MIETINTÖ ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi digitaalisia elementtejä sisältävien tuotteiden horisontaalisista kyberturvavaatimuksista ja asetuksen (EU) 2019/1020 muuttamisesta

26.7.2023 - (COM(2022)0454 – C9‑0308/2022 – 2022/0272(COD)) - ***I

Teollisuus-, tutkimus- ja energiavaliokunta
Esittelijä: Nicola Danti
Työjärjestyksen 57 artiklan mukaisesti yhteistyöhön osallistuvan valiokunnan valmistelija
Morten Løkkegaard, sisämarkkina- ja kuluttajansuojavaliokunta


Menettely : 2022/0272(COD)
Elinkaari istunnossa
Asiakirjan elinkaari :  
A9-0253/2023
Käsiteltäväksi jätetyt tekstit :
A9-0253/2023
Keskustelut :
Hyväksytyt tekstit :

LUONNOS EUROOPAN PARLAMENTIN LAINSÄÄDÄNTÖPÄÄTÖSLAUSELMAKSI

ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi digitaalisia elementtejä sisältävien tuotteiden horisontaalisista kyberturvavaatimuksista ja asetuksen (EU) 2019/1020 muuttamisesta

(COM(2022)0454 – C9‑0308/2022 – 2022/0272(COD))

(Tavallinen lainsäätämisjärjestys: ensimmäinen käsittely)

Euroopan parlamentti, joka

 ottaa huomioon komission ehdotuksen Euroopan parlamentille ja neuvostolle (COM(2022)0454),

 ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen 294 artiklan 2 kohdan ja 114 artiklan, joiden mukaisesti komissio on antanut ehdotuksen Euroopan parlamentille (C9-0308/2022),

 ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen 294 artiklan 3 kohdan,

 ottaa huomioon Euroopan talous- ja sosiaalikomitean 14. joulukuuta 2022 antaman lausunnon[1],

 ottaa huomioon työjärjestyksen 59 artiklan,

 ottaa huomioon sisämarkkina- ja kuluttajansuojavaliokunnan lausunnon,

 ottaa huomioon teollisuus-, tutkimus- ja energiavaliokunnan mietinnön (A9-0253/2023),

1. vahvistaa jäljempänä esitetyn ensimmäisen käsittelyn kannan;

2. pyytää komissiota muuttamaan ehdotuksen liitteenä olevaa rahoitusselvitystä siten, että Euroopan unionin kyberturvallisuusviraston (ENISA) henkilöstötaulukkoon lisätään 9,0 kokoaikaista lisävirkaa/-tointa ja sille myönnetään vastaavat lisämäärärahat sen varmistamiseksi, että ENISA voi täyttää tästä asetuksesta johtuvat velvoitteensa ja etteivät viraston nykyiset, unionin muusta lainsäädännöstä johtuvat velvoitteet vaarannu;

3. pyytää komissiota antamaan asian uudelleen Euroopan parlamentin käsiteltäväksi, jos se korvaa ehdotuksensa, muuttaa sitä huomattavasti tai aikoo muuttaa sitä huomattavasti;

4. kehottaa puhemiestä välittämään parlamentin kannan neuvostolle ja komissiolle sekä kansallisille parlamenteille.

Tarkistus  1

EUROOPAN PARLAMENTIN TARKISTUKSET[*]

komission ehdotukseen

---------------------------------------------------------

Ehdotus

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

digitaalisia elementtejä sisältävien tuotteiden horisontaalisista kyberturvavaatimuksista ja asetuksen (EU) 2019/1020 ja direktiivin (EU) 2020/1828 muuttamisesta (kyberkestävyyssäädös)

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 114 artiklan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen, kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon[2],

ottavat huomioon alueiden komitean lausunnon[3],

noudattavat tavallista lainsäätämisjärjestystä,

sekä katsovat seuraavaa:

(1) Kyberturvallisuus on yksi unionin keskeisistä haasteista, ja tulevina vuosina verkkoon liitettyjen laitteiden määrä ja valikoima lisääntyvät räjähdysmäisesti. Kyberhyökkäykset ovat yleistä etua koskeva asia, koska niillä on erittäin vakavia vaikutuksia paitsi unionin talouteen myös demokratiaan ja kuluttajien turvallisuuteen ja terveyteen. Sen vuoksi on tarpeen vahvistaa unionin lähestymistapaa kyberturvallisuuteen, käsitellä kyberkestävyyttä unionin tasolla ja parantaa sisämarkkinoiden toimintaa vahvistamalla yhtenäinen oikeudellinen kehys olennaisille kyberturvavaatimuksille, joita sovelletaan digitaalisia elementtejä sisältävien tuotteiden saattamiseen unionin markkinoille. Olisi puututtava kahteen merkittävään ongelmaan, joista aiheutuu kustannuksia käyttäjille ja yhteiskunnalle: digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuuden alhainen taso, josta ovat osoituksena laajalle levinneet haavoittuvuudet ja niiden korjaamiseksi tarvittavien tietoturvapäivitysten riittämätön ja epäjohdonmukainen tarjonta, ja käyttäjien riittämätön ymmärrys ja tiedonsaanti, mikä estää valitsemasta tuotteita, joilla on riittävät kyberturvaominaisuudet, tai estää käyttämästä tuotteita tietoturvallisesti.

(2) Tämän asetuksen tavoitteena on luoda edellytykset digitaalisia elementtejä sisältävien tietoturvallisten tuotteiden kehittämiselle varmistamalla, että laitteisto- ja ohjelmistotuotteet saatetaan markkinoille vähemmin haavoittuvuuksin ja että valmistajat suhtautuvat tietoturvaan vakavasti tuotteen koko elinkaaren ajan. Sillä pyritään myös luomaan olosuhteet, joissa käyttäjät voivat ottaa kyberturvallisuuden huomioon valitessaan ja käyttäessään digitaalisia elementtejä sisältäviä tuotteita, esimerkiksi parantamalla markkinoille saatettujen tuotteiden tukiaikaa koskevaa avoimuutta.

(3) Tällä hetkellä voimassa oleva asiaa koskeva unionin lainsäädäntö sisältää useita horisontaalisia säännöstöjä, joissa käsitellään tiettyjä kyberturvatekijöitä eri näkökulmista, mukaan lukien toimenpiteet digitaalisen toimitusketjun tietoturvan parantamiseksi. Kyberturvallisuuteen liittyvä voimassa oleva unionin lainsäädäntö, mukaan lukien Euroopan parlamentin ja neuvoston asetus (EU) 2019/881[4] ja Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555[5], ei kuitenkaan suoraan kata digitaalisia elementtejä sisältävien tuotteiden tietoturvaa koskevia pakollisia vaatimuksia.

(4) Voimassa olevaa unionin lainsäädäntöä sovelletaan tiettyihin digitaalisia elementtejä sisältäviin tuotteisiin, mutta ei ole olemassa horisontaalista unionin sääntelykehystä, jossa vahvistettaisiin kattavat kyberturvavaatimukset kaikille digitaalisia elementtejä sisältäville tuotteille. Unionin ja kansallisella tasolla tähän mennessä käyttöön otetuilla eri säädöksillä ja aloitteilla puututaan havaittuihin kyberturvaongelmiin vain osittain, ja vaarana on, että sisämarkkinoilla syntyy lainsäädännön hajanaisuutta, mikä lisää sekä näiden tuotteiden valmistajien että käyttäjien oikeudellista epävarmuutta ja luo yrityksille ja organisaatioille tarpeetonta rasitetta, kun ne joutuvat noudattamaan samantyyppisten tuotteiden osalta toisistaan eriäviä vaatimuksia. Näiden tuotteiden kyberturvallisuudella on kuitenkin erityisen vahva rajat ylittävä ulottuvuus, sillä yhdessä maassa valmistettuja tuotteita käyttävät usein organisaatiot ja kuluttajat monissa muissa maissa koko sisämarkkinoilla. Tämän vuoksi alaa on tarpeen säännellä unionin tasolla, jotta varmistetaan yhdenmukaistettu ja selkeä sääntelykehys yrityksille, erityisesti mikroyrityksille sekä pienille ja keskisuurille yrityksille. Unionin sääntely-ympäristö olisi yhdenmukaistettava asettamalla digitaalisia elementtejä sisältäville tuotteille kyberturvavaatimukset. Lisäksi olisi parannettava oikeusvarmuutta toimijoiden ja käyttäjien näkökulmasta kaikkialla unionissa, yhdenmukaistettava sisämarkkinoita ja varmistettava oikeasuhtaisuus mikroyritysten sekä pienten ja keskisuurten yritysten osalta luoden samalla suotuisammat olosuhteet talouden toimijoille, jotka pyrkivät unionin markkinoille.

(4 a) Tämä asetus on luonteeltaan horisontaalinen, joten se vaikuttaa hyvin erilaisiin unionin talouden osa-alueisiin. Sen vuoksi on tärkeää, että kunkin toimialan erityispiirteet otetaan huomioon ja että tässä asetuksessa säädetyt kyberturvavaatimukset suhteutetaan riskeihin. Niinpä komission olisi annettava ohjeet, joissa selitetään selkeästi ja yksityiskohtaisesti, miten tätä asetusta sovelletaan. Ohjeisiin olisi sisällyttävä muun muassa yksityiskohtainen selitys asetuksen soveltamisalasta, erityisesti datan etäkäsittelyn käsitteestä ja vapaiden ja avoimen lähdekoodin ohjelmistojen kehittäjiin kohdistuvista vaikutuksista, kriteereistä, joita käytetään digitaalisia elementtejä sisältävien kriittisten tuotteiden luokituksen määrittämiseksi, sekä tämän asetuksen ja unionin muun lainsäädännön välisestä vuorovaikutuksesta.

(4 b) Verkossa toimiva yritys voi tarjota useita erilaisia palveluja. Tarjottujen palvelujen luonteesta riippuen sama toimija voi kuulua useisiin eri talouden toimijoiden luokkiin. Jos toimija tarjoaa verkossa toimivia välityspalveluja digitaalisia elementtejä sisältävän tuotteen osalta ja on Euroopan parlamentin ja neuvoston asetuksen (EU) 2023/988[6] 3 artiklan 14 alakohdassa määritelty verkkomarkkinapaikan tarjoaja, sitä ei katsota tässä asetuksessa määritellyksi talouden toimijaksi. Jos sama toimija on verkkomarkkinapaikan tarjoaja ja toimii tässä asetuksessa määriteltynä talouden toimijana digitaalisia elementtejä sisältävien tuotteiden myynnissä, sen olisi kuuluttava tämän asetuksen soveltamisalaan tällaisten tuotteiden osalta. Asetuksen (EU) 2023/988 säännöksiä sovelletaan täysimääräisesti tähän asetukseen. Koska verkkomarkkinapaikoilla on merkittävä rooli verkkokaupan mahdollistamisessa, niiden olisi pyrittävä tekemään yhteistyötä jäsenvaltioiden markkinavalvontaviranomaisten kanssa sen varmistamiseksi, että verkkomarkkinapaikkojen kautta ostetut tuotteet ovat tässä asetuksessa säädettyjen kyberturvavaatimusten mukaisia.

(5) Unionin tasolla erilaisissa ohjelmakohtaisissa ja poliittisissa asiakirjoissa, kuten EU:n kyberturvallisuusstrategiassa digitaaliselle vuosikymmenelle[7], 2 päivänä joulukuuta 2020 ja 23 päivänä toukokuuta 2022 annetuissa neuvoston päätelmissä ja Euroopan parlamentin 10 päivänä kesäkuuta 2021 antamassa päätöslauselmassa[8], peräänkuulutetaan erityisiä unionin kyberturvavaatimuksia digitaalisille tai verkotetuille tuotteille, ja useat maat eri puolilla maailmaa ovat ottaneet oma-aloitteisesti käyttöön sääntelyä asian ratkaisemiseksi. Euroopan tulevaisuuskonferenssin loppuraportissa[9] kansalaiset kehottivat vahvistamaan EU:n roolia kyberturvauhkien torjunnassa. Jotta unioni voi olla johtavassa kansainvälisessä asemassa kyberturva-alalla, on tärkeää luoda kunnianhimoinen yleinen sääntelykehys.

(6) Kaikkien sisämarkkinoille saatettujen digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuuden yleisen tason nostamiseksi on tarpeen ottaa käyttöön näille tuotteille horisontaalisesti sovellettavat tavoitelähtöiset ja teknologianeutraalit olennaiset kyberturvavaatimukset.

(7) Tietyissä olosuhteissa kaikki digitaalisia elementtejä sisältävät tuotteet, jotka ovat laajempaan sähköiseen tietojärjestelmään integroituja tai liitettyjä, voivat päätyä vihamielisten toimijoiden hyökkäyskanaviksi. Tämän johdosta myös vähemmän kriittisinä pidetyt laitteistot ja ohjelmistot voivat helpottaa laitteen tai verkon ensi vaiheen vaarantumista, jolloin vihamieliset toimijat voivat saada luvattoman pääsyn järjestelmään tai siirtyä samantasoisten järjestelmien välillä. Tästä syystä valmistajien olisi varmistettava, että kaikki liitettävissä olevat digitaalisia elementtejä sisältävät tuotteet suunnitellaan ja tuotetaan tässä asetuksessa säädettyjen olennaisten vaatimusten mukaisesti. Tämä koskee sekä tuotteita, jotka voidaan liittää fyysisesti laitteistorajapintojen kautta, että tuotteita, jotka voidaan liittää loogisesti, kuten verkkorajapintojen, pipe-ratkaisujen, tiedostojen, sovellusrajapintojen tai muiden ohjelmistorajapintojen kautta. Koska kyberturvauhat voivat edetä erilaisten digitaalisia elementtejä sisältävien tuotteiden kautta ennen tietyn kohteen saavuttamista, esimerkiksi ketjuttamalla yhteen useita haavoittuvuuksia, valmistajien olisi varmistettava myös sellaisten tuotteiden kyberturvallisuus, jotka on liitetty muihin laitteisiin tai verkkoihin vain välillisesti.

(8) Asettamalla kyberturvavaatimuksia digitaalisia elementtejä sisältävien tuotteiden markkinoille saattamiselle parannetaan näiden tuotteiden kyberturvallisuutta sekä kuluttajien että yritysten kannalta. Tämä pätee myös vaatimuksiin, jotka koskevat haavoittuvassa asemassa oleville kuluttajille tarkoitettujen digitaalisia elementtejä sisältävien kulutustuotteiden, kuten lelujen ja itkuhälyttimien, saattamista markkinoille. Näillä vaatimuksilla varmistetaan myös, että kyberturvallisuus otetaan huomioon koko toimitusketjussa, mikä tekee digitaalisia elementtejä sisältävistä lopputuotteista tietoturvallisempia. Tämä puolestaan merkitsee kilpailuetua unioniin sijoittautuneille tai siellä edustettuina oleville valmistajille, jotka voivat tuoda esiin tuotteidensa kyberturvallisuutta.

(9) Tällä asetuksella varmistetaan digitaalisia elementtejä sisältävien tuotteiden ja niihin integroitujen datan etäkäsittelyratkaisujen kyberturvallisuuden korkea taso. Tällaisilla digitaalisia elementtejä sisältävään tuotteeseen liittyvillä datan etäkäsittelyratkaisuilla tarkoitetaan kaikkea etäkäsittelyä, jota varten kyseinen ohjelmisto on suunniteltu ja kehitetty kyseisen tuotteen valmistajan toimesta tai puolesta ja jonka puuttuminen estäisi digitaalisia elementtejä sisältävää tuotetta suorittamasta jotakin toimintoaan. Esimerkiksi älykotilaitteiden valmistajan tarjoamien pilvikäyttöisten toimintojen, joiden avulla käyttäjät voivat käyttää laitetta etäältä, olisi kuuluttava tämän asetuksen soveltamisalaan. Toisaalta verkkosivustoja, jotka eivät liity erottamattomasti digitaalisia elementtejä sisältävään tuotteeseen, tai pilvipalveluja, jotka eivät kuulu valmistajan vastuulle, ei pitäisi katsoa tämän asetuksen mukaisiksi datan etäkäsittelyratkaisuiksi. Direktiivillä (EU) 2022/2555 asetetaan kyberturvallisuutta ja poikkeamien raportointia koskevia vaatimuksia olennaisille ja tärkeille toimijoille, kuten kriittisen infrastruktuurin ylläpitäjille, jotta voidaan parantaa niiden tarjoamien palvelujen häiriönsietokykyä. Vaikka pilvipalveluihin ja pilvipalvelumalleihin sovelletaan direktiiviä (EU) 2022/2555 ja vaikka tätä asetusta ei sovelleta palveluihin, kuten ohjelmistopalveluihin (Software-as-a-Service, SaaS), alustapalveluihin (Platform‑as-a-Service, PaaS) tai infrastruktuuripalveluihin (Infrastructure-as-a-Service, IaaS), ne voivat kuulua tämän asetuksen soveltamisalaan siltä osin kuin ne täyttävät datan etäkäsittelyratkaisujen määritelmän. ▌

(9 a) Avoimesti jaetut ja käyttäjien vapaasti saatavilla olevat ohjelmistot ja data, joita tai joiden muunneltuja versioita käyttäjät voivat vapaasti käyttää, muunnella ja jakaa uudelleen, voivat edistää tutkimusta ja innovointia markkinoilla. Lisäksi Euroopan komission toteuttama tutkimus[10] osoittaa, että vapaat ja avoimen lähdekoodin ohjelmistot voivat vaikuttaa unionin BKT:hen 65–95 miljardin euron arvosta ja että ne voivat tarjota merkittäviä kasvumahdollisuuksia unionin taloudelle. Vapaiden ja avoimen lähdekoodin lisenssien avulla käyttäjät voivat ajaa, kopioida, jakaa, tutkia, muuttaa ja parantaa ohjelmistoja ja tietoja, mallit mukaan lukien. Vapaiden ja avoimen lähdekoodin ohjelmistojen kehittämisen ja käyttöönoton tukemiseksi erityisesti mikroyrityksissä ja pienissä ja keskisuurissa yrityksissä, startup-yritykset mukaan lukien, sekä voittoa tavoittelemattomissa järjestöissä, akateemisessa tutkimuksessa ja yksittäisten henkilöiden toimesta tätä asetusta olisi sovellettava vapaisiin ja avoimen lähdekoodin ohjelmistotuotteisiin erityistapauksissa, jotta voidaan ottaa huomioon se, että on olemassa erilaisia malleja sellaisten ohjelmistojen kehittämiseksi, joita jaetaan ja kehitetään julkisilla lisensseillä.

(10) ▌ Tämän asetuksen olisi katettava ainoastaan sellaiset vapaat ja avoimen lähdekoodin ohjelmistot, jotka on ▌asetettu saataville markkinoilla liiketoiminnan yhteydessä. ▌ Sitä, onko vapaa ja avoimen lähdekoodin tuote asetettu saataville liiketoiminnan yhteydessä, olisi arvioitava tuotekohtaisesti tarkastelemalla sekä digitaalisia elementtejä sisältävän vapaan ja avoimen lähdekoodin tuotteen kehitysmallia että toimitusvaihetta.

(10 a) Esimerkiksi täysin hajautettua kehitysmallia, jossa mikään yksittäinen kaupallinen toimija ei valvo sitä, mitä hankkeen koodipohjaan hyväksytään, olisi pidettävä osoituksena siitä, että tuote on kehitetty ei-kaupallisessa ympäristössä. Toisaalta jos vapaata ja avoimen lähdekoodin ohjelmistoa kehittää yksi organisaatio tai epäsymmetrinen yhteisö, jossa yksi organisaatio saa tuloja ohjelmiston vastaavasta käytöstä liikesuhteissa, toimintaa olisi pidettävä kaupallisena. Vastaavasti silloin, kun vapaita ja avoimen lähdekoodin ohjelmistoja koskevissa hankkeissa tärkeimpiä osallistujia ovat kaupallisten toimijoiden palveluksessa olevat kehittäjät ja tällaiset kehittäjät tai työnantaja voivat määrätä, mitkä muutokset koodipohjaan hyväksytään, hanketta olisi yleensä pidettävä luonteeltaan kaupallisena.

(10 b) Toimitusvaiheen osalta vapaiden ja avoimen lähdekoodin ohjelmistojen yhteydessä toiminnan kaupallisuudesta voi olla merkkinä paitsi tuotteen käytöstä laskuttaminen myös hinnan periminen teknisistä tukipalveluista, kun tätä ei käytetä ainoastaan aiheutuneiden kustannusten korvaamiseen, muita vastikkeellisia palveluja edellyttävän ohjelmistoalustan tarjoaminen tai henkilötietojen vaatiminen muista syistä kuin yksinomaan ohjelmiston tietoturvan, yhteensopivuuden tai yhteentoimivuuden parantamiseksi. Lahjoitusten vastaanottamista ei pitäisi katsoa kaupalliseksi toiminnaksi silloin, kun aikomuksena ei ole tuottaa voittoa, paitsi jos lahjoituksia tekevät kaupalliset toimijat ja ne ovat luonteeltaan toistuvia.

(10 c) Tämän asetuksen mukaisia velvoitteita ei pitäisi soveltaa kehittäjiin, jotka osallistuvat itsenäisesti vapaita ja avoimen lähdekoodin ohjelmistoja koskeviin hankkeisiin.

(10 d) Pelkästään vapaiden ja avoimen lähdekoodin ohjelmistojen säilyttäminen avoimissa arkistoissa ei itsessään tarkoita digitaalisia elementtejä sisältävän tuotteen asettamista saataville markkinoilla. Näin ollen useimpia paketinhallintajärjestelmiä, koodin säilytystä ja yhteistyöalustoja ei olisi pidettävä tässä asetuksessa tarkoitettuina jakelijoina.

(10 e) Jotta voidaan varmistaa, että tuotteet suunnitellaan, kehitetään ja tuotetaan liitteessä I olevassa 1 jaksossa säädettyjen olennaisten vaatimusten mukaisesti, valmistajien olisi noudatettava asianmukaista huolellisuutta, kun ne integroivat kolmansilta osapuolilta hankittuja komponentteja, myös silloin, kun on kyse vapaasta ja avoimen lähdekoodin ohjelmistosta, jota ei ole asetettu saataville markkinoilla. Asianmukaisen huolellisuuden asiaankuuluva taso riippuu komponentin luonteesta ja komponenttiin liittyvän riskin tasosta, ja siihen voi sisältyä yksi tai useampi seuraavista toimista: sen tarkistaminen, onko komponentissa jo CE-merkintä, aiempien tietoturvapäivitysten tarkistaminen, sen tarkistaminen, ettei siinä ole Euroopan haavoittuvuustietokantaan tai muihin julkisiin tietokantoihin kirjattuja haavoittuvuuksia, tai lisäturvallisuustestien tekeminen. Jos tuotteen valmistaja asianmukaista huolellisuutta noudattaessaan havaitsee komponentissa, mukaan lukien vapaiden ohjelmistojen ja avoimen lähdekoodin komponentit, haavoittuvuuden, sen olisi ilmoitettava siitä komponentin kehittäjälle, puututtava haavoittuvuuteen ja korjattava se ja tarvittaessa ilmoitettava kehittäjälle käytetystä tietoturvakorjauksesta. Sen jälkeen, kun valmistaja on saattanut tuotteen markkinoille, sen olisi vastattava sen varmistamisesta, että haavoittuvuudet käsitellään koko tukikauden ajan, myös digitaalisia elementtejä sisältävään tuotteeseen integroitujen vapaiden ohjelmistojen ja avoimen lähdekoodin komponenttien osalta.

(10 f) Yksi keskeinen ongelma, johon on puututtava, jotta tätä asetusta voidaan soveltaa onnistuneesti, on kyberturva-alan ammatillisen osaamisen puute. Erityistä huomiota olisi kiinnitettävä valmistajien, markkinavalvontaviranomaisten ja ilmoitettujen laitosten osaamisvajeeseen. Sen vuoksi komission tiedonannon ”Kyberturvallisuuteen liittyvän osaamisvajeen pienentäminen EU:n kilpailukyvyn, kasvun ja häiriönsietokyvyn parantamiseksi (”Kyberturvallisuusakatemia”)” mukaisesti olisi otettava käyttöön sekä unionin että jäsenvaltioiden tason erityistoimenpiteitä, joilla arvioidaan kyberturva-alan työmarkkinoiden tilaa ja kehitystä sekä kyberturvallisuuteen liittyvän koulutustarjonnan synergioita puuttuen myös sukupuolten välisiin eroihin toimialalla, jotta voidaan luoda unionin yhteinen kyberturvallisuuskoulutusta koskeva lähestymistapa.

(11) Internetin tietoturvallisuus on välttämätön edellytys kriittisten infrastruktuurien toiminnalle ja koko yhteiskunnalle. Direktiivin (EU) 2022/2555 tavoitteena on varmistaa keskeisten ja tärkeiden toimijoiden tarjoamien palvelujen korkea kyberturvataso, mukaan lukien digitaalisen infrastruktuurin tarjoajat, jotka tukevat avoimen internetin ydintoimintoja ja varmistavat pääsyn internetiin ja sen palveluihin. Sen vuoksi on tärkeää, että digitaalisia elementtejä sisältävät tuotteet, joita digitaalisen infrastruktuurin tarjoajat tarvitsevat internetin toiminnan varmistamiseksi, on kehitetty tietoturvallisiksi ja että ne ovat vakiintuneiden internetin tietoturvastandardien mukaisia. Tämän asetuksen, jota sovelletaan kaikkiin liitettävissä oleviin laitteisto- ja ohjelmistotuotteisiin, tavoitteena on myös auttaa digitaalisen infrastruktuurin tarjoajia noudattamaan direktiivin (EU) 2022/2555 mukaisia toimitusketjua koskevia vaatimuksia varmistamalla, että digitaalisia elementtejä sisältävät tuotteet, joita ne käyttävät palvelujensa tarjoamiseen, kehitetään tietoturvallisiksi ja että infrastruktuurin tarjoajien saatavilla on oikea-aikaisesti tällaisten tuotteiden tietoturvapäivityksiä.

(12) Euroopan parlamentin ja neuvoston asetuksessa (EU) 2017/745[11] vahvistetaan lääkinnällisiä laitteita koskevat säännöt ja Euroopan parlamentin ja neuvoston asetuksessa (EU) 2017/746[12] in vitro -diagnostiikkaan tarkoitettuja lääkinnällisiä laitteita koskevat säännöt. Molemmissa asetuksissa käsitellään kyberturvariskejä ja noudatetaan tiettyjä lähestymistapoja, jotka sisältyvät myös tähän asetukseen. Asetuksissa (EU) 2017/745 ja (EU) 2017/746 vahvistetaan olennaiset vaatimukset lääkinnällisille laitteille, jotka toimivat sähköisen järjestelmän kautta tai jotka ovat itsessään ohjelmistoja. Asetukset kattavat myös tietyt sulauttamattomat ohjelmistot ja niissä noudatetaan koko elinkaareen perustuvaa lähestymistapaa. Näissä vaatimuksissa edellytetään, että valmistajat kehittävät ja toteuttavat tuotteensa soveltaen riskinhallintaperiaatteita ja täyttäen tietoturvatoimenpiteitä koskevat vaatimukset sekä käyden läpi vastaavat vaatimustenmukaisuuden arviointimenettelyt. Lisäksi lääkinnällisten laitteiden kyberturvallisuudesta on annettu joulukuussa 2019 erityisohjeistusta[13], jossa lääkinnällisten laitteiden, myös in vitro -diagnostiikkaan tarkoitettujen laitteiden, valmistajille annetaan ohjeita siitä, miten täyttää kaikki kyseisten asetusten liitteissä I vahvistetut kyberturvallisuutta koskevat olennaiset vaatimukset. Sen vuoksi tätä asetusta ei pitäisi soveltaa digitaalisia elementtejä sisältäviin tuotteisiin, jotka kuuluvat jommankumman edellä mainitun asetuksen soveltamisalaan.

(12 a) Tämän asetuksen soveltamisalaan eivät kuulu digitaalisia elementtejä sisältävät tuotteet, jotka on kehitetty yksinomaan kansallisiin turvallisuus- tai sotilaallisiin tarkoituksiin, tai tuotteet, jotka on erityisesti suunniteltu turvallisuusluokiteltujen tietojen käsittelyä varten. Jäsenvaltioita kannustetaan kuitenkin varmistamaan, että näiden tuotteiden suojauksen taso on sama tai korkeampi kuin tämän asetuksen soveltamisalaan kuuluvien tuotteiden.

(13) Euroopan parlamentin ja neuvoston asetuksessa (EU) 2019/2144[14] vahvistetaan ajoneuvojen sekä niiden järjestelmien ja komponenttien tyyppihyväksyntää koskevat vaatimukset, joihin kuuluu myös tiettyjä kyberturvavaatimuksia, mukaan lukien sertifioidun kyberturvahallintajärjestelmän toiminta ja ohjelmistopäivitykset, jotka kattavat ajoneuvojen, laitteiden ja palvelujen koko elinkaareen liittyviä kyberriskejä koskevat toimintaperiaatteet ja prosessit sovellettavien teknisiä eritelmiä ja kyberturvallisuutta koskevien Yhdistyneiden kansakuntien sääntöjen[15] mukaisesti. Kyseisessä asetuksessa säädetään myös erityisistä vaatimustenmukaisuuden arviointimenettelyistä. Euroopan parlamentin ja neuvoston asetuksessa (EU) 2018/1139[16] on päätavoitteena siviili-ilmailun yhtenäisen ja korkean turvallisuustason luominen ja ylläpitäminen unionissa. Sillä luodaan puitteet ilmailualan tuotteiden, osien ja varusteiden, ohjelmistot mukaan lukien, olennaisille lentokelpoisuusvaatimuksille, joissa otetaan huomioon tietoturvauhkilta suojautumista koskevat velvoitteet. Digitaalisia elementtejä sisältäviin tuotteisiin, joihin sovelletaan asetusta (EU) 2019/2144, ja kyseisiin tuotteisiin, jotka on sertifioitu asetuksen (EU) 2018/1139 mukaisesti, ei sen vuoksi sovelleta tässä asetuksessa säädettyjä olennaisia vaatimuksia ja vaatimustenmukaisuuden arviointimenettelyjä. Asetuksen (EU) 2018/1139 mukaisella sertifiointimenettelyllä varmistetaan tässä asetuksessa tavoiteltu varmuustaso.

(14) Tässä asetuksessa vahvistetaan horisontaalisia kyberturvasääntöjä, jotka eivät koske pelkästään tiettyjä toimialoja tai tiettyjä digitaalisia elementtejä sisältäviä tuotteita. On kuitenkin mahdollista, että vahvistetaan alakohtaisia tai tuotekohtaisia unionin sääntöjä, joilla puututaan kaikkiin tai joihinkin tässä asetuksessa säädettyjen olennaisten vaatimusten kattamiin riskeihin. Tällaisissa tapauksissa tämän asetuksen soveltamista digitaalisia elementtejä sisältäviin tuotteisiin, joihin sovelletaan muita unionin sääntöjä ja niissä vahvistettuja vaatimuksia, jotka koskevat kaikkia tai joitakin tämän asetuksen liitteen I olennaisten vaatimusten kattamista riskeistä, voidaan rajoittaa tai se voidaan sulkea pois, jos tällainen rajoittaminen tai poissulkeminen on johdonmukaista kyseisiin tuotteisiin sovellettavan yleisen sääntelykehyksen kanssa ja jos alakohtaisilla säännöillä saavutetaan sama suojelun taso kuin tässä asetuksessa säädetään. Komissiolle olisi siirrettävä valta antaa delegoituja säädöksiä tämän asetuksen muuttamiseksi yksilöimällä tällaiset tuotteet ja säännöt. Sellaisen voimassa olevan unionin lainsäädännön osalta, jonka suhteen tällaisia rajoituksia tai poissulkemisia olisi sovellettava, tämä asetus sisältää säännöksiä, joilla selvennetään sen suhdetta kyseiseen unionin lainsäädäntöön.

(14 a) Sen varmistamiseksi, että markkinoilla saataville asetetut tuotteet voidaan korjata tehokkaasti ja niiden kestävyyttä voidaan pidentää, olisi säädettävä varaosia koskevasta poikkeuksesta. Poikkeuksen olisi koskettava sekä varaosia, joiden käyttötarkoituksena on ennen tämän asetuksen soveltamispäivää saataville asetettujen vanhojen tuotteiden korjaaminen, että varaosia, joille on jo tehty tämän asetuksen mukainen vaatimustenmukaisuuden arviointimenettely ja joita toimittaa sama valmistaja.

(14 b) Euroopan parlamentin ja neuvoston asetuksessa (EU) 2022/2554[17] vahvistetaan erinäisiä vaatimuksia, joilla varmistetaan finanssiyhteisöjen liiketoimintaprosesseja tukevien verkko- ja tietojärjestelmien turvallisuus. Komission olisi seurattava tämän asetuksen täytäntöönpanoa finanssialalla, jotta voidaan varmistaa yhteensopivuus ja välttää päällekkäisyydet sellaisten digitaalisia elementtejä sisältävien tuotteiden osalta, jotka saattavat kuulua myös asetuksen (EU) 2022/2554 soveltamisalaan.

(14 c) Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 167/2013[18] soveltamisalaan kuuluvat maa- ja metsätaloudessa käytettävät ajoneuvot kuuluvat myös tämän asetuksen soveltamisalaan. Asetukseen (EU) N:o 167/2013 tehtävissä tulevissa muutoksissa olisi vältettävä sääntelyn päällekkäisyyksiä.

(15) Komission delegoidussa asetuksessa (EU) 2022/30[19] todetaan, että tiettyihin radiolaitteisiin sovelletaan olennaisia vaatimuksia, joista säädetään direktiivin 2014/53/EU 3 artiklan 3 kohdan d alakohdassa (verkon vahingoittaminen ja verkkoresurssien väärinkäyttö), e alakohdassa (henkilötiedot ja yksityisyys) ja f alakohdassa (petokset). [Eurooppalaisille standardointiorganisaatioille esitetystä standardointipyynnöstä tehdyssä komission täytäntöönpanopäätöksessä XXX/2022] vahvistetaan vaatimukset, joiden mukaisesti on laadittava tietyt standardit sen täsmentämiseksi, miten nämä kolme olennaista vaatimusta olisi täytettävä. Tässä asetuksessa säädetyt vaatimukset kattavat kaikki direktiivin 2014/53/EU 3 artiklan 3 kohdan d, e ja f alakohdassa tarkoitettujen olennaisten vaatimusten osatekijät. Lisäksi tässä asetuksessa säädetyt olennaiset vaatimukset ovat linjassa kyseiseen standardointipyyntöön sisältyvien tiettyjä standardeja koskevien vaatimusten tavoitteiden kanssa. Näin ollen kun komissio ▌muuttaa delegoitua asetusta (EU) 2022/30 niin, että sitä ei enää sovelleta tiettyihin tämän asetuksen soveltamisalaan kuuluviin tuotteisiin, komission ja eurooppalaisten standardointiorganisaatioiden olisi otettava huomioon standardointityö, joka on tehty radiolaitedirektiivin mukaista delegoitua asetusta 2022/30 koskevasta standardointipyynnöstä annetun komission täytäntöönpanopäätöksen C(2022) 5637 yhteydessä, kun yhdenmukaistettuja standardeja valmistellaan ja kehitetään tämän asetuksen täytäntöönpanon helpottamiseksi. Jos valmistajat noudattavat tätä asetusta ennen sen soveltamispäivää, niiden olisi katsottava noudattavan myös komission delegoitua asetusta (EU) 2022/30, kunnes komissio kumoaa kyseisen delegoidun asetuksen.

(16) Neuvoston direktiivi 85/374/ETY[20] täydentää tätä asetusta. Kyseisessä direktiivissä vahvistetaan tuotevastuusäännöt, joiden mukaisesti vahinkoa kärsineet voivat vaatia korvausta, jos vahinko on aiheutunut tuoteviasta. Siinä vahvistetaan periaate, jonka mukaan tuotteen valmistaja on tuottamuksellisuudesta riippumatta vastuussa tuotteen puutteellisesta turvallisuudesta johtuvista vahingoista (ns. ankara vastuu). Jos tällainen turvallisuuspuute johtuu siitä, että tuotteen markkinoille saattamisen jälkeen ei ole tehty tietoturvapäivityksiä ja tämä aiheuttaa vahinkoa, valmistaja voi joutua vastuuseen. Valmistajien velvollisuudet, jotka koskevat tällaisten tietoturvapäivitysten tarjoamista, olisi vahvistettava tässä asetuksessa.

(17) Tämä asetus ei saisi vaikuttaa Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679[21] soveltamiseen, mukaan lukien säännökset, jotka koskevat tietosuojaa koskevien sertifiointimekanismien ja tietosuojasinettien ja -merkkien käyttöönottoa sen osoittamiseksi, että rekisterinpitäjät ja henkilötietojen käsittelijät noudattavat tietojenkäsittelytoimissaan kyseistä asetusta. Digitaalisia elementtejä sisältävässä tuotteessa voi olla sulautettuna tällaisia tietojenkäsittelytoimia. Sisäänrakennettu ja oletusarvoinen tietosuoja sekä kyberturvallisuus yleensä ovat asetuksen (EU) 2016/679 keskeisiä osatekijöitä. Tässä asetuksessa säädetyillä olennaisilla kyberturvavaatimuksilla suojataan kuluttajia ja organisaatioita kyberturvariskeiltä, joten niillä pyritään myös osaltaan parantamaan henkilötietojen ja yksityisyyden suojaa. Kyberturvanäkökohtien standardoinnin ja sertifioinnin synergioihin olisi pyrittävä yhteistyössä komission, eurooppalaisten standardointiorganisaatioiden, Euroopan unionin kyberturvallisuusviraston (ENISA), asetuksella (EU) 2016/679 perustetun Euroopan tietosuojaneuvoston (EDPB) ja kansallisten tietosuojaviranomaisten välillä. Tämän asetuksen ja unionin tietosuojalainsäädännön välisiä synergioita olisi luotava myös markkinavalvonnan ja täytäntöönpanon alalla. Tätä varten tämän asetuksen nojalla nimettyjen kansallisten markkinavalvontaviranomaisten olisi tehtävä yhteistyötä unionin tietosuojalainsäädännön noudattamista valvovien viranomaisten kanssa. Viimeksi mainituilla olisi myös oltava pääsy tehtäviensä suorittamisen kannalta merkityksellisiin tietoihin.

(18) Siltä osin kuin niiden tuotteet kuuluvat tämän asetuksen soveltamisalaan, [asetuksen (EU) N:o 910/2014, sellaisena kuin se on muutettuna ehdotuksella asetukseksi asetuksen (EU) N:o 910/2014 muuttamisesta eurooppalaisen digitaalisen identiteetin kehyksen osalta] 6 a artiklan 2 kohdassa tarkoitettujen eurooppalaisten digitaalisen identiteetin lompakoiden liikkeeseenlaskijoiden olisi noudatettava sekä tässä asetuksessa vahvistettuja horisontaalisia olennaisia vaatimuksia että [asetuksen (EU) N:o 910/2014 6 a artiklassa, sellaisena kuin se on muutettuna ehdotuksella asetukseksi asetuksen (EU) N:o 910/2014 muuttamisesta eurooppalaisen digitaalisen identiteetin kehyksen osalta] vahvistettuja tietoturvavaatimuksia. Vaatimusten noudattamisen helpottamiseksi lompakkojen liikkeeseenlaskijoiden olisi voitava osoittaa, että eurooppalaiset digitaalisen identiteetin lompakot ovat molempien säädösten vaatimusten mukaisia, sertifioimalla tuotteensa sellaisen asetuksella (EU) 2019/881 perustetun eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaisesti, jonka osalta komissio on täytäntöönpanosäädöksellä määrittänyt vaatimustenmukaisuusolettaman tämän asetuksen suhteen, siltä osin kuin sertifikaatti tai sen osat kattavat kyseiset vaatimukset.

(18 a) Jäsenvaltioiden olisi digitaalisia elementtejä sisältäviä tuotteita hankkiessaan asetettava etusijalle tuotteet, joilla on korkea kyberturvataso ja asianmukainen tukikausi, jotta ne voivat parantaa kykyään torjua kyberuhkia sekä varmistaa julkisten resurssien tehokkaan käytön. Lisäksi jäsenvaltioiden olisi varmistettava, että valmistajat korjaavat mahdollisimman nopeasti haavoittuvuudet, jotka vaikuttavat julkisesti hankittuihin digitaalisia elementtejä sisältäviin tuotteisiin, ja ensisijaisena asiana, jos kyseisten tuotteiden riskiprofiili on merkittävä.

(19) Tietyt tässä asetuksessa säädetyt tehtävät olisi asetuksen (EU) 2019/881 3 artiklan 2 kohdan mukaisesti annettava ENISAlle. ENISAn olisi erityisesti saatava valmistajilta ilmoitukset aktiivisesti hyödynnetyistä digitaalisia elementtejä sisältäviin tuotteisiin sisältyvistä haavoittuvuuksista sekä merkittävistä poikkeamista, jotka vaikuttavat kyseisten tuotteiden tietoturvaan. Pakollista raportointia sovelletaan haavoittuvuuksiin, jotka koskevat tapauksia, joissa toimija ajaa haitallista koodia digitaalisia elementtejä sisältävässä tuotteessa tietoturvaloukkauksen aikaansaamiseksi, esimerkiksi hyödyntämällä tunnistus- ja todentamistoimintojen heikkouksia. Pakollista ilmoittamista koskevia vaatimuksia ei pitäisi soveltaa sellaisiin haavoittuvuuksiin, jotka havaitaan ilman tahallista aikomusta vilpittömässä mielessä tehtävää testausta, tutkimusta, korjaamista tai paljastamista varten järjestelmän omistajan ja sen käyttäjien tietoturvan tai turvallisuuden edistämiseksi. Digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttava merkittävä poikkeama koskee kyberturvapoikkeamaa, joka voi vaikuttaa vakavasti valmistajan kehitys-, tuotanto- ja ylläpitoprosesseihin, mikä voi puolestaan vaikuttaa merkittävästi sen tuotteiden tietoturvaan. Tällainen merkittävä poikkeama voisi olla esimerkiksi tilanne, jossa hyökkääjä on onnistunut vaarantamaan julkaisukanavan, jonka kautta valmistaja julkaisee käyttäjille tietoturvapäivityksiä.

(19 a) ENISAn olisi myös toimitettava nämä ilmoitukset edelleen asiaan liittyville tietoturvaloukkauksiin reagoiville ryhmille (CSIRT-yksiköt) tai direktiivin (EU) 2022/2555 [X artiklan] mukaisesti nimetyille jäsenvaltioiden keskitetyille yhteyspisteille ja ilmoitettava haavoittuvuudesta asianomaisille markkinavalvontaviranomaisille. ENISAn olisi varmistettava, että nämä ilmoitukset vastaanotetaan, tallennetaan ja lähetetään suojattujen kanavien kautta ja että käytössä on selkeät säännöt siitä, keillä on niihin pääsy, ja järjestelyt niiden lähettämiseksi edelleen. ENISAn olisi varmistettava näiden ilmoitusten luottamuksellisuus erityisesti sellaisten haavoittuvuuksien osalta, joita varten ei vielä ole saatavilla tietoturvapäivitystä. ENISAn olisi keräämiensä tietojen perusteella laadittava joka toinen vuosi tekninen raportti digitaalisia elementtejä sisältävien tuotteiden kyberriskien uusista suuntauksista ja toimitettava se direktiivissä (EU) 2022/2555 tarkoitetulle yhteistyöryhmälle. Lisäksi ENISAn olisi asiantuntemuksensa ja toimeksiantonsa vuoksi voitava tukea tämän asetuksen täytäntöönpanoprosessia. Sen olisi erityisesti voitava ehdottaa markkinavalvontaviranomaisten yhteisiä toimia saatuaan tietoa digitaalisia elementtejä sisältävien tuotteiden mahdollisista tämän asetuksen vastaisuuksista, joita ilmenee useissa jäsenvaltioissa, tai määrittää tuoteluokkia, joiden osalta olisi järjestettävä samanaikaisia koordinoituja valvontatoimia. Poikkeuksellisissa olosuhteissa ENISAn olisi komission pyynnöstä voitava tehdä arviointeja tietyistä digitaalisia elementtejä sisältävistä tuotteista, jotka aiheuttavat merkittävän kyberturvariskin, jos sisämarkkinoiden moitteettoman toiminnan säilyttämiseksi tarvitaan välittömiä toimia.

(20) Digitaalisia elementtejä sisältävissä tuotteissa olisi oltava CE-merkintä, joka osoittaa näkyvästi, helposti luettavasti ja pysyvästi niiden olevan tämän asetuksen mukaisia, jotta ne voivat liikkua vapaasti sisämarkkinoilla. Jäsenvaltiot eivät saisi perusteettomasti asettaa esteitä sellaisten digitaalisia elementtejä sisältävien tuotteiden markkinoille saattamiselle, jotka ovat tässä asetuksessa vahvistettujen vaatimusten mukaisia ja joissa on CE-merkintä. Jäsenvaltiot eivät myöskään saisi estää digitaalisia elementtejä sisältävien tuotteiden prototyyppien esittelyä ja käyttöä messuilla, näyttelyissä ja esittelytilaisuuksissa tai vastaavissa tapahtumissa.

(21) Sen varmistamiseksi, että valmistajat voivat julkaista ohjelmistoja testaustarkoituksiin ennen tuotteidensa vaatimustenmukaisuuden arviointia, jäsenvaltioiden ei pitäisi estää keskeneräisten ohjelmistojen, kuten alfaversioiden, beetaversioiden tai julkaisuehdokkaiden, asettamista saataville muuna kuin tuotantoversiona edellyttäen, että versio on saatavilla vain niin kauan kuin on tarpeen sen testaamiseksi ja palautteen keräämiseksi. Valmistajien olisi varmistettava, että näiden edellytysten mukaisesti saataville asetettavat ohjelmistot julkaistaan vasta riskinarvioinnin jälkeen ja että ne täyttävät mahdollisimman suuressa määrin tässä asetuksessa säädetyt digitaalisia elementtejä sisältävien tuotteiden ominaisuuksiin liittyvät tietoturvavaatimukset. Valmistajien olisi mahdollisimman suuressa määrin täytettävä myös haavoittuvuuksien käsittelyä koskevat vaatimukset. Valmistajien ei pitäisi pakottaa käyttäjiä päivittämään ohjelmistojaan versioihin, jotka on julkaistu ainoastaan testaustarkoituksiin.

(22) Sen varmistamiseksi, että digitaalisia elementtejä sisältävät tuotteet eivät markkinoille saatettaessa aiheuta kyberturvariskejä yksityishenkilöille ja organisaatioille, tällaisille tuotteille olisi vahvistettava olennaiset vaatimukset. Jos tuotteita myöhemmin muutetaan joko fyysisesti tai digitaalisesti tavalla, jota valmistaja ei ole ennakoinut ja jonka johdosta ne eivät mahdollisesti enää täytä niitä koskevia olennaisia vaatimuksia, muutos olisi katsottava merkittäväksi. Esimerkiksi tarpeellisia tietoturvapäivityksiä, ohjelmistopäivityksiä tai -korjauksia, kuten lähdekoodin pieniä muutoksia, joilla voidaan parantaa tietoturvaa, ei pitäisi katsoa merkittäviksi muutoksiksi edellyttäen, että niillä ei muuteta jo markkinoille saatettua tuotetta siten, että se voi vaikuttaa sovellettavien vaatimusten täyttymiseen tai muuttaa käyttötarkoitusta, jota varten tuote on arvioitu. Tämä koskee yleensä sellaisia uusia ohjelmistoversioita, joilla pyritään parantamaan suorituskykyä ja korjaamaan haavoittuvuuksia. Vähäisiä toimintopäivityksiä, joita ovat esimerkiksi visuaaliset parannukset, uusien kielten lisääminen käyttöliittymään tai uusien kuvakkeiden lisääminen, ei yleensä pitäisi katsoa merkittäviksi muutoksiksi. Kuten fyysisten korjausten tai muutosten tapauksessa, digitaalisia elementtejä sisältävän tuotteen olisi katsottava olevan merkittävästi muutettu ohjelmistomuokkauksella, jos ohjelmistopäivitys muuttaa tuotteen alkuperäisiä tarkoitettuja toimintoja, tuotteen tyyppiä tai tuotteen suorituskykyä eikä näitä muutoksia ole otettu huomioon alkuperäisessä riskinarvioinnissa tai vaaran luonne on muuttunut tai riskitaso noussut ohjelmistopäivityksen vuoksi, mistä on yleensä kyse ohjelmistojen uusissa versioissa. Komission olisi annettava ohjeet siitä, miten merkittävät muutokset määritetään.

(23) Unionin yhdenmukaistamislainsäädännön soveltamisalaan kuuluvien tuotteiden osalta yleisesti vahvistetun merkittävän muutoksen käsitteen mukaisesti aina, kun tapahtuu merkittävä muutos, joka voi vaikuttaa siihen, onko tuote tämän asetuksen mukainen, tai kun tuotteen käyttötarkoitus muuttuu, on asianmukaista, että digitaalisia elementtejä sisältävän tuotteen vaatimustenmukaisuus todennetaan ja että sille tehdään tarvittaessa uusi vaatimustenmukaisuuden arviointi. Jos valmistaja suorittaa vaatimustenmukaisuuden arvioinnin, johon osallistuu kolmas osapuoli, muutoksista, jotka voivat johtaa merkittävään muutokseen, olisi ilmoitettava kolmannelle osapuolelle.

(24) Digitaalisia elementtejä sisältävän tuotteen asetuksessa [ekologista suunnittelua koskeva asetus] määritelty kunnostaminen, ylläpito ja korjaaminen ei välttämättä johda tuotteen merkittävään muutokseen esimerkiksi kun aiottu käyttötarkoitus ja toiminnallisuus ei muutu eikä riskitasoon kohdistu vaikutusta. Valmistajan suorittama tuoteparannus voi kuitenkin johtaa muutoksiin tuotteen rakenteessa ja toteuttamistavassa ja siten vaikuttaa aiottuun käyttötarkoitukseen ja siihen, onko tuote tässä asetuksessa säädettyjen vaatimusten mukainen.

(25) Digitaalisia elementtejä sisältävää tuotetta olisi pidettävä kriittisenä, jos tuotteen mahdollisten kyberturvahaavoittuvuuksien hyödyntämisen kielteinen vaikutus voi olla vakava esimerkiksi kyberturvallisuuteen liittyvän toiminnon tai aiotun käyttötarkoituksen perusteella. Erityisesti sellaisten digitaalisia elementtejä sisältävien tuotteiden haavoittuvuudet, joissa on kyberturvallisuuteen liittyviä toimintoja, kuten suojattuja elementtejä, voivat johtaa tietoturvaongelmien leviämiseen koko toimitusketjussa. Kyberturvapoikkeaman vaikutusten vakavuus voi lisääntyä myös, kun otetaan huomioon tuotteen aiottu käyttötarkoitus, kuten käyttö teollisessa ympäristössä tai direktiivin (EU) 2022/2555 liitteessä [liite I] tarkoitetun keskeisen toimijan toiminnassa tai sellaisten kriittisten tai arkaluonteisten toimintojen suorittamisessa, joilla on vaikutuksia terveyteen, turvallisuuteen tai perusoikeuksiin.

(26) Digitaalisia elementtejä sisältäviin kriittisiin tuotteisiin olisi sovellettava tiukempia vaatimustenmukaisuuden arviointimenettelyjä, mutta kuitenkin oikeasuhtaisesti. Tätä varten digitaalisia elementtejä sisältävät kriittiset tuotteet olisi jaettava kahteen luokkaan, jotka kuvastavat näihin tuoteluokkiin liittyvän kyberturvariskin tasoa. Luokan II tuotteisiin liittyvä mahdollinen kyberturvapoikkeama voisi johtaa suurempiin kielteisiin vaikutuksiin kuin luokan I tuotteisiin liittyvä poikkeama esimerkiksi niiden kyberturvallisuuteen liittyvän toiminnan luonteen tai riskialttiissa ympäristöissä suunnitellun käytön vuoksi, ja siksi ne olisi alistettava tiukempaan vaatimustenmukaisuuden arviointimenettelyyn.

(27) Tämän asetuksen liitteessä III tarkoitetut digitaalisia elementtejä sisältävien kriittisten tuotteiden luokat olisi ymmärrettävä sellaisten tuotteiden luokiksi, joilla on jokin tämän asetuksen liitteessä III luetellun tyyppinen ydintoiminto. Tämän asetuksen liitteessä III luetellaan esimerkiksi tuotteet, jotka määritellään ydintoiminnoillaan luokkaan I kuuluviksi yleiskäyttöön tarkoitetuiksi mikroprosessoreiksi. Tästä seuraa, että yleiskäyttöisille mikroprosessoreille on tehtävä pakollinen kolmannen osapuolen suorittama vaatimustenmukaisuuden arviointi. Tämä ei koske muita tuotteita, joita ei nimenomaisesti mainita tämän asetuksen liitteessä III, mutta joihin voi sisältyä yleiskäyttöön tarkoitettu mikroprosessori. Komission olisi annettava [6 kuukauden kuluessa tämän asetuksen voimaantulosta] delegoituja säädöksiä, joissa täsmennetään liitteessä III esitetyt I ja II luokkaan kuuluvien tuoteryhmien määritelmät. Jotta voidaan varmistaa oikeudellinen selkeys ja oikeusvarmuus sekä ennustettavuus, jotta sidosryhmät voivat noudattaa tätä asetusta, liitteessä III olevaa luetteloa olisi muutettava aikaisintaan kahden vuoden kuluttua tämän asetuksen voimaantulosta ja sen jälkeen uudelleen aikaisintaan kahden vuoden kuluttua. Ennen asiaankuuluvien delegoitujen säädösten hyväksymistä komission olisi kehitettävä prosessi, jossa kaikki asiaankuuluvat sidosryhmät, mukaan lukien valmistajat ja käyttäjät, voivat yhteistyöhön perustuvassa prosessissa tarkastella kriittiseksi tuotteeksi ehdokkaana olevaa tuotetta ja arvioida tuotteeseen liittyvistä mahdollisista kyberturvaongelmista aiheutuvaa tietoturvariskiä, sitä, pienentäisikö tuotteen kriittiseksi nimeäminen todennäköisesti kyseistä riskiä ja kuinka paljon se todennäköisesti pienentäisi sitä, sekä tuotteen kriittiseksi nimeämisestä aiheutuvia kustannuksia.

(27 a) Komission olisi perustettava kyberkestävyyttä käsittelevä asiantuntijaryhmä, jäljempänä 'asiantuntijaryhmä', jolla on laaja ja monimuotoinen jäsenistö. Asiantuntijaryhmän olisi tuettava komissiota, jotta voidaan varmistaa tämän asetuksen asianmukainen täytäntöönpano, esimerkiksi antamalla komissiolle neuvoja liitteessä III olevaan kriittisten tuotteiden luetteloon mahdollisesti tehtävistä muutoksista tai analysoimalla, millä tavoin eurooppalaiset ja kansainväliset standardit voivat mahdollistaa tämän asetuksen olennaisten vaatimusten noudattamisen. Komission olisi kuultava asiantuntijaryhmää ja toteutettava julkisia kuulemisia valmistellessaan tämän asetuksen mukaisia delegoituja säädöksiä ja täytäntöönpanosäädöksiä sen varmistamiseksi, että kaikki sidosryhmät voivat antaa tarvittavan panoksen.

(28) Tällä asetuksella puututaan kohdennetusti kyberturvallisuusriskeihin. Digitaalisia elementtejä sisältävät tuotteet voivat kuitenkin aiheuttaa muita turvallisuusriskejä, jotka eivät aina liity kyberturvallisuuteen mutta voivat olla seurausta tietoturvaloukkauksesta. Näitä riskejä olisi edelleen säänneltävä muulla asiaa koskevalla unionin tuotelainsäädännöllä. Jos muuta unionin yhdenmukaistamislainsäädäntöä ei voida soveltaa, niihin olisi sovellettava asetusta (EU) 2023/988. Kun otetaan huomioon tämän asetuksen kohdennettu luonne, poiketen siitä, mitä asetuksen (EU) 2023/988 2 artiklan 1 kohdan kolmannen alakohdan b alakohdassa säädetään, asetuksen (EU) 2023/988 III luvun 1 jakson V ja VII lukua sekä IX–XI lukua olisi sen vuoksi sovellettava digitaalisia elementtejä sisältäviin tuotteisiin tämän asetuksen soveltamisalaan kuulumattomien turvallisuusriskien osalta, jos kyseisiin tuotteisiin ei sovelleta asetuksen (EU) 2023/988 3 artiklan 25 alakohdassa tarkoitettuja unionin muussa yhdenmukaistamislainsäädännössä asetettuja erityisvaatimuksia.

(29) Asetuksen XXX[22] [tekoälyasetus] 6 artiklan mukaisesti suuririskisiksi tekoälyjärjestelmiksi luokiteltujen digitaalisia elementtejä sisältävien tuotteiden, jotka kuuluvat tämän asetuksen soveltamisalaan, olisi täytettävä tässä asetuksessa vahvistetut olennaiset vaatimukset. Kun kyseiset suuririskiset tekoälyjärjestelmät täyttävät tämän asetuksen olennaiset vaatimukset, niiden olisi katsottava olevan asetuksen [tekoälyasetus] [15 artiklassa] vahvistettujen kyberturvavaatimusten mukaisia siltä osin kuin kyseiset vaatimukset kuuluvat tämän asetuksen nojalla annetun EU-vaatimustenmukaisuusvakuutuksen tai sen osien piiriin. Tämän asetuksen soveltamisalaan kuuluvan digitaalisia elementtejä sisältävän ja suuririskiseksi tekoälyjärjestelmäksi luokitellun tuotteen olennaisiin kyberturvavaatimuksiin liittyvien vaatimustenmukaisuuden arviointimenettelyjen osalta olisi sovellettava pääsääntöisesti asetuksen [tekoälyasetus] 43 artiklan asiaankuuluvia säännöksiä tämän asetuksen vastaavien säännösten sijasta. Tämä pääsääntö ei kuitenkaan saisi johtaa tämän asetuksen soveltamisalaan kuuluvien digitaalisia elementtejä sisältävien kriittisten tuotteiden tarvittavan varmuustason alenemiseen. Sen vuoksi tästä pääsäännöstä poiketen suuririskisiin tekoälyjärjestelmiin, jotka kuuluvat asetuksen [tekoälyasetus] soveltamisalaan ja jotka luokitellaan myös tämän asetuksen mukaisiksi digitaalisia elementtejä sisältäviksi kriittisiksi tuotteiksi ja joihin sovelletaan asetuksen [tekoälyasetus] liitteessä VI tarkoitettua sisäiseen valvontaan perustuvaa vaatimustenmukaisuuden arviointimenettelyä, olisi sovellettava tämän asetuksen vaatimustenmukaisuuden arviointia koskevia säännöksiä siltä osin kuin kyse on tämän asetuksen olennaisista vaatimuksista. Tässä tapauksessa kaikkiin muihin asetuksen [tekoälyasetus] kattamiin näkökohtiin olisi sovellettava asetuksen [tekoälyasetus] liitteessä VI vahvistettuja sisäiseen valvontaan perustuvaa vaatimustenmukaisuuden arviointia koskevia säännöksiä.

(30) Euroopan parlamentin ja neuvoston asetuksen (EU) 2023/1230[23] soveltamisalaan kuuluvien konetuotteiden, jotka ovat tässä asetuksessa tarkoitettuja digitaalisia elementtejä sisältäviä tuotteita ja joille on annettu vaatimustenmukaisuusvakuutus tämän asetuksen pohjalta, olisi katsottava olevan asetuksen (EU) 2023/1230 [liitteessä III olevassa 1.1.9 ja 1.2.1 kohdassa] vahvistettujen olennaisten terveys- ja turvallisuusvaatimusten mukaisia korruptoitumiselta suojautumisen sekä ohjausjärjestelmien turvallisuuden ja luotettavuuden osalta, jos näiden vaatimusten täyttyminen osoitetaan tämän asetuksen nojalla annetulla EU‑vaatimustenmukaisuusvakuutuksella.

(31) Asetus [ehdotus eurooppalaista terveysdata-avaruutta koskevaksi asetukseksi] täydentää tässä asetuksessa säädettyjä olennaisia vaatimuksia. Asetuksen [eurooppalaista terveysdata-avaruutta koskeva asetusehdotus] soveltamisalaan kuuluvien sähköisten potilaskertomusjärjestelmien, jäljempänä ’sähköiset potilastietojärjestelmät’, jotka ovat tässä asetuksessa tarkoitettuja digitaalisia elementtejä sisältäviä tuotteita, olisi sen vuoksi täytettävä myös tässä asetuksessa säädetyt olennaiset vaatimukset. Niiden valmistajien olisi osoitettava vaatimustenmukaisuus asetuksen [ehdotus eurooppalaisesta terveysdata-avaruudesta] mukaisesti. Vaatimusten noudattamisen helpottamiseksi valmistajat voivat laatia yksittäisen teknisen dokumentaation, joka sisältää molemmissa säädöksissä vaaditut tiedot. Koska tämä asetus ei kata palveluna tarjottavia ohjelmistoja (SaaS) sellaisenaan, SaaS-lisenssillä tarjottavat sähköiset potilastietojärjestelmät eivät kuulu tämän asetuksen soveltamisalaan. Vastaavasti organisaation sisäisesti kehitetyt ja käytettävät sähköiset potilastietojärjestelmät eivät kuulu tämän asetuksen soveltamisalaan, koska niitä ei saateta markkinoille.

(32) Sen varmistamiseksi, että digitaalisia elementtejä sisältävät tuotteet ovat tietoturvallisia sekä niiden markkinoille saattamisen ajankohtana että koko niiden elinkaaren ajan, on tarpeen vahvistaa haavoittuvuuksien käsittelyä koskevat olennaiset vaatimukset ja digitaalisia elementtejä sisältävien tuotteiden ominaisuuksiin liittyvät olennaiset kyberturvavaatimukset. Valmistajien olisi täytettävä kaikki haavoittuvuuksien käsittelyn olennaiset vaatimukset koko tukikauden ajan, mutta niiden olisi myös määritettävä, mitkä muut tuotteen ominaisuuksiin liittyvät olennaiset vaatimukset ovat merkityksellisiä kyseisen tuotetyypin kannalta. Tätä varten valmistajien olisi suoritettava digitaalisia elementtejä sisältävään tuotteeseen liittyvien kyberturvariskien arviointi kyseeseen tulevien riskien ja olennaisten vaatimusten tunnistamiseksi, jotta ne voisivat asettaa tuotteensa saataville ilman tiedossa olevia hyödynnettävissä olevia haavoittuvuuksia, jotka voisivat vaikuttaa kyseisten tuotteiden tietoturvaan, ja käyttää asianmukaisia yhdenmukaistettuja standardeja, yhteisiä eritelmiä tai kansainvälisiä standardeja.

(32 a) Valmistajien olisi määritettävä tukikausi, jonka ajan ne varmistavat, että haavoittuvuudet käsitellään, ottaen asianmukaisesti huomioon erilaiset kriteerit, mukaan lukien tuotteen odotettu käyttöikä, itse tuotteen luonne, käyttöympäristön saatavuus, käyttäjien, erityisesti kuluttajien, odotukset ja mahdollisuuksien mukaan tuotteeseen integroitujen muiden keskeisten komponenttien tukikausi. Valmistajien olisi varmistettava, että tukikausi vastaa asiaankuuluvasti tarvetta edistää kyberturvallisuutta unionin markkinoilla ja että tukikausi asetetaan ottaen asianmukaisesti huomioon ajanjakso, jonka aikana digitaalisia elementtejä sisältävän tuotteen odotetaan olevan saatavilla markkinoilla. Markkinavalvontaviranomaisten olisi varmistettava ennakoivasti, että valmistajat soveltavat näitä kriteerejä riittävällä tavalla. Markkinavalvontaviranomaisten ja komission olisi kerättävä ja analysoitava tietoja valmistajien asettamista tukikausista ja tuotteiden odotetusta käyttöiästä sen varmistamiseksi, että tällä asetuksella saavutetaan sen tavoite, joka koskee digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuuden edistämistä. Tällaisia analyysejä olisi hyödynnettävä muun muassa arvioinnissa, jonka komissio tekee tästä asetuksesta sen jälkeen, kun sitä on alettu soveltaa.

(32 b) Valmistajien olisi varmistettava, että digitaalisia elementtejä sisältävissä tuotteissa tehdään selvä ero tietoturva- ja toimintopäivitysten välillä, jos tämä on teknisesti toteutettavissa. Tietoturvapäivitykset, joiden tarkoituksena on alentaa riskitasoa tai korjata mahdolliset haavoittuvuudet, olisi asennettava automaattisesti, erityisesti kuluttajatuotteiden osalta. Käyttäjillä olisi oltava mahdollisuus poistaa tämä ominaisuus käytöstä selkeällä ja helppokäyttöisellä mekanismilla. Kun valmistaja ei enää varmista, että digitaalisia elementtejä sisältävän tuotteen haavoittuvuudet käsitellään, sen olisi tiedotettava asiasta käyttäjille yksinkertaisella ja selkeällä tavalla, esimerkiksi näyttämällä käyttäjäystävällisen ilmoituksen.

(32 c) Jos valmistajat asettavat alle viisi vuotta kestävän tukikauden eivätkä enää tarjoa digitaalisia elementtejä sisältävän tuotteen haavoittuvuuksien käsittelyä, niiden olisi voitava asettaa lähdekoodinsa sellaisten yritysten saataville, jotka haluavat tarjota tietoturvapäivityksiä ja muita vastaavia palveluja. Tällainen käyttöoikeus olisi annettava ainoastaan osana sopimusjärjestelyä, jolla suojataan digitaalisia elementtejä sisältävän tuotteen omistusoikeus ja estetään lähdekoodin levittäminen suurelle yleisölle, paitsi jos kyseinen koodi on jo asetettu saataville vapaalla ja avoimen lähdekoodin lisenssillä.

(33) Sisämarkkinoille saatettavien digitaalisia elementtejä sisältävien tuotteiden tietoturvan parantamiseksi on tarpeen vahvistaa olennaiset vaatimukset. Nämä olennaiset vaatimukset eivät saisi vaikuttaa direktiivillä (EU) 2022/2555 perustettuihin kriittisiä toimitusketjuja koskeviin koordinoituihin EU:n riskinarviointeihin, joissa otetaan huomioon sekä tekniset että tarvittaessa muut kuin tekniset riskitekijät, kuten kolmannen maan asiaton vaikuttaminen laitteisto- ja ohjelmistotoimittajiin. Lisäksi se ei saisi rajoittaa jäsenvaltioiden oikeuksia asettaa lisävaatimuksia, joissa otetaan häiriönsietokyvyn parantamiseksi huomioon muita kuin teknisiä tekijöitä, mukaan lukien suosituksessa (EU) 2019/534, 5G-verkkojen tietoturvaa koskevassa unionin laajuisessa koordinoidussa riskinarvioinnissa ja direktiivissä (EU) 2022/2555 tarkoitetun verkko- ja tietoturva-alan yhteistyöryhmän hyväksymässä 5G‑kyberturvallisuutta koskevassa EU:n välineistössä määritellyt tekijät.

(34) Jotta kansalliset CSIRT-yksiköt ja direktiivin (EU) 2022/2555 mukaisesti nimetyt keskitetyt yhteyspisteet saavat tehtäviensä suorittamiseksi ja keskeisten ja tärkeiden toimijoiden kyberturvan yleisen tason nostamiseksi tarvitsemansa tiedot ja jotta varmistettaisiin markkinavalvontaviranomaisten toiminnan tuloksellisuus, digitaalisia elementtejä sisältävien tuotteiden valmistajien olisi ilmoitettava ENISAlle aktiivisesti hyödynnetyistä haavoittuvuuksista. Koska useimpia digitaalisia elementtejä sisältäviä tuotteita markkinoidaan koko sisämarkkinoilla, jokainen digitaalisia elementtejä sisältävien tuotteiden hyväksikäytetty haavoittuvuus olisi katsottava uhkaksi sisämarkkinoiden toiminnalle. Valmistajien olisi ilmoitettava korjatuista haavoittuvuuksista direktiivin (EU) 2022/2555 nojalla perustettuun Euroopan haavoittuvuustietokantaan, jota hallinnoi ENISA▌. ENISAn olisi myös julkaistava ilmoitetut haavoittuvuudet Euroopan haavoittuvuustietokannassa, ja sillä olisi oltava käytössä julkaisuprosessia koskeva asianmukainen menettely, jotta valmistajille annetaan aikaa kehittää tarvittavat tietoturvapäivitykset ja käyttäjille annetaan aikaa tehdä ne tai toteuttaa muita korjaavia tai lieventäviä toimenpiteitä. Euroopan haavoittuvuustietokannan olisi autettava valmistajia havaitsemaan tiedossa olevat hyödynnettävissä olevat haavoittuvuudet, jotka heidän tuotteistaan on löydetty, sen varmistamiseksi, että markkinoille saatetut tuotteet ovat tietoturvallisia.

(34 a) Unionin on maksimoitava sen talouden avoimuudesta saatavat hyödyt niin, että samalla minimoidaan riskit, joita aiheutuu taloudellisista riippuvuuksista suuririskisistä toimittajista, unionin taloudellista turvallisuutta koskevan yhteisen strategiakehyksen[24] avulla. Riippuvuudet digitaalisia elementtejä sisältävien kriittisten tuotteiden suuririskisistä toimittajista aiheuttavat strategisen riskin, johon olisi puututtava unionin tasolla, erityisesti kun digitaalisia elementtejä sisältävät kriittiset tuotteet on tarkoitettu direktiivissä (EU) 2022/2555 tarkoitettujen keskeisten toimijoiden käyttöön. Tällaiset riskit voivat liittyä valmistajaan sovellettavaan lainkäyttövaltaan, sen yritysomistusrakenteeseen ja määräysvaltasuhteisiin sen kolmannen maan hallitukseen, johon valmistaja on sijoittautunut, erityisesti siihen, harjoittaako maa taloudellista vakoilua ja velvoittaako sen lainsäädäntö antamaan mielivaltaisen pääsyn kaikkiin yrityksen toimintoihin tai tietoihin, mukaan lukien kaupallisesti arkaluonteiset tiedot, ja voiko se asettaa velvoitteita tiedustelutarkoituksissa ilman demokraattista valvontaa, valvontamekanismia, oikeudenmukaista menettelyä tai oikeutta hakea muutosta riippumattomalta oikeuslaitokselta. Markkinavalvontaviranomaisten ja komission olisi annettava talouden toimijoille ohjeita ja kohdennettuja suosituksia sen varmistamiseksi, että käyttöön otetaan asianmukaisia korjaavia toimia, jos on riittävä syy katsoa, että digitaalisia elementtejä sisältävä tuote aiheuttaa merkittävän kyberturvariskin tällaisten muiden kuin teknisten riskitekijöiden vuoksi.

(35) Valmistajien olisi myös ilmoitettava ENISAlle kaikista merkittävistä poikkeamista, jotka vaikuttavat digitaalisia elementtejä sisältävän tuotteen tietoturvaan. Sen estämättä, mitä direktiivissä (EU) 2022/2555 säädetään poikkeamien raportointivelvoitteista keskeisten ja tärkeiden toimijoiden osalta, on ratkaisevan tärkeää, että ENISA, jäsenvaltioiden direktiivin (EU) 2022/2555 [X artiklan] mukaisesti nimeämät keskitetyt yhteyspisteet ja markkinavalvontaviranomaiset saavat digitaalisia elementtejä sisältävien tuotteiden valmistajilta tiedot, joiden avulla ne voivat arvioida näiden tuotteiden tietoturvallisuuden. Jotta käyttäjät voisivat reagoida nopeasti digitaalisia elementtejä sisältävien tuotteiden tietoturvaan vaikuttaviin merkittäviin poikkeamiin, valmistajien olisi ilmoitettava poikkeamista ja tarvittaessa mahdollisista korjaavista toimenpiteistä, joita käyttäjät voivat toteuttaa poikkeaman vaikutusten lieventämiseksi, myös käyttäjilleen, esimerkiksi julkaisemalla asiaankuuluvat tiedot verkkosivustoillaan tai, jos valmistajalla on yhteys käyttäjiin ja jos se on riskien vuoksi perusteltua, ottamalla käyttäjiin suoraan yhteyttä.

(35 a) Valmistajien sekä muiden yhteisöjen ja toimijoiden olisi myös voitava raportoida ENISAlle vapaaehtoisesti muista kyberturvapoikkeamista, kyberuhista, läheltä piti -tilanteista ja muista haavoittuvuuksista.

(35 b) ENISAn olisi perustettava suojattu digitaalinen raportointimekanismi, jota olisi käytettävä keskitettynä yhteyspisteenä tässä asetuksessa vahvistettuja raportointivelvoitteita varten, jotta raportointia voidaan yksinkertaistaa valmistajien kannalta. Digitaalisia elementtejä sisältävien tuotteiden valmistajat ovat usein tilanteessa, jossa tietystä poikkeamasta on sen ominaisuuksien vuoksi raportoitava useille viranomaisille eri säädöksiin sisältyvien ilmoitusvelvoitteiden vuoksi. Mekanismi voisi mahdollisuuksien mukaan mahdollistaa sen, että muusta unionin lainsäädännöstä, kuten asetuksesta (EU) 2016/679, direktiivistä (EU) 2022/2555 ja Euroopan parlamentin ja neuvoston direktiivistä 2002/58/EY[25], johtuvat raportointivelvoitteet suoritetaan saman mekanismin kautta. Mekanismia voidaan käyttää myös valmistajien ja muiden yhteisöjen ja toimijoiden vapaaehtoisiin ilmoituksiin. ENISAn olisi varmistettava, että sillä on käytössä menettelyt turvallisuusluokiteltujen tietojen tietoturvallista ja luottamuksellista käsittelyä varten.

(35 c) Haavoittuvuuksia tutkivat toimijat ja luonnolliset henkilöt voivat joissakin jäsenvaltioissa joutua toiminnastaan rikos- ja siviilioikeudelliseen vastuuseen. Komission olisi annettava ohjeet tietoturvaa tutkivien syyttämättä jättämisestä ja vapauttamisesta siviilioikeudellisesta vastuusta tällaisen toiminnan osalta.

(36) Digitaalisia elementtejä sisältävien tuotteiden valmistajien olisi otettava käyttöön koordinoidut haavoittuvuuksien ilmoittamisperiaatteet, jotka auttaisivat yksityishenkilöitä ja eri toimijoita raportoimaan haavoittuvuuksista joko suoraan valmistajalle tai välillisesti ja pyydettäessä anonyymisti sellaisten CSIRT-yksiköiden kautta, jotka on nimetty koordinaattoriksi direktiivin (EU) 2022/2555 12 artiklan 1 kohdan mukaista koordinoitua haavoittuvuuksien julkistamisprosessia varten. Valmistajien koordinoiduissa haavoittuvuuksien ilmoittamisperiaatteissa määritellään jäsennelty prosessi, jonka avulla haavoittuvuuksista ilmoitetaan valmistajalle siten, että se voi diagnosoida haavoittuvuuden ja korjata sen ennen kuin yksityiskohtaisia tietoja haavoittuvuudesta paljastetaan kolmansille osapuolille tai yleisölle. Kun otetaan huomioon, että tietoa laajalti käytettyjen digitaalisia elementtejä sisältävien tuotteiden hyväksikäytettävissä olevista haavoittuvuuksista saatetaan myydä korkeaan hintaan pimeillä markkinoilla, tällaisten tuotteiden valmistajien olisi voitava käyttää osana koordinoituja haavoittuvuuksien ilmoittamisperiaatteitaan erityisiä ohjelmia, joilla luodaan kannustimia haavoittuvuuksista ilmoittamiseen varmistamalla, että yksityishenkilöt ja eri toimijat saavat tunnustusta ja korvauksen ilmoituksistaan (ns. bug bounty -ohjelmat).

(36 a) Jäsenvaltioiden ja ENISAn olisi varmistettava, että julkiset elimet eivät käytä tämän asetuksen mukaisesti ilmoitettuja haavoittuvuuksia tiedustelu-, valvonta- tai hyökkäystarkoituksiin. 

(37) Haavoittuvuusanalyysin helpottamiseksi valmistajien olisi yksilöitävä ja dokumentoitava digitaalisia elementtejä sisältävien tuotteidensa komponentit muun muassa laatimalla ohjelmistosisältöluettelo. Ohjelmistosisältöluettelosta ohjelmistojen valmistajat, ostajat ja käyttäjät voivat saada tietoja, jotka parantavat heidän ymmärrystään toimitusketjusta, mistä koituu monia hyötyjä, varsinkin kun se auttaa valmistajia ja käyttäjiä jäljittämään ilmaantuneita uusia haavoittuvuuksia ja riskejä. Valmistajille on erityisen tärkeää varmistaa, että niiden tuotteet eivät sisällä kolmansien osapuolten kehittämiä haavoittuvia komponentteja. Valmistajia ei kuitenkaan saisi velvoittaa julkistamaan ohjelmistosisältöluetteloa, koska tällä voisi olla tahattomia vaikutuksia niiden digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuuteen.

(38) Jotta tässä asetuksessa säädettyjen vaatimusten täyttymisen arviointi olisi helpompaa, olisi oltava olemassa vaatimustenmukaisuusolettama niiden digitaalisia elementtejä sisältävien tuotteiden osalta, jotka ovat sellaisten yhdenmukaistettujen standardien mukaisia, jotka muuntavat tämän asetuksen olennaiset vaatimukset yksityiskohtaisiksi teknisiksi eritelmiksi ja jotka on hyväksytty Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1025/2012[26] mukaisesti. Asetuksessa (EU) N:o 1025/2012 säädetään yhdenmukaistetuista standardeista esitettäviä vastalauseita koskevasta menettelystä tapauksissa, joissa kyseiset standardit eivät kokonaan täytä tämän asetuksen vaatimuksia. Standardointiprosessissa olisi varmistettava etujen tasapuolinen edustus ja kansalaisyhteiskunnan sidosryhmien, myös kuluttajajärjestöjen, tehokas osallistuminen. Myös kansainväliset standardit olisi otettava huomioon, jotta voidaan yksinkertaistaa yhdenmukaistettujen standardien kehittämistä ja tämän asetuksen täytäntöönpanoa sekä vähentää muita kuin tulleihin liittyviä kaupan teknisiä esteitä.

(38 a) Kun otetaan huomioon tämän asetuksen laaja soveltamisala, yhdenmukaistettujen standardien kehittäminen nopeasti on merkittävä haaste. Tämän asetuksen onnistuneen täytäntöönpanon varmistamiseksi komission olisi varmistettava, että yhdenmukaistetut standardit ovat käytössä tämän asetuksen soveltamispäivään mennessä.

(39) Asetuksella (EU) 2019/881 perustetaan vapaaehtoinen eurooppalainen kyberturvallisuuden sertifiointikehys tieto- ja viestintäteknisille tuotteille, prosesseille ja palveluille. Eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät voivat tarjota käyttäjille yhteisen luotettavuuskehyksen tämän asetuksen soveltamisalaan kuuluvien, digitaalisia elementtejä sisältävien tuotteiden käyttöä varten. Niinpä tällä asetuksella olisi luotava synergioita asetuksen (EU) 2019/881 kanssa. Jotta tässä asetuksessa säädettyjen vaatimusten täyttymisen arviointi olisi helpompaa, digitaalisia elementtejä sisältävien tuotteiden, jotka on sertifioitu tai joista on annettu vaatimustenmukaisuusvakuutus asetuksen (EU) 2019/881 mukaisessa ja komission täytäntöönpanosäädöksellä yksilöimässä kyberturvajärjestelmässä, katsotaan olevan tämän asetuksen olennaisten vaatimusten mukaisia siltä osin kuin kyberturvallisuussertifikaatti tai vaatimustenmukaisuusvakuutus tai niiden osat kattavat kyseiset vaatimukset. Digitaalisia elementtejä sisältävien tuotteiden uusien eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien tarvetta olisi arvioitava tämän asetuksen valossa. Mahdollisissa tulevissa eurooppalaisissa kyberturvallisuuden sertifiointijärjestelmissä, jotka kattavat digitaalisia elementtejä sisältäviä tuotteita, olisi otettava huomioon tässä asetuksessa vahvistetut olennaiset vaatimukset ja helpotettava tämän asetuksen noudattamista. Komissiolle olisi siirrettävä valta määritellä delegoiduilla säädöksillä eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät, joita voidaan käyttää osoittamaan tässä asetuksessa säädettyjen olennaisten vaatimusten täyttyminen digitaalisia elementtejä sisältävien tuotteiden osalta. Lisäksi valmistajien tarpeettoman hallinnollisen taakan välttämiseksi valmistajia ei saisi velvoittaa teettämään vastaavien vaatimusten osalta tässä asetuksessa säädettyä vaatimustenmukaisuuden arviointia kolmansilla osapuolilla, jos tällaisten eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien nojalla on myönnetty varmuustason ”korotettu” tai ”korkea” kyberturvallisuussertifikaatti.

(39 a) Tämän asetuksen noudattamisen helpottamiseksi komission olisi päivitettävä unionin jatkuva työohjelma ja pyydettävä ENISAa valmistelemaan puuttuvat ehdolla olevat järjestelmät asetuksen (EU) 2019/881 48 artiklan mukaisesti.

(40) Kun [yhteisiin kriteereihin perustuvasta eurooppalaisesta kyberturvallisuuden sertifiointijärjestelmästä annettu komission täytäntöönpanoasetus XXX (EU) N:o.../...] (EUCC), joka koskee tämän asetuksen soveltamisalaan kuuluvia laitteistotuotteita, kuten laiteteknisiä turvamoduuleja ja mikroprosessoreja, tulee voimaan, komissio voi täytäntöönpanosäädöksellä täsmentää, miten EUCC luo olettaman tämän asetuksen liitteessä I tarkoitettujen olennaisten vaatimusten tai niiden osien täyttymisestä. Lisäksi tällaisessa täytäntöönpanosäädöksessä voidaan täsmentää, miten EUCC:n mukainen sertifiointi poistaa valmistajilta velvoitteen teettää vastaavien vaatimusten osalta tässä asetuksessa säädetty vaatimustenmukaisuuden arviointi kolmansilla osapuolilla.

(41) Jos yhdenmukaistettuja standardeja ei ole tai jos niissä ei oteta riittävästi huomioon tämän asetuksen olennaisia vaatimuksia, komission olisi kansainväliset standardit huomioon otettuaan voitava hyväksyä delegoiduilla säädöksillä yhteisiä eritelmiä. Tällaista vaihtoehtoa olisi pidettävä poikkeuksellisena vararatkaisuna, jos standardointiprosessi ei etene, jos asianmukaisten yhdenmukaistettujen standardien laatimisessa esiintyy aiheettomia viivästyksiä tai jos tuotokset eivät ole komission alkuperäisen pyynnön mukaisia. Tässä asetuksessa säädettyjen olennaisten vaatimusten täyttymisen arvioinnin helpottamiseksi olisi voitava olettaa, että digitaalisia elementtejä sisältävät tuotteet, jotka ovat sellaisten yhteisten eritelmien mukaisia, jotka komissio on tämän asetuksen mukaisesti hyväksynyt kyseisten vaatimusten yksityiskohtaisten teknisten eritelmien ilmaisemiseksi, täyttävät tässä asetuksessa säädetyt olennaiset vaatimukset.

(42) Valmistajien olisi laadittava EU-vaatimustenmukaisuusvakuutus, jossa annetaan tässä asetuksessa edellytetyt tiedot siitä, että digitaalisia elementtejä sisältävä tuote on tämän asetuksen olennaisten vaatimusten sekä soveltuvin osin unionin muun asiaankuuluvan yhdenmukaistamislainsäädännön, jonka piiriin tuote kuuluu, mukainen. Valmistajilta saatetaan edellyttää EU-vaatimustenmukaisuusvakuutuksen laatimista myös muun unionin lainsäädännön nojalla. Jotta voidaan varmistaa tosiasiallinen tiedonsaanti markkinavalvontaa varten, kaikkien asiaan kuuluvien unionin säädösten vaatimusten täyttymisen osalta olisi laadittava yksi ainoa EU-vaatimustenmukaisuusvakuutus. Talouden toimijoiden hallinnollisen rasitteen vähentämiseksi tällaisen kattavan EU‑vaatimustenmukaisuusvakuutuksen olisi voitava olla kooste, joka koostuu tuotetta koskevista erillisistä vaatimustenmukaisuusvakuutuksista.

(43) CE-merkintä osoittaa tuotteen vaatimustenmukaisuuden ja on näkyvä osoitus vaatimustenmukaisuuden arvioinnin koko prosessista sen laajassa merkityksessä. CE‑merkinnän yleisistä periaatteista säädetään Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 765/2008[27]. CE-merkinnän kiinnittämistä digitaalisia elementtejä sisältäviin tuotteisiin koskevat säännöt olisi annettava tässä asetuksessa. CE-merkinnän olisi oltava ainoa merkintä, joka takaa, että digitaalisia elementtejä sisältävät tuotteet ovat tämän asetuksen vaatimusten mukaisia.

(44) Jotta talouden toimijat voivat osoittaa tässä asetuksessa säädettyjen olennaisten vaatimusten täyttymisen ja jotta markkinavalvontaviranomaiset voivat varmistaa, että markkinoilla saataville asetetut digitaalisia elementtejä sisältävät tuotteet ovat näiden vaatimusten mukaisia, on tarpeen säätää vaatimustenmukaisuuden arviointimenettelyistä. Euroopan parlamentin ja neuvoston päätöksessä N:o 768/2008/EY[28] vahvistetaan vaatimustenmukaisuuden arviointimenettelyjen moduulit suhteessa riskitasoon ja vaadittuun turvallisuustasoon. Eri toimialojen välisen johdonmukaisuuden varmistamiseksi ja tapauskohtaisten muunnosten välttämiseksi vaatimustenmukaisuuden arviointimenettelyjen, jotka riittävät sen todentamiseen, että digitaalisia elementtejä sisältävät tuotteet täyttävät tässä asetuksessa vahvistetut olennaiset vaatimukset, olisi perustuttava kyseisiin moduuleihin. Vaatimustenmukaisuuden arviointimenettelyissä olisi tutkittava ja todennettava sekä tuotteisiin että prosesseihin liittyvät ominaisuudet digitaalisia elementtejä sisältävien tuotteiden koko elinkaaren pituudelta, mukaan lukien tuotteen suunnittelu, rakenne, kehittäminen/tuotanto, testaus ja ylläpito.

(45) Pääsääntöisesti ▌digitaalisia elementtejä sisältävien tuotteiden vaatimustenmukaisuuden arvioinnin olisi oltava riskiperusteinen ja useimmissa tapauksissa valmistajan olisi suoritettava se omalla vastuullaan noudattaen päätöksen 768/2008/EY moduuliin A perustuvaa menettelyä. Valmistajan olisi joustavasti voitava valita tiukempi vaatimustenmukaisuuden arviointimenettely, johon osallistuu kolmas osapuoli. Jos tuote on luokiteltu luokan I kriittiseksi tuotteeksi, tarvitaan lisätakeita sen osoittamiseksi, että tuote täyttää tässä asetuksessa säädetyt olennaiset vaatimukset. Jos valmistaja haluaa suorittaa vaatimustenmukaisuuden arvioinnin omalla vastuullaan (moduuli A), sen olisi sovellettava asetuksen (EU) 2019/881 mukaisia yhdenmukaistettuja standardeja, yhteisiä eritelmiä tai kyberturvallisuuden sertifiointijärjestelmiä, jotka komissio on yksilöinyt täytäntöönpanosäädöksessä. Jos kyseiset yhdenmukaistetut standardit, yhteiset eritelmät tai kyberturvallisuuden sertifiointijärjestelmät ovat olleet käytössä sellaisen vähimmäisajanjakson ajan, että valmistajilla on ollut mahdollisuus ottaa ne käyttöön, ja valmistaja ei sovella niitä, valmistajan olisi tehtävä vaatimustenmukaisuuden arviointi, johon osallistuu kolmas osapuoli. Kun otetaan huomioon valmistajille aiheutuva hallinnollinen rasite ja se, että kyberturvallisuudella on tärkeä rooli digitaalisia elementtejä sisältävien aineellisten ja aineettomien tuotteiden suunnittelu- ja kehitysvaiheessa, päätöksen 768/2008/EY moduuliin B+C tai moduuliin H perustuvat vaatimustenmukaisuuden arviointimenettelyt on valittu oikeasuhtaisuuden ja tuloksellisuuden näkökulmasta sopivimmiksi tavoiksi arvioida digitaalisia elementtejä sisältävien kriittisten tuotteiden vaatimustenmukaisuus. Valmistaja, joka käyttää kolmannen osapuolen suorittamaa vaatimustenmukaisuuden arviointia, voi valita suunnittelu- ja tuotantoprosessiinsa parhaiten soveltuvan menettelyn. Koska luokan II kriittisiksi tuotteiksi luokiteltujen tuotteiden käyttöön liittyy vieläkin suurempi kyberturvariski, vaatimustenmukaisuuden arvioinnissa olisi aina oltava mukana kolmas osapuoli.

(46) Digitaalisia elementtejä sisältävien aineellisten tuotteiden luominen edellyttää yleensä valmistajilta huomattavia panostuksia koko suunnittelu-, kehitys- ja tuotantovaiheen ajan, kun taas ohjelmistomuotoisten digitaalisia elementtejä sisältävien tuotteiden luominen painottuu lähes yksinomaan suunnitteluun ja kehittämiseen, ja tuotantovaiheella on vähäisempi merkitys. Monissa tapauksissa ohjelmistotuotteet on kuitenkin vielä koottava, koostettava, pakattava, asetettava saataville ladattavaksi tai kopioitava fyysiselle tallennusvälineelle ennen markkinoille saattamista. Nämä toimet olisi katsottava tuotantoa vastaaviksi toimiksi, kun sovelletaan asiaankuuluvia vaatimustenmukaisuuden arviointimoduuleja sen todentamiseksi, että tuote on tämän asetuksen olennaisten vaatimusten mukainen kaikissa suunnittelu-, kehitys- ja tuotantovaiheissa.

(47) Jotta voidaan käyttää kolmannen osapuolen suorittamia, digitaalisia elementtejä sisältävien tuotteiden vaatimustenmukaisuuden arviointeja, kansallisten ilmoittavien viranomaisten olisi ilmoitettava vaatimustenmukaisuuden arviointilaitokset komissiolle ja muille jäsenvaltioille edellyttäen, että laitokset täyttävät tietyt vaatimukset erityisesti riippumattomuuden, pätevyyden ja eturistiriitojen suhteen.

(48) Jotta varmistetaan yhtenäinen laatutaso digitaalisia elementtejä sisältävien tuotteiden vaatimustenmukaisuuden arvioinnissa, on tarpeen vahvistaa myös ilmoittavia viranomaisia sekä muita ilmoitettujen laitosten arvioinnissa, ilmoittamisessa ja valvonnassa mukana olevia elimiä koskevat vaatimukset. Tässä asetuksessa käyttöön otettua järjestelmää olisi täydennettävä akkreditointijärjestelmällä, josta säädetään asetuksessa (EY) N:o 765/2008. Koska akkreditointi on olennainen keino tarkastaa vaatimustenmukaisuuden arviointilaitosten pätevyys, sitä olisi käytettävä myös ilmoittamistarkoituksia varten.

(49) Kansallisten viranomaisten olisi kaikkialla unionissa pidettävä asetuksen (EY) N:o 765/2008 mukaista avointa akkreditointia, jolla varmistetaan tarvittava luottamuksen taso vaatimustenmukaisuustodistuksissa, ensisijaisena keinona osoittaa vaatimustenmukaisuuden arviointilaitosten tekninen pätevyys. Kansalliset viranomaiset voivat kuitenkin katsoa, että niillä on käytettävissään asianmukaiset keinot suorittaa tämä arviointi itse. Tällaisessa tapauksessa, jotta voidaan varmistaa muiden kansallisten viranomaisten tekemän arvioinnin uskottavuuden asianmukainen taso, niiden olisi toimitettava komissiolle ja muille jäsenvaltioille tarvittava asiakirja-aineisto, jolla osoitetaan, että arvioidut vaatimustenmukaisuuden arviointilaitokset täyttävät asian kannalta merkitykselliset lainsäädännölliset vaatimukset.

(50) Vaatimustenmukaisuuden arviointilaitokset teettävät usein osia vaatimustenmukaisuuden arviointiin liittyvistä toimistaan alihankintana tai käyttävät tytäryhtiötä. Digitaalisia elementtejä sisältävän tuotteen saattaminen markkinoille edellyttää suojauksen tasoa, jonka turvaamiseksi on olennaista, että vaatimustenmukaisuuden arviointitehtävien suorittamista varten alihankkijat ja tytäryhtiöt täyttävät samat vaatimukset kuin ilmoitetut laitokset.

(51) Ilmoittavan viranomaisen olisi lähetettävä vaatimustenmukaisuuden arviointilaitosta koskeva ilmoitus komissiolle ja muille jäsenvaltioille uuden lähestymistavan mukaisen ilmoitettujen ja nimettyjen organisaatioiden tietojärjestelmän (NANDO) kautta. NANDO on komission kehittämä ja hallinnoima sähköinen ilmoitusväline, joka sisältää luettelon kaikista ilmoitetuista laitoksista.

(52) Koska ilmoitetut laitokset voivat tarjota palvelujaan koko unionin alueella, on tarkoituksenmukaista antaa muille jäsenvaltioille ja komissiolle mahdollisuus esittää vastalauseita ilmoitetun laitoksen osalta. Sen vuoksi on tärkeää säätää ajanjaksosta, jonka aikana voidaan selvittää mahdolliset epäilykset tai huolenaiheet vaatimustenmukaisuuden arviointilaitosten pätevyyden suhteen, ennen kuin ne alkavat toimia ilmoitettuina laitoksina.

(53) Kilpailukyvyn vuoksi on oleellista, että ilmoitetut laitokset soveltavat vaatimustenmukaisuuden arviointimenettelyjä aiheuttamatta kohtuutonta rasitetta talouden toimijoille, erityisesti mikroyrityksille sekä pienille ja keskisuurille yrityksille. Tässä asiassa jäsenvaltioiden olisi komission tuella varmistettava, että saatavilla on riittävästi ammattitaitoisia ammattilaisia, jotta voidaan varmistaa, että ilmoitetut laitokset voivat hoitaa tehtävänsä tehokkaasti, ja siten minimoida mahdolliset esteet, välttää pullonkaulat ja auttaa talouden toimijoita noudattamaan tätä asetusta. Samasta syystä ja talouden toimijoiden yhdenvertaisen kohtelun takaamiseksi olisi varmistettava vaatimustenmukaisuuden arviointimenettelyiden tekninen johdonmukaisuus. Tämä voitaisiin saavuttaa parhaiten asianmukaisella koordinoinnilla ja yhteistyöllä ilmoitettujen laitosten välillä.

(53 a) Tehokkuuden ja avoimuuden lisäämiseksi jäsenvaltioiden olisi ennen tämän asetuksen soveltamispäivää varmistettava, että unionissa on riittävästi ilmoitettuja laitoksia vaatimustenmukaisuuden arviointien suorittamiseksi. Komission olisi seurattava markkinoiden kehitystä ja avustettava jäsenvaltioita tässä pyrkimyksessä, jotta vältetään pullonkaulat ja markkinoille pääsyn esteet.

(54) Markkinavalvonta on keskeinen keino unionin lainsäädännön asianmukaisen ja yhdenmukaisen soveltamisen varmistamiseksi. Sen vuoksi on aiheellista luoda oikeudelliset puitteet, joita noudattamalla markkinavalvontaa voidaan toteuttaa tarkoituksenmukaisesti. Tämän asetuksen soveltamisalaan kuuluviin digitaalisia elementtejä sisältäviin tuotteisiin sovelletaan Euroopan parlamentin ja neuvoston asetuksessa (EU) 2019/1020[29] säädettyjä unionin markkinavalvontaa ja unionin markkinoille tuleville tuotteille tehtäviä tarkastuksia koskevia sääntöjä.

(55) Asetuksen (EU) 2019/1020 mukaisesti markkinavalvontaviranomaiset toteuttavat markkinavalvontaa kyseisen jäsenvaltion alueella. Tämä asetus ei saisi estää jäsenvaltioita valitsemasta toimivaltaisia viranomaisia, jotka suorittavat kyseiset tehtävät. Jokaisen jäsenvaltion olisi nimettävä alueelleen yksi tai useampi markkinavalvontaviranomainen. Jäsenvaltiot voivat nimetä minkä tahansa olemassa olevan tai uuden viranomaisen, mukaan lukien direktiivissä (EU) 2022/2555 tarkoitetut kansalliset toimivaltaiset viranomaiset tai asetuksen (EU) 2019/881 58 artiklassa tarkoitetut nimetyt kansalliset kyberturvallisuussertifioinnin myöntävät viranomaiset, toimimaan markkinavalvontaviranomaisena. Talouden toimijoiden olisi tehtävä täysimääräistä yhteistyötä markkinavalvontaviranomaisten ja muiden toimivaltaisten viranomaisten kanssa. Kunkin jäsenvaltion olisi ilmoitettava komissiolle ja muille jäsenvaltioille markkinavalvontaviranomaisensa ja kunkin viranomaisen toimivaltaan kuuluvat alat sekä varmistettava, että käytössä on tarvittavat resurssit ja tarvittava asiantuntemus tähän asetukseen liittyvien valvontatehtävien suorittamiseksi. Asetuksen (EU) 2019/1020 10 artiklan 2 ja 3 kohdan mukaisesti kunkin jäsenvaltion olisi nimettävä yhteysvirasto, jonka olisi vastattava muun muassa markkinavalvontaviranomaisten koordinoidun kannan edustamisesta ja eri jäsenvaltioiden markkinavalvontaviranomaisten välisen yhteistyön sujuvoittamisesta.

(56) Tämän asetuksen yhdenmukaista soveltamista varten olisi perustettava erityinen digitaalisia elementtejä sisältävien tuotteiden kyberkestävyyttä käsittelevä hallinnollisen yhteistyön ryhmä asetuksen (EU) 2019/1020 30 artiklan 2 kohdan mukaisesti. Hallinnollisen yhteistyön ryhmän olisi koostuttava nimettyjen markkinavalvontaviranomaisten edustajista ja tarvittaessa yhteysvirastojen edustajista. Komission olisi tuettava ja edistettävä markkinavalvontaviranomaisten välistä yhteistyötä asetuksen (EU) 2019/1020 29 artiklan nojalla perustetussa tuotteiden vaatimustenmukaisuutta käsittelevässä unionin verkostossa, joka koostuu kunkin jäsenvaltion edustajista, mukaan lukien kunkin asetuksen (EU) 2019/1020 10 artiklassa tarkoitetun yhteysviraston edustaja ja valinnainen kansallinen asiantuntija, hallinnollisen yhteistyön ryhmien puheenjohtajat ja komission edustajat. Komission olisi osallistuttava verkoston, sen alaryhmien ja tämän asetuksen mukaisen hallinnollisen yhteistyön ryhmän kokouksiin. Sen olisi myös avustettava tämän asetuksen mukaista hallinnollisen yhteistyön ryhmää sihteeristöllä, joka tarjoaa teknistä ja logistista tukea.

(57) Jotta voidaan varmistaa oikea-aikaiset, oikeasuhtaiset ja tulokselliset toimenpiteet sellaisten digitaalisia elementtejä sisältävien tuotteiden osalta, joihin liittyy merkittävä kyberturvariski, olisi säädettävä unionin suojamenettelystä, jonka mukaisesti asianomaisille osapuolille ilmoitetaan toimenpiteistä, joita aiotaan toteuttaa tällaisten tuotteiden suhteen. Tämän olisi myös annettava markkinavalvontaviranomaisille mahdollisuus toimia tarvittaessa varhaisemmassa vaiheessa yhteistyössä asianomaisten talouden toimijoiden kanssa. Silloin kun jäsenvaltiot ja komissio ovat yhtä mieltä jäsenvaltion toteuttaman toimenpiteen oikeutuksesta, komissiolta ei pitäisi edellyttää jatkotoimia, paitsi jos vaatimustenvastaisuuden voidaan katsoa johtuvan yhdenmukaistetun standardin puutteista.

(58) Tietyissä tapauksissa tämän asetuksen mukainen digitaalisia elementtejä sisältävä tuote voi kuitenkin aiheuttaa merkittävän kyberturvariskin tai riskin ihmisten terveydelle tai turvallisuudelle, unionin oikeuteen tai kansalliseen oikeuteen pohjautuvien perusoikeuksien suojaamiseen tähtäävien velvoitteiden täyttymiselle, direktiivissä (EU) 2022/2555 tarkoitettujen keskeisten toimijoiden sähköisen tietojärjestelmän avulla tarjoamien palvelujen saatavuudelle, aitoudelle, eheydelle tai luottamuksellisuudelle tai muille yleisen edun suojeluun liittyville näkökohdille. Sen vuoksi on tarpeen vahvistaa säännöt, joilla torjutaan näitä riskejä. Tämän vuoksi markkinavalvontaviranomaisten olisi toteutettava toimenpiteitä, joilla talouden toimijaa vaaditaan varmistamaan, että tuote ei enää aiheuta kyseistä riskiä, tai järjestämään sitä koskeva palautusmenettely tai poistamaan se markkinoilta, riskistä riippuen. Heti kun markkinavalvontaviranomainen rajoittaa tuotteen vapaata liikkuvuutta tai kieltää sen tällä tavalla, jäsenvaltion on ilmoitettava väliaikaisista toimenpiteistä viipymättä komissiolle ja muille jäsenvaltioille ja esitettävä päätöksen syyt ja perustelut. Jos markkinavalvontaviranomainen toteuttaa tällaisia toimenpiteitä riskin aiheuttavia tuotteita vastaan, komission olisi viipymättä kuultava jäsenvaltioita ja asianomaisia talouden toimijoita ja arvioitava kansallinen toimenpide. Komission tulisi päättää tämän arvioinnin tulosten perusteella, onko kansallinen toimenpide oikeutettu vai ei. Komission olisi osoitettava päätöksensä kaikille jäsenvaltioille ja annettava se välittömästi tiedoksi niille ja asianomaisille talouden toimijoille. Jos toimenpide katsotaan perustelluksi, komissio voi myös harkita ehdotusten esittämistä vastaavan unionin lainsäädännön tarkistamiseksi.

(59) Merkittävän kyberturvariskin aiheuttavien digitaalisia elementtejä sisältävien tuotteiden osalta ja kun on syytä epäillä, että ne eivät ole tämän asetuksen mukaisia, tai sellaisten tuotteiden osalta, jotka ovat tämän asetuksen mukaisia, mutta joihin liittyy muita merkittäviä riskejä, kuten riskejä ihmisten terveydelle tai turvallisuudelle, perusoikeuksille tai direktiivissä (EU) 2022/2555 tarkoitettujen keskeisten toimijoiden tarjoamille palveluille, komissio voi pyytää ENISAa suorittamaan arvioinnin. Tämän arvioinnin perusteella komissio voi hyväksyä täytäntöönpanosäädöksillä korjaavia tai rajoittavia toimenpiteitä unionin tasolla, mukaan lukien asianomaisten tuotteiden markkinoiltaveto tai palautusmenettely, kohtuullisen ajan kuluessa ja oikeassa suhteessa riskin luonteeseen. Komissio voi turvautua tällaiseen interventioon ainoastaan poikkeuksellisissa olosuhteissa, jotka oikeuttavat välittömät toimet sisämarkkinoiden moitteettoman toiminnan säilyttämiseksi, ja ainoastaan, jos valvontaviranomaiset eivät ole toteuttaneet tuloksellisia toimenpiteitä tilanteen korjaamiseksi. Tällaiset poikkeukselliset olosuhteet voivat olla hätätilanteita, joissa valmistaja esimerkiksi asettaa vaatimustenvastaisen tuotteen laajalti saataville useissa jäsenvaltioissa, tuotetta käyttävät myös direktiivin (EU) 2022/2555 soveltamisalaan kuuluvat toimijat keskeisillä aloilla ja tuote sisältää tunnettuja haavoittuvuuksia, joita pahantahtoiset toimijat hyödyntävät ja joita varten valmistaja ei tarjoa korjaavia päivityksiä. Komissio voi puuttua tällaisiin hätätilanteisiin vain poikkeuksellisten olosuhteiden keston ajan ja jos tämän asetuksen vastaisuudet tai niihin liittyvät merkittävät riskit jatkuvat.

(60) Tapauksissa, joissa on viitteitä tämän asetuksen vastaisuuksista useissa jäsenvaltioissa, markkinavalvontaviranomaisten olisi voitava toteuttaa yhteistoimia muiden viranomaisten kanssa vaatimusten täyttymisen todentamiseksi ja digitaalisia elementtejä sisältävien tuotteiden kyberturvariskien tunnistamiseksi.

(61) Samanaikaiset koordinoidut valvontatoimet (’tehotarkastukset’) ovat markkinavalvontaviranomaisten erityistoimenpiteitä, joilla voidaan edelleen parantaa tuoteturvallisuutta. Tehotarkastuksia olisi tehtävä erityisesti silloin, kun markkinasuuntaukset, kuluttajavalitukset tai muut merkit viittaavat siihen, että tietyt tuoteluokat aiheuttavat usein kyberturvariskin. ENISAn olisi muun muassa tuotteiden haavoittuvuuksista ja poikkeamista saamiensa ilmoitusten perusteella esitettävä markkinavalvontaviranomaisille ehdotuksia tuoteluokista, joiden osalta olisi järjestettävä tehotarkastuksia. Komission olisi myös koordinoitava markkinavalvontaviranomaisten toimintaa sellaisten digitaalisia elementtejä sisältävien tuotteiden säännöllisten tarkastusten osalta, jotka voivat aiheuttaa tietoturvariskin unionille, myös muun kuin teknisen riskitekijän vuoksi.

(62) Jotta sääntelykehystä voitaisiin tarvittaessa mukauttaa, komissiolle olisi siirrettävä valta hyväksyä perussopimuksen 290 artiklan mukaisesti delegoituja säädöksiä, joilla päivitetään liitteen III kriittisten tuotteiden luetteloa ja esitetään näiden tuoteluokkien tarkemmat määritelmät. Komissiolle olisi siirrettävä valta hyväksyä kyseisen artiklan mukaisesti delegoituja säädöksiä niiden digitaalisia elementtejä sisältävien tuotteiden yksilöimiseksi, jotka kuuluvat sellaisten muiden unionin sääntöjen soveltamisalaan, joilla saavutetaan sama suojelun taso kuin tällä asetuksella, ja sen täsmentämiseksi, olisiko joitain tuotteita tarpeen jättää kokonaan tai osittain tämän asetuksen soveltamisalan ulkopuolelle ja jos olisi, miltä osin. Komissiolle olisi myös siirrettävä valta hyväksyä kyseisen artiklan mukaisesti delegoituja säädöksiä, joilla täsmennetään asetuksen (EU) 2019/881 nojalla hyväksytyt eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät, joita voidaan käyttää osoittamaan tämän asetuksen liitteessä I esitettyjen olennaisten vaatimusten tai niiden osien täyttyminen, jotka koskevat mahdollisuutta edellyttää tämän asetuksen kriittisyyskriteerien pohjalta tiettyjen digitaalisia elementtejä sisältävien erittäin kriittisten tuotteiden sertifiointia ja joilla täsmennetään EU-vaatimustenmukaisuusvakuutuksen vähimmäissisältöä ja täydennetään teknisiin asiakirjoihin sisällytettäviä tekijöitä. Komissiolle olisi myös siirrettävä valta antaa delegoituja säädöksiä, joilla täsmennetään ohjelmistosisältöluettelon muoto ja sen osatekijät sekä täsmennetään valmistajien ENISAlle toimittamien, aktiivisesti hyödynnettyjä haavoittuvuuksia ja merkittäviä poikkeamia koskevien ilmoitusten muoto ja menettelysäännöt. Komissiolle olisi tarvittaessa siirrettävä valta antaa delegoituja säädöksiä, joilla vahvistetaan liitteessä I esitettyjä olennaisia vaatimuksia koskevat yhteiset eritelmät. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla, ja että nämä kuulemiset toteutetaan paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa[30] vahvistettujen periaatteiden mukaisesti. Jotta voitaisiin erityisesti varmistaa tasavertainen osallistuminen delegoitujen säädösten valmisteluun, Euroopan parlamentille ja neuvostolle toimitetaan kaikki asiakirjat samaan aikaan kuin jäsenvaltioiden asiantuntijoille, ja Euroopan parlamentin ja neuvoston asiantuntijoilla on järjestelmällisesti oikeus osallistua komission asiantuntijaryhmien kokouksiin, joissa valmistellaan delegoituja säädöksiä. Tämän asetuksen mukaisten delegoitujen säädösten laatimiseksi komission olisi kuultava kyberkestävyyttä käsittelevää asiantuntijaryhmää. Komission olisi myös käytävä säännöllistä rakenteellista vuoropuhelua talouden toimijoiden kanssa ja toteutettava julkisia kuulemisia muun muassa arvioidakseen tämän asetuksen soveltamisalaa ja sitä, olisiko tiettyjen tuoteluokkien kuuluttava soveltamisalaan vai olisiko ne jätettävä sen ulkopuolelle.

(63) Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa ▌vahvistaa teknisiä eritelmiä merkintäjärjestelmille, mukaan lukien yhdenmukaistetut merkinnät, kuvamerkit tai muut merkit, jotka liittyvät digitaalisia elementtejä sisältävien tuotteiden tietoturvaan, ja luoda mekanismeja niiden käytön edistämiseksi sekä päättää unionin tason korjaavista tai rajoittavista toimenpiteistä poikkeuksellisissa olosuhteissa, jotka oikeuttavat välittömiin toimiin sisämarkkinoiden moitteettoman toiminnan säilyttämiseksi. Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011[31] mukaisesti.

(64) Jotta voidaan varmistaa markkinavalvontaviranomaisten luotettava ja rakentava yhteistyö unionin tasolla ja kansallisella tasolla, kaikkien tämän asetuksen soveltamiseen osallistuvien osapuolten olisi kunnioitettava tehtäviään suorittaessaan saamiensa tietojen ja data-aineistojen luottamuksellisuutta.

(65) Tässä asetuksessa säädettyjen velvoitteiden tuloksellisen täytäntöönpanon varmistamiseksi kullakin markkinavalvontaviranomaisella olisi oltava valtuudet määrätä hallinnollisia sakkoja tai pyytää niiden määräämistä. Sen vuoksi olisi vahvistettava tämän asetuksen velvoitteiden laiminlyönnistä johtuvien hallinnollisten sakkojen enimmäismäärät, joista voidaan säätää kansallisessa lainsäädännössä. Päätettäessä hallinnollisen sakon määrästä kussakin yksittäistapauksessa olisi otettava huomioon kaikki kyseiseen tilanteeseen liittyvät merkitykselliset olosuhteet ja vähintään ne, jotka on nimenomaisesti vahvistettu tässä asetuksessa, mukaan lukien se, onko valmistaja mikroyritys, pieni tai keskisuuri yritys tai startup-yritys, ja se, ovatko muut markkinavalvontaviranomaiset jo määränneet hallinnollisia sakkoja samalle toimijalle samankaltaisista rikkomisista. Tällaiset olosuhteet voivat olla joko raskauttavia, kun saman toimijan rikkomus jatkuu muiden jäsenvaltioiden alueella kuin siinä, jossa on jo asetettu hallinnollinen sakko, tai lieventäviä siten, että toisen markkinavalvontaviranomaisen harkitsemassa mahdollisessa muussa hallinnollisessa sakossa saman talouden toimijan tai samantyyppisen rikkomisen osalta otetaan jo yhdessä muiden merkityksellisten erityisolosuhteiden kanssa huomioon toisessa jäsenvaltiossa määrätty seuraamus ja sen määrä. Kaikissa tällaisissa tapauksissa kumulatiivisen hallinnollisen sakon, joka koostuu useiden jäsenvaltioiden markkinavalvontaviranomaisten sakoista samalle talouden toimijalle samantyyppisestä rikkomisesta, olisi noudatettava suhteellisuusperiaatetta.

(66) Jos hallinnollisia sakkoja määrätään henkilöille, jotka eivät ole yrityksiä, toimivaltaisen viranomaisen olisi sakon sopivan määrän harkinnassa otettava huomioon jäsenvaltion yleinen tulotaso ja henkilön taloudellinen tilanne. Jäsenvaltioilla olisi oltava vastuu määritellä, onko viranomaisille määrättävä hallinnollisia sakkoja ja missä määrin.

(66 a) Seuraamusmaksuista saatavat tulot olisi käytettävä unionin kyberturvallisuuden tason vahvistamiseen muun muassa kehittämällä kyberturvallisuuteen liittyviä valmiuksia ja osaamista, parantamalla talouden toimijoiden, erityisesti mikroyritysten sekä pienten ja keskisuurten yritysten, kyberkestävyyttä ja edistämällä yleisesti suuren yleisön tietoisuutta kyberturvakysymyksistä.

(67) Suhteissaan kolmansiin maihin EU pyrkii edistämään säänneltyjen tuotteiden kansainvälistä kauppaa. Kaupan helpottamiseen voidaan käyttää monenlaisia keinoja, muun muassa useita oikeudellisia välineitä, kuten kahdenvälisiä (hallitusten välisiä) vastavuoroista tunnustamista koskevia sopimuksia säänneltyjen tuotteiden vaatimustenmukaisuuden arvioimiseksi ja merkitsemiseksi. Sopimuksia vastavuoroisesta tunnustamisesta tehdään unionin ja sellaisten kolmansien maiden välillä, joiden tekninen kehitys on samalla tasolla ja joiden lähestymistapa vaatimustenmukaisuuden arviointiin on yhteensopiva. Tällaiset sopimukset perustuvat sopimuspuolten vaatimustenmukaisuuden arviointilaitosten toisen sopimuspuolen lainsäädännön mukaisesti antamien todistusten, vaatimustenmukaisuusmerkintöjen ja testiraporttien vastavuoroiseen hyväksymiseen. Tällä hetkellä vastavuoroista tunnustamista koskevia sopimuksia on olemassa useiden maiden kanssa. Sopimuksia on tehty useilla erityisaloilla, jotka voivat vaihdella maittain. Kaupan helpottamiseksi edelleen ja koska digitaalisia elementtejä sisältävien tuotteiden toimitusketjut ovat maailmanlaajuisia, tämän asetuksen nojalla säänneltyjen tuotteiden osalta voidaan SEUT-sopimuksen 218 artiklan mukaisesti tehdä vaatimustenmukaisuuden arviointia koskevia sopimuksia vastavuoroisesta tunnustamisesta. Yhteistyö kumppanimaiden kanssa on tärkeää myös kyberkestävyyden vahvistamiseksi maailmanlaajuisesti, sillä pitkällä aikavälillä se edistää kyberturvakehyksen vahvistumista sekä EU:ssa että sen ulkopuolella.

(68) Komission olisi tarkasteltava tätä asetusta säännöllisin väliajoin uudelleen asiantuntijaryhmää ja muita asianomaisia osapuolia kuullen, erityisesti yhteiskunnan, politiikan, tekniikan ja markkinaolojen kehitykseen perustuvien muutostarpeiden selvittämiseksi.

(69) Talouden toimijoille olisi annettava riittävästi aikaa mukautua tämän asetuksen vaatimuksiin. Tätä asetusta olisi sovellettava [36 kuukauden] kuluttua sen voimaantulosta, lukuun ottamatta aktiivisesti hyödynnettyjä haavoittuvuuksia ja poikkeamia koskevia raportointivelvoitteita, joita olisi sovellettava [18 kuukauden] kuluttua tämän asetuksen voimaantulosta.

(69 a) Tämä asetus aiheuttaa lisäkustannuksia mikroyrityksille sekä pienille ja keskisuurille yrityksille, startup-yritykset mukaan lukien. Näiden yritysten tukemiseksi komission olisi otettava käyttöön taloudellista ja teknistä tukea, jonka avulla nämä yritykset voivat edistää Euroopan talouden ja Euroopan kyberturvallisuusympäristön kasvua, esimerkiksi yksinkertaistamalla Digitaalinen Eurooppa -ohjelmasta ja muista asiaankuuluvista unionin ohjelmista myönnettävää rahoitustukea sekä tukemalla yrityksiä ja julkisen sektorin organisaatioita eurooppalaisten digitaali-innovointikeskittymien kautta. Lisäksi jäsenvaltioiden olisi harkittava kaikkia mahdollisia täydentäviä toimia, joilla pyritään antamaan ohjausta ja tukea mikroyrityksille sekä pienille ja keskisuurille yrityksille, esimerkiksi perustamalla sääntelyn testiympäristöjä, kyberturvallisuuskeskittymiä ja startup-kiihdyttämöjä.

(70) Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitteita, vaan ne voidaan toiminnan vaikutusten vuoksi saavuttaa paremmin unionin tasolla, joten unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen tämän tavoitteen saavuttamiseksi.

(71) Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 2018/1725[32] 42 artiklan 1 kohdan mukaisesti, ja hän on antanut lausuntonsa 9 päivänä marraskuuta 2022[33].

(71 a) Komission olisi muutettava tämän asetuksen liitteenä olevaa säädösehdotukseen liittyvää rahoitusselvitystä siten, että ENISAlle myönnetään yhdeksän ylimääräistä kokoaikavastaavaa virkaa/tointa ja vastaavat lisämäärärahat, jotta se voi hoitaa uudet tehtävänsä, joista säädetään tässä asetuksessa,

 

OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

I LUKU

YLEISET SÄÄNNÖKSET

1 artikla
Kohde

Tässä asetuksessa vahvistetaan

a) säännöt digitaalisia elementtejä sisältävien tuotteiden markkinoilla saataville asettamiselle niiden kyberturvallisuuden varmistamiseksi,

b) digitaalisia elementtejä sisältävien tuotteiden suunnittelua, kehittämistä ja tuotantoa koskevat olennaiset vaatimukset ja näihin tuotteisiin liittyvät talouden toimijoiden kyberturvavelvoitteet,

c) olennaiset vaatimukset haavoittuvuuksien käsittelyprosesseille, joita valmistajat ovat ottaneet käyttöön varmistaakseen digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuuden koko niiden elinkaaren ajan, sekä näihin prosesseihin liittyvät talouden toimijoiden velvoitteet ja

d) markkinaseurantaa, markkinavalvontaa ja edellä mainittujen sääntöjen ja vaatimusten noudattamisen valvontaa koskevat säännöt.

2 artikla
Soveltamisala

1. Tätä asetusta sovelletaan kaikkiin markkinoilla saataville asetettuihin digitaalisia elementtejä sisältäviin tuotteisiin, jotka voivat luoda suoran tai epäsuoran datayhteyden johonkin laitteeseen tai verkkoon.

2. Tätä asetusta ei sovelleta digitaalisia elementtejä sisältäviin tuotteisiin, joihin sovelletaan seuraavia lainsäätämisjärjestyksessä hyväksyttyjä unionin säädöksiä:

a) asetus (EU) 2017/745;

b) asetus (EU) 2017/746;

c) asetus (EU) 2019/2144.

3. Tätä asetusta ei sovelleta digitaalisia elementtejä sisältäviin tuotteisiin, jotka on sertifioitu asetuksen (EU) 2018/1139 mukaisesti.

3 a. Tätä asetusta sovelletaan vapaisiin ja avoimen lähdekoodin ohjelmistoihin vain, jos tällaiset ohjelmistot asetetaan saataville markkinoilla liiketoiminnan yhteydessä.

4. Tämän asetuksen soveltamista sellaisiin digitaalisia elementtejä sisältäviin tuotteisiin, joihin sovellettavien muiden unionin sääntöjen vaatimuksilla puututaan kaikkiin tai osaan liitteessä I vahvistettujen olennaisten​vaatimusten kattamista riskeistä, voidaan rajoittaa tai se voidaan sulkea pois, jos

a) tällainen rajoitus tai poissulkeminen on johdonmukainen kyseisiin tuotteisiin sovellettavan yleisen sääntelykehyksen kanssa ja

b) alakohtaisilla säännöillä saavutetaan sama suojelun taso kuin tällä asetuksella.

Siirretään komissiolle valta antaa 50 artiklan mukaisesti delegoituja säädöksiä, joilla muutetaan tätä asetusta ja täsmennetään, onko tällainen rajoitus tai poissulkeminen tarpeen, vahvistetaan asianomaiset tuotteet ja säännöt sekä määritellään tarvittaessa rajoituksen soveltamisala.

4 a. Tätä asetusta ei sovelleta varaosiin, jotka valmistetaan ainoastaan korvaamaan täysin samanlaisia osia ja jotka toimittaa alkuperäisten digitaalisia elementtejä sisältävien tuotteiden valmistaja.

5. Tätä asetusta ei sovelleta digitaalisia elementtejä sisältäviin tuotteisiin, jotka on kehitetty yksinomaan kansallisiin turvallisuus- tai sotilastarkoituksiin, eikä tuotteisiin, jotka on erityisesti suunniteltu turvallisuusluokiteltujen tietojen käsittelyä varten.

3 artikla
Määritelmät

Tässä asetuksessa tarkoitetaan

1) ’digitaalisia elementtejä sisältävällä tuotteella’ ohjelmisto- tai laitteistotuotetta ja siihen sisältyviä datan etäkäsittelyratkaisuja, mukaan lukien toisistaan erillään markkinoille saatettavat ohjelmisto- tai laitteistokomponentit;

2) ’datan etäkäsittelyllä’ etäältä tapahtuvaa datan käsittelyä, jota varten on suunniteltu ja kehitetty ohjelmisto valmistajan toimesta tai valmistajan puolesta ja jota ilman digitaalisia elementtejä sisältävä tuote ei kykenisi suorittamaan jotakin toimintoaan;

3) ’digitaalisia elementtejä sisältävällä kriittisellä tuotteella’ digitaalisia elementtejä sisältävää tuotetta, joka muodostaa 6 artiklan 2 kohdassa vahvistettujen kriteerien perusteella kyberturvariskin ja jonka ydintoiminto esitetään liitteessä III;

4) ’digitaalisia elementtejä sisältävällä erittäin kriittisellä tuotteella’ digitaalisia elementtejä sisältävää tuotetta, joka muodostaa 6 artiklan 5 kohdassa vahvistettujen kriteerien perusteella kyberturvariskin;

4 a) ’kyberturvallisuudella’ asetuksen (EU) 2019/881 2 artiklan 1 alakohdassa määriteltyä kyberturvallisuutta;

5) ’operatiivisella teknologialla’ ohjelmoitavia digitaalisia järjestelmiä tai laitteita, jotka ovat vuorovaikutuksessa fyysisen ympäristön kanssa tai ohjaavat fyysisen ympäristön kanssa vuorovaikutuksessa olevia laitteita;

6) ’ohjelmistolla’ sitä sähköisen tietojärjestelmän osaa, joka koostuu tietokonekoodista;

7) ’laitteistolla’ fyysistä sähköistä tietojärjestelmää tai sen osia, jotka kykenevät käsittelemään, tallentamaan tai lähettämään digitaalista dataa;

8) ’komponentilla’ ohjelmistoa tai laitteistoa, joka on tarkoitettu integroitavaksi sähköiseen tietojärjestelmään;

9) ’sähköisellä tietojärjestelmällä’ mitä tahansa järjestelmää, mukaan lukien sähköiset tai elektroniset laitteet, joka kykenee käsittelemään, tallentamaan tai lähettämään digitaalista dataa;

10) ’loogisella yhteydellä’ ohjelmistorajapinnan kautta toteutetun dataliitännän virtuaalista representaatiota;

11) ’fyysisellä yhteydellä’ sähköisten tietojärjestelmien tai komponenttien välistä liitäntää, joka toteutetaan fyysisin keinoin, kuten elektronisten tai mekaanisten rajapintojen, johtimien tai radioaaltojen välityksellä;

12) ’epäsuoralla yhteydellä’ laitteeseen tai verkkoon luotua yhteyttä, joka ei toimi suoraan vaan pikemminkin osana laajempaa järjestelmää, joka voidaan liittää suoraan kyseiseen laitteeseen tai verkkoon;

13) ’etuoikeudella’ tietyille käyttäjille tai ohjelmille myönnettyä oikeutta suorittaa tietoturvan kannalta merkityksellisiä toimintoja sähköisessä tietojärjestelmässä;

14) ’korkean tason etuoikeudella’ tietyille käyttäjille tai ohjelmille myönnettyä oikeutta suorittaa sähköisessä tietojärjestelmässä laajasti tietoturvan kannalta merkityksellisiä toimintoja, joiden väärinkäyttö tai vaarantuminen voisi antaa pahantahtoiselle toimijalle laajemman pääsyn järjestelmän tai organisaation resursseihin;

15) ’päätepisteellä’ laitetta, joka on liitetty verkkoon ja joka toimii porttina kyseiseen verkkoon;

16) ’verkko- tai laskentaresurssilla’ data-, laitteisto- tai ohjelmistotoiminnallisuutta, joka on saatavilla joko paikallisesti tai verkon tai muun siihen liitetyn laitteen kautta;

17) ’talouden toimijalla’ valmistajaa, valtuutettua edustajaa, maahantuojaa, jakelijaa tai muuta luonnollista tai oikeushenkilöä, joka kuuluu tässä asetuksessa säädettyjen velvoitteiden piiriin;

18) ’valmistajalla’ luonnollista tai oikeushenkilöä, joka kehittää tai valmistaa digitaalisia elementtejä sisältäviä tuotteita tai suunnitteluttaa, kehityttää tai valmistuttaa digitaalisia elementtejä sisältäviä tuotteita ja markkinoi niitä omalla nimellään tai tuotemerkillään joko maksua vastaan, monetisointia varten tai maksutta;

19) ’valtuutetulla edustajalla’ unioniin sijoittautunutta luonnollista henkilöä tai oikeushenkilöä, jolla on valmistajan antama kirjallinen toimeksianto hoitaa valmistajan puolesta tietyt tehtävät;

20) ’maahantuojalla’ unioniin sijoittautunutta luonnollista tai oikeushenkilöä, joka saattaa markkinoille digitaalisia elementtejä sisältävän tuotteen, jolla on unionin ulkopuolelle sijoittautuneen luonnollisen tai oikeushenkilön nimi tai tavaramerkki;

21) ’jakelijalla’ muuta toimitusketjuun kuuluvaa luonnollista tai oikeushenkilöä kuin valmistajaa tai maahantuojaa, joka asettaa digitaalisia elementtejä sisältävän tuotteen saataville unionin markkinoilla vaikuttamatta sen ominaisuuksiin;

21 a) ’mikroyrityksillä’, ’pienillä yrityksillä’ ja ’keskisuurilla yrityksillä’ komission suosituksessa 2003/361/EY[34] määriteltyjä mikroyrityksiä, pieniä yrityksiä ja keskisuuria yrityksiä;

21 b) ’kuluttajalla’ luonnollista henkilöä, joka tämän asetuksen mukaisissa olosuhteissa toimii tarkoituksessa, joka ei kuulu hänen elinkeino-, liike-, käsityö- tai ammattitoimintaansa;

21 c) ’tukikaudella’ ajanjaksoa, jonka aikana valmistaja varmistaa, että digitaalisia elementtejä sisältävän tuotteen haavoittuvuudet käsitellään tehokkaasti ja liitteessä I olevassa 2 jaksossa vahvistettujen olennaisten vaatimusten mukaisesti;

22) ’markkinoille saattamisella’ digitaalisia elementtejä sisältävän tuotteen asettamista ensimmäistä kertaa saataville unionin markkinoilla;

23) ’asettamisella saataville markkinoilla’ digitaalisia elementtejä sisältävän tuotteen toimittamista unionin markkinoille liiketoiminnan yhteydessä jakelua tai käyttöä varten joko maksua vastaan tai maksutta;

24) ’käyttötarkoituksella’ käyttöä, johon valmistaja on tarkoittanut digitaalisia elementtejä sisältävän tuotteen, mukaan lukien erityinen käyttöyhteys ja erityiset käyttöolosuhteet, siten kuin ne on määritelty tiedoissa, jotka valmistaja on antanut käyttöohjeissa, markkinointi- tai myyntimateriaaleissa ja -ilmoituksissa sekä teknisessä dokumentaatiossa;

25) ’kohtuudella ennakoitavissa olevalla käytöllä’ käyttöä, joka ei välttämättä ole valmistajan käyttöohjeissa, markkinointi- tai myyntimateriaaleissa ja -ilmoituksissa sekä teknisessä dokumentaatiossa ilmoittama käyttötarkoitus, mutta joka voi todennäköisesti seurata kohtuudella ennakoitavissa olevasta ihmisen käyttäytymisestä tai teknisistä toimenpiteistä tai vuorovaikutussuhteista;

26) ’kohtuudella ennakoitavissa olevalla väärinkäytöllä’ digitaalisia elementtejä sisältävän tuotteen käyttöä tavalla, joka ei ole sen käyttötarkoituksen mukainen, mutta joka voi olla seurausta kohtuudella ennakoitavissa olevasta ihmisen käyttäytymisestä tai järjestelmän vuorovaikutuksesta muiden järjestelmien kanssa;

27) ’ilmoittavalla viranomaisella’ kansallista viranomaista, joka vastaa vaatimustenmukaisuuden arviointilaitosten arviointiin, nimeämiseen ja ilmoittamiseen sekä niiden seurantaan tarvittavien menettelyjen perustamisesta ja toteuttamisesta;

28) ’vaatimustenmukaisuuden arvioinnilla’ prosessia, jossa selvitetään, ovatko liitteessä I esitetyt olennaiset vaatimukset täyttyneet;

29) ’vaatimustenmukaisuuden arviointilaitoksella’ asetuksen (EU) N:o 765/2008 2 artiklan 13 alakohdassa määriteltyä laitosta;

30) ’ilmoitetulla laitoksella’ vaatimustenmukaisuuden arviointilaitosta, joka on nimetty tämän asetuksen 33 artiklan ja unionin muun asiaankuuluvan yhdenmukaistamislainsäädännön mukaisesti;

31) ’merkittävällä muutoksella’ digitaalisia elementtejä sisältävään tuotteeseen sen markkinoille saattamisen jälkeen tehtyä muutosta, joka vaikuttaa siihen, täyttääkö digitaalisia elementtejä sisältävä tuote liitteessä I olevassa 1 jaksossa vahvistetut olennaiset vaatimukset, tai muuttaa käyttötarkoitusta, jota varten digitaalisia elementtejä sisältävä tuote on arvioitu, lukuun ottamatta tarpeellisia tietoturvapäivityksiä, joilla pyritään lieventämään haavoittuvuuksia;

32) ’CE-merkinnällä’ merkintää, jolla valmistaja osoittaa, että digitaalisia elementtejä sisältävä tuote ja valmistajan käyttöön ottamat prosessit ovat liitteessä I esitettyjen olennaisten vaatimusten ja muussa sovellettavassa unionin lainsäädännössä, jolla yhdenmukaistetaan tuotteiden kaupan pitämisen ehtoja (’unionin yhdenmukaistamislainsäädäntö’) ja jossa säädetään merkinnän kiinnittämisestä, mukaisia;

33) ’markkinavalvontaviranomaisella’ asetuksen (EU) 2019/1020 3 artiklan 4 alakohdassa määriteltyä viranomaista;

34) ’yhdenmukaistetulla standardilla’ asetuksen (EU) N:o 1025/2012 2 artiklan 1 kohdan c alakohdassa määriteltyä yhdenmukaistettua standardia;

34 a) ’kansainvälisellä standardilla’ asetuksen (EU) N:o 1025/2012 2 artiklan 1 kohdan a alakohdassa määriteltyä kansainvälistä standardia;

35) riskillä’ direktiivin (EU) 2022/2555 6 artiklan 9 alakohdassa määriteltyä riskiä;

36) ’merkittävällä kyberturvariskillä’ kyberturvariskiä, jonka voidaan teknisten ominaispiirteidensä perusteella suurella todennäköisyydellä olettaa aiheuttavan poikkeaman, jolla voisi olla vakavia kielteisiä vaikutuksia muun muassa aiheuttamalla huomattavia aineellisia tai aineettomia menetyksiä tai häiriöitä;

37) ’ohjelmistosisältöluettelolla’ muodollista selitettä, jossa esitetään digitaalisia elementtejä sisältävän tuotteen ohjelmistoelementteihin sisältyvien komponenttien yksityiskohtaiset tiedot ja toimitusketjusuhteet;

38) ’haavoittuvuudella’ direktiivin (EU) 2022/2555 6 artiklan 15 alakohdassa määriteltyä haavoittuvuutta;

39) ’aktiivisesti hyödynnetyllä haavoittuvuudella’ haavoittuvuutta, jonka osalta on luotettavaa näyttöä siitä, että jokin toimija on ajanut tietyssä järjestelmässä haitallista koodia ilman järjestelmän omistajan lupaa;

39 a) ’poikkeamalla’ direktiivin (EU) 2022/2555 6 artiklan 6 alakohdassa määriteltyä poikkeamaa;

39 b) ’läheltä piti -tilanteella’ direktiivin (EU) 2022/2555 6 artiklan 5 alakohdassa määriteltyä läheltä piti -tilannetta;

39 c) ’kyberuhalla’ asetuksen (EU) 2019/881 2 artiklan 8 alakohdassa määriteltyä kyberuhkaa;

40) ’henkilötiedoilla’ asetuksen (EU) 2016/679 4 artiklan 1 alakohdassa määriteltyjä tietoja.

4 artikla
Vapaa liikkuvuus

1. Jäsenvaltiot eivät saa tämän asetuksen soveltamisalaan kuuluvien seikkojen osalta estää tämän asetuksen mukaisten digitaalisia elementtejä sisältävien tuotteiden asettamista saataville markkinoilla.

2. Jäsenvaltiot eivät saa estää digitaalisia elementtejä sisältävien tuotteiden prototyyppien, jotka eivät ole tämän asetuksen mukaisia, esittelyä ja käyttöä edellyttäen, että tällaisen tuotteen saatavuus on rajoitettu ajallisesti ja tietylle maantieteelliselle alueelle ja että se toimitetaan yksinomaan testausta varten ja mahdollisuuksien mukaan siten, että tuotteessa on näkyvä merkintä, josta käy ilmi sen vaatimustenvastaisuus.

3. Jäsenvaltiot eivät saa estää sellaisten keskeneräisten ohjelmistojen asettamista saataville maksutta, jotka eivät ole tämän asetuksen mukaisia, edellyttäen, että ohjelmisto asetetaan saataville vain rajoitetuksi ajaksi, joka on tarpeen testausta varten, ja että näkyvästä merkinnästä käy selvästi ilmi, että ohjelmisto ei ole tämän asetuksen mukainen ja että se ei ole saatavilla markkinoilla muita tarkoituksia kuin testausta varten.

3 a. Jäsenvaltiot voivat, tarvittaessa ENISAn tuella, perustaa valvottuja testausympäristöjä innovatiivisia tuotteita varten ja siten helpottaa niiden kehittämistä. Tässä yhteydessä on annettava erityistä tukea mikroyrityksille sekä pienille ja keskisuurille yrityksille, mukaan lukien startup-yritykset.

5 artikla
Digitaalisia elementtejä sisältäviä tuotteita koskevat vaatimukset

Digitaalisia elementtejä sisältäviä tuotteita saa asettaa saataville markkinoilla ainoastaan seuraavin edellytyksin:

1) ne täyttävät liitteessä I olevassa 1 jaksossa vahvistetut olennaiset vaatimukset ja niitä käytetään asianmukaisesti asennettuina ja huollettuina käyttötarkoituksensa mukaisesti tai kohtuudella ennakoitavissa olosuhteissa ja tarvittaessa varustettuina tarvittavilla tietoturva- ja toimintopäivityksillä ja

2) valmistajan käyttämät prosessit täyttävät liitteessä I olevassa 2 jaksossa vahvistetut olennaiset vaatimukset.

6 artikla
Digitaalisia elementtejä sisältävät kriittiset tuotteet

1. Liitteessä III lueteltuun tuoteryhmään kuuluvia, digitaalisia elementtejä sisältäviä tuotteita on pidettävä digitaalisia elementtejä sisältävinä kriittisinä tuotteina. Tuotteiden, joiden ydintoiminto kuuluu tämän asetuksen liitteessä III lueteltuun tuoteryhmään, katsotaan kuuluvan kyseiseen tuoteryhmään. Digitaalisia elementtejä sisältävät kriittiset tuoteryhmät jaetaan liitteen III mukaisesti kyberturvariskin tason perusteella luokkiin I ja II.

Korkeampaan kriittisyysluokkaan kuuluvan tuotteen integrointi ei muuta sen tuotteen kriittisyysluokkaa, johon se integroidaan.

2. Siirretään komissiolle valta antaa 50 artiklan mukaisesti delegoituja säädöksiä, joilla muutetaan liitettä III sisällyttämällä digitaalisia elementtejä sisältävien kriittisten tuoteryhmien luetteloon uusi tuoteryhmä tai poistamalla siitä tietty tuoteryhmä. Ensimmäinen tällainen delegoitu säädös voidaan antaa aikaisintaan kahden vuoden kuluttua tämän asetuksen voimaantulopäivästä. Mahdollisia myöhempiä delegoituja säädöksiä voidaan antaa aikaisintaan kahden vuoden kuluttua ensimmäisen delegoidun säädöksen antamisen jälkeen. Arvioidessaan tarvetta muuttaa liitteessä III olevaa luetteloa komissio ottaa huomioon digitaalisia elementtejä sisältävien tuoteryhmien kyberturvariskin tason. Kyberturvariskin tasoa määritettäessä on otettava huomioon yksi tai useampi seuraavista kriteereistä:

a) digitaalisia elementtejä sisältävän tuotteen kyberturvallisuuteen liittyvä toiminnallisuus ja se, onko digitaalisia elementtejä sisältävällä tuotteella vähintään yksi seuraavista ominaisuuksista:

i) se on suunniteltu toimimaan korkean tason etuoikeuksin tai hallinnoimaan oikeuksia;

ii) sillä on suora tai etuoikeutettu pääsy verkko- tai laskentaresursseihin;

iii) se on suunniteltu valvomaan datan tai operatiivisen teknologian käyttöoikeuksia;

iv) se suorittaa luotettavuuden kannalta kriittisiä toimintoja, erityisesti tietoturvatoimintoja, kuten verkon valvonta, päätepisteen tietoturva ja verkon suojaus;

b) tuotteen aiottu käyttötarkoitus herkissä ympäristöissä, kuten teollisuusympäristöissä tai direktiivin (EU) 2022/2555 3 artiklassa tarkoitettujen keskeisten toimijoiden toimesta;

c) tuotteen aiottu käyttötarkoitus kriittisten tai arkaluonteisten toimintojen, kuten henkilötietojen käsittelyn, suorittamisessa;

d) haitallisen vaikutuksen mahdollinen laajuus, erityisesti sen voimakkuus ja kyky vaikuttaa lukuisiin henkilöihin;

(e) se, missä määrin kyseisten digitaalisia elementtejä sisältävien tuotteiden käyttö on jo aiheuttanut aineellisia tai aineettomia menetyksiä tai häiriöitä tai aiheuttanut huomattavaa huolta haitallisen vaikutuksen toteutumisesta.

3. Siirretään komissiolle valta antaa 50 artiklan mukaisesti delegoitu säädös, jolla täydennetään tätä asetusta täsmentämällä liitteessä III esitetyt luokkiin I ja II kuuluvien tuoteryhmien määritelmät. Delegoitu säädös annetaan viimeistään ... päivänä ...kuuta ... [6 kuukauden kuluttua tämän asetuksen voimaantulosta].

4. Digitaalisia elementtejä sisältävien kriittisten tuotteiden on läpikäytävä 24 artiklan 2 ja 3 kohdassa tarkoitettu vaatimustenmukaisuuden arviointimenettely.

Jos liitteessä III esitettyyn luokkaan I tai II lisätään tämän artiklan 2 kohdan nojalla annetulla delegoidulla säädöksellä uusi digitaalisia elementtejä sisältävien kriittisten tuotteiden luokka, siihen aletaan soveltaa tämän asetuksen 24 artiklan 2 ja 3 kohdassa tarkoitettuja asiaankuuluvia vaatimustenmukaisuuden arviointimenettelyjä 12 kuukauden kuluttua kyseisen delegoidun säädöksen hyväksymispäivästä.

5. Siirretään komissiolle valta antaa 50 artiklan mukaisesti delegoituja säädöksiä, joilla täydennetään tätä asetusta määrittämällä sellaisten digitaalisia elementtejä sisältävien erittäin kriittisten tuotteiden ryhmät, joiden osalta valmistajien on asetuksen (EU) 2019/881 nojalla hankittava  varmuustason ”korkea” eurooppalainen kyberturvallisuussertifikaatti eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaisesti sen osoittamiseksi, että ne ovat liitteessä I vahvistettujen olennaisten vaatimusten tai niiden osien mukaisia. Velvollisuutta hankkia eurooppalainen kyberturvallisuussertifikaatti sovelletaan 12 kuukauden kuluttua asiaankuuluvan delegoidun säädöksen hyväksymisestä. Määrittäessään tällaisia digitaalisia elementtejä sisältäviä erittäin kriittisiä tuoteryhmiä komissio ottaa huomioon tuoteryhmään liittyvän kyberturvariskin tason yhden tai useamman 2 kohdassa luetellun kriteerin perusteella sekä sen perusteella, päteekö tuoteryhmään jompi kumpi seuraavista:

a) käyttävätkö tai hyödyntävätkö tuoteryhmää direktiivin (EU) 2022/2555 3 artiklassa tarkoitetun tyyppiset keskeiset toimijat tai onko tuoteryhmällä mahdollisesti tulevaisuudessa merkitystä näiden toimijoiden toiminnan kannalta tai

b) onko tuoteryhmällä merkitystä digitaalisia elementtejä sisältävien tuotteiden koko toimitusketjun häiriönsietokyvyn kannalta.

5 a. Siirretään komissiolle valta antaa tämän artiklan 5 kohdassa tarkoitettuja delegoituja säädöksiä aikaisintaan 12 kuukauden kuluttua siitä, kun asiaankuuluva eurooppalainen kyberturvallisuuden sertifiointijärjestelmä on hyväksytty asetuksen (EU) 2019/881 mukaisesti.

6 a artikla
Kyberkestävyyttä käsittelevä asiantuntijaryhmä

1. Komissio perustaa viimeistään ... päivänä ...kuuta ... [6 kuukauden kuluttua tämän asetuksen voimaantulopäivästä] kyberkestävyyttä käsittelevän asiantuntijaryhmän, jäljempänä ’asiantuntijaryhmä’. Komissio nimittää asiantuntijaryhmän kolmen vuoden toimikaudeksi, joka voidaan uusia. Asiantuntijaryhmän kokoonpanossa pyritään tasapainoiseen sukupuolijakaumaan ja tasapainoiseen maantieteelliseen edustukseen ja siihen on kuuluttava seuraavat:

a) kunkin seuraavan edustajat:

i) Euroopan unionin kyberturvallisuusvirasto;

i a) Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskus;

ii) Euroopan tietosuojaneuvosto;

iii) eurooppalaiset standardointielimet.

Tarvittaessa voidaan kutsua muiden unionin virastojen edustajia.

b) asiaankuuluvia talouden toimijoita edustavat asiantuntijat siten, että varmistetaan mikroyritysten sekä pienten ja keskisuurten yritysten asianmukainen edustus;

c) kansalaisyhteiskuntaa, myös kuluttajajärjestöjä sekä vapaiden ja avoimen lähdekoodin ohjelmistojen yhteisöä, edustavat asiantuntijat;

d) yksityishenkilöinä nimetyt asiantuntijat, joilla on osoitettua tietämystä ja kokemusta tämän asetuksen soveltamisalaan kuuluvilta aloilta;

e) tiedeyhteisöä, kuten yliopistoja, tutkimuslaitoksia ja muita tieteellisiä organisaatioita, edustavat asiantuntijat, mukaan lukien henkilöt, joilla on maailmanlaajuista asiantuntemusta.

2. Asiantuntijaryhmän on neuvottava komissiota seuraavissa asioissa:

a) liitteessä III esitetty luettelo digitaalisia elementtejä sisältävistä kriittisistä tuotteista sekä mahdollinen tarve päivittää kyseistä luetteloa;

b) asetuksen (EU) 2019/881 mukaisten eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien täytäntöönpano ja mahdollisuus tehdä niistä pakollisia digitaalisia elementtejä sisältävien erittäin kriittisten tuotteiden osalta;

c) digitaalisia elementtejä sisältävien tuotteiden ei-sitovat arvioinnit sellaisen markkinavalvontaviranomaisen pyynnöstä, joka suorittaa 43 artiklan mukaista tutkimusta;

d) uuden lainsäädäntökehyksen asiaankuuluvien käsitteiden soveltaminen ohjelmistoihin, erityisesti vapaisiin ja avoimen lähdekoodin ohjelmistoihin;

e) 17 a artiklassa tarkoitetuissa ohjeissa käsiteltävät asetuksen osat;

f) eurooppalaisten ja kansainvälisten standardien saatavuus ja laatu sekä mahdollisuus täydentää niitä tai korvata ne yhteisillä teknisillä eritelmillä;

g) kyberturva-alan ammattitaitoisten ammattilaisten saatavuus kaikkialla unionissa, mukaan lukien riittävä henkilöstö tämän asetuksen mukaisten kolmannen osapuolen suorittamien vaatimustenmukaisuuden arviointien tekemiseksi;

h) mahdollinen tarve muuttaa tätä asetusta.

Asiantuntijaryhmän on myös kartoitettava nykyisiä ja korjattuja haavoittuvuuksia koskevia suuntauksia unionin ja jäsenvaltioiden tasolla.

3. Asiantuntijaryhmän on otettava huomioon useiden eri sidosryhmien näkemykset ja suoritettava tehtävänsä noudattaen suurinta mahdollista ammattimaisuutta, riippumattomuutta, puolueettomuutta ja objektiivisuutta.

3 a. Komissio kuulee asiantuntijaryhmää valmistellessaan tähän asetukseen perustuvia delegoituja säädöksiä tai täytäntöönpanosäädöksiä.

3b. Asiantuntijaryhmä voi antaa markkinavalvontaviranomaisille ei-sitovia arviointeja digitaalisia elementtejä sisältävistä tuotteista 43 artiklan mukaisten tutkimusten helpottamiseksi.

4. Asiantuntijaryhmän puheenjohtajana toimii komissio, ja se muodostetaan komission asiantuntijaryhmien perustamista ja toimintaa koskevien horisontaalisten sääntöjen mukaisesti. Tässä yhteydessä komissio voi tapauskohtaisesti kutsua mukaan asiantuntijoita, joilla on erityistä asiantuntemusta.

5. Asiantuntijaryhmän on suoritettava tehtävänsä avoimuusperiaatteen mukaisesti. Komissio julkistaa asiantuntijaryhmän kokoonpanon, sen jäsenten sidonnaisuuksia koskevat ilmoitukset, yhteenvedon asiantuntijaryhmän kokouksista ja muut asiaankuuluvat asiakirjat komission verkkosivustolla.

6 b artikla
Osaamisen parantaminen kyberkestävässä digitaalisessa ympäristössä

Tämän asetuksen soveltamiseksi ja jotta voidaan vastata sellaisten ammattilaisten kysyntään, jotka kykenevät varmistamaan digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuuden, komissio ja jäsenvaltiot varmistavat yhteistyössä ENISAn kanssa seuraavien toteuttamisen:

a) kyberturva-alan koulutusohjelmat ja niihin liittyvät urapolut, joilla edistetään kyberturva-alan työvoiman häiriönsietokykyä ja osallisuutta, myös sukupuolinäkökohtien osalta ja asianomaisten yritysten tarpeiden mukaisesti, erityisesti silloin, kun kyseiset yritykset ovat mikroyrityksiä, pieniä tai keskisuuria yrityksiä, mukaan lukien startup-yritykset, tai kuuluvat julkishallintoon;

b) aloitteet, joilla lisätään yksityisen sektorin, talouden toimijoiden, kuluttajien, koulutuksen tarjoajien sekä jäsenvaltioiden välistä yhteistyötä, mukaan lukien tarjoamalla valmistajien työntekijöille uudelleen- tai täydennyskoulutusta, ja laajennetaan nuorten mahdollisuuksia saada työpaikkoja tällä alalla;

c) strategiat, joilla pyritään lisäämään työvoiman liikkuvuutta, kehitetään kyberturvaosaamista ja luodaan organisatorisia ja teknologisia välineitä olemassa olevan kyberturvaosaamisen maksimoimiseksi.

7 artikla
Yleinen tuoteturvallisuus

Poiketen siitä, mitä säädetään asetuksen (EU) 2023/988 2 artiklan 1 kohdan kolmannen alakohdan b alakohdassa, jos digitaalisia elementtejä sisältäviin tuotteisiin ei sovelleta unionin muussa yhdenmukaistamislainsäädännössä säädettyjä [▌ asetuksen (EU) 2023/988 3 artiklan 25 kohdassa] tarkoitettuja erityisvaatimuksia, kyseisiin tuotteisiin sovelletaan tämän asetuksen soveltamisalaan kuulumattomien turvallisuusriskien osalta asetuksen (EU) 2023/988 III luvun 1 jakson V ja VII lukua ja IX–XI lukua.

8 artikla
Suuririskiset tekoälyjärjestelmät

1. Asetuksen [tekoälyasetus] [6 artiklan] mukaisesti suuririskisiksi tekoälyjärjestelmiksi luokiteltujen digitaalisia elementtejä sisältävien tuotteiden, jotka kuuluvat tämän asetuksen soveltamisalaan ja täyttävät tämän asetuksen liitteessä I olevassa 1 jaksossa vahvistetut olennaiset vaatimukset ja jos valmistajan käyttöön ottamat prosessit täyttävät liitteessä I olevassa 2 jaksossa vahvistetut olennaiset vaatimukset, katsotaan täyttävän asetuksen [tekoälyasetus] [15 artiklassa] vahvistetut kyberturvallisuuteen liittyvät vaatimukset, sanotun kuitenkaan vaikuttamatta edellä mainittuun artiklaan sisältyviin muihin, tarkkuuteen ja luotettavuuteen liittyviin vaatimuksiin ja siltä osin kuin kyseisillä vaatimuksilla edellytettävä suojan taso osoitetaan tämän asetuksen nojalla annetulla EU-vaatimustenmukaisuusvakuutuksella.

2. Edellä 1 kohdassa tarkoitettuihin tuotteisiin ja kyberturvavaatimuksiin sovelletaan asetuksen [tekoälyasetus] [43 artiklassa] edellytettyä asiaankuuluvaa vaatimustenmukaisuuden arviointimenettelyä. Tätä arviointia varten niillä asiaankuuluvilla laitoksilla, joilla on oikeus valvoa suuririskisten tekoälyjärjestelmien vaatimustenmukaisuutta asetuksen [tekoälyasetus] nojalla, on myös oikeus valvoa, että tämän asetuksen soveltamisalaan kuuluvat suuririskiset tekoälyjärjestelmät täyttävät tämän asetuksen liitteessä I vahvistetut vaatimukset, edellyttäen että se, että kyseiset ilmoitetut laitokset täyttävät tämän asetuksen 29 artiklassa säädetyt vaatimukset, on arvioitu asetuksen [tekoälyasetus] mukaisen ilmoitusmenettelyn yhteydessä.

3. Poiketen siitä, mitä 2 kohdassa säädetään, tämän asetuksen liitteessä III lueteltujen digitaalisia elementtejä sisältävien kriittisten tuotteiden, joiden on läpikäytävä tämän asetuksen 24 artiklan 2 kohdan a ja b alakohdassa ja 24 artiklan 3 kohdan a ja b alakohdassa tarkoitetut vaatimustenmukaisuuden arviointimenettelyt ja jotka luokitellaan myös asetuksen [tekoälyasetus] [6 artiklan] mukaisiksi suuririskisiksi tekoälyjärjestelmiksi, joiden on läpikäytävä asetuksen [tekoälyasetus] liitteessä [liite VI] tarkoitettu sisäiseen valvontaan perustuva vaatimustenmukaisuuden arviointimenettely, on läpikäytävä tässä asetuksessa edellytetyt vaatimustenmukaisuuden arviointimenettelyt siltä osin kuin on kyse tämän asetuksen olennaisten vaatimusten täyttymisestä.

3 a. Tämän artiklan 1 kohdan mukaisesti suuririskisiksi tekoälyjärjestelmiksi luokiteltujen digitaalisia elementtejä sisältävien tuotteiden valmistajat voivat osallistua asetuksen [tekoälyasetus] 53 artiklassa tarkoitettuihin tekoälyn sääntelyn testiympäristöihin.

9 artikla
Konetuotteet

Asetuksen (EU) 2023/1230 soveltamisalaan kuuluvien konetuotteiden, jotka ovat tässä asetuksessa tarkoitettuja digitaalisia elementtejä sisältäviä tuotteita tai digitaalisia elementtejä sisältäviä osittain valmiita tuotteita ja joille on annettu EU-vaatimustenmukaisuusvakuutus tämän asetuksen nojalla, katsotaan olevan asetuksen (EU) 2023/1230 liitteessä [liitteessä III olevassa 1.1.9 ja 1.2.1 kohdassa] vahvistettujen olennaisten terveys- ja turvallisuusvaatimusten mukaisia korruptoitumiselta suojautumisen sekä ohjausjärjestelmien turvallisuuden ja luotettavuuden osalta siltä osin kuin kyseisillä vaatimuksilla edellytettävä suojan taso osoitetaan tämän asetuksen nojalla annetulla EU-vaatimustenmukaisuusvakuutuksella.

9 a artikla
Digitaalisia elementtejä sisältävien tuotteiden julkiset hankinnat

1. Rajoittamatta Euroopan parlamentin ja neuvoston direktiivien 2014/24/EU[35] ja 2014/25/EU[36] soveltamista jäsenvaltioiden on digitaalisia elementtejä sisältäviä tuotteita hankkiessaan varmistettava kyberturvallisuuden korkea taso ja tuotteiden asianmukainen tukikausi.

2. Jäsenvaltioiden on varmistettava, että valmistajat korjaavat julkisesti hankittujen digitaalisia elementtejä sisältävien tuotteiden haavoittuvuudet, muun muassa asettamalla tietoturvapäivitykset saataville viipymättä.

II LUKU

TALOUDEN TOIMIJOIDEN VELVOLLISUUDET

10 artikla
Valmistajien velvollisuudet

1. Saattaessaan digitaalisia elementtejä sisältävää tuotetta markkinoille valmistajien on varmistettava, että se on suunniteltu, kehitetty ja tuotettu liitteessä I olevassa 1 jaksossa vahvistettujen olennaisten vaatimusten mukaisesti.

2. Edellä 1 kohdassa säädetyn velvoitteen noudattamiseksi valmistajien on arvioitava digitaalisia elementtejä sisältävän tuotteen kyberturvariskit ja otettava arvioinnin tulokset huomioon digitaalisia elementtejä sisältävän tuotteen suunnittelu-, kehitys-, tuotanto-, toimitus- ja ylläpitovaiheissa kyberturvariskien minimoimiseksi, tietoturvapoikkeamien ehkäisemiseksi ja tällaisten poikkeamien vaikutusten minimoimiseksi, myös käyttäjien terveyden ja turvallisuuden osalta.

2 a. Valmistajien on kyberturvariskien arvioinnin perusteella määritettävä, miten liitteessä I olevassa 1 jaksossa vahvistetut olennaiset vaatimukset ovat sovellettavissa niiden digitaalisia elementtejä sisältävään tuotteeseen. Niiden on sisällytettävä riskinarviointi 23 artiklassa tarkoitettuihin teknisiin asiakirjoihin.

3. Saattaessaan markkinoille digitaalisia elementtejä sisältävää tuotetta valmistajan on sisällytettävä teknisiin asiakirjoihin 23 artiklan ja liitteen V mukaisesti arvio kyberturvariskeistä. Tämän asetuksen 8 artiklassa ja 24 artiklan 4 kohdassa tarkoitettujen digitaalisia elementtejä sisältävien tuotteiden, joihin sovelletaan myös muita unionin säädöksiä, osalta kyberturvariskien arviointi voi olla osa kyseisissä unionin muissa säädöksissä edellytettyä riskinarviointia. Jos tietyt olennaiset vaatimukset eivät sovellu tiettyyn digitaalisia elementtejä sisältävään markkinoituun tuotteeseen, valmistajan on perusteltava tämä selkeästi kyseisissä asiakirjoissa.

4. Edellä 1 kohdassa säädetyn velvoitteen täyttämiseksi valmistajien on noudatettava asianmukaista huolellisuutta, kun ne integroivat digitaalisia elementtejä sisältäviin tuotteisiin kolmansilta osapuolilta hankittuja komponentteja. On valmistajan vastuulla varmistaa, että tällaiset komponentit eivät vaaranna digitaalisia elementtejä sisältävän tuotteen tietoturvaa, myös silloin, kun tuotteeseen integroidaan vapaiden ohjelmistojen ja avoimen lähdekoodin komponentteja, joita ei ole asetettu saataville markkinoilla liiketoiminnan yhteydessä.

Kun valmistajat havaitsevat haavoittuvuuden digitaalisia elementtejä sisältävään tuotteeseen integroidussa komponentissa, myös vapaiden ohjelmistojen ja avoimen lähdekoodin komponentissa, niiden on puututtava haavoittuvuuteen ja korjattava se liitteessä I olevassa 2 jaksossa vahvistettujen haavoittuvuuksien käsittelyä koskevien vaatimusten mukaisesti ja jaettava toteutetut korjaavat toimenpiteet komponenttia ylläpitävän henkilön tai toimijan kanssa.

4 a. Komponenttien valmistajan on toimitettava digitaalisia elementtejä sisältävän lopputuotteen valmistajalle tiedot ja asiakirjat, jotka ovat tarpeen tämän asetuksen vaatimusten noudattamiseksi, kun se toimittaa valmistajalle tällaisia komponentteja. Nämä tiedot on annettava maksutta.

5. Valmistajan on oikeassa suhteessa kyberturvariskin suuruuteen ja luonteeseen nähden järjestelmällisesti dokumentoitava digitaalisia elementtejä sisältävän tuotteen asiaankuuluvat kyberturvanäkökohdat, mukaan lukien tietoonsa tulleet haavoittuvuudet ja kaikki kolmansien osapuolten toimittamat merkitykselliset tiedot, ja tarvittaessa päivitettävä tuotteen riskinarviointi.

6. Saattaessaan markkinoille digitaalisia elementtejä sisältävää tuotetta valmistajien on määritettävä tukikausi, jonka ajan kyseisen tuotteen haavoittuvuudet käsitellään tehokkaasti ja liitteessä I olevassa 2 jaksossa vahvistettujen olennaisten vaatimusten mukaisesti. Tukikautta määrittäessään valmistajan on varmistettava, että se on oikeassa suhteessa tuotteen odotettuun käyttöikään sekä tuotteen luonteen ja käyttäjien odotusten, käyttöympäristön saatavuuden ja tarvittaessa digitaalisia elementtejä sisältävään tuotteeseen integroitujen keskeisimpien komponenttien tukikauden mukainen. Tätä varten valmistajien on markkinavalvontaviranomaisten pyynnöstä asetettava saataville tiedot tuotteen odotetusta käyttöiästä, jota käytettiin markkinoilla saataville asetetun tuotteen tukikauden keston määrittämiseksi. Markkinavalvontaviranomaisten on seurattava digitaalisia elementtejä sisältäviä tuotteita ja varmistettava aktiivisesti, että valmistajat ovat soveltaneet näitä kriteerejä asianmukaisella tavalla määrittäessään tukikautta, esimerkiksi arvioitava valmistajilta saadut tiedot, jotka koskevat tuotteen odotettua käyttöikää.

Tarvittaessa tukikausi on ilmoitettava selkeästi tuotteessa, sen pakkauksessa tai sisällytettävä sopimuksiin. Tukikauden kestosta on joka tapauksessa ilmoitettava myös loppukäyttäjille ennen tuotteen ostamista.

Valmistajilla on oltava asianmukaiset toimintatavat ja menettelyt, mukaan lukien liitteessä I olevan 2 jakson 5 kohdassa tarkoitetut koordinoidut haavoittuvuuksien ilmoittamisperiaatteet ja -menettelyt, joilla käsitellään ja korjataan sisäisten tai ulkoisten lähteiden raportoimat digitaalisia elementtejä sisältävän tuotteen mahdolliset haavoittuvuudet.

Digitaalisia elementtejä sisältävien kuluttajatuotteiden osalta näihin menettelyihin on soveltuvissa tapauksissa oletusarvoisesti sisällyttävä automaattiset tietoturvapäivitykset. Käyttäjien olisi voitava poistaa käytöstä nämä automaattiset tietoturvapäivitykset.

Valmistajien on tiedotettava aktiivisesti käyttäjille, kun niiden digitaalisia elementtejä sisältävän tuotteen tukikausi on päättynyt.

6 a. Jos tukikausi on alle viisi vuotta ja haavoittuvuuksien käsittely on päättynyt, valmistajat voivat tarjota pääsyn tällaisen digitaalisia elementtejä sisältävän tuotteen lähdekoodiin muille yrityksille, jotka sitoutuvat jatkamaan haavoittuvuuksien käsittelypalvelujen, erityisesti tietoturvapäivitysten, tarjoamista. Pääsy tällaisiin lähdekoodeihin voidaan antaa vain, jos siitä määrätään sopimusjärjestelyssä. Näiden järjestelyjen on suojattava digitaalisia elementtejä sisältävän tuotteen omistusoikeus ja estettävä lähdekoodin levittäminen suurelle yleisölle, paitsi jos kyseinen koodi on jo asetettu saataville vapaalla ja avoimen lähdekoodin lisenssillä.

7. Ennen digitaalisia elementtejä sisältävän tuotteen saattamista markkinoille valmistajien on laadittava 23 artiklassa tarkoitetut tekniset asiakirjat.

Niiden on suoritettava tai teetettävä valitsemansa 24 artiklassa tarkoitetut vaatimustenmukaisuuden arviointimenettelyt.

Jos kyseisellä vaatimustenmukaisuuden arviointimenettelyllä on osoitettu, että digitaalisia elementtejä sisältävä tuote täyttää liitteessä I olevassa 1 jaksossa vahvistetut olennaiset vaatimukset ja että valmistajan prosessit täyttävät liitteessä I olevassa 2 jaksossa vahvistetut olennaiset vaatimukset, valmistajan on laadittava EU‑vaatimustenmukaisuusvakuutus 20 artiklan mukaisesti ja kiinnitettävä CE‑merkintä 22 artiklan mukaisesti.

8. Valmistajien on pidettävä tekniset asiakirjat ja EU-vaatimustenmukaisuusvakuutus markkinavalvontaviranomaisten saatavilla vähintään kymmenen vuoden ajan tai tukikauden ajan, sen mukaan kumpi näistä on pidempi ajanjakso, sen jälkeen, kun digitaalisia elementtejä sisältävä tuote on saatettu markkinoille.

Markkinavalvontaviranomaisten on 52 artiklan mukaisesti varmistettava valmistajien toimittamissa teknisissä asiakirjoissa olevien tietojen luottamuksellisuus ja asianmukainen suoja.

9. Valmistajien on huolehdittava siitä, että käytössä on menettelyt, joiden avulla sarjatuotantoon kuuluvat digitaalisia elementtejä sisältävät tuotteet edelleenkin täyttävät vaatimukset. Valmistajan on otettava asianmukaisesti huomioon muutokset kehitys- ja tuotantoprosessissa tai digitaalisia elementtejä sisältävän tuotteen rakenteessa tai ominaisuuksissa sekä muutokset yhdenmukaistetuissa horisontaalisissa tai alakohtaisissa standardeissa, eurooppalaisissa kyberturvallisuuden sertifiointijärjestelmissä tai 19 artiklassa tarkoitetuissa yhteisissä eritelmissä, joihin viitaten digitaalisia elementtejä sisältävän tuotteen vaatimustenmukaisuus ilmoitetaan tai joiden perusteella tuotteen vaatimustenmukaisuus todennetaan.

10. Valmistajien on varmistettava, että digitaalisia elementtejä sisältävien tuotteiden mukana on sähköisessä tai fyysisessä muodossa liitteessä II esitetyt tiedot ja ohjeet. Näiden tietojen ja ohjeiden on oltava kielellä, jota käyttäjät helposti ymmärtävät. Niiden on oltava selkeitä, ymmärrettäviä, sisäistettäviä ja luettavia. Niiden on mahdollistettava digitaalisia elementtejä sisältävien tuotteiden tietoturvallinen asentaminen, ylläpito ja käyttö.

Jos tällaiset tiedot ja ohjeet annetaan sähköisessä muodossa, valmistajien on

a) esitettävä ne käyttäjäystävällisessä muodossa, jonka ansiosta käyttäjä voi tutustua niihin verkossa, ladata ne, tallentaa ne sähköiselle laitteelle ja tulostaa ne;

b) varmistettava, että ne ovat saatavilla verkossa vähintään digitaalisia elementtejä sisältävän tuotteen tukikauden ajan.

11. Valmistajien on joko toimitettava EU-vaatimustenmukaisuusvakuutus digitaalisia elementtejä sisältävän tuotteen mukana tai sisällytettävä liitteessä II tarkoitettuihin käyttöohjeisiin ja tietoihin verkko-osoite, jossa EU-vaatimustenmukaisuusvakuutus on saatavilla.

12. Digitaalisia elementtejä sisältävän tuotteen markkinoille saattamisesta alkaen ja vähintään tuotteen tukikauden ajan  valmistajien, jotka tietävät tai joilla on syytä uskoa, että digitaalisia elementtejä sisältävä tuote tai niiden käyttämät prosessit eivät täytä liitteessä I vahvistettuja olennaisia vaatimuksia, on välittömästi toteutettava tarvittavat korjaavat toimenpiteet digitaalisia elementtejä sisältävien tuotteiden tai prosessiensa saattamiseksi vaatimusten mukaisiksi tai tapauksen mukaan tuotteen poistamiseksi markkinoilta tai sitä koskevan palautusmenettelyn järjestämiseksi.

13. Valmistajien on markkinavalvontaviranomaisen perustellusta pyynnöstä annettava kyseiselle viranomaiselle sen helposti ymmärtämällä kielellä kaikki paperilla tai sähköisessä muodossa olevat tiedot ja asiakirjat, jotka ovat tarpeen sen osoittamiseksi, että digitaalisia elementtejä sisältävä tuote ja valmistajan prosessit täyttävät liitteessä I vahvistetut olennaiset vaatimukset. Valmistajien on tehtävä kyseisen viranomaisen kanssa tämän pyynnöstä yhteistyötä kaikissa toimenpiteissä, joita toteutetaan niiden markkinoille saattamien digitaalisia elementtejä sisältävien tuotteiden aiheuttamien kyberturvariskien poistamiseksi.

14. Valmistajan, joka lopettaa toimintansa eikä sen vuoksi pysty noudattamaan tässä asetuksessa säädettyjä velvoitteitaan, on ennen toiminnan loppumista ilmoitettava tilanteesta asianomaisille markkinavalvontaviranomaisille sekä kaikin käytettävissä olevin keinoin ja mahdollisuuksien mukaan kyseisten markkinoille saatettujen digitaalisia elementtejä sisältävien tuotteiden käyttäjille.

15. Siirretään komissiolle valta asiantuntijaryhmää kuultuaan ja kansainväliset standardit huomioon otettuaan antaa delegoituja säädöksiä 50 artiklan mukaisesti tämän asetuksen täydentämiseksi täsmentämällä liitteessä I olevan 2 jakson 1 kohdassa tarkoitetun ohjelmistosisältöluettelon muodon ja osatekijät.  

11 artikla
Valmistajien raportointivelvoitteet

1. Valmistajan on ilmoitettava ENISAlle kaikista digitaalisia elementtejä sisältävän tuotteen sisältämistä aktiivisesti hyödynnetyistä haavoittuvuuksista tämän artiklan 1 a kohdan mukaisesti. ENISAn on ilman aiheetonta viivytystä, paitsi kyberturvariskeihin liittyvistä perustelluista syistä, välitettävä ilmoitus asianomaisten jäsenvaltioiden koordinoidusta haavoittuvuuksien ilmoittamisesta direktiivin (EU) 2022/2555 12 artiklan mukaisesti vastaavalle CSIRT-yksikölle ja tiedotettava ilmoitetusta haavoittuvuudesta markkinavalvontaviranomaiselle. Jos ilmoitettuun haavoittuvuuteen ei ole saatavilla korjaavia tai lieventäviä toimenpiteitä, ENISAn on varmistettava, että ilmoitettua haavoittuvuutta koskevat tiedot jaetaan tiukkojen tietoturvakäytäntöjen mukaisesti ja tiedonsaantitarpeen perusteella.

1 a. Edellä 1 kohdassa tarkoitettuihin ilmoituksiin on sovellettava seuraavaa menettelyä:

a) ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa siitä, kun valmistaja on tullut tietoiseksi aktiivisesti hyödynnetyn haavoittuvuuden olemassaolosta, annetaan varhaisvaroitus, johon sisältyy tieto siitä, onko saatavilla tiedossa olevia korjaavia tai suositeltuja riskiä lieventäviä toimenpiteitä;

b) ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa siitä, kun valmistaja on tullut tietoiseksi aktiivisesti hyödynnetystä haavoittuvuudesta, annetaan haavoittuvuusilmoitus, jossa tarvittaessa ajantasaistetaan a alakohdassa tarkoitetut yleiset tiedot, mukaan lukien mahdollisesti toteutetut korjaavat tai lieventävät toimenpiteet, ja annetaan arvio haavoittuvuuden laajuudesta, mukaan lukien sen vakavuus ja vaikutukset;

c) kuukauden kuluessa b alakohdan mukaisen haavoittuvuusilmoituksen toimittamisesta, tai kun korjaava tai lieventävä toimenpide on saatavilla, annetaan lopullinen raportti, johon sisältyy vähintään seuraavat tiedot:

i) kuvaus haavoittuvuudesta, mukaan lukien sen vakavuus ja vaikutukset;

ii) tietoja toimijoista, jotka ovat hyödyntäneet tai hyödyntävät haavoittuvuutta, jos niitä on saatavilla;

iii) yksityiskohtaiset tiedot tietoturvapäivityksestä tai muista korjaavista toimenpiteistä, jotka on asetettu saataville haavoittuvuuden korjaamiseksi.

1 b. Kun tietoturvapäivitys on asetettu saataville tai on otettu käyttöön muita korjaavia tai lieventäviä toimenpiteitä, ENISAn on lisättävä tämän artiklan 1 kohdan mukaisesti ilmoitettu haavoittuvuus direktiivin (EU) 2022/2555 12 artiklassa tarkoitettuun eurooppalaiseen haavoittuvuustietokantaan.

2. Valmistajan on ilmoitettava ENISAlle kaikista digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavista merkittävistä poikkeamista tämän artiklan 2 b kohdan mukaisesti. ENISAn on ilman aiheetonta viivytystä, paitsi kyberturvariskeihin liittyvistä perustelluista syistä, välitettävä ilmoitukset asianomaisten jäsenvaltioiden direktiivin (EU) 2022/2555 8 artiklan mukaisesti nimetyille keskitetyille yhteyspisteille ja tiedotettava ilmoitetuista poikkeamista markkinavalvontaviranomaiselle. Ilmoittaminen ei itsessään lisää ilmoituksen tehneen toimijan vastuuta.

2 a. Poikkeama katsotaan 2 kohdassa tarkoitetuksi merkittäväksi poikkeamaksi, jos

a) se on aiheuttanut tai voi aiheuttaa kyseisen valmistajan tuotantoon tai palveluihin vakavan toimintahäiriön, joka vaikuttaisi tuotteen tietoturvaan; tai

b) se on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.

2 b. Edellä 2 kohdassa tarkoitettuihin ilmoituksiin on sovellettava seuraavaa menettelyä:

a) ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa siitä, kun valmistaja on tullut tietoiseksi merkittävästä poikkeamasta, annetaan varhaisvaroitus, jossa tarvittaessa ilmoitetaan, epäilläänkö merkittävän poikkeaman johtuvan lainvastaisista tai vihamielisistä teoista tai voisiko sillä olla rajat ylittäviä vaikutuksia;

b) ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa siitä, kun valmistaja on tullut tietoiseksi merkittävästä poikkeamasta, annetaan poikkeamailmoitus, jossa tarvittaessa ajantasaistetaan a alakohdassa tarkoitetut tiedot ja annetaan alustava arvio merkittävästä poikkeamasta, mukaan lukien sen vakavuus ja vaikutukset, sekä vaarantumisindikaattorit, jos ne ovat saatavilla; 

c) kuukauden kuluttua b alakohdan mukaisen poikkeamailmoituksen toimittamisesta annetaan lopullinen raportti, joka sisältää vähintään seuraavat tiedot:

i) yksityiskohtainen kuvaus poikkeamasta, sen vakavuus ja vaikutukset mukaan lukien;

ii) poikkeaman todennäköisesti aiheuttaneen uhkan tai perimmäisen syyn tyyppi;

iii) toteutetut ja meneillään olevat lieventävät toimenpiteet;

iv) tarvittaessa poikkeaman rajat ylittävät vaikutukset.

Jos poikkeama on meneillään silloin, kun tämän kohdan d alakohdassa tarkoitettu lopullinen raportti olisi toimitettava, jäsenvaltioiden on varmistettava, että asianomainen valmistaja toimittaa tuolloin edistymisraportin ja lopullisen raportin kuukauden kuluttua siitä, kun se on käsitellyt poikkeaman.

2 c. Valmistajien, jotka ovat ilmoittaneet merkittävistä poikkeamista tämän asetuksen mukaisesti ja jotka on myös määritetty direktiivin (EU) 2022/2555 nojalla keskeisiksi toimijoiksi tai tärkeiksi toimijoiksi, on katsottava täyttävän direktiivin (EU) 2022/2555 23 artiklan vaatimukset. ENISA toimittaa tämän asetuksen mukaisesti vastaanotetut ilmoitukset edelleen asiasta vastaavalle CSIRT-yksikölle direktiivin (EU) 2022/2555 mukaisesti. Toimijalle voidaan määrätä sakko vain kerran päällekkäisten vaatimusten noudattamatta jättämisestä.

2 d. ENISA tai asiaankuuluva CSIRT-yksikkö voi tarvittaessa pyytää valmistajia toimittamaan väliraportin, jossa annetaan olennaisia ajantasaisia tietoja aktiivisesti hyödynnetyn haavoittuvuuden tai merkittävän poikkeaman tilanteesta.

2 e. Valmistajiin, jotka katsotaan mikroyrityksiksi tai pieniksi tai keskisuuriksi yrityksiksi, ei sovelleta 1 a kohdan a alakohtaa eikä 2 b kohdan a alakohtaa.

3. ENISAn on toimitettava 1 ja 2 kohdan mukaisesti ilmoitetut tiedot direktiivin (EU) 2022/2555 16 artiklalla perustetulle Euroopan kyberkriisiyhteysorganisaatioiden verkostolle (EU-CyCLONe), jos tiedot ovat operatiivisella tasolla tarpeen laajamittaisten kyberturvapoikkeamien ja -kriisien koordinoidun hallinnan kannalta.

4. Valmistajan on ilman aiheetonta viivytystä ja tultuaan asiasta tietoiseksi tiedotettava digitaalisia elementtejä sisältävän tuotteen käyttäjille, joihin on kohdistunut vaikutuksia, ja tarvittaessa kaikille käyttäjille, merkittävästä poikkeamasta ja riskin lieventämisestä ja mahdollisista korjaavista toimenpiteistä, joita käyttäjä voi tehdä merkittävän poikkeaman vaikutusten lieventämiseksi.

4 a. ENISAn on varmistettava, että 1 ja 2 kohdan mukaiset ilmoitukset toimitetaan sellaisten viestintäkanavien kautta ja tallennetaan sellaisille palvelimille, joilla varmistetaan korkein mahdollinen kyberturvallisuuden taso ja suoja vihamielisiä toimijoita vastaan.

4 b. Jos yleinen tietoisuus on tarpeen merkittävän poikkeaman estämiseksi tai meneillään olevan merkittävän poikkeaman käsittelemiseksi tai jos merkittävän poikkeaman ilmoittaminen on muutoin yleisen edun mukaista, ENISA ja tarvittaessa asiaankuuluvien jäsenvaltioiden CSIRT-yksiköt tai toimivaltaiset viranomaiset voivat asianomaista valmistajaa kuultuaan tiedottaa merkittävästä poikkeamasta yleisölle tai vaatia toimijaa tekemään niin.

5. Komissio antaa 50 artiklan mukaisesti delegoituja säädöksiä, joilla täydennetään tätä asetusta täsmentämällä 1 ja 2 kohdan nojalla toimitettavien ilmoitusten muotoa ja toimitustapaa. Tällaiset delegoidut säädökset hyväksytään viimeistään ... päivänä ... kuuta ... [12 kuukauden kuluttua tämän asetuksen voimaantulopäivästä].

6. ENISAn on 1 ja 2 kohdan nojalla saamiensa ilmoitusten perusteella laadittava joka toinen vuosi tekninen raportti digitaalisia elementtejä sisältävien tuotteiden kyberturvariskien uusista suuntauksista ja toimitettava se direktiivin (EU) 2022/2555 14 artiklassa tarkoitetulle yhteistyöryhmälle. Ensimmäinen tällainen raportti on toimitettava 24 kuukauden kuluessa siitä, kun 1 ja 2 kohdassa säädettyjä velvoitteita on alettu soveltaa. ENISAn on sisällytettävä asiaankuuluvia tietoja teknisistä raporteistaan direktiivin (EU) 2022/2555 18 artiklan nojalla antamaansa kertomukseen kyberturvallisuuden tilasta unionissa.

6 a. ENISAn on asiantuntijaryhmän kuulemisen jälkeen perustettava suojattu digitaalinen raportointimekanismi valmistajien raportointivelvoitteiden yksinkertaistamiseksi. Tämä mekanismi toimii keskitettynä yhteyspisteenä tässä asetuksessa ja mahdollisuuksien mukaan muussa unionin lainsäädännössä vahvistetuille raportointivelvoitteille.

11 a artikla
Vapaaehtoinen ilmoittaminen

1. Edellä 11 artiklassa säädettyjen ilmoitusvelvoitteiden lisäksi ENISAlle voi toimittaa ilmoituksia vapaaehtoisesti seuraavasti:

a) valmistajat voivat ilmoittaa poikkeamista, kyberuhkista ja läheltä piti ‑tilanteista;

b) muut kuin a alakohdassa tarkoitetut toimijat voivat tehdä ilmoituksia merkittävistä ja muista kuin merkittävistä poikkeamista, kyberuhkista ja läheltä piti -tilanteista riippumatta siitä, kuuluvatko ne tämän asetuksen soveltamisalaan;

c) kaikki toimijat voivat ilmoittaa haavoittuvuuksista, jotka voidaan sisällyttää direktiivin (EU) 2022/2555 12 artiklassa tarkoitettuun Euroopan haavoittuvuustietokantaan.

2. ENISAn on käsiteltävä tämän artiklan 1 kohdan a alakohdassa tarkoitetut ilmoitukset 11 artiklassa säädetyn menettelyn mukaisesti. ENISA voi asettaa etusijalle pakollisten ilmoitusten käsittelyn vapaaehtoisten ilmoitusten käsittelyyn nähden.

3. Vapaaehtoisten ilmoitusten tekemisen yksinkertaistamiseksi niitä on voitava toimittaa 11 artiklan 6 a kohdassa tarkoitetun suojatun digitaalisen raportointimekanismin kautta.

4. ENISAn on tarvittaessa varmistettava ilmoituksen tehneen toimijan toimittamien tietojen luottamuksellisuus ja asianmukainen suoja. Vapaaehtoinen ilmoittaminen ei saa johtaa sellaisten lisävelvoitteiden asettamiseen ilmoituksen tehneelle toimijalle, joita siihen ei olisi sovellettu, jos se ei olisi toimittanut kyseistä ilmoitusta, sanotun kuitenkaan rajoittamatta rikosten ennaltaehkäisemistä, tutkimista, paljastamista ja rikoksiin liittyviä syytetoimia.

11 b artikla
Käyttäjien keskitetyt yhteyspisteet

1. Jotta voidaan helpottaa tuotteiden tietoturvasta raportointia, valmistajien on nimettävä keskitetty yhteyspiste, jotta käyttäjät voivat viestiä niiden kanssa suoraan ja nopeasti, tarvittaessa sähköisesti ja käyttäjäystävällisesti, muun muassa antamalla tuotteen käyttäjien valita liitteessä II olevassa 1 kohdassa tarkoitetut viestintäkeinot, jotka eivät saa perustua yksinomaan automatisoituihin välineisiin.

2. Euroopan parlamentin ja neuvoston direktiivissä 2000/31/EY[37] säädettyjen velvoitteiden lisäksi valmistajien on julkistettava loppukäyttäjille tarpeelliset tiedot, jotta nämä voivat helposti tunnistaa keskitetyt yhteyspisteensä ja viestiä niiden kanssa. Näiden tietojen on oltava helposti saatavilla, ja ne on pidettävä ajan tasalla.

12 artikla
Valtuutetut edustajat

1. Valmistaja voi nimittää valtuutetun edustajan kirjallisella toimeksiannolla.

2. Edellä 10 artiklan 1–6 kohdassa, 7 kohdan ensimmäisessä alakohdassa ja 9 kohdassa säädetyt velvollisuudet eivät saa olla osa valtuutetun edustajan toimeksiantoa.

3. Valtuutetun edustajan on suoritettava valmistajalta saadussa toimeksiannossa eritellyt tehtävät. Sen on esitettävä markkinavalvontaviranomaisille pyynnöstä jäljennös toimeksiannosta. Toimeksiannon perusteella valtuutetun edustajan on voitava suorittaa ainakin seuraavat tehtävät:

a) edustajan on pidettävä 20 artiklassa tarkoitettu EU‑vaatimustenmukaisuusvakuutus ja 23 artiklassa tarkoitetut tekniset asiakirjat markkinavalvontaviranomaisten saatavilla kymmenen vuoden ajan sen jälkeen, kun digitaalisia elementtejä sisältävä tuote on saatettu markkinoille;

a a)  jos valtuutetulla edustajalla on syytä uskoa, että kyseiseen digitaalisia elementtejä sisältävään tuotteeseen liittyy kyberturvariski, edustajan on ilmoitettava asiasta valmistajalle;

b) edustajan on annettava markkinavalvontaviranomaisen perustellusta pyynnöstä kyseiselle viranomaiselle kaikki tiedot ja asiakirjat, jotka ovat tarpeen digitaalisia elementtejä sisältävän tuotteen vaatimustenmukaisuuden osoittamiseksi;

c) edustajan on tehtävä markkinavalvontaviranomaisten kanssa näiden pyynnöstä yhteistyötä toimissa, joilla pyritään poistamaan tehokkaasti valtuutetun edustajan toimeksiannon piiriin kuuluvien digitaalisia elementtejä sisältävien tuotteiden aiheuttamat riskit.

13 artikla
Maahantuojien velvollisuudet

1. Maahantuojat saavat saattaa markkinoille ainoastaan digitaalisia elementtejä sisältäviä tuotteita, jotka täyttävät liitteessä I olevassa 1 jaksossa vahvistetut olennaiset vaatimukset ja joiden osalta valmistajan prosessit täyttävät liitteessä I olevassa 2 jaksossa vahvistetut olennaiset vaatimukset.

2. Ennen digitaalisia elementtejä sisältävän tuotteen saattamista markkinoille maahantuojien on varmistettava, että

a) valmistaja on suorittanut 24 artiklassa tarkoitetut asianmukaiset vaatimustenmukaisuuden arviointimenettelyt;

b) valmistaja on laatinut tekniset asiakirjat;

c) digitaalisia elementtejä sisältävässä tuotteessa on 22 artiklassa tarkoitettu CE‑merkintä, EU-vaatimustenmukaisuusvakuutus on saatavilla ja tuotteen mukana on liitteessä II esitetyt tiedot ja käyttöohjeet.

c a) valmistajalta on saatu kaikki asiakirjat, joilla osoitetaan tässä artiklassa asetettujen vaatimusten täyttyminen.

3. Jos maahantuoja katsoo tai sillä on syytä uskoa, että digitaalisia elementtejä sisältävät tuotteet tai valmistajan prosessit eivät täytä liitteessä I vahvistettuja olennaisia vaatimuksia, maahantuoja ei saa saattaa tuotetta markkinoille ennen kuin kyseiset tuotteet tai valmistajan prosessit on saatettu liitteessä I vahvistettujen olennaisten vaatimusten mukaisiksi. Lisäksi jos digitaalisia elementtejä sisältävä tuote aiheuttaa merkittävän kyberturvariskin, maahantuojan on ilmoitettava asiasta valmistajalle ja markkinavalvontaviranomaisille.

Maahantuojan on noudatettava markkinavalvontaviranomaisilta 43 artiklan mukaisesti tai komissiolta 45 artiklan mukaisesti saamiaan kohdennettuja suosituksia, mukaan lukien suositukset tuotteen markkinoilta poistamisesta tai sitä koskevasta palautusmenettelystä. Lisäksi jos maahantuoja katsoo tai sillä on syytä uskoa, että digitaalisia elementtejä sisältävä tuote voi muiden kuin teknisten riskitekijöiden vuoksi aiheuttaa kyberturvariskin, sen on poistettava kyseinen tuote markkinoilta tai järjestettävä sitä koskeva palautusmenettely. Maahantuojien on ilmoitettava asiasta markkinavalvontaviranomaisille ja komissiolle.

4. Maahantuojien on ilmoitettava nimensä, rekisteröity tuotenimensä tai rekisteröity tavaramerkkinsä, postiosoitteensa ja sähköpostiosoitteensa sekä mahdollinen verkkosivustonsa, joista heihin saa yhteyden, joko digitaalisia elementtejä sisältävässä tuotteessa tai   digitaalisia elementtejä sisältävän tuotteen pakkauksessa tai sen mukana seuraavassa asiakirjassa. Yhteystiedot on annettava käyttäjien ja markkinavalvontaviranomaisten helposti ymmärtämällä kielellä.

5. Maahantuojien on varmistettava, että digitaalisia elementtejä sisältävään tuotteeseen liitetään liitteessä II esitetyt ohjeet ja tiedot käyttäjien helposti ymmärtämällä kielellä.

6. Maahantuojien, jotka tietävät tai joilla on syytä uskoa, että digitaalisia elementtejä sisältävä tuote, jonka ne ovat saattaneet markkinoille, tai sen valmistajan prosessit eivät täytä liitteessä I vahvistettuja olennaisia vaatimuksia, on välittömästi pyydettävä valmistajaa toteuttamaan tarvittavat korjaavat toimenpiteet kyseisen digitaalisia elementtejä sisältävän tuotteen tai sen valmistajan prosessien saattamiseksi liitteessä I vahvistettujen olennaisten vaatimusten mukaisiksi tai tarvittaessa tuotteen poistamiseksi markkinoilta tai sitä koskevan palautusmenettelyn järjestämiseksi.

6 a. Kun maahantuojat tulevat tietoiseksi digitaalisia elementtejä sisältävässä tuotteessa olevasta haavoittuvuudesta, niiden on ilman aiheetonta viivytystä ilmoitettava siitä valmistajalle. Jos digitaalisia elementtejä sisältävä tuote aiheuttaa merkittävän kyberturvariskin, maahantuojien on lisäksi välittömästi tiedotettava asiasta niiden jäsenvaltioiden markkinavalvontaviranomaisille, joissa ne ovat asettaneet digitaalisia elementtejä sisältävän tuotteen saataville markkinoilla, ja ilmoitettava yksityiskohtaiset tiedot erityisesti vaatimustenvastaisuudesta ja mahdollisesti toteutetuista korjaavista toimenpiteistä.

7. Maahantuojien on 10 vuoden ajan sen jälkeen, kun digitaalisia elementtejä sisältävä tuote on saatettu markkinoille, pidettävä EU-vaatimustenmukaisuusvakuutuksen jäljennös markkinavalvontaviranomaisten saatavilla ja varmistettava, että tekniset asiakirjat voidaan antaa pyynnöstä kyseisten viranomaisten saataville.

8. Maahantuojien on markkinavalvontaviranomaisen perustellusta pyynnöstä annettava kyseiselle viranomaiselle sen helposti ymmärtämällä kielellä paperiversiona tai sähköisessä muodossa kaikki tiedot ja asiakirjat, jotka ovat tarpeen sen osoittamiseksi, että digitaalisia elementtejä sisältävä tuote täyttää liitteessä I olevassa 1 jaksossa vahvistetut olennaiset vaatimukset ja valmistajan prosessit täyttävät liitteessä I olevassa 2 jaksossa vahvistetut olennaiset vaatimukset. Niiden on tehtävä kyseisen viranomaisen kanssa tämän pyynnöstä yhteistyötä toimissa, joilla pyritään poistamaan niiden markkinoille saattamien digitaalisia elementtejä sisältävien tuotteiden aiheuttamat kyberturvariskit.

9. Kun digitaalisia elementtejä sisältävän tuotteen maahantuoja tulee tietoiseksi siitä, että tuotteen valmistaja on lopettanut toimintansa eikä sen vuoksi pysty noudattamaan tässä asetuksessa säädettyjä velvoitteitaan, maahantuojan on ilmoitettava tilanteesta asianomaisille markkinavalvontaviranomaisille sekä kaikin käytettävissä olevin keinoin ja mahdollisuuksien mukaan markkinoille saatettujen digitaalisia elementtejä sisältävien tuotteiden käyttäjille.

14 artikla
Jakelijoiden velvollisuudet

1. Kun jakelijat asettavat digitaalisia elementtejä sisältävän tuotteen saataville markkinoilla, niiden on toimittava noudattaen asiaankuuluvaa huolellisuutta tämän asetuksen vaatimusten suhteen.

2. Ennen digitaalisia elementtejä sisältävän tuotteen asettamista saataville markkinoilla jakelijoiden on tarkastettava, että

a) digitaalisia elementtejä sisältävässä tuotteessa on CE-merkintä;

b) valmistaja ja maahantuoja ovat täyttäneet 10 artiklan 10 ja 11 kohdassa ja 13 artiklan 4 kohdassa säädetyt velvollisuutensa ja toimittaneet kaikki asiaankuuluvat asiakirjat jakelijalle.

3. Jos jakelija katsoo tai sillä on syytä uskoa hallussaan olevien tietojen perusteella, että digitaalisia elementtejä sisältävät tuotteet tai valmistajan prosessit eivät täytä liitteessä I vahvistettuja olennaisia vaatimuksia, jakelija ei saa asettaa digitaalisia elementtejä sisältävää tuotetta saataville markkinoilla ennen kuin kyseiset tuotteet tai valmistajan prosessit on saatettu vaatimusten mukaisiksi. Lisäksi jos digitaalisia elementtejä sisältävä tuote aiheuttaa merkittävän kyberturvariskin, jakelijan on ilmoitettava siitä valmistajalle ja markkinavalvontaviranomaisille.

4. Jakelijoiden, jotka tietävät tai joilla on syytä uskoa hallussaan olevien tietojen perusteella, että digitaalisia elementtejä sisältävä tuote, jonka ne ovat asettaneet saataville markkinoilla, tai sen valmistajan prosessit eivät täytä liitteessä I vahvistettuja olennaisia vaatimuksia, on pyydettävä valmistajaa toteuttamaan tarvittavat korjaavat toimenpiteet kyseisen digitaalisia elementtejä sisältävän tuotteen tai sen valmistajan prosessien saattamiseksi vaatimusten mukaisiksi tai tarvittaessa tuotteen poistamiseksi markkinoilta tai sitä koskevan palautusmenettelyn järjestämiseksi.

4 a. Kun jakelijat tulevat tietoiseksi digitaalisia elementtejä sisältävässä tuotteessa olevasta haavoittuvuudesta, niiden on ilman aiheetonta viivytystä ilmoitettava siitä valmistajalle. Jos digitaalisia elementtejä sisältävä tuote aiheuttaa merkittävän kyberturvariskin, jakelijoiden on lisäksi välittömästi tiedotettava asiasta niiden jäsenvaltioiden markkinavalvontaviranomaisille, joissa ne ovat asettaneet digitaalisia elementtejä sisältävän tuotteen saataville markkinoilla, ja ilmoitettava yksityiskohtaiset tiedot erityisesti vaatimustenvastaisuudesta ja mahdollisesti toteutetuista korjaavista toimenpiteistä.

5. Jakelijoiden on markkinavalvontaviranomaisen perustellusta pyynnöstä annettava kyseiselle viranomaiselle sen helposti ymmärtämällä kielellä paperiversiona tai sähköisessä muodossa kaikki tiedot ja asiakirjat, jotka ovat tarpeen sen osoittamiseksi, että digitaalisia elementtejä sisältävät tuotteet ja valmistajan prosessit täyttävät liitteessä I vahvistetut olennaiset vaatimukset. Niiden on tehtävä kyseisen viranomaisen kanssa tämän pyynnöstä yhteistyötä toimissa, joilla pyritään poistamaan niiden markkinoille saattamien digitaalisia elementtejä sisältävien tuotteiden aiheuttamat kyberturvariskit.

6. Kun digitaalisia elementtejä sisältävän tuotteen jakelija tulee hallussaan olevien tietojen perusteella tietoiseksi siitä, että tuotteen valmistaja on lopettanut toimintansa eikä sen vuoksi pysty noudattamaan tässä asetuksessa säädettyjä velvoitteitaan, jakelijan on ilmoitettava tilanteesta asianomaisille markkinavalvontaviranomaisille sekä kaikin käytettävissä olevin keinoin ja mahdollisuuksien mukaan markkinoille saatettujen digitaalisia elementtejä sisältävien tuotteiden käyttäjille.

15 artikla
Tapaukset, joissa valmistajien velvoitteita sovelletaan maahantuojiin ja jakelijoihin

Maahantuojaa tai jakelijaa on pidettävä tämän asetuksen mukaisesti valmistajana, ja sitä koskevat 10 artiklassa ja 11 artiklan 1, 2, 4 ja 7 kohdassa säädetyt valmistajan velvollisuudet silloin, kun kyseinen maahantuoja tai jakelija saattaa digitaalisia elementtejä sisältävän tuotteen markkinoille omalla nimellään tai tavaramerkillään tai tekee merkittävän muutoksen jo markkinoille saatettuun digitaalisia elementtejä sisältävään tuotteeseen.

16 artikla
Muut tapaukset, joissa sovelletaan valmistajien velvollisuuksia

Muuta luonnollista tai oikeushenkilöä kuin valmistajaa, maahantuojaa tai jakelijaa, joka tekee digitaalisia elementtejä sisältävään tuotteeseen merkittävän muutoksen ja asettaa sen saataville markkinoilla, pidetään tätä asetusta sovellettaessa valmistajana.

Kyseiseen henkilöön sovelletaan 10 artiklassa ja 11 artiklan 1, 2, 4 ja 7 kohdassa säädettyjä valmistajan velvoitteita tuotteen sen osan osalta, johon merkittävä muutos vaikuttaa, tai jos merkittävä muutos vaikuttaa digitaalisia elementtejä sisältävän tuotteen kyberturvallisuuteen kokonaisuudessaan, koko tuotteen osalta.

17 artikla
Talouden toimijoiden yksilöiminen

1. Talouden toimijoiden on pyynnöstä toimitettava markkinavalvontaviranomaisille seuraavat tiedot:

a) sen talouden toimijan nimi ja osoite, joka on toimittanut digitaalisia elementtejä sisältävän tuotteen;

b) sen talouden toimijan nimi ja osoite, jolle digitaalisia elementtejä sisältävä tuote on toimitettu.

2. Talouden toimijoiden on voitava esittää 1 kohdassa tarkoitetut tiedot kymmenen vuoden ajan sen jälkeen, kun digitaalisia elementtejä sisältävä tuote on toimitettu niille, ja kymmenen vuoden ajan sen jälkeen, kun ne ovat toimittaneet digitaalisia elementtejä sisältävän tuotteen.

17 a artikla
Ohjeet

1. Jotta voitaisiin taata selkeys ja varmuus talouden toimijoiden kannalta ja niiden käytäntöjen yhdenmukaisuus, komissio laatii ja antaa talouden toimijoille ohjeet, joissa selitetään, miten tätä asetusta sovelletaan, keskittyen erityisesti siihen, miten vaatimusten noudattamisesta voitaisiin tehdä helpompaa mikroyrityksille sekä pienille ja keskisuurille yrityksille.

2. Ohjeet julkaistaan viimeistään ... päivänä ...kuuta ... [12 kuukauden kuluttua tämän asetuksen voimaantulopäivästä], ja niitä päivitetään tarvittaessa erityisesti liitteessä III olevaan kriittisten tuotteiden luetteloon mahdollisesti tehtävien muutosten perusteella. Ne sisältävät vähintään seuraavat:

a) yksityiskohtainen selvitys tämän asetuksen soveltamisalasta ja erityisesti datan etäkäsittelyratkaisuista sekä vapaista ja avoimen lähdekoodin ohjelmistoista;

b) yksityiskohtaiset kriteerit, joita käytetään sen määrittämiseksi, miten digitaalisia elementtejä sisältävät kriittiset tuotteet luokitellaan liitteessä III vahvistettuihin luokkiin I ja II;

c) tämän asetuksen ja unionin muun lainsäädännön vuorovaikutus erityisesti vaatimustenmukaisuusolettamien ja vaatimustenmukaisuuden arviointien osalta;

d) valmistajille tarkoitetut ohjeet siitä, miten 10 artiklan 2 kohdassa tarkoitettu kyberturvariskien arviointi suoritetaan, ja olennaisten vaatimusten sovellettavuudesta, mukaan lukien tarvittaessa parhaat käytännöt;

e) valmistajille tarkoitetut ohjeet siitä, miten eri tuoteluokkien tukikausi määritetään asianmukaisesti 10 artiklan 6 kohdan mukaisesti;

f) selvitys siitä, miten raportointivaatimuksia käsitellään tämän asetuksen tai muun unionin lainsäädännön mukaisesti;

g) luettelo komission tämän asetuksen nojalla julkaisemista delegoiduista säädöksistä ja täytäntöönpanosäädöksistä;

h) jäsenvaltioille tarkoitetut ohjeet tietoturvaa tutkivien syyttämättä jättämisestä;

i) ohjeet siitä, mitä tarkoitetaan olennaisilla muutoksilla.

3. Komissio kuulee asiantuntijaryhmää, kun se laatii tämän artiklan mukaisia ohjeita.

III LUKU

Digitaalisia elementtejä sisältävän tuotteen vaatimustenmukaisuus

18 artikla
Vaatimustenmukaisuusolettama

1. Digitaalisia elementtejä sisältävien tuotteiden ja valmistajan prosessien, jotka ovat yhdenmukaistettujen standardien tai niiden osien, joiden viitetiedot on julkaistu Euroopan unionin virallisessa lehdessä, mukaisia, katsotaan olevan kyseisten standardien tai niiden osien kattamien, liitteessä I säädettyjen olennaisten vaatimusten mukaisia.

Komissio pyytää asetuksen (EU) N:o 1025/2012 10 artiklan 1 kohdan mukaisesti yhtä tai useampaa eurooppalaista standardointiorganisaatiota laatimaan tämän asetuksen liitteessä I vahvistettuja olennaisia vaatimuksia koskevia yhdenmukaistettuja standardeja. Kun komissio valmistelee tähän asetukseen liittyvää standardointipyyntöä, se pyrkii ottamaan huomioon nykyiset tai piakkoin laadittavat kyberturvallisuutta koskevat kansainväliset standardit, jotta voidaan helpottaa yhdenmukaistettujen standardien kehittämistä.

2. Digitaalisia elementtejä sisältävien tuotteiden ja valmistajan prosessien, jotka ovat 19 artiklassa tarkoitettujen yhteisten eritelmien mukaisia, katsotaan olevan liitteessä I vahvistettujen olennaisten vaatimusten mukaisia siltä osin kuin kyseiset yhteiset eritelmät kattavat kyseiset vaatimukset.

3. Digitaalisia elementtejä sisältävien tuotteiden ja valmistajan prosessien, joille on annettu EU-vaatimustenmukaisuusvakuutus tai asetuksen (EU) 2019/881 mukaisesti hyväksytyn ja 4 kohdan mukaisesti yksilöidyn eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukainen sertifikaatti, katsotaan olevan liitteessä I vahvistettujen keskeisten vaatimusten mukaisia, jos EU‑vaatimustenmukaisuusvakuutus tai kyberturvasertifikaatti tai niiden osat kattavat kyseiset vaatimukset.

4. Siirretään komissiolle valta antaa 50 artiklan mukaisesti delegoituja säädöksiä, joilla täydennetään tätä asetusta yksilöimällä ne asetuksen (EU) 2019/881 nojalla hyväksytyt eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät, joita voidaan käyttää osoittamaan, että digitaalisia elementtejä sisältävät tuotteet ovat liitteessä I vahvistettujen keskeisten vaatimusten tai niiden osien mukaisia. Lisäksi kyberturvallisuussertifikaatin myöntäminen varmuustasolla ”korotettu tai korkea” tällaisten järjestelmien mukaisesti poistaa valmistajan velvoitteen teettää 24 artiklan 2 kohdan a ja b alakohdassa sekä 3 kohdan a ja b alakohdassa säädettyjen vaatimusten osalta vaatimustenmukaisuuden arviointi kolmannella osapuolella.  

19 artikla
Yhteiset eritelmät

1. Siirretään komissiolle valta antaa 50 artiklan mukaisesti delegoituja säädöksiä, joilla täydennetään tätä asetusta vahvistamalla yhteiset eritelmät, jotka kattavat tekniset vaatimukset ja tarjoavat keinon noudattaa liitteessä I vahvistettuja vaatimuksia tämän asetuksen soveltamisalaan kuuluvien tuotteiden osalta, jos seuraavat edellytykset täyttyvät:

a) komissio on pyytänyt asetuksen (EU) N:o 1025/2012 10 artiklan 1 kohdan mukaisesti yhtä tai useampaa eurooppalaista standardointiorganisaatiota laatimaan yhdenmukaistetun standardin liitteessä I vahvistettuja olennaisia vaatimuksia varten, eikä pyyntöä ole hyväksytty tai pyyntöä koskevia eurooppalaisia standardointituotteita ei ole toimitettu asetuksen (EU) N:o 1025/2012 10 artiklan 1 kohdan mukaisesti asetetussa määräajassa tai eurooppalaiset standardointituotteet eivät ole pyynnön mukaisia; ja

b) tämän asetuksen liitteessä I vahvistetut asiaankuuluvat olennaiset vaatimukset kattavien yhdenmukaistettujen standardien viitetietoja ei ole julkaistu Euroopan unionin virallisessa lehdessä asetuksen (EU) N:o 1025/2012 mukaisesti, eikä ole odotettavissa, että tällaiset viitetiedot julkaistaan kohtuullisen ajan kuluessa.

2. Ennen delegoidun säädöksen valmistelua komissio ilmoittaa asiantuntijaryhmälle, että se katsoo 1 kohdan edellytysten täyttyvän. Komissio ottaa delegoituja säädöksiä valmistellessaan huomioon asiantuntijaryhmän lausunnot.

3. Jos eurooppalainen standardointiorganisaatio hyväksyy yhdenmukaistetun standardin ja komissiolle ehdotetaan sen viitetietojen julkaisemista Euroopan unionin virallisessa lehdessä, komissio arvioi yhdenmukaistetun standardin asetuksen (EU) N:o 1025/2012 mukaisesti. Kun yhdenmukaistetun standardin viitetiedot julkaistaan Euroopan unionin virallisessa lehdessä, komissio kumoaa 1 kohdassa tarkoitetut asiaankuuluvat delegoidut säädökset tai niiden osat, jotka kattavat samat tämän asetuksen liitteessä I vahvistetut olennaiset vaatimukset.

20 artikla
EU-vaatimustenmukaisuusvakuutus

1. Valmistajien on laadittava EU-vaatimustenmukaisuusvakuutus 10 artiklan 7 kohdan mukaisesti, ja siinä on mainittava, että liitteessä I vahvistettujen sovellettavien olennaisten vaatimusten täyttyminen on osoitettu.

2. EU-vaatimustenmukaisuusvakuutuksen on oltava rakenteeltaan liitteessä IV vahvistetun mallin mukainen, ja sen on sisällettävä liitteessä VI vahvistetuissa asiaankuuluvissa vaatimustenmukaisuuden arviointimenettelyissä eritellyt tekijät. Tällaista vakuutusta on päivitettävä tarvittaessa. Se on asetettava saataville sen jäsenvaltion vaatimalla yhdellä tai useammalla kielellä, jossa digitaalisia elementtejä sisältävä tuote saatetaan markkinoille tai asetetaan saataville.

3. Jos digitaalisia elementtejä sisältävään tuotteeseen sovelletaan useampia unionin säädöksiä, joissa edellytetään EU-vaatimustenmukaisuusvakuutusta, kaikkien kyseisten unionin säädösten osalta laaditaan yksi ainoa EU‑vaatimustenmukaisuusvakuutus. Tällaisessa vakuutuksessa on mainittava kyseisten unionin säädösten tunnistetiedot, niiden julkaisuviitteet mukaan luettuina.

4. Laatimalla EU-vaatimustenmukaisuusvakuutuksen valmistaja ottaa vastuun tuotteen vaatimustenmukaisuudesta.

5. Siirretään komissiolle valta antaa 50 artiklan mukaisesti delegoituja säädöksiä, joilla täydennetään tätä asetusta lisäämällä teknologian kehittymisen perusteella elementtejä liitteessä IV vahvistetun EU-vaatimustenmukaisuusvakuutuksen vähimmäissisältöön.

21 artikla
CE-merkintää koskevat yleiset periaatteet

Tämän asetuksen 3 artiklan 32 alakohdassa määriteltyä CE-merkintää koskevat asetuksen (EY) N:o 765/2008 30 artiklassa säädetyt yleiset periaatteet.

22 artikla
CE-merkinnän kiinnittämistä koskevat säännöt ja ehdot

1. CE-merkintä on liitettävä digitaalisia elementtejä sisältävään tuotteeseen näkyvästi, helposti luettavasti ja pysyvästi. Jos tämä ei ole mahdollista tai perusteltua digitaalisia elementtejä sisältävän tuotteen luonteen vuoksi, merkintä on liitettävä tuotteen pakkaukseen ja 20 artiklassa tarkoitettuun sen mukana toimitettavaan EU‑vaatimustenmukaisuusvakuutukseen. Ohjelmistomuotoisissa digitaalisia elementtejä sisältävissä tuotteissa CE-merkintä on liitettävä joko 20 artiklassa tarkoitettuun EU-vaatimustenmukaisuusvakuutukseen tai esitettävä ohjelmistotuotteen verkkosivustolla. Jälkimmäisessä tapauksessa verkkosivuston asianomaisen kohdan on oltava helposti ja suoraan kuluttajien saatavilla.

2. Jos digitaalisia elementtejä sisältävän tuotteen luonne sitä vaatii, siihen liitettävän CE‑merkinnän korkeus voi olla alle 5 mm, kunhan merkintä on edelleen näkyvä ja luettavissa.

3. CE-merkintä on liitettävä tuotteeseen ennen sen markkinoille saattamista. Sen yhteyteen voidaan liittää 6 kohdassa tarkoitetuissa täytäntöönpanosäädöksissä vahvistettu erityistä riskiä tai käyttötapaa osoittava kuvamerkki tai muu merkki.

4. CE-merkinnän yhteydessä on esitettävä ilmoitetun laitoksen tunnusnumero, jos kyseinen laitos on osallistunut 24 artiklassa tarkoitettuun täydelliseen laadunvarmistukseen perustuvaan vaatimustenmukaisuuden arviointimenettelyyn (perustuen moduuliin H).

Ilmoitetun laitoksen tunnusnumeron kiinnittää laitos itse tai sen ohjeiden mukaisesti valmistaja tai valmistajan valtuutettu edustaja.

5. Jäsenvaltioiden on nykyisiä mekanismeja hyödyntämällä varmistettava CE-merkintää koskevan järjestelmän moitteeton soveltaminen ja ryhdyttävä tarkoituksenmukaisiin toimiin, jos tätä merkintää käytetään sääntöjenvastaisesti. Jos digitaalisia elementtejä sisältävät tuotteet kuuluvat unionin muun sellaisen lainsäädännön soveltamisalaan, jossa myös säädetään CE-merkinnän kiinnittämisestä, CE-merkinnän on osoitettava, että tuotteet täyttävät myös kyseisessä muussa lainsäädännössä vahvistetut vaatimukset.

6. Komissio voi asiantuntijaryhmää, erityistä hallinnollisen yhteistyön ryhmää ja tarvittaessa muita asiaankuuluvia sidosryhmiä kuultuaan vahvistaa täytäntöönpanosäädöksillä teknisiä eritelmiä merkintäjärjestelmille, mukaan lukien yhdenmukaistetut merkinnät, kuvamerkit tai muut merkit, jotka koskevat digitaalisia elementtejä sisältävien tuotteiden tietoturvaa ja niiden tukikautta, sekä mekanismeja, joilla edistetään merkkien käyttöä yrityksissä ja kuluttajien keskuudessa ja lisätään yleistä tietoisuutta digitaalisia elementtejä sisältävien tuotteiden tietoturvasta. Nämä täytäntöönpanosäädökset hyväksytään 51 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

23 artikla
Tekniset asiakirjat

1. Teknisten asiakirjojen on sisällettävä kaikki asiaankuuluvat tiedot tai kuvaukset keinoista, joilla valmistaja on varmistanut, että digitaalisia elementtejä sisältävä tuote ja valmistajan prosessit täyttävät liitteessä I vahvistetut olennaiset vaatimukset. Asiakirjojen on sisällettävä vähintään liitteessä V vahvistetut osatekijät.

2. Tekniset asiakirjat on laadittava ennen digitaalisia elementtejä sisältävän tuotteen saattamista markkinoille, ja niitä on tarvittaessa päivitettävä jatkuvasti vähintään tukikauden ajan.

3. Sellaisten 8 artiklassa ja 24 artiklan 4 kohdassa tarkoitettujen digitaalisia elementtejä sisältävien tuotteiden osalta, joihin sovelletaan myös muita unionin säädöksiä, on laadittava kootusti tekniset asiakirjat, jotka sisältävät tämän asetuksen liitteessä V tarkoitetut tiedot ja kyseisissä unionin muissa säädöksissä vaaditut tiedot.

4. Vaatimustenmukaisuuden arviointimenettelyyn liittyvät tekniset asiakirjat ja kirjeenvaihto on laadittava sen jäsenvaltion virallisella kielellä, johon ilmoitettu laitos on sijoittautunut, tai muulla laitoksen hyväksymällä kielellä.

5. Siirretään komissiolle valta antaa 50 artiklan mukaisesti delegoituja säädöksiä, joilla täydennetään tätä asetusta liitteessä V vahvistettuihin teknisiin asiakirjoihin sisällytettävillä osilla, jotta voidaan ottaa huomioon teknologian kehitys sekä tämän asetuksen täytäntöönpanoprosessissa havaittu kehitys. Komissio varmistaa, että mikroyritysten sekä pienten ja keskisuurten yritysten hallinnollinen taakka on oikeasuhtainen.

24 artikla
Digitaalisia elementtejä sisältävien tuotteiden vaatimustenmukaisuuden arviointimenettelyt

1. Valmistajan on suoritettava digitaalisia elementtejä sisältävän tuotteen ja prosessiensa vaatimustenmukaisuuden arviointi selvittääkseen, täyttävätkö ne liitteessä I vahvistetut olennaiset vaatimukset. Valmistajan tai valmistajan valtuutetun edustajan on osoitettava olennaisten vaatimusten täyttyminen jollakin seuraavista menettelyistä:

a) liitteessä VI esitetty sisäisen valvonnan menettely (perustuen moduuliin A) tai

b) liitteessä VI esitetty EU-tyyppitarkastusmenettely (perustuen moduuliin B), jota seuraa liitteessä VI esitetty sisäiseen tuotannonvalvontaan perustuva EU‑tyypinmukaisuus (perustuen moduuliin C) tai

c) liitteessä VI esitetty täydelliseen laadunvarmistukseen perustuva vaatimustenmukaisuusarviointi (perustuen moduuliin H);

c a) edellä olevan 18 artiklan 4 kohdan mukainen asetuksen (EU) 2019/881 mukaisesti hyväksytty eurooppalainen kyberturvallisuuden sertifiointijärjestelmä.

2. Jos valmistaja tai valmistajan valtuutettu edustaja ei ole käyttänyt tai on käyttänyt vain osittain 18 artiklassa tarkoitettuja yhdenmukaistettuja standardeja, yhteisiä eritelmiä tai eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä varmuustasolla ”korotettu” tai ”korkea” tai jos tällaisia yhdenmukaistettuja standardeja, yhteisiä eritelmiä tai eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä ei ole ja kyseessä on liitteessä III esitetyn mukainen luokkaan I kuuluva digitaalisia elementtejä sisältävä kriittinen tuote, tuote ja valmistajan prosessit on alistettava jompaankumpaan seuraavista menettelyistä, jotta voidaan arvioida, täyttävätkö ne liitteessä I vahvistetut olennaiset vaatimukset:

a) liitteessä VI esitetty EU-tyyppitarkastusmenettely (perustuen moduuliin B), jota seuraa liitteessä VI esitetty sisäiseen tuotannonvalvontaan perustuva EU‑tyypinmukaisuus (perustuen moduuliin C) tai

b) liitteessä VI esitetty täydelliseen laadunvarmistukseen perustuva vaatimustenmukaisuusarviointi (perustuen moduuliin H).

2 a. Yhdenmukaistettujen standardien, yhteisten eritelmien tai eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien on oltava käytössä kuusi kuukautta ennen tämän artiklan 2 kohdassa tarkoitetun vaatimustenmukaisuuden arviointimenettelyn soveltamista. Valmistajien on tämän artiklan 2 kohdan soveltamista edeltävien kuuden kuukauden aikana tai tapauksissa, joissa yhdenmukaistettuja standardeja, yhteisiä eritelmiä tai eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä ei ole olemassa, osoitettava tämän artiklan 1 kohdassa tarkoitetun menettelyn avulla liitteessä III esitetyn mukainen luokkaan I kuuluvan digitaalisia elementtejä sisältävän kriittisen tuotteen vaatimustenmukaisuus.

3. Jos tuote on liitteessä III esitetyn mukainen luokkaan II kuuluva digitaalisia elementtejä sisältävä kriittinen tuote, valmistajan tai valmistajan valtuutetun edustajan on osoitettava, että tuote täyttää liitteessä I vahvistetut olennaiset vaatimukset käyttäen jotakin seuraavista menettelyistä:

-a) asetuksen (EU) 2019/881 mukainen eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän eurooppalainen kyberturvallisuussertifikaatti varmuustasolla ”korotettu” tai ”korkea”;

a) liitteessä VI esitetty EU-tyyppitarkastusmenettely (perustuen moduuliin B), jota seuraa liitteessä VI esitetty sisäiseen tuotannonvalvontaan perustuva EU‑tyypinmukaisuus (perustuen moduuliin C) tai

b) liitteessä VI esitetty täydelliseen laadunvarmistukseen perustuva vaatimustenmukaisuusarviointi (perustuen moduuliin H).

3 a. Komissio pyytää ENISAa valmistelemaan puuttuvat ehdolla olevat järjestelmät asetuksen (EU) 2019/881 48 artiklan mukaisesti.

4. Asetuksen [eurooppalaisesta terveysdata-avaruudesta annettu asetus] nojalla sähköisiksi potilastietojärjestelmiksi luokiteltujen digitaalisia elementtejä sisältävien tuotteiden valmistajien on osoitettava, että ne täyttävät tämän asetuksen liitteessä I vahvistetut olennaiset vaatimukset, käyttäen asiaankuuluvaa vaatimustenmukaisuuden arviointimenettelyä, jota edellytetään asetuksessa [eurooppalaisesta terveysdata-avaruudesta annetun asetuksen III luku].

5. Ilmoitettujen laitosten on otettava huomioon mikroyritysten sekä pienten ja keskisuurten yritysten erityisintressit ja -tarpeet vaatimustenmukaisuuden arviointimenettelyistä perittäviä maksuja vahvistettaessa ja alennettava näitä maksuja suhteessa näiden yritysten erityisintresseihin ja -tarpeisiin. Komissio varmistaa riittävän taloudellisen tuen unionin nykyisten ohjelmien sääntelykehyksessä, jotta se voi erityisesti helpottaa mikroyritysten sekä pienten ja keskisuurten yritysten taloudellista rasitetta.

24 a artikla
Vastavuoroista tunnustamista koskevat sopimukset

Jotta voidaan edistää kansainvälistä kauppaa, komissio pyrkii tekemään vastavuoroista tunnustamista koskevia sopimuksia kolmansien maiden kanssa. Unioni tekee vastavuoroista tunnustamista koskevia sopimuksia vain sellaisien kolmansien maiden kanssa, joissa tekninen kehitys on vastaavalla tasolla ja joiden lähestymistapa vaatimustenmukaisuuden arviointiin on yhteensopiva. Sopimuksilla varmistetaan samantasoinen suoja kuin tässä asetuksessa on säädetty.

IV LUKU

VAATIMUSTENMUKAISUUDEN ARVIOINTILAITOSTEN ILMOITTAMINEN

25 artikla
Ilmoittaminen

Jäsenvaltioiden on ilmoitettava komissiolle ja muille jäsenvaltioille vaatimustenmukaisuuden arviointilaitokset, joille on annettu lupa suorittaa vaatimustenmukaisuuden arviointeja tämän asetuksen mukaisesti.

26 artikla
Ilmoittavat viranomaiset

1. Jäsenvaltioiden on nimettävä ilmoittava viranomainen, joka vastaa vaatimustenmukaisuuden arviointilaitosten arviointiin ja ilmoittamiseen sekä ilmoitettujen laitosten valvontaan liittyvien tarvittavien menettelyjen perustamisesta ja toteuttamisesta, myös 31 artiklan noudattamisen osalta.

2. Jäsenvaltiot voivat päättää, että 1 kohdassa tarkoitetun arvioinnin ja valvonnan suorittaa asetuksen (EY) N:o 765/2008 mukaisesti mainitussa asetuksessa tarkoitettu kansallinen akkreditointielin.

27 artikla
Ilmoittavia viranomaisia koskevat vaatimukset

1. Ilmoittavan viranomaisen on oltava sillä tavoin perustettu, ettei synny eturistiriitaa vaatimustenmukaisuuden arviointilaitosten kanssa.

2. Ilmoittavan viranomaisen on oltava organisaatioltaan ja toiminnaltaan sellainen, että sen toiminnan objektiivisuus ja puolueettomuus on turvattu.

3. Ilmoittava viranomainen on organisoitava siten, että kunkin vaatimustenmukaisuuden arviointilaitoksen ilmoittamista koskevan päätöksen tekee eri toimivaltainen henkilöstö kuin arvioinnit suorittava henkilöstö.

4. Ilmoittava viranomainen ei saa tarjota eikä suorittaa mitään toimintoja, joita vaatimustenmukaisuuden arviointilaitokset suorittavat, eikä konsultointipalveluja kaupallisin tai kilpailullisin perustein.

5. Ilmoittavan viranomaisen on turvattava saamiensa tietojen luottamuksellisuus.

6. Ilmoittavalla viranomaisella on oltava käytössään riittävä määrä pätevää henkilöstöä tehtäviensä asianmukaista hoitamista varten.

6 a. Ilmoittavan viranomaisen on minimoitava hallinnolliset rasitteet ja maksut erityisesti mikroyritysten ja pienten ja keskisuurien yritysten osalta.

28 artikla
Ilmoittavien viranomaisten tiedotusvelvoite

1. Jäsenvaltioiden on tiedotettava komissiolle menettelyistään, jotka koskevat vaatimustenmukaisuuden arviointilaitosten arviointia ja ilmoittamista sekä ilmoitettujen laitosten valvontaa, sekä mahdollisista muutoksista niihin.

1 a. Jäsenvaltioiden on varmistettava ... päivään ...kuuta ... [24 kuukauden kuluttua tämän asetuksen voimaantulopäivästä] mennessä, että unionissa on riittävästi ilmoitettuja laitoksia vaatimustenmukaisuuden arviointien suorittamiseksi, jotta voidaan välttää pullonkaulat ja markkinoille pääsyn esteet.

2. Komissio asettaa kyseiset tiedot julkisesti saataville.

29 artikla
Ilmoitettuja laitoksia koskevat vaatimukset

1. Jotta vaatimustenmukaisuuden arviointilaitos voidaan ilmoittaa, sen on täytettävä 2–12 kohdassa säädetyt vaatimukset.

2. Vaatimustenmukaisuuden arviointilaitos on perustettava kansallisen lainsäädännön mukaisesti, ja sen on oltava oikeushenkilö.

3. Vaatimustenmukaisuuden arviointilaitoksen on oltava arvioimastaan organisaatiosta tai tuotteesta riippumaton kolmas osapuoli.

Laitosta, joka kuuluu yrittäjäjärjestöön tai ammattialajärjestöön, joka edustaa yrityksiä, jotka ovat osallisina laitoksen arvioimien digitaalisia elementtejä sisältävien tuotteiden suunnittelussa, kehittämisessä, tuotannossa, toimittamisessa, asentamisessa, käytössä tai ylläpidossa, voidaan pitää tällaisena laitoksena sillä ehdolla, että osoitetaan sen riippumattomuus ja se, ettei sillä ole eturistiriitoja.

4. Vaatimustenmukaisuuden arviointilaitos, sen ylin johto ja vaatimustenarviointitehtävien suorittamisesta vastaava henkilöstö eivät saa olla arvioimiensa digitaalisia elementtejä sisältävien tuotteiden suunnittelijoita, kehittäjiä, valmistajia, toimittajia, asentajia, ostajia, omistajia, käyttäjiä tai ylläpitäjiä eivätkä minkään tällaisen osapuolen valtuutettuja edustajia. Tämä ei sulje pois sellaisten arvioitujen tuotteiden käyttöä, jotka ovat vaatimustenmukaisuuden arviointilaitoksen toimien kannalta tarpeellisia, tai sellaisten tuotteiden käyttöä henkilökohtaisiin tarkoituksiin.

Vaatimustenmukaisuuden arviointilaitos, sen ylin johto ja vaatimustenmukaisuuden arviointitehtävien suorittamisesta vastaava henkilöstö eivät myöskään saa olla suoranaisesti mukana näiden tuotteiden suunnittelussa, kehittämisessä, tuotannossa, markkinoinnissa, asentamisessa, käytössä tai ylläpidossa eivätkä edustaa näissä toiminnoissa mukana olevia osapuolia. Ne eivät saa osallistua mihinkään toimintaan, joka voi olla ristiriidassa sen kanssa, että ne ovat arvioissaan riippumattomia, tai joka voi vaarantaa niiden riippumattomuuden niissä vaatimuksenmukaisuuden arviointitoimissa, joita varten ne on ilmoitettu. Tämä koskee erityisesti konsultointipalveluja.

Vaatimustenmukaisuuden arviointilaitosten on varmistettava, että niiden tytäryhtiöiden tai alihankkijoiden toimet eivät vaikuta niiden vaatimustenmukaisuuden arviointitoimien luottamuksellisuuteen, objektiivisuuteen tai puolueettomuuteen.

5. Vaatimustenmukaisuuden arviointilaitosten ja niiden henkilöstön on suoritettava vaatimustenmukaisuuden arviointitoimet mahdollisimman suurta ammatillista luotettavuutta ja kyseisellä erityisalalla vaadittavaa teknistä pätevyyttä noudattaen ja oltava vapaat kaikesta, erityisesti taloudellisesta, painostuksesta ja houkuttelusta, joka saattaisi vaikuttaa niiden harkintaan tai vaatimustenmukaisuuden arviointitoimien tuloksiin, erityisesti sellaisten henkilöiden tai henkilöryhmien taholta, joille näiden toimien tuloksilla on merkitystä.

6. Vaatimustenmukaisuuden arviointilaitoksen on kyettävä suorittamaan kaikki vaatimustenmukaisuuden arviointitehtävät, joita tarkoitetaan liitteessä VI ja joita varten se on ilmoitettu, riippumatta siitä, suorittaako vaatimustenmukaisuuden arviointilaitos kyseiset tehtävät itse vai suoritetaanko ne sen puolesta ja sen vastuulla.

Vaatimustenmukaisuuden arviointilaitoksella on aina ja kunkin sellaisen vaatimustenmukaisuuden arviointimenettelyn ja tuotetyypin tai -ryhmän osalta, jota varten se on ilmoitettu, oltava käytössään

a) tarvittava henkilöstö, jolla on tekninen tietämys sekä riittävä ja soveltuva kokemus vaatimustenmukaisuuden arviointitehtävien suorittamiseksi;

b) tarvittavat kuvaukset menettelyistä, joiden mukaisesti vaatimustenmukaisuuden arviointi suoritetaan, siten, että varmistetaan näiden menettelyiden läpinäkyvyys ja toistettavuus. Sillä on oltava käytössään asianmukaiset toimintatavat ja menettelyt, joissa erotetaan toisistaan ilmoitettuna laitoksena suoritetut tehtävät ja muu toiminta;

c) tarvittavat menettelyt, joiden mukaisesti se hoitaa tehtäviään siten, että yritysten koko, toimiala ja rakenne, tuotteissa käytettävän teknologian monimutkaisuus sekä tuotannon luonne massa- tai sarjatuotantona otetaan asianmukaisesti huomioon.

Sillä on oltava käytössään tarvittavat keinot niiden teknisten ja hallinnollisten tehtävien suorittamiseen, joita vaatimustenmukaisuuden arviointitoimien asianmukainen hoitaminen edellyttää, ja sillä on oltava mahdollisuus käyttää kaikkia tarvittavia laitteita tai välineitä.

7. Vaatimustenmukaisuuden arviointitoimien suorittamisesta vastaavalla henkilöstöllä on oltava

a) asianmukainen tekninen ja ammatillinen koulutus, joka kattaa kaikki ne vaatimustenmukaisuuden arviointitoimet, joita varten vaatimustenmukaisuuden arviointilaitos on ilmoitettu;

b) riittävät tiedot suoritettavia arviointeja koskevista vaatimuksista ja riittävät valtuudet tällaisten arviointien suorittamiseen;

c) asianmukaiset tiedot ja ymmärrys liitteessä I vahvistetuista olennaisista vaatimuksista, sovellettavista yhdenmukaistetuista standardeista ja asiaa koskevista unionin yhdenmukaistamislainsäädännön säännöksistä ja täytäntöönpanosäädöksistä;

d) kyky laatia todistuksia, asiakirjoja ja raportteja, joilla osoitetaan, että arvioinnit on suoritettu.

7 a. Jäsenvaltiot ja komissio ottavat käyttöön asianmukaiset toimenpiteet sen varmistamiseksi, että ammattitaitoisia ammattilaisia on riittävästi saatavilla, jotta voidaan minimoida vaatimustenmukaisuuden arviointilaitosten toimien pullonkaulat ja tehdä tämän asetuksen noudattamisesta helpompaa talouden toimijoille.

8. Vaatimustenmukaisuuden arviointilaitosten, niiden ylimmän johdon ja arviointihenkilöstön puolueettomuus on taattava.

Vaatimustenmukaisuuden arviointilaitoksen ylimmän johdon ja arviointihenkilöstön palkkiot eivät saa olla riippuvaisia suoritettujen arviointien määrästä eivätkä mainittujen arviointien tuloksista.

9. Vaatimustenmukaisuuden arviointilaitosten on otettava vastuuvakuutus, jollei tällainen vastuu kuulu valtiolle kansallisen lainsäädännön perusteella tai jollei jäsenvaltio itse ole suoraan vastuussa vaatimustenmukaisuuden arvioinnista.

10. Vaatimustenmukaisuuden arviointilaitosten henkilöstöllä on vaitiolovelvollisuus kaikkien niiden tietojen suhteen, jotka se saa suorittaessaan tehtäviään liitteen VI tai sen täytäntöönpanemiseksi annetun kansallisen lainsäädännön säännösten mukaisesti, paitsi sen jäsenvaltion markkinavalvontaviranomaisiin nähden, jossa laitosten toimet suoritetaan. Omistusoikeudet on suojattava 52 artiklan mukaisesti. Vaatimustenmukaisuuden arviointilaitoksella on oltava dokumentoidut menettelyt, joilla varmistetaan tämän kohdan noudattaminen.

11. Vaatimustenmukaisuuden arviointilaitosten on osallistuttava asiaankuuluviin standardointitoimiin ja 40 artiklan nojalla perustetun ilmoitettujen laitosten koordinointiryhmän toimiin tai varmistettava, että niiden arviointihenkilöstö saa niistä tiedon, ja sovellettava yleisinä ohjeina kyseisen ryhmän työn tuloksena saatuja hallinnollisia päätöksiä ja asiakirjoja.

12. Vaatimustenmukaisuuden arviointilaitosten on toimittava johdonmukaisilla, oikeudenmukaisilla ja kohtuullisilla ehdoilla ja edellytyksillä 37 artiklan 2 kohdan mukaisesti ja otettava erityisesti huomioon maksuihin liittyvät mikroyritysten sekä pienten ja keskisuurten yritysten intressit.

30 artikla
Ilmoitettujen laitosten vaatimustenmukaisuusolettama

Jos vaatimustenmukaisuuden arviointilaitos voi osoittaa olevansa sellaisissa asianomaisissa yhdenmukaistetuissa standardeissa tai niiden osissa vahvistettujen edellytysten mukainen, joiden viitetiedot on julkaistu Euroopan unionin virallisessa lehdessä, sen oletetaan täyttävän 29 artiklassa säädetyt vaatimukset siltä osin kuin sovellettavat yhdenmukaistetut standardit kattavat nämä vaatimukset.

31 artikla
Ilmoitettujen laitosten tytäryhtiöt ja alihankinta

1. Jos ilmoitettu laitos teettää tiettyjä vaatimustenmukaisuuden arviointiin liittyviä tehtäviä alihankintana tai käyttää tytäryhtiötä, sen on varmistettava, että alihankkija tai tytäryhtiö täyttää 29 artiklassa säädetyt vaatimukset, ja tiedotettava asiasta ilmoittavalle viranomaiselle.

2. Ilmoitettujen laitosten on otettava täysi vastuu alihankkijoiden tai tytäryhtiöiden suorittamista tehtävistä riippumatta siitä, mihin nämä ovat sijoittautuneet.

3. Toimia voidaan teettää alihankintana tai tytäryhtiöllä ainoastaan, jos siitä on sovittu valmistajan kanssa.

4. Ilmoitettujen laitosten on pidettävä ilmoittavan viranomaisen saatavilla asiakirjat, jotka koskevat alihankkijan tai tytäryhtiön pätevyyden arviointia sekä työtä, jonka nämä ovat suorittaneet tämän asetuksen nojalla.

32 artikla
Ilmoittamista koskeva hakemus

1. Vaatimustenmukaisuuden arviointilaitoksen on toimitettava ilmoittamista koskeva hakemus sen jäsenvaltion ilmoittavalle viranomaiselle, johon se on sijoittautunut.

2. Hakemukseen on liitettävä kuvaus vaatimustenmukaisuuden arviointitoimista, vaatimustenmukaisuuden arviointimenettelyistä ja tuotteista, joiden osalta laitos katsoo olevansa pätevä, sekä mahdollinen akkreditointitodistus, jonka kansallinen akkreditointielin on antanut ja jossa todistetaan, että vaatimustenmukaisuuden arviointilaitos täyttää 29 artiklassa säädetyt vaatimukset.

3. Jos asianomainen vaatimustenmukaisuuden arviointilaitos ei voi toimittaa akkreditointitodistusta, sen on toimitettava ilmoittavalle viranomaiselle kaikki tarpeelliset asiakirjatodisteet, joiden avulla voidaan todentaa, tunnustaa ja säännöllisesti valvoa, että se täyttää 29 artiklassa säädetyt vaatimukset.

33 artikla
Ilmoitusmenettely

1. Ilmoittavat viranomaiset voivat ilmoittaa ainoastaan sellaiset vaatimustenmukaisuuden arviointilaitokset, jotka ovat täyttäneet 29 artiklassa säädetyt vaatimukset.

2. Ilmoittavan viranomaisen on ilmoitettava asiasta komissiolle ja muille jäsenvaltioille käyttäen komission kehittämää ja hallinnoimaa uuden lähestymistavan mukaista ilmoitettujen ja nimettyjen organisaatioiden tietojärjestelmää (NANDO).

3. Ilmoituksen on sisällettävä täydelliset tiedot vaatimustenmukaisuuden arviointitoimista, vaatimustenmukaisuuden arviointimoduuleista ja kyseessä olevista tuotteista sekä asiaankuuluva todistus pätevyydestä.

4. Jos ilmoitus ei perustu 32 artiklan 2 kohdassa tarkoitettuun akkreditointitodistukseen, ilmoittavan viranomaisen on toimitettava komissiolle ja muille jäsenvaltioille asiakirjatodisteet, joiden avulla voidaan todistaa vaatimustenmukaisuuden arviointilaitoksen pätevyys ja toteutetut järjestelyt, joilla varmistetaan, että laitosta valvotaan säännöllisesti ja että se täyttää edelleen 29 artiklassa säädetyt vaatimukset.

5. Asianomainen laitos voi suorittaa ilmoitetun laitoksen tehtäviä ainoastaan, jos komissio ja muut jäsenvaltiot eivät esitä vastalauseita kahden viikon kuluessa ilmoittamisesta siinä tapauksessa, että on käytetty akkreditointitodistusta, tai kahden kuukauden kuluessa ilmoituksesta siinä tapauksessa, että akkreditointia ei käytetä.

Ainoastaan tällaista laitosta pidetään tässä asetuksessa tarkoitettuna ilmoitettuna laitoksena.

6. Komissiolle ja muille jäsenvaltioille on ilmoitettava myöhemmistä asian kannalta merkityksellisistä muutoksista kyseiseen ilmoitukseen.

34 artikla
Ilmoitettujen laitosten tunnusnumerot ja luettelot

1. Komissio antaa ilmoitetulle laitokselle tunnusnumeron.

Se antaa vain yhden tällaisen numeron myös silloin, kun laitos ilmoitetaan usean unionin säädöksen nojalla.

2. Komissio asettaa julkisesti saataville luettelon laitoksista, jotka on ilmoitettu tämän asetuksen nojalla, mukaan luettuna tunnusnumerot, jotka niille on annettu ja toimet, joita varten ne on ilmoitettu.

Komissio huolehtii luettelon pitämisestä ajan tasalla.

35 artikla
Muutokset ilmoituksiin

1. Jos ilmoittava viranomainen on todennut tai saanut tietää, ettei ilmoitettu laitos enää täytä 29 artiklassa säädettyjä vaatimuksia tai ettei se noudata velvoitteitaan, ilmoittavan viranomaisen on tarpeen mukaan rajoitettava ilmoitusta taikka peruutettava se toistaiseksi tai kokonaan, riippuen vaatimusten täyttämättä jättämisen tai velvoitteiden noudattamatta jättämisen vakavuudesta. Sen on ilmoitettava asiasta välittömästi komissiolle ja muille jäsenvaltioille.

2. Jos ilmoitusta rajoitetaan tai se peruutetaan toistaiseksi tai kokonaan tai jos ilmoitettu laitos on lopettanut toimintansa, ilmoittaneen jäsenvaltion on toteutettava asianmukaiset toimenpiteet varmistaakseen, että kyseisen laitoksen asiakirja-aineiston joko käsittelee toinen ilmoitettu laitos tai se pidetään ilmoittavan viranomaisen ja markkinavalvontaviranomaisten pyynnöstä niiden saatavilla.

36 artikla
Ilmoitettujen laitosten pätevyyden riitauttaminen

1. Komissio tutkii kaikki tapaukset, joissa sillä itsellään on tai sen tietoon saatetaan epäilyksiä, jotka koskevat ilmoitetun laitoksen pätevyyttä tai sitä, täyttääkö ilmoitettu laitos edelleen sitä koskevat vaatimukset ja velvollisuudet.

2. Ilmoituksen tehneen jäsenvaltion on toimitettava pyynnöstä komissiolle kaikki tiedot, jotka liittyvät ilmoituksen perusteisiin tai asianomaisen laitoksen pätevyyden ylläpitoon.

3. Komissio varmistaa, että kaikkia sen tutkimusten yhteydessä saatuja arkaluonteisia tietoja käsitellään luottamuksellisesti.

4. Jos komissio toteaa, että ilmoitettu laitos ei täytä tai ei enää täytä sen ilmoittamiselle asetettuja vaatimuksia, se ilmoittaa asiasta ilmoituksen tehneelle jäsenvaltiolle ja pyytää sitä ryhtymään tarvittaviin korjaaviin toimenpiteisiin, mukaan luettuna ilmoituksen peruuttaminen tarvittaessa.

37 artikla
Ilmoitettujen laitosten toimintaan liittyvät velvollisuudet

1. Ilmoitettujen laitosten on suoritettava vaatimustenmukaisuuden arvioinnit 24 artiklassa ja liitteessä VI säädettyjen vaatimustenmukaisuuden arviointimenettelyjen mukaisesti.

2. Vaatimustenmukaisuuden arvioinnit on suoritettava oikeasuhteisesti siten, ettei talouden toimijoille aiheuteta tarpeetonta taakkaa, ottaen erityisesti huomioon mikroyritykset ja pienet ja keskisuuret yritykset. Vaatimustenmukaisuuden arviointilaitosten on tehtäviään hoitaessaan otettava asianmukaisesti huomioon yrityksen koko, toimiala ja rakenne, kyseisen tuotetyypin ja teknologian monimutkaisuus ja riskialtistus sekä tuotannon luonne massa- tai sarjatuotantona.

3. Ilmoitettujen laitosten on kuitenkin noudatettava sellaista tarkkuutta ja suojelun tasoa, jota tuotteiden vaatimustenmukaisuudelta edellytetään tämän asetuksen säännösten mukaisesti.

4. Jos ilmoitettu laitos katsoo, että valmistaja ei ole täyttänyt vaatimuksia, joista säädetään liitteessä I tai vastaavissa yhdenmukaistetuissa standardeissa tai 19 artiklassa tarkoitetuissa yhteisissä eritelmissä, sen on vaadittava valmistajaa ryhtymään tarvittaviin korjaaviin toimenpiteisiin eikä se saa antaa vaatimustenmukaisuustodistusta.

5. Jos ilmoitettu laitos katsoo todistuksen antamisen jälkeen suoritettavan vaatimustenmukaisuuden valvonnan yhteydessä, ettei tuote enää täytä tässä asetuksessa säädettyjä vaatimuksia, sen on vaadittava valmistajaa ryhtymään tarvittaviin korjaaviin toimenpiteisiin ja tarvittaessa peruutettava todistus toistaiseksi tai kokonaan.

6. Jos korjaavia toimenpiteitä ei toteuteta tai niillä ei ole vaadittua vaikutusta, ilmoitetun laitoksen on tarpeen mukaan rajoitettava myöntämiään todistuksia tai peruutettava ne toistaiseksi tai kokonaan.

38 artikla
Ilmoitettujen laitosten tiedotusvelvoite

1. Ilmoitettujen laitosten on tiedotettava ilmoittavalle viranomaiselle seuraavista seikoista:

a) todistusten epäämiset, rajoittamiset tai peruuttamiset toistaiseksi tai kokonaan;

b) olosuhteet, jotka vaikuttavat ilmoituksen soveltamisalaan ja ehtoihin;

c) vaatimustenmukaisuuden arviointitoimia koskevat tietopyynnöt, jotka ne ovat saaneet markkinavalvontaviranomaisilta;

d) pyynnöstä vaatimustenmukaisuuden arviointitoimet, jotka on suoritettu niitä koskevan ilmoituksen puitteissa, ja mahdollisesti suoritetut muut toimet, mukaan lukien rajat ylittävät toimet ja alihankinta.

2. Ilmoitettujen laitosten on toimitettava tämän asetuksen nojalla ilmoitetuille muille laitoksille, jotka suorittavat samanlaisia samat tuotteet kattavia vaatimustenmukaisuuden arviointitoimia, asiaankuuluvat tiedot kysymyksistä, jotka liittyvät vaatimustenmukaisuuden arvioinnin kielteisiin tuloksiin ja pyynnöstä myös myönteisiin tuloksiin.

39 artikla
Kokemusten vaihto

Komissio huolehtii kokemusten vaihdon järjestämisestä niiden kansallisten viranomaisten välillä, jotka vastaavat ilmoittamista koskevista jäsenvaltioiden toimintatavoista.

40 artikla
Ilmoitettujen laitosten koordinointi

1. Komissio varmistaa, että ilmoitettujen laitosten välillä otetaan käyttöön ja tapahtuu asianmukaista yhteensovittamista ja yhteistyötä ilmoitettujen laitosten monialaisessa ryhmässä, ottaen myös huomioon tarpeen vähentää hallinnollista rasitetta ja maksuja.

2. Jäsenvaltioiden on varmistettava, että niiden ilmoittamat laitokset osallistuvat kyseisen ryhmän työhön suoraan tai nimettyjen edustajien välityksellä.

V LUKU

MARKKINAVALVONTA JA TÄYTÄNTÖÖNPANO

41 artikla
Markkinavalvonta ja digitaalisia elementtejä sisältäville tuotteille unionin markkinoilla tehtävät tarkastukset

1. Tämän asetuksen soveltamisalaan kuuluviin digitaalisia elementtejä sisältäviin tuotteisiin sovelletaan asetusta (EU) 2019/1020.

2. Kunkin jäsenvaltion on nimettävä yksi tai useampi markkinavalvontaviranomainen tämän asetuksen tosiasiallisen täytäntöönpanon varmistamiseksi. Jäsenvaltiot voivat nimetä tätä asetusta varten markkinavalvontaviranomaiseksi jo olemassa olevan tai uuden viranomaisen.

3. Markkinavalvontaviranomaisten on tarvittaessa tehtävä yhteistyötä asetuksen (EU) 2019/881 58 artiklan mukaisesti nimettyjen kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten , toimivaltaisten viranomaisten ja direktiivin (EU) 2022/2555 nojalla nimettyjen CSIRT-yksiköiden kanssa ja vaihdettava säännöllisesti niiden kanssa tietoja.  

3 a. Tämän asetuksen 11 artiklan mukaisten raportointivelvoitteiden noudattamisen valvonnan osalta nimettyjen markkinavalvontaviranomaisten on tehtävä yhteistyötä ENISAn kanssa. Markkinavalvontaviranomaiset voivat pyytää ENISAa antamaan teknistä neuvontaa, joka koskee tämän asetuksen täytäntöönpanoon ja sen valvontaan liittyviä kysymyksiä. Markkinavalvontaviranomaiset voivat 43 artiklan mukaista tutkintaa suorittaessaan pyytää ENISAa toimittamaan ei-sitovia arvioita siitä, ovatko digitaalisia elementtejä sisältävät tuotteet vaatimustenmukaisia.

4. Markkinavalvontaviranomaisten on tarvittaessa tehtävä yhteistyötä muiden muita tuotteita koskevan unionin yhdenmukaistamislainsäädännön perusteella nimettyjen markkinavalvontaviranomaisten kanssa ja vaihdettava säännöllisesti niiden kanssa tietoja.

5. Markkinavalvontaviranomaisten on tarvittaessa tehtävä yhteistyötä unionin tietosuojalainsäädäntöä valvovien viranomaisten kanssa. Tällaiseen yhteistyöhön sisältyy tiedottaminen kyseisille viranomaisille niiden toimivaltuuksien kannalta merkityksellisistä havainnoista, myös silloin, kun annetaan ohjeita ja neuvoja tämän artiklan 8 kohdan mukaisesti, jos ohjeet ja neuvot koskevat henkilötietojen käsittelyä.

Unionin tietosuojalainsäädäntöä valvovilla viranomaisilla on oltava valtuudet pyynnöstä tutustua kaikkiin tämän asetuksen nojalla laadittuihin tai ylläpidettyihin asiakirjoihin, jos mahdollisuus tutustua kyseisiin asiakirjoihin on tarpeen niiden tehtävien suorittamiseksi. Niiden on ilmoitettava tällaisesta pyynnöstä asianomaisen jäsenvaltion nimetyille markkinavalvontaviranomaisille.

6. Jäsenvaltioiden on varmistettava, että nimetyille markkinavalvontaviranomaisille annetaan riittävät taloudelliset ja henkilöstöresurssit, joilla on riittävät kyberturvallisuustaidot, jotta ne voivat hoitaa tämän asetuksen mukaiset tehtävänsä.

7. Komissio helpottaa säännöllistä ja jäsenneltyä kokemusten vaihtoa nimettyjen markkinavalvontaviranomaisten välillä.

8. Markkinavalvontaviranomaiset voivat CSIRT-yksiköiden, ENISAn ja komission tuella antaa talouden toimijoille ohjeita ja neuvoja tämän asetuksen täytäntöönpanosta sekä muista kuin teknisistä riskitekijöistä.

8 a. Markkinavalvontaviranomaisilla on oltava valmiudet ottaa vastaan valituksia kuluttajilta asetuksen (EU) 2019/1020 11 artiklan mukaisesti myös siten, että perustetaan selkeät ja helposti saatavilla olevat mekanismit, joilla helpotetaan raportointia haavoittuvuuksista, poikkeamista ja kyberuhkista.

9. Markkinavalvontaviranomaisten on raportoitava vuosittain komissiolle asiaankuuluvien markkinavalvontatoimien tuloksista. Nimettyjen markkinavalvontaviranomaisten on ilmoitettava viipymättä komissiolle ja asianomaisille kansallisille kilpailuviranomaisille kaikki markkinavalvontatoimien yhteydessä esiin tulleet tiedot, joilla voi olla merkitystä unionin kilpailuoikeuden soveltamisen kannalta.

Markkinavalvontaviranomaisten on toimitettava komissiolle tiedot keskimääräisestä valmistajien määrittämästä tukikaudesta sekä, jos tieto on saatavilla, tuotteen keskimääräisestä odotetusta käyttöiästä, ja tiedot on eriteltävä digitaalisia elementtejä sisältävän tuotteen ryhmän mukaan. Komissio analysoi nämä tiedot ja julkaisee ne yleisesti saatavilla olevassa ja käyttäjäystävällisessä tietokannassa.

9 a. Komissio arvioi ilmoitetut tiedot myös tämän artiklan 9 kohdan mukaisesti 56 artiklassa tarkoitettuja kertomuksia varten. Jos ilmoitettujen tietojen perusteella näyttää siltä, että vaatimustenvastaisuus on lisääntynyt tietyissä tuoteryhmissä, komissio voi asiantuntijaryhmää ja hallinnollisen yhteistyön ryhmää kuultuaan suositella, että valvontaviranomaiset kiinnittävät erityistä huomiota kyseisiin tuoteryhmiin.

10. Kun on kyse tämän asetuksen soveltamisalaan kuuluvista digitaalisia elementtejä sisältävistä tuotteista, jotka on luokiteltu suuririskisiksi tekoälyjärjestelmiksi asetuksen [tekoälyasetus] [6 artiklan] artiklan mukaisesti, asetusta [tekoälyasetus] varten nimetyt markkinavalvontaviranomaiset vastaavat myös tämän asetuksen nojalla vaadituista markkinavalvontatoimista. Asetuksen [tekoälyasetus] nojalla nimettyjen markkinavalvontaviranomaisten on tarvittaessa tehtävä yhteistyötä tämän asetuksen nojalla nimettyjen markkinavalvontaviranomaisten kanssa ja 11 artiklan mukaisten raportointivelvoitteiden noudattamisen valvonnan osalta ENISAn kanssa. Asetuksen [tekoälyasetus] nojalla nimettyjen markkinavalvontaviranomaisten on ilmoitettava tämän asetuksen nojalla nimetyille markkinavalvontaviranomaisille kaikista havainnoista, joilla on merkitystä niiden tämän asetuksen täytäntöönpanoon liittyvien tehtävien hoitamisessa.

11. Tämän asetuksen yhdenmukaista soveltamista varten perustetaan digitaalisia elementtejä sisältävien tuotteiden kyberkestävyyttä käsittelevä hallinnollisen yhteistyön ryhmä asetuksen (EU) 2019/1020 30 artiklan 2 kohdan mukaisesti. Hallinnollisen yhteistyön ryhmä koostuu nimettyjen markkinavalvontaviranomaisten edustajista ja tarvittaessa yhteysvirastojen edustajista. Kyseinen hallinnollisen yhteistyön ryhmä erityisesti vaihtaa parhaita käytäntöjä ja tekee tarvittaessa yhteistyötä asiantuntijaryhmän, ENISAn sekä direktiivissä (EU) 2022/2555 tarkoitettujen yhteistyöryhmän ja CSIRT-verkoston kanssa.

11 a. Markkinavalvontaviranomaisten on helpotettava sidosryhmien, myös tiede-, tutkimus- ja kuluttajajärjestöjen, osallistumista niiden toimintaan.

42 artikla
Tietojen ja dokumentaation saatavuus

Jos se on tarpeen sen arvioimiseksi, täyttävätkö digitaalisia elementtejä sisältävät tuotteet ja valmistajien prosessit liitteessä I vahvistetut olennaiset vaatimukset, markkinavalvontaviranomaisille on myönnettävä perustellusta pyynnöstä pääsy tietoihin, joita tarvitaan tällaisten tuotteiden suunnittelun, kehittämisen, tuotannon ja haavoittuvuuksien käsittelyn arvioimiseksi, mukaan lukien asianomaisen talouden toimijan asiaan liittyvä sisäinen dokumentaatio.

43 artikla
Kansallisen tason menettely merkittävän kyberturvariskin aiheuttavia digitaalisia elementtejä sisältäviä tuotteita varten

1. Jos jäsenvaltion markkinavalvontaviranomaisella on riittävät perusteet katsoa, että digitaalisia elementtejä sisältävä tuote, mukaan lukien sen haavoittuvuuksien käsittely, aiheuttaa merkittävän kyberturvariskin, sen on arvioitava ilman aiheetonta viivytystä ja tarvittaessa yhteistyössä CSIRT-yksikön kanssa, täyttääkö asianomainen tuote kaikki tässä asetuksessa säädetyt vaatimukset. Asianomaisten talouden toimijoiden on tehtävä tarpeen mukaan yhteistyötä markkinavalvontaviranomaisen kanssa.

Kun markkinavalvontaviranomainen havaitsee arvioinnin yhteydessä, että digitaalisia elementtejä sisältävä tuote ei täytä tässä asetuksessa säädettyjä vaatimuksia, sen on vaadittava viipymättä asianomaista talouden toimijaa ryhtymään kaikkiin tarvittaviin korjaaviin toimenpiteisiin tuotteen saattamiseksi vastaamaan kyseisiä vaatimuksia tai sen poistamiseksi markkinoilta tai sen palauttamisen järjestämiseksi sellaisen määrittelemänsä kohtuullisen ajanjakson kuluessa, joka on oikeassa suhteessa riskin laatuun.

Markkinavalvontaviranomaisten on ilmoitettava tästä asianomaiselle ilmoitetulle laitokselle. Asianmukaisiin korjaaviin toimenpiteisiin sovelletaan asetuksen (EU) 2019/1020 18 artiklaa.

1 a. Jos jäsenvaltion markkinavalvontaviranomaisella on riittävä syy katsoa, että digitaalisia elementtejä sisältävä tuote aiheuttaa merkittävän kyberturvariskin tai uhan kansalliselle turvallisuudelle muiden kuin teknisten riskitekijöiden vuoksi, sen on annettava talouden toimijoille kohdennettuja suosituksia, joiden tarkoituksena on varmistaa, että otetaan käyttöön asianmukaisia korjaavia toimenpiteitä.

2. Kun markkinavalvontaviranomainen katsoo, että vaatimustenvastaisuus ei rajoitu sen kansalliselle alueelle, sen on ilmoitettava komissiolle ja muille jäsenvaltioille arvioinnin tuloksista ja toimenpiteistä, jotka se on vaatinut toimijaa toteuttamaan.

3. Valmistajan on varmistettava, että kaikki asianmukaiset korjaavat toimenpiteet toteutetaan kaikkien asianomaisten digitaalisia elementtejä sisältävien tuotteiden osalta, jotka se on asettanut saataville markkinoilla unionin alueella.

4. Jos digitaalisia elementtejä sisältävän tuotteen valmistaja ei 1 kohdan toisessa alakohdassa tarkoitetun ajanjakson kuluessa toteuta riittäviä korjaavia toimenpiteitä, markkinavalvontaviranomaisen on toteutettava kaikki tarvittavat väliaikaiset toimenpiteet, joilla kielletään kyseisen tuotteen asettaminen saataville kansallisilla markkinoilla tai rajoitetaan sitä tai joilla tuote poistetaan kyseisiltä markkinoilta tai järjestetään sitä koskeva palautusmenettely.

Viranomaisen on viipymättä ilmoitettava komissiolle ja muille jäsenvaltioille näistä toimenpiteistä.

5. Edellä 4 kohdassa tarkoitettuun ilmoitukseen on sisällyttävä kaikki saatavilla olevat yksityiskohdat ja erityisesti ne, jotka ovat tarpeen vaatimustenvastaisen digitaalisia elementtejä sisältävän tuotteen tunnistamista ja tuotteen alkuperän, siihen liittyvän väitetyn vaatimustenvastaisuuden ja riskin luonteen ja toteutettujen kansallisten toimenpiteiden luonteen ja keston määrittämistä varten, sekä asianomaisen toimijan esittämät perustelut. Markkinavalvontaviranomaisen on erityisesti ilmoitettava, johtuuko vaatimustenvastaisuus yhdestä tai useammasta seuraavista:

a) tuotteet tai valmistajan prosessit eivät täytä liitteessä I vahvistettuja olennaisia vaatimuksia;

b) yhdenmukaistetuissa standardeissa, kyberturvallisuuden sertifiointijärjestelmissä tai 18 artiklassa tarkoitetuissa yhteisissä eritelmissä on puutteita.

6. Muiden jäsenvaltioiden markkinavalvontaviranomaisten kuin menettelyn aloittaneen jäsenvaltion markkinavalvontaviranomaisen on viipymättä ilmoitettava komissiolle ja muille jäsenvaltioille kaikki toteutetut toimenpiteet ja kaikki niiden hallussa olevat lisätiedot, jotka liittyvät asianomaisen tuotteen vaatimustenvastaisuuteen, sekä vastalauseensa siinä tapauksessa, että ilmoitetusta kansallisesta toimenpiteestä on erimielisyyttä.

7. Jos mikään jäsenvaltio tai komissio ei ole kolmen kuukauden kuluessa 4 kohdassa tarkoitetun ilmoituksen vastaanottamisesta esittänyt vastalausetta jonkin jäsenvaltion toteuttamaa väliaikaista toimenpidettä kohtaan, toimenpiteen katsotaan olevan oikeutettu. Tämä ei rajoita asianomaisen toimijan asetuksen (EU) 2019/1020 18 artiklan mukaisia menettelyllisiä oikeuksia.

8. Kaikkien jäsenvaltioiden markkinavalvontaviranomaisten on varmistettava, että kyseistä tuotetta koskevat asianmukaiset rajoittavat toimenpiteet, kuten tuotteen vetäminen pois markkinoilta, toteutetaan viipymättä.

44 artikla
Unionin suojamenettely

1. Mikäli kolmen kuukauden kuluessa 43 artiklan 4 kohdassa tarkoitetun ilmoituksen vastaanottamisesta jokin jäsenvaltio esittää vastalauseen toisen jäsenvaltion toteuttamasta toimenpiteestä tai mikäli komissio pitää toimenpidettä unionin lainsäädännön vastaisena, komissio kuulee viipymättä asianomaista jäsenvaltiota ja talouden toimijaa ja arvioi kansallisen toimenpiteen. Komissio päättää arvioinnin tulosten perusteella, onko kansallinen toimenpide perusteltu, yhdeksän kuukauden kuluessa 43 artiklan 4 kohdassa tarkoitetusta ilmoituksesta, ja ilmoittaa tällaisesta päätöksestä asianomaiselle jäsenvaltiolle.

2. Jos kansallisen toimenpiteen katsotaan olevan perusteltu, kaikkien jäsenvaltioiden on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että vaatimustenvastainen digitaalisia elementtejä sisältävä tuote vedetään pois markkinoilta, ja niiden on ilmoitettava asiasta komissiolle. Jos kansallista toimenpidettä pidetään perusteettomana, asianomaisen jäsenvaltion on peruutettava toimenpide.

3. Jos kansallinen toimenpide katsotaan perustelluksi ja digitaalisia elementtejä sisältävän tuotteen vaatimustenvastaisuuden katsotaan johtuvan puutteista yhdenmukaistetuissa standardeissa, komissio soveltaa asetuksen (EU) N:o 1025/2012 10 artiklassa säädettyä menettelyä.

4. Jos kansallinen toimenpide katsotaan perustelluksi ja digitaalisia elementtejä sisältävän tuotteen vaatimustenvastaisuuden katsotaan johtuvan puutteista 18 artiklassa tarkoitetussa eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä, komissio harkitsee, muutetaanko tai kumotaanko 18 artiklan 4 kohdassa tarkoitettu täytäntöönpanosäädös, jossa vahvistetaan kyseistä sertifiointijärjestelmää koskeva vaatimustenmukaisuusolettama.

5. Jos kansallinen toimenpide katsotaan perustelluksi ja digitaalisia elementtejä sisältävän tuotteen vaatimustenvastaisuuden katsotaan johtuvan puutteista 19 artiklassa tarkoitetuissa yhteisissä eritelmissä, komissio harkitsee, muutetaanko tai kumotaanko 19 artiklassa tarkoitettu täytäntöönpanosäädös, jossa vahvistetaan kyseiset yhteiset eritelmät.

45 artikla
EU:n tason menettely merkittävän kyberturvariskin aiheuttavia digitaalisia elementtejä sisältäviä tuotteita varten

1. Jos komissiolla on riittävät perusteet katsoa, myös ENISAn toimittamien tietojen perusteella, että merkittävän kyberturvariskin aiheuttava digitaalisia elementtejä sisältävä tuote ei täytä tässä asetuksessa säädettyjä vaatimuksia, se pyytää asianomaisia markkinavalvontaviranomaisia suorittamaan vaatimustenmukaisuuden arvioinnin ja noudattamaan 43 artiklassa tarkoitettuja menettelyjä.

1 a. Jos komissiolla on riittävät perusteet katsoa, että digitaalisia elementtejä sisältävä tuote aiheuttaa merkittävän kyberturvariskin muiden kuin teknisten riskitekijöiden vuoksi, se ilmoittaa tästä asianomaiselle markkinavalvontaviranomaiselle ja antaa talouden toimijoille kohdennettuja suosituksia, joiden tarkoituksena on varmistaa, että otetaan käyttöön asianmukaisia korjaavia toimenpiteitä.

2. Olosuhteissa, joissa on perusteltua ryhtyä välittömiin toimiin sisämarkkinoiden moitteettoman toiminnan säilyttämiseksi, ja jos komissiolla on riittävät perusteet katsoa, että 1 kohdassa tarkoitettu tuote ei edelleenkään täytä tässä asetuksessa säädettyjä vaatimuksia, eivätkä asianomaiset markkinavalvontaviranomaiset ole toteuttaneet tuloksellisia toimenpiteitä, komissio pyytää ENISAa suorittamaan vaatimustenmukaisuuden arvioinnin. Komissio ilmoittaa asiasta asianomaisille markkinavalvontaviranomaisille. Asianomaisten talouden toimijoiden on tehtävä tarpeen mukaan yhteistyötä ENISAn kanssa.

3. ENISAn arvioinnin perusteella komissio voi päättää, että unionin tasolla tarvitaan korjaava tai rajoittava toimenpide. Tätä varten sen on viipymättä kuultava asianomaisia jäsenvaltioita ja asianomaisia talouden toimijoita.

4. Edellä 3 kohdassa tarkoitetun kuulemisen perusteella komissio voi hyväksyä täytäntöönpanosäädöksillä korjaavia tai rajoittavia toimenpiteitä unionin tasolla, mukaan lukien markkinoiltaveto tai palautusmenettely, kohtuullisen ajan kuluessa ja oikeassa suhteessa riskin luonteeseen. Nämä täytäntöönpanosäädökset hyväksytään 51 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

5. Komissio antaa 4 kohdassa tarkoitetun päätöksen viipymättä tiedoksi asiaankuuluville talouden toimijoille. Jäsenvaltioiden on pantava 4 kohdassa tarkoitetut säädökset täytäntöön viipymättä ja tiedotettava tästä komissiolle.

6. Edellä olevaa 2–5 kohtaa sovelletaan komission toimenpiteen perusteena olleen poikkeuksellisen tilanteen keston ajan ja niin kauan kuin kyseistä tuotetta ei ole saatettu tämän asetuksen mukaiseksi.

46 artikla
Digitaalisia elementtejä sisältävät merkittävän kyberturvariskin aiheuttavat vaatimustenmukaiset tuotteet

1. Jos jäsenvaltion markkinavalvontaviranomainen toteaa 43 artiklan mukaisen arvioinnin suoritettuaan, että vaikka digitaalisia elementtejä sisältävät tuotteet ja valmistajan prosessit täyttävät tämän asetuksen vaatimukset, ne aiheuttavat merkittävän kyberturvariskin ja lisäksi riskin ihmisten terveydelle tai turvallisuudelle, perusoikeuksien suojaamiseen tarkoitetun unionin tai kansallisen lainsäädännön mukaisten velvoitteiden täyttymiselle, direktiivin (EU) 2022/2555 3 artiklassa tarkoitettujen keskeisten toimijoiden sähköisen tietojärjestelmän avulla tarjoamien palvelujen saatavuudelle, aitoudelle, eheydelle tai luottamuksellisuudelle tai muille yleisen edun suojaan liittyville näkökohdille, sen on vaadittava asianomaista talouden toimijaa toteuttamaan kaikki asianmukaiset toimenpiteet sen varmistamiseksi, että digitaalisia elementtejä sisältävät tuotteet ja kyseisen valmistajan prosessit eivät enää aiheuta kyseistä riskiä markkinoille saatettaessa, digitaalisia elementtejä sisältävä tuote poistetaan markkinoilta tai järjestetään palautusmenettely kohtuullisessa ajassa ja oikeassa suhteessa riskin luonteeseen.

2. Valmistajan tai muiden asiaankuuluvien talouden toimijoiden on varmistettava, että korjaavat toimenpiteet toteutetaan kaikkien asianomaisten digitaalisia elementtejä sisältävien tuotteiden osalta, jotka ne ovat asettaneet saataville markkinoilla unionin alueella, edellä 1 kohdassa tarkoitetun jäsenvaltion markkinavalvontaviranomaisen asettamassa määräajassa.

3. Jäsenvaltion on välittömästi ilmoitettava komissiolle ja muille jäsenvaltioille 1 kohdan nojalla toteutetuista toimenpiteistä. Ilmoitukseen on sisällyttävä kaikki saatavilla olevat yksityiskohtaiset tiedot ja erityisesti ne, jotka ovat tarpeen asianomaisten digitaalisia elementtejä sisältävien tuotteiden tunnistamista sekä niiden alkuperän ja toimitusketjun, riskin luonteen sekä toteutettujen kansallisten toimenpiteiden luonteen ja keston määrittämistä varten.

4. Komissio ryhtyy viipymättä kuulemaan jäsenvaltioita ja asianomaisia talouden toimijoita ja arvioi toteutetut kansalliset toimenpiteet. Komissio tekee tämän arvioinnin tulosten perusteella päätöksen siitä, onko toimenpide perusteltu vai ei, ja ehdottaa tarvittaessa soveltuvia toimenpiteitä.

5. Komissio osoittaa päätöksensä jäsenvaltioille.

6. Jos komissiolla on riittävät perusteet katsoa, myös ENISAn toimittamien tietojen perusteella, että vaikka digitaalisia elementtejä sisältävä tuote täyttää tämän asetuksen vaatimukset, se aiheuttaa 1 kohdassa tarkoitettuja riskejä, komissio voi pyytää asianomaisia markkinavalvontaviranomaisia suorittamaan vaatimustenmukaisuuden arvioinnin ja noudattamaan 43 artiklassa ja tämän artiklan 1, 2 ja 3 kohdassa tarkoitettuja menettelyjä.

7. Olosuhteissa, joissa on perusteltua ryhtyä välittömiin toimiin sisämarkkinoiden moitteettoman toiminnan säilyttämiseksi, ja jos komissiolla on riittävät perusteet katsoa, että 6 kohdassa tarkoitettu tuote aiheuttaa edelleen 1 kohdassa tarkoitettuja riskejä, eivätkä asianomaiset kansalliset markkinavalvontaviranomaiset ole toteuttaneet tuloksellisia toimenpiteitä, komissio voi pyytää ENISAa arvioimaan tuotteen aiheuttamat riskit ja ilmoittaa tästä asianomaisille markkinavalvontaviranomaisille. Asianomaisten talouden toimijoiden on tehtävä tarpeen mukaan yhteistyötä ENISAn kanssa.

8. Edellä 7 kohdassa tarkoitetun ENISAn arvioinnin perusteella komissio päättää tarvittaessa korjaavasta tai rajoittavasta toimenpiteestä unionin tasolla. Tätä varten sen on viipymättä kuultava asianomaisia jäsenvaltioita ja asianomaisia toimijoita.

9. Edellä 8 kohdassa tarkoitetun kuulemisen perusteella komissio voi hyväksyä täytäntöönpanosäädöksillä korjaavia tai rajoittavia toimenpiteitä unionin tasolla, mukaan lukien markkinoiltaveto tai palautusmenettely, kohtuullisen ajan kuluessa ja oikeassa suhteessa riskin luonteeseen. Nämä täytäntöönpanosäädökset hyväksytään 51 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

10. Komissio antaa 9 kohdassa tarkoitetun päätöksen viipymättä tiedoksi asianomaisille toimijoille. Jäsenvaltioiden on pantava tällaiset säädökset täytäntöön viipymättä ja tiedotettava tästä komissiolle.

11. Edellä olevaa 6–10 kohtaa sovelletaan komission toimenpiteen perusteena olleen poikkeuksellisen tilanteen keston ajan ja niin kauan kuin kyseinen tuote aiheuttaa 1 kohdassa tarkoitettuja riskejä.

47 artikla
Muodollinen vaatimustenvastaisuus

1. Jos jäsenvaltion markkinavalvontaviranomainen tekee jonkin seuraavista havainnoista, sen on vaadittava asianomaista valmistajaa korjaamaan kyseinen vaatimustenvastaisuus:

a) vaatimustenmukaisuusmerkintä on kiinnitetty 21 ja 22 artiklan vastaisesti;

b) vaatimustenmukaisuusmerkintää ei ole kiinnitetty;

c) EU:n vaatimustenmukaisuusvakuutusta ei ole laadittu;

d) EU:n vaatimustenmukaisuusvakuutusta ei ole laadittu oikein;

e) vaatimustenmukaisuuden arviointimenettelyyn osallistuvan ilmoitetun laitoksen tunnusnumeroa ei ole kiinnitetty, jos sitä vaaditaan;

f) teknisiä asiakirjoja ei ole saatavilla tai ne ovat epätäydelliset.

2. Jos 1 kohdassa tarkoitettu vaatimustenvastaisuus jatkuu, asianomaisen jäsenvaltion on ryhdyttävä kaikkiin tarvittaviin toimenpiteisiin digitaalisia elementtejä sisältävän tuotteen markkinoilla saataville asettamisen rajoittamiseksi tai kieltämiseksi tai sen varmistamiseksi, että järjestetään sitä koskeva palautusmenettely tai se poistetaan markkinoilta.

48 artikla
Markkinavalvontaviranomaisten yhteistoimet

1. Markkinavalvontaviranomaisten on toteutettava yhteistoimia, joilla pyritään varmistamaan kyberturvallisuus ja kuluttajien suojelu tiettyjen markkinoille saatettujen tai markkinoilla saataville asetettujen digitaalisia elementtejä sisältävien tuotteiden osalta ja erityisesti sellaisten tuotteiden osalta, joiden havaitaan usein aiheuttavan kyberturvariskejä.

2. Komissio tai ENISA ehdottaa yhteistoimia, joilla markkinavalvontaviranomaiset tarkastavat tämän asetuksen vaatimusten täyttymisen, kun on viitteitä tai tietoja siitä, että tämän asetuksen soveltamisalaan kuuluvat tuotteet eivät mahdollisesti useissa jäsenvaltioissa täytä tämän asetuksen vaatimuksia.

3. Markkinavalvontaviranomaisten ja tarvittavilta osin komission on varmistettava, että sopimus yhteistoimien toteuttamisesta ei johda epäreiluun kilpailuun talouden toimijoiden välillä ja että se ei kielteisesti vaikuta sopimuksen osapuolten objektiivisuuteen, riippumattomuuteen ja puolueettomuuteen.

4. Markkinavalvontaviranomainen voi käyttää toimien tuloksena saatuja tietoja missä tahansa tutkinnassaan.

5. Kyseisen markkinavalvontaviranomaisen ja tarvittaessa komission on saatettava yhteistoimia koskeva sopimus, mukaan lukien asianomaisten osapuolten nimet, julkisesti saataville.

49 artikla
Tehotarkastukset

1. Markkinavalvontaviranomaisten on säännöllisesti tehtävä tiettyjen digitaalisia elementtejä sisältävien tuotteiden ja tuoteryhmien samanaikaisia, koordinoituja valvontatoimia (’tehotarkastuksia’), joilla ne tarkastavat, onko tämän asetuksen säännöksiä noudatettu tai onko niitä rikottu. Niihin on sisällyttävä valehenkilöllisyyden turvin hankittujen tuotteiden tarkastuksia, ja niiden tarkoituksena on varmistaa, että kyseiset tuotteet ovat tämän asetuksen mukaisia.

2. Ellei asianomaisten markkinavalvontaviranomaisten kanssa sovita toisin, komissio vastaa tehotarkastusten koordinoinnista. Tehotarkastuksen koordinoijan on julkaistava yhteistulokset.

3. ENISAn on tehtäviään suorittaessaan, myös 11 artiklan 1 ja 2 kohdan mukaisesti vastaanotettujen ilmoitusten perusteella, yksilöitävä tuoteryhmät, joille on tehtävä tehotarkastuksia. Tehotarkastuksia koskeva ehdotus on toimitettava 2 kohdassa tarkoitetulle mahdolliselle koordinaattorille markkinavalvontaviranomaisten tarkasteltavaksi.

4. Markkinavalvontaviranomaiset voivat tehotarkastuksia tehdessään käyttää 41–47 artiklassa vahvistettuja tutkintavaltuuksia ja kaikkia muita niille kansallisen oikeuden nojalla kuuluvia valtuuksia.

5. Markkinavalvontaviranomaisten on kutsuttava komission virkamiehiä ja muita komission valtuuttamia henkilöitä mukaan tehotarkastuksiin.

VI LUKU

SÄÄDÖSVALLAN SIIRTÄMINEN JA KOMITEAMENETTELY

50 artikla
Siirretyn säädösvallan käyttäminen

1. Komissiolle siirrettyä valtaa antaa delegoituja säädöksiä koskevat tässä artiklassa säädetyt edellytykset.

2. Siirretään komissiolle valta antaa 2 artiklan 4 kohdassa, 6 artiklan 2 kohdassa, 6 artiklan 3 kohdassa, 6 artiklan 5 kohdassa, 10 artiklan 15 kohdassa, 11 artiklan 5 kohdassa, 18 artiklan 4 kohdassa, 19 artiklan 1 kohdassa, 20 artiklan 5 kohdassa ja 23 artiklan 5 kohdassa tarkoitettuja delegoituja säädöksiä.

3. Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 2 artiklan 4 kohdassa, 6 artiklan 2 kohdassa, 6 artiklan 3 kohdassa, 6 artiklan 5 kohdassa, 10 artiklan 15 kohdassa, 11 artiklan 5 kohdassa, 18 artiklan 4 kohdassa, 19 artiklan 1 kohdassa, 20 artiklan 5 kohdassa ja 23 artiklan 5 kohdassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa päätöksessä mainittu säädösvallan siirto. Peruuttaminen tulee voimaan sitä päivää seuraavana päivänä, jona sitä koskeva päätös julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, kyseisessä päätöksessä mainittuna päivänä. Peruuttamispäätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen.

4. Ennen kuin komissio hyväksyy delegoidun säädöksen, se kuulee kunkin jäsenvaltion nimeämiä asiantuntijoita paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa vahvistettujen periaatteiden mukaisesti.

5. Heti kun komissio on antanut delegoidun säädöksen, komissio antaa sen tiedoksi yhtäaikaisesti Euroopan parlamentille ja neuvostolle.

6. Edellä olevien 2 artiklan 4 kohdan, 6 artiklan 2 kohdan, 6 artiklan 3 kohdan, 6 artiklan 5 kohdan, 10 artiklan 15 kohdan, 11 artiklan 5 kohdan, 18 artiklan 4 kohdan, 19 artiklan 1 kohdan, 20 artiklan 5 kohdan tai 23 artiklan 5 kohdan nojalla annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole kahden kuukauden kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan kahdella kuukaudella.

51 artikla
Komiteamenettely

1. Komissiota avustaa komitea. Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

3. Kun komitean lausunto on tarkoitus hankkia kirjallista menettelyä noudattaen, tämä menettely päätetään tuloksettomana, jos komitean puheenjohtaja lausunnon antamiselle asetetussa määräajassa niin päättää tai komitean jäsen sitä pyytää.

VII LUKU

LUOTTAMUKSELLISUUS JA SEURAAMUKSET

52 artikla
Luottamuksellisuus

1. Kaikkien tämän asetuksen soveltamiseen osallistuvien osapuolten on kunnioitettava tehtäviään ja toimiaan suorittaessaan saamiensa tietojen ja datan luottamuksellisuutta siten, että suojellaan erityisesti

a) teollis- ja tekijänoikeuksia ja luonnollisen henkilön tai oikeushenkilön luottamuksellisia liiketoimintatietoja tai liikesalaisuuksia, lähdekoodi mukaan lukien, lukuun ottamatta Euroopan parlamentin ja neuvoston direktiivin 2016/943[38] 5 artiklassa tarkoitettuja tapauksia;

b) tämän asetuksen tosiasiallista täytäntöönpanoa, etenkin tarkastusten, tutkinnan ja auditointien yhteydessä;

c) yleisiä ja kansallisia turvallisuusetuja;

d) rikosoikeudellisten tai hallinnollisten menettelyjen luotettavuutta.

2. Markkinavalvontaviranomaisten kesken tai markkinavalvontaviranomaisten ja komission välillä luottamuksellisesti vaihdettuja tietoja ei saa paljastaa ilman tiedot luovuttaneen markkinavalvontaviranomaisen etukäteen antamaa suostumusta, sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista.

3. Edellä oleva 1 ja 2 kohta eivät vaikuta komission, jäsenvaltioiden ja ilmoitettujen laitosten tiedonvaihtoa ja varoitusten antamista koskeviin oikeuksiin ja velvollisuuksiin eivätkä asianomaisten henkilöiden tiedonantovelvollisuuteen jäsenvaltioiden rikosoikeuden mukaisesti.

4. Komissio ja jäsenvaltiot voivat tarvittaessa vaihtaa arkaluonteisia tietoja sellaisten kolmansien maiden asiaan liittyvien viranomaisten kanssa, joiden kanssa ne ovat tehneet kahdenvälisiä tai monenvälisiä luottamuksellisuutta suojaavia järjestelyjä, joilla taataan riittävä suojan taso.

53 artikla
Seuraamukset

1. Jäsenvaltioiden on säädettävä seuraamuksista, joita sovelletaan, jos talouden toimijat rikkovat tämän asetuksen säännöksiä, ja toteutettava kaikki tarvittavat toimenpiteet sen varmistamiseksi, että ne pannaan täytäntöön. Seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia. Jäsenvaltioiden on varmistettava, että näissä säännöissä otetaan huomioon mikroyritysten sekä pienten ja keskisuurten yritysten taloudelliset valmiudet.

2. Jäsenvaltioiden on ilmoitettava nämä säännöt ja toimenpiteet komissiolle viipymättä, ja jäsenvaltioiden on ilmoitettava komissiolle kaikki niitä koskevat myöhemmät muutokset viipymättä. Komissio varmistaa, että näitä sääntöjä ja toimenpiteitä sovelletaan yhdenmukaisesti ja johdonmukaisesti koko unionissa.

3. Liitteessä I vahvistettujen olennaisten kyberturvavaatimusten ja 10 ja 11 artiklassa säädettyjen velvoitteiden täyttämättä jättämisestä on määrättävä hallinnollinen sakko, joka on enimmillään 15 000 000 euroa tai, jos rikkomiseen syyllistynyt on yritys, enimmillään 2,5 prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

4. Tämän asetuksen mukaisten muiden velvoitteiden laiminlyönnistä on määrättävä hallinnollinen sakko, joka on enimmillään 10 000 000 euroa tai, jos rikkomiseen syyllistynyt on yritys, enimmillään 2 prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

5. Virheellisten, puutteellisten tai harhaanjohtavien tietojen toimittamisesta vastauksena ilmoitettujen laitosten ja markkinavalvontaviranomaisten pyyntöön on määrättävä hallinnollinen sakko, joka on enimmillään 5 000 000 euroa tai, jos rikkomiseen syyllistynyt on yritys, enimmillään 1 prosentti sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

6. Kun päätetään hallinnollisen sakon määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon kaikki kyseisen tilanteen kannalta merkittävät olosuhteet sekä seuraavat seikat:

a) rikkomisen ja sen seurausten luonne, vakavuus ja kesto;

a a) onko rikkomus tahaton;

b) ovatko samat tai muut markkinavalvontaviranomaiset jo määränneet hallinnollisia sakkoja samalle toimijalle samankaltaisesta rikkomisesta;

c) rikkomiseen syyllistyneen toimijan koko erityisesti mikroyritysten sekä pienten ja keskisuurten yritysten, myös startup-yritysten, osalta ja markkinaosuus.

7. Hallinnollisia sakkoja määräävien markkinavalvontaviranomaisten on jaettava nämä tiedot muiden jäsenvaltioiden markkinavalvontaviranomaisten kanssa asetuksen (EU) 2019/1020 34 artiklassa tarkoitetun tieto- ja viestintäjärjestelmän kautta.

8. Kunkin jäsenvaltion on vahvistettava säännöt siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia sakkoja ja missä määrin.

9. Jäsenvaltion oikeusjärjestelmästä riippuen hallinnollisia sakkoja koskevia sääntöjä voidaan soveltaa siten, että sakkojen määräämisestä vastaavat toimivaltaiset kansalliset tuomioistuimet tai muut elimet kansallisella tasolla kyseisissä jäsenvaltioissa säädettyjen toimivaltuuksien mukaisesti. Tällaisten sääntöjen soveltamisella näissä jäsenvaltioissa on oltava vastaava vaikutus.

10. Hallinnollisia sakkoja voidaan määrätä kunkin yksittäisen tapauksen olosuhteista riippuen niiden muiden korjaavien tai rajoittavien toimenpiteiden lisäksi, joita markkinavalvontaviranomaiset toteuttavat saman rikkomisen johdosta.

53 a artikla
Seuraamuksista saatavien tulojen kohdentaminen

Jäsenvaltioiden on kohdennettava 53 artiklan 1 kohdassa tarkoitetuista seuraamuksista saatavat tulot hankkeisiin, joilla parannetaan kyberturvallisuuden tasoa unionissa. Hankkeilla on pyrittävä vähintään yhteen seuraavista:

a) kyberturva-alan ammattitaitoisten ammattilaisten ja erityisesti naisten määrän lisääminen;

b) mikroyritysten sekä pienten ja keskisuurten yritysten valmiuksien kehittämisen lisääminen, jotta niiden on helpompi noudattaa tätä asetusta;

c) kansalaisten tietoisuuden lisääminen kyberuhkista kiinnittäen erityistä huomiota niiden ehkäisemiseen ja hallintaan;

d) sellaisten välineiden kehittäminen, joilla parannetaan unionin yritysten kykyä selviytyä kyberympäristöä hyväksi käyttäen tehdyistä teollis- ja tekijänoikeuksien varkauksista.

 

VIII LUKU

SIIRTYMÄSÄÄNNÖKSET JA LOPPUSÄÄNNÖKSET

54 artikla
Asetuksen (EU) N:o 2019/1020 muuttaminen

Lisätään asetuksen (EU) 2019/1020 liitteeseen I kohta seuraavasti:

”71.  [Asetus XXX][kyberkestävyyssäädös]”.

54 a artikla
Direktiivin (EU) 2020/1828 muuttaminen

Lisätään Euroopan parlamentin ja neuvoston direktiivin (EU) 2020/1828[39]  liitteeseen I kohta seuraavasti:

”67)  [Asetus XXX] [kyberkestävyyssäädös]”.

55 artikla
Siirtymäsäännökset

1. EU-tyyppitarkastustodistukset ja hyväksymispäätökset, jotka on annettu digitaalisia elementtejä sisältävien tuotteiden, joihin sovelletaan muuta unionin yhdenmukaistamislainsäädäntöä, kyberturvavaatimuksista, pysyvät voimassa ... päivään ...kuuta ... saakka [42 kuukautta tämän asetuksen voimaantulopäivästä], paitsi jos niiden voimassaolo päättyy ennen kyseistä ajankohtaa tai jollei muussa unionin lainsäädännössä toisin säädetä, jolloin ne pysyvät voimassa kyseisessä unionin lainsäädännössä tarkoitetulla tavalla.

2. Ennen ... päivää ...kuuta ... [57 artiklassa tarkoitettu tämän asetuksen soveltamispäivä] markkinoille saatettuihin digitaalisia elementtejä sisältäviin tuotteisiin sovelletaan tämän asetuksen vaatimuksia ainoastaan, jos kyseisten tuotteiden rakenteeseen tai käyttötarkoitukseen tehdään kyseisen ajankohdan jälkeen merkittäviä muutoksia.

3. Poiketen siitä, mitä 2 kohdassa säädetään, 11 artiklassa säädettyjä velvoitteita sovelletaan kaikkiin tämän asetuksen soveltamisalaan kuuluviin digitaalisia elementtejä sisältäviin tuotteisiin, jotka on saatettu markkinoille ennen ... päivää ...kuuta ... [57 artiklassa tarkoitettu tämän asetuksen soveltamispäivä].

3 a. Valmistajat voivat vapaaehtoisesti noudattaa tämän asetuksen vaatimuksia tämän asetuksen soveltamispäivään saakka. Jos valmistajat noudattavat tätä asetusta digitaalisia elementtejä sisältävien tuotteidensa osalta, tuotteiden katsotaan olevan myös delegoidun asetuksen (EU) 2022/30 mukaisia.

Komissio kumoaa delegoidun asetuksen (EU) 2022/30 kyseisenä tämän asetuksen soveltamispäivänä.

56 artikla
Arviointi ja uudelleentarkastelu

1. Viimeistään ... päivänä ...kuuta ... [36 kuukauden kuluttua tämän asetuksen soveltamispäivästä] ja sen jälkeen joka neljäs vuosi komissio toimittaa Euroopan parlamentille ja neuvostolle kertomuksen tämän asetuksen arvioinnista ja uudelleentarkastelusta. Kertomukset julkistetaan.

2. Samalla, kun komissio esittää vuosittain seuraavan vuoden talousarvioesityksen, se toimittaa yksityiskohtaisen arvioinnin ENISAn tämän asetuksen mukaisista liitteessä VI a vahvistetuista ja muun asiaa koskevan unionin lainsäädännön mukaisista tehtävistä ja antaa yksityiskohtaisen selvityksen näiden tehtävien suorittamiseen tarvittavista taloudellisista ja henkilöstöresursseista.

57 artikla
Voimaantulo ja soveltaminen

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Sitä sovelletaan ... päivästä ...kuuta ... [36 kuukauden kuluttua tämän asetuksen voimaantulosta]. Asetuksen 11 artiklaa sovelletaan kuitenkin ... päivästä ...kuuta ... [18 kuukauden kuluttua tämän asetuksen voimaantulopäivästä].

 

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty... ▌

Euroopan parlamentin puolesta Neuvoston puolesta

Puhemies Puheenjohtaja


 

LIITE I

 

OLENNAISET KYBERTURVAVAATIMUKSET

1. Digitaalisia elementtejä sisältävien tuotteiden ominaisuuksiin liittyvät tietoturvavaatimukset

1) Digitaalisia elementtejä sisältävät tuotteet on suunniteltava, kehitettävä ja tuotettava siten, että ne saavuttavat riskiperusteisesti asianmukaisen kyberturvallisuuden tason.

 

3) Tämän asetuksen 10 artiklan 2 kohdassa tarkoitetun kyberturvariskien arvioinnin perusteella ja soveltuvin osin digitaalisia elementtejä sisältävien tuotteiden on täytettävä seuraavat vaatimukset:

-a) ne on asetettava saataville ilman tiedossa olevia hyödynnettävissä olevia haavoittuvuuksia;

a)  ne on asetettava saataville oletusarvoisesti tietoturvallisin asetuksin, jolleivat osapuolet ole yrityksiä, jotka ovat sopineet keskenään toisin, ja ne on voitava palauttaa alkuperäiseen tilaansa siten, että samalla säilytetään kaikki asennetut tietoturvapäivitykset;

a a) jos teknisesti mahdollista, ne on asetettava saataville markkinoilla siten, että tietoturvapäivitykset on toiminnallisesti erotettu toimintopäivityksistä;

a b) niissä on oltava automaattiset tietoturvapäivitykset siten, että käytössä on selkeä ja helppokäyttöinen estomekanismi ja ilmoitukset, joilla käyttäjille tiedotetaan saatavilla olevista päivityksistä;

b)  niissä on oltava asianmukaiset valvontamekanismit esimerkiksi käyttäjien tunnistamista ja käyttöoikeuksien hallintaa varten, jotta luvaton käyttö estyy;

c)  niiden on suojattava tallennettujen, siirrettyjen tai muulla tavoin käsiteltyjen henkilötietojen tai muiden tietojen luottamuksellisuus esimerkiksi salaamalla asiaankuuluvat tiedot uusimman tekniikan mukaisilla mekanismeilla tallennustilassa tai tietojen siirron aikana ja käyttämällä muita teknisiä välineitä;

d)  niiden on suojattava tallennetut, siirrettävät tai muulla tavoin käsiteltävät henkilötiedot tai muut tiedot, komennot, ohjelmat ja asetukset kaikelta manipuloinnilta tai muuttamiselta, johon käyttäjä ei ole antanut lupaa, sekä ilmoitettava poikkeamista tai mahdollisesta luvattomasta käytöstä;

e)  niiden on käsiteltävä ainoastaan sellaisia henkilötietoja tai muita tietoja, jotka ovat asianmukaisia, olennaisia ja rajoittuvat siihen, mikä on tarpeen tuotteen aiotun käyttötarkoituksen kannalta (’tietojen minimointi’);

f)  niiden on suojattava olennaisten toimintojen ja perustoimintojen saatavuus, myös poikkeaman jälkeen, mihin kuuluu myös varmuuskopioiden hallinta sekä palvelunestohyökkäysten sietokyky ja niiden vaikutusten lieventämiseksi toteutettavat toimenpiteet;

g)  niiden on minimoitava oma kielteinen vaikutuksensa muiden laitteiden tai verkkojen tarjoamien palvelujen saatavuuteen;

h)  ne on suunniteltava, kehitettävä ja tuotettava siten, että hyökkäyspintoja, kuten ulkoisia rajapintoja, on mahdollisimman vähän;

i)  ne on suunniteltava, kehitettävä ja tuotettava siten, että poikkeaman vaikutukset pidetään mahdollisimman vähäisinä käyttäen asianmukaisia väärinkäytön vaikutusten lieventämismekanismeja ja -tekniikoita;

j)  niiden on tuotettava tietoturvaan liittyvää informaatiota tallentamalla ja/tai seuraamalla asiaan liittyviä sisäisen toiminnan valmiuksia, kuten tietojen, palvelujen tai toimintojen käyttöä tai muutoksia, tarjoten estomekanismin käyttäjälle;

 

k a) niiden on annettava käyttäjille mahdollisuus peruuttaa ja poistaa tietonsa tietoturvallisesti ja pysyvästi.

2. Haavoittuvuuksien käsittelyä koskevat vaatimukset

Digitaalisia elementtejä sisältävien tuotteiden valmistajien on

1) tunnistettava ja dokumentoitava tuotteeseen sisältyvät haavoittuvuudet ja komponentit muun muassa laatimalla vähintään tuotteen ylimmän tason riippuvuudet kattava ohjelmistosisältöluettelo yleisesti käytetyssä ja koneluettavassa muodossa;

2) digitaalisia elementtejä sisältäviin tuotteisiin kohdistuvien riskien yhteydessä puututtava haavoittuvuuksiin ja korjattava ne viipymättä, esimerkiksi tarjoamalla tietoturvapäivityksiä tarvittaessa automaattisesti asennettuina 1 jakson mukaisesti;

3) tehtävä säännöllisesti digitaalisia elementtejä sisältävän tuotteen tietoturvaan liittyviä tehokkaita testejä ja arviointeja;

4) kun tietoturvapäivitys on asetettu saataville, jaettava ja julkistettava valvotusti tiedot korjatuista haavoittuvuuksista, mukaan lukien kuvaus haavoittuvuuksista, tiedot, joiden avulla käyttäjät voivat tunnistaa kyseisen digitaalisia elementtejä sisältävän tuotteen, haavoittuvuuksien vaikutukset ja vakavuus sekä selkeät ja helposti saatavilla olevat tiedot, jotka auttavat käyttäjiä korjaamaan haavoittuvuudet;

5) laadittava haavoittuvuuksien ilmoittamista koskevat periaatteet ja valvottava niiden noudattamista;

6) toteutettava toimenpiteitä, joilla helpotetaan tietojen jakamista digitaalisia elementtejä sisältävän tuotteen ja kyseisen tuotteen sisältämien kolmannen osapuolen komponenttien mahdollisista haavoittuvuuksista, muun muassa ilmoittamalla yhteysosoite tuotteessa havaittujen haavoittuvuuksien raportointia varten;

7) huolehdittava mekanismeista digitaalisia elementtejä sisältävien tuotteiden tietoturvapäivitysten tietoturvallisen jakelun varmistamiseksi, jotta hyödynnettävissä olevat haavoittuvuudet korjataan tai niiden vaikutuksia lievennetään mahdollisimman pikaisesti;

8) varmistettava, että jos havaittujen tietoturvaongelmien ratkaisemiseksi on saatavilla tietoturvapäivityksiä, niitä levitetään viipymättä ja, jolleivat osapuolet ole yrityksiä, jotka ovat sopineet keskenään toisin, maksutta ja että niihin liitetään tarvittavat ohjeet, myös mahdollisista käyttäjältä edellytettävistä toimista;

8 a) ilmoitettava mahdollisuuksien mukaan ja soveltuvin osin käyttäjälle tukikauden päättymisestä.

 


 

LIITE II

 

KÄYTTÄJÄLLE ANNETTAVAT TIEDOT JA OHJEET

 

Digitaalisia elementtejä sisältävän tuotteen mukana on toimitettava vähintään seuraavat tiedot:

1. valmistajan nimi, rekisteröity toiminimi tai rekisteröity tavaramerkki sekä postiosoite, sähköpostiosoite ja mahdollinen verkkosivusto, josta valmistajaan saa yhteyden, joko tuotteessa tai   sen pakkauksessa tai tuotteen mukana seuraavassa asiakirjassa;

2. keskitetty yhteyspiste, johon voi raportoida ja josta saa tietoja tuotteen kyberturvallisuuteen liittyvistä haavoittuvuuksista, sekä valmistajan koordinoidut haavoittuvuuksien ilmoittamisperiaatteet ja tieto siitä, mistä nämä voi löytää;

3. tyyppi-, erä-, versio- tai sarjanumero tai muu merkintä, jonka avulla tuote ja sitä vastaavat käyttöohjeet ja -tiedot voidaan yksilöidä;

4. suunniteltu käyttötarkoitus, mukaan lukien valmistajan tarjoama tietoturvaympäristö, sekä tuotteen olennaiset toiminnot ja tiedot tietoturvaominaisuuksista;

5. kaikki tunnetut tai ennakoitavissa olevat olosuhteet, jotka liittyvät digitaalisia elementtejä sisältävän tuotteen käyttöön sen käyttötarkoituksen mukaisesti tai kohtuudella ennakoitavissa olevissa väärinkäyttöolosuhteissa ja jotka voivat johtaa merkittäviin kyberturvariskeihin;

6. tieto siitä, onko saatavilla ohjelmistosisältöluettelo ja mistä toimivaltaiset viranomaiset voivat saada sen 52 artiklassa säädettyjen salassapitoehtojen mukaisesti;

7. tarvittaessa internet-osoite, josta EU-vaatimustenmukaisuusvakuutus on saatavilla;

8. valmistajan tarjoaman teknisen tietoturvatuen tyyppi ja tieto tukikaudesta, jonka aikana käyttäjät voivat odottaa, että haavoittuvuudet käsitellään ja että he saavat tietoturvapäivityksiä;

9. yksityiskohtaiset ohjeet seuraavista tai internet-osoite, josta yksityiskohtaiset ohjeet ovat saatavilla:

a)  tarvittavat toimenpiteet tuotteen käyttöönoton yhteydessä ja koko sen elinkaaren ajan tietoturvallisen käytön varmistamiseksi;

b)  miten tuotteen muutokset voivat vaikuttaa tietoturvaan;

c)  miten tietoturvan kannalta merkitykselliset päivitykset voidaan asentaa;

d)  tuotteen turvallinen käytöstä poistaminen, mukaan lukien ohjeet siitä, miten käyttäjätiedot voidaan tietoturvallisesti poistaa.


LIITE III

 

DIGITAALISIA ELEMENTTEJÄ SISÄLTÄVÄT KRIITTISET TUOTTEET

 

Luokka I

1. Identiteetinhallintajärjestelmien ohjelmistot ja etuoikeutettujen käyttöoikeuksien hallintaohjelmistot.

2. Erilliset ja sulautetut selaimet.

3. Salasanojen hallinnointityökalut.

3 a. Biometriset lukulaitteet.

4. Ohjelmistot, jotka etsivät, poistavat tai asettavat karanteeniin haittaohjelmistoja.

5. Digitaalisia elementtejä sisältävät tuotteet, jotka liittyvät virtuaalisen yksityisverkon (VPN) luomiseen.

6. Verkonhallintajärjestelmät.

7. Verkon konfiguraation hallintavälineet.

8. Verkkoliikenteen seurantajärjestelmät.

9. Verkkoresurssien hallintavälineet.

10. Tietoturvatieto- ja tapahtumanhallintajärjestelmät (SIEM).

11. Päivitystenhallinta, mukaan lukien uudelleenkäynnistyksen ohjaimet.

12. Sovellusten konfiguroinnin hallintajärjestelmät.

13. Etäkäyttöohjelmistot.

14. Mobiililaitteiden hallintaohjelmistot.

15. Fyysiset ja virtuaaliset verkkorajapinnat.

16. Luokkaan II kuulumattomat käyttöjärjestelmät.

17. Luokkaan II kuulumattomat palomuurit ja tunkeutumisen havaitsemis- ja/tai ehkäisyjärjestelmät.

19. Yleiskäyttöiset mikroprosessorit ja luokkaan II kuulumattomat mikroprosessorit.

20. Mikro-ohjaimet.

21. Sovelluskohtaiset integroidut piirit (ASIC) ja kenttäohjelmoitavat porttimatriisit (FPGA), jotka on tarkoitettu direktiivin (EU) 2022/2555 3 artiklassa tarkoitettujen keskeisten toimijoiden käyttöön.

22. Luokkaan II kuulumattomat teollisuuden automaatio- ja valvontajärjestelmät (IACS), kuten ohjelmoitavat logiikkaohjaimet (PLC), hajautetut ohjausjärjestelmät (DCS), konetyökalujen tietokoneistetut numeeriset ohjaimet (CNC), teollisuusrobotit ja niiden ohjausjärjestelmät sekä valvonta- ja tiedonhankintajärjestelmät (SCADA).

23. Luokkaan II kuulumaton teollinen esineiden internet.

23 a. Kotiautomaatiojärjestelmät, mukaan lukien älykotipalvelimet ja virtuaaliavustajat.

23 b. Turvalaitteet, mukaan lukien ovien älylukot, kamerat ja hälytysjärjestelmät.

23 c. Älylelut.

23 d. Henkilökohtaiset terveyslaitteet ja terveyteen liittyvät päälle puettavat tuotteet.

 

Luokka II

1. Palvelinten, tietokoneiden ja mobiililaitteiden käyttöjärjestelmät.

2. Virtualisointialustat ja konttien ajonaikaiset järjestelmät, jotka tukevat käyttöjärjestelmien ja vastaavien ympäristöjen virtualisoitua ajoa.

3. Julkisen avaimen infrastruktuuri ja digitaalisten varmenteiden myöntäjät.

4. Teolliseen käyttöön tarkoitetut palomuurit ja tunkeutumisen havaitsemis- ja/tai ehkäisyjärjestelmät.

6. Ohjelmoitaviin logiikkaohjaimiin ja suojattuihin elementteihin integroitaviksi tarkoitetut mikroprosessorit.

7. Reitittimet, internet-yhteyden muodostamiseen tarkoitetut modeemit ja kytkimet.

8. Suojatut elementit.

9. Laitteistojen tietoturvamoduulit (HSM-moduulit).

10. Tietoturvalliset salausprosessorit.

11. Älykortit, älykorttien lukijat ja token-ratkaisut.

12. Direktiivin (EU) 2022/2555 3 artiklassa tarkoitettujen keskeisten toimijoiden käyttöön tarkoitetut teollisuuden automaatio- ja valvontajärjestelmät (IACS), kuten ohjelmoitavat logiikkaohjaimet (PLC), hajautetut ohjausjärjestelmät (DCS), konetyökalujen tietokoneistetut numeeriset ohjaimet (CNC) sekä valvonta- ja tiedonhankintajärjestelmät (SCADA).

13. Direktiivin (EU) 2022/2555 3 artiklassa tarkoitettujen keskeisten toimijoiden käyttöön tarkoitetut teollisen esineiden internetin laitteet.

15. Älymittarit.


 

LIITE IV

 

EU-VAATIMUSTENMUKAISUUSVAKUUTUS

 

Tämän asetuksen 20 artiklassa tarkoitetun EU-vaatimustenmukaisuusvakuutuksen on sisällettävä seuraavat tiedot:

1. Nimi ja tyyppi sekä kaikki lisätiedot, joiden avulla digitaalisia elementtejä sisältävä tuote voidaan yksilöidä.

2. Valmistajan tai sen valtuutetun edustajan nimi ja osoite.

3. Ilmoitus siitä, että EU-vaatimustenmukaisuusvakuutus on annettu tarjoajan yksinomaisella vastuulla.

4. Vakuutuksen kohde (jäljitettävyyden mahdollistava tuotteen tunniste; voi tarvittaessa sisältää valokuvan).

5. Lausuma siitä, että edellä kuvattu vakuutuksen kohde on asiaa koskevan unionin yhdenmukaistamislainsäädännön vaatimusten mukainen.

6. Viittaukset käytettyihin asiaankuuluviin yhdenmukaistettuihin standardeihin tai muihin yhteisiin eritelmiin tai kyberturvasertifiointeihin, joiden suhteen vaatimustenmukaisuusvakuutus on annettu.

7. Tarvittaessa ilmoitetun laitoksen nimi ja tunnusnumero, kuvaus suoritetusta vaatimustenmukaisuuden arviointimenettelystä sekä annetun todistuksen tunniste.

8. Lisätiedot.

 

Puolesta allekirjoittanut: …………………………………

(antamispaikka ja -päivämäärä):

(nimi, tehtävä) (allekirjoitus):


LIITE V

 

TEKNISTEN ASIAKIRJOJEN SISÄLTÖ

 

Tämän asetuksen 23 artiklassa tarkoitettuihin teknisiin asiakirjoihin on sisällyttävä vähintään seuraavat tiedot, siltä osin kuin ne koskevat kyseistä digitaalisia elementtejä sisältävää tuotetta:

1. Digitaalisia elementtejä sisältävän tuotteen yleinen kuvaus, mukaan lukien

a) aiottu käyttötarkoitus;

b)  niiden ohjelmistojen versiot, joilla on vaikutusta olennaisten vaatimusten täyttymiseen;

c)  jos digitaalisia elementtejä sisältävä tuote on laite, valokuvat tai kaaviot ulkoisista piirteistä, merkinnöistä ja sisäisestä rakenteesta;

d)  liitteessä II esitetyt käyttötiedot ja -ohjeet.

2. Kuvaus tuotteen suunnittelusta, kehittämisestä ja tuotannosta sekä haavoittuvuuksien käsittelyprosesseista, mukaan lukien

a) täydelliset tiedot digitaalisia elementtejä sisältävän tuotteen suunnittelusta ja kehittämisestä, mukaan lukien tarvittaessa piirustukset ja kaaviot ja/tai kuvaus järjestelmäarkkitehtuurista, jossa selitetään, miten ohjelmistokomponentit rakentuvat toisilleen tai vaikuttavat toisiinsa ja miten ne on integroitu kokonaisprosessointiin;

b)  täydelliset tiedot ja eritelmät valmistajan käyttämistä haavoittuvuuksien käsittelyprosesseista, mukaan lukien ohjelmistosisältöluettelo, koordinoitua haavoittuvuuksista ilmoittamista koskevat periaatteet, todisteet yhteysosoitteen antamisesta haavoittuvuuksista raportointia varten ja kuvaus teknisistä ratkaisuista, jotka on valittu päivitysten suojattua jakelua varten;

c)  täydelliset tiedot ja eritelmät, jotka koskevat digitaalisia elementtejä sisältävän tuotteen tuotanto- ja seurantaprosesseja ja näiden prosessien validointia.

3. Arvio kyberturvariskeistä, joiden torjumiseksi digitaalisia elementtejä sisältävä tuote on suunniteltu, kehitetty, tuotettu, toimitettu ja otettu ylläpidettäväksi tämän asetuksen 10 artiklan mukaisesti, myös siitä, miten liitteessä I olevassa 1 jaksossa vahvistettuja olennaisia vaatimuksia sovelletaan.

4. Luettelo kokonaan tai osittain sovellettavista yhdenmukaistetuista standardeista, joiden viitetiedot on julkaistu Euroopan unionin virallisessa lehdessä, tämän asetuksen 19 artiklan mukaisista yhteisistä eritelmistä tai 18 artiklan 3 kohdassa tarkoitetuista asetuksen (EU) 2019/881 mukaisista kyberturvallisuuden sertifiointijärjestelmistä, ja jos kyseisiä yhdenmukaistettuja standardeja, yhteisiä eritelmiä tai kyberturvallisuuden sertifiointijärjestelmiä ei ole sovellettu, kuvaukset ratkaisuista, jotka on valittu liitteessä I olevassa 1 ja 2 jaksossa vahvistettujen olennaisten vaatimusten täyttämiseksi, mukaan lukien luettelo sovellettavista muista asiaankuuluvista teknisistä eritelmistä. Osittain sovellettujen yhdenmukaistettujen standardien, yhteisten eritelmien tai kyberturvasertifiointien tapauksessa teknisissä asiakirjoissa on täsmennettävä osat, joita on sovellettu.

5. Raportit testeistä, jotka on tehty sen varmistamiseksi, että tuotteet ja haavoittuvuuksien käsittelyprosessit täyttävät sovellettavat liitteessä I olevassa 1 ja 2 jaksossa vahvistetut olennaiset vaatimukset.

6. Kopio EU-vaatimustenmukaisuusvakuutuksesta.

7. Tarvittaessa 3 artiklan 36 alakohdassa määritelty ohjelmistosisältöluettelo markkinavalvontaviranomaisen perustellusta pyynnöstä edellyttäen, että se on tarpeen, jotta kyseinen viranomainen voi tarkastaa, että liitteessä I vahvistetut olennaiset vaatimukset täyttyvät.


LIITE VI

 

VAATIMUSTENMUKAISUUDEN ARVIOINTIMENETTELYT

 

Sisäiseen valvontaan perustuva vaatimustenmukaisuuden arviointimenettely (perustuen moduuliin A)

1. Sisäinen valvonta on vaatimustenmukaisuuden arviointimenettely, jossa valmistaja täyttää 2, 3 ja 4 kohdassa säädetyt velvoitteet sekä varmistaa ja vakuuttaa yksinomaisella vastuullaan, että digitaalisia elementtejä sisältävät tuotteet täyttävät kaikki liitteessä I olevassa 1 jaksossa vahvistetut olennaiset vaatimukset ja että valmistaja täyttää liitteessä I olevassa 2 jaksossa vahvistetut olennaiset vaatimukset.

2. Valmistajan on laadittava liitteessä V kuvatut tekniset asiakirjat.

3. Digitaalisia elementtejä sisältävien tuotteiden suunnittelu, kehittäminen, tuotanto ja haavoittuvuuksien käsittely

Valmistajan on toteutettava kaikki tarvittavat toimenpiteet sen varmistamiseksi, että suunnittelu-, kehitys-, tuotanto- ja haavoittuvuuksienkäsittelyprosesseilla ja niiden valvonnalla varmistetaan, että valmistetut tai kehitetyt digitaalisia elementtejä sisältävät tuotteet ja valmistajan prosessit täyttävät liitteessä I olevassa 1 ja 2 jaksossa vahvistetut olennaiset vaatimukset.

4. CE-merkintä ja vaatimustenmukaisuusvakuutus

4.1. Valmistajan on kiinnitettävä CE-merkintä kuhunkin yksittäiseen digitaalisia elementtejä sisältävään tuotteeseen, joka täyttää tämän asetuksen sovellettavat vaatimukset.

4.2. Valmistajan on laadittava kirjallinen EU-vaatimustenmukaisuusvakuutus kullekin digitaalisia elementtejä sisältävälle tuotteelle tämän asetuksen 20 artiklan mukaisesti ja pidettävä se yhdessä teknisten asiakirjojen kanssa kansallisten viranomaisten saatavilla kymmenen vuoden ajan sen jälkeen, kun digitaalisia elementtejä sisältävä tuote on saatettu markkinoille, tai tuotteen tukikauden ajan sen mukaan, kumpi näistä on pidempi ajanjakso. EU-vaatimustenmukaisuusvakuutuksessa on yksilöitävä digitaalisia elementtejä sisältävä tuote, jota varten se on laadittu. Jäljennös EU‑vaatimustenmukaisuusvakuutuksesta on pyynnöstä toimitettava asiasta vastaaville viranomaisille.

5. Valtuutetut edustajat

Valmistajan valtuutettu edustaja voi täyttää valmistajan puolesta ja valmistajan vastuulla 4 kohdassa säädetyt valmistajan velvoitteet edellyttäen, että ne on eritelty toimeksiannossa.

 

EU-tyyppitarkastus (perustuen moduuliin B)

1. EU-tyyppitarkastus on se vaatimustenmukaisuuden arviointimenettelyn osa, jossa ilmoitettu laitos tutkii tuotteen teknisen suunnittelun ja kehittämistavan sekä valmistajan haavoittuvuuksien käsittelyprosessit ja todistaa, että digitaalisia elementtejä sisältävä tuote täyttää liitteessä I olevassa 1 jaksossa vahvistetut olennaiset vaatimukset ja että valmistaja täyttää liitteessä I olevassa 2 jaksossa vahvistetut olennaiset vaatimukset.

2. EU-tyyppitarkastuksessa tehdään tuotteen teknisen suunnittelun ja kehittämistavan asianmukaisuuden arviointi 3 kohdassa tarkoitettujen teknisten asiakirjojen ja niitä tukevan aineiston tarkastelun perusteella sekä tuotteen yhden tai useamman kriittisen osan näytteiden tarkastus (tuotantotyypin ja suunnittelutyypin yhdistelmä).

3. Valmistaja tekee EU-tyyppitarkastusta koskevan hakemuksen yhdelle valitsemalleen ilmoitetulle laitokselle.

Hakemuksen on sisällettävä

 valmistajan nimi ja osoite sekä valtuutetun edustajan nimi ja osoite, jos tämä tekee hakemuksen,

 kirjallinen vakuutus siitä, että samaa hakemusta ei ole tehty toiselle ilmoitetulle laitokselle;

 tekniset asiakirjat, joiden perusteella on voitava arvioida, täyttääkö tuote liitteessä I olevassa 1 jaksossa vahvistetut sovellettavat olennaiset vaatimukset ja täyttävätkö valmistajan haavoittuvuuksienkäsittelyprosessit liitteessä I olevassa 2 jaksossa vahvistetut olennaiset vaatimukset, ja niihin on sisällyttävä asianmukainen analyysi ja arviointi riskeistä. Teknisissä asiakirjoissa on täsmennettävä sovellettavat vaatimukset, ja niiden on katettava tuotteen suunnittelu, valmistus ja toiminta siinä määrin kuin se on olennaista arvioinnin kannalta. Teknisten asiakirjojen on kaikissa soveltuvissa tapauksissa sisällettävä ainakin liitteessä V esitetyt tekijät;

 teknisten suunnittelu- ja kehitysratkaisujen ja haavoittuvuuksienkäsittelyprosessien riittävyyttä tukeva näyttö. Tässä aineistossa on mainittava kaikki asiakirjat, joita on käytetty, erityisesti siinä tapauksessa, että asiaankuuluvia yhdenmukaistettuja standardeja ja/tai teknisiä eritelmiä ei ole sovellettu kokonaisuudessaan. Aineistoon on sisällytettävä tarvittaessa niiden testien tulokset, jotka valmistaja on tehnyt asianmukaisessa laboratoriossaan tai jotka on teetetty valmistajan puolesta ja tämän vastuulla jossain toisessa testilaboratoriossa.

4. Ilmoitetun laitoksen on

4.1. tutkittava tekniset asiakirjat ja niitä tukeva aineisto sen arvioimiseksi, täyttääkö tuotteen tekninen suunnittelu ja kehittäminen liitteessä I olevassa 1 jaksossa vahvistetut olennaiset vaatimukset ja täyttävätkö valmistajan haavoittuvuuksienkäsittelyprosessit liitteessä I olevassa 2 jaksossa vahvistetut olennaiset vaatimukset;

4.2. varmennettava, että näyte (näytteet) on kehitetty tai valmistettu teknisten asiakirjojen mukaisesti, sekä yksilöitävä ne osat, jotka on suunniteltu ja kehitetty asiaa koskevien yhdenmukaistettujen standardien ja/tai teknisten eritelmien sovellettavien määräysten mukaisesti, samoin kuin osat, joiden suunnittelussa ja kehittämisessä ei ole noudatettu näiden standardien asiaa koskevia vaatimuksia;

4.3. tehtävä tai teetettävä asianmukaiset tarkastukset ja testit sen todentamiseksi, että ratkaisuja on sovellettu oikein silloin, kun valmistaja on valinnut asiaa koskevissa yhdenmukaistetuissa standardeissa ja/tai teknisissä eritelmissä esitettyjen ratkaisujen soveltamisen liitteessä I vahvistettujen vaatimusten täyttämiseksi;

4.4. tehtävä tai teetettävä asianmukaiset tarkastukset ja testit sen todentamiseksi, täyttävätkö valmistajan soveltamat ratkaisut vastaavat olennaiset vaatimukset silloin, kun asiaa koskevissa yhdenmukaistetuissa standardeissa ja/tai teknisissä eritelmissä esitettyjä ratkaisuja ei ole sovellettu liitteessä I vahvistettujen vaatimusten täyttämiseksi;

4.5. sovittava valmistajan kanssa paikka, jossa tarkastukset ja tarvittavat testit tehdään.

5. Ilmoitetun laitoksen on laadittava arviointiraportti, johon kirjataan 4 kohdan mukaisesti toteutetut toimet ja niiden tulokset. Ilmoitettu laitos voi julkistaa raportin sisällön joko kokonaan tai osittain ainoastaan valmistajan suostumuksella, sanotun kuitenkaan rajoittamatta sen velvoitteita ilmoittavia viranomaisia kohtaan.

6. Jos tuotetyyppi ja haavoittuvuuksienkäsittelyprosessit täyttävät liitteessä I vahvistetut olennaiset vaatimukset, ilmoitetun laitoksen on annettava valmistajalle EU‑tyyppitarkastustodistus. Todistuksessa on oltava valmistajan nimi ja osoite, tarkastuksessa tehdyt päätelmät, (mahdolliset) todistuksen voimassaoloa koskevat ehdot ja hyväksytyn tyypin ja hyväksyttyjen haavoittuvuuksienkäsittelyprosessien tunnistamiseen tarvittavat tiedot. Todistuksessa voi olla yksi tai useampi liite.

Todistuksessa ja sen liitteissä on oltava kaikki asiaankuuluvat tiedot, jotta voidaan arvioida, ovatko valmistetut tai kehitetyt tuotteet tarkastetun tyypin ja tarkastettujen haavoittuvuuksienkäsittelyprosessien mukaisia, ja jotta käytön aikainen valvonta on mahdollista.

Jos tyyppi tai haavoittuvuuksienkäsittelyprosessi ei täytä tämän asetuksen liitteessä I vahvistettuja sovellettavia olennaisia vaatimuksia, ilmoitetun laitoksen on kieltäydyttävä antamasta EU-tyyppitarkastustodistusta ja ilmoitettava siitä hakijalle sekä esitettävä yksityiskohtaiset perustelut todistuksen epäämiselle.

7. Ilmoitetun laitoksen on pysyttävä ajan tasalla yleisesti tunnustetussa tekniikan tasossa mahdollisesti tapahtuvista muutoksista, jotka viittaavat siihen, että hyväksytty tyyppi ja haavoittuvuuksienkäsittelyprosessi ei ehkä enää vastaa tämän asetuksen liitteessä I vahvistettuja sovellettavia olennaisia vaatimuksia, ja määritettävä, edellyttävätkö tällaiset muutokset lisätutkimuksia. Jos näin on, ilmoitetun laitoksen on ilmoitettava asiasta valmistajalle.

Valmistajan on ilmoitettava ilmoitetulle laitokselle, joka pitää hallussaan EU‑tyyppitarkastustodistusta koskevia teknisiä asiakirjoja, kaikista hyväksyttyyn tyyppiin tai haavoittuvuuksienkäsittelyprosessiin tehdyistä muutoksista, jotka voivat vaikuttaa siihen, täyttyvätkö liitteessä I vahvistetut olennaiset vaatimukset, tai voivat vaikuttaa todistuksen voimassaoloa koskeviin edellytyksiin. Tällaiset muutokset vaativat lisähyväksynnän, joka annetaan alkuperäiseen EU‑tyyppitarkastustodistukseen tehtävän lisäyksen muodossa.

8. Kunkin ilmoitetun laitoksen on ilmoitettava omille ilmoittaville viranomaisilleen EU‑tyyppitarkastustodistuksista ja/tai niiden lisäyksistä, jotka se on antanut tai peruuttanut, ja sen on annettava säännöllisesti tai pyynnöstä omien ilmoittavien viranomaistensa saataville luettelo todistuksista ja/tai niiden lisäyksistä, jotka on evätty tai peruutettu toistaiseksi tai joita on muutoin rajoitettu.

Kunkin ilmoitetun laitoksen on ilmoitettava muille ilmoitetuille laitoksille EU‑tyyppitarkastustodistuksista ja/tai niiden lisäyksistä, jotka se on evännyt, peruuttanut tai peruuttanut toistaiseksi tai joita se on muutoin rajoittanut, ja pyynnöstä niistä todistuksista ja/tai niiden lisäyksistä, jotka se on antanut.

Komissio, jäsenvaltiot ja muut ilmoitetut laitokset voivat pyynnöstä saada kopion EU‑tyyppitarkastustodistuksista ja/tai niiden lisäyksistä. Komissio ja jäsenvaltiot voivat pyynnöstä saada kopion teknisistä asiakirjoista ja ilmoitetun laitoksen suorittamien tarkastusten tuloksista. Ilmoitetun laitoksen on säilytettävä kopio EU‑tyyppitarkastustodistuksesta, sen liitteistä ja lisäyksistä sekä teknisistä asiakirjoista, valmistajan toimittamat asiakirjat mukaan luettuina, todistuksen voimassaolon päättymiseen saakka.

9. Valmistajan on pidettävä kansallisten viranomaisten saatavilla jäljennös EU‑tyyppitarkastustodistuksesta, sen liitteistä ja lisäyksistä sekä teknisistä asiakirjoista kymmenen vuoden ajan sen jälkeen, kun tuote on saatettu markkinoille, tai tukikauden ajan.

10. Valmistajan valtuutettu edustaja voi tehdä 3 kohdassa tarkoitetun hakemuksen ja täyttää 7 ja 9 kohdassa säädetyt velvoitteet sillä edellytyksellä, että ne on eritelty toimeksiannossa.

 

Sisäiseen tuotannonvalvontaan perustuva tyypinmukaisuus (perustuen moduuliin C)

1. Sisäiseen tuotannonvalvontaan perustuva tyypinmukaisuus on vaatimustenmukaisuuden arviointimenettelyn osa, jossa valmistaja täyttää 2 ja 3 kohdassa säädetyt velvoitteet sekä varmistaa ja vakuuttaa, että kyseiset tuotteet ovat EU-tyyppitarkastustodistuksessa kuvatun tyypin mukaisia ja täyttävät niihin sovellettavat liitteessä I olevassa 1 jaksossa vahvistetut olennaiset vaatimukset.

2. Tuotanto

2.1. Valmistajan on toteutettava kaikki tarvittavat toimenpiteet sen varmistamiseksi, että tuotannolla ja sen valvonnalla taataan, että valmistettu tuote on EU‑tyyppitarkastustodistuksessa kuvaillun hyväksytyn tyypin ja liitteessä I olevassa 1 jaksossa vahvistettujen olennaisten vaatimusten mukainen.

3. CE-merkintä ja vaatimustenmukaisuusvakuutus

3.1. Valmistajan on kiinnitettävä CE-merkintä kuhunkin yksittäiseen tuotteeseen, joka on EU-tyyppitarkastustodistuksessa kuvatun tyypin mukainen ja täyttää sovellettavat säädöksen vaatimukset.

3.2. Valmistajan on laadittava kirjallinen vaatimustenmukaisuusvakuutus tuotemallille ja pidettävä se kansallisten viranomaisten saatavilla kymmenen vuoden ajan sen jälkeen, kun tuote on saatettu markkinoille, tai tukikauden ajan. Vaatimustenmukaisuusvakuutuksessa on yksilöitävä tuotemalli, jota varten se on laadittu. Vaatimustenmukaisuusvakuutuksen jäljennös on toimitettava pyynnöstä asianomaisille viranomaisille.

4. Valtuutettu edustaja

Valmistajan valtuutettu edustaja voi täyttää valmistajan puolesta ja hänen vastuullaan 3 kohdassa säädetyt valmistajan velvoitteet edellyttäen, että ne on eritelty toimeksiannossa.

 

Täydelliseen laadunvarmistukseen perustuva vaatimustenmukaisuus (perustuen moduuliin H)

1. Täydelliseen laadunvarmistukseen perustuva vaatimustenmukaisuus on vaatimustenmukaisuuden arviointimenettely, jossa valmistaja täyttää 2 ja 5 kohdassa säädetyt velvoitteet sekä varmistaa ja vakuuttaa yksinomaisella vastuullaan, että kyseiset tuotteet tai tuoteluokat täyttävät kaikki liitteessä I olevassa 1 jaksossa vahvistetut olennaiset vaatimukset ja että valmistajan haavoittuvuuksienkäsittelyprosessit täyttävät liitteessä I olevassa 2 jaksossa vahvistetut vaatimukset.

2. Digitaalisia elementtejä sisältävien tuotteiden suunnittelu, kehittäminen, tuotanto ja haavoittuvuuksien käsittely

Valmistajan on sovellettava 3 kohdan mukaista hyväksyttyä laatujärjestelmää asianomaisten tuotteiden suunnitteluun, kehittämiseen ja tuotantoon ja haavoittuvuuksien käsittelyyn sekä ylläpidettävä järjestelmän tehokkuutta kyseisten tuotteiden koko elinkaaren ajan, ja sen on oltava 4 kohdan mukaisen valvonnan alainen.

3. Laatujärjestelmä

3.1. Valmistajan on tehtävä kyseisten tuotteiden osalta käyttämänsä laatujärjestelmän arviointia koskeva hakemus valitsemalleen ilmoitetulle laitokselle.

Hakemuksen on sisällettävä

 valmistajan nimi ja osoite sekä valtuutetun edustajan nimi ja osoite, jos tämä tekee hakemuksen,

 tekniset asiakirjat yhdestä mallista kutakin valmistettavaksi tai kehitettäväksi kaavailtua tuoteluokkaa kohti. Teknisten asiakirjojen on kaikissa soveltuvissa tapauksissa sisällettävä ainakin liitteessä V esitetyt tekijät,

 laatujärjestelmää koskevat asiakirjat ja

 kirjallinen vakuutus siitä, että samaa hakemusta ei ole tehty toiselle ilmoitetulle laitokselle.

3.2. Laatujärjestelmän on varmistettava, että tuotteet täyttävät liitteessä I olevassa 1 jaksossa vahvistetut olennaiset vaatimukset ja että valmistajan haavoittuvuuksienkäsittelyprosessit täyttävät liitteessä I olevassa 2 jaksossa vahvistetut olennaiset vaatimukset.

Kaikki valmistajan hyväksymät perusedellytykset, vaatimukset ja määräykset on kirjattava järjestelmällisesti ja täsmällisesti kirjallisiksi ohjelmiksi, menettelyiksi ja ohjeiksi. Näiden laatujärjestelmää koskevien asiakirjojen avulla on voitava tulkita yhdenmukaisesti laatuohjelmia, suunnitelmia, käsikirjoja ja tallenteita.

Niissä on erityisesti oltava riittävä kuvaus seuraavista:

 laatutavoitteet ja organisaation rakenne, johdon vastuualueet ja toimivalta suunnittelun, kehittämisen, tuotteiden laadun ja haavoittuvuuksien käsittelyn osalta;

 sovellettavat tekniset suunnittelu- ja kehityseritelmät, standardit mukaan lukien, ja jos asiaa koskevia yhdenmukaistettuja standardeja ja/tai teknisiä eritelmiä ei noudateta kaikilta osin, käytettävät keinot, joilla varmistetaan, että kyseisiin tuotteisiin sovellettavat liitteessä I olevassa 1 jaksossa vahvistetut olennaiset vaatimukset täyttyvät;

 sovellettavat menettelylliset eritelmät, standardit mukaan lukien, ja jos asiaa koskevia yhdenmukaistettuja standardeja ja/tai teknisiä eritelmiä ei noudateta kaikilta osin, käytettävät keinot, joilla varmistetaan, että valmistajaan sovellettavat liitteessä I olevassa 2 jaksossa vahvistetut olennaiset vaatimukset täyttyvät;

 suunnittelun ja kehittämisen valvonta, mukaan lukien suunnittelun ja kehittämistapojen todentamistekniikat, menetelmät ja järjestelmälliset toimenpiteet, joita käytetään kyseiseen tuoteryhmään kuuluvien tuotteiden suunnittelussa ja kehittämisessä;

 vastaavat tuotannossa sekä laadunvalvonnassa ja -varmistuksessa käytettävät tekniikat, menetelmät ja järjestelmälliset toimenpiteet;

 ennen tuotantoa, tuotannon aikana ja sen jälkeen tehtävät tarkastukset ja testit sekä niiden suoritustiheys;

 laatupöytäkirjat, kuten tarkastusselostukset ja testaus- ja kalibrointitiedot sekä asianomaisen henkilöstön pätevyyteen liittyvät selvitykset jne.;

 keinot, joilla valvotaan tuotteilta ja suunnittelulta vaaditun laadun toteutumista ja laatujärjestelmän toiminnan tehokkuutta.

3.3. Ilmoitetun laitoksen on arvioitava laatujärjestelmä määrittääkseen, täyttääkö se 3.2 kohdassa tarkoitetut vaatimukset.

Ilmoitetun laitoksen on oletettava, että laatujärjestelmän osat, joissa noudatetaan asiaa koskevan yhdenmukaistetun standardin ja/tai teknisen eritelmän käyttöönottamiseksi annetun kansallisen standardin vastaavia eritelmiä, ovat näiden vaatimusten mukaisia.

Sen lisäksi, että auditointiryhmällä on oltava kokemusta laadunhallintajärjestelmistä, ryhmässä on oltava vähintään yksi jäsen, jolla on kokemusta kyseisen tuotealan ja tuoteteknologian arvioimisesta ja joka tuntee tämän asetuksen sovellettavat vaatimukset. Auditointiin on sisällyttävä tarkastuskäynti valmistajan toimitiloihin, jos sellaisia on. Auditointiryhmän on tarkastettava 3.1 kohdan toisessa luetelmakohdassa tarkoitetut tekniset asiakirjat sen varmistamiseksi, että valmistaja kykenee yksilöimään tämän asetuksen sovellettavat vaatimukset ja suorittamaan tarvittavat tutkimukset, joiden tarkoituksena on varmistaa, että tuote on näiden vaatimusten mukainen.

Päätöksestä on ilmoitettava valmistajalle tai tämän valtuutetulle edustajalle.

Ilmoitukseen on sisällyttävä auditoinnin päätelmät ja perusteltu arviointipäätös.

3.4. Valmistaja sitoutuu täyttämään laatujärjestelmästä, sellaisena kuin se on hyväksytty, johtuvat velvollisuudet ja ylläpitämään laatujärjestelmää niin, että se pysyy riittävänä ja tehokkaana.

3.5. Valmistajan on ilmoitettava laatujärjestelmän hyväksyneelle ilmoitetulle laitokselle kaikista laatujärjestelmään suunnitelluista muutoksista.

Ilmoitetun laitoksen on arvioitava ehdotetut muutokset ja päätettävä, täyttääkö muutettu laatujärjestelmä edelleen 3.2 kohdassa tarkoitetut vaatimukset vai onko tarpeen suorittaa uusi arviointi.

Sen on ilmoitettava päätöksestään valmistajalle. Ilmoitukseen on sisällyttävä selvityksen päätelmät ja arviointipäätös perusteluineen.

4. Ilmoitetun laitoksen vastuulla oleva valvonta

4.1. Valvonnan tarkoituksena on varmistaa, että valmistaja täyttää hyväksytystä laatujärjestelmästä aiheutuvat velvoitteensa asianmukaisesti.

4.2. Valmistajan on sallittava ilmoitetulle laitokselle arviointitarkoituksia varten pääsy suunnittelu-, kehitys, tuotanto-, tarkastus-, testaus- ja varastotiloihin sekä toimitettava sille kaikki tarvittavat tiedot, erityisesti

 laatujärjestelmää koskevat asiakirjat;

 suunnittelua koskevaan laatujärjestelmän osaan liittyvät laatupöytäkirjat, kuten tutkimusten, laskelmien ja testien tulokset;

 valmistusta koskevaan laatujärjestelmän osaan liittyvät laatupöytäkirjat, kuten tarkastusselostukset ja testaus- ja kalibrointitiedot ja asianomaisen henkilöstön pätevyyteen liittyvät selvitykset jne.

4.3. Ilmoitetun laitoksen on tehtävä määräajoin auditointeja varmistaakseen, että valmistaja ylläpitää ja noudattaa laatujärjestelmää, ja toimitettava auditointiraportti valmistajalle.

5. CE-merkintä ja vaatimustenmukaisuusvakuutus

5.1. Valmistajan on kiinnitettävä CE-merkintä sekä 3.1 kohdassa tarkoitetun ilmoitetun laitoksen vastuulla kyseisen laitoksen tunnusnumero jokaiseen tuotteeseen, joka täyttää tämän asetuksen liitteessä I olevassa 1 jaksossa vahvistetut vaatimukset.

5.2. Valmistajan on laadittava kirjallinen vaatimustenmukaisuusvakuutus kullekin tuotemallille ja pidettävä se kansallisten viranomaisten saatavilla kymmenen vuoden ajan sen jälkeen, kun tuote on saatettu markkinoille, tai tukikauden ajan. Vaatimustenmukaisuusvakuutuksessa on yksilöitävä tuotemalli, jota varten se on laadittu.

Vaatimustenmukaisuusvakuutuksen jäljennös on toimitettava pyynnöstä asianomaisille viranomaisille.

6. Valmistajan on pidettävä kansallisten viranomaisten saatavilla vähintään kymmenen vuoden ajan sen jälkeen, kun tuote on saatettu markkinoille, tai tukikauden ajan tai haavoittuvuuksien käsittelyn ajan seuraavat:

 3.1 kohdassa tarkoitetut tekniset asiakirjat;

 3.1 kohdassa tarkoitetut laatujärjestelmää koskevat asiakirjat;

 3.5 kohdassa tarkoitetut muutokset, sellaisina kuin ne on hyväksytty;

 3.5, 4.3 ja 4.4 kohdassa tarkoitetut ilmoitetun laitoksen päätökset ja raportit.

7. Kunkin ilmoitetun laitoksen on annettava ilmoittaville viranomaisilleen tiedoksi myönnetyt ja peruutetut laatujärjestelmien hyväksynnät ja annettava säännöllisesti tai pyynnöstä ilmoittavien viranomaistensa saataville luettelo laatujärjestelmien hyväksynnöistä, jotka on evätty tai peruutettu toistaiseksi tai joita on muutoin rajoitettu.

Kunkin ilmoitetun laitoksen on ilmoitettava muille ilmoitetuille laitoksille laatujärjestelmien hyväksynnät, jotka se on evännyt tai peruuttanut toistaiseksi tai kokonaan, ja sen on pyynnöstä ilmoitettava antamansa laatujärjestelmien hyväksynnät.

8. Valtuutettu edustaja

Valmistajan valtuutettu edustaja voi täyttää valmistajan puolesta ja tämän vastuulla 3.1, 3.5, 5 ja 6 kohdassa säädetyt valmistajan velvollisuudet sillä edellytyksellä, että ne on eritelty toimeksiannossa.


LIITE VI a

 

EUROOPAN UNIONIN KYBERTURVALLISUUSVIRASTON (ENISA) KAPASITEETTITARPEET

ENISAlle on varmistettava riittävä henkilöstö ja rahoitus, jotta se voi täyttää tämän asetuksen mukaiset velvoitteensa ja jotta muun unionin lainsäädännön mukaiset viraston nykyiset velvoitteet eivät vaarannu. Sen vuoksi ENISAlle tämän asetuksen nojalla annettaviin lisätehtäviin on osoitettava uusia henkilöstöresursseja ja taloudellisia resursseja. Tämän asetuksen mukaisten lisätehtävien kattamiseksi tarvitaan yhdeksän kokoaikaista henkilöstön jäsentä ja vastaavat lisämäärärahat.

 

 


 

PERUSTELUT

Esittelijä suhtautuu erittäin myönteisesti komission ehdotukseen, jolla käsitellään laitteisto- ja ohjelmistotuotteiden kyberturvallisuuteen liittyviä puutteita. Vuonna 2021 kyberrikollisuuden kokonaiskustannukset nousivat hämmästyttävään 5,5 biljoonaan euroon. Tämä ilmiö ja digitalisaation noususuuntaus antavat lainsäätäjille aihetta varmistaa, että käytössä on asianmukaisia kyberturvatoimenpiteitä sekä kuluttajien että teollisuuden etujen turvaamiseksi.

 

Esittelijä on tässä yhteydessä tyytyväinen siihen, että komissio on esittänyt kunnianhimoisen ehdotuksen, jolla nostetaan kyberturvallisuuden yleistä tasoa jäsenvaltioissa ja parannetaan sisämarkkinoiden toimintaa. Yhdenmukaistettu sääntelykehys on tarpeen, jotta sisämarkkinoilla toimivat yritykset voivat hyötyä oikeudellisesta selkeydestä ja jotta voidaan varmistaa, että unioni voi toimia johtavassa asemassa kyberturvallisuutta koskevien normien määrittelyssä maailmanlaajuisesti.

 

Soveltamisalan osalta esittelijä yhtyy komission ehdotukseen sisällyttää siihen kaikki digitaalisia elementtejä sisältävät tuotteet. Tällä kokonaisvaltaisella lähestymistavalla varmistettaisiin, että kyberturvavaatimuksia noudatetaan koko arvoketjussa, mikä parantaisi unionissa valmistettujen tuotteiden kilpailukykyä ja houkuttelevuutta. Nykyistä sanamuotoa on kuitenkin tarpeen yksinkertaistaa, ja on tarpeen viitata suoraan ja välillisesti liitettävissä oleviin tuotteisiin, lukuun ottamatta yksinomaan korjausprosessiin suunniteltuja varaosia, jotka ovat olleet markkinoilla ennen tämän asetuksen täytäntöönpanoa. Avoimen lähdekoodin ohjelmistojen osalta esittelijä on tietoinen tarpeesta turvata tämä tärkeä innovaatioiden lähde ja on siksi esittänyt tarkistusta sen varmistamiseksi, että kehittäjiä ei saisi vaatia noudattamaan tätä asetusta, jos he eivät saa hankkeistaan lainkaan taloudellista tuottoa. Kaupallisen toiminnan yhteydessä toimitetut avoimen lähdekoodin ohjelmistot olisi kuitenkin sisällytettävä soveltamisalaan unionin ekosysteemin kyberturvallisuuden varmistamiseksi.

 

Suurimmalle osalle digitaalisia elementtejä sisältävistä tuotteista suoritetaan ainoastaan itsearviointi, mutta kolmas osapuoli arvioi kuitenkin 6 artiklan mukaiset kriittiset tuotteet. Esittelijä katsoo, että asetusta olisi parannettava tältä osin selkeyttämällä sitä, miten usein liitteessä III olevaa luetteloa voidaan muuttaa, sekä menettelyjä, joita on noudatettava sen jälkeen, kun tuote on lisätty tähän luetteloon. Viimeksi mainittu on erityisen tärkeä, jotta yrityksille jää riittävästi aikaa sopeutua. Esittelijä katsoo kuitenkin, että kotiautomaatiojärjestelmien ja yksityistä turvallisuutta parantavien tuotteiden, kuten kameroiden ja älylukkojen, olisi oltava luokkaan I kuuluvia kriittisiä tuotteita. Tämä johtuu siitä, että näiden tavaroiden luotettavuus on ensiarvoisen tärkeää kansalaisten turvallisuuden ja yksityisyyden kannalta.

 

Lisäksi mietintöluonnoksessa esitetään, että sidosryhmien osallistumista lisätään perustamalla kyberkestävyyttä käsittelevä asiantuntijaryhmä. Kyseisen elimen tehtävänä olisi antaa komissiolle neuvoja ja osallistua aktiivisesti tässä asetuksessa tarkoitettujen delegoitujen säädösten valmisteluun. Jotta kaikkien osapuolten edut voidaan ilmaista täysimääräisesti, asiantuntijaryhmän olisikin koostuttava toimielinten, teollisuuden, kansalaisyhteiskunnan ja tiedeyhteisön edustajista sekä yksittäisistä asiantuntijoista.

 

Edellä mainitun aiheen lisäksi mietintöluonnoksessa korostetaan, että jäsenvaltioiden on otettava kyberturvallisuus vahvasti huomioon tehtäessä digitaalisia elementtejä sisältävien tuotteiden julkisia hankintoja ja varmistettava, että haavoittuvuuksiin puututaan nopeasti.

Valmistajien velvollisuuksien osalta esittelijä katsoo, että tuotteen odotetulle käyttöiälle määritetty päivämäärä ei sovellu horisontaaliseen asetukseen, jonka tarkoituksena on kattaa laaja valikoima tuotteita ohjelmistoista puhelimiin ja tuotantokoneisiin. Tästä syystä esittelijä katsoo, että on tarkoituksenmukaisempaa, että valmistajat määrittävät asianomaisten tuotteidensa käyttöiän edellyttäen, että ehdotettu käyttöiän kesto vastaa kuluttajien kohtuullisia odotuksia. Joustava käyttöiän kesto antaisi myös valmistajille mahdollisuuden esitellä tuotteitaan ja hyödyntää pitkää käyttöikää kilpailukyvyn osatekijänä. Jotta kuluttajien tietoisuutta tästä nimenomaisesta asiasta voitaisiin lisätä, asetuksessa olisi myös velvoitettava valmistajat ilmoittamaan tuotteen odotettu käyttöikä selkeästi pakkauksessa tai sisällyttämään se sopimuksiin ja ilmoittamaan kuluttajille, kun käyttöikä on päättymässä. Lisäksi mietintöluonnoksessa halutaan korostaa mahdollisimman paljon turvallisuutta. Näin ollen esittelijä katsoo, että valmistajat olisi myös velvoitettava päivittämään mahdollisuuksien mukaan automaattisesti oman tuotteensa turvallisuusominaisuudet. Jos valmistaja on määritellyt odotetun käyttöiän olevan alle viisi vuotta, sen olisi oltava valmis tekemään sopimuksia sellaisten yritysten kanssa, jotka haluavat tarjota tuotteen käyttöikää pidentäviä palveluja, ja sen olisi luovutettava niille tuotteen lähdekoodi. Tämä mahdollisuus ei saisi merkitä omistusoikeuden siirtoa tai lähdekoodin julkistamista.

 

Mitä tulee 11 artiklan mukaisiin raportointivelvoitteisiin, esittelijä haluaa yhdenmukaistaa aikataulun NIS2-direktiivin kanssa, jotta voidaan lisätä johdonmukaisuutta ja oikeusvarmuutta sidosryhmien kannalta. Tässä mielessä esittelijä ehdottaa, että raportoidaan merkittävistä poikkeamista (eikä kaikista poikkeamista) ja aktiivisesti hyödynnetyistä haavoittuvuuksista edellyttäen, että käytössä on selkeät toimintaohjeet siitä, miten tällaisia ilmoituksia käsitellään turvallisesti, jotta vältetään korjaamattomia haavoittuvuuksia koskevien tietojen leviäminen. Esittelijä esittää myös mekanismia muiden poikkeamien, läheltä piti -tilanteiden ja kyberuhkien vapaaehtoista raportointia varten.

 

Raportoinnin vaikutuksen maksimoimiseksi on kuitenkin tärkeää, että käytössä on keskitetty palvelupiste. Tämä on tärkeää myös siksi, että valmistajien raportointivaatimuksia voidaan yksinkertaistaa koko unionissa. Esittelijä katsoo, että paras elin tähän tehtävään on ENISA. Koska ENISAlle annettavat tehtävät ja sille myönnetty toimivalta lisääntyvät, komission olisi muutettava tämän asetuksen yhteydessä olevaa säädösehdotukseen liittyvää rahoitusselvitystä siten, että Euroopan unionin kyberturvallisuusvirastolle osoitetaan uusia virkoja/toimia ja vastaavia lisämäärärahoja, jotta tässä asetuksessa säädetyt viraston lisätehtävät voidaan hoitaa.

 

Lisäksi esittelijä katsoo, että on olennaisen tärkeää varmistaa, että yrityksille annetaan riittävästi tukea tämän asetuksen vaatimusten täytäntöönpanemiseksi. Tämä koskee erityisesti mikroyrityksiä sekä pieniä ja keskisuuria yrityksiä, joilla voi rajallisten valmiuksiensa vuoksi olla haasteita kyberkestävyyssäädöksen noudattamisen varmistamisessa. Siksi esittelijä katsoo, että on välttämätöntä siirtää asetuksen soveltamisen aloituspäivää siten, että sitä aletaan soveltaa 40 kuukauden kuluttua. Tämän siirtymäkauden aikana valmistajien olisi voitava noudattaa kyberkestävyyssäädöstä vapaaehtoisesti, jotta voidaan luoda olettama radiolaitedirektiiviin liittyvän delegoidun asetuksen vaatimusten noudattamisesta ja jotta ne voivat mukautua tähän asetukseen ennen sen virallista täytäntöönpanoa. Lisäksi esittelijä haluaa korostaa, että unionin on tärkeää tukea työntekijöiden täydennys- ja uudelleenkoulutusta ja varmistaa, että kyberturvallisuuden ammattilaisia on saatavilla, mikä on keskeinen tekijä tämän asetuksen täytäntöönpanon onnistumisen kannalta.

 

Yleisenä lähestymistapana kaikkien sidosryhmien auttamiseksi esittelijä pyytää lisäksi komissiolta ohjeita, joissa täsmennetään varsinaista täytäntöönpanovaihetta ja selvennetään siten asiaa kaikille mukana oleville osapuolille.

 

Esittelijän mielestä myös kansainvälinen kauppa on yhtä tärkeä aihe. Tämän vuoksi mietintöluonnoksessa kehotetaan komissiota harkitsemaan vastavuoroista tunnustamista koskevien sopimusten tekemistä niiden samanmielisten kolmansien maiden kanssa, joiden tekninen kehitys on samalla tasolla ja joiden lähestymistapa vaatimustenmukaisuuden arviointiin on yhteensopiva, mikä varmistaa samantasoisen suojan kuin tämä asetus. On kuitenkin olennaisen tärkeää varmistaa, että riskialttiista maista peräisin olevia tuotteita, joissa voi olla takaportteja tai muita haavoittuvuuksia, valvotaan riittävästi. ENISAn olisi koordinoitava toimintaansa markkinavalvontaviranomaisten kanssa ja suoritettava sellaisten myyjien tarvittavat tarkastukset, joiden riskiprofiili saattaisi olla korkeampi.

 

Esittelijä katsoo myös, että seuraamuksista saadut tulot olisi kohdennettava hankkeisiin, jotka nostavat yleistä kyberturvallisuuden tasoa koko unionissa, ja näin ollen ne olisi osoitettava Digitaalinen Eurooppa -ohjelmaan, josta tuetaan muun muassa nykyisen työvoiman uudelleen- ja täydennyskoulutukseen tähtääviä hankkeita.

 


 

 

LIITE: LUETTELO YHTEISÖISTÄ TAI HENKILÖISTÄ, JOILTA ESITTELIJÄ ON SAANUT TIETOJA

Seuraavan luettelon laatiminen on täysin vapaaehtoista, ja esittelijä on siitä yksin vastuussa. Esittelijä on saanut tietoja seuraavilta yhteisöiltä tai henkilöiltä valmistellessaan mietintöä ennen sen hyväksymistä valiokunnassa:

Yhteisö ja/tai henkilö

(ISC)2

ACEM

Airlines4Europe

Alliance for IoT and Edge Computing Innovation

Amazon

American Chamber of Commerce

ANEC

Apple

APPLiA

Associazione Italiana Internet Provider

BDI

Beuc

Bitkom

BritCham

Broadcom

BSA - The Software alliance

Business Europe

Card Payment Sweden

CEMA

Centrum für Europäische Politik

CNH

Confederation of Danish Industries (DI)

Confindustria

Cybersecurity Coalition

DEKRA

Deutsche Telekom

Developers Alliance

Digital Europe

Enedis

Engineering

Ericsson

ESMIG

ETNO

ETRMA

European Cybersecurity Organisation

European Materials Handling Federation (FEM)

Eurosmart

Federunacoma

Free Software Foundation Europe

German Insurance Association

Giesecke+Devrient

GitHub

Google

GSMA

Hanbury Strategy

Huawei

IBM

Independent Retail Europe

Information Technology Industry Council

Leaseurope

Lenovo

Mechanical Engineering Industry Association (VDMA)

MedTechEurope

Microsoft

Okta

Open Forum Europe

Orange

Orgalim

Permanent Representation of Belgium

Permanent Representation of Italy

Permanent Representation of the Netherlands

Piaggio

Privacy International

SAP

Schneider Electric

Siemens

SME United

Splunk

Technology Industries of Finland

Telefonica

TIC Council

Trellix

Twillio

Unife

Vodafone Group

Wikimedia

Worldr

Xiaomi

Zoom

 


 

SISÄMARKKINA- JA KULUTTAJANSUOJAVALIOKUNNAN LAUSUNTO (30.6.2023)

teollisuus-, tutkimus- ja energiavaliokunnalle

ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi digitaalisia elementtejä sisältävien tuotteiden horisontaalisista kyberturvavaatimuksista ja asetuksen (EU) 2019/1020 muuttamisesta

(COM(2022)0454 – C9‑0308/2022 – 2022/0272(COD))

Valmistelija (*): Morten Løkkegaard

(*) Valiokuntien yhteistyömenettely – työjärjestyksen 57 artikla

 

LYHYET PERUSTELUT

Valmistelija, joka on niin ikään valmistellut sisämarkkina- ja kuluttajansuojavaliokunnan (IMCO) lausunnon NIS 2 -direktiivistä, katsoo, että kyberkestävyyssäädös on ratkaisevan tärkeä ja luonnollinen seuraava askel Euroopan unionin kyberturvallisuuden parantamiseksi. Koska täysin aukotonta kyberturvallisuutta ei voida koskaan saavuttaa, valmistelija pitää tärkeänä, että teemme kaikkemme heikkojen lenkkien vähentämiseksi unionissa. Tältä osin kyberkestävyyssäädös on tervetullut seuraava askel. Meidän on parannettava kyberturvallisuutta, joka liittyy digitaalisia elementtejä sisältäviin tuotteisiin ja muihin uusiin tuotteisiin, kuten esineiden internetin piiriin kuuluviin laitteisiin, joista on tullut luonnollinen osa eurooppalaisten kuluttajien ja yritysten arkea. 

 

Koska IMCO-valiokunta on vastuussa sisämarkkinoiden, myös digitaalisten sisämarkkinoiden, toiminnasta ja täytäntöönpanosta ja kuluttajansuojaa koskevista säännöistä, valmistelija on pyrkinyt tekemään ehdotukseen tarkistuksia, jotka parantavat sisämarkkinoiden toimintaa ja varmistavat samaan aikaan ehdotuksen soveltamisalan puitteissa kuluttajansuojan korkean tason erityisesti digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuusvaatimuksissa.

Lisäksi valmistelija katsoo, että asetusehdotuksen joitakin näkökohtia on parannettava, jotta varmistetaan oikeudellinen selkeys ja johdonmukaisuus asetusehdotuksen asiaankuuluvien säännösten ja muun lainsäädännön välillä. Tämä liittyy erityisesti NIS 2 -direktiivin, äskettäin hyväksyttyyn yleistä tuoteturvallisuutta koskevaan asetukseen, tekoälyasetukseen ja koneasetukseen sekä useisiin asiaankuuluviin delegoituihin säädöksiin ja täytäntöönpanosäädöksiin. Tämän vuoksi valmistelija on ehdottanut tarkistuksia, jotka lisäisivät oikeudellista selkeyttä ja auttaisivat varmistamaan edellä mainittujen säädösten yhtenäisen, tehokkaan ja johdonmukaisen tulkinnan ja soveltamisen.

Koska mikroyritykset sekä pienet ja keskisuuret yritykset ovat ratkaisevan tärkeitä talouden toimijoita digitaalimarkkinoilla, valmistelija esittää myös useita tarkistuksia, joilla yksinkertaistetaan hallinnollisia menettelyjä ja rajoitetaan pienyrityksille aiheutuvaa hallinnollista rasitetta heikentämättä kuitenkaan turvallisuustasoa. Lisäksi valmistelija esittää tarkistuksia, joilla varmistetaan, että mikro- ja pk-yrityksille annetaan erityistä ohjausta ja neuvontaa kyberkestävyyssäädöksen vaatimusten noudattamisessa.

Valmistelija esittää myös tarkistuksia, joilla pyritään varmistamaan tehokkaampi viestintä toimivaltaisten viranomaisten (kansalliset markkinavalvontaviranomaiset, ENISA) kanssa ja vahvistamaan asianomaisten viranomaisten velvoitteita ja toimivaltaa koskevia säännöksiä valitusten, tarkastusten ja yhteisten toimien osalta. Lisäksi joillakin tarkistuksillaan valmistelija haluaa parantaa digitaalisia elementtejä sisältäviin lopputuotteisiin integroitujen komponenttien kyberturvallisuusvaatimuksia ja täsmentää talouden toimijoiden, kuten valmistajien ja valtuutettujen edustajien, velvollisuuksia.

Valmistelija toistaa näkemyksensä siitä, että kyberkestävyyssäädöksen hyväksyminen on oikea-aikainen ja luonnollinen seuraava askel kyberturvallisuusuhkien valvonnan tiukentamiseksi unionissamme. Valmistelija on pyrkinyt ehdotetuilla muutoksilla tasapainoon varmistaakseen eurooppalaisia kuluttajia hyödyttävän kyberturvallisuustason säilyttäen siitä elinkeinoelämälle aiheutuvan rasitteen kohtuullisena. Valmistelijan tavoitteena on, että kyberturvallisuudesta tulee luonnollinen kilpailutekijä sisämarkkinoilla. Valmistelija on pyrkinyt mukauttamaan ehdotusta näillä perustein.

 


TARKISTUKSET

Sisämarkkina- ja kuluttajansuojavaliokunta pyytää asiasta vastaavaa teollisuus-, tutkimus- ja energiavaliokuntaa ottamaan huomioon seuraavat tarkistukset:

 

Tarkistus  1

 

Ehdotus asetukseksi

Johdanto-osan 1 kappale

 

Komission teksti

Tarkistus

(1) Sisämarkkinoiden toimintaa on tarpeen parantaa vahvistamalla yhtenäinen oikeudellinen kehys olennaisille kyberturvavaatimuksille, joita sovelletaan digitaalisia elementtejä sisältävien tuotteiden saattamiseen unionin markkinoille. Olisi puututtava kahteen merkittävään ongelmaan, joista aiheutuu kustannuksia käyttäjille ja yhteiskunnalle: digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuuden alhainen taso, josta ovat osoituksena laajalle levinneet haavoittuvuudet ja niiden korjaamiseksi tarvittavien tietoturvapäivitysten riittämätön ja epäjohdonmukainen tarjonta ja käyttäjien riittämätön ymmärrys ja tiedonsaanti, mikä estää valitsemasta tuotteita, joilla on riittävät kyberturvaominaisuudet, tai estää käyttämästä tuotteita tietoturvallisesti.

(1) Sisämarkkinoiden toimintaa on tarpeen parantaa huolehtien samalla kuluttajansuojan ja kyberturvallisuuden korkeasta tasosta vahvistamalla yhtenäinen oikeudellinen kehys olennaisille kyberturvavaatimuksille, joita sovelletaan digitaalisia elementtejä sisältävien tuotteiden saattamiseen unionin markkinoille. Olisi puututtava kahteen merkittävään ongelmaan, joista aiheutuu kustannuksia käyttäjille ja yhteiskunnalle: digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuuden alhainen taso, josta ovat osoituksena laajalle levinneet haavoittuvuudet ja niiden korjaamiseksi tarvittavien tietoturvapäivitysten riittämätön ja epäjohdonmukainen tarjonta ja käyttäjien riittämätön ymmärrys ja tiedonsaanti, mikä estää valitsemasta tuotteita, joilla on riittävät kyberturvaominaisuudet, tai estää käyttämästä tuotteita tietoturvallisesti.

Tarkistus  2

 

Ehdotus asetukseksi

Johdanto-osan 7 kappale

 

Komission teksti

Tarkistus

(7) Tietyissä olosuhteissa kaikki digitaalisia elementtejä sisältävät tuotteet, jotka ovat laajempaan sähköiseen tietojärjestelmään integroituja tai liitettyjä, voivat päätyä vihamielisten toimijoiden hyökkäyskanaviksi. Tämän johdosta myös vähemmän kriittisinä pidetyt laitteistot ja ohjelmistot voivat helpottaa laitteen tai verkon ensi vaiheen vaarantumista, jolloin vihamieliset toimijat voivat saada luvattoman pääsyn järjestelmään tai siirtyä samantasoisten järjestelmien välillä. Tästä syystä valmistajien olisi varmistettava, että kaikki liitettävissä olevat digitaalisia elementtejä sisältävät tuotteet suunnitellaan ja tuotetaan tässä asetuksessa säädettyjen olennaisten vaatimusten mukaisesti. Tämä koskee sekä tuotteita, jotka voidaan liittää fyysisesti laitteistorajapintojen kautta, että tuotteita, jotka voidaan liittää loogisesti, kuten verkkorajapintojen, pipe-ratkaisujen, tiedostojen, sovellusrajapintojen tai muiden ohjelmistorajapintojen kautta. Koska kyberturvauhat voivat edetä erilaisten digitaalisia elementtejä sisältävien tuotteiden kautta ennen tietyn kohteen saavuttamista, esimerkiksi ketjuttamalla yhteen useita haavoittuvuuksia, valmistajien olisi varmistettava myös sellaisten tuotteiden kyberturvallisuus, jotka on liitetty muihin laitteisiin tai verkkoihin vain välillisesti.

(7) Tietyissä olosuhteissa kaikki digitaalisia elementtejä sisältävät tuotteet, jotka ovat laajempaan sähköiseen tietojärjestelmään integroituja tai liitettyjä, voivat päätyä vihamielisten toimijoiden hyökkäyskanaviksi. Tämän johdosta myös vähemmän kriittisinä pidetyt laitteistot ja ohjelmistot voivat helpottaa laitteen tai verkon ensi vaiheen vaarantumista, jolloin vihamieliset toimijat voivat saada luvattoman pääsyn järjestelmään tai siirtyä samantasoisten järjestelmien välillä. Tästä syystä valmistajien olisi varmistettava, että kaikki digitaalisia elementtejä sisältävät tuotteet, jotka on liitetty ulkoiseen verkkoon tai laitteeseen, suunnitellaan ja tuotetaan tässä asetuksessa säädettyjen olennaisten vaatimusten mukaisesti. Tämä koskee sekä tuotteita, jotka voidaan liittää fyysisesti ulkoisiin verkkoihin tai ulkoiseen laitteeseen laitteistorajapintojen kautta, että tuotteita, jotka voidaan liittää loogisesti, kuten verkkorajapintojen, pipe-ratkaisujen, tiedostojen, sovellusrajapintojen tai muiden ohjelmistorajapintojen kautta. Koska kyberturvauhat voivat edetä erilaisten digitaalisia elementtejä sisältävien tuotteiden kautta ennen tietyn kohteen saavuttamista, esimerkiksi ketjuttamalla yhteen useita haavoittuvuuksia, valmistajien olisi varmistettava myös sellaisten tuotteiden kyberturvallisuus, jotka on liitetty muihin laitteisiin tai verkkoihin vain välillisesti.

Tarkistus  3

 

Ehdotus asetukseksi

Johdanto-osan 7 a kappale (uusi)

 

Komission teksti

Tarkistus

 

(7 a) Tätä asetusta ei pitäisi soveltaa digitaalisia elementtejä sisältävän tuotteen sisäisiin verkkoihin, jos näillä verkoilla on erilliset päätepisteet ja ne on eristetty täysin ja suojattu ulkoiselta datayhteydeltä.

Tarkistus  4

 

Ehdotus asetukseksi

Johdanto-osan 7 b kappale (uusi)

 

Komission teksti

Tarkistus

 

(7 b) Tätä asetusta ei pitäisi soveltaa varaosiin, jotka on tarkoitettu ainoastaan korvaamaan digitaalisia elementtejä sisältävien tuotteiden vialliset osat ja palauttamaan siten niiden toimintakunto.

Tarkistus  5

 

Ehdotus asetukseksi

Johdanto-osan 9 kappale

 

Komission teksti

Tarkistus

(9) Tällä asetuksella varmistetaan digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuuden korkea taso. Sillä ei säännellä palveluja, kuten ohjelmistopalveluja (Software-as-a-Service, SaaS), lukuun ottamatta digitaalisia elementtejä sisältävään tuotteeseen liittyvää datan etäkäsittelyä, jolla tarkoitetaan kaikkea etäkäsittelyä, jota varten kyseinen ohjelmisto on suunniteltu ja kehitetty kyseisen tuotteen valmistajan toimesta tai kyseisen valmistajan vastuulla ja jonka puuttuminen estäisi digitaalisia elementtejä sisältävää tuotetta suorittamasta jotakin toimintoaan. Direktiivillä [XXX/XXXX (NIS2)] asetetaan kyberturvallisuutta ja poikkeamien raportointia koskevia vaatimuksia olennaisille ja tärkeille toimijoille, kuten kriittisen infrastruktuurin ylläpitäjille, jotta voidaan parantaa niiden tarjoamien palvelujen häiriönsietokykyä. [Direktiiviä XXX/XXXX (NIS2)] sovelletaan pilvipalveluihin ja pilvipalvelumalleihin, kuten SaaS-palveluihin. Kaikki pilvipalveluja unionissa tarjoavat toimijat, jotka täyttävät tai ylittävät keskisuuria yrityksiä koskevan kynnysarvon, kuuluvat kyseisen direktiivin soveltamisalaan.

(9) Tällä asetuksella varmistetaan digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuuden korkea taso. Sillä ei säännellä palveluja, kuten ohjelmistopalveluja (Software-as-a-service, SaaS). Direktiivillä [XXX/XXXX (NIS2)] asetetaan kyberturvallisuutta ja poikkeamien raportointia koskevia vaatimuksia olennaisille ja tärkeille toimijoille, kuten kriittisen infrastruktuurin ylläpitäjille, jotta voidaan parantaa niiden tarjoamien palvelujen häiriönsietokykyä. [Direktiiviä XXX/XXXX (NIS2)] sovelletaan pilvipalveluihin ja pilvipalvelumalleihin, kuten SaaS-palveluihin. Kaikki pilvipalveluja unionissa tarjoavat toimijat, jotka täyttävät tai ylittävät keskisuuria yrityksiä koskevan kynnysarvon, kuuluvat kyseisen direktiivin soveltamisalaan.

Tarkistus  6

 

Ehdotus asetukseksi

Johdanto-osan 10 kappale

 

Komission teksti

Tarkistus

(10) Jotta ei haitattaisi innovointia tai tutkimusta, tämän asetuksen ei pitäisi kattaa vapaasti käytettävissä olevia ja avoimen lähdekoodin ohjelmistoja, jotka on luotu tai asetettu käytettäviksi kaupallisen toiminnan ulkopuolella. Tämä koskee erityisesti ohjelmistoja, mukaan lukien niiden lähdekoodi ja muunnellut versiot, jotka ovat avoimesti jaettuja ja vapaasti saatavilla, käytettävissä, muunneltavissa ja uudelleen jaeltavissa. Ohjelmistojen yhteydessä toiminnan kaupallisuudesta voi olla merkkinä paitsi tuotteen käytöstä laskuttaminen myös hinnan periminen teknisistä tukipalveluista, muita vastikkeellisia palveluja edellyttävän ohjelmistoalustan tarjoaminen tai henkilötietojen vaatiminen muista syistä kuin yksinomaan ohjelmiston tietoturvan, yhteensopivuuden tai yhteentoimivuuden parantamiseksi.

(10) Avoimesti jaetut ja käyttäjien vapaasti saatavilla olevat ohjelmistot ja data, joita tai joiden muunneltuja versioita käyttäjät voivat vapaasti käyttää, muunnella ja jakaa uudelleen, voivat edistää tutkimusta ja innovointia markkinoilla. Komission laatimat tutkimukset osoittavat myös, että vapaan ja avoimen lähdekoodin ohjelmistojen osuus unionin BKT:stä voi olla 65–95 miljardia euroa ja että ne voivat tarjota merkittäviä kasvumahdollisuuksia Euroopan taloudelle. Jotta ei haitattaisi innovointia tai tutkimusta, tämän asetuksen ei pitäisi kattaa vapaasti käytettävissä olevia ja avoimen lähdekoodin ohjelmistoja, jotka on luotu tai asetettu käytettäviksi kaupallisen toiminnan ulkopuolella. Tämä koskee erityisesti ohjelmistoja, mukaan lukien niiden lähdekoodi ja muunnellut versiot, jotka ovat avoimesti jaettuja ja vapaasti saatavilla, käytettävissä, muunneltavissa ja uudelleen jaeltavissa. Toiminnan kaupallisuudesta, kun sillä tarkoitetaan markkinoille saattamista, voivat kuitenkin olla merkkinä paitsi vapaan ja avoimen lähdekoodin ohjelmistokomponentista laskuttaminen myös monetisointi, kuten hinnan periminen teknisistä tukipalveluista, tai maksulliset ohjelmistopäivitykset, ellei tätä käytetään vain aiheutuneiden kustannusten korvaamiseen, muita vastikkeellisia palveluja edellyttävän ohjelmistoalustan tarjoaminen tai henkilötietojen vaatiminen muista syistä kuin yksinomaan ohjelmiston tietoturvan, yhteensopivuuden tai yhteentoimivuuden parantamiseksi. Vapaan ja avoimen lähdekoodin ohjelmistokomponenttien yhteistyössä tapahtuvaa kehittämistä tai niiden asettamista saataville avoimissa tietovarastoissa ei pitäisi katsoa markkinoille saattamiseksi tai käyttöönotoksi. Tuotteen kehittämiseen liittyviä olosuhteita tai sitä, miten kehittäminen on rahoitettu, ei pitäisi ottaa huomioon, kun määritetään kyseisen toiminnan kaupallista tai ei-kaupallista luonnetta. Kun avoimen lähdekoodin ohjelmisto integroidaan markkinoille saatettavaan digitaalisia elementtejä sisältävään lopputuotteeseen, digitaalisia elementtejä sisältävän lopputuotteen markkinoille saattaneen talouden toimijan olisi oltava vastuussa tuotteen vaatimustenmukaisuudesta, mukaan lukien vapaan ja avoimen lähdekoodin komponentit.

Tarkistus  7

 

Ehdotus asetukseksi

Johdanto-osan 11 kappale

 

Komission teksti

Tarkistus

(11) Internetin tietoturvallisuus on välttämätön edellytys kriittisten infrastruktuurien toiminnalle ja koko yhteiskunnalle. [Direktiivin XXX/XXXX (NIS2)] tavoitteena on varmistaa keskeisten ja tärkeiden toimijoiden tarjoamien palvelujen korkea kyberturvataso, mukaan lukien digitaalisen infrastruktuurin tarjoajat, jotka tukevat avoimen internetin ydintoimintoja ja varmistavat pääsyn internetiin ja sen palveluihin. Sen vuoksi on tärkeää, että digitaalisen infrastruktuurin tarjoajien tarvitsemat digitaalisia elementtejä sisältävät tuotteet on kehitetty tietoturvallisiksi ja että ne ovat vakiintuneiden internetin tietoturvastandardien mukaisia. Tämän asetuksen, jota sovelletaan kaikkiin liitettävissä oleviin laitteisto- ja ohjelmistotuotteisiin, tavoitteena on myös auttaa digitaalisen infrastruktuurin tarjoajia noudattamaan [direktiivin XXX/XXXX (NIS2)] mukaisia toimitusketjua koskevia vaatimuksia varmistamalla, että digitaalisia elementtejä sisältävät tuotteet, joita ne käyttävät palvelujensa tarjoamiseen, kehitetään tietoturvallisiksi ja että infrastruktuurin tarjoajien saatavilla on oikea-aikaisesti tällaisten tuotteiden tietoturvapäivityksiä.

(11) Internetin tietoturvallisuus on välttämätön edellytys kriittisten infrastruktuurien toiminnalle ja koko yhteiskunnalle. [Direktiivin XXX/XXXX (NIS2)] tavoitteena on varmistaa keskeisten ja tärkeiden toimijoiden tarjoamien palvelujen korkea kyberturvataso, mukaan lukien digitaalisen infrastruktuurin tarjoajat, jotka tukevat avoimen internetin ydintoimintoja ja varmistavat pääsyn internetiin ja sen palveluihin. Sen vuoksi on tärkeää, että digitaalisen infrastruktuurin tarjoajien tarvitsemat digitaalisia elementtejä sisältävät tuotteet on kehitetty tietoturvallisiksi ja että ne ovat vakiintuneiden internetin tietoturvastandardien mukaisia. Tämän asetuksen, jota sovelletaan kaikkiin ulkoiseen verkkoon tai ulkoiseen laitteeseen liitettyihin laitteisto- ja ohjelmistotuotteisiin, tavoitteena on myös auttaa digitaalisen infrastruktuurin tarjoajia noudattamaan [direktiivin XXX/XXXX (NIS2)] mukaisia toimitusketjua koskevia vaatimuksia varmistamalla, että digitaalisia elementtejä sisältävät tuotteet, joita ne käyttävät palvelujensa tarjoamiseen, kehitetään tietoturvallisiksi ja että infrastruktuurin tarjoajien saatavilla on oikea-aikaisesti tällaisten tuotteiden tietoturvapäivityksiä.

Tarkistus  8

 

Ehdotus asetukseksi

Johdanto-osan 15 kappale

 

Komission teksti

Tarkistus

(15) Delegoidussa asetuksessa (EU) 2022/30 todetaan, että tiettyihin radiolaitteisiin sovelletaan olennaisia vaatimuksia, joista säädetään direktiivin 2014/53/EU 3 artiklan 3 kohdan d alakohdassa (verkon vahingoittaminen ja verkkoresurssien väärinkäyttö), e alakohdassa (henkilötiedot ja yksityisyys) ja f alakohdassa (petokset). [Euroopan standardointijärjestöille esitetystä standardointipyynnöstä tehdyssä komission täytäntöönpanopäätöksessä XXX/2022] vahvistetaan vaatimukset, joiden mukaisesti on laadittava tietyt standardit sen täsmentämiseksi, miten nämä kolme olennaista vaatimusta olisi täytettävä. Tässä asetuksessa säädetyt vaatimukset kattavat kaikki direktiivin 2014/53/EU 3 artiklan 3 kohdan d, e ja f alakohdassa tarkoitettujen olennaisten vaatimusten osatekijät. Lisäksi tässä asetuksessa säädetyt olennaiset vaatimukset ovat linjassa kyseiseen standardointipyyntöön sisältyvien tiettyjä standardeja koskevien vaatimusten tavoitteiden kanssa. Näin ollen jos komissio kumoaa delegoidun asetuksen (EU) 2022/30 tai muuttaa sitä niin, että sitä ei enää sovelleta tiettyihin tämän asetuksen soveltamisalaan kuuluviin tuotteisiin, komission ja eurooppalaisten standardointijärjestöjen olisi otettava huomioon standardointityö, joka on tehty radiolaitedirektiivin mukaista delegoitua asetusta 2022/30 koskevasta standardointipyynnöstä annetun komission täytäntöönpanopäätöksen C(2022) 5637 yhteydessä, kun yhdenmukaistettuja standardeja valmistellaan ja kehitetään tämän asetuksen täytäntöönpanon helpottamiseksi.

(15) Delegoidussa asetuksessa (EU) 2022/30 todetaan, että tiettyihin radiolaitteisiin sovelletaan olennaisia vaatimuksia, joista säädetään direktiivin 2014/53/EU 3 artiklan 3 kohdan d alakohdassa (verkon vahingoittaminen ja verkkoresurssien väärinkäyttö), e alakohdassa (henkilötiedot ja yksityisyys) ja f alakohdassa (petokset). [Euroopan standardointijärjestöille esitetystä standardointipyynnöstä tehdyssä komission täytäntöönpanopäätöksessä XXX/2022] vahvistetaan vaatimukset, joiden mukaisesti on laadittava tietyt standardit sen täsmentämiseksi, miten nämä kolme olennaista vaatimusta olisi täytettävä. Tässä asetuksessa säädetyt vaatimukset kattavat kaikki direktiivin 2014/53/EU 3 artiklan 3 kohdan d, e ja f alakohdassa tarkoitettujen olennaisten vaatimusten osatekijät. Lisäksi tässä asetuksessa säädetyt olennaiset vaatimukset ovat linjassa kyseiseen standardointipyyntöön sisältyvien tiettyjä standardeja koskevien vaatimusten tavoitteiden kanssa. Näin ollen kun komissio kumoaa delegoidun asetuksen (EU) 2022/30 niin, että sitä ei enää sovelleta tiettyihin tämän asetuksen soveltamisalaan kuuluviin tuotteisiin, komission ja eurooppalaisten standardointijärjestöjen olisi otettava huomioon standardointityö, joka on tehty radiolaitedirektiivin mukaista delegoitua asetusta 2022/30 koskevasta standardointipyynnöstä annetun komission täytäntöönpanopäätöksen C(2022) 5637 yhteydessä, kun yhdenmukaistettuja standardeja valmistellaan ja kehitetään tämän asetuksen täytäntöönpanon helpottamiseksi.

Tarkistus  9

 

Ehdotus asetukseksi

Johdanto-osan 18 a kappale (uusi)

 

Komission teksti

Tarkistus

 

(18 a) Jotta voidaan varmistaa, että komission antamassa suosituksessa 2003/361/EY määritellyt ohjelmistojen yksittäiset kehittäjät tai mikrokehittäjät eivät kohtaa merkittäviä taloudellisia esteitä eikä heitä estetä testaamasta konseptin toimivuutta ja markkinoilla olevaa liiketoimintamallia, niitä olisi vaadittava noudattamaan parhaansa mukaan tämän ehdotuksen vaatimuksia kuuden kuukauden ajan ohjelmiston markkinoille saattamisesta. Tällä erityisjärjestelyllä olisi ehkäistävä lamaannuttava vaikutus, joka vaatimusten noudattamisen ja markkinoille pääsyn korkeilla kustannuksilla voisi olla yrittäjille tai osaajille, jotka harkitsevat ohjelmistojen kehittämistä unionissa. Tätä erityisjärjestelyä ei kuitenkaan pitäisi soveltaa digitaalisia elementtejä sisältäviin erittäin kriittisiin tuotteisiin.

Tarkistus  10

 

Ehdotus asetukseksi

Johdanto-osan 19 kappale

 

Komission teksti

Tarkistus

(19) Tietyt tässä asetuksessa säädetyt tehtävät olisi asetuksen (EU) 2019/881 3 artiklan 2 kohdan mukaisesti annettava ENISAlle. ENISAn olisi erityisesti saatava valmistajilta ilmoitukset aktiivisesti hyödynnetyistä digitaalisia elementtejä sisältäviin tuotteisiin sisältyvistä haavoittuvuuksista sekä poikkeamista, jotka vaikuttavat kyseisten tuotteiden tietoturvaan. ENISAn olisi myös toimitettava nämä ilmoitukset edelleen asiaan liittyville tietoturvaloukkauksiin reagoiville ryhmille (CSIRT-toimijat) tai direktiivin [direktiivin XXX/XXXX (NIS2)] [X artiklan] mukaisesti nimetyille jäsenvaltioiden keskitetyille yhteyspisteille ja ilmoitettava haavoittuvuudesta asianomaisille markkinavalvontaviranomaisille. ENISAn olisi keräämiensä tietojen perusteella laadittava joka toinen vuosi tekninen raportti digitaalisia elementtejä sisältävien tuotteiden kyberriskien uusista suuntauksista ja toimitettava se direktiivissä [direktiivi XXX/XXXX (NIS2)] tarkoitetulle yhteistyöryhmälle]. Lisäksi ENISAn olisi asiantuntemuksensa ja toimeksiantonsa vuoksi voitava tukea tämän asetuksen täytäntöönpanoprosessia. Sen olisi erityisesti voitava ehdottaa markkinavalvontaviranomaisten yhteisiä toimia saatuaan tietoa digitaalisia elementtejä sisältävien tuotteiden mahdollisista tämän asetuksen vastaisuuksista, joita ilmenee useissa jäsenvaltioissa, tai määrittää tuoteluokkia, joiden osalta olisi järjestettävä samanaikaisia koordinoituja valvontatoimia. Poikkeuksellisissa olosuhteissa ENISAn olisi komission pyynnöstä voitava tehdä arviointeja tietyistä digitaalisia elementtejä sisältävistä tuotteista, jotka aiheuttavat merkittävän kyberturvariskin, jos sisämarkkinoiden moitteettoman toiminnan säilyttämiseksi tarvitaan välittömiä toimia.

(19) Tietyt tässä asetuksessa säädetyt tehtävät olisi asetuksen (EU) 2019/881 3 artiklan 2 kohdan mukaisesti annettava ENISAlle. ENISAn olisi erityisesti saatava valmistajilta varhaisvaroituksena ilmoitukset aktiivisesti hyödynnetyistä digitaalisia elementtejä sisältäviin tuotteisiin sisältyvistä haavoittuvuuksista sekä poikkeamista, jotka vaikuttavat merkittävästi kyseisten tuotteiden tietoturvaan. ENISAn olisi myös toimitettava nämä ilmoitukset edelleen asiaan liittyville tietoturvaloukkauksiin reagoiville ryhmille (CSIRT-toimijat) tai direktiivin [direktiivin XXX/XXXX (NIS2)] [X artiklan] mukaisesti nimetyille jäsenvaltioiden keskitetyille yhteyspisteille ja ilmoitettava haavoittuvuuden olemassaolosta ja tarvittaessa mahdollisista riskinvähentämistoimenpiteistä välittömästi asianomaisille markkinavalvontaviranomaisille. Jos ilmoitettuun haavoittuvuuteen ei ole käytettävissä korjaavia tai lieventäviä toimenpiteitä, ENISAn olisi varmistettava, että ilmoitettua haavoittuvuutta koskevat tiedot jaetaan tiukkojen turvakäytäntöjen mukaisesti ja tiedonsaantitarpeen perusteella. ENISAn olisi keräämiensä tietojen perusteella laadittava joka toinen vuosi tekninen raportti digitaalisia elementtejä sisältävien tuotteiden kyberriskien uusista suuntauksista ja toimitettava se direktiivissä [direktiivi XXX/XXXX (NIS2)] tarkoitetulle yhteistyöryhmälle]. Lisäksi ENISAn olisi asiantuntemuksensa ja toimeksiantonsa vuoksi voitava tukea tämän asetuksen täytäntöönpanoprosessia. Sen olisi erityisesti voitava ehdottaa markkinavalvontaviranomaisten yhteisiä toimia saatuaan tietoa digitaalisia elementtejä sisältävien tuotteiden mahdollisista tämän asetuksen vastaisuuksista, joita ilmenee useissa jäsenvaltioissa, tai määrittää tuoteluokkia, joiden osalta olisi järjestettävä samanaikaisia koordinoituja valvontatoimia. Poikkeuksellisissa olosuhteissa ENISAn olisi komission pyynnöstä voitava tehdä arviointeja tietyistä digitaalisia elementtejä sisältävistä tuotteista, jotka aiheuttavat merkittävän kyberturvariskin, jos sisämarkkinoiden moitteettoman toiminnan säilyttämiseksi tarvitaan välittömiä toimia.

Tarkistus  11

 

Ehdotus asetukseksi

Johdanto-osan 20 kappale

 

Komission teksti

Tarkistus

(20) Digitaalisia elementtejä sisältävissä tuotteissa olisi oltava CE-merkintä, joka osoittaa niiden olevan tämän asetuksen mukaisia, jotta ne voivat liikkua vapaasti sisämarkkinoilla. Jäsenvaltiot eivät saisi perusteettomasti asettaa esteitä sellaisten digitaalisia elementtejä sisältävien tuotteiden markkinoille saattamiselle, jotka ovat tässä asetuksessa vahvistettujen vaatimusten mukaisia ja joissa on CE-merkintä.

(20) Digitaalisia elementtejä sisältävissä tuotteissa olisi oltava CE-merkintä, joka osoittaa näkyvästi, helposti luettavasti ja pysyvästi niiden olevan tämän asetuksen mukaisia, jotta ne voivat liikkua vapaasti sisämarkkinoilla. Jäsenvaltiot eivät saisi perusteettomasti asettaa esteitä sellaisten digitaalisia elementtejä sisältävien tuotteiden markkinoille saattamiselle, jotka ovat tässä asetuksessa vahvistettujen vaatimusten mukaisia ja joissa on CE-merkintä.

Tarkistus  12

 

Ehdotus asetukseksi

Johdanto-osan 22 kappale

 

Komission teksti

Tarkistus

(22) Sen varmistamiseksi, että digitaalisia elementtejä sisältävät tuotteet eivät markkinoille saatettaessa aiheuta kyberturvariskejä yksityishenkilöille ja organisaatioille, tällaisille tuotteille olisi vahvistettava olennaiset vaatimukset. Jos tuotteita myöhemmin muutetaan joko fyysisesti tai digitaalisesti tavalla, jota valmistaja ei ole ennakoinut ja jonka johdosta ne eivät mahdollisesti enää täytä niitä koskevia olennaisia vaatimuksia, muutos olisi katsottava merkittäväksi. Esimerkiksi ohjelmistopäivitykset tai -korjaukset voitaisiin rinnastaa ylläpitotoimiin edellyttäen, että niillä ei muuteta jo markkinoille saatettua tuotetta siten, että se voi vaikuttaa sovellettavien vaatimusten täyttymiseen tai muuttaa käyttötarkoitusta, jota varten tuote on arvioitu. Kuten fyysisten korjausten tai muutosten tapauksessa, digitaalisia elementtejä sisältävän tuotteen olisi katsottava olevan merkittävästi muutettu ohjelmistomuokkauksella, jos ohjelmistopäivitys muuttaa tuotteen alkuperäisiä tarkoitettuja toimintoja, tuotteen tyyppiä tai tuotteen suorituskykyä eikä näitä muutoksia ole otettu huomioon alkuperäisessä riskinarvioinnissa tai vaaran luonne on muuttunut tai riskitaso noussut ohjelmistopäivityksen vuoksi.

(22) Sen varmistamiseksi, että digitaalisia elementtejä sisältävät tuotteet eivät markkinoille saatettaessa aiheuta kyberturvariskejä yksityishenkilöille ja organisaatioille, tällaisille tuotteille olisi vahvistettava olennaiset vaatimukset. Jos tuotteita myöhemmin muutetaan joko fyysisesti tai digitaalisesti tavalla, jota valmistaja ei ole ennakoinut ja jonka johdosta ne eivät mahdollisesti enää täytä niitä koskevia olennaisia vaatimuksia, muutos olisi katsottava merkittäväksi. Esimerkiksi ohjelmistopäivitykset tai -korjaukset, kuten lähdekoodin pieni muutos, joka voi parantaa turvallisuutta ja toimintaa, voitaisiin rinnastaa ylläpitotoimiin edellyttäen, että niillä ei muuteta jo markkinoille saatettua tuotetta siten, että se voi vaikuttaa sovellettavien vaatimusten täyttymiseen tai muuttaa käyttötarkoitusta, jota varten tuote on arvioitu. Kuten fyysisten korjausten tai muutosten tapauksessa, digitaalisia elementtejä sisältävän tuotteen olisi katsottava olevan merkittävästi muutettu ohjelmistomuokkauksella, jos ohjelmistopäivitys muuttaa tuotteen alkuperäisiä tarkoitettuja toimintoja, tuotteen tyyppiä tai tuotteen suorituskykyä eikä näitä muutoksia ole otettu huomioon alkuperäisessä riskinarvioinnissa tai vaaran luonne on muuttunut tai riskitaso noussut ohjelmistopäivityksen vuoksi.

Tarkistus  13

 

Ehdotus asetukseksi

Johdanto-osan 23 kappale

 

Komission teksti

Tarkistus

(23) Unionin yhdenmukaistamislainsäädännön soveltamisalaan kuuluvien tuotteiden osalta yleisesti vahvistetun merkittävän muutoksen käsitteen mukaisesti aina, kun tapahtuu merkittävä muutos, joka voi vaikuttaa siihen, onko tuote tämän asetuksen mukainen, tai kun tuotteen käyttötarkoitus muuttuu, on asianmukaista, että digitaalisia elementtejä sisältävän tuotteen vaatimustenmukaisuus todennetaan ja että sille tehdään tarvittaessa uusi vaatimustenmukaisuuden arviointi. Jos valmistaja suorittaa vaatimustenmukaisuuden arvioinnin, johon osallistuu kolmas osapuoli, muutoksista, jotka voivat johtaa merkittävään muutokseen, olisi ilmoitettava kolmannelle osapuolelle.

(23) Unionin yhdenmukaistamislainsäädännön soveltamisalaan kuuluvien tuotteiden osalta yleisesti vahvistetun merkittävän muutoksen käsitteen mukaisesti aina, kun tapahtuu merkittävä muutos, joka voi vaikuttaa siihen, onko tuote tämän asetuksen mukainen, tai kun tuotteen käyttötarkoitus muuttuu, on asianmukaista, että digitaalisia elementtejä sisältävän tuotteen vaatimustenmukaisuus todennetaan ja että vaatimuksenmukaisuuden arviointia päivitetään tarvittaessa. Jos valmistaja suorittaa vaatimustenmukaisuuden arvioinnin, johon osallistuu kolmas osapuoli, muutoksista, jotka voivat johtaa merkittävään muutokseen, olisi ilmoitettava kolmannelle osapuolelle. Seuraavassa vaatimustenmukaisuuden arvioinnissa olisi tarkasteltava uuteen arviointiin johtaneita muutoksia, paitsi jos näillä muutoksilla on merkittävä vaikutus tuotteen muiden osien vaatimustenmukaisuuteen. Valmistajalta ei saisi vaatia mahdollisten ohjelmistopäivitysten toteuttamisen yhteydessä digitaalisia elementtejä sisältävän tuotteen vaatimustenmukaisuuden arviointia uudelleen, ellei ohjelmistopäivitys muuta digitaalisia elementtejä sisältävää tuotetta merkittävästi.

Tarkistus  14

 

Ehdotus asetukseksi

Johdanto-osan 24 a kappale (uusi)

 

Komission teksti

Tarkistus

 

(24 a) Digitaalisia elementtejä sisältävien tuotteiden valmistajien olisi varmistettava, että ohjelmistopäivitykset toimitetaan selkeästi ja avoimesti ja että tietoturva- ja toimintopäivitykset erotetaan selvästi toisistaan. Vaikka tietoturvapäivitykset on suunniteltu vähentämään digitaalisia elementtejä sisältävän tuotteen riskitasoa, käyttäjällä olisi aina oltava mahdollisuus valita, ottaako hän valmistajan toimittamat toimintopäivitykset käyttöön. Valmistajien olisi sen vuoksi toimitettava kyseiset päivitykset erikseen, jos se on teknisesti toteutettavissa. Valmistajien olisi annettava kuluttajille riittävät tiedot kunkin päivityksen syistä ja sen ennakoidusta vaikutuksesta tuotteeseen sekä tarjottava heille selkeä ja helppokäyttöinen kieltäytymismekanismi.

Tarkistus  15

 

Ehdotus asetukseksi

Johdanto-osan 25 kappale

 

Komission teksti

Tarkistus

(25) Digitaalisia elementtejä sisältävää tuotetta olisi pidettävä kriittisenä, jos tuotteen mahdollisten kyberturvahaavoittuvuuksien hyödyntämisen kielteinen vaikutus voi olla vakava esimerkiksi kyberturvallisuuteen liittyvän toiminnon tai aiotun käyttötarkoituksen perusteella. Erityisesti sellaisten digitaalisia elementtejä sisältävien tuotteiden haavoittuvuudet, joissa on kyberturvallisuuteen liittyviä toimintoja, kuten suojattuja elementtejä, voivat johtaa tietoturvaongelmien leviämiseen koko toimitusketjussa. Kyberturvapoikkeaman vaikutusten vakavuus voi lisääntyä myös, kun otetaan huomioon tuotteen aiottu käyttötarkoitus, kuten käyttö teollisessa ympäristössä tai [direktiivin XXX/XXXX (NIS2)] liitteessä [liite I] tarkoitetun keskeisen toimijan toiminnassa, tai kun on kyse kriittisten tai arkaluonteisten toimintojen, kuten henkilötietojen käsittelyn, suorittamisesta.

(25) Digitaalisia elementtejä sisältävää tuotetta olisi pidettävä kriittisenä, jos tuotteen mahdollisten kyberturvahaavoittuvuuksien hyödyntämisen kielteinen vaikutus voi olla vakava esimerkiksi kyberturvallisuuteen liittyvän toiminnon tai aiotun käyttötarkoituksen perusteella. Erityisesti sellaisten digitaalisia elementtejä sisältävien tuotteiden haavoittuvuudet, joissa on kyberturvallisuuteen liittyviä toimintoja, kuten suojattuja elementtejä, voivat johtaa tietoturvaongelmien leviämiseen koko toimitusketjussa. Kyberturvapoikkeaman vaikutusten vakavuus voi lisääntyä myös, kun otetaan huomioon tuotteen aiottu käyttötarkoitus kriittisissä sovelluksissa herkissä ympäristöissä tai [direktiivin XXX/XXXX (NIS2)] liitteessä [liite I] tarkoitetun keskeisen toimijan toiminnassa, tai kun on kyse kriittisten tai arkaluonteisten toimintojen, kuten henkilötietojen käsittelyn, suorittamisesta.

Tarkistus  16

 

Ehdotus asetukseksi

Johdanto-osan 26 kappale

 

Komission teksti

Tarkistus

(26) Digitaalisia elementtejä sisältäviin kriittisiin tuotteisiin olisi sovellettava tiukempia vaatimustenmukaisuuden arviointimenettelyjä, mutta kuitenkin oikeasuhteisesti. Tätä varten digitaalisia elementtejä sisältävät kriittiset tuotteet olisi jaettava kahteen luokkaan, jotka kuvastavat näihin tuoteluokkiin liittyvän kyberturvariskin tasoa. Luokan II tuotteisiin liittyvä mahdollinen kyberturvapoikkeama voisi johtaa suurempiin kielteisiin vaikutuksiin kuin luokan I tuotteisiin liittyvä poikkeama esimerkiksi niiden kyberturvallisuuteen liittyvän toiminnan luonteen tai arkaluontoisissa ympäristöissä suunnitellun käytön vuoksi, ja siksi ne olisi alistettava tiukempaan vaatimustenmukaisuuden arviointimenettelyyn.

(26) Digitaalisia elementtejä sisältäviin kriittisiin tuotteisiin olisi sovellettava tiukempia vaatimustenmukaisuuden arviointimenettelyjä, mutta kuitenkin oikeasuhteisesti. Tätä varten digitaalisia elementtejä sisältävät kriittiset tuotteet olisi jaettava kahteen luokkaan, jotka kuvastavat näihin tuoteluokkiin liittyvän kyberturvariskin tasoa. Luokan II tuotteisiin liittyvä mahdollinen kyberturvapoikkeama voisi johtaa suurempiin kielteisiin vaikutuksiin kuin luokan I tuotteisiin liittyvä poikkeama esimerkiksi niiden kyberturvallisuuteen liittyvän toiminnan luonteen tai arkaluontoisissa ympäristöissä suunnitellun käytön vuoksi, ja siksi ne olisi alistettava tiukempaan vaatimustenmukaisuuden arviointimenettelyyn. Pienten yritysten ja mikroyritysten olisi voitava poikkeuksellisesti käyttää luokan I tuotteille tarkoitettua menettelyä.

Tarkistus  17

 

Ehdotus asetukseksi

Johdanto-osan 29 kappale

 

Komission teksti

Tarkistus

(29) Asetuksen XXX27 [tekoälyasetus] 6 artiklan mukaisesti suuririskisiksi tekoälyjärjestelmiksi luokiteltujen digitaalisia elementtejä sisältävien tuotteiden, jotka kuuluvat tämän asetuksen soveltamisalaan, olisi täytettävä tässä asetuksessa vahvistetut olennaiset vaatimukset. Kun kyseiset suuririskiset tekoälyjärjestelmät täyttävät tämän asetuksen olennaiset vaatimukset, niiden olisi katsottava olevan asetuksen [tekoälyasetus] [15 artiklassa] vahvistettujen kyberturvavaatimusten mukaisia siltä osin kuin kyseiset vaatimukset kuuluvat tämän asetuksen nojalla annetun EU-vaatimustenmukaisuusvakuutuksen tai sen osien piiriin. Tämän asetuksen soveltamisalaan kuuluvan digitaalisia elementtejä sisältävän ja suuririskiseksi tekoälyjärjestelmäksi luokitellun tuotteen olennaisiin kyberturvavaatimuksiin liittyvien vaatimustenmukaisuuden arviointimenettelyjen osalta olisi sovellettava pääsääntöisesti asetuksen [tekoälyasetus] 43 artiklan asiaankuuluvia säännöksiä tämän asetuksen vastaavien säännösten sijasta. Tämä pääsääntö ei kuitenkaan saisi johtaa tämän asetuksen soveltamisalaan kuuluvien digitaalisia elementtejä sisältävien kriittisten tuotteiden tarvittavan varmuustason alenemiseen. Sen vuoksi tästä pääsäännöstä poiketen suuririskisiin tekoälyjärjestelmiin, jotka kuuluvat asetuksen [tekoälyasetus] soveltamisalaan ja jotka luokitellaan myös tämän asetuksen mukaisiksi digitaalisia elementtejä sisältäviksi kriittisiksi tuotteiksi ja joihin sovelletaan asetuksen [tekoälyasetus] liitteessä VI tarkoitettua sisäiseen valvontaan perustuvaa vaatimustenmukaisuuden arviointimenettelyä, olisi sovellettava tämän asetuksen vaatimustenmukaisuuden arviointia koskevia säännöksiä siltä osin kuin kyse on tämän asetuksen olennaisista vaatimuksista. Tässä tapauksessa kaikkiin muihin asetuksen [tekoälyasetus] kattamiin näkökohtiin olisi sovellettava asetuksen [tekoälyasetus] liitteessä VI vahvistettuja sisäiseen valvontaan perustuvaa vaatimustenmukaisuuden arviointia koskevia säännöksiä.

(29) Asetuksen XXX27 [tekoälyasetus] 6 artiklan mukaisesti suuririskisiksi tekoälyjärjestelmiksi luokiteltujen digitaalisia elementtejä sisältävien tuotteiden tai digitaalisia elementtejä sisältävien osittain valmiiden tuotteiden, jotka kuuluvat tämän asetuksen soveltamisalaan, olisi täytettävä tässä asetuksessa vahvistetut olennaiset vaatimukset. Kun kyseiset suuririskiset tekoälyjärjestelmät täyttävät tämän asetuksen olennaiset vaatimukset, niiden olisi katsottava olevan asetuksen [tekoälyasetus] [15 artiklassa] vahvistettujen kyberturvavaatimusten mukaisia siltä osin kuin kyseiset vaatimukset kuuluvat tämän asetuksen nojalla annetun EU-vaatimustenmukaisuusvakuutuksen tai sen osien piiriin. Tämän asetuksen soveltamisalaan kuuluvan digitaalisia elementtejä sisältävän ja suuririskiseksi tekoälyjärjestelmäksi luokitellun tuotteen olennaisiin kyberturvavaatimuksiin liittyvien vaatimustenmukaisuuden arviointimenettelyjen osalta olisi sovellettava pääsääntöisesti asetuksen [tekoälyasetus] [sovellettavien säännösten] asiaankuuluvia säännöksiä tämän asetuksen vastaavien säännösten sijasta. Tämän pääsäännön olisi luotava tämän asetuksen soveltamisalaan kuuluville digitaalisia elementtejä sisältäville kriittisille tuotteille korkea varmuustaso. Kun on kyse asetuksen [tekoälyasetus] soveltamisalaan kuuluvista suuririskisistä tekoälyjärjestelmistä, jotka luokitellaan myös tämän asetuksen nojalla digitaalisia elementtejä sisältäviksi kriittisiksi tuotteiksi, vastuullisen alakohtaisen ilmoitetun laitoksen olisi