIBE 9.11.2022
Opiniones no emitidas Fecha de la decisión	LIBE 20.4.2023	IMCO 20.4.2023
Ponentes Fecha de designación	Nicola Danti 26.10.2022
Examen en comisión	25.4.2023
Fecha de aprobación	19.7.2023
Resultado de la votación final	+: –: 0:	61 1 10
Miembros presentes en la votación final	Nicola Beer, François-Xavier Bellamy, Hildegard Bentele, Vasile Blaga, Michael Bloss, Paolo Borchia, Cristian-Silviu Buşoi, Jerzy Buzek, Maria da Graça Carvalho, Ignazio Corrao, Beatrice Covassi, Nicola Danti, Marie Dauchy, Pilar del Castillo Vera, Martina Dlabajová, Christian Ehler, Valter Flego, Niels Fuglsang, Jens Geier, Nicolás González Casares, Christophe Grudler, Henrike Hahn, Robert Hajšel, Ivo Hristov, Ivars Ijabs, Romana Jerković, Seán Kelly, Zdzisław Krasnodębski, Andrius Kubilius, Thierry Mariani, Marisa Matias, Marina Mesure, Dan Nica, Niklas Nienass, Ville Niinistö, Johan Nissinen, Mauri Pekkarinen, Tsvetelina Penkova, Morten Petersen, Markus Pieper, Manuela Ripa, Robert Roos, Sara Skyttedal, Maria Spyraki, Grzegorz Tobiszowski, Patrizia Toia, Henna Virkkunen, Pernille Weiss, Carlos Zorrinho
Suplentes presentes en la votación final	Damian Boeselager, Franc Bogovič, Francesca Donato, Matthias Ecke, Ladislav Ilčić, Elena Lizzi, Dace Melbārde, Jutta Paulus, Massimiliano Salini, Jordi Solé, Susana Solís Pérez, Ivan Štefanec, Nils Torvalds, Emma Wiesner
Suplentes (art. 209, apdo. 7) presentes en la votación final	Rosanna Conte, Arnaud Danjean, César Luena, Nicola Procaccini, Elżbieta Rafalska, Antonio Maria Rinaldi, Daniela Rondinelli, Nacho Sánchez Amor, Edina Tóth
Fecha de presentación	27.7.2023

 

 

VOTACIÓN FINAL NOMINAL  EN LA COMISIÓN COMPETENTE PARA EL FONDO

61	+
ECR	Ladislav Ilčić, Zdzisław Krasnodębski, Nicola Procaccini, Elżbieta Rafalska, Grzegorz Tobiszowski
NI	Francesca Donato, Edina Tóth
PPE	François-Xavier Bellamy, Hildegard Bentele, Vasile Blaga, Franc Bogovič, Cristian-Silviu Buşoi, Jerzy Buzek, Maria da Graça Carvalho, Pilar del Castillo Vera, Arnaud Danjean, Christian Ehler, Seán Kelly, Andrius Kubilius, Dace Melbārde, Markus Pieper, Massimiliano Salini, Maria Spyraki, Ivan Štefanec, Henna Virkkunen, Pernille Weiss
Renew	Nicola Beer, Nicola Danti, Martina Dlabajová, Valter Flego, Christophe Grudler, Ivars Ijabs, Mauri Pekkarinen, Morten Petersen, Susana Solís Pérez, Nils Torvalds, Emma Wiesner
S&D	Beatrice Covassi, Matthias Ecke, Niels Fuglsang, Jens Geier, Nicolás González Casares, Robert Hajšel, Ivo Hristov, Romana Jerković, César Luena, Dan Nica, Tsvetelina Penkova, Daniela Rondinelli, Nacho Sánchez Amor, Patrizia Toia, Carlos Zorrinho
Verts/ALE	Michael Bloss, Damian Boeselager, Ignazio Corrao, Henrike Hahn, Niklas Nienass, Ville Niinistö, Jutta Paulus, Manuela Ripa, Jordi Solé

 

1	-
The Left	Marina Mesure

 

10	0
ECR	Johan Nissinen, Robert Roos
ID	Paolo Borchia, Rosanna Conte, Marie Dauchy, Elena Lizzi, Thierry Mariani, Antonio Maria Rinaldi
PPE	Sara Skyttedal
The Left	Marisa Matias

 

Explicación de los signos utilizados

+ : a favor

- : en contra

0 : abstenciones

 

 

 

• [1] DO C 100 de 16.3.2023, p. 101.
• [*] Enmiendas: el texto nuevo o modificado se señala en negrita y cursiva; las supresiones se indican mediante el símbolo ▌.
• [2] DO C 100 de 16.3.2023, p. 101.
• [3] DO C […] de […], p. […].
• [4] Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.º 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).
• [5] Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).
• [6]  Reglamento (UE) 2023/988 del Parlamento Europeo y del Consejo, de 10 de mayo de 2023, relativo a la seguridad general de los productos, por el que se modifican el Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo y la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2001/95/CE del Parlamento Europeo y del Consejo y la Directiva 87/357/CEE del Consejo (DO L 135 de 23.5.2023, p. 1).
• [7] JOIN(2020) 18 final, https://eur-lex.europa.eu/legal-content/ES/ALL/?uri=JOIN:2020:18:FIN.
• [8] 2021/2568(RSP), https://www.europarl.europa.eu/doceo/document/TA-9-2021-0286_ES.html.
• [9] «Conferencia sobre el Futuro de Europa. Informe sobre el resultado final», mayo de 2022, propuesta 28, punto 2. La Conferencia se celebró entre abril de 2021 y mayo de 2022. Fue un ejercicio único, dirigido por los ciudadanos, de democracia deliberativa a nivel paneuropeo, en el que participaron miles de ciudadanos europeos, así como agentes políticos, interlocutores sociales, representantes de la sociedad civil y partes interesadas clave.
• [10]  «The impact of open source software and hardware on technological independence, competitiveness and innovation in the EU economy», Comisión Europea, 6 de septiembre de 2021 https://ec.europa.eu/newsroom/dae/redirection/document/79021.
• [11] Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios, por el que se modifican la Directiva 2001/83/CE, el Reglamento (CE) n.º 178/2002 y el Reglamento (CE) n.º 1223/2009 y por el que se derogan las Directivas 90/385/CEE y 93/42/CEE del Consejo (DO L 117 de 5.5.2017, p. 1).
• [12] Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios para diagnóstico in vitro y por el que se derogan la Directiva 98/79/CE y la Decisión 2010/227/UE de la Comisión (DO L 117 de 5.5.2017, p. 176).
• [13] MDCG 2019--16, aprobado por el Grupo de Coordinación de Productos Sanitarios (MDCG) que se estableció en virtud del artículo 103 del Reglamento (UE) 2017/745.
• [14] Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo, de 27 de noviembre de 2019, relativo a los requisitos de homologación de tipo de los vehículos de motor y de sus remolques, así como los sistemas, componentes y unidades técnicas independientes destinados a esos vehículos, en lo que respecta a su seguridad general y a la protección de los ocupantes de los vehículos y de los usuarios vulnerables de la vía pública, por el que se modifica el Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) n.º 78/2009, (CE) n.º 79/2009 y (CE) n.º 661/2009 del Parlamento Europeo y del Consejo y los Reglamentos (CE) n.º 631/2009, (UE) n.º 406/2010, (UE) n.º 672/2010, (UE) n.º 1003/2010, (UE) n.º 1005/2010, (UE) n.º 1008/2010, (UE) n.º 1009/2010, (UE) n.º 19/2011, (UE) n.º 109/2011, (UE) n.º 458/2011, (UE) n.º 65/2012, (UE) n.º 130/2012, (UE) n.º 347/2012, (UE) n.º 351/2012, (UE) n.º 1230/2012 y (UE) 2015/166 de la Comisión (DO L 325 de 16.12.2019, p. 1).
• [15] Reglamento n.º 155 de las Naciones Unidas — Disposiciones uniformes relativas a la homologación de los vehículos de motor en lo que respecta a la ciberseguridad y al sistema de gestión de esta [2021/387].
• [16] Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo, de 4 de julio de 2018, sobre normas comunes en el ámbito de la aviación civil y por el que se crea una Agencia de la Unión Europea para la Seguridad Aérea y por el que se modifican los Reglamentos (CE) n.º 2111/2005, (CE) n.º 1008/2008, (UE) n.º 996/2010, (UE) n.º 376/2014 y las Directivas 2014/30/UE y 2014/53/UE del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) n.º 552/2004 y (CE) n.º 216/2008 del Parlamento Europeo y del Consejo y el Reglamento (CEE) n.º 3922/91 del Consejo (DO L 212 de 22.8.2018, p. 1).
• [17]  Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).
• [18] Reglamento (UE) n.º 167/2013 del Parlamento Europeo y del Consejo, de 5 de febrero de 2013, relativo a la homologación de los vehículos agrícolas o forestales, y a la vigilancia del mercado de dichos vehículos (DO L 60 de 2.3.2013, p. 1).
• [19]  Reglamento Delegado (UE) 2022/30 de la Comisión, de 29 de octubre de 2021, que completa la Directiva 2014/53/UE del Parlamento Europeo y del Consejo en lo que respecta a la aplicación de los requisitos esenciales contemplados en el artículo 3, apartado 3, letras d), e) y f), de dicha Directiva (DO L 7 de 12.1.2022, p. 6).
• [20] Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de responsabilidad por los daños causados por productos defectuosos (DO L 210 de 7.8.1985, p. 29).
• [21] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
• [22] Reglamento [Reglamento sobre IA].
• [23]  Reglamento (UE) 2023/2014 del Parlamento Europeo y del Consejo, de 14 de junio de 2023, relativo a las máquinas, y por el que se derogan la Directiva 2006/42/CE del Parlamento Europeo y del Consejo y la Directiva 73/361/CEE del Consejo (DO L 165 de 29.6.2014, p. 1).
• [24]  Véase JOIN(2023)20 Comunicación conjunta al Parlamento Europeo, al Consejo Europeo y al Consejo sobre la «Estrategia europea de seguridad económica».
• [25]  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (DO L 201 de 31.7.2002, p. 37).
• [26] Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión n.º 1673/2006/CE del Parlamento Europeo y del Consejo (DO L 316 de 14.11.2012, p. 12).
• [27] Reglamento (CE) n.º 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y por el que se deroga el Reglamento (CEE) n.º 339/93 (DO L 218 de 13.8.2008, p. 30).
• [28] Decisión n.º 768/2008/CE del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre un marco común para la comercialización de los productos y por la que se deroga la Decisión 93/465/CEE del Consejo (DO L 218 de 13.8.2008, p. 82).
• [29] Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Reglamentos (CE) n.º 765/2008 y (UE) n.º 305/2011 (DO L 169 de 25.6.2019, p. 1).
• [30] DO L 123 de 12.5.2016, p. 1.
• [31] Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).
• [32] Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
• [33]  DO C 452 de 29.11.2022, p. 23.
• [34] Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas [notificada con el número C(2003) 1422] (DO L 124 de 20.5.2003, p. 36).
• [35] Directiva 2014/24/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre contratación pública y por la que se deroga la Directiva 2004/18/CE (OJ L 94, 28.3.2014, p. 65).
• [36] Directiva 2014/25/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, relativa a la contratación por entidades que operan en los sectores del agua, la energía, los transportes y los servicios postales y por la que se deroga la Directiva 2004/17/CE (DO L 94 de 28.3.2014, p. 243).
• [37]  Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (DO L 178 de 17.7.2000, p. 1).
• [38] Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas (DO L 157 de 15.6.2016, p. 1).
• [39] Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2020, relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, y por la que se deroga la Directiva 2009/22/CE (DO L 409 de 4.12.2020, p. 1).