POROČILO o predlogu uredbe Evropskega parlamenta in Sveta o horizontalnih zahtevah glede kibernetske varnosti za izdelke z digitalnimi elementi in spremembi Uredbe (EU) 2019/1020
26.7.2023 - (COM(2022)0454 – C9‑0308/2022 – 2022/0272(COD)) - ***I
Odbor za industrijo, raziskave in energetiko
Poročevalec: Nicola Danti
Pripravljavec mnenja pridruženega odbora v skladu s členom 57 Poslovnika:
Morten Løkkegaard, Odbor za notranji trg in varstvo potrošnikov
OSNUTEK ZAKONODAJNE RESOLUCIJE EVROPSKEGA PARLAMENTA
o predlogu uredbe Evropskega parlamenta in Sveta o horizontalnih zahtevah glede kibernetske varnosti za izdelke z digitalnimi elementi in spremembi Uredbe (EU) 2019/1020
(COM(2022)0454 – C9‑0308/2022 – 2022/0272(COD))
(Redni zakonodajni postopek: prva obravnava)
Evropski parlament,
– ob upoštevanju predloga Komisije Evropskemu parlamentu in Svetu (COM(2022)0454),
– ob upoštevanju člena 294(2) in člena 114 Pogodbe o delovanju Evropske unije, na podlagi katerih je Komisija podala predlog Parlamentu (C9‑0308/2022),
– ob upoštevanju člena 294(3) Pogodbe o delovanju Evropske unije,
– ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora z dne 14. decembra 2022[1],
– ob upoštevanju člena 59 Poslovnika,
– ob upoštevanju mnenja Odbora za notranji trg in varstvo potrošnikov,
– ob upoštevanju poročila Odbora za industrijo, raziskave in energetiko (A9‑0253/2023),
1. sprejme stališče v prvi obravnavi, kakor je določeno v nadaljevanju;
2. poziva Komisijo, naj spremeni oceno finančnih posledic zakonodajnega predloga, ki je priložena predlogu, tako da poveča število delovnih mest v kadrovskem načrtu Agencije Evropske unije za kibernetsko varnost (ENISA) za 9,0 dodatnega delovnega mesta s polnim delovnim časom in zagotovi ustrezne dodatne odobritve, s čimer bi omogočila, da se lahko izpolnijo obveznosti agencije ENISA iz te uredbe in da niso ogrožene obstoječe obveznosti agencije iz druge zakonodaje Unije;
3. poziva Komisijo, naj mu zadevo ponovno predloži, če svoj predlog nadomesti, ga bistveno spremeni ali ga namerava bistveno spremeniti;
4. naroči svoji predsednici, naj stališče Parlamenta posreduje Svetu in Komisiji ter nacionalnim parlamentom.
Predlog spremembe 1
PREDLOGI SPREMEMB EVROPSKEGA PARLAMENTA[*]
k predlogu Komisije
---------------------------------------------------------
Predlog
UREDBA EVROPSKEGA PARLAMENTA IN SVETA
o horizontalnih zahtevah glede kibernetske varnosti za izdelke z digitalnimi elementi in spremembi Uredbe (EU) 2019/1020 in Direktive 2020/1828/ES (Akt o kibernetski odpornosti)
(Besedilo velja za EGP)
EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –
ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 114 Pogodbe,
ob upoštevanju predloga Evropske komisije,
po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,
ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora[2],
ob upoštevanju mnenja Odbora regij[3],
v skladu z rednim zakonodajnim postopkom,
ob upoštevanju naslednjega:
(1) Kibernetska varnost je eden od ključnih izzivov za Unijo, število in raznolikost povezanih naprav pa se bosta v prihodnjih letih eksponentno povečevala. Kibernetski napadi so vprašanje javnega interesa, saj lahko odločilno vplivajo ne le na gospodarstvo Unije, temveč tudi na demokracijo ter varnost in zdravje potrošnikov. Zato je treba okrepiti pristop Unije h kibernetski varnosti, obravnavati kibernetsko odpornost na ravni Unije ter izboljšati delovanje notranjega trga z določitvijo enotnega pravnega okvira za bistvene zahteve glede kibernetske varnosti za dajanje izdelkov z digitalnimi elementi na trg Unije. Obravnavati bi bilo treba dve glavni težavi, zaradi katerih imajo uporabniki in družba dodatne stroške: nizko raven kibernetske varnosti izdelkov z digitalnimi elementi, ki se odraža v splošno razširjenih ranljivostih ter nezadostnem in nedoslednem zagotavljanju varnostnih posodobitev za njihovo odpravljanje, ter nezadostno razumevanje in nezadosten dostop uporabnikov do informacij, ki preprečujeta izbiro izdelkov z ustreznimi lastnostmi kibernetske varnosti ali njihovo varno uporabo.
(2) Namen te uredbe je določiti mejne pogoje za razvoj varnih izdelkov z digitalnimi elementi z zagotovitvijo, da se na trg dajejo izdelki strojne in programske opreme z manj ranljivostmi ter da proizvajalci v celotnem življenjskem ciklu izdelka resno obravnavajo vprašanje varnosti. Poleg tega je njen namen ustvariti pogoje, ki uporabnikom omogočajo upoštevanje kibernetske varnosti pri izbiri in uporabi izdelkov z digitalnimi elementi, na primer z izboljšanjem preglednosti v zvezi s obdobjem podpore za izdelke, dane na trg.
(3) Trenutno veljavna ustrezna zakonodaja Unije obsega več sklopov horizontalnih pravil, ki z različnih zornih kotov obravnavajo določene vidike, povezane s kibernetsko varnostjo, vključno z ukrepi za izboljšanje varnosti digitalne oskrbovalne verige. Vendar obstoječa zakonodaja Unije v zvezi s kibernetsko varnostjo, vključno z Direktivo EU 2019/881 Evropskega parlamenta in Sveta[4] in Direktivo (EU) 2022/2555 Evropskega parlamenta in Sveta[5], ne zajema neposredno obveznih zahtev za varnost izdelkov z digitalnimi elementi.
(4) Medtem ko se obstoječa zakonodaja Unije uporablja za nekatere izdelke z digitalnimi elementi, horizontalnega regulativnega okvira Unije, ki določa celovite zahteve glede kibernetske varnosti za vse izdelke z digitalnimi elementi, ni. Z različnimi akti in pobudami, ki so bili doslej sprejeti na ravni Unije in nacionalni ravni, se le delno obravnavajo ugotovljene težave in tveganja, povezana s kibernetsko varnostjo, pri čemer ustvarjajo zakonodajni mozaik na notranjem trgu, povečujejo pravno negotovost za proizvajalce in uporabnike teh izdelkov ter dodajajo nepotrebno breme za podjetja in organizacije zaradi izpolnjevanja številnih zahtev za podobne vrste izdelkov. Kibernetska varnost teh izdelkov ima posebno jasno čezmejno razsežnost, saj izdelke, izdelane v eni državi, pogosto uporabljajo organizacije in potrošniki na celotnem notranjem trgu. Zato je treba to področje urejati na ravni Unije, da bi zagotovili usklajen in jasen regulativni okvir za podjetja, zlasti za mikro-, mala in srednja podjetja. Regulativno okolje Unije bi bilo treba uskladiti z uvedbo zahtev glede kibernetske varnosti za izdelke z digitalnimi elementi. Poleg tega bi bilo treba zagotoviti varnost za gospodarske subjekte in uporabnike po vsej Uniji ter boljšo uskladitev enotnega trga in sorazmernost za mikro-, mala in srednja podjetja, s tem pa ustvariti bolj uresničljive pogoje za gospodarske subjekte, ki si prizadevajo vstopiti na trg Unije.
(4a) Horizontalna narava te uredbe pomeni, da bo vplivala na zelo različne segmente gospodarstva Unije. Zato je pomembno, da se upoštevajo posebnosti vsakega sektorja in da so zahteve glede kibernetske varnosti iz te uredbe sorazmerne s tveganji. Komisija bi zato morala izdati smernice, ki podrobno in jasno obrazložijo, kako uporabljati to uredbo. Smernice bi morale med drugim zajemati podrobno razlago področja uporabe, zlasti pojem daljinske obdelave podatkov in posledice za razvijalce proste in odprtokodne programske opreme, merila za določanje kritičnih izdelkov z digitalnimi elementi ter interakcijo med to uredbo in drugim pravom Unije.
(4b) Podjetje, ki deluje prek spleta, lahko ponuja različne storitve. Glede na naravo opravljenih storitev lahko isti subjekt spada v več različnih kategorij gospodarskih subjektov. Kadar subjekt zagotavlja spletne posredniške storitve za izdelek z digitalnimi elementi in je ponudnik spletne tržnice, kot je opredeljen v členu 3(14) Uredbe 2023/988 Evropskega parlamenta in Sveta[6], se ne šteje za gospodarski subjekt, kot je opredeljen v tej uredbi. Kadar je isti subjekt ponudnik spletne tržnice in deluje kot gospodarski subjekt, kot je opredeljen v tej uredbi, pri prodaji izdelkov z digitalnimi elementi, bi moral v zvezi s takimi izdelki spadati na področje uporabe te uredbe. Določbe Uredbe (EU) 2023/988 se v celoti uporabljajo za to uredbo. Ker imajo spletne tržnice pomembno vlogo pri omogočanju elektronskega poslovanja, bi si morale prizadevati za sodelovanje z organi za nadzor trga držav članic, da bi zagotovile, da izdelki, kupljeni prek spletnih tržnic, izpolnjujejo zahteve glede kibernetske varnosti iz te uredbe.
(5) Na ravni Unije so različni programski in politični dokumenti, kakor so strategija EU za kibernetsko varnost v digitalnem desetletju[7], sklepi Sveta z dne 2. decembra 2020 in z dne 23. maja 2022 ali resolucija Evropskega parlamenta z dne 10. junija 2021[8], vključevali poziv k uvedbi specifičnih zahtev Unije glede kibernetske varnosti za digitalne ali povezane izdelke, pri čemer je več držav z vsega sveta na lastno pobudo uvedlo ukrepe za obravnavo tega vprašanja. V končnem poročilu Konference o prihodnosti Evrope[9] so državljani pozvali k „večji vlogi EU pri preprečevanju kibernetskih groženj“. Da bi Unija imela vodilno mednarodno vlogo na področju kibernetske varnosti, je pomembno določiti ambiciozen krovni regulativni okvir.
(6) Za izboljšanje splošne ravni kibernetske varnosti vseh izdelkov z digitalnimi elementi, danih na notranji trg, je treba za te izdelke uvesti tehnološko nevtralne bistvene zahteve glede kibernetske varnosti, usmerjene v cilje, ki se uporabljajo horizontalno.
(7) Pod določenimi pogoji se lahko vsi izdelki z digitalnimi elementi, vgrajeni v večji elektronski informacijski sistem ali povezani z njim, uporabijo kot napadni vektor za zlonamerne akterje. Tako lahko tudi strojna in programska oprema, ki velja za manj kritično, olajša prvotno ogrožanje naprave ali omrežja in zlonamernim akterjem omogoči, da pridobijo privilegiran dostop do sistema ali se pomikajo lateralno med sistemi. Zato bi morali proizvajalci zagotoviti, da se vsi izdelki z digitalnimi elementi in možnostjo povezave načrtujejo in razvijajo v skladu z bistvenimi zahtevami iz te uredbe. To vključuje izdelke z možnostjo fizične povezave prek vmesniške strojne opreme in izdelke z možnostjo logične povezave, na primer prek omrežnih vtičnic, cevovodov, datotek, vmesnikov za aplikacijsko programje ali katere koli druge vrste programskih vmesnikov. Kibernetske grožnje se lahko širijo prek različnih izdelkov z digitalnimi elementi, dokler ne dosežejo določenega cilja, na primer s povezovanjem več izrab ranljivosti, zato bi morali proizvajalci zagotoviti tudi kibernetsko varnost izdelkov, ki so zgolj posredno povezani z drugimi napravami ali omrežji.
(8) Z določitvijo zahtev glede kibernetske varnosti za dajanje izdelkov z digitalnimi elementi na trg se bo izboljšala kibernetska varnost teh izdelkov za potrošnike in podjetja. To vključuje tudi zahteve za dajanje potrošniških izdelkov z digitalnimi elementi, ki so namenjeni ranljivim potrošnikom, kakor so igrače in elektronske varuške, na trg. S temi zahtevami se bo tudi zagotovilo, da se bo kibernetska varnost upoštevala v celotnih dobavnih verigah in se bo s tem dosegla večja varnost končnih izdelkov z digitalnimi elementi. To bo posledično pomenilo konkurenčno prednost za proizvajalce s sedežem ali zastopstvom v Uniji, ki bodo lahko izpostavili prednost svojih izdelkov v smislu kibernetske varnosti.
(9) Ta uredba zagotavlja visoko raven kibernetske varnosti izdelkov z digitalnimi elementi in njihovih vgrajenih rešitev za daljinsko obdelavo podatkov. Te rešitve za daljinsko obdelavo podatkov v zvezi z izdelkom z digitalnimi elementi so opredeljene kot vsaka obdelava podatkov na daljavo, za katero je programsko opremo zasnoval in razvil proizvajalec zadevnega izdelka ali je bila zasnovana in razvita v njegovem imenu ter brez katere zadevni izdelek z digitalnimi elementi ne bi mogel opravljati ene od svojih funkcij. Na primer, funkcije, ki jih omogočajo storitve v oblaku in jih zagotavlja proizvajalec pametnih gospodinjskih naprav, ki uporabnikom omogočajo upravljanje naprave na daljavo, bi morale spadati na področje uporabe te uredbe. Po drugi strani se spletna mesta, ki niso neločljivo povezana z izdelkom z digitalnimi elementi ali storitvami v oblaku, za katera ni odgovoren proizvajalec, ne bi smela šteti za rešitve za obdelavo podatkov na daljavo v skladu s to uredbo. Direktiva (EU) 2022/2555 določa zahteve glede poročanja o kibernetski varnosti in incidentih za bistvene in pomembne subjekte, kot je kritična infrastruktura, da bi se izboljšala odpornost storitev, ki jih zagotavljajo. Medtem ko se Direktiva (EU) 2022/2555 uporablja za storitve računalništva v oblaku in modele storitev v oblaku in se ta uredba ne uporablja za storitve, kot so programska oprema kot storitev (SaaS), platforma kot storitev (PaaS) ali infrastruktura kot storitev (IaaS), lahko ti spadajo na področje uporabe te uredbe, če ustrezajo opredelitvi rešitev za obdelavo podatkov na daljavo. ▌
(9a) Programska oprema in podatki, ki se prosto izmenjujejo in pri katerih lahko uporabniki prosto dostopajo do njih ali njihovih spremenjenih različic, jih uporabljajo, spreminjajo in ponovno distribuirajo, lahko prispevajo k raziskavam in inovacijam na trgu. Raziskava Evropske komisije[10] tudi kaže, da lahko prosta in odprtokodna programska oprema prispeva med 65 in 95 milijard EUR k BDP Unije in da lahko zagotovi pomembne priložnosti za rast evropskega gospodarstva. Uporabnikom je s prostimi in odprtokodnimi licencami dovoljeno uporabljati, kopirati, distribuirati, preučevati, spreminjati in izboljševati programsko opremo in podatke, vključno z modeli. Da bi spodbudili razvoj in uvedbo proste in odprtokodne programske opreme, zlasti v mikropodjetjih ter malih in srednjih podjetjih, vključno z zagonskimi podjetji, neprofitnimi organizacijami, v akademskih raziskavah in pri posameznikih, bi se morala ta uredba v posebnih primerih uporabljati za izdelke proste in odprtokodne programske opreme, da bi upoštevali dejstvo, da obstajajo različni razvojni modeli programske opreme, ki se distribuira in razvija na podlagi javnih licenc.
(10) Ta uredba bi morala zajemati samo prosto in odprtokodno programsko opremo, ki je na voljo na trgu v okviru gospodarske dejavnosti. ▌Za prost in odprtokodni izdelek bi bilo treba posebej oceniti, ali je bil dan na voljo kot del gospodarske dejavnosti, pri tem pa upoštevati razvojni model in fazo dobave prostega in odprtokodnega izdelka z digitalnimi elementi.
(10a) Na primer, popolnoma decentraliziran razvojni model, pri katerem noben gospodarski subjekt ne izvaja nadzora nad tem, kar je sprejeto v izvorno kodo projekta, bi bilo treba razumeti kot znak, da je bil izdelek razvit v nekomercialnem okolju. Kadar prosto in odprtokodno programsko opremo razvije ena sama organizacija ali asimetrična skupnost in kadar ena sama organizacija ustvarja prihodke iz s tem povezane uporabe v poslovnih odnosih, bi bilo treba to šteti za gospodarsko dejavnost. Podobno bi bilo treba projekt na splošno šteti za gospodarsko dejavnost, kadar so glavni ponudniki prostih in odprtokodnih projektov razvijalci, zaposleni pri gospodarskih subjektih, in kadar lahko ti razvijalci ali delodajalec izvajajo nadzor nad tem, katere spremembe so sprejete v izvorno kodo.
(10b) Glede faze dobave v zvezi s prosto in odprtokodno programsko opremo je lahko za gospodarsko dejavnost poleg zaračunavanja cene za izdelek značilno tudi zaračunavanje cene za storitve tehnične podpore, kadar to ni namenjeno le povračilu dejanskih stroškov, zagotavljanje platforme programske opreme, prek katere proizvajalec monetizira druge storitve, ali uporaba osebnih podatkov za druge namene kot izključno za izboljšanje varnosti, združljivosti ali interoperabilnosti programske opreme. Sprejemanje donacij brez namena ustvarjanja dobička se ne bi smelo šteti za gospodarsko dejavnost, razen če take donacije izvajajo gospodarski subjekti in se ponavljajo.
(10c) Za razvijalce, ki posamično prispevajo k prostim in odprtokodnim projektom, ne bi smele veljati obveznosti iz te uredbe.
(10d) Zgolj gostovanje proste in odprtokodne programske opreme v odprtih repozitorijih samo po sebi ne pomeni omogočanja dostopnosti izdelka z digitalnimi elementi na trgu. Zato upravljavci paketov, platforme za kodiranje in platforme za sodelovanje večinoma ne štejejo za distributerje v pomenu te uredbe.
(10e) Da bodo izdelki zasnovani, razviti in proizvedeni v skladu z bistvenimi zahtevami iz Priloge I, oddelek 1, bi morali proizvajalci pri vključevanju sestavnih delov, ki izvirajo od tretjih oseb, opraviti skrbni pregled, tudi v primeru proste in odprtokodne programske opreme, ki ni bila dostopna na trgu. Kakšna je ustrezna raven skrbnega pregleda, je odvisno od narave in stopnje tveganja sestavnega dela, vključuje pa lahko enega ali več naslednjih ukrepov: preverjanje, ali je sestavni del že opremljen z oznako CE, preverjanje najnovejših varnostnih podatkov, preverjanje, ali je brez ranljivosti, evidentiranih v evropski podatkovni zbirki ranljivosti ali drugih javnih podatkovnih zbirkah, ali izvajanje dodatnih varnostnih preskusov. Kadar proizvajalec izdelka pri skrbnem pregledu ugotovi ranljivost v sestavnem delu, vključno s prostim in odprtokodnim sestavnim delom, bi moral obvestiti razvijalca sestavnega dela, obravnavati in odpraviti ranljivost ter po potrebi razvijalcu zagotoviti uporabljeno varnostno rešitev. Ko proizvajalec da izdelek na trg, bi moral biti odgovoren za zagotavljanje, da se ranljivosti obravnavajo v celotnem obdobju podpore, tudi za proste in odprtokodne sestavne dele, vgrajene v izdelek z digitalnimi elementi.
(10f) Pomanjkanje strokovnih veščin na področju kibernetske varnosti je ključno vprašanje, ki ga je treba obravnavati pri uspešni uporabi te uredbe. Posebno pozornost bi bilo treba nameniti vrzelim v znanju in spretnostih proizvajalcev, organov za nadzor trga in priglašenih organov. Zato bi bilo treba v skladu s sporočilom Komisije z naslovom Zapolnitev vrzeli na področju strokovnjakov za kibernetsko varnost za povečanje konkurenčnosti, rasti in odpornosti EU („akademija za kibernetske veščine“) na ravni Unije in držav članic uvesti posebne ukrepe za oceno stanja in razvoja trga dela na področju kibernetske varnosti ter sinergij za ponudbe izobraževanja in usposabljanja na področju kibernetske varnosti, ki obravnavajo tudi razlike med spoloma v sektorju, da bi vzpostavili skupni pristop Unije k usposabljanju na področju kibernetske varnosti.
(11) Varen internet je nepogrešljiv za delovanje kritične infrastrukture in družbe kot celote. Direktiva EU 2022/2555 je namenjena zagotovitvi visoke ravni kibernetske varnosti storitev, ki jih opravljajo bistveni in pomembni subjekti, vključno s ponudniki digitalne infrastrukture, ki podpirajo osnovne funkcije odprtega interneta ter zagotavljajo dostop do interneta in internetne storitve. Zato je pomembno, da se izdelki z digitalnimi elementi, ki jih ponudniki digitalne infrastrukture potrebujejo za zagotavljanje delovanja interneta, razvijajo varno in dosegajo uveljavljene standarde internetne varnosti. Ta uredba, ki se uporablja za vse izdelke strojne in programske opreme z možnostjo povezave, je namenjena tudi olajšanju skladnosti ponudnikov digitalne infrastrukture z zahtevami glede oskrbovalne verige na podlagi Direktive (EU) 2022/2555 z zagotavljanjem varnega razvoja izdelkov z digitalnimi elementi, ki jih navedeni ponudniki uporabljajo za zagotavljanje svojih storitev, in njihovega dostopa do pravočasnih varnostnih posodobitev za take izdelke.
(12) Uredba (EU) 2017/745 Evropskega parlamenta in Sveta[11] določa pravila o medicinskih pripomočkih, Uredba (EU) 2017/746 Evropskega parlamenta in Sveta[12] pa pravila o in vitro diagnostičnih medicinskih pripomočkih. Z obema uredbama se obravnavajo tveganja za kibernetsko varnost in upoštevajo posebni pristopi, ki so obravnavani tudi v tej uredbi. Natančneje, uredbi (EU) 2017/745 in (EU) 2017/746 določata bistvene zahteve za medicinske pripomočke, ki delujejo prek elektronskega sistema ali so sami programska oprema. Zajemata tudi nekatere vrste nevgrajene programske opreme in pristop na podlagi celotnega življenjskega cikla. V skladu s temi zahtevami morajo proizvajalci pri razvoju in izdelavi svojih izdelkov uporabljati načela obvladovanja tveganja in določiti zahteve za varnostne ukrepe v zvezi z IT ter ustrezne postopke ugotavljanja skladnosti. Poleg tega so od decembra 2019[13] na voljo posebne smernice o kibernetski varnosti medicinskih pripomočkov, ki proizvajalcem medicinskih pripomočkov, vključno z in vitro diagnostičnimi pripomočki, zagotavljajo navodila za izpolnjevanje vseh ustreznih bistvenih zahtev iz prilog I k navedenima uredbama v zvezi s kibernetsko varnostjo. Zato se ta uredba ne bi smela uporabljati za izdelke z digitalnimi elementi, za katere se uporablja katera koli od navedenih uredb.
(12a) Izdelki z digitalnimi elementi, ki se razvijajo izključno za namene nacionalne varnosti ali vojaške namene, ali izdelki, ki so izrecno namenjeni obdelavi tajnih podatkov, ne spadajo na področje uporabe te uredbe. Vendar se države članice spodbujajo, da za te izdelke zagotovijo enako ali višjo raven varstva kot za izdelke, ki spadajo na področje uporabe te uredbe.
(13) Uredba (EU) 2019/2144 Evropskega parlamenta in Sveta[14] določa zahteve za homologacijo vozil ter njihovih sistemov in sestavnih delov, pri čemer uvaja nekatere zahteve glede kibernetske varnosti, med drugim glede delovanja certificiranega sistema za upravljanje kibernetske varnosti in posodobitev programske opreme, zajema politike in postopke organizacij za kibernetska tveganja, povezana s celotnim življenjskim ciklom vozil, opreme in storitev, v skladu z veljavnimi pravilniki Združenih narodov o tehničnih specifikacijah in kibernetski varnosti[15] ter določa posebne postopke ugotavljanja skladnosti. Na področju letalstva je glavni cilj Uredbe (EU) 2018/1139 Evropskega parlamenta in Sveta[16] vzpostaviti in ohranjati visoko enotno raven varnosti v civilnem letalstvu v Uniji. Z njo je vzpostavljen okvir za bistvene zahteve glede plovnosti za aeronavtične izdelke, dele, opremo, vključno s programsko opremo, pri katerih se upoštevajo obveznosti zaščite pred tveganji za varnost informacij. Zato se bistvene zahteve in postopki ugotavljanja skladnosti iz te uredbe ne uporabljajo za izdelke z digitalnimi elementi, za katere se uporablja Uredba (EU) 2019/2144, in izdelke, certificirane v skladu z Uredbo (EU) 2018/1139. S postopkom certificiranja na podlagi Uredbe (EU) 2018/1139 se zagotovi raven zanesljivosti, ki je cilj te uredbe.
(14) Ta uredba določa horizontalna pravila glede kibernetske varnosti, ki niso specifična za posamezne sektorje ali izdelke z digitalnimi elementi. Ne glede na to se lahko uvedejo sektorska pravila Unije ali pravila Unije za posamezne izdelke, s katerimi se določijo zahteve, ki se nanašajo na vsa ali nekatera tveganja, zajeta z bistvenimi zahtevami iz te uredbe. V takih primerih se lahko uporaba te uredbe za izdelke z digitalnimi elementi, zajete z drugimi pravili Unije, s katerimi so določene zahteve, ki se nanašajo na vsa ali nekatera tveganja, zajeta z bistvenimi zahtevami iz Priloge I k tej uredbi, omeji ali izključi, če je taka omejitev ali izključitev v skladu s splošnim regulativnim okvirom, ki se uporablja za navedene izdelke, in se s sektorskimi pravili doseže enaka raven varstva, kot je določena s to uredbo. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov za spremembo te uredbe z opredelitvijo takih izdelkov in pravil. Ta uredba za obstoječo zakonodajo Unije, v zvezi s katero bi se morale uporabljati take omejitve ali izključitve, vsebuje posebne določbe za pojasnitev njene povezave z navedeno zakonodajo Unije.
(14a) Da bi zagotovili učinkovito popravilo izdelkov, ki so dostopni na trgu, in podaljšanje njihove trajnosti, bi bilo treba določiti izjemo za rezervne dele. Tako bi moralo veljati za rezervne dele, katerih namen je popravilo obstoječih izdelkov, ki so bili dani na voljo pred datumom začetka uporabe te uredbe, kot tudi za nadomestne dele, za katere je bil že opravljen postopek ugotavljanja skladnosti v skladu s to uredbo in jih je dobavil isti proizvajalec.
(14b) Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta[17] določa številne zahteve za zagotovitev varnosti omrežij in informacijskih sistemov, ki podpirajo poslovne procese finančnih subjektov. Komisija bi morala spremljati izvajanje te uredbe v finančnem sektorju, da bi zagotovila združljivost in preprečila prekrivanja za izdelke z digitalnimi elementi, ki so lahko zajeti tudi v Uredbi (EU) 2022/2554.
(14c) Tudi kmetijska in gozdarska vozila s področja uporabe Uredbe (EU) št. 167/2013 Evropskega parlamenta in Sveta[18] spadajo na področje uporabe te uredbe. S prihodnjimi spremembami Uredbe (EU) št. 167/2013 bi morali preprečiti regulativno prekrivanje.
(15) Delegirana uredba Komisije (EU) 2022/30[19] določa, da se bistvene zahteve iz člena 3(3), točke (d) (škoda za omrežje in zloraba omrežnih virov), (e) (osebni podatki in zasebnost) in (f) (goljufije), Direktive 2014/53/EU uporabljajo za določeno radijsko opremo. [Izvedbeni sklep Komisije XXX/2022 o zahtevi za standardizacijo evropskim organizacijam za standardizacijo] določa zahteve za razvoj posebnih standardov, s katerimi je podrobneje določeno, kako bi bilo treba obravnavati te tri bistvene zahteve. Bistvene zahteve iz te uredbe vključujejo vse elemente bistvenih zahtev iz člena 3(3), točke (d), (e) in (f), Direktive 2014/53/EU. Poleg tega so bistvene zahteve iz te uredbe usklajene s cilji zahtev za posebne standarde, vključene v navedeno zahtevo za standardizacijo. Ko torej Komisija▌ spremeni Delegirano uredbo Komisije (EU) 2022/30 in se navedena delegirana uredba zato preneha uporabljati za nekatere izdelke, za katere se uporablja ta uredba, bi morale Komisija in evropske organizacije za standardizacijo pri pripravi in razvoju harmoniziranih standardov za olajšanje izvajanja te uredbe upoštevati delo za standardizacijo, opravljeno v okviru Izvedbenega sklepa Komisije C(2022) 5637 o zahtevi za standardizacijo za Delegirano uredbo (EU) 2022/30, sprejeto na podlagi direktive o radijski opremi. Kadar proizvajalci delujejo v skladu s to uredbo pred datumom začetka njene uporabe, bi moralo šteti, da delujejo tudi v skladu z Delegirano uredbo Komisije (EU) 2022/30, dokler Komisija navedene delegirane uredbe ne razveljavi.
(16) Direktiva Sveta 85/374/ES[20] dopolnjuje to uredbo. Navedena direktiva določa pravila o odgovornosti za izdelke z napako, da lahko oškodovanci zahtevajo odškodnino za škodo, ki jo povzročijo izdelki z napako. Določa načelo, da je proizvajalec izdelka odgovoren za škodo, nastalo zaradi pomanjkanja varnosti njegovega izdelka, ne glede na krivdo (objektivna odgovornost). Kadar tako pomanjkanje varnosti vključuje neobstoj varnostnih posodobitev po dajanju izdelka na trg in zaradi tega nastane škoda, se lahko uveljavlja odgovornost proizvajalca. V tej uredbi bi bilo treba določiti obveznosti izdelovalcev, ki se nanašajo na zagotavljanje takih varnostnih posodobitev.
(17) Ta uredba ne bi smela posegati v Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta[21], vključno z določbami za uvedbo mehanizmov certificiranja za varstvo podatkov ter pečatov in označb za varstvo podatkov, namenjenih dokazovanju, da so dejanja obdelave s strani upravljavcev in obdelovalcev v skladu z navedeno uredbo. Taka dejanja so lahko vključena v izdelek z digitalnimi elementi. Vgrajeno in privzeto varstvo podatkov ter kibernetska varnost na splošno so ključni elementi Uredbe (EU) 2016/679. Bistvene zahteve glede kibernetske varnosti iz te uredbe naj bi z zaščito potrošnikov in organizacij pred tveganji za kibernetsko varnost prispevale tudi k izboljšanju varstva osebnih podatkov in zasebnosti posameznikov. V okviru sodelovanja med Komisijo, evropskimi organizacijami za standardizacijo, Agencijo Evropske unije za kibernetsko varnost (ENISA), Evropskim odborom za varstvo podatkov (EOVP), ustanovljenim z Uredbo (EU) 2016/679, in nacionalnimi nadzornimi organi za varstvo podatkov bi bilo treba obravnavati sinergije glede standardizacije in certificiranja v zvezi z vidiki kibernetske varnosti. Poleg tega bi bilo treba ustvariti sinergije med to uredbo in zakonodajo Unije o varstvu podatkov na področju nadzora trga in izvrševanja. V ta namen bi morali nacionalni organi za nadzor trga, imenovani na podlagi te uredbe, sodelovati z organi, pristojnimi za nadzor zakonodaje Unije o varstvu podatkov. Slednji bi morali imeti tudi dostop do informacij, pomembnih za opravljanje njihovih nalog.
(18) Izdajatelji evropske denarnice za digitalno identiteto iz člena [člen 6a(2) Uredbe (EU) št. 910/2014, kakor je bila spremenjena s predlogom uredbe o spremembi Uredbe (EU) št. 910/2014 v zvezi z vzpostavitvijo okvira za evropsko digitalno identiteto] bi morali izpolnjevati horizontalne bistvene zahteve iz te uredbe in posebne varnostne zahteve, določene s členom [člen 6a Uredbe (EU) št. 910/2014, kakor je bila spremenjena s predlogom uredbe o spremembi Uredbe (EU) št. 910/2014 v zvezi z vzpostavitvijo okvira za evropsko digitalno identiteto], če njihovi izdelki spadajo na področje uporabe te uredbe. Za olajšanje zagotavljanja skladnosti bi morali imeti izdajatelji denarnice možnost, da dokažejo skladnost evropskih denarnic za digitalno identiteto z zahtevami iz obeh aktov s certificiranjem svojih izdelkov v okviru evropske certifikacijske sheme kibernetske varnosti, vzpostavljene na podlagi Uredbe (EU) 2019/881, za katero je Komisija z izvedbenim aktom oblikovala domnevo o skladnosti za to uredbo, kolikor certifikat ali njegovi deli zajemajo navedene zahteve.
(18a) Države članice bi morale pri javnem naročanju izdelkov z digitalnimi elementi dati prednost izdelkom, ki imajo visoko stopnjo kibernetske varnosti in ustrezno obdobje podpore, da bi izboljšale svojo sposobnost obvladovanja kibernetskih groženj in zagotovile učinkovito uporabo javnih sredstev. Poleg tega bi morale države članice zagotoviti, da proizvajalci čim prej in nujno odpravijo ranljivosti, ki vplivajo na izdelke z digitalnimi elementi, nabavljene prek javnega naročanja, kadar imajo taki izdelki znaten profil tveganja.
(19) Nekatere naloge iz te uredbe bi morala opravljati agencija ENISA v skladu s členom 3(2) Uredbe (EU) 2019/881. Zlasti bi morala agencija ENISA prejemati uradna obvestila izdelovalcev o aktivno izrabljenih ranljivostih v izdelkih z digitalnimi elementi in pomembnih incidentih, ki vplivajo na varnost navedenih izdelkov. Ranljivosti, za katere velja obvezno poročanje, se nanašajo na primere, ko udeleženec izvaja zlonamerno kodo na izdelku z digitalnimi elementi, da bi povzročil kršitev varstva, na primer z izkoriščanjem pomanjkljivosti v funkcijah identifikacije in avtentikacije. Za ranljivosti, ki se odkrijejo brez zlonamernosti za namene testiranja, preiskovanja, popravljanja ali razkritja v dobri veri, da bi spodbudili zaščito ali varnost lastnika sistema in njegovih uporabnikov, ne bi smela veljati obvezna obvestila. Pomemben incident, ki vpliva na varnost izdelka z digitalnimi elementi, pomeni kibernetski incident, ki lahko resno vpliva na postopke razvoja, proizvodnje in vzdrževanja pri proizvajalcu ter lahko znatno vpliva na varnost njegovih izdelkov. Tak pomemben incident lahko vključuje situacijo, ko napadalec uspešno ogrozi kanal, prek katerega proizvajalec uporabnikom posreduje varnostne posodobitve.
(19a) Agencija ENISA bi morala ta uradna obvestila ▌ tudi posredovati zadevnim skupinam za odzivanje na incidente na področju računalniške varnosti (CSIRT) oziroma zadevnim enotnim kontaktnim točkam držav članic, imenovanim v skladu s členom [člen X] Direktive (EU) 2022/2555, ter o sporočeni ranljivosti obvestiti ustrezne organe za nadzor trga. Agencija ENISA bi morala zagotoviti, da se ta uradna obvestila prejemajo, shranjujejo in prenašajo po varnih kanalih ter da so vzpostavljeni jasni protokoli glede tega, kdo lahko dostopa do njih, in ureditve za njihov nadaljnji prenos. Agencija ENISA bi morala zagotoviti zaupnost teh uradnih obvestil s posebnim poudarkom na ranljivostih, za katere varnostna posodobitev še ni na voljo. Agencija ENISA bi morala na podlagi informacij, ki jih zbere, pripraviti dvoletno tehnično poročilo o novih trendih glede tveganj za kibernetsko varnost pri izdelkih z digitalnimi elementi in ga predložiti skupini za sodelovanje iz Direktive (EU) 2022/2555. Poleg tega bi morala biti glede na svoje strokovno znanje in mandat sposobna podpirati postopek za izvajanje te uredbe. Zlasti bi morala biti zmožna predlagati skupne dejavnosti organov za nadzor trga na podlagi znakov ali informacij v zvezi z morebitno neskladnostjo izdelkov z digitalnimi elementi s to uredbo v več državah članicah ali opredeliti kategorije izdelkov, za katere bi bilo treba organizirati sočasne usklajene kontrolne ukrepe. Agencija ENISA bi morala biti sposobna v izjemnih okoliščinah na zahtevo Komisije opraviti ocene v zvezi s posameznimi izdelki z digitalnimi elementi, ki pomenijo povečano tveganje za kibernetsko varnost, če je potrebno takojšnje ukrepanje, da se ohrani dobro delovanje notranjega trga.
(20) Izdelki z digitalnimi elementi bi morali imeti oznako CE, ki vidno, čitljivo in neizbrisno označuje njihovo skladnost s to uredbo, da se omogoči njihov prosti pretok na notranjem trgu. Države članice ne bi smele neupravičeno ovirati dajanja na trg izdelkov z digitalnimi elementi, ki izpolnjujejo zahteve iz te uredbe in imajo oznako CE. Poleg tega države članice na sejmih, razstavah in predstavitvah ali podobnih dogodkih ne bi smele preprečiti predstavitve in uporabe prototipa izdelka z digitalnimi elementi.
(21) Da bi lahko proizvajalci pred ugotavljanjem skladnosti njihovih izdelkov izdali programsko opremo za namene preskušanja, države članice ne bi smele preprečiti dostopnosti neproizvodne različice nedokončane programske opreme, kakor so alfa ali beta različice ali predizdaje, če je zadevna različica dostopna samo za obdobje, potrebno za njeno preskušanje in zbiranje povratnih informacij. Proizvajalci bi morali zagotoviti, da se programska oprema, do katere zagotovijo dostop pod temi pogoji, izda šele po oceni tveganja in da v čim večjem obsegu izpolnjuje varnostne zahteve v zvezi z lastnostmi izdelkov z digitalnimi elementi, določene s to uredbo. Poleg tega bi morali v čim večjem obsegu izpolnjevati zahteve glede obravnavanja ranljivosti. Proizvajalci uporabnikov ne bi smeli prisiliti, da svoje izdelke nadgradijo na različice, izdane samo za namene preskušanja.
(22) Za zagotovitev, da izdelki z digitalnimi elementi, dani na trg, ne pomenijo tveganja za kibernetsko varnost za osebe in organizacije, bi bilo treba za take izdelke določiti bistvene zahteve. Ko se izdelki pozneje fizično ali digitalno spremenijo na način, ki ga izdelovalec ni predvidel in ki bi lahko pomenil, da ne izpolnjujejo več ustreznih bistvenih zahtev, bi bilo treba spremembo šteti za bistveno. Na primer, nujne varnostne posodobitve, popravila ali popravila programske opreme, kot je manjša prilagoditev izvorne kode, ki lahko izboljša varnost, se ne bi smele šteti za bistvene spremembe, če izdelka, ki je že na trgu, ne spremenijo tako, da bi to vplivalo na skladnost z veljavnimi zahtevami ali da bi se lahko spremenila predvidena uporaba, za katero je bil izdelek ocenjen. To na splošno velja za nove različice programske opreme, katerih cilj je izboljšati učinkovitost in odpraviti ranljivosti. Manjše posodobitve funkcionalnosti, kot so vizualne izboljšave, dodajanje novih jezikov v uporabniški vmesnik ali nov niz piktogramov, se na splošno ne bi smele šteti za bistvene spremembe. Podobno kot pri fizičnih popravilih ali spremembah bi bilo treba šteti, da je izdelek z digitalnimi elementi bistveno spremenjen s spremembo programske opreme, če se s posodobitvijo programske opreme spremenijo prvotno predvidene funkcije, vrsta ali delovanje izdelka in te spremembe niso bile predvidene v začetni oceni tveganja ali če se zaradi posodobitve programske opreme spremeni narava nevarnosti ali poviša raven tveganja, kot je na splošno primer pri revizijah programske opreme. Komisija bi morala izdati smernice o tem, kako določiti, kaj je bistvena sprememba.
(23) V skladu s splošno uveljavljenim pojmom bistvene spremembe za izdelke, ki jih ureja harmonizacijska zakonodaja Unije, je primerno, da se za izdelek z digitalnimi elementi ob vsaki bistveni spremembi, ki bi lahko vplivala na skladnost izdelka s to uredbo, ali ob spremembi predvidenega namena navedenega izdelka preveri skladnost izdelka z digitalnimi elementi in po potrebi izvede novo ugotavljanje skladnosti. Če proizvajalec opravi ugotavljanje skladnosti, pri katerem sodeluje tretja oseba, bi bilo treba tretjo osebo obvestiti o spremembah, ki lahko pomenijo bistvene spremembe.
(24) Prenovitev, vzdrževanje in popravilo izdelka z digitalnimi elementi, kakor so opredeljeni v Uredbi [uredba o okoljsko primerni zasnovi], ne povzročijo nujno bistvene spremembe izdelka, če se na primer predvidena uporaba in funkcije ter raven tveganja ne spremenijo. Nadgradnja izdelka, ki jo izvede proizvajalec, pa lahko povzroči spremembe zasnove in razvoja izdelka ter tako vpliva na predvideno uporabo in skladnost izdelka z zahtevami iz te uredbe.
(25) Izdelke z digitalnimi elementi bi bilo treba šteti za kritične, če je lahko negativni vpliv izrabljanja morebitnih ranljivosti izdelka v zvezi s kibernetsko varnostjo resen, na primer zaradi funkcij, povezanih s kibernetsko varnostjo, ali predvidene uporabe. Zlasti lahko ranljivosti izdelkov z digitalnimi elementi, ki vključujejo funkcije, povezane s kibernetsko varnostjo, kakor so varnostni elementi, povzročijo širjenje varnostnih težav po vsej oskrbovalni verigi. Poleg tega se lahko resnost vpliva kibernetskega incidenta poveča, če se upošteva predvidena uporaba izdelka, na primer v industrijskem okolju ali v okviru bistvenega subjekta iz Priloge [Priloga I] k Direktivi (EU) 2022/2555 ali ▌ opravljanje kritičnih ali občutljivih funkcij, kot je obdelava osebnih podatkov, kar vpliva na zdravje, varnost ali temeljne pravice.
(26) Za kritične izdelke z digitalnimi elementi bi se morali uporabljati strožji postopki ugotavljanja skladnosti, pri čemer bi bilo treba ohraniti sorazmeren pristop. V ta namen bi bilo treba kritične izdelke z digitalnimi elementi razdeliti v dva razreda, da se izrazi raven tveganja za kibernetsko varnost, povezana s temi kategorijami izdelkov. Morebiten kibernetski incident v zvezi z izdelki iz razreda II bi lahko imel večje negativne učinke kot incident v zvezi z izdelki iz razreda I, na primer zaradi narave njihove funkcije, povezane s kibernetsko varnostjo, ali predvidene uporabe v ▌okoljih z velikim tveganjem, zato bi se moral v zvezi s takimi izdelki izvajati strožji postopek ugotavljanja skladnosti.
(27) Kategorije kritičnih izdelkov z digitalnimi elementi iz Priloge III k tej uredbi bi bilo treba razumeti kot izdelke z osnovnimi funkcijami, ki spadajo med osnovne funkcije, navedene v Prilogi III k tej uredbi. Na primer, v Prilogi III k tej uredbi so v razredu II navedeni izdelki, ki so na podlagi svoje osnovne funkcije opredeljeni kot mikroprocesorji za splošno uporabo. Zato se v zvezi z mikroprocesorji za splošno uporabo izvaja obvezno ugotavljanje skladnosti, ki ga opravi tretja oseba. To ne velja za druge izdelke, ki niso izrecno navedeni v Prilogi III k tej uredbi in v katere se lahko vgradi mikroprocesor za splošno uporabo. Komisija bi morala v [6 mesecih od začetka veljavnosti te uredbe] sprejeti delegirane akte za opredelitev kategorij izdelkov, vključenih v razreda I in II, kot sta navedena v Prilogi III. Da se omogoči pravna jasnost, varnost in predvidljivost za deležnike, da bodo lahko ravnali v skladu s to uredbo, bi bilo treba seznam iz Priloge III spremeniti ne prej kot dve leti po začetku veljavnosti te uredbe in znova ne prej kot dve leti po tem. Komisija vzpostavi postopek, v skladu s katerim lahko vsi ustrezni deležniki, vključno s proizvajalci in uporabniki, pred sprejetjem ustreznih delegiranih aktov na podlagi sodelovanja pregledajo izdelek, ki je kandidat za uvrstitev med kritične izdelke, da ocenijo varnostno tveganje, ki ga predstavljajo morebitna vprašanja kibernetske varnosti v zvezi z izdelkom, ali in v kolikšni meri bi opredelitev izdelka kot kritičnega utegnila zmanjšati to tveganje ter stroške, povezane z opredelitvijo izdelka kot kritičnega.
(27a) Komisija bi morala ustanoviti strokovno skupino za kibernetsko odpornost (v nadaljnjem besedilu: strokovna skupina) s širokim in raznolikim članstvom. Strokovna skupina bi morala podpirati Komisijo pri zagotavljanju pravilnega izvajanja te uredbe, na primer tako, da bi ji svetovala o morebitnih spremembah seznama kritičnih izdelkov iz Priloge III ali da bi analizirala, kako bi lahko z evropskimi in mednarodnimi standardi omogočili skladnost z bistvenimi zahtevami te uredbe. Komisija bi se morala med pripravo delegiranih in izvedbenih aktov na podlagi te uredbe posvetovati s strokovno skupino in izvesti javna posvetovanja, da bi vsem deležnikom omogočila, da dajo potreben prispevek.
(28) Ta uredba obravnava tveganja za kibernetsko varnost na ciljno usmerjen način. Izdelki z digitalnimi elementi pa lahko povzročajo tudi druga varnostna tveganja, ki niso vedno povezana s kibernetsko varnostjo, so pa lahko posledica kršitve varnosti. Navedena tveganja bi se morala še naprej urejati z drugo ustrezno zakonodajo Unije o izdelkih. Če se druga harmonizacijska zakonodaja Unije ne uporablja, bi se morala v zvezi z njimi uporabljati Uredba (EU) 2023/988. Zaradi ciljno usmerjene narave te uredbe bi se morala z odstopanjem od člena 2(1), tretji pododstavek, točka (b), Uredbe (EU) 2023/988, poglavje III, oddelek 1, poglavji V in VII ter poglavja IX do XI Uredbe (EU) 2023/988 uporabljati za izdelke z digitalnimi elementi v zvezi z varnostnimi tveganji, ki niso zajeta s to uredbo, če za navedene izdelke ne veljajo posebne zahteve, ki jih nalaga druga harmonizacijska zakonodaja Unije v smislu člena 3, točka (25), Uredbe (EU) 2023/988.
(29) Izdelki z digitalnimi elementi, ki so opredeljeni kot umetnointeligenčni sistemi velikega tveganja v skladu s členom 6 Uredbe[22] [uredba o umetni inteligenci] in spadajo na področje uporabe te uredbe, bi morali izpolnjevati bistvene zahteve iz te uredbe. Kadar navedeni umetnointeligenčni sistemi velikega tveganja izpolnjujejo bistvene zahteve iz te uredbe, bi bilo treba šteti, da izpolnjujejo zahteve glede kibernetske varnosti iz člena [člena 15] Uredbe [uredba o umetni inteligenci], kolikor so navedene zahteve zajete z izjavo EU o skladnosti, izdano na podlagi te uredbe, ali njenimi deli. Kar zadeva postopke ugotavljanja skladnosti v zvezi z bistvenimi zahtevami glede kibernetske varnosti izdelka z digitalnimi elementi, zajetega s to uredbo in opredeljenega kot umetnointeligenčni sistem velikega tveganja, bi se praviloma morale namesto zadevnih določb te uredbe uporabljati ustrezne določbe člena 43 Uredbe [uredba o umetni inteligenci]. Vendar se zaradi tega pravila ne bi smela znižati potrebna raven zanesljivosti za kritične izdelke z digitalnimi elementi, zajete s to uredbo. Zato bi se morale z odstopanjem od tega pravila za umetnointeligenčne sisteme velikega tveganja, ki spadajo na področje uporabe Uredbe [uredba o umetni inteligenci] in so opredeljeni tudi kot kritični izdelki z digitalnimi elementi v skladu s to uredbo ter za katere se uporablja postopek ugotavljanja skladnosti na podlagi notranje kontrole iz Priloge VI k Uredbi [uredba o umetni inteligenci], v zvezi z bistvenimi zahtevami iz te uredbe uporabljati določbe o ugotavljanju skladnosti iz te uredbe. V tem primeru bi se morale za vse druge vidike, zajete z Uredbo [uredba o umetni inteligenci], uporabljati zadevne določbe o ugotavljanju skladnosti na podlagi notranje kontrole, navedene v Prilogi VI k Uredbi [uredba o umetni inteligenci].
(30) Za stroje in strojno opremo, ki spadajo na področje uporabe Uredbe (EU) 2023/1230 Evropskega parlamenta in Sveta[23] in so izdelki z digitalnimi elementi v smislu te uredbe ter za katere je bila izdana izjava o skladnosti na podlagi te uredbe, bi bilo treba šteti, da so v skladu z bistvenimi zdravstvenimi in varnostnimi zahtevami iz [Priloga III, oddelka 1.1.9 in 1.2.1] k Uredbi (EU) 2023/1230 v zvezi z zaščito pred zlorabo ter varnostjo in zanesljivostjo krmilnih sistemov, če izjava EU o skladnosti, izdana na podlagi te uredbe, dokazuje skladnost za navedenimi zahtevami.
(31) Uredba [predlog uredbe o evropskem zdravstvenem podatkovnem prostoru] dopolnjuje bistvene zahteve iz te uredbe. Zato bi morali tudi sistemi za vodenje elektronskih zdravstvenih zapisov, ki spadajo na področje uporabe Uredbe [predlog uredbe o evropskem zdravstvenem podatkovnem prostoru] in so izdelki z digitalnimi elementi v smislu te uredbe, izpolnjevati bistvene zahteve iz te uredbe. Proizvajalci takih sistemov bi morali dokazati skladnost, kot se zahteva z Uredbo [predlog uredbe o evropskem zdravstvenem podatkovnem prostoru]. Za olajšanje zagotavljanja skladnosti lahko pripravijo enotno tehnično dokumentacijo z elementi, ki se zahtevajo z obema pravnima aktoma. Ker ta uredba ne zajema programske opreme kot storitve kot take, sistemi za vodenje elektronskih zdravstvenih zapisov, ki se zagotavljajo na podlagi modela licenciranja in zagotavljanja programske opreme kot storitve, ne spadajo na področje uporabe te uredbe. Prav tako na področje uporabe te uredbe ne spadajo sistemi za vodenje elektronskih zdravstvenih zapisov, ki se razvijajo in uporabljajo v organizaciji, saj se ne dajo na trg.
(32) Za zagotovitev, da so izdelki z digitalnimi elementi varni, ko se dajo na trg in v celotnem življenjskem ciklu, je treba določiti bistvene zahteve za obravnavanje ranljivosti in bistvene zahteve glede kibernetske varnosti, ki se nanašajo na lastnosti izdelkov z digitalnimi elementi. Proizvajalci bi morali izpolnjevati vse bistvene zahteve v zvezi z obravnavanjem ranljivosti v celotnem predvidenem obdobju podpore, poleg tega pa bi morali ugotoviti, katere druge bistvene zahteve v zvezi z lastnostmi izdelkov so pomembne za zadevno vrsto izdelka. Zato bi morali oceniti tveganja za kibernetsko varnost, povezana z izdelkom z digitalnimi elementi, da ugotovijo zadevna tveganja in bistvene zahteve ter svoje izdelke dajo na voljo brez znanih ranljivosti, ki jih je mogoče izrabljati in ki bi lahko vplivale na varnost teh izdelkov, ter ustrezno uporabijo primerne harmonizirane standarde, skupne specifikacije ali mednarodne standarde.
(32a) Proizvajalci bi morali določiti obdobje podpore, v katerem zagotovijo obravnavo ranljivosti, pri tem pa ustrezno upoštevati različna merila, vključno s pričakovano življenjsko dobo izdelka, naravo samega izdelka, razpoložljivostjo delovnega okolja, pričakovanji uporabnikov, zlasti potrošnikov, in, kadar je mogoče, obdobjem podpore za druge glavne sestavne dele, vgrajene v izdelek. Proizvajalci bi morali poskrbeti, da obdobje podpore ustrezno odraža potrebo po spodbujanju kibernetske varnosti na trgu Unije in da se določi ob ustreznem upoštevanju obdobja, v katerem naj bi bil izdelek z digitalnimi elementi na voljo na trgu. Organi za nadzor trga bi morali proaktivno poskrbeti, da proizvajalci ustrezno uporabljajo ta merila. Organi za nadzor trga in Komisija bi morali zbirati in analizirati podatke o obdobjih podpore, ki jih določijo proizvajalci, in pričakovani življenjski dobi izdelkov, da bi zagotovili, da bo ta uredba izpolnjevala svoj cilj spodbujanja kibernetske varnosti izdelkov z digitalnimi elementi. Komisija bi morala te analize med drugim uporabiti pri svoji oceni te uredbe, ko se bo začela uporabljati.
(32b) Proizvajalci bi morali zagotoviti, kadar je to tehnično izvedljivo, da izdelki z digitalnimi elementi jasno razlikujejo med varnostnimi posodobitvami in posodobitvami funkcionalnosti. Varnostne posodobitve, namenjene zmanjšanju stopnje tveganja ali odpravi morebitnih ranljivosti, bi se morale namestiti samodejno, zlasti v primeru potrošniških izdelkov. Uporabniki bi morali ohraniti možnost deaktiviranja te funkcije z jasnim mehanizmom, ki je preprost za uporabo. Ko proizvajalec ne zagotavlja več obravnave ranljivosti izdelka z digitalnimi elementi, bi moral uporabnike o tem obvestiti na preprost in jasen način, na primer s prikazom uporabniku prijaznega obvestila.
(32c) Kadar proizvajalci predvideno obdobje podpore določijo na obdobje, krajše od petih let, in za izdelek z digitalnimi elementi ne ponujajo več obravnavanja ranljivosti, bi morali svojo izvorno kodo dati na voljo podjetjem, ki želijo zagotavljati varnostne posodobitve in druge podobne storitve. Tak dostop bi moral biti na voljo le kot del pogodbenega dogovora, s katerim se ščiti lastništvo izdelka z digitalnimi elementi in preprečuje razširjanje izvorne kode v javnosti, razen če je bila ta koda že zagotovljena na podlagi proste in odprtokodne licence.
(33) Za izboljšanje varnosti izdelkov z digitalnimi elementi, ki se dajo na notranji trg, je treba določiti bistvene zahteve.Te ne bi smele vplivati na usklajene ocene tveganja v EU za kritične oskrbovalne verige iz ▌ Direktive (EU) 2022/2555▌, pri katerih se upoštevajo tehnični in po potrebi netehnični dejavniki tveganja, kot je neupravičen vpliv tretje države na dobavitelje. Poleg tega ne bi smele vplivati na pravice držav članic, da določijo dodatne zahteve za zagotovitev visoke ravni odpornosti, pri katerih se upoštevajo netehnični dejavniki, vključno z dejavniki, opredeljenimi v Priporočilu (EU) 2019/534, iz usklajene ocene tveganj za varnost omrežij 5G na ravni Unije in zbirke orodij za kibernetsko varnost 5G, o kateri se je dogovorila skupina za sodelovanje na področju varnosti omrežij in informacijskih sistemov iz Direktive (EU) 2022/2555.
(34) Za zagotovitev, da nacionalne skupine CSIRT in enotne kontaktne točke, določene v skladu ▌ z Direktivo EU 2022/2555, prejmejo informacije, potrebne za opravljanje njihovih nalog in povišanje splošne ravni kibernetske varnosti bistvenih in pomembnih subjektov, ter za zagotovitev učinkovitega delovanja organov za nadzor trga bi morali proizvajalci izdelkov z digitalnimi elementi agencijo ENISA uradno obvestiti o aktivno izrabljenih ranljivostih.Ker se večina izdelkov z digitalnimi elementi prodaja na celotnem notranjem trgu, bi bilo treba vse izrabljene ranljivosti izdelka z digitalnimi elementi šteti za grožnjo delovanju notranjega trga. Proizvajalci bi morali odpravljene ranljivosti razkriti v evropski podatkovni zbirki ranljivosti, vzpostavljeni na podlagi Direktive (EU) 2022/2555, ki jo upravlja agencija ENISA▌.Agencija ENISA bi tudi morala morala sporočene ranljivosti objaviti v evropski podatkovni zbirki ranljivosti in imeti vzpostavljen ustrezen postopek v zvezi z objavljanjem, da bi imeli proizvajalci čas za razvoj potrebnih varnostnih posodobitev, uporabniki pa čas, da jih izvedejo ali da sprejmejo druge popravne ali blažilne ukrepe. Evropska podatkovna zbirka ranljivosti bi morala proizvajalcem pomagati pri odkrivanju znanih ranljivosti, ki jih je mogoče izrabiti, odkritih v njihovih izdelkih, da se zagotovi dajanje varnih izdelkov na trg.
(34a) Unija mora s skupnim strateškim okvirom za gospodarsko varnost Unije[24] čim bolj povečati koristi svoje gospodarske odprtosti, ob tem pa čim bolj zmanjšati tveganja zaradi gospodarske odvisnosti od visoko tveganih prodajalcev. Odvisnosti od zelo tveganih dobaviteljev kritičnih izdelkov z digitalnimi elementi predstavljajo strateško tveganje, ki bi ga bilo treba obravnavati na ravni Unije, zlasti kadar so kritični izdelki z digitalnimi elementi namenjeni za uporabo s strani bistvenih subjektov vrste iz Direktive (EU) 2022/2555. Taka tveganja so lahko povezana z jurisdikcijo, pod katero spada proizvajalec, značilnostmi lastništva njegovega podjetja in povezavami z nadzorom vlade tretje države, v kateri ima sedež, zlasti s tem, ali država izvaja gospodarsko vohunjenje in njena zakonodaja nalaga samovoljen dostop do vseh vrst dejavnosti podjetja ali podatkov, vključno s poslovno občutljivimi podatki, ter lahko naloži obveznosti za obveščevalne namene brez uporabe demokratičnega sistema zavor in ravnovesij, nadzornega mehanizma, dolžnega postopanja ali pravice do pritožbe pri neodvisnem sodstvu. Organi za nadzor trga in Komisija bi morali gospodarskim subjektom zagotoviti smernice in ciljna priporočila, da bi zagotovili, da se sprejmejo ustrezni popravni ukrepi, kadar obstajajo zadostni razlogi za domnevo, da izdelek z digitalnimi elementi predstavlja znatno tveganje za kibernetsko varnost zaradi takih netehničnih dejavnikov tveganja.
(35) Proizvajalci bi morali agenciji ENISA sporočiti tudi vsak pomemben incident, ki vpliva na varnost izdelka z digitalnimi elementi. Ne glede na obveznosti poročanja o incidentih iz Direktive (EU) 2022/2555, ki veljajo za bistvene in pomembne subjekte, je za agencijo ENISA, enotne kontaktne točke, ki jih države članice določijo v skladu s členom [člen X] Direktive (EU) 2022/2555, ter organe za nadzor trga ključno, da od izdelovalcev izdelkov z digitalnimi elementi prejmejo informacije, na podlagi katerih lahko ocenijo varnost teh izdelkov. Da bi se lahko uporabniki hitro odzvali na pomembne incidente, ki vplivajo na varnost njihovih izdelkov z digitalnimi elementi, bi morali proizvajalci tudi obvestiti njihove uporabnike o vseh takih incidentih in po potrebi o morebitnih popravnih ukrepih, ki jih lahko uporabniki sprejmejo za zmanjšanje vpliva incidenta, na primer z objavo ustreznih informacij na svojih spletnih mestih ali prek neposrednega stika z uporabniki, če ga lahko proizvajalec vzpostavi in tveganja to upravičujejo.
(35a) Proizvajalci ter drugi subjekti in akterji bi morali imeti tudi možnost, da agenciji ENISA prostovoljno poročajo o drugih kibernetskih incidentih, kibernetskih grožnjah, skorajšnjih incidentih in kateri koli drugi ranljivosti.
(35b) Agencija ENISA bi morala vzpostaviti varen mehanizem digitalnega poročanja, ki bi se moral za poenostavitev poročanja za proizvajalce uporabljati kot enotna vstopna točka za obveznosti poročanja, določene v tej uredbi. Proizvajalci izdelkov z digitalnimi elementi so pogosto v položaju, ko je treba zaradi obveznosti priglasitve, vključenih v različne pravne instrumente, o določenem incidentu zaradi njegovih značilnosti poročati različnim organom. Mehanizem bi lahko po možnosti omogočil, da se prek istega mehanizma poroča tudi o drugem pravu Unije, kot so Uredba (EU) 2016/679, Direktiva (EU) 2022/2555 in Direktiva 2002/58/ES Evropskega parlamenta in Sveta[25]. Mehanizem se lahko uporablja tudi za prostovoljna obvestila proizvajalcev ter drugih subjektov in akterjev. Agencija ENISA bi morala zagotoviti, da so vzpostavljeni postopki za varno in zaupno ravnanje s tajnimi podatki.
(35c) Subjekti in fizične osebe, ki raziskujejo ranljivosti, so lahko v nekaterih državah članicah izpostavljeni kazenski in civilni odgovornosti. Komisija bi morala izdati smernice o nepregonu raziskovalcev na področju informacijske varnost in njihovem izvzetju iz civilne odgovornosti za te dejavnosti.
(36) Proizvajalci izdelkov z digitalnimi elementi bi morali vzpostaviti politike usklajenega razkrivanja ranljivosti, da bi posameznikom ali subjektom neposredno ali posredno, na zahtevo pa anonimno, olajšali poročanje o ranljivostih prek skupin CSIRT, določenih za koordinatorje za namene usklajenega razkrivanja ranljivosti v skladu s členom 12(1) Direktive (EU) 2022/2555. Proizvajalčeva politika usklajenega razkrivanja ranljivosti bi morala določati strukturiran postopek, s katerim se ranljivosti sporočijo proizvajalcu tako, da lahko proizvajalec diagnosticira in odpravi take ranljivosti, preden se podrobne informacije o ranljivostih razkrijejo tretjim osebam ali javnosti. Ker se lahko informacije o ranljivostih, ki jih je mogoče izrabljati, v splošno razširjenih izdelkih z digitalnimi elementi prodajo na črnem trgu za visoke zneske, bi morali imeti proizvajalci takih izdelkov v okviru svojih politik usklajenega razkrivanja ranljivosti možnost, da uporabijo programe za spodbujanje poročanja o ranljivostih, pri katerih posamezniki ali subjekti prejmejo priznanje in nadomestilo za svoja prizadevanja (tako imenovane „nagradne programe za prijavljanje hroščev“).
(36a) Države članice in agencija ENISA bi morale zagotoviti, da javni organi ranljivosti, sporočenih v skladu s to uredbo, ne bodo uporabljali za obveščevalne, nadzorne ali žaljive namene.
(37) Za olajšanje analize ranljivosti bi morali proizvajalci opredeliti in dokumentirati sestavne dele izdelkov z digitalnimi elementi, med drugim s pripravo kosovnice za programsko opremo. S kosovnico za programsko opremo lahko tisti, ki izdelujejo, kupijo in upravljajo programsko opremo, pridobijo informacije za izboljšanje njihovega razumevanja oskrbovalne verige, kar ima številne koristi, predvsem pa proizvajalcem in uporabnikom pomaga spremljati znane nove ranljivosti in tveganja. Za proizvajalce je pomembno zlasti, da zagotovijo, da njihovi izdelki ne vsebujejo ranljivih sestavnih delov, ki jih razvijajo tretje osebe. Vendar proizvajalci ne bi smeli biti zavezani k objavi kosovnice za programsko opremo, saj bi lahko to imelo nenamerne posledice za kibernetsko varnost njihovih izdelkov z digitalnimi elementi.
(38) Za olajšanje ugotavljanja skladnosti z zahtevami iz te uredbe bi bilo treba oblikovati domnevo o skladnosti za izdelke z digitalnimi elementi, ki so skladni s harmoniziranimi standardi, s katerimi se bistvene zahteve iz te uredbe prenesejo na podrobne tehnične specifikacije in ki se sprejmejo v skladu z Uredbo (EU) št. 1025/2012 Evropskega parlamenta in Sveta[26]. Uredba (EU) št. 1025/2012 določa postopek za nasprotovanje harmoniziranim standardom, kadar navedeni standardi ne izpolnjujejo zahtev iz te uredbe v celoti. Postopek standardizacije bi moral omogočiti uravnoteženo zastopanost interesov in učinkovito sodelovanje deležnikov civilne družbe, vključno s potrošniškimi organizacijami. Upoštevati bi bilo treba tudi mednarodne standarde, da bi poenostavili razvoj harmoniziranih standardov in izvajanje te uredbe ter zmanjšali netarifne tehnične ovire v trgovini.
(38a) Pravočasen razvoj harmoniziranih standardov je glede na široko področje uporabe te uredbe velik izziv. Komisija bi morala poskrbeti, da bodo usklajeni standardi vzpostavljeni do datuma začetka uporabe te uredbe, da se bo zagotovilo uspešno izvajanje te uredbe.
(39) Z Uredbo (EU) 2019/881 je vzpostavljen prostovoljen evropski certifikacijski okvir za kibernetsko varnost za izdelke, postopke in storitve IKT. Evropske certifikacijske sheme kibernetske varnosti lahko zagotavljajo skupni okvir zaupanja za uporabnike pri uporabi izdelkov z digitalnimi elementi, zajetih s to uredbo. Ta uredba bi morala zato ustvariti sinergije z Uredbo (EU) 2019/881. Za olajšanje ugotavljanja skladnosti z zahtevami iz te uredbe se za izdelke z digitalnimi elementi, ki so certificirani ali za katere je bila izdana izjava o skladnosti v okviru sheme kibernetske varnosti v skladu z Uredbo (EU) 2019/881, pri čemer je Komisija opredelila navedeno shemo v izvedbenem aktu, domneva, da izpolnjujejo bistvene zahteve iz te uredbe, kolikor certifikat kibernetske varnosti ali izjava o skladnosti ali njuni deli zajemajo navedene zahteve. Potrebo po novih evropskih certifikacijskih shemah kibernetske varnosti za izdelke z digitalnimi elementi bi bilo treba oceniti ob upoštevanju te uredbe. Pri takih prihodnjih evropskih certifikacijskih shemah kibernetske varnosti, ki vključujejo izdelke z digitalnimi elementi, bi se morale upoštevati bistvene zahteve iz te uredbe, navedene sheme pa bi morale olajšati skladnost s to uredbo. Na Komisijo bi bilo treba prenesti pooblastilo, da z delegiranimi akti določi evropske certifikacijske sheme kibernetske varnosti, ki se lahko uporabljajo za dokazovanje skladnosti izdelkov z digitalnimi elementi z bistvenimi zahtevami iz te uredbe. Da bi se izognili nepotrebnemu upravnemu bremenu za proizvajalce, ti poleg tega ne bi smeli biti obvezani, da zagotovijo ugotavljanje skladnosti z ustreznimi zahtevami, ki ga opravi tretja oseba, kot je določeno v tej uredbi, če je bil certifikat kibernetske varnosti izdan v okviru takih evropskih certifikacijskih shem za kibernetsko varnost, in sicer na pomembni ali visoki ravni.
(39a) Da bi olajšali skladnost s to uredbo, bi morala Komisija posodobiti tekoči delovni program Unije in od agencije ENISA zahtevati, naj pripravi manjkajoče predloge za sheme v skladu s členom 48 Uredbe (EU) 2019/881.
(40) Po začetku veljavnosti izvedbenega akta o določitvi evropske certifikacijske sheme kibernetske varnosti s skupnimi merili [Izvedbena uredba Komisije (EU) …/... z dne XXX o evropski certifikacijski shemi kibernetske varnosti s skupnimi merili], ki se nanaša na izdelke strojne opreme, zajete s to uredbo, kakor so varnostni moduli strojne opreme in mikroprocesorji, lahko Komisija z izvedbenim aktom določi, kako evropska certifikacijska shema kibernetske varnosti s skupnimi merili zagotavlja domnevo o skladnosti z bistvenimi zahtevami iz Priloge I k tej uredbi ali njihovimi deli. Poleg tega se lahko s takim izvedbenim aktom določi, kako se s certifikatom, izdanim v okviru evropske certifikacijske sheme kibernetske varnosti s skupnimi merili, odpravi obveznost izdelovalcev, da za ustrezne zahteve zagotovijo ugotavljanje skladnosti, ki ga opravi tretja oseba, kot se zahteva s to uredbo.
(41) Kadar harmonizirani standardi niso bili sprejeti ali nezadostno obravnavajo bistvene zahteve iz te uredbe, bi morala imeti Komisija možnost, da z delegiranimi akti po upoštevanju mednarodnih standardov sprejme skupne specifikacije. Taka možnost bi se morala šteti za izjemno „nadomestno“ rešitev, kadar je postopek standardizacije blokiran, kadar pride do neupravičenih zamud pri določitvi ustreznih harmoniziranih standardov ali kadar dokumenti niso v skladu s prvotno zahtevo Komisije. Za olajšanje ugotavljanja skladnosti z bistvenimi zahtevami iz te uredbe bi bilo treba oblikovati domnevo o skladnosti za izdelke z digitalnimi elementi, ki so skladni s skupnimi specifikacijami, ki jih je Komisija sprejela v skladu s to uredbo za določitev podrobnih tehničnih specifikacij navedenih zahtev.
(42) Proizvajalci bi morali pripraviti izjavo EU o skladnosti, da se zagotovijo informacije, ki se zahtevajo s to uredbo, o skladnosti izdelkov z digitalnimi elementi z bistvenimi zahtevami iz te uredbe in po potrebi druge ustrezne harmonizacijske zakonodaje Unije, ki zajema zadevni izdelek. Priprava izjave EU o skladnosti se lahko od izdelovalcev zahteva tudi z drugo zakonodajo Unije. Da bi se zagotovil učinkovit dostop do informacij za namene nadzora trga, bi bilo treba pripraviti enotno izjavo EU o skladnosti za vse ustrezne akte Unije. Omogočiti bi bilo treba, da je taka enotna izjava EU o skladnosti tudi dosje z zadevnimi posameznimi izjavami o skladnosti, da se zmanjša upravno breme gospodarskih subjektov.
(43) Oznaka CE, ki označuje skladnost izdelka, je vidna posledica celotnega postopka, ki obsega ugotavljanje skladnosti v širšem pomenu. Splošna načela, ki urejajo oznako CE, so določena v Uredbi (ES) št. 765/2008 Evropskega parlamenta in Sveta[27]. V tej uredbi bi bilo treba določiti pravila o namestitvi oznake CE na izdelke z digitalnimi elementi. Oznaka CE bi morala biti edina oznaka, ki jamči skladnost izdelkov z digitalnimi elementi z zahtevami iz te uredbe.
(44) Da bi lahko gospodarski subjekti dokazali skladnost z bistvenimi zahtevami iz te uredbe, organi za nadzor trga pa zagotovili, da izdelki z digitalnimi elementi, dostopni na trgu, izpolnjujejo te zahteve, je treba določiti postopke ugotavljanja skladnosti. Sklep št. 768/2008/ES Evropskega parlamenta in Sveta[28] določa module za postopke ugotavljanja skladnosti, ki so sorazmerni z ravnjo tveganja in zahtevano ravnjo varnosti. Za zagotovitev medsektorske skladnosti in preprečitev ad hoc različic postopki ugotavljanja skladnosti, primerni za preverjanje skladnosti izdelkov z digitalnimi elementi z bistvenimi zahtevami iz te uredbe, temeljijo na navedenih modulih. Pri postopkih ugotavljanja skladnosti bi bilo treba proučiti in preveriti zahteve, povezane z izdelki in postopki, ki zajemajo celotni življenjski cikel izdelkov z digitalnimi elementi, vključno z načrtovanjem, zasnovo, razvojem ali proizvodnjo, preskušanjem in vzdrževanjem izdelka.
(45) Splošno pravilo je, da v večini primerov proizvajalec na lastno odgovornost opravi ugotavljanje skladnosti izdelkov z digitalnimi elementi na podlagi tveganja v skladu s postopkom na podlagi modula A iz Sklepa št. 768/2008/ES. Proizvajalec bi moral ohraniti prožnost, da izbere strožji postopek ugotavljanja skladnosti, pri katerem sodeluje tretja oseba. Če je izdelek opredeljen kot kritični izdelek iz razreda I, je potrebno dodatno zagotovilo, da se dokaže skladnost z bistvenimi zahtevami iz te uredbe. Proizvajalec, ki želi na lastno odgovornost opraviti ugotavljanje skladnosti (modul A), bi moral uporabiti harmonizirane standarde, skupne specifikacije ali certifikacijske sheme kibernetske varnosti na podlagi Uredbe (EU) 2019/881, ki jih je Komisija opredelila v izvedbenem aktu. Če so ti harmonizirani standardi, skupne specifikacije ali certifikacijske sheme za kibernetsko varnost vzpostavljeni najkrajše obdobje, ki proizvajalcem omogoča, da jih sprejmejo, proizvajalec pa jih ne uporabi, bi moral izvesti ugotavljanje skladnosti, pri katerem sodeluje tretja oseba. Ob upoštevanju upravnega bremena za proizvajalce ter dejstva, da ima kibernetska varnost pomembno vlogo v fazi zasnove in razvoja materialnih in nematerialnih izdelkov z digitalnimi elementi, so bili postopki ugotavljanja skladnosti, ki temeljijo na modulih B + C oziroma modulu H iz Sklepa št. 768/2008/ES, izbrani kot najustreznejši za sorazmerno in učinkovito ugotavljanje skladnosti kritičnih izdelkov z digitalnimi elementi. Proizvajalec, ki zagotovi ugotavljanje skladnosti, ki ga opravi tretja oseba, lahko izbere najustreznejši postopek za svoj postopek zasnove in proizvodnje. Zaradi še večjega tveganja za kibernetsko varnost, povezanega z uporabo izdelkov, opredeljenih kot kritični izdelki iz razreda II, bi morala pri ugotavljanju skladnosti vselej sodelovati tretja oseba.
(46) Medtem ko so pri ustvarjanju materialnih izdelkov z digitalnimi elementi običajno potrebna precejšnja prizadevanja izdelovalcev v fazah zasnove, razvoja in proizvodnje, je ustvarjanje izdelkov z digitalnimi elementi v obliki programske opreme skoraj povsem osredotočeno na zasnovo in razvoj, faza proizvodnje pa ima manjšo vlogo. Ne glede na to je v številnih primerih vseeno treba izdelke programske opreme pripraviti, izdelati, pakirati, dati na voljo za prenos ali prenesti na fizične nosilce, preden se dajo na trg. Te dejavnosti bi bilo treba šteti za dejavnosti, ki pomenijo proizvodnjo, kadar se ustrezni moduli za ugotavljanje skladnosti uporabijo za preverjanje skladnosti izdelka z bistvenimi zahtevami iz te uredbe v fazah zasnove, razvoja in proizvodnje.
(47) Za izvajanje ugotavljanja skladnosti, ki ga opravi tretja oseba, za izdelke z digitalnimi elementi bi morali nacionalni priglasitveni organi Komisiji in drugim državam članicam priglasiti organe za ugotavljanje skladnosti, če izpolnjujejo vrsto zahtev, zlasti glede neodvisnosti, pristojnosti in neobstoja navzkrižja interesov.
(48) Za zagotovitev dosledne ravni kakovosti pri ugotavljanju skladnosti izdelkov z digitalnimi elementi je treba določiti tudi zahteve za priglasitvene organe in druge organe, vključene v ocenjevanje, priglasitev in spremljanje priglašenih organov. Sistem iz te uredbe bi bilo treba dopolniti s sistemom akreditacije, določenim v Uredbi (ES) št. 765/2008. Ker je akreditacija ključno sredstvo za preverjanje usposobljenosti organov za ugotavljanje skladnosti, bi jo bilo treba uporabljati tudi za namene priglasitve.
(49) Nacionalni javni organi po vsej Uniji bi morali pregledno akreditacijo, kot je določena v Uredbi (ES) št. 765/2008 za zagotovitev potrebne ravni zaupanja v certifikate o skladnosti, šteti za prednostno sredstvo za dokazovanje strokovne usposobljenosti organov za ugotavljanje skladnosti. Vendar pa lahko nacionalni organi menijo, da razpolagajo z ustreznimi sredstvi, s katerimi lahko sami opravijo to ocenjevanje. V takem primeru bi morali za zagotovitev ustrezne ravni verodostojnosti ocenjevanja, ki ga opravijo drugi nacionalni organi, Komisiji in drugim državam članicam predložiti potrebne listinske dokaze, da ocenjeni organi za ugotavljanje skladnosti izpolnjujejo ustrezne regulativne zahteve.
(50) Organi za ugotavljanje skladnosti za dele svojih dejavnosti, povezanih z ugotavljanjem skladnosti, pogosto najamejo podizvajalca ali jih prenesejo na odvisno družbo. Za ohranitev ravni varstva, ki se zahteva za izdelke z digitalnimi elementi, ki bodo dani na trg, je bistveno, da podizvajalci in odvisne družbe za opravljanje nalog ugotavljanja skladnosti izpolnjujejo iste zahteve kot priglašeni organi.
(51) Priglasitveni organ bi moral Komisiji in drugim državam članicam priglasiti organ za ugotavljanje skladnosti prek informacijskega sistema o priglašenih in imenovanih organih po Novem pristopu (NANDO). Informacijski sistem NANDO je elektronsko orodje za priglasitev, ki ga je razvila in ga upravlja Komisija ter vsebuje seznam vseh priglašenih organov.
(52) Ker lahko priglašeni organi ponujajo svoje storitve po vsej Uniji, je primerno dati drugim državam članicam in Komisiji možnost, da izrazijo nasprotovanje glede priglašenega organa. Zato je pomembno določiti obdobje, v katerem se lahko pojasnijo vsi dvomi ali pomisleki glede sposobnosti organov za ugotavljanje skladnosti, preden začnejo delovati kot priglašeni organi.
(53) Za konkurenčnost je ključno, da priglašeni organi uporabljajo postopke ugotavljanja skladnosti brez nepotrebne obremenitve gospodarskih subjektov, zlasti mikro, malih in srednjih podjetij. V zvezi s tem bi morale države članice ob podpori Komisije zagotoviti ustrezno razpoložljivost usposobljenih strokovnjakov, da bi zagotovili, da lahko priglašeni organi učinkovito opravljajo svoje dejavnosti, s čimer bi čim bolj zmanjšale morebitne ovire, preprečile ozka grla in gospodarskim subjektom olajšale skladnost s to uredbo. Iz istega razloga in za zagotovitev enake obravnave gospodarskih subjektov je treba zagotoviti doslednost pri tehnični uporabi postopkov ugotavljanja skladnosti. To bi bilo mogoče najbolje doseči z ustreznim usklajevanjem in sodelovanjem priglašenih organov.
(53a) Da bi povečali učinkovitost in preglednost, bi morale države članice pred začetkom uporabe te uredbe zagotoviti, da je v Uniji dovolj priglašenih organov za ugotavljanje skladnosti. Komisija bi morala spremljati razvoj trga in pomagati državam članicam pri teh prizadevanjih, da se preprečijo ozka grla in ovire za vstop na trg.
(54) Nadzor trga je ključno sredstvo za zagotavljanje pravilne in enotne uporabe zakonodaje Unije. Zato je primerno vzpostaviti pravni okvir, v katerem se lahko ustrezno izvaja nadzor trga. Pravila o nadzoru trga Unije in nadzoru izdelkov, ki vstopajo na trg Unije, določena v Uredbi (EU) 2019/1020 Evropskega parlamenta in Sveta[29], se uporabljajo za izdelke z digitalnimi elementi, vključene v to uredbo.
(55) V skladu z Uredbo (EU) 2019/1020 organi za nadzor trga izvajajo nadzor trga na ozemlju zadevne države članice. Ta uredba državam članicam ne bi smela preprečevati izbire pristojnih organov za izvedbo navedenih nalog. Vsaka država članica bi morala imenovati en ali več organov za nadzor trga na svojem ozemlju. Države članice lahko za opravljanje nalog organa za nadzor trga imenujejo kateri koli obstoječi ali nov organ, vključno s pristojnimi nacionalnimi organi iz ▌ Direktive [(EU) 2022/2555] ali imenovanimi nacionalnimi certifikacijskimi organi za kibernetsko varnost iz člena 58 Uredbe (EU) 2019/881. Gospodarski subjekti bi morali v celoti sodelovati z organi za nadzor trga in drugimi pristojnimi organi. Vsaka država članica bi morala Komisijo in druge države članice obvestiti o svojih organih za nadzor trga in področjih, za katera je vsak od teh organov pristojen, ter zagotoviti potrebne vire ter znanja in spretnosti za izvajanje nalog nadzora v zvezi s to uredbo. V skladu s členom 10(2) in (3) Uredbe (EU) 2019/1020 bi morala vsaka država članica imenovati enotni povezovalni organ, ki bi moral biti med drugim odgovoren za zastopanje usklajenega stališča organov za nadzor trga in pomoč pri sodelovanju med organi za nadzor trga v različnih državah članicah.
(56) V skladu s členom 30(2) Uredbe (EU) 2019/1020 bi bilo treba ustanoviti namensko skupino za upravno koordinacijo (ADCO) za kibernetsko odpornost izdelkov z digitalnimi elementi za enotno uporabo te uredbe. Skupino ADCO bi morali sestavljati predstavniki imenovanih organov za nadzor trga in po potrebi predstavniki enotnih povezovalnih organov. Komisija bi morala podpirati in spodbujati sodelovanje med organi za nadzor trga v okviru mreže Unije za skladnost proizvodov, ustanovljene na podlagi člena 29 Uredbe (EU) 2019/1020, ki jo sestavljajo predstavniki vsake države članice, vključno s predstavnikom vsakega enotnega povezovalnega organa iz člena 10 navedene uredbe, ter neobvezen nacionalni strokovnjak, predsedniki skupin ADCO in predstavniki Komisije. Komisija bi morala sodelovati pri sestankih mreže, njenih podskupin in zadevne skupine ADCO. Poleg tega bi morala pomagati tej skupini ADCO z izvršnim sekretariatom, ki zagotavlja tehnično in logistično podporo.
(57) Za zagotovitev pravočasnih, sorazmernih in učinkovitih ukrepov v zvezi z izdelki z digitalnimi elementi, ki predstavljajo povečano tveganje za kibernetsko varnost, bi bilo treba zagotoviti zaščitni postopek Unije, v okviru katerega so zainteresirane strani obveščene o ukrepih, ki se bodo predvidoma izvajali v zvezi s takimi izdelki. To bi moralo tudi organom za nadzor trga omogočiti, da po potrebi v sodelovanju z zadevnimi gospodarskimi subjekti ukrepajo v zgodnejši fazi. Kadar se države članice in Komisija strinjajo glede upravičenosti ukrepa, ki ga sprejme država članica, nadaljnja udeležba Komisije ne bi smela biti potrebna, razen kadar je neskladnost posledica pomanjkljivosti harmoniziranega standarda.
(58) V nekaterih primerih lahko izdelek z digitalnimi elementi, ki je skladen s to uredbo, vseeno predstavlja povečano tveganje za kibernetsko varnost ali tveganje za zdravje ali varnost oseb, tveganje za skladnost z obveznostmi na podlagi zakonodaje Unije ali nacionalne zakonodaje, namenjene varstvu temeljnih pravic, tveganje za razpoložljivost, avtentičnost, celovitost ali zaupnost storitev, ki jih z uporabo elektronskega informacijskega sistema zagotavljajo bistveni subjekti iz ▌ Direktive (EU) 2022/2555, ali tveganje za druge vidike zaščite javnega interesa. Treba je torej določiti pravila, s katerimi se zmanjšajo navedena tveganja. Zato bi morali organi za nadzor trga sprejeti ukrepe in od gospodarskega subjekta zahtevati, da zagotovi, da izdelek ne predstavlja več tveganja, ga odpokliče ali umakne, odvisno od tveganja. Ko organ za nadzor trga tako omeji ali prepove prosti pretok izdelka, bi morala država članica Komisijo in druge države članice nemudoma uradno obvestiti o začasnih ukrepih ter pri tem navesti razloge in utemeljitev svoje odločitve. Kadar organ za nadzor trga sprejme take ukrepe za izdelke, ki predstavljajo tveganje, bi se morala Komisija nemudoma posvetovati z državami članicami in zadevnim gospodarskim subjektom ali subjekti ter oceniti nacionalni ukrep. Na podlagi rezultatov te ocene bi se morala odločiti, ali je nacionalni ukrep upravičen ali ne. Komisija bi morala svojo odločitev nasloviti na vse države članice ter jo nemudoma sporočiti njim in zadevnemu gospodarskemu subjektu ali subjektom. Če se šteje, da je ukrep upravičen, lahko Komisija razmisli tudi o sprejetju predlogov za revizijo zadevne zakonodaje Unije.
(59) Komisija lahko za izdelke z digitalnimi elementi, ki predstavljajo povečano tveganje za kibernetsko varnost in v zvezi s katerimi obstaja razlog za domnevo, da niso skladni s to uredbo, ali za izdelke, ki so skladni s to uredbo, vendar predstavljajo druga pomembna tveganja, kot je tveganje za zdravje ali varnost oseb, temeljne pravice ali opravljanje storitev bistvenih subjektov iz ▌Direktive (EU) 2022/2555, od agencije ENISA zahteva, naj opravi oceno. Na podlagi te ocene lahko Komisija z izvedbenimi akti sprejme popravne ali omejevalne ukrepe na ravni Unije, vključno z odreditvijo umika zadevnih izdelkov s trga ali njihovega odpoklica v razumnem roku, ki je sorazmeren z naravo tveganja. Komisija lahko uporabi take ukrepe samo v izjemnih okoliščinah, ki upravičujejo takojšnje ukrepanje za ohranitev dobrega delovanja notranjega trga, in samo, če organi za nadzor niso sprejeli učinkovitih ukrepov za odpravo težave. Take izjemne okoliščine so lahko izredne razmere, v katerih na primer proizvajalec zagotovi splošno dostopnost neskladnega izdelka v več državah članicah in navedeni izdelek v ključnih sektorjih uporabljajo tudi subjekti, ki spadajo na področje uporabe Direktive (EU) 2022/2555, pri čemer pa vključuje znane ranljivosti, ki jih izrabljajo zlonamerni akterji in za katere proizvajalec ne zagotovi razpoložljivih popravkov. Komisija lahko v takih izrednih razmerah posreduje samo med trajanjem izjemnih okoliščin in če se neskladnost s to uredbo ali pomembna tveganja ne odpravijo.
(60) Kadar obstajajo znaki neskladnosti s to uredbo v več državah članicah, bi morali imeti organi za nadzor trga možnost, da izvajajo skupne dejavnosti z drugimi organi, da preverijo skladnost in ugotovijo tveganja za kibernetsko varnost, ki jih povzročajo izdelki z digitalnimi elementi.
(61) Sočasni usklajeni kontrolni ukrepi (usklajena preiskava) so posebni izvršilni ukrepi organov za nadzor trga, s katerimi je mogoče dodatno izboljšati varnost izdelkov. Usklajene preiskave bi bilo treba izvesti zlasti, kadar tržni trendi, pritožbe potrošnikov ali drugi znaki kažejo, da nekatere kategorije izdelkov pogosto predstavljajo tveganja za kibernetsko varnost. Agencija ENISA bi morala organom za nadzor trga predložiti predloge za kategorije izdelkov, za katere bi se morale organizirati usklajene preiskave, med drugim na podlagi uradnih obvestil o ranljivostih izdelkov in incidentih, ki jih prejme. Komisija bi morala tudi usklajevati organe za nadzor trga pri rednih inšpekcijskih pregledih izdelkov z digitalnimi elementi, ki bi lahko predstavljali varnostno tveganje za Unijo, tudi v zvezi z netehničnimi dejavniki tveganja.
(62) Za zagotovitev, da se lahko regulativni okvir po potrebi prilagodi, bi bilo treba na Komisijo v skladu s členom 290 Pogodbe prenesti pooblastilo za sprejemanje aktov v zvezi s posodobitvami seznama kritičnih izdelkov iz Priloge III ter določitvijo opredelitev teh kategorij izdelkov. V skladu z navedenim členom bi bilo treba na Komisijo prenesti pooblastilo za sprejemanje aktov za opredelitev izdelkov z digitalnimi elementi, zajetih z drugimi pravili Unije, s katerimi se doseže enaka raven varstva kot s to uredbo, v katerih se določi, ali bi bila potrebna omejitev ali izključitev s področja uporabe te uredbe, in po potrebi obseg navedene omejitve. Poleg tega bi bilo treba v skladu z navedenim členom na Komisijo prenesti tudi pooblastilo za sprejemanje aktov v zvezi z določitvijo evropskih certifikacijskih shem za kibernetsko varnost, sprejetih v skladu z Uredbo (EU) 2019/881, ki se lahko uporabijo za dokazovanje skladnosti z bistvenimi zahtevami iz Priloge I k tej uredbi ali njihovimi deli, morebitno zahtevo po certificiranju nekaterih zelo kritičnih izdelkov z digitalnimi elementi na podlagi meril kritičnosti iz te uredbe ter za določitev minimalne vsebine izjave EU o skladnosti in dopolnitev elementov, ki jih je treba vključiti v tehnično dokumentacijo. Na Komisijo bi bilo treba prenesti tudi pooblastila za sprejemanje delegiranih aktov, da se določi obliko in elemente kosovnice za programsko opremo ter podrobneje opredelita oblika in postopek priglasitev aktivno izrabljenih ranljivosti in pomembnih incidentov, ki jih proizvajalci predložijo agenciji ENISA. Na Komisijo bi bilo treba po potrebi prenesti pooblastilo za sprejemanje delegiranih aktov za sprejetje skupnih specifikacij v zvezi z bistvenimi zahtevami iz Priloge I. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, vključno na ravni strokovnjakov, in da se ta posvetovanja izvedejo v skladu z načeli, določenimi v Medinstitucionalnem sporazumu z dne 13. aprila 2016 o boljši pripravi zakonodaje[30]. Za zagotovitev enakopravnega sodelovanja pri pripravi delegiranih aktov Evropski parlament in Svet zlasti prejmeta vse dokumente sočasno s strokovnjaki iz držav članic, njuni strokovnjaki pa se sistematično lahko udeležujejo sestankov strokovnih skupin Komisije, ki zadevajo pripravo delegiranih aktov. Komisija bi se morala za namene oblikovanja delegiranih aktov v skladu s to uredbo posvetovati s strokovno skupino za kibernetsko odpornost. Komisija bi morala tudi voditi reden strukturni dialog z gospodarskimi subjekti in izvajati javna posvetovanja, med drugim za namene ocenjevanja področja uporabe te uredbe in tega, ali bi bilo treba nekatere kategorije izdelkov vključiti ali izključiti.
(63) Za zagotovitev enotnih pogojev izvajanja te uredbe bi bilo treba na Komisijo prenesti izvedbena pooblastila za: ▌določitev tehničnih specifikacij za sisteme označevanja, vključno s harmoniziranimi označbami, piktograme ali druge oznake v zvezi z varnostjo izdelkov z digitalnimi elementi in mehanizmov za spodbujanje njihove uporabe, sprejetje odločitve o popravnih ali omejevalnih ukrepih na ravni Unije v izjemnih okoliščinah, ki upravičujejo takojšnje ukrepanje za ohranitev dobrega delovanja notranjega trga. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta[31].
(64) Za zagotovitev zaupanja vrednega in konstruktivnega sodelovanja organov za nadzor trga na ravni Unije in nacionalni ravni bi morale vse strani, vključene v uporabo te uredbe, spoštovati zaupnost informacij in podatkov, pridobljenih pri opravljanju svojih nalog.
(65) Za zagotovitev učinkovitega izvrševanja obveznosti iz te uredbe bi moral biti vsak organ za nadzor trga pooblaščen, da naloži ali zahteva naložitev upravnih glob. Zato bi bilo treba določiti najvišje zneske upravnih glob za neizpolnjevanje obveznosti iz te uredbe, ki se predpišejo v nacionalnih zakonih. Pri odločanju o znesku upravne globe v vsakem posameznem primeru bi bilo treba upoštevati vse zadevne okoliščine obravnavanega primera in vsaj tiste, ki so izrecno navedene v tej uredbi, vključno s tem, ali je proizvajalec mikropodjetje, malo ali srednje podjetje ali zagonsko podjetje, in kakor so morebitne upravne globe, ki so jih istemu gospodarskemu subjektu za podobne kršitve že naložili drugi organi za nadzor trga. Take okoliščine so lahko oteževalne, kadar se kršitev istega gospodarskega subjekta ne odpravi na ozemlju držav članic, ki niso država članica, v kateri je bila že naložena upravna globa, ali olajševalne, pri čemer bi se morala pri morebitni drugi upravni globi, ki jo za isti gospodarski subjekt ali isto vrsto kršitve obravnava drug organ za nadzor trga, poleg drugih ustreznih posebnih okoliščin že upoštevati kazen, naložena v drugih državah članicah, in njen znesek. V vseh takih primerih bi bilo treba pri skupni upravni globi, ki jo lahko istemu gospodarskemu subjektu za isto vrsto kršitve naložijo organi za nadzor trga v več državah članicah, zagotoviti upoštevanje načela sorazmernosti.
(66) Kadar se upravne globe naložijo osebam, ki niso podjetje, bi moral pristojni organ pri določanju ustreznega zneska globe upoštevati splošno raven dohodka v državi članici in ekonomski položaj osebe. Države članice bi morale določiti, ali bi se morale upravne globe uporabljati tudi za javne organe in v kakšnem obsegu.
(66a) Prihodke, ustvarjene s plačili kazni, bi bilo treba uporabiti za okrepitev ravni kibernetske varnosti v Uniji, vključno z razvojem zmogljivosti ter znanj in spretnosti, povezanih s kibernetsko varnostjo, izboljšanjem kibernetske odpornosti gospodarskih subjektov, zlasti mikropodjetij ter malih in srednjih podjetij, ter splošnejšim spodbujanjem ozaveščenosti javnosti o vprašanjih kibernetske varnosti.
(67) EU si v odnosih s tretjimi državami prizadeva za spodbujanje mednarodne trgovine z reguliranimi proizvodi. Za spodbujanje trgovine se lahko uporabijo najrazličnejši ukrepi, vključno z več pravnimi instrumenti, kakor so dvostranski (medvladni) sporazumi o vzajemnem priznavanju za ugotavljanje skladnosti in označevanje reguliranih izdelkov. Sporazumi o vzajemnem priznavanju se sklenejo med Unijo in tretjimi državami s primerljivo ravnjo tehničnega razvoja in združljivim pristopom k ugotavljanju skladnosti. Ti sporazumi temeljijo na vzajemnem sprejemanju certifikatov, oznak skladnosti in poročil o preskusih, ki jih izdajo organi za ugotavljanje skladnosti katere koli pogodbenice v skladu z zakonodajo druge pogodbenice. Trenutno so sklenjeni sporazumi o vzajemnem priznavanju z več državami. Sporazumi so sklenjeni za več specifičnih sektorjev, ki se lahko od države do države razlikujejo. Za dodatno spodbujanje trgovine in ob upoštevanju, da so oskrbovalne verige izdelkov z digitalnimi elementi globalne, lahko Unija v skladu s členom 218 PDEU sklene sporazume o vzajemnem priznavanju v zvezi z ugotavljanjem skladnosti za izdelke, ki se urejajo s to uredbo. Sodelovanje s partnerskimi državami je prav tako pomembno za okrepitev kibernetske odpornosti na svetovni ravni, saj bo to dolgoročno prispevalo k okrepljenemu okviru kibernetske varnosti v EU in zunaj nje.
(68) Komisija bi morala v posvetovanju s strokovno skupino in drugimi zainteresiranimi stranmi redno pregledovati to uredbo, zlasti da bi ugotovila, ali jo je treba prilagoditi spremenjenim družbenim, političnim, tehnološkim ali tržnim razmeram.
(69) Gospodarskim subjektom bi bilo treba zagotoviti dovolj časa za prilagoditev zahtevam iz te uredbe. Ta uredba bi se morala začeti uporabljati [36 mesecev] po začetku njene veljavnosti, razen obveznosti poročanja v zvezi z aktivno izkoriščenimi ranljivostmi in incidenti, ki bi se morale začeti uporabljati [18 mesecev] od začetka veljavnosti te uredbe.
(69a) Ta uredba bo povzročila dodatne stroške za mikropodjetja ter mala in srednja podjetja, vključno z zagonskimi podjetji. Da bi podprla ta podjetja, bi morala Komisija vzpostaviti finančno in tehnično podporo, ki bi jim omogočila, da prispevajo k rasti evropskega gospodarstva in evropskemu kibernetskemu okolju, vključno z racionalizacijo finančne podpore iz programa Digitalna Evropa in drugih ustreznih programov Unije ter podpiranjem podjetij in organizacij javnega sektorja prek evropskih vozlišč za digitalne inovacije. Poleg tega bi morale države članice razmisliti o vseh možnih dopolnilnih ukrepih, namenjenih zagotavljanju smernic in podpore mikropodjetjem ter malim in srednjim podjetjem, tudi z vzpostavitvijo regulativnih peskovnikov, vozlišč za kibernetsko varnost in pospeševalcev za zagonska podjetja.
(70) Ker cilja te uredbe države članice ne morejo zadovoljivo doseči, temveč se zaradi učinkov ukrepa lažje doseže na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenega cilja.
(71) V skladu s členom 42(1) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta[32] je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je mnenje podal 9. novembra 2022.[33]
(71a) Komisija bi morala spremeniti oceno finančnih posledic zakonodajnega predloga, ki je priložena tej uredbi, tako da bi agenciji ENISA zagotovila 9 dodatnih delovnih mest v ekvivalentu polnega delovnega časa in ustrezne dodatne odobritve, da bi agencija lahko izpolnjevala svoje dodatne naloge iz te uredbe,
SPREJELA NASLEDNJO UREDBO:
POGLAVJE I
SPLOŠNE DOLOČBE
Člen 1
Predmet urejanja
Ta uredba določa:
(a) pravila za omogočanje dostopnosti izdelkov z digitalnimi elementi na trgu za zagotovitev njihove kibernetske varnosti;
(b) bistvene zahteve za zasnovo, razvoj in proizvodnjo izdelkov z digitalnimi elementi ter obveznosti gospodarskih subjektov v zvezi s kibernetsko varnostjo teh izdelkov;
(c) bistvene zahteve za postopke obravnavanja ranljivosti, ki jih vzpostavijo proizvajalci, za zagotovitev kibernetske varnosti izdelkov z digitalnimi elementi v celotnem življenjskem ciklu ter obveznosti gospodarskih subjektov v zvezi s temi postopki;
(d) pravila o spremljanju trga, nadzoru trga ter izvrševanju navedenih pravil in zahtev.
Člen 2
Področje uporabe
1. Ta uredba se uporablja za izdelke z digitalnimi elementi, ki so dostopni na trgu in lahko imajo neposredno ali posredno ▌podatkovno povezavo z napravo ali omrežjem.
2. Ta uredba se ne uporablja za izdelke z digitalnimi elementi, za katere se uporabljajo naslednji zakonodajni akti Unije:
(a) Uredba (EU) 2017/745;
(b) Uredba (EU) 2017/746;
(c) Uredba (EU) 2019/2144.
3. Ta uredba se ne uporablja za izdelke z digitalnimi elementi, ki so bili certificirani v skladu z Uredbo (EU) 2018/1139.
3a. Ta uredba se uporablja za prosto in odprtokodno programsko opremo samo, kadar je ta programska oprema dostopna na trgu v okviru gospodarske dejavnosti.
4. Uporaba te uredbe za izdelke z digitalnimi elementi, zajete z drugimi pravili Unije, s katerimi so določene zahteve, ki se nanašajo na vsa ali nekatera tveganja, zajeta z bistvenimi zahtevami iz Priloge I, se lahko omeji ali izključi, kadar:
(a) je taka omejitev ali izključitev v skladu s splošnim regulativnim okvirom, ki se uporablja za navedene izdelke, ter
(b) se s sektorskimi pravili doseže enaka raven varstva, kakor je določena s to uredbo.
V skladu s členom 50 se na Komisijo prenese pooblastilo za sprejemanje delegiranih aktov za spremembo te uredbe, s katerimi se določi, ali je potrebna taka omejitev ali izključitev, ter navedejo zadevni izdelki in pravila ter obseg omejitve, če je ustrezno.
4a. Ta uredba se ne uporablja za rezervne dele, ki so izdelani izključno za zamenjavo enakih delov in jih proizvajalec originalnih izdelkov dobavi z digitalnimi elementi.
5. Ta uredba se ne uporablja za izdelke z digitalnimi elementi, ki se razvijajo izključno za namene nacionalne varnosti ali vojaške namene, ali za izdelke, ki so izrecno namenjeni obdelavi tajnih podatkov.
Člen 3
Opredelitev pojmov
V tej uredbi se uporabljajo naslednje opredelitve pojmov:
(1) „izdelek z digitalnimi elementi“ pomeni vsak izdelek programske ali strojne opreme ter njegove rešitve za daljinsko obdelavo podatkov, vključno s sestavnimi deli programske ali strojne opreme, ki se ločeno dajo na trg;
(2) „daljinska obdelava podatkov“ pomeni vsako obdelavo podatkov na daljavo, za katero je programsko opremo zasnoval in razvil proizvajalec ali je bila zasnovana in razvita v njegovem imenu ter brez katere izdelek z digitalnimi elementi ne bi mogel opravljati ene od svojih funkcij;
(3) „kritični izdelek z digitalnimi elementi“ pomeni izdelek z digitalnimi elementi, ki predstavlja tveganje za kibernetsko varnost v skladu z merili iz člena 6(2) in katerega osnovna funkcija je navedena v Prilogi III;
(4) „zelo kritični izdelek z digitalnimi elementi“ pomeni izdelek z digitalnimi elementi, ki predstavlja tveganje za kibernetsko varnost v skladu z merili iz člena 6(5);
(4a) „kibernetska varnost“ pomeni kibernetsko varnost, kot je opredeljena v členu 2, točka (1), Uredbe (EU) 2019/881;
(5) „operativna tehnologija“ pomeni programirljive digitalne sisteme ali naprave, ki vzajemno delujejo s fizičnim okoljem ali upravljajo naprave, ki vzajemno delujejo s fizičnim okoljem;
(6) „programska oprema“ pomeni del elektronskega informacijskega sistema, ki ga sestavlja računalniška koda;
(7) „strojna oprema“ pomeni fizičen elektronski informacijski sistem, s katerim je mogoče obdelovati, shranjevati ali pošiljati digitalne podatke, ali njegove dele;
(8) „sestavni del“ pomeni programsko ali strojno opremo, predvideno za vgradnjo v elektronski informacijski sistem;
(9) „elektronski informacijski sistem“ pomeni vsak sistem, vključno z električno ali elektronsko opremo, s katerim je mogoče obdelovati, shranjevati ali pošiljati digitalne podatke;
(10) „logična povezava“ pomeni virtualno predstavitev podatkovne povezave, vzpostavljene prek vmesniške programske opreme;
(11) „fizična povezava“ pomeni vsako povezavo med elektronskimi informacijskimi sistemi ali sestavnimi deli, vzpostavljeno s fizičnimi sredstvi, vključno z električnimi ali mehanskimi vmesniki, žicami ali radijskimi valovi;
(12) „posredna povezava“ pomeni povezavo z napravo ali omrežjem, ki ni neposredna, ampak je del večjega sistema, ki ga je mogoče povezati neposredno s tako napravo ali omrežjem;
(13) „privilegij“ pomeni pravico dostopa, dodeljeno posameznim uporabnikom ali programom za izvajanje operacij, pomembnih za varnost, v elektronskem informacijskem sistemu;
(14) „razširjeni privilegij“ pomeni pravico dostopa, dodeljeno posameznim uporabnikom ali programom za izvajanje razširjenega nabora operacij, pomembnih za varnost, v elektronskem informacijskem sistemu, pri čemer lahko zloraba ali ogroženost te pravice zlonamernemu akterju omogoči, da pridobi širši dostop do virov sistema ali organizacije;
(15) „končna točka“ pomeni vsako napravo, ki je povezana z omrežjem in se uporablja kot vstopna točka v navedeno omrežje;
(16) „omrežni in računalniški viri“ pomeni podatkovno funkcijo ali funkcijo strojne ali programske opreme, ki je dostopna lokalno ali prek omrežja ali druge povezane naprave;
(17) „gospodarski subjekt“ pomeni proizvajalca, pooblaščenega predstavnika, uvoznika, distributerja ali katero koli drugo fizično ali pravno osebo, za katero veljajo obveznosti iz te uredbe;
(18) „proizvajalec“ pomeni vsako fizično ali pravno osebo, ki razvija ali izdeluje izdelke z digitalnimi elementi ali za katero se taki izdelki oblikujejo, razvijajo ali izdelujejo ter ki jih trži pod svojim imenom ali blagovno znamko, bodisi za plačilo, monetizacijo ali brezplačno;
(19) „pooblaščeni predstavnik“ pomeni vsako fizično ali pravno osebo s sedežem v Uniji, ki jo je proizvajalec pisno pooblastil, da v njegovem imenu izvaja določene naloge;
(20) „uvoznik“ pomeni vsako fizično ali pravno osebo s sedežem v Uniji, ki da na trg izdelek z digitalnimi elementi, ki nosi ime ali blagovno znamko fizične ali pravne osebe s sedežem zunaj Unije;
(21) „distributer“ pomeni vsako fizično ali pravno osebo v oskrbovalni verigi, razen proizvajalca ali uvoznika, ki omogoči dostopnost izdelka z digitalnimi elementi na trgu Unije, ne da bi vplivala na njegove lastnosti;
(21a) „mikropodjetja“, „mala podjetja“ in „srednja podjetja“ pomenijo mikropodjetja, mala in srednja podjetja, kot so opredeljena v Priporočilu Komisije 2003/361/ES[34];
(21b) „potrošnik“ pomeni vsako fizično osebo, ki v okoliščinah iz te uredbe deluje za namene, ki so zunaj njene trgovske, poslovne, obrtne ali poklicne dejavnosti;
(21c) „obdobje podpore“ pomeni obdobje, v katerem proizvajalec zagotovi, da se ranljivosti izdelka z digitalnimi elementi obravnavajo učinkovito in v skladu z bistvenimi zahtevami iz oddelka 2 Priloge I;
(22) „dajanje na trg“ pomeni prvo omogočanje dostopnosti izdelka z digitalnimi elementi na trgu Unije;
(23) „omogočanje dostopnosti na trgu“ pomeni vsako dobavo izdelka z digitalnimi elementi za distribucijo ali uporabo na trgu Unije v okviru gospodarske dejavnosti, bodisi za plačilo bodisi brezplačno;
(24) „predvideni namen“ pomeni uporabo, za katero je proizvajalec namenil izdelek z digitalnimi elementi, vključno s posebnimi okoliščinami in pogoji uporabe, kot je navedeno v informacijah, ki jih je proizvajalec predložil v navodilih za uporabo, promocijskem ali prodajnem gradivu in izjavah ter v tehnični dokumentaciji;
(25) „razumno predvidljiva uporaba“ pomeni uporabo, ki ni nujno predvideni namen, ki ga je proizvajalec navedel v navodilih za uporabo, promocijskem ali prodajnem gradivu in izjavah ter v tehnični dokumentaciji, vendar je verjetna posledica razumno predvidljivega človeškega vedenja ali tehničnih operacij ali interakcij;
(26) „razumno predvidljiva napačna uporaba“ pomeni uporabo izdelka z digitalnimi elementi na način, ki sicer ni v skladu s predvidenim namenom, vendar je lahko posledica razumno predvidljivega človeškega vedenja ali interakcije z drugimi sistemi;
(27) „priglasitveni organ“ pomeni nacionalni organ, odgovoren za vzpostavitev in izvajanje potrebnih postopkov za ocenjevanje, imenovanje in priglasitev organov za ugotavljanje skladnosti ter za njihovo spremljanje;
(28) „ugotavljanje skladnosti“ pomeni postopek preverjanja, ali so bistvene zahteve iz Priloge I izpolnjene;
(29) „organ za ugotavljanje skladnosti“ pomeni organ, opredeljen v členu 2, točka 13, Uredbe (ES) št. 765/2008;
(30) „priglašeni organ“ pomeni organ za ugotavljanje skladnosti, imenovan v skladu s členom 33 te uredbe in drugo ustrezno harmonizacijsko zakonodajo Unije;
(31) „bistvena sprememba“ pomeni spremembo izdelka z digitalnimi elementi po tem, ko je bil dan na trg, ki vpliva na skladnost navedenega izdelka z bistvenimi zahtevami iz oddelka 1 Priloge I ali povzroči spremembo predvidene uporabe, za katero je bil izdelek z digitalnimi elementi ocenjen, in ne vključuje nujnih varnostnih posodobitev, katerih namen je ublažiti ranljivosti;
(32) „oznaka CE“ pomeni oznako, s katero proizvajalec izjavlja, da so izdelek z digitalnimi elementi in postopki, ki jih je vzpostavil proizvajalec, skladni z bistvenimi zahtevami iz Priloge I in druge zakonodaje Unije o harmonizaciji pogojev za trženje proizvodov (v nadaljnjem besedilu: harmonizacijska zakonodaja Unije), ki se uporablja in določa namestitev oznake;
(33) „organ za nadzor trga“ pomeni organ, kakor je opredeljen v členu 3, točka 4, Uredbe (EU) 2019/1020;
(34) „harmonizirani standard“ pomeni harmonizirani standard, kakor je opredeljen v členu 2, točka 1(c), Uredbe (EU) št. 1025/2012;
(34a) „mednarodni standard“ pomeni mednarodni standard, kakor je opredeljen v členu 2, točka (1)(a), Uredbe (EU) št. 1025/2012;
(35) „tveganje▌“ pomeni tveganje, kakor je opredeljeno v členu 6, točka (9), Direktive (EU) 2022/2555;
(36) „povečano tveganje za kibernetsko varnost“ pomeni tveganje za kibernetsko varnost, za katero se lahko na podlagi njegovih tehničnih značilnosti domneva, da vključuje veliko verjetnost incidenta, ki bi lahko imel resen negativen vpliv, vključno s povzročitvijo precejšnje materialne ali nematerialne izgube ali motnje;
(37) „kosovnica za programsko opremo“ oziroma „KPO“ pomeni uraden zapis, ki vsebuje podrobnosti o sestavnih delih elementov programske opreme izdelka z digitalnimi elementi in njihove odnose v oskrbovalni verigi;
(38) „ranljivost“ pomeni ranljivost, kakor je opredeljena v členu 6, točka (15), Direktive (EU) 2022/2555;
(39) „aktivno izrabljena ranljivost“ pomeni ranljivost, za katero obstajajo zanesljivi dokazi, da je akter izvedel zlonamerno kodo v sistemu brez dovoljenja lastnika sistema;
(39a) „incident“ pomeni incident, kot je opredeljen v členu 6, točka 6, Direktive (EU) 2022/2555;
(39b) „skorajšnji incident“ pomeni skorajšnji incident, kot je opredeljen v členu 6, točka 5, Direktive (EU) 2022/2555;
(39c) „kibernetska grožnja“ pomeni kibernetsko grožnjo, kot je opredeljena v členu 2, točka 8, Uredbe (EU) 2019/881;(40) „osebni podatki“ pomeni podatke, kakor so opredeljeni v členu 4, točka (1), Uredbe (EU) 2016/679.
Člen 4
Prosti pretok
1. Države članice za zadeve, zajete v tej uredbi, ne ovirajo dostopnosti izdelkov z digitalnimi elementi, ki so skladni s to uredbo, na trgu.
2. ▌Države članice ne preprečijo predstavitve in uporabe prototipa izdelka z digitalnimi elementi, ki ni skladen s to uredbo, če je razpoložljivost tega izdelka omejena v času in na geografskem območju in se zagotavlja izključno za preskušanje ter če na njegovo neskladnost s to uredbo kaže viden znak.
3. Države članice ne preprečijo brezplačne dostopnosti nedokončane programske opreme, ki ni skladna s to uredbo, če je programska oprema dostopna samo za omejeno obdobje, potrebno za preskušanje, ter viden znak jasno kaže, da ni skladna s to uredbo in bo dostopna na trgu samo za namene preskušanja.
3a. Države članice lahko, po potrebi s podporo agencije ENISA, vzpostavijo nadzorovana okolja za preskušanje inovativnih proizvodov, da se olajša njihov razvoj. V zvezi s tem se zagotovi posebna podpora za mikropodjetja ter mala in srednja podjetja, vključno z zagonskimi podjetji.
Člen 5
Zahteve za izdelke z digitalnimi elementi
Izdelki z digitalnimi elementi so dostopni na trgu le, kadar:
(1) izpolnjujejo bistvene zahteve iz oddelka 1 Priloge I, če se ustrezno namestijo, vzdržujejo, uporabljajo za predvideni namen ali pod razumno predvidljivimi pogoji in po potrebi če so zagotovljene potrebne varnostne posodobitve in posodobitve funkcionalnosti, ter
(2) so postopki, ki jih je vzpostavil proizvajalec, skladni z bistvenimi zahtevami iz oddelka 2 Priloge I.
Člen 6
Kritični izdelki z digitalnimi elementi
1. Izdelki z digitalnimi elementi, ki spadajo v kategorijo, navedeno v Prilogi III, se štejejo za kritične izdelke z digitalnimi elementi. Za izdelke, katerih osnovna funkcija spada v kategorijo, navedeno v Prilogi III k tej uredbi, se šteje, da spadajo v navedeno kategorijo. Kategorije kritičnih izdelkov z digitalnimi elementi so razdeljene v razred I in razred II, kot sta določena v Prilogi III, s katerima je izražena raven tveganja za kibernetsko varnost, povezana s temi izdelki.
Vključitev izdelka višjega razreda kritičnosti ne spremeni ravni kritičnosti za izdelek, v katerega je vključen.
2. V skladu s členom 50 se na Komisijo prenese pooblastilo za sprejemanje delegiranih aktov za spremembo Priloge III z vključitvijo nove kategorije kritičnih izdelkov z digitalnimi elementi na seznam kategorij takih izdelkov ali umikom obstoječe kategorije s seznama. Prvi takšen delegirani akt se lahko sprejme šele dve leti po datumu začetka veljavnosti te uredbe. Vsak naslednji delegirani akt se lahko sprejme najprej dve leti kasneje. Komisija pri ocenjevanju potrebe po spremembi seznama iz Priloge III upošteva raven tveganja za kibernetsko varnost, povezano s kategorijo izdelkov z digitalnimi elementi. Pri ugotavljanju ravni tveganja za kibernetsko varnost se upošteva eno ali več naslednjih meril:
(a) funkcija izdelka z digitalnimi elementi, povezana s kibernetsko varnostjo, in to, ali ima izdelek z digitalnimi elementi vsaj eno od naslednjih lastnosti:
(i) namenjen je uporabi z razširjenim privilegijem ali upravljanju privilegijev;
(ii) ima neposreden ali privilegiran dostop do omrežnih in računalniških virov;
(iii) namenjen je nadzoru dostopa do podatkov ali operativne tehnologije;
(iv) opravlja funkcijo, ki je kritična za zaupanje, zlasti varnostne funkcije, kakor so nadzor omrežja, varnost končnih točk in zaščita omrežja;
(b) predvidena uporaba v občutljivih okoljih, vključno z uporabo v industrijskih okoljih ali s strani bistvenih subjektov iz člena 3 Direktive (EU) 2022/2555;
(c) predvidena uporaba za izvajanje kritičnih ali občutljivih funkcij, kakor je obdelava osebnih podatkov;
(d) morebitni obseg škodljivega vpliva, zlasti v smislu njegove intenzivnosti in zmožnosti, da vpliva na številne različne osebe;
(e) obseg, v katerem je uporaba izdelkov z digitalnimi elementi že povzročila materialno ali nematerialno izgubo ali motnjo ali resne pomisleke glede uresničitve škodljivega vpliva.
3. V skladu s členom 50 se na Komisijo prenese pooblastilo za sprejetje delegiranega akta za dopolnitev te uredbe z določitvijo opredelitev kategorij izdelkov iz razredov I in II, kot sta določena v Prilogi III. Delegirani akt se sprejme v ... [6 mesecih po začetku veljavnosti te uredbe].
4. V zvezi s kritičnimi izdelki z digitalnimi elementi se uporabljajo postopki ugotavljanja skladnosti iz člena 24(2) in (3).
Kadar se nova kategorija kritičnih izdelkov z digitalnimi elementi v razred I ali II, kakor je določen v Prilogi III, doda z delegiranim aktom v skladu z odstavkom 2 tega člena, se zanjo v 12 mesecih od datuma sprejetja zadevnega delegiranega akta izvedejo ustrezni postopki ugotavljanja skladnosti iz člena 24(2) in (3).
5. V skladu s členom 50 se na Komisijo prenese pooblastilo za sprejemanje delegiranih aktov za dopolnitev te uredbe z določitvijo kategorij zelo kritičnih izdelkov z digitalnimi elementi, za katere morajo proizvajalci pridobiti evropski certifikat kibernetske varnosti v okviru evropske certifikacijske sheme kibernetske varnosti z „visoko“ ravnjo zanesljivosti v skladu z Uredbo (EU) 2019/881, da dokažejo skladnost z bistvenimi zahtevami iz Priloge I ali njihovimi deli. Obveznost pridobitve evropskega certifikata kibernetske varnosti začne veljati v 12 mesecih od sprejetja ustreznega delegiranega akta. Komisija pri določanju takih kategorij zelo kritičnih izdelkov z digitalnimi elementi upošteva raven tveganja za kibernetsko varnost, povezano s kategorijo izdelkov z digitalnimi elementi, glede na eno ali več meril iz odstavka 2 in glede na presojo, ali navedeno kategorijo izdelkov:
(a) uporabljajo ali se nanjo zanašajo bistveni subjekti iz člena 3 Direktive (EU) 2022/2555 oziroma bo morda pomembna za dejavnosti navedenih subjektov v prihodnosti ali
(b) je pomembna za odpornost celotne oskrbovalne verige izdelkov z digitalnimi elementi proti dogodkom, ki povzročajo motnje.
5a. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov iz odstavka 5 tega člena ne prej kot 12 mesecev po sprejetju ustrezne evropske certifikacijske sheme za kibernetsko varnost v skladu z Uredbo (EU) 2019/881.
Člen 6a
Strokovna skupina za kibernetsko odpornost
1. Komisija do ... [6 mesecev od datuma začetka veljavnosti te uredbe] ustanovi strokovno skupino za kibernetsko odpornost (v nadaljnjem besedilu: strokovna skupina). Strokovno skupino imenuje Komisija za triletni mandat, ki se lahko obnovi. Strokovna skupina, ki naj bi imela spolno in geografsko uravnoteženo sestavo, vključuje:
(a) predstavnike vsakega od naslednjih subjektov:
(i) Agencije Evropske unije za kibernetsko varnost;
(ia) Evropskega kompetenčnega centra za kibernetsko varnost;
(ii) Evropskega odbora za varstvo podatkov;
(iii) evropskih organov za standardizacijo.
Po potrebi so lahko povabljeni predstavniki drugih agencij Unije.
(b) strokovnjake, ki zastopajo ustrezne gospodarske subjekte, pri čemer je zagotovljena primerna zastopanost mikropodjetij ter malih in srednjih podjetij;
(c) strokovnjake, ki zastopajo civilno družbo, vključno s potrošniškimi organizacijami ter svobodno in odprtokodno skupnostjo;
(d) strokovnjake, imenovane za delovanje v svojem imenu, ki imajo dokazano znanje in izkušnje na področjih, ki jih zajema ta uredba;
(e) strokovnjake iz akademskih krogov, tudi z univerz, raziskovalnih inštitutov in iz drugih znanstvenih organizacij, vključno z osebami s strokovnim znanjem na svetovni ravni.
2. Strokovna skupina svetuje Komisiji glede:
(a) seznama kritičnih izdelkov z digitalnimi elementi iz Priloge III in glede morebitne potrebe po posodobitvi tega seznama;
(b) izvajanja evropskih certifikacijskih shem kibernetske varnosti v skladu z Uredbo (EU) 2019/881 in glede možnosti, da te postanejo obvezne za zelo kritične izdelke z digitalnimi elementi;
(c) nezavezujočih ocen izdelkov z digitalnimi elementi na zahtevo organa za nadzor trga, ki izvaja preiskavo v skladu s členom 43;
(d) uporabe ustreznih konceptov novega zakonodajnega okvira za programsko opremo, zlasti prosto in odprtokodno programsko opremo;
(e) elementov uredbe, ki jih je treba obravnavati v smernicah iz člena 17a;
(f) razpoložljivosti in kakovosti evropskih in mednarodnih standardov ter možnosti njihove dopolnitve ali nadomestitve s skupnimi tehničnimi specifikacijami;
(g) razpoložljivosti usposobljenih strokovnjakov na področju kibernetske varnosti po vsej Uniji, vključno z ustreznim osebjem za izvajanje ugotavljanja skladnosti, ki ga opravi tretja oseba, v skladu s to uredbo;
(h) morebitne potrebe po spremembi te uredbe.
Strokovna skupina tudi evidentira trende glede obstoječih in odpravljenih ranljivosti na ravni Unije in držav članic.
3. Strokovna skupina upošteva stališča širokega kroga deležnikov in opravlja svoje naloge z najvišjo stopnjo strokovnosti, neodvisnosti, nepristranskosti in objektivnosti.
3a. Komisija se pri pripravi delegiranih ali izvedbenih aktov na podlagi te uredbe posvetuje s strokovno skupino.
3b. Strokovna skupina lahko organom za nadzor trga zagotovi nezavezujoče ocene izdelkov z digitalnimi elementi, da se olajšajo preiskave v skladu s členom 43.
4. Strokovni skupini, ki je sestavljena v skladu s horizontalnimi pravili o ustanovitvi in delovanju strokovnih skupin Komisije, predseduje Komisija. Komisija lahko v zvezi s tem na ad hoc podlagi k sodelovanju povabi strokovnjake s posebnim strokovnim znanjem.
5. Strokovna skupina svoje naloge opravlja v skladu z načelom preglednosti. Komisija na svojem spletišču objavi sestavo strokovne skupine, izjavo o interesih njenih članov, povzetek sestankov strokovne skupine in druge ustrezne dokumente.
Člen 6b
Izboljšanje znanj in spretnosti v kibernetsko odpornem digitalnem okolju
Za namene te uredbe in v odziv na povpraševanje strokovnjakov, ki lahko zagotovijo kibernetsko varnost izdelkov z digitalnimi elementi, Komisija in države članice v sodelovanju z agencijo ENISA zagotovijo izvajanje:
(a) programov izobraževanja in usposabljanja na področju kibernetske varnosti in povezanih poklicnih poti, ki prispevajo k večji odpornosti in vključenosti delovne sile na tem področju, tudi v smislu spola, in so skladni s potrebami zadevnih podjetij, zlasti v primeru mikropodjetij, malih ali srednjih podjetij, vključno z zagonskimi podjetji, ali javnih uprav;
(b) pobud za okrepitev sodelovanja med zasebnim sektorjem in gospodarskimi subjekti, tudi s preusposabljanjem ali izpopolnjevanjem delavcev proizvajalcev, potrošnikov, ustanov za izobraževanje in usposabljanje ter držav članic, da bi mladim zagotovili dostop do delovnih mest v tem sektorju;
(c) strategij za povečanje mobilnosti delovne sile, razvoj znanj in spretnosti na področju kibernetske varnosti ter oblikovanje organizacijskih in tehnoloških orodij za povečanje obstoječih talentov na področju kibernetske varnosti.
Člen 7
Splošna varnost izdelkov
Kadar za izdelke z digitalnimi elementi ne veljajo posebne zahteve, ki jih nalaga druga harmonizacijska zakonodaja Unije v smislu [člena 3, točka 25, Uredbe (EU) 2023/988,se z odstopanjem od člena 2(1), tretji pododstavek, točka (b), Uredbe (EU) 2023/988, poglavje III, oddelek 1, poglavji V in VII ter poglavja IX do XI Uredbe (EU) 2023/988 uporabljajo za navedene izdelke v zvezi z varnostnimi tveganji, ki niso zajeta s to uredbo.
Člen 8
Umetnointeligenčni sistemi velikega tveganja
1. Za izdelke z digitalnimi elementi, opredeljene kot umetnointeligenčni sistemi velikega tveganja v skladu s členom [člen 6] Uredbe [uredba o umetni inteligenci], ki spadajo na področje uporabe te uredbe in izpolnjujejo bistvene zahteve iz oddelka 1 Priloge I k tej uredbi ter v zvezi s katerimi so postopki, ki jih je vzpostavil proizvajalec, skladni z bistvenimi zahtevami iz oddelka 2 Priloge I, se šteje, da so skladni z zahtevami v zvezi s kibernetsko varnostjo iz člena [člen 15] Uredbe [uredba o umetni inteligenci], brez poseganja v druge zahteve v zvezi s točnostjo in robustnostjo iz navedenega člena, če izjava EU o skladnosti, izdana v skladu s to uredbo, dokazuje doseganje ravni varstva, potrebne v skladu z navedenimi zahtevami.
2. Za izdelke in zahteve glede kibernetske varnosti iz odstavka 1 se uporablja ustrezni postopek ugotavljanja skladnosti, kot se zahteva v skladu s členom [člen 43] Uredbe [uredba o umetni inteligenci]. Za namene navedenega ugotavljanja imajo ustrezni organi, ki imajo pravico nadzorovati skladnost umetnointeligenčnih sistemov velikega tveganja na podlagi Uredbe [uredba o umetni inteligenci], tudi pravico nadzorovati skladnost navedenih sistemov, ki spadajo na področje uporabe te uredbe, z zahtevami iz Priloge I k tej uredbi, če je bila skladnost teh priglašenih organov z zahtevami iz člena 29 te uredbe ocenjena v okviru postopka priglasitve na podlagi uredbe [uredba o umetni inteligenci].
3. Z odstopanjem od odstavka 2 se za kritične izdelke z digitalnimi elementi iz Priloge III k tej uredbi, za katere je treba uporabljati postopke ugotavljanja skladnosti iz člena 24(2), točki (a) in (b), ter člena 24(3), točki (a) in (b), te uredbe ter ki so opredeljeni tudi kot umetnointeligenčni sistemi velikega tveganja v skladu s členom [člen 6] Uredbe [uredba o umetni inteligenci], za katere se uporablja postopek ugotavljanja skladnosti na podlagi notranje kontrole iz Priloge [Priloga VI] k Uredbi [uredba o umetni inteligenci], v zvezi z bistvenimi zahtevami iz te uredbe uporabljajo postopki ugotavljanja skladnosti, kot se zahtevajo s to uredbo.
3a. Proizvajalci izdelkov z digitalnimi elementi, ki so opredeljeni kot umetnointeligenčni sistemi velikega tveganja v skladu z odstavkom 1 tega člena, lahko sodelujejo v regulativnih peskovnikih za umetno inteligenco iz člena 53 Uredbe [uredba o umetni inteligenci].
Člen 9
Stroji in strojna oprema
Za stroje in strojno opremo, ki spadajo na področje uporabe Uredbe (EU) 2023/1230 in so izdelki z digitalnimi elementi ali delno dokončani izdelki z digitalnimi elementi v smislu te uredbe ter za katere je bila izdana izjava EU o skladnosti na podlagi te uredbe, se šteje, da so v skladu z bistvenimi zdravstvenimi in varnostnimi zahtevami iz Priloge [Priloga III, oddelka 1.1.9 in 1.2.1] k Uredbi (EU) 2023/1230 v zvezi z zaščito pred zlorabo ter varnostjo in zanesljivostjo krmilnih sistemov, če izjava EU o skladnosti, izdana na podlagi te uredbe, dokazuje doseganje ravni varstva, potrebne v skladu z navedenimi zahtevami.
Člen 9a
Javno naročanje izdelkov z digitalnimi elementi
1. Države članice brez poseganja v direktivi 2014/24/EU[35] in 2014/25/EU[36] Evropskega parlamenta in Sveta pri javnem naročanju izdelkov z digitalnimi elementi zagotovijo visoko raven kibernetske varnosti in ustrezno obdobje podpore.
2. Države članice zagotovijo, da proizvajalci odpravijo ranljivosti v izdelkih z digitalnimi elementi, nabavljenih prek javnega naročanja, tudi s takojšnjim zagotavljanjem varnostnih posodobitev.
POGLAVJE II
OBVEZNOSTI GOSPODARSKIH SUBJEKTOV
Člen 10
Obveznosti proizvajalcev
1. Proizvajalci pri dajanju izdelka z digitalnimi elementi na trg zagotovijo, da je bil zasnovan, razvit in proizveden v skladu z bistvenimi zahtevami iz oddelka 1 Priloge I.
2. Za namene izpolnjevanja obveznosti iz odstavka 1 proizvajalci opravijo oceno tveganj za kibernetsko varnost, povezanih z izdelkom z digitalnimi elementi, ter upoštevajo rezultat navedene ocene v fazah načrtovanja, zasnove, razvoja, proizvodnje, dobave in vzdrževanja izdelka z digitalnimi elementi, da čim bolj zmanjšajo tveganja za kibernetsko varnost, preprečijo varnostne incidente in čim bolj zmanjšajo vplive takih incidentov, tudi v zvezi z zdravjem in varnostjo uporabnikov.
2a. Proizvajalci na podlagi ocene tveganj za kibernetsko varnost določijo, kako se bistvene zahteve iz oddelka 1 Priloge I uporabljajo za njihov izdelek z digitalnimi elementi. Oceno tveganj vključijo v tehnično dokumentacijo iz člena 23.3. Proizvajalec pri dajanju izdelka z digitalnimi elementi na trg vključi oceno tveganj za kibernetsko varnost v tehnično dokumentacijo iz člena 23 in Priloge V. Za izdelke z digitalnimi elementi iz člena 8 in člena 24(4), za katere se uporabljajo tudi drugi akti Unije, je lahko ocena tveganj za kibernetsko varnost del ocene tveganj, ki se zahteva v skladu z navedenimi akti Unije. Kadar se določene bistvene zahteve ne uporabljajo za izdelek z digitalnimi elementi, ki se trži, proizvajalec v navedeno dokumentacijo vključi jasno utemeljitev.
4. Za namene izpolnjevanja obveznosti iz odstavka 1 so proizvajalci pri vgradnji sestavnih delov, pridobljenih od tretjih oseb, v izdelke z digitalnimi elementi ustrezno skrbni. Proizvajalec mora zagotoviti, da taki sestavni deli ne ogrozijo varnosti izdelka z digitalnimi elementi, niti pri vgradnji sestavnih delov proste in odprtokodne programske opreme, ki niso bili dani na trg v okviru gospodarske dejavnosti.
Proizvajalci po ugotovitvi ranljivosti v sestavnem delu, vključno s prostim in odprtokodnim sestavnim delom, vgrajenim v izdelek z digitalnimi elementi, obravnavajo in odpravijo ranljivost v skladu z zahtevami glede obravnavanja ranljivosti, določenimi v oddelku 2 Priloge I, in delijo sprejete popravne ukrepe z osebo ali subjektom, ki vzdržuje sestavni del.
4a. Proizvajalec sestavnih delov proizvajalcu končnega izdelka pri dobavi sestavnih delov zagotovi informacije in dokumentacijo, potrebne za izpolnjevanje zahtev iz te uredbe. Te informacije se zagotovijo brezplačno.
5. Proizvajalec sistematično in na način, ki je sorazmeren z naravo in tveganji za kibernetsko varnost, dokumentira ustrezne vidike kibernetske varnosti v zvezi z izdelkom z digitalnimi elementi, vključno z ranljivostmi, s katerimi se seznani, in morebitnimi ustreznimi informacijami, ki jih zagotovijo tretje osebe, ter po potrebi posodobi oceno tveganj za izdelek.
6. Proizvajalci pri dajanju izdelka z digitalnimi elementi na trg določijo obdobje podpore, v katerem se učinkovito obravnavajo ranljivosti navedenega izdelka v skladu z bistvenimi zahtevami iz oddelka 2 Priloge I. Pri tem proizvajalec zagotovi, da je obdobje podpore sorazmerno s pričakovano življenjsko dobo izdelka ter v skladu z naravo izdelka in pričakovanji uporabnikov, razpoložljivostjo delovnega okolja in po potrebi obdobjem podpore za glavne sestavne dele, vgrajene v izdelek z digitalnimi elementi. V ta namen proizvajalci na zahtevo organov za nadzor trga dajo na voljo informacije o pričakovani življenjski dobi izdelka, ki so ga upoštevali, da se določi trajanje obdobja podpore za izdelek, ki je dostopen na trgu. Organi za nadzor trga pri določanju obdobja podpore spremljajo izdelke z digitalnimi elementi in dejavno zagotavljajo, da so proizvajalci ta merila ustrezno uporabili, vključno z oceno informacij, ki jih prejmejo od proizvajalcev o pričakovani življenjski dobi izdelka.
Če je ustrezno, se obdobje podpore jasno navede na izdelku ali njegovi embalaži ali pa se vključi v pogodbene dogovore. V vsakem primeru so končni uporabniki pred nakupom obveščeni tudi o trajanju obdobja podpore.
Proizvajalci imajo vzpostavljene ustrezne politike in postopke, vključno s politikami usklajenega razkrivanja ranljivosti iz oddelka 2, točka (5), Priloge I, za obravnavo in odpravo morebitnih ranljivosti izdelka z digitalnimi elementi, ki jih sporočijo notranji ali zunanji viri.
Če je ustrezno, ti postopki v primeru potrošniških izdelkov z digitalnimi elementi privzeto vključujejo samodejne varnostne posodobitve. Uporabniki bi morali ohraniti možnost deaktiviranja teh samodejnih varnostnih posodobitev.
Proizvajalci dejavno obvestijo uporabnike, ko njihov izdelek z digitalnimi elementi doseže konec obdobja podpore.
6a Kadar je obdobje podpore krajše od petih let in se je obravnavanje ranljivosti končalo, lahko proizvajalci zagotovijo dostop do izvorne kode tega izdelka z digitalnimi elementi drugim podjetjem, ki se zavežejo, da bodo podaljšala opravljanje storitev obravnavanja ranljivosti, zlasti varnostnih posodobitev. Dostop do takih izvornih kod se zagotovi le, če je tako predvideno v pogodbenem dogovoru. Ti dogovori ščitijo lastništvo izdelka z digitalnimi elementi in preprečujejo razširjanje izvorne kode v javnosti, razen če je bila ta koda že zagotovljena na podlagi proste in odprtokodne licence.
7. Proizvajalci pred dajanjem izdelka z digitalnimi elementi na trg pripravijo tehnično dokumentacijo iz člena 23.
Proizvajalci izvedejo izbrane postopke ugotavljanja skladnosti iz člena 24 ali zagotovijo, da se taki postopki izvedejo.
Kadar se pri navedenem postopku ugotavljanja skladnosti ugotovi, da je izdelek z digitalnimi elementi skladen z bistvenimi zahtevami iz oddelka 1 Priloge I, postopki, ki jih je vzpostavil proizvajalec, pa so skladni z bistvenimi zahtevami iz oddelka 2 Priloge I, proizvajalci pripravijo izjavo EU o skladnosti v skladu s členom 20 in namestijo oznako CE v skladu s členom 22.
8. Proizvajalci hranijo tehnično dokumentacijo in izjavo EU o skladnosti ter organom za nadzor trga ▌omogočijo dostop do njiju še vsaj deset let ali v obdobju podpore, kar koli od tega je daljše, po tem, ko so izdelek z digitalnimi elementi dali na trg.
Organi za nadzor trga zagotovijo zaupnost in ustrezno varstvo informacij v tehnični dokumentaciji, ki jo proizvajalci zagotovijo v skladu s členom 52.
9. Proizvajalci zagotovijo, da so za izdelke z digitalnimi elementi v serijski proizvodnji vzpostavljeni postopki za ohranjanje njihove skladnosti. Proizvajalec ustrezno upošteva spremembe postopka razvoja in proizvodnje ali spremembe zasnove ali lastnosti izdelka z digitalnimi elementi ter spremembe harmoniziranih horizontalnih ali sektorskih standardov, evropskih certifikacijskih shem kibernetske varnosti ali skupnih specifikacij iz člena 19, na podlagi katerih se potrdi ali preverja skladnost izdelka z digitalnimi elementi.
10. Proizvajalci zagotovijo, da se izdelkom z digitalnimi elementi priložijo informacije in navodila iz Priloge II v elektronski ali fizični obliki. Take informacije in navodila so v jeziku, ki ga uporabniki zlahka razumejo. Take informacije in navodila so jasni, razumljivi in berljivi. Omogočajo varno namestitev, delovanje in uporabo izdelkov z digitalnimi elementi.
Kadar se take informacije in navodila dajo na voljo v elektronski obliki, proizvajalci:
(a) te informacije in navodila predstavijo v uporabniku prijazni obliki, ki uporabniku omogoča, da si jih ogleda v spletu, jih prenese, shrani na elektronsko napravo in natisne;
(b) zagotovijo, da so dostopna v spletu vsaj v obdobju podpore izdelka z digitalnimi elementi.
11. Proizvajalci izjavo EU o skladnosti priložijo izdelku z digitalnimi elementi ali pa v navodilih in informacijah iz Priloge II navedejo spletni naslov, na katerem je dostopna izjava EU o skladnosti.
12. Po dajanju izdelka z digitalnimi elementi na trg in vsaj v obdobju podpore▌proizvajalci, ki ugotovijo ali upravičeno domnevajo, da izdelek z digitalnimi elementi ali postopki, ki jih je vzpostavil proizvajalec, ni v skladu z bistvenimi zahtevami iz Priloge I, nemudoma sprejmejo potrebne popravne ukrepe, da zagotovijo skladnost navedenega izdelka z digitalnimi elementi ali postopki, ki jih je vzpostavil proizvajalec, ali po potrebi umaknejo izdelek s trga ali ga odpokličejo.
13. Proizvajalci organu za nadzor trga na njegovo utemeljeno zahtevo predložijo vse informacije in dokumentacijo v papirni ali elektronski obliki, ki so potrebne za dokazovanje skladnosti izdelka z digitalnimi elementi in postopki, ki jih je vzpostavil proizvajalec, z bistvenimi zahtevami iz Priloge I, in sicer v jeziku, ki ga navedeni organ zlahka razume. Na zahtevo navedenega organa z njim sodelujejo pri vseh ukrepih, sprejetih za odpravo tveganj za kibernetsko varnost, prisotnih pri izdelku z digitalnimi elementi, ki so ga dali na trg.
14. Proizvajalec, ki preneha opravljati dejavnosti in zato ne more izpolniti obveznosti iz te uredbe, o tem še pred prenehanjem dejavnosti obvesti ustrezne organe za nadzor trga, kolikor je mogoče in na kakršen koli možen način pa tudi uporabnike zadevnih izdelkov z digitalnimi elementi, danih na trg.
15. V skladu s členom 50 se na Komisijo po posvetovanju s strokovno skupino in ob upoštevanju mednarodnih standardov prenese pooblastilo za dopolnitev te uredbe z določitvijo oblike in elementov kosovnice za programsko opremo iz oddelka 2, točka (1), Priloge I. ▌
Člen 11
Obveznosti poročanja za proizvajalce
1. Proizvajalec ▌o vsaki aktivno izrabljeni ranljivosti v izdelku z digitalnimi elementi o njej uradno obvesti agencijo ENISA v skladu z odstavkom 1a tega člena. ▌Agencija ENISA uradno obvestilo po njegovem prejemu brez nepotrebnega odlašanja, ki ni utemeljeno z razlogi, povezanimi s tveganji za kibernetsko varnost, posreduje skupinam CSIRT zadevnih držav članic, imenovanim za namene usklajenega razkrivanja ranljivosti v skladu s členom 12 Direktive (EU) 2022/2555ter o sporočeni ranljivosti obvesti organ za nadzor trga. Kadar za ranljivost, ki je predmet uradnega obvestila, niso na voljo popravni ali blažilni ukrepi, agencija ENISA zagotovi, da izmenjava informacijo sporočeni ranljivosti temelji na veljavnih varnostnih protokolih in na potrebi po seznanitvi.
1a. Za uradna obvestila iz odstavka 1 se uporablja naslednji postopek:
(a) zgodnje opozorilo, brez nepotrebnega odlašanja in v vsakem primeru v 24 urah po tem, ko je bil proizvajalec seznanjen z obstojem aktivno izrabljene ranljivosti, vključno s tem, ali je na voljo kakršen koli znani popravni ali blažilni ukrep;
(b) uradno obvestilo o ranljivosti, brez nepotrebnega odlašanja in v vsakem primeru v 72 urah po tem, ko je bil proizvajalec seznanjen z aktivno izrabljeno ranljivostjo, pri čemer se v uradnem obvestilu po potrebi posodobijo splošne informacije iz točke (a), vključno o morebitnih izvedenih popravnih ali blažilnih ukrepih, in navede ocena obsega ranljivosti, vključno z njeno resnostjo in vplivom;
(c) končno poročilo, v enem mesecu po predložitvi uradnega obvestila o ranljivosti iz točke (b) ali kadar je na voljo popravni ali blažilni ukrep, ki vključuje vsaj naslednje:
(i) opis ranljivosti, vključno z njeno resnostjo in vplivom;
(ii) kadar so na voljo, informacije o vsakem akterju, ki je izrabil ali izrablja ranljivost;
(iii) podrobnosti o varnostni posodobitvi ali drugih popravnih ukrepih, ki so bili dani na voljo za odpravo ranljivosti.
1b. Potem ko je na voljo varnostna posodobitev ali je uvedena druga oblika popravnih ali blažilnih ukrepov, agencija ENISA sporočeno ranljivost v skladu z odstavkom 1 tega člena doda v evropsko zbirko podatkov o ranljivostih iz člena 12 Direktive (EU) 2022/2555.
2. Proizvajalec ▌ o vsakem pomembnem incidentu, ki vpliva na varnost izdelka z digitalnimi elementi, uradno obvesti agencijo ENISA v skladu z odstavkom 2b tega člena. Agencija ENISA uradna obvestila brez nepotrebnega odlašanja, ki ni utemeljeno z razlogi, povezanimi s tveganji za kibernetsko varnost, posreduje enotnim kontaktnim točkam zadevnih držav članic, imenovanim v skladu s členom 8 Direktive (EU) 2022/2555, ter o sporočenih incidentih obvesti organ za nadzor trga. Samo dejanje uradnega obveščanja subjektu, ki tako obveščanje izvede, ne nalaga dodatne odgovornosti.
2a. Incident se šteje za pomemben, kot je navedeno v odstavku 2, če:
(a) je ustreznemu proizvajalcu povzročil ali bi mu lahko povzročil znatne operativne motnje pri proizvodnji ali opravljanju storitev, kar bi vplivalo na varnost izdelka, ali
(b) je vplival ali bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnje premoženjske ali nepremoženjske škode.
2b. Za uradna obvestila iz odstavka 2 se uporablja naslednji postopek:
(a) zgodnje opozorilo, brez nepotrebnega odlašanja in v vsakem primeru v 24 urah po tem, ko je bil proizvajalec seznanjen s pomembnim incidentom, pri čemer je iz zgodnjega opozorila po potrebi razvidno, ali je bil pomemben incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem oziroma ali bi lahko imel čezmejni vpliv;
(b) uradno obvestilo o incidentu, brez nepotrebnega odlašanja in v vsakem primeru v 72 urah po tem, ko je bil proizvajalec seznanjen s pomembnim incidentom, pri čemer se v uradnem obvestilu po potrebi posodobijo informacije iz točke (a) in navede začetna ocena pomembnega incidenta, vključno z njegovo resnostjo in vplivom ter kazalniki ogroženosti, kadar so ti na voljo;
(c) končno poročilo, v enem mesecu po predložitvi uradnega obvestila o incidentu iz točke (b), ki vključuje vsaj naslednje:
(i) podroben opis incidenta, vključno z njegovo resnostjo in vplivom;
(ii) vrsto grožnje ali temeljnega vzroka, ki je verjetno sprožil incident;
(iii) izvedene blažilne ukrepe in take ukrepe v teku;
(iv) po potrebi čezmejni vpliv incidenta;
v primeru incidenta, ki je ob predložitvi končnega poročila iz točke (d) tega pododstavka še vedno v teku, države članice poskrbijo, da ustrezni proizvajalec takrat predloži poročilo o napredku, končno poročilo pa najpozneje en mesec po razrešitvi incidenta.
2c. Za proizvajalce, ki so podali uradno obvestilo o pomembnih incidentih v skladu s to uredbo in ki so opredeljeni tudi kot bistveni subjekti ali pomembni subjekti v skladu z Direktivo (EU) 2022/2555, se šteje, da so skladni z zahtevami iz člena 23 Direktive (EU) 2022/2555. Agencija ENISA uradna obvestila, prejeta na podlagi te uredbe, posreduje odgovorni skupini CSIRT v skladu z Direktivo (EU) 2022/2555. Subjekt se zaradi neskladnosti z zahtevami, ki se prekrivajo, kaznuje samo enkrat.
2d. Agencija ENISA ali ustrezna skupina CSIRT lahko po potrebi od proizvajalcev zahteva, da predložijo vmesno poročilo z relevantnimi najnovejšimi informacijami o aktivno izrabljeni ranljivosti ali pomembnem incidentu.
2e. Proizvajalci, ki se štejejo za mikropodjetja ali mala ali srednja podjetja, so izvzeti iz odstavka 1a, točka (a), in odstavka 2b, točka (a).
3. Skupina ENISA informacije, sporočene v skladu z odstavkoma 1 in 2, predloži evropski organizacijski mreži za povezovanje v kibernetski krizi (EU-CyCLONe), ustanovljeni s členom 16 Direktive (EU) 2022/2555, če so take informacije pomembne za usklajeno upravljanje velikih kibernetskih incidentov in kriz na operativni ravni.
4. Proizvajalec po seznanitvi z incidentom brez nepotrebnega odlašanja obvesti prizadete uporabnike izdelka z digitalnimi elementi, po potrebi pa vse uporabnike, o pomembnem incidentu, po potrebi pa tudi o ukrepih za zmanjšanje tveganja in popravnih ukrepih, ki jih lahko uporabnik sprejme za zmanjšanje vpliva pomembnega incidenta.
4a. Agencija ENISA zagotovi, da se uradna obvestila v skladu z odstavkoma 1 in 2 predložijo po komunikacijskih kanalih in shranijo na strežnikih, ki zagotavljajo najvišjo možno raven kibernetske varnosti in zaščite pred zlonamernimi akterji.
4b Kadar je ozaveščenost javnosti potrebna za preprečitev pomembnega incidenta ali obravnavo pomembnega incidenta, ki je v teku, ali kadar je razkritje pomembnega incidenta kako drugače v javnem interesu, lahko agencija ENISA in po potrebi skupine CSIRT ali pristojni organi ustrezne države članice po posvetovanju z zadevnim subjektom obvestijo javnost o pomembnem incidentu ali zahtevajo, da to stori proizvajalec.
5. Komisija za dopolnitev te uredbe sprejme delegirane akte v skladu s členom 50 v zvezi s podrobnejšo določitvijo oblike in postopka za uradna obvestila, predložena v skladu z odstavkoma 1 in 2. Navedeni delegirani akti se sprejmejo do ... [12 mesecev po začetku veljavnosti te uredbe].
6. Agencija ENISA na podlagi uradnih obvestil, ki jih prejme v skladu z odstavki 1 in 2, pripravi dvoletno tehnično poročilo o novih trendih glede tveganj za kibernetsko varnost pri izdelkih z digitalnimi elementi ter ga predloži skupini za sodelovanje iz člena 14 Direktive (EU) 2022/2555. Prvo tako poročilo predloži v 24 mesecih po začetku uporabe obveznosti iz odstavkov 1 in 2. Agencija ENISA vključi ustrezne informacije iz svojih tehničnih poročil v poročilo o stanju kibernetske varnosti v Uniji v skladu s členom 18 Direktive (EU) 2022/2555.
6a. Agencija ENISA po posvetovanju s strokovno skupino vzpostavi varen mehanizem digitalnega poročanja, da bi poenostavila obveznosti poročanja proizvajalcev. Ta mehanizem se uporablja kot enotna vstopna točka za obveznosti poročanja, določene na podlagi te uredbe in, kadar je mogoče, drugega prava Unije.
▌Člen 11a
Prostovoljna predložitev uradnega obvestila
1. Poleg obveznega uradnega obveščanja iz člena 11 lahko agenciji ENISA uradna obvestila prostovoljno predložijo:
(a) proizvajalci, in sicer v zvezi z incidenti, kibernetskimi grožnjami in skorajšnjimi incidenti;
(b) subjekti, razen tistih iz točke (a), ne glede na to, ali spadajo na področje uporabe te uredbe, v zvezi s pomembnimi in nepomembnimi incidenti, kibernetskimi grožnjami in skorajšnjimi incidenti;
(c) kateri koli akter v zvezi z ranljivostmi, ki se lahko vključijo v evropsko podatkovno zbirko ranljivosti iz člena 12 Direktive (EU) 2022/2555.
2. Agencija ENISA uradna obvestila iz odstavka 1(a) tega člena obravnava v skladu s postopkom iz člena 11. Prednost lahko da obveznim uradnim obvestilom in jih obravnava pred prostovoljnimi.
3. Da bi poenostavili prostovoljno predložitev uradnih obvestil, jih je mogoče predložiti prek varnega mehanizma digitalnega poročanja iz člena 11, točka 6a.
4. Agencija ENISA po potrebi zagotovi zaupnost in ustrezno zaščito informacij, ki jih predloži subjekt, ki obveščanje izvede. Za subjekt, ki prostovoljno predloži uradno obvestilo, ne veljajo nikakršne dodatne obveznosti, ki zanj ne bi veljale, če uradnega obvestila ne bi predložil, pri čemer se ne posega v preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj.
Člem 11b
Enotna kontaktna točka za uporabnike
1. Za lažje poročanje o varnosti izdelkov proizvajalci določijo enotno kontaktno točko, ki uporabnikom omogoča neposredno in hitro komunikacijo z njimi, po potrebi prek elektronskih sredstev in na uporabniku prijazen način, tudi tako, da uporabnikom omogočijo, da izberejo komunikacijska sredstva iz točke 1 Priloge II, ki ne temeljijo zgolj na avtomatiziranih orodjih.
2. Poleg obveznosti iz Direktive 2000/31/ES Evropskega parlamenta in Sveta[37] proizvajalci objavijo informacije, ki jih končni uporabniki potrebujejo, da se zlahka identificirajo in komunicirajo z njihovimi enotnimi kontaktnimi točkami. Te informacije so preprosto dostopne in se posodabljajo.
Člen 12
Pooblaščeni zastopniki
1. Proizvajalec lahko s pisnim pooblastilom imenuje pooblaščenega predstavnika.
2. Obveznosti iz člena 10(1) do (7), prva alinea, in (9) niso del pooblastila pooblaščenega predstavnika.
3. Pooblaščeni predstavnik izvaja naloge, določene v pooblastilu, ki ga prejme od proizvajalca. Izvod pooblastila na zahtevo predloži organom za nadzor trga. Pooblastilo pooblaščenemu predstavniku omogoča, da izvaja vsaj naslednje naloge:
(a) hrani izjavo EU o skladnosti iz člena 20 in tehnično dokumentacijo iz člena 23 ter organom za nadzor trga omogoči dostop do njiju še deset let po tem, ko je bil izdelek z digitalnimi elementi dan na trg;
(aa) če pooblaščeni zastopnik utemeljeno domneva, da zadevni izdelek z digitalnimi elementi predstavlja tveganje za kibernetsko varnost, o tem obvesti proizvajalca;
(b) organu za nadzor trga na podlagi njegove utemeljene zahteve zagotovi vse informacije in dokumentacijo, potrebne za dokazovanje skladnosti izdelka z digitalnimi elementi;
(c) na zahtevo organov za nadzor trga z njimi sodeluje pri vseh ukrepih, sprejetih za dejansko odpravo tveganj, ki jih predstavlja izdelek z digitalnimi elementi, v okviru pooblastila pooblaščenega predstavnika.
Člen 13
Obveznosti uvoznikov
1. Uvozniki dajo na trg samo izdelke z digitalnimi elementi, ki so skladni z bistvenimi zahtevami iz oddelka 1 Priloge I, in če so postopki, ki jih je vzpostavil proizvajalec, skladni z bistvenimi zahtevami iz oddelka 2 Priloge I.
2. Preden uvozniki dajo izdelek z digitalnimi elementi na trg, zagotovijo, da:
(a) je proizvajalec izvedel ustrezne postopke ugotavljanja skladnosti iz člena 24;
(b) je proizvajalec pripravil tehnično dokumentacijo;
(c) je izdelek z digitalnimi elementi opremljen z oznako CE iz člena 22, izjava EU o skladnosti je na voljo, izdelku pa so priloženi informacije in navodila za uporabo iz Priloge II.
(ca) je proizvajalec predložil vse dokumente, ki dokazujejo izpolnjevanje zahtev iz tega člena.
3. Kadar uvoznik meni ali upravičeno domneva, da izdelek z digitalnimi elementi ali postopki, ki jih je vzpostavil proizvajalec, niso skladni z bistvenimi zahtevami iz Priloge I, izdelka ne da na trg, dokler se ne zagotovi skladnost navedenega izdelka ali postopkov, ki jih je vzpostavil proizvajalec, z bistvenimi zahtevami iz Priloge I. Kadar izdelek z digitalnimi elementi predstavlja povečano tveganje za kibernetsko varnost, uvoznik o tem obvesti proizvajalca in organe za nadzor trga.
Uvoznik izvaja ciljno usmerjena priporočila, ki jih prejme od organov za nadzor trga ali Komisije v skladu s členoma 43 in 45, vključno z umikom ali odpoklicem izdelka. Poleg tega uvoznik, kadar meni ali utemeljeno domneva, da bi lahko izdelek z digitalnimi elementi pomenil tveganje za kibernetsko varnost glede na netehnične dejavnike tveganja, ta izdelek umakne ali odpokliče. Uvozniki o tem obvestijo organe za nadzor trga in Komisijo.
4. Uvozniki navedejo svoje ime, registrirano trgovsko ime ali registrirano blagovno znamko, poštni naslov, e-poštni naslov in, če ga imajo, spletno mesto, na katerem so dosegljivi, na izdelku z digitalnimi elementi ali na embalaži izdelka ali v dokumentu, priloženem izdelku z digitalnimi elementi. Kontaktni podatki so v jeziku, ki ga uporabniki in organi za nadzor trga zlahka razumejo.
5. Uvozniki zagotovijo, da so izdelku z digitalnimi elementi priloženi navodila in informacije iz Priloge II v jeziku, ki ga uporabniki zlahka razumejo.
6. Uvozniki, ki ugotovijo ali upravičeno domnevajo, da izdelek z digitalnimi elementi, ki so ga dali na trg, ali postopki, ki jih je vzpostavil proizvajalec, niso skladni z bistvenimi zahtevami iz Priloge I, nemudoma zahtevajo od proizvajalcev, da sprejmejo potrebne popravne ukrepe, da zagotovijo skladnost navedenega izdelka z digitalnimi elementi ali postopkov, ki jih je vzpostavil proizvajalec, z bistvenimi zahtevami iz Priloge I ali po potrebi umaknejo izdelek s trga ali ga odpokličejo.
6a. Uvozniki po tem, ko se seznanijo z ranljivostjo pri izdelku z digitalnimi elementi, o njej brez nepotrebnega odlašanja obvestijo proizvajalca. Kadar izdelek z digitalnimi elementi predstavlja povečano tveganje za kibernetsko varnost, uvozniki o tem nemudoma obvestijo organe za nadzor trga držav članic, v katerih je izdelek z digitalnimi elementi dostopen na trgu, pri čemer navedejo zlasti podrobnosti o neskladnosti in morebitnih sprejetih popravnih ukrepih.
7. Uvozniki še deset let po tem, ko je bil izdelek z digitalnimi elementi dan na trg, hranijo kopijo izjave EU o skladnosti in organom za nadzor trga omogočijo dostop do nje ter zagotovijo, da je tehnična dokumentacija na zahtevo na voljo navedenim organom.
8. Uvozniki organu za nadzor trga na njegovo utemeljeno zahtevo predložijo vse informacije in dokumentacijo v papirni ali elektronski obliki, ki so potrebne za dokazovanje skladnosti izdelka z digitalnimi elementi z bistvenimi zahtevami iz oddelka 1 Priloge I ter skladnosti postopkov, ki jih je vzpostavil proizvajalec, z bistvenimi zahtevami iz oddelka 2 Priloge I, in to v jeziku, ki ga navedeni organ zlahka razume. Na zahtevo navedenega organa z njim sodelujejo pri vseh ukrepih, sprejetih za odpravo tveganj za kibernetsko varnost, prisotnih pri izdelku z digitalnimi elementi, ki so ga dali na trg.
9. Kadar se uvoznik izdelka z digitalnimi elementi seznani s tem, da je proizvajalec navedenega izdelka prenehal opravljati dejavnosti, in zato ne more izpolniti obveznosti iz te uredbe, o tem obvesti ustrezne organe za nadzor trga, kolikor je mogoče in na kakršen koli možen način pa tudi uporabnike izdelkov z digitalnimi elementi, danih na trg.
Člen 14
Obveznosti distributerjev
1. Distributerji pri omogočanju dostopnosti izdelka z digitalnimi elementi na trgu skrbno upoštevajo zahteve iz te uredbe.
2. Preden distributerji omogočijo dostopnost izdelka z digitalnimi elementi na trgu, preverijo, ali:
(a) je izdelek z digitalnimi elementi opremljen z oznako CE;
(b) sta proizvajalec in uvoznik izpolnila obveznosti iz člena 10, točki 10 in 11,.) oziroma člena 13, točka 4, ter sta distributerju posredovala vse ustrezne dokumente.
3. Kadar distributer na podlagi informacij, ki jih ima, meni ali upravičeno domneva, da izdelek z digitalnimi elementi ali postopki, ki jih je vzpostavil proizvajalec, niso skladni z bistvenimi zahtevami iz Priloge I, ne omogoči dostopnosti izdelka z digitalnimi elementi na trgu, dokler se ne zagotovi skladnost navedenega izdelka ali postopkov, ki jih je vzpostavil proizvajalec. Kadar izdelek z digitalnimi elementi predstavlja povečano tveganje za kibernetsko varnost, distributer o tem obvesti proizvajalca in organe za nadzor trga.
4. Distributerji, ki na podlagi informacij, ki jih imajo, ugotovijo ali upravičeno domnevajo, da izdelek z digitalnimi elementi, za katerega so omogočili dostopnost na trgu, ali postopki, ki jih je vzpostavil proizvajalec, niso skladni z bistvenimi zahtevami iz Priloge I, od proizvajalcev zahtevajo, da zagotovijo sprejetje popravnih ukrepov, potrebnih za zagotovitev skladnosti navedenega izdelka z digitalnimi elementi ali postopkov, ki jih je vzpostavil proizvajalec, ali po potrebi za umik izdelka s trga ali njegov odpoklic.
4a. Uvozniki po tem, ko se seznanijo z ranljivostjo pri izdelku z digitalnimi elementi o njej brez nepotrebnega odlašanja obvestijo proizvajalca. Kadar izdelek z digitalnimi elementi predstavlja povečano tveganje za kibernetsko varnost, distributerji o tem nemudoma obvestijo organe za nadzor trga držav članic, v katerih so omogočili dostopnost izdelka z digitalnimi elementi na trgu, pri čemer navedejo zlasti podrobnosti o neskladnosti in morebitnih sprejetih popravnih ukrepih.
5. Distributerji organu za nadzor trga na njegovo utemeljeno zahtevo predložijo vse informacije in dokumentacijo v papirni ali elektronski obliki, ki so potrebne za dokazovanje skladnosti izdelka z digitalnimi elementi in postopkov, ki jih je vzpostavil proizvajalec, z bistvenimi zahtevami iz Priloge I, in to v jeziku, ki ga navedeni organ zlahka razume. Na zahtevo navedenega organa z njim sodelujejo pri vseh ukrepih, sprejetih za odpravo tveganj za kibernetsko varnost, prisotnih pri izdelku z digitalnimi elementi, za katerega so omogočili dostopnost na trgu.
6. Ko se distributer izdelka z digitalnimi elementi na podlagi informacij, ki jih ima, seznani s tem, da je proizvajalec navedenega izdelka prenehal opravljati dejavnosti, in zato ne more izpolniti obveznosti iz te uredbe, o tem obvesti ustrezne organe za nadzor trga, kolikor je mogoče in na kakršen koli možen način pa tudi uporabnike izdelkov z digitalnimi elementi, danih na trg.
Člen 15
Primeri, ko se obveznosti proizvajalcev uporabljajo za uvoznike in distributerje
Uvoznik ali distributer se šteje za proizvajalca za namene te uredbe in zanj veljajo obveznosti proizvajalca iz člena 10 ter člena 11(1), (2), (4) in (7), kadar navedeni uvoznik ali distributer da izdelek z digitalnimi elementi na trg pod svojim imenom ali blagovno znamko ali bistveno spremeni izdelek z digitalnimi elementi, ki je že bil dan na trg.
Člen 16
Drugi primeri, v katerih se uporabljajo obveznosti proizvajalcev
Fizična ali pravna oseba, ki ni proizvajalec, uvoznik ali distributer in ki bistveno spremeni izdelek z digitalnimi elementi ter omogoči njegovo dostopnost na trgu, se šteje za proizvajalca za namene te uredbe.
Za navedeno osebo veljajo obveznosti proizvajalca iz člena 10 ter člena 11(1), (2), (4) in (7) za del izdelka, na katerega vpliva bistvena sprememba, ali za celotni izdelek, če bistvena sprememba vpliva na kibernetsko varnost izdelka z digitalnimi elementi kot celoto.
Člen 17
Identifikacija gospodarskih subjektov
1. Gospodarski subjekti organom za nadzor trga na zahtevo predložijo naslednje informacije ▌:
(a) ime in naslov vsakega gospodarskega subjekta, ki jim je dobavil izdelek z digitalnimi elementi;
(b) ime in naslov vsakega gospodarskega subjekta, ki so mu dobavili izdelek z digitalnimi elementi.
2. Gospodarski subjekti lahko predložijo informacije iz odstavka 1 še deset let po tem, ko jim je bil dobavljen izdelek z digitalnimi elementi, oziroma deset let po tem, ko so dobavili izdelek z digitalnimi elementi.
Člen 17a
Smernice
1. Da bi ustvarili jasnost in gotovost za gospodarske subjekte ter zagotovili doslednost med njihovimi praksami, Komisija pripravi in izda smernice za gospodarske subjekte, v katerem pojasni, kako uporabljati to uredbo, pri čemer poseben poudarek nameni temu, kako olajšati skladnost mikropodjetij ter malih in srednjih podjetij.
2. Te smernice se izdajo do ... [12 mesecev po datumu začetku veljavnosti te uredbe] in se po potrebi posodabljajo, zlasti glede na morebitne spremembe seznama kritičnih izdelkov iz Priloge III. Smernice vsebujejo vsaj naslednje elemente:
(a) podrobno razlago področja uporabe te uredbe s posebnim poudarkom na rešitvah za obdelavo podatkov na daljavo ter brezplačni in odprtokodni programski opremi;
(b) podrobna merila, ki se uporabljajo za določitev, ali se kritični izdelki z digitalnimi elementi uvrstijo v razred I ali II, kot je določeno v Prilogi III;
(c) interakcijo med to uredbo in drugo zakonodajo Unije, zlasti v zvezi z domnevami o skladnosti in ocenami skladnosti;
(d) smernice za proizvajalce o tem, kako izvesti oceno tveganj za kibernetsko varnost iz člena 10(2), in o izvajanju bistvenih zahtev, vključno z najboljšimi praksami, če so na voljo;
(e) smernice za proizvajalce o tem, kako ustrezno določiti obdobje podpore za različne kategorije izdelkov v skladu s členom 10(6);
(f) razlago, kako obravnavati zahteve glede poročanja v skladu s to uredbo ali drugo zakonodajo Unije;
(g) seznam delegiranih in izvedbenih aktov, ki jih objavi Komisija v skladu s to uredbo;
(h) smernice za države članice o nepregonu raziskovalcev na področju informacijske varnosti;
(i) smernice o tem, kaj so bistvene spremembe.
3. Komisija se pri pripravi smernic v skladu s tem členom posvetuje s strokovno skupino.
POGLAVJE III
Skladnost izdelka z digitalnimi elementi
Člen 18
Domneva o skladnosti
1. Za izdelke z digitalnimi elementi in postopke, ki jih je vzpostavil proizvajalec in ki so v skladu s harmoniziranimi standardi ali njihovimi deli, katerih sklici so bili objavljeni v Uradnem listu Evropske unije, se domneva, da so skladni z bistvenimi zahtevami iz teh standardov ali njihovih delov, določenimi v Prilogi I.
Komisija v skladu s členom 10(1) Uredbe (EU) 1025/2012 od ene ali več evropskih organizacij za standardizacijo zahteva pripravo harmoniziranih standardov za bistvene zahteve iz Priloge I k tej uredbi. Komisija si pri pripravi zahteve za standardizacijo za to uredbo prizadeva upoštevati obstoječe ali prihodnje mednarodne standarde za kibernetsko varnost, da bi poenostavila pripravo harmoniziranih standardov.
2. Za izdelke z digitalnimi elementi in postopke, ki jih je vzpostavil proizvajalec in ki so v skladu s skupnimi specifikacijami iz člena 19, se domneva, da so skladni z bistvenimi zahtevami iz Priloge I, kolikor te skupne specifikacije vključujejo navedene zahteve.
3. Za izdelke z digitalnimi elementi in postopke, ki jih je vzpostavil proizvajalec, za katere sta bila izjava EU o skladnosti ali certifikat izdana na podlagi evropske certifikacijske sheme kibernetske varnosti, sprejete na podlagi Uredbe (EU) 2019/881 in določene v skladu z odstavkom 4, se domneva, da so skladni z bistvenimi zahtevami iz Priloge I, kolikor se izjava EU o skladnosti ali certifikat kibernetske varnosti ali njuni deli nanašajo na navedene zahteve.
4. Na Komisijo se za dopolnitev te uredbe prenese pooblastilo, da z delegiranimi akti v skladu s členom 50 določi evropske certifikacijske sheme kibernetske varnosti, sprejete v skladu z Uredbo (EU) 2019/881, da bodo uporabljene za dokazovanje skladnosti izdelkov z digitalnimi elementi z bistvenimi zahtevami ali njihovimi deli, kot je določeno v Prilogi I. Poleg tega izdaja certifikata kibernetske varnosti na ravni zanesljivosti „znatno“ ali „visoko“, izdanega na podlagi takih shem, oprosti proizvajalca obveznosti, da mora zagotoviti ugotavljanje skladnosti z ustreznimi zahtevami, ki ga opravi tretja oseba, kakor je določeno v členu 24(2), točki (a) in (b), ter členu 24(3), točki (a) in (b). ▌
Člen 19
Skupne specifikacije
1. ▌Na Komisijo se za dopolnitev te uredbe prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 50 v zvezi z določitvijo skupnih specifikacij, ki zajemajo tehnične zahteve in zagotavljajo sredstva za izpolnjevanje zahtev iz Priloge I za izdelke na področju uporabe te uredbe, če so izpolnjeni naslednji pogoji:
(a) Komisija je v skladu s členom 10(1) Uredbe (EU) št. 1025/2012 od ene ali več evropskih organizacij za standardizacijo zahtevala osnutek harmoniziranega standarda za bistvene zahteve iz Priloge I in zahteva ni bila sprejeta ali evropski standardizacijski dokumenti, v katerih je obravnavana ta zahteva, niso bili dostavljeni v roku, določenem v skladu s členom 10(1) Uredbe (EU) št. 1025/2012, ali evropski standardizacijski dokumenti niso v skladu z zahtevo; ter
(b) v Uradnem listu Evropske unije v skladu z Uredbo (EU) št. 1025/2012 ni objavljen sklic na harmonizirane standarde, ki zajemajo ustrezne bistvene zahteve iz Priloge I k tej uredbi, njegova objava pa se v razumnem roku tudi ne pričakuje.
2. Komisija pred pripravo delegiranega akta obvesti strokovno skupino, da so po njenem mnenju pogoji iz odstavka 1 izpolnjeni. Komisija pri pripravi delegiranih aktov upošteva mnenja strokovne skupine.
3. Ko evropska organizacija za standardizacijo sprejme harmonizirani standard in ga predloži Komisiji, da sklic nanj objavi v Uradnem listu Evropske unije, Komisija harmonizirani standard oceni v skladu z Uredbo št. 1025/2012. Ko se sklic na harmonizirani standard objavi v Uradnem listu Evropske unije, Komisija razveljavi ustrezne delegirane akte iz odstavka 1 ali njihove dele, ki zajemajo enake bistvene zahteve iz Priloge I k tej uredbi.
Člen 20
Izjava EU o skladnosti
1. Proizvajalci pripravijo izjavo EU o skladnosti v skladu s členom 10(7) in navedejo, da je bilo dokazano izpolnjevanje veljavnih bistvenih zahtev iz Priloge I.
2. Izjava EU o skladnosti ima vzorčno strukturo, navedeno v Prilogi IV, in vsebuje elemente, opredeljene v ustreznih postopkih ugotavljanja skladnosti iz Priloge VI. Taka izjava se po potrebi posodablja. Na voljo je v jeziku ali jezikih, ki ga/jih zahteva država članica, v kateri se izdelek z digitalnimi elementi da na trg ali na voljo.
3. Kadar se za izdelek z digitalnimi elementi uporablja več kot en akt Unije, ki zahteva izjavo EU o skladnosti, se v zvezi z vsemi takimi akti Unije pripravi enotna izjava EU o skladnosti. V navedeni izjavi se opredelijo zadevni akti Unije, vključno z navedbo objave.
4. Proizvajalec s pripravo izjave EU o skladnosti prevzame odgovornost za skladnost izdelka.
5. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 50, s katerimi se zaradi upoštevanja tehnološkega napredka ta uredba dopolni z dodajanjem elementov minimalni vsebini izjave EU o skladnosti, kakor je določena v Prilogi IV.
Člen 21
Splošna načela za oznako CE
Za oznako CE, kakor je opredeljena v členu 3, točka 32, se uporabljajo splošna načela iz člena 30 Uredbe (ES) št. 765/2008.
Člen 22
Pravila in pogoji za namestitev oznake CE
1. Oznaka CE se vidno, čitljivo in neizbrisno namesti na izdelek z digitalnimi elementi. Kadar to zaradi narave izdelka z digitalnimi elementi ni mogoče ali upravičeno, se namesti na embalažo in na izjavo EU o skladnosti iz člena 20, priloženo izdelku z digitalnimi elementi. Pri izdelkih z digitalnimi elementi v obliki programske opreme se oznaka CE namesti na izjavo EU o skladnosti iz člena 20 ali na spletišče, povezano z izdelkom programske opreme. V slednjem primeru mora biti ustrezen razdelek spletišča potrošnikom enostavno in neposredno dostopen.
2. Glede na naravo izdelka z digitalnimi elementi je lahko višina oznake CE, nameščene na izdelek z digitalnimi elementi, manj kot 5 mm, če ob tem ostane vidna in čitljiva.
3. Oznaka CE se namesti, preden se izdelek z digitalnimi elementi da na trg. Lahko ji sledi piktogram ali katera koli druga oznaka, ki označuje posebno tveganje ali uporabo, določeno v izvedbenih aktih iz odstavka 6.
4. Oznaki CE sledi identifikacijska številka priglašenega organa, če je ta vključen v postopek ugotavljanja skladnosti na podlagi popolnega zagotavljanja kakovosti (na podlagi modula H) iz člena 24.
Identifikacijsko številko priglašenega organa namesti organ sam ali jo v skladu z njegovimi navodili namesti proizvajalec ali njegov pooblaščeni predstavnik.
5. Države članice nadgrajujejo obstoječe mehanizme, da zagotovijo pravilno uporabo sistema za označevanje z oznako CE, in sprejmejo ustrezne ukrepe v primeru nepravilne rabe te oznake. Če izdelek z digitalnimi elementi ureja druga zakonodaja Unije, ki prav tako določa namestitev oznake CE, taka oznaka kaže, da izdelek izpolnjuje tudi zahteve navedene druge zakonodaje.
6. Po posvetovanju s strokovno skupino, namensko skupino za upravno sodelovanje in po potrebi tudi z drugimi deležniki, lahko Komisija z izvedbenimi akti določi tehnične specifikacije glede sistemov označevanja, vključno s harmoniziranimi označbami, piktogrami ali katerimi koli drugimi oznakami, ki se nanašajo na varnost izdelkov z digitalnimi elementi, njihovo obdobje podpore in mehanizme za spodbujanje njihove uporabe med podjetji in potrošniki ter za povečane ozaveščenosti javnosti o varnosti izdelkov z digitalnimi elementi. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 51(2).
Člen 23
Tehnična dokumentacija
1. Tehnična dokumentacija vsebuje vse ustrezne podatke ali podrobnosti o sredstvih, ki jih je proizvajalec uporabil za zagotovitev, da so izdelek z digitalnimi elementi in postopki, ki jih je vzpostavil proizvajalec, skladni z bistvenimi zahtevami iz Priloge I. Vsebuje vsaj elemente iz Priloge V.
2. Tehnična dokumentacija se pripravi, preden se izdelek z digitalnimi elementi da na trg, in se stalno posodablja, če je ustrezno, in sicer vsaj v obdobju podpore.
3. Za izdelke z digitalnimi elementi iz člena 8 in člena 24(4), za katere se uporabljajo tudi drugi akti Unije, se pripravi enotna tehnična dokumentacija, ki vsebuje informacije iz Priloge V k tej uredbi in informacije, ki jih zahtevajo navedeni ustrezni akti Unije.
4. Tehnična dokumentacija in korespondenca, ki se nanašata na kateri koli postopek ugotavljanja skladnosti, se pripravita v uradnem jeziku države članice, v kateri je sedež priglašenega organa, ali v jeziku, sprejemljivem za navedeni organ.
5. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 50, s katerimi se zaradi upoštevanja tehnološkega napredka in razvoja dogodkov pri izvajanju te uredbe ta uredba dopolni z elementi, ki jih je treba vključiti v tehnično dokumentacijo iz Priloge V. Komisija zagotovi, da je upravno breme za mikropodjetja ter mala in srednja podjetja sorazmerno.
Člen 24
Postopki ugotavljanja skladnosti izdelkov z digitalnimi elementi
1. Proizvajalec opravi ugotavljanje skladnosti izdelka z digitalnimi elementi in postopkov, ki jih je vzpostavil, da se preveri izpolnjevanje bistvenih zahtev iz Priloge I. Proizvajalec ali njegov pooblaščeni predstavnik dokazujeta skladnost z bistvenimi zahtevami z uporabo enega od naslednjih postopkov:
(a) postopka notranje kontrole (na podlagi modula A) iz Priloge VI, ali
(b) EU-pregleda tipa (na podlagi modula B) iz Priloge VI, ki mu sledi skladnost s tipom EU na podlagi notranje kontrole proizvodnje (na podlagi modula C) iz Priloge VI, ali
(c) ugotavljanje skladnosti na podlagi popolnega zagotavljanja kakovosti (na podlagi modula H) iz Priloge VI;
(ca) evropske certifikacijske sheme za kibernetsko varnost, sprejete na podlagi Uredbe (EU) 2019/881 v skladu s členom 18, odstavek 4.
2. Če proizvajalec ali njegov pooblaščeni predstavnik pri ugotavljanju skladnosti kritičnega izdelka z digitalnimi elementi razreda I, kot je določen v Prilogi III, in postopkov, ki jih je vzpostavil proizvajalec, z bistvenimi zahtevami iz Priloge I ne uporabi ali le delno uporabi harmonizirane standarde, skupne specifikacije ali evropske certifikacijske sheme kibernetske varnosti na ravni zanesljivosti „znatno“ ali „visoko“ iz člena 18 ali če taki harmonizirani standardi, skupne specifikacije ali evropske certifikacijske sheme kibernetske varnosti ne obstajajo, se za zadevni izdelek z digitalnimi elementi in postopke, ki jih je vzpostavil proizvajalec, glede navedenih bistvenih zahtev uporabi eden od naslednjih dveh postopkov:
(a) EU-pregleda tipa (na podlagi modula B) iz Priloge VI, ki mu sledi skladnost s tipom EU na podlagi notranje kontrole proizvodnje (na podlagi modula C) iz Priloge VI, ali
(b) ugotavljanje skladnosti na podlagi popolnega zagotavljanja kakovosti (na podlagi modula H) iz Priloge VI.
2a. Harmonizirani standardi, skupne specifikacije ali evropske certifikacijske sheme kibernetske varnosti so vzpostavljeni šest mesecev pred začetkom uporabe postopka ugotavljanja skladnosti iz odstavka 2 tega člena. V šestih mesecih pred uporabo odstavka 2 tega člena ali kadar harmonizirani standardi, skupne specifikacije ali evropske certifikacijske sheme kibernetske varnosti ne obstajajo, proizvajalci skladnost kritičnega izdelka z digitalnimi elementi razreda I, kot je določen v Prilogi III, dokažejo po postopku iz odstavka 1 tega člena.
3. Če je izdelek kritični izdelek z digitalnimi elementi razreda II, kakor je določen v Prilogi III, proizvajalec ali njegov pooblaščeni predstavnik dokazuje skladnost z bistvenimi zahtevami iz Priloge I z uporabo enega od naslednjih postopkov:
(-a) evropske certifikacijske sheme kibernetske varnosti na ravni zanesljivosti „znatno“ ali „visoko“ v skladu z Uredbo (EU) 2019/881.
(a) EU-pregleda tipa (na podlagi modula B) iz Priloge VI, ki mu sledi skladnost s tipom EU na podlagi notranje kontrole proizvodnje (na podlagi modula C) iz Priloge VI, ali
(b) ugotavljanje skladnosti na podlagi popolnega zagotavljanja kakovosti (na podlagi modula H) iz Priloge VI.
3a. Komisija agencijo ENISA zaprosi, da pripravi predloge za manjkajoče sheme v skladu s členom 48 Uredbe (EU) 2019/881.
4. Proizvajalci izdelkov z digitalnimi elementi, ki so v Uredbi [uredba o evropskem zdravstvenem podatkovnem prostoru] opredeljeni kot sistemi za vodenje elektronskih zdravstvenih zapisov, dokazujejo skladnost z bistvenimi zahtevami iz Priloge I te uredbe z uporabo ustreznega postopka ugotavljanja skladnosti, kot to zahteva uredba [poglavje III uredbe o evropskem zdravstvenem podatkovnem prostoru].
5. Priglašeni organi pri določanju pristojbin za izvajanje postopkov ugotavljanja skladnosti upoštevajo posebne interese in potrebe mikropodjetij ter malih in srednjih podjetij ▌ ter navedene pristojbine zmanjšajo sorazmerno s temi posebnimi interesi in potrebami. Komisija v regulativnem okviru obstoječih programov Unije zagotovi ustrezno finančno podporo, zlasti za zmanjšanje finančnega bremena za mikropodjetja ter mala in srednja podjetja.
Člen 24
Sporazumi o vzajemnem priznavanju
Da bi spodbujala mednarodno trgovino, si Komisija prizadeva skleniti sporazume o vzajemnem priznavanju s tretjimi državami. Unija sklene sporazume o vzajemnem priznavanju le s tretjimi državami s primerljivo ravnjo tehničnega razvoja in združljivim pristopom k ugotavljanju skladnosti. Sporazumi o vzajemnem priznavanju zagotavljajo enako raven varstva, kot je določena s to uredbo.
POGLAVJE IV
PRIGLASITEV ORGANOV ZA UGOTAVLJANJE SKLADNOSTI
Člen 25
Priglasitev
Države članice Komisiji in drugim državam članicam priglasijo organe za ugotavljanje skladnosti, ki so pooblaščeni za izvajanje ugotavljanja skladnosti v skladu s to uredbo.
Člen 26
Priglasitveni organi
1. Države članice določijo priglasitveni organ, ki je odgovoren za vzpostavitev in izvajanje potrebnih postopkov za ocenjevanje in priglasitev organov za ugotavljanje skladnosti ter za spremljanje priglašenih organov, vključno s skladnostjo s členom 31.
2. Države članice lahko določijo, da ocenjevanje in spremljanje iz odstavka 1 izvaja nacionalni akreditacijski organ v smislu Uredbe (ES) št. 765/2008 in v skladu z njo.
Člen 27
Zahteve v zvezi s priglasitvenimi organi
1. Priglasitveni organ se ustanovi tako, da ne pride do navzkrižja interesov z organi za ugotavljanje skladnosti.
2. Priglasitveni organ je organiziran in deluje tako, da se zaščitita objektivnost in nepristranskost njegovih dejavnosti.
3. Priglasitveni organ je organiziran tako, da vsako odločitev v zvezi s priglasitvijo organa za ugotavljanje skladnosti sprejmejo pristojne osebe, ki niso tiste, ki so izvedle ocenjevanje.
4. Priglasitveni organ ne ponuja ali izvaja nobenih dejavnosti, ki jih izvajajo organi za ugotavljanje skladnosti, ali storitev svetovanja na komercialni ali konkurenčni podlagi.
5. Priglasitveni organ zagotavlja zaupnost pridobljenih informacij.
6. Priglasitveni organ ima na voljo zadostno število strokovnega osebja za pravilno izvajanje svojih nalog.
6a. Priglasitveni organ čim bolj zmanjša upravno breme in pristojbine, naložene zlasti mikropodjetjem ter malim in srednjim podjetjem.
Člen 28
Obveznosti obveščanja za priglasitvene organe
1. Države članice obvestijo Komisijo o svojih postopkih ocenjevanja in priglasitve organov za ugotavljanje skladnosti ter spremljanja priglašenih organov, pa tudi o vseh spremembah v zvezi s tem.
1a. Države članice do ... [24 mesecev od začetka veljavnosti te uredbe] zagotovijo, da je v Uniji dovolj priglašenih organov za ugotavljanje skladnosti, da se preprečijo ozka grla in ovire za vstop na trg.
2. Komisija zagotovi, da so navedene informacije javno dostopne.
Člen 29
Zahteve v zvezi s priglašenimi organi
1. Za namene priglasitve organ za ugotavljanje skladnosti izpolnjuje zahteve iz odstavkov 2 do 12.
2. Organ za ugotavljanje skladnosti se ustanovi v skladu z nacionalnim pravom in je pravna oseba.
3. Organ za ugotavljanje skladnosti je organ tretje strani, neodvisen od organizacije ali izdelka, ki ga ocenjuje.
Organ, ki je del poslovnega združenja ali strokovne zveze, ki zastopa podjetja, vključena v zasnovo, razvoj, proizvodnjo, dobavo, sestavljanje, uporabo ali vzdrževanje izdelkov z digitalnimi elementi, ki jih ocenjuje, se lahko šteje za tak organ, če se dokažeta njegova samostojnost in neobstoj navzkrižja interesov.
4. Organ za ugotavljanje skladnosti, njegovo najvišje vodstvo in osebje, odgovorno za izvajanje nalog ugotavljanja skladnosti, ne smejo biti oblikovalci, razvijalci, proizvajalci, dobavitelji, monterji, kupci, lastniki, uporabniki ali vzdrževalci izdelkov z digitalnimi elementi, ki jih ocenjujejo, niti pooblaščeni predstavniki katere koli izmed navedenih oseb. To ne onemogoča uporabe ocenjevanih izdelkov, ki so nujni za delovanje organa za ugotavljanje skladnosti, ali uporabe takih izdelkov za osebne namene.
Organ za ugotavljanje skladnosti, njegovo najvišje vodstvo in osebje, odgovorno za izvajanje nalog ugotavljanja skladnosti, ne sodelujejo neposredno pri zasnovi, razvoju, proizvodnji, trženju, vgradnji, uporabi ali vzdrževanju navedenih izdelkov in ne zastopajo strank, ki se ukvarjajo s temi dejavnostmi. Ne sodelujejo pri nobenih dejavnostih, ki bi lahko bile v nasprotju z njihovo neodvisno presojo ali integriteto v zvezi z dejavnostmi ugotavljanja skladnosti, za katere so priglašeni. To še zlasti velja za svetovalne storitve.
Organi za ugotavljanje skladnosti zagotovijo, da dejavnosti njihovih odvisnih družb ali podizvajalcev ne vplivajo na zaupnost, objektivnost ali nepristranskost njihovih dejavnosti ugotavljanja skladnosti.
5. Organi za ugotavljanje skladnosti in njihovo osebje izvajajo dejavnosti ugotavljanja skladnosti z najvišjo stopnjo poklicne integritete in potrebno strokovno usposobljenostjo na posameznem področju, brez pritiskov in spodbud, zlasti finančnih, ki bi lahko vplivali na njihovo presojo ali rezultate njihovih dejavnosti ugotavljanja skladnosti, predvsem v zvezi z osebami ali skupinami oseb, za katere so rezultati navedenih dejavnosti pomembni.
6. Organ za ugotavljanje skladnosti je sposoben izvajati vse naloge ugotavljanja skladnosti iz Priloge VI, za katere je bil priglašen, ne glede na to, ali navedene naloge izvaja sam ali se izvajajo v njegovem imenu in pod njegovo odgovornostjo.
Organ za ugotavljanje skladnosti ima vedno ter za vsak postopek ugotavljanja skladnosti in vsako vrsto ali kategorijo izdelka z digitalnimi elementi, v zvezi s katerim je bil priglašen, na razpolago:
(a) potrebno osebje s tehničnim znanjem ter zadostnimi in ustreznimi izkušnjami za izvajanje nalog ugotavljanja skladnosti;
(b) potrebne opise postopkov, v skladu s katerimi se izvaja ugotavljanje skladnosti, da se zagotovita preglednost in zmožnost ponovitve navedenih postopkov. Vzpostavljene ima ustrezne politike in postopke za razlikovanje med nalogami, ki jih izvaja kot priglašeni organ, in drugimi dejavnostmi;
(c) potrebne postopke za izvajanje dejavnosti, pri katerih so ustrezno upoštevani velikost podjetja, sektor, v katerem deluje, njegova struktura, stopnja zahtevnosti tehnologije zadevnega izdelka in masovna ali serijska narava proizvodnega postopka.
Ima potrebna sredstva za ustrezno izvajanje tehničnih in upravnih nalog, povezanih z dejavnostmi ugotavljanja skladnosti, ter dostop do vse potrebne opreme ali prostorov.
7. Osebje, odgovorno za izvajanje dejavnosti ugotavljanja skladnosti:
(a) je dobro tehnično in poklicno usposobljeno, kar vključuje vse dejavnosti ugotavljanja skladnosti, za katere je organ za ugotavljanje skladnosti priglašen;
(b) ima zadovoljivo znanje o zahtevah glede ugotavljanja skladnosti, ki ga izvaja, in ustrezna pooblastila za izvajanje tega ugotavljanja skladnosti;
(c) ima primerno znanje in razumevanje bistvenih zahtev iz Priloge I, veljavnih harmoniziranih standardov ter ustreznih določb harmonizacijske zakonodaje Unije in njenih izvedbenih aktov;
(d) ima zmožnost priprave certifikatov, zapisov in poročil, ki dokazujejo, da so bila ugotavljanja skladnosti izvedena.
7a. Države članice in Komisija sprejmejo ustrezne ukrepe za zagotovitev zadostne razpoložljivosti usposobljenih strokovnjakov, da bi čim bolj zmanjšale ozka grla pri dejavnostih organov za ocenjevanje skladnosti in gospodarskim subjektom olajšale izpolnjevanje obveznosti iz te uredbe.
8. Zagotovi se nepristranskost organov za ugotavljanje skladnosti, njihovega najvišjega vodstva in osebja, ki izvaja ugotavljanje skladnosti.
Plačilo najvišjega vodstva in osebja, ki izvaja ugotavljanje skladnosti, organa za ugotavljanje skladnosti ni odvisno od števila izvedenih ugotavljanj skladnosti ali od rezultatov teh ugotovitev.
9. Organi za ugotavljanje skladnosti sklenejo zavarovanje odgovornosti, razen če odgovornost prevzame država v skladu z nacionalnim pravom ali če je država članica sama neposredno odgovorna za ugotavljanje skladnosti.
10. Osebje organa za ugotavljanje skladnosti je zavezano k poklicni molčečnosti v zvezi z vsemi informacijami, pridobljenimi med izvajanjem nalog na podlagi Priloge VI ali katere koli določbe nacionalnega prava, na podlagi katere se ta izvaja, razen glede organov za nadzor trga države članice, v kateri izvaja svoje dejavnosti. Navedeni delegirani akti se sprejmejo v skladu s členom 52. Organ za ugotavljanje skladnosti vzpostavi dokumentirane postopke, s katerimi se zagotavlja skladnost s tem odstavkom.
11. Organi za ugotavljanje skladnosti sodelujejo pri ustreznih dejavnostih standardizacije in dejavnostih skupine za koordinacijo priglašenih organov, ustanovljene na podlagi člena 40, ali zagotovijo, da je njihovo osebje za ugotavljanje skladnosti obveščeno o teh dejavnostih, ter kot splošne smernice uporabljajo upravne odločbe in dokumente, ki so rezultat dela navedene skupine.
12. Organi za ugotavljanje skladnosti delujejo v skladu z vrsto doslednih, pravičnih in razumnih pogojev v skladu s členom 37(2), zlasti ob upoštevanju interesov mikropodjetij ter malih in srednjih podjetij v zvezi s pristojbinami.
Člen 30
Domneva o skladnosti priglašenih organov
Kadar organ za ugotavljanje skladnosti dokaže skladnost z merili, določenimi v ustreznih harmoniziranih standardih ali njihovih delih, katerih sklici so bili objavljeni v Uradnem listu Evropske unije, se domneva, da izpolnjuje zahteve iz člena 29, kolikor se veljavni harmonizirani standardi nanašajo na navedene zahteve.
Člen 31
Odvisne družbe in podizvajalci priglašenih organov
1. Kadar priglašeni organ za določene naloge, povezane z ugotavljanjem skladnosti, sklene pogodbo s podizvajalcem ali jih prenese na odvisno družbo, zagotovi, da podizvajalec ali odvisna družba izpolnjuje zahteve iz člena 29, ter o tem obvesti priglasitveni organ.
2. Priglašeni organi so v celoti odgovorni za naloge, ki jih izvajajo podizvajalci ali odvisne družbe, ne glede na to, kje imajo ti podizvajalci ali te odvisne družbe sedež.
3. Dejavnosti se lahko prenesejo na podizvajalca ali odvisno družbo le, če proizvajalec s tem soglaša.
4. Priglašeni organi hranijo zadevne dokumente v zvezi z ocenjevanjem usposobljenosti podizvajalca ali odvisne družbe ter nalogami, ki jih izvajajo na podlagi te uredbe, ter omogočajo priglasitvenemu organu dostop do njih.
Člen 32
Zahtevek za priglasitev
1. Organ za ugotavljanje skladnosti predloži vlogo za priglasitev priglasitvenemu organu države članice, v kateri ima sedež.
2. Vlogi za priglasitev se priloži opis dejavnosti ugotavljanja skladnosti, postopka ali postopkov ugotavljanja skladnosti ter izdelka ali izdelkov, za katere je navedeni organ po lastnih trditvah pristojen, priloži pa se tudi morebitno potrdilo o akreditaciji, ki ga izda nacionalni akreditacijski organ in ki potrjuje, da organ za ugotavljanje skladnosti izpolnjuje zahteve iz člena 29.
3. Če zadevni organ za ugotavljanje skladnosti ne more zagotoviti potrdila o akreditaciji, priglasitvenemu organu predloži vse listinske dokaze, potrebne za preverjanje, priznavanje in redno spremljanje njegove skladnosti z zahtevami iz člena 29.
Člen 33
Priglasitveni postopek
1. Priglasitveni organi lahko priglasijo samo tiste organe za ugotavljanje skladnosti, ki izpolnjujejo zahteve iz člena 29.
2. Priglasitveni organ obvesti Komisijo in druge države članice prek informacijskega sistema o priglašenih in imenovanih organih po Novem pristopu (NANDO), ki ga je razvila in ki ga vodi Komisija.
3. Priglasitev vključuje vse podrobnosti o dejavnostih ugotavljanja skladnosti, modul ali module za ugotavljanje skladnosti in zadevni izdelek ali izdelke ter ustrezno potrdilo o usposobljenosti.
4. Kadar priglasitev ne temelji na potrdilu o akreditaciji iz člena 32(2), priglasitveni organ Komisiji in drugim državam članicam predloži listinske dokaze, ki potrjujejo usposobljenost organa za ugotavljanje skladnosti in vzpostavljene ureditve za zagotovitev, da bo organ pod rednim nadzorom in bo stalno izpolnjeval zahteve iz člena 29.
5. Zadevni organ lahko izvaja dejavnosti priglašenega organa le, če Komisija ali druge države članice ne predložijo ugovora v dveh tednih od priglasitve, če se uporabi potrdilo o akreditaciji, ali v dveh mesecih od priglasitve, če potrdilo o akreditaciji ni uporabljeno.
Samo tak organ se šteje za priglašeni organ za namene te uredbe.
6. Komisija in druge države članice so obveščene o vseh nadaljnjih zadevnih spremembah priglasitve.
Člen 34
Identifikacijske številke in seznami priglašenih organov
1. Komisija priglašenemu organu dodeli identifikacijsko številko.
Dodeli mu samo eno tako številko, tudi če je organ priglašen na podlagi več aktov Unije.
2. Komisija javno objavi seznam organov, priglašenih na podlagi te uredbe, vključno z identifikacijskimi številkami, ki so jim bile dodeljene, in dejavnostmi, za katere so bili priglašeni.
Komisija zagotovi, da se navedeni seznam posodablja.
Člen 35
Spremembe priglasitev
1. Če priglasitveni organ ugotovi ali je obveščen, da priglašeni organ ne izpolnjuje več zahtev iz člena 29 ali ne izpolnjuje svojih obveznosti, omeji, začasno prekliče ali prekliče priglasitev, kot je ustrezno glede na resnost neizpolnjevanja navedenih zahtev ali nespoštovanja navedenih obveznosti. O tem takoj obvesti Komisijo in druge države članice.
2. V primeru omejitve, začasnega preklica ali preklica priglasitve ali če je priglašeni organ prenehal opravljati dejavnost, država članica priglasiteljica sprejme ustrezne ukrepe za zagotovitev, da zadeve navedenega organa obravnava drug priglašeni organ ali da so na zahtevo na voljo pristojnim priglasitvenim organom in organom za nadzor trga.
Člen 36
Izpodbijanje usposobljenosti priglašenih organov
1. Komisija razišče vse primere, v katerih dvomi oziroma je bila opozorjena na dvom v usposobljenost priglašenega organa ali v to, da ta še izpolnjuje zahteve in obveznosti, ki veljajo zanj.
2. Država članica priglasiteljica Komisiji na zahtevo predloži vse informacije v zvezi s podlago za priglasitev ali ohranjanjem usposobljenosti zadevnega organa.
3. Komisija zagotovi, da se vse občutljive informacije, pridobljene v okviru njenih preiskav, obravnavajo zaupno.
4. Če Komisija ugotovi, da priglašeni organ ne izpolnjuje ali ne izpolnjuje več zahtev za priglasitev, o tem obvesti državo članico priglasiteljico in od nje zahteva, naj sprejme potrebne popravne ukrepe, vključno z umikom priglasitve, če je to potrebno.
Člen 37
Operativne obveznosti priglašenih organov
1. Priglašeni organi izvajajo ugotavljanje skladnosti v skladu s postopki ugotavljanja skladnosti iz člena 24 in Priloge VI.
2. Ugotavljanje skladnosti se izvaja sorazmerno, da ne bi prišlo do nepotrebne obremenitve gospodarskih subjektov, s posebnim poudarkom na mikropodjetjih ter malih in srednjih podjetjih. Organi za ugotavljanje skladnosti pri izvajanju svojih dejavnosti upoštevajo velikost podjetja, sektor, v katerem deluje, njegovo strukturo, stopnjo zahtevnosti in tveganje izpostavljenosti tipa in tehnologije zadevnega izdelka in masovno ali serijsko naravo proizvodnega postopka.
3. Vendar priglašeni organi upoštevajo stopnjo strogosti in raven zaščite, ki sta potrebni za skladnost izdelka z določbami Uredbe.
4. Če priglašeni organ ugotovi, da proizvajalec ni izpolnil zahtev iz Priloge I ali ustreznih harmoniziranih standardov ali skupnih specifikacij iz člena 19, od njega zahteva, naj sprejme ustrezne popravne ukrepe, in ne izda potrdila o skladnosti.
5. Če priglašeni organ med postopkom spremljanja skladnosti po izdaji potrdila o skladnosti ugotovi, da izdelek ni več skladen z zahtevami iz te uredbe, od proizvajalca zahteva, naj sprejme ustrezne popravne ukrepe, in po potrebi začasno prekliče ali prekliče potrdilo.
6. Če popravni ukrepi niso sprejeti ali nimajo zahtevanega učinka, priglašeni organ omeji, začasno prekliče ali prekliče katera koli potrdila, kakor je ustrezno.
Člen 38
Obveznosti obveščanja za priglašene organe
1. Priglašeni organi obvestijo priglasitveni organ o:
(a) vseh zavrnitvah, omejitvah, začasnih preklicih ali preklicih potrdil;
(b) vseh okoliščinah, ki vplivajo na področje uporabe priglasitve in pogoje za priglasitev;
(c) vseh zahtevah po informacijah v zvezi z dejavnostmi ugotavljanja skladnosti, ki so jih prejeli od organov za nadzor trga;
(d) dejavnostih ugotavljanja skladnosti, izvedenih v okviru njihove priglasitve, in kakršnih koli drugih izvedenih dejavnostih, vključno s čezmejnimi dejavnostmi in sklepanjem pogodb s podizvajalci, če se to zahteva.
2. Priglašeni organi drugim organom, ki so priglašeni na podlagi te uredbe in izvajajo podobne dejavnosti ugotavljanja skladnosti, ki se nanašajo na enake izdelke, zagotavljajo ustrezne informacije o vprašanjih v zvezi z negativnimi in, na zahtevo, pozitivnimi rezultati ugotavljanja skladnosti.
Člen 39
Izmenjava izkušenj
Komisija organizira izmenjavo izkušenj med nacionalnimi organi držav članic, ki so pristojni za politiko priglasitev.
Člen 40
Usklajevanje priglašenih organov
1. Komisija zagotovi vzpostavitev in pravilno delovanje ustreznega usklajevanja in sodelovanja med priglašenimi organi v obliki medsektorske skupine priglašenih organov, pri čemer upošteva tudi potrebo po zmanjšanju administrativnega bremena in pristojbin.
2. Države članice zagotovijo, da organi, ki jih priglasijo, neposredno ali po pooblaščenih predstavnikih sodelujejo pri delu navedene skupine.
POGLAVJE V
NADZOR TRGA IN IZVRŠEVANJE
Člen 41
Nadzor trga in nadzor izdelkov z digitalnimi elementi na trgu Unije
1. Uredba (EU) 2019/1020 se uporablja za izdelke z digitalnimi elementi v okviru področja uporabe te uredbe.
2. Vsaka država članica imenuje enega ali več organov za nadzor trga, da se zagotovi učinkovito izvajanje te uredbe. Države članice lahko imenujejo obstoječi ali nov organ, ki bo deloval kot organ za nadzor trga za potrebe te uredbe.
3. Če je ustrezno, organi za nadzor trga sodelujejo z nacionalnimi certifikacijskimi organi za kibernetsko varnost, imenovanimi na podlagi člena 58 Uredbe (EU) 2019/881, pristojnimi organi in skupinami CSIRT, imenovanimi v skladu z Direktivo (EU) 2022/2555, in si z njimi redno izmenjujejo informacije. ▌
3a. Glede nadzora nad izvajanjem obveznosti poročanja v skladu s členom 11 te uredbe imenovani organi za nadzor trga sodelujejo z agencijo ENISA. Organi za nadzor trga lahko agencijo ENISA prosijo za tehnično svetovanje o zadevah, povezanih z izvajanjem in izvrševanjem te uredbe. Pri izvajanju preiskave v skladu s členom 43 lahko organi za nadzor trga agencijo ENISA zaprosijo za nezavezujoče ocene skladnosti izdelkov z digitalnimi elementi.
4. Če je ustrezno, organi za nadzor trga sodelujejo z drugimi organi za nadzor trga, imenovanimi na podlagi druge harmonizacijske zakonodaje Unije za druge izdelke, in si z njimi redno izmenjujejo informacije.
5. Organi za nadzor trga sodelujejo, kakor je ustrezno, z organi za nadzor zakonodaje Unije o varstvu podatkov. Tako sodelovanje vključuje obveščanje navedenih organov o vseh ugotovitvah, pomembnih za izpolnjevanje njihovih pristojnosti, tudi ko izdajajo smernice in nasvete v skladu z odstavkom 8 tega člena, če se take smernice in nasveti nanašajo na obdelavo osebnih podatkov.
Organi za nadzor zakonodaje Unije o varstvu podatkov lahko zahtevajo vso dokumentacijo, ki se ustvari ali hrani na podlagi te uredbe, in dostopajo do nje, če je dostop do take dokumentacije potreben za izpolnjevanje njihovih nalog. O vseh takih zahtevah obvestijo imenovane organe za nadzor trga zadevne države članice.
6. Države članice zagotovijo, da imajo imenovani organi za nadzor trga na voljo ustrezne finančne in človeške vire in primerne kibernetske veščine za izpolnjevanje svojih nalog na podlagi te uredbe.
7. Komisija olajša redno in strukturirano izmenjavo izkušenj med imenovanimi organi za nadzor trga.
8. Organi za nadzor trga lahko zagotavljajo smernice in nasvete gospodarskim subjektom glede izvajanja te uredbe, pa tudi v zvezi z netehničnimi dejavniki tveganja, ob podpori skupin CSIRT, ENISA in Komisije.
8a. Organi za nadzor trga so opremljeni za sprejemanje pritožb potrošnikov v skladu s členom 11 Uredbe 2019/1020, tudi z vzpostavitvijo jasnih in dostopnih mehanizmov za olajšanje poročanja o ranljivostih, incidentih in kibernetskih grožnjah.
9. Organi za nadzor trga Komisiji letno poročajo o izidih zadevnih dejavnosti nadzora trga. Imenovani organi za nadzor trga Komisiji in zadevnim nacionalnim organom za varstvo konkurence brez odlašanja sporočijo vse informacije, ugotovljene med dejavnostmi nadzora trga, ki bi lahko bile pomembne za uporabo zakonodaje Unije s področja konkurence.
Organi za nadzor trga Komisiji zagotovijo podatke o povprečnem obdobju podpore, ki so ga določili proizvajalci, če je na voljo, pa tudi o pričakovani življenjski dobi izdelka, razčlenjene po kategoriji izdelka z digitalnimi elementi. Komisija te informacije analizira in jih objavi v javno dostopni in uporabniku prijazni zbirki podatkov.
9a. Komisija oceni sporočene podatke, vključno v skladu s členom 9 tega člena z namenom poročanja iz člena 56. Če sporočeni podatki kažejo na povišano raven neskladnosti v posameznih kategorijah izdelkov, lahko Komisija po posvetovanju s strokovno skupino in skupino ADCO priporoči, da se vsi nadzorni organi osredotočijo na te kategorije izdelkov.
10. Glede izdelkov z digitalnimi elementi s področja uporabe te uredbe, ki so v skladu s členom [člen 6] Uredbe [uredba o umetni inteligenci] opredeljeni kot umetnointeligenčni sistemi velikega tveganja, so organi za nadzor trga, imenovani za namene Uredbe [uredba o umetni inteligenci], organi, ki so odgovorni za dejavnosti nadzora trga, ki se zahtevajo na podlagi te uredbe. Organi za nadzor trga, imenovani v skladu z Uredbo [uredba o umetni inteligenci], sodelujejo, kakor je ustrezno, z organi za nadzor trga, imenovanimi v skladu s to uredbo, v zvezi z nadzorom izvajanja obveznosti poročanja na podlagi člena 11 pa tudi z agencijo ENISA. Organi za nadzor trga, imenovani na podlagi Uredbe [uredba o umetni inteligenci], zlasti obveščajo organe za nadzor trga, imenovane na podlagi te uredbe, o vseh ugotovitvah, ki so pomembne za izpolnjevanje njihovih nalog v zvezi z izvajanjem te uredbe.
11. V skladu s členom 30(2) Uredbe (EU) 2019/1020 se ustanovi ▌ skupina ADCO za kibernetsko odpornost izdelkov z digitalnimi elementi, da se zagotovi enotna uporaba te uredbe. Skupino ADCO sestavljajo predstavniki imenovanih organov za nadzor trga in, če je ustrezno, predstavniki enotnih povezovalnih organov. Skupina ADCO si zlasti izmenjuje primere dobre prakse in po potrebi sodeluje s strokovno skupino in agencijo ENISA, pa tudi s skupino za sodelovanje in mrežo skupin CSIT iz Uredbe (EU) 2022/2555.
11a. Organi za nadzor trga olajšajo sodelovanje deležnikov, vključno z znanstvenimi, raziskovalnimi in potrošniškimi organizacijami, pri njihovih dejavnostih.
Člen 42
Dostop do podatkov in dokumentacije
Če je treba oceniti skladnost izdelkov z digitalnimi elementi in postopkov, ki so jih vzpostavili njihovi proizvajalci, z bistvenimi zahtevami iz Priloge I, se organom za nadzor trga na njihovo obrazloženo zahtevo omogoči dostop do podatkov, ki so potrebni za ocenjevanje zasnove, razvoja, proizvodnje in obravnavanja ranljivosti takih izdelkov, vključno z zadevno interno dokumentacijo zadevnih gospodarskih subjektov.
Člen 43
Postopek na nacionalni ravni glede izdelkov z digitalnimi elementi, ki pomenijo povečano tveganje za kibernetsko varnost
1. Če ima organ za nadzor trga države članice zadostne razloge za mnenje, da izdelek z digitalnimi elementi, vključno z obravnavanjem njegove ranljivosti, pomeni povečano tveganje za kibernetsko varnost, brez nepotrebnega odlašanja in po potrebi v sodelovanju s skupino CSIRT opravi oceno zadevnega izdelka z digitalnimi elementi glede njegove skladnosti z vsemi zahtevami iz te uredbe. Zadevni gospodarski subjekti sodelujejo z organi za nadzor trga, kakor je potrebno.
Če med navedenim ocenjevanjem organ za nadzor trga ugotovi, da izdelek z digitalnimi elementi ne izpolnjuje zahtev iz te uredbe, od zadevnega gospodarskega subjekta nemudoma zahteva, naj sprejme vse ustrezne popravne ukrepe za zagotovitev, da izdelek izpolnjuje navedene zahteve, ali pa naj izdelek umakne s trga oziroma ga odpokliče v razumnem roku, ki je sorazmeren z naravo tveganja.
Organ za nadzor trga o tem obvesti zadevni priglašeni organ. Člen 18 Uredbe (EU) 2019/1020 se uporablja za ustrezne popravne ukrepe.
1a. Kadar ima organ za nadzor trga države članice zadosten razlog za domnevo, da izdelek z digitalnimi elementi predstavlja znatno tveganje za kibernetsko varnost ali ogroža nacionalno varnost glede na netehnične dejavnike tveganja, izda gospodarskim subjektom usmerjena priporočila za zagotovitev, da se sprejmejo ustrezni popravni ukrepi.
2. Če organ za nadzor trga meni, da neskladnost ni omejena na njegovo nacionalno ozemlje, Komisijo in druge države članice obvesti o rezultatih ocenjevanja in ukrepih, ki jih je zahteval od gospodarskega subjekta.
3. Proizvajalec zagotovi izvedbo vseh ustreznih popravnih ukrepov glede vseh zadevnih izdelkov z digitalnimi elementi, katerih dostopnost na trgu je omogočil kjer koli Uniji.
4. Če proizvajalec izdelka z digitalnimi elementi v roku iz odstavka 1, drugi pododstavek, ne sprejme zadostnih popravnih ukrepov, organ za nadzor trga sprejme vse ustrezne začasne ukrepe za prepoved ali omejitev dostopnosti izdelka na svojem nacionalnem trgu oziroma za njegov umik ali odpoklic s trga.
Navedeni organ o navedenih ukrepih brez odlašanja obvesti Komisijo in druge države članice.
5. Informacije iz odstavka 4 vsebujejo vse razpoložljive podrobnosti, zlasti podatke, potrebne za identifikacijo neskladnih izdelkov z digitalnimi elementi, poreklo izdelka z digitalnimi elementi, vrsto domnevne neskladnosti in tveganja, vrsto in trajanje sprejetih nacionalnih ukrepov ter argumente zadevnega gospodarskega subjekta. Organ za nadzor trga zlasti navede, ali je neskladnost posledica naslednjega:
(a) izdelek ali postopki, ki jih je vzpostavil proizvajalec, ne izpolnjujejo bistvenih zahtev iz Priloge I;
(b) obstajajo pomanjkljivosti v harmoniziranih standardih, certifikacijskih shemah kibernetske varnosti ali skupnih specifikacijah, navedenih v členu 18.
6. Organi za nadzor trga držav članic, razen organa za nadzor trga države članice, ki je začel postopek, brez odlašanja obvestijo Komisijo in druge države članice o vseh sprejetih ukrepih in vseh dodatnih informacijah, ki so jim na voljo v zvezi z neskladnostjo zadevnega izdelka, ter o svojih ugovorih v primeru nestrinjanja s priglašenim nacionalnim ukrepom.
7. Če države članice ali Komisija v treh mesecih po prejemu informacij iz odstavka 4 ne vložijo ugovora zoper začasni ukrep, ki ga je sprejela posamezna država članica, se šteje, da je ukrep upravičen. To ne posega v postopkovne pravice zadevnega gospodarskega subjekta v skladu s členom 18 Uredbe (EU) 2019/1020.
8. Organi za nadzor trga vseh držav članic zagotovijo, da se brez odlašanja sprejmejo ustrezni omejevalni ukrepi v zvezi z zadevnim izdelkom, na primer umik izdelka z njihovega trga.
Člen 44
Zaščitni postopek Unije
1. Če država članica v treh mesecih od prejema obvestila iz člena 43(4) poda ugovor proti ukrepu, ki ga je sprejela druga država članica, ali če Komisija meni, da je ukrep v nasprotju z zakonodajo Unije, se Komisija brez odlašanja posvetuje z zadevno državo članico in gospodarskim subjektom ali gospodarskimi subjekti ter oceni nacionalni ukrep. Komisija na podlagi rezultatov navedenega ocenjevanja v devetih mesecih od obvestila iz člena 43(4) odloči, ali je nacionalni ukrep upravičen ali ne, in o taki odločitvi obvesti zadevno državo članico.
2. Če se nacionalni ukrep šteje za upravičenega, vse države članice sprejmejo potrebne ukrepe za zagotovitev, da se neskladni izdelek z digitalnimi elementi umakne z njihovega trga, in o tem obvestijo Komisijo. Če se nacionalni ukrep šteje za neupravičenega, ga zadevna država članica odpravi.
3. Če se nacionalni ukrep šteje za upravičenega, vzrok za neskladnost izdelka z digitalnimi elementi pa so pomanjkljivosti v harmoniziranih standardih, Komisija uporabi postopek iz člena 10 Uredbe (EU) št. 1025/2012.
4. Če se nacionalni ukrep šteje za upravičenega, vzrok za neskladnost izdelka z digitalnimi elementi pa so pomanjkljivosti v evropski certifikacijski shemi kibernetske varnosti, kot je navedena v členu 18, Komisija prouči, ali naj spremeni ali razveljavi izvedbeni akt, kakor je naveden v členu 18(4), ki določa domnevo o skladnosti v zvezi s tako certifikacijsko shemo.
5. Če se nacionalni ukrep šteje za upravičenega, vzrok za neskladnost izdelka z digitalnimi elementi pa so pomanjkljivosti v skupnih specifikacijah iz člena 19, Komisija prouči, ali naj spremeni ali razveljavi izvedbeni akt iz člena 19, v katerem so določene navedene skupne specifikacije.
Člen 45
Postopek na ravni EU glede izdelkov z digitalnimi elementi, ki pomenijo povečano tveganje za kibernetsko varnost
1. Če ima Komisija zadostne razloge za domnevo, tudi na podlagi informacij, ki jih zagotovi agencija ENISA, da izdelek z digitalnimi elementi, ki pomeni povečano tveganje za kibernetsko varnost, ni skladen z zahtevami iz te uredbe, ▌od zadevnih organov za nadzor trga zahteva, naj ocenijo skladnost in izvedejo postopke iz člena 43.
1a. Kadar ima Komisija zadostne razloge za domnevo, da izdelek z digitalnimi elementi predstavlja znatno tveganje za kibernetsko varnost glede na netehnične dejavnike tveganja, o tem obvesti ustrezne organe za nadzor trga in gospodarskim subjektom izda ciljno usmerjena priporočila za zagotovitev, da se sprejmejo ustrezni popravni ukrepi.
2. V ▌okoliščinah, ki zahtevajo takojšnje ukrepanje za ohranitev dobrega delovanja notranjega trga, in če ima Komisija zadostne razloge za mnenje, da izdelek iz odstavka 1 še vedno ni skladen z zahtevami iz te uredbe, zadevni organi za nadzor trga pa niso sprejeli učinkovitih ukrepov, ▌Komisija od agencije ENISA zahteva, naj opravi oceno skladnosti. Komisija o tem obvesti zadevne organe za nadzor trga. Zadevni gospodarski subjekti sodelujejo z agencijo ENISA, kakor je potrebno.
3. Komisija se lahko na podlagi ocene agencije ENISA odloči, da je na ravni Unije potreben popravni ali omejevalni ukrep. V ta namen se brez odlašanja posvetuje z zadevnimi državami članicami in gospodarskim subjektom ali subjekti.
4. Na podlagi posvetovanja iz odstavka 3 lahko Komisija sprejme izvedbene akte, s katerimi odloči o popravnih ali omejevalnih ukrepih na ravni Unije, vključno z odreditvijo umika s trga ali odpoklica v razumnem roku, ki je sorazmeren z naravo tveganja. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 51(2).
5. Komisija odločitev iz odstavka 4 takoj sporoči zadevnemu gospodarskemu subjektu ali subjektom. Države članice brez odlašanja izvedejo akte iz odstavka 4 in o tem obvestijo Komisijo.
6. Odstavki 2 do 5 se uporabljajo, dokler trajajo izredne razmere, ki upravičujejo poseg Komisije, in dokler se ne zagotovi skladnost zadevnega izdelka s to uredbo.
Člen 46
Skladni izdelki z digitalnimi elementi, ki pomenijo povečano tveganje za kibernetsko varnost
1. Če organ za nadzor trga države članice po izvedbi ocene iz člena 43 ugotovi, da so izdelek z digitalnimi elementi in postopki, ki jih je vzpostavil proizvajalec, sicer skladni s to uredbo, vendar kljub temu pomenijo povečano tveganje za kibernetsko varnost, poleg tega pa pomenijo tudi tveganje za varnost ali zdravje oseb, tveganje za skladnost z obveznostmi na podlagi zakonodaje Unije ali nacionalne zakonodaje, namenjene varstvu temeljnih pravic, tveganje za razpoložljivost, avtentičnost, celovitost ali zaupnost storitev, ki jih z uporabo elektronskega informacijskega sistema zagotavljajo bistveni subjekti iz člena 3 Direktive (EU) 2022/2555, ali tveganje za druge vidike zaščite javnega interesa, od zadevnega gospodarskega subjekta zahteva, naj sprejme vse ustrezne ukrepe za zagotovitev, da zadevni izdelek z digitalnimi elementi in postopki, ki jih je vzpostavil proizvajalec, ko so dani na trg, ne pomenijo več navedenega tveganja, oziroma naj izdelek z digitalnimi elementi umakne s trga ali ga odpokliče v razumnem roku, ki je sorazmeren z naravo tveganja.
2. Proizvajalec ali drugi zadevni gospodarski subjekti zagotovijo izvedbo popravnih ukrepov glede zadevnih izdelkov z digitalnimi elementi, katerih dostopnost na trgu so omogočili kjer koli v Uniji, v roku, ki ga predpiše organ za nadzor trga države članice iz odstavka 1.
3. Država članica takoj obvesti Komisijo in druge države članice o ukrepih, sprejetih v skladu z odstavkom 1. Navedene informacije vsebujejo vse razpoložljive podrobnosti, zlasti podatke, potrebne za identifikacijo zadevnih izdelkov z digitalnimi elementi, poreklo in oskrbovalno verigo navedenih izdelkov z digitalnimi elementi, naravo tveganja ter vrsto in trajanje sprejetih nacionalnih ukrepov.
4. Komisija se brez odlašanja posvetuje z državami članicami in zadevnim gospodarskim subjektom ter oceni sprejete nacionalne ukrepe. Na podlagi rezultatov navedenega ocenjevanja odloči, ali je ukrep upravičen ali ne, in po potrebi predlaga ustrezne ukrepe.
5. Komisija svojo odločitev naslovi na države članice.
6. Če ima Komisija zadostne razloge za domnevo, tudi na podlagi informacij, ki jih zagotovi agencija ENISA, da izdelek z digitalnimi elementi, ki je sicer skladen s to uredbo, pomeni tveganja iz odstavka 1, lahko od zadevnega organa ali organov za nadzor trga zahteva, naj opravijo oceno skladnosti in izvedejo postopke iz člena 43 ter iz odstavkov 1, 2 in 3 tega člena.
7. V ▌okoliščinah, ki zahtevajo takojšnje ukrepanje za ohranitev dobrega delovanja notranjega trga, in če ima Komisija zadostne razloge za mnenje, da izdelek iz odstavka 6 še vedno pomeni tveganja iz odstavka 1, zadevni nacionalni organi za nadzor trga pa niso sprejeli učinkovitih ukrepov, lahko od agencije ENISA zahteva, naj opravi oceno tveganj navedenega izdelka, ter o tem obvesti zadevne organe za nadzor trga. Zadevni gospodarski subjekti sodelujejo z agencijo ENISA, kakor je potrebno.
8. Komisija ▌na podlagi ocene agencije ENISA iz odstavka 7 določi ▌popravni ali omejevalni ukrep na ravni Unije, če je to potrebno. V ta namen se brez odlašanja posvetuje z zadevnimi državami članicami in gospodarskim subjektom ali subjekti.
9. Na podlagi posvetovanja iz odstavka 8 lahko Komisija sprejme izvedbene akte, s katerimi odloči o popravnih ali omejevalnih ukrepih na ravni Unije, vključno z odreditvijo umika s trga ali odpoklica v razumnem roku, ki je sorazmeren z naravo tveganja. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 51(2).
10. Komisija odločitev iz odstavka 9 takoj sporoči zadevnemu gospodarskemu subjektu ali subjektom. Države članice takšne akte brez odlašanja izvedejo in o tem obvestijo Komisijo.
11. Odstavki 6 do 10 se uporabljajo, dokler trajajo izredne razmere, ki upravičujejo poseg Komisije, in dokler zadevni izdelek še pomeni tveganja iz odstavka 1.
Člen 47
Formalna neskladnost
1. Če organ za nadzor trga države članice ugotovi eno od naslednjih dejstev, od zadevnega proizvajalca zahteva, naj zadevno neskladnost odpravi:
(a) oznaka skladnosti ni nameščena v skladu s členoma 21 in 22;
(b) oznaka skladnosti ni nameščena;
(c) izjava EU o skladnosti ni pripravljena;
(d) izjava EU o skladnosti ni pravilno pripravljena;
(e) identifikacijska številka priglašenega organa, ki je vključen v postopek ugotavljanja skladnosti, če je ustrezno, ni nameščena;
(f) tehnična dokumentacija ni na voljo ali ni popolna.
2. Če se neskladnost iz odstavka 1 nadaljuje, zadevna država članica sprejme vse ustrezne ukrepe za omejitev ali prepoved dostopnosti izdelka z digitalnimi elementi na trgu ali pa zagotovi njegov odpoklic oziroma umik s trga.
Člen 48
Skupne dejavnosti organov za nadzor trga
1. Organi za nadzor trga izvajajo skupne dejavnosti, katerih cilj je zagotoviti kibernetsko varnost in varstvo potrošnikov glede posameznih izdelkov z digitalnimi elementi, ki se dajo na trg ali katerih dostopnost se zagotovi na trgu, zlasti izdelkov, pri katerih se pogosto ugotovi, da pomenijo tveganje za kibernetsko varnost.
2. Komisija ali agencija ENISA ▌predlaga skupne dejavnosti za preverjanje skladnosti s to uredbo, ki jih izvedejo organi za nadzor trga na podlagi znakov ali informacij o morebitni neskladnosti izdelkov, ki spadajo na področje uporabe te uredbe, z zahtevami iz te uredbe v več državah članicah.
3. Organi za nadzor trga in Komisija, če je ustrezno, zagotovijo, da sporazum o izvajanju skupnih dejavnosti ne povzroči nelojalne konkurence med gospodarskimi subjekti ter ne vpliva negativno na objektivnost, neodvisnost in nepristranskost strank sporazuma.
4. Organ za nadzor trga lahko v okviru vsake preiskave, ki jo izvaja, uporabi vse informacije, pridobljene iz skupnih dejavnosti.
5. Zadevni organ za nadzor trga in Komisija, če je ustrezno, omogočita dostop javnosti do sporazuma o skupnih dejavnostih, vključno z imeni strank.
Člen 49
Usklajene preiskave
1. Organi za nadzor trga redno izvajajo sočasne usklajene kontrolne ukrepe (usklajene preiskave) posameznih izdelkov z digitalnimi elementi ali njihovih kategorij, da se preveri njihova skladnost s to uredbo ali da se odkrijejo kršitve te uredbe. Usklajene preiskave vključujejo inšpekcijske preglede izdelkov, pridobljenih pod skrivno identiteto, njihov cilj pa je preveriti skladnost teh izdelkov s to uredbo.
2. Če se vključeni organi za nadzor trga ne dogovorijo drugače, usklajene preiskave usklajuje Komisija. Koordinator usklajenih preiskav ▌javno objavi zbirne rezultate.
3. Agencija ENISA ▌pri izvajanju svojih nalog, tudi na podlagi obvestil, prejetih v skladu s členom 11(1) in (2), opredeli kategorije izdelkov, glede katerih se organizirajo usklajene preiskave. Predlog za usklajene preiskave se predloži potencialnemu koordinatorju iz odstavka 2 v obravnavo organom za nadzor trga.
4. Pri izvajanju usklajenih preiskav lahko vključeni organi za nadzor trga uporabijo preiskovalna pooblastila iz členov 41 do 47 in vsa druga pooblastila, ki so jim podeljena z nacionalno zakonodajo.
5. Organi za nadzor trga ▌k sodelovanju pri usklajenih preiskavah povabijo uradnike Komisije in drugo spremljevalno osebje, ki ga je pooblastila Komisija.
POGLAVJE VI
PRENESENA POOBLASTILA IN POSTOPEK V ODBORU
Člen 50
Izvajanje prenosa pooblastila
1. Pooblastilo za sprejemanje delegiranih aktov se prenese na Komisijo pod pogoji iz tega člena.
2. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov iz člena 2(4), člena 6(2), (3) in (5), člena 10(15), člena 11(5), člena 18(4), člena 19(1), člena 20(5) ter člena 23(5).
3. Evropski parlament ali Svet lahko kadar koli prekliče prenos pooblastila iz člena 2(4), člena 6(2), (3) in (5), člena 10(15), člena 11(5), člena 18(4), člena 19(1), člena 20(5) ter člena 23(5). S sklepom o preklicu preneha veljati prenos pooblastila, navedenega v njem. Sklep začne veljati dan po njegovi objavi v Uradnem listu Evropske unije ali na poznejši datum, kakor je določen v navedenem sklepu. Sklep ne vpliva na veljavnost že veljavnih delegiranih aktov.
4. Komisija se pred sprejetjem delegiranega akta posvetuje s strokovnjaki, ki jih imenuje vsaka država članica, v skladu z načeli iz Medinstitucionalnega sporazuma z dne 13. aprila 2016 o boljši pripravi zakonodaje.
5. Komisija takoj po sprejetju delegiranega akta o njem sočasno uradno obvesti Evropski parlament in Svet.
6. Delegirani akt, sprejet v skladu s členom 2(4), členom 6(2), (3) in (5), členom 10(15), členom 11(5), členom 18(4), členom 19(1), členom 20(5) ali členom 23(5), začne veljati le, če mu v dveh mesecih od uradnega obvestila Evropskemu parlamentu in Svetu o navedenem aktu ne nasprotuje nobeden od navedenih dveh organov ali če pred iztekom tega roka Evropski parlament in Svet obvestita Komisijo, da mu ne bosta nasprotovala. Na pobudo Evropskega parlamenta ali Sveta se ta rok podaljša za dva meseca.
Člen 51
Postopek v odboru
1. Komisiji pomaga odbor. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.
2. Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.
3. Kadar je treba pridobiti mnenje odbora na podlagi pisnega postopka, se ta postopek zaključi brez izida, če se v roku za izdajo mnenja za to odloči predsednik odbora ali tako zahteva član odbora.
POGLAVJE VII
ZAUPNOST IN KAZNI
Člen 52
Zaupnost
1. Vse stranke, ki so vključene v uporabo te uredbe, spoštujejo zaupnost informacij in podatkov, pridobljenih pri opravljanju svojih nalog in dejavnosti, tako da varujejo zlasti:
(a) pravice intelektualne lastnine in zaupne poslovne informacije ali poslovne skrivnosti fizične ali pravne osebe, vključno z izvorno kodo, razen v primerih iz člena 5 Direktive (EU) 2016/943 Evropskega parlamenta in Sveta[38];
(b) učinkovito izvajanje te uredbe, zlasti za namene inšpekcijskih pregledov, raziskav ali presoj;
(c) javne interese in interese nacionalne varnosti;
(d) celovitost kazenskih ali upravnih postopkov.
2. Brez poseganja v odstavek 1 se informacije, ki si jih zaupno izmenjajo organi za nadzor trga ter organi za nadzor trga in Komisija, ne razkrijejo brez predhodnega dogovora z organom za nadzor trga, ki jih je sporočil.
3. Odstavka 1 in 2 ne vplivata na pravice in obveznosti Komisije, držav članic in priglašenih organov v zvezi z izmenjavo informacij in razširjanjem opozoril ali na obveznosti zadevnih oseb, da zagotovijo podatke v skladu s kazenskim pravom držav članic.
4. Komisija in države članice lahko izmenjajo, če je potrebno, občutljive informacije z zadevnimi organi tretjih držav, s katerimi so sklenile dvostranske ali večstranske dogovore o zaupnosti, ki zagotavljajo ustrezno raven varstva.
Člen 53
Kazni
1. Države članice določijo pravila o kaznih, ki se uporabljajo za kršitve te uredbe s strani gospodarskih subjektov, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvršujejo. Kazni so učinkovite, sorazmerne in odvračilne. Države članice zagotovijo, da se v teh pravilih upoštevajo finančne zmožnosti mikro-, malih in srednjih podjetij.
2. Države članice o teh pravilih in ukrepih uradno obvestijo Komisijo brez odlašanja in jo brez odlašanja uradno obvestijo o vsakršni naknadni spremembi, ki nanje vpliva. Komisija zagotovi, da se ta pravila in ukrepi uporabljajo enotno in dosledno po vsej Uniji.
3. Neskladnost z bistvenimi zahtevami glede kibernetske varnosti iz Priloge I ter neizpolnjevanje obveznosti iz členov 10 in 11 se kaznuje z upravno globo v višini do 15 000 000 EUR ali, če je kršitelj podjetje, v višini do 2,5 % njegovega skupnega svetovnega letnega prometa v preteklem poslovnem letu, pri čemer se upošteva višji znesek.
4. Neizpolnjevanje katere koli druge obveznosti iz te uredbe se kaznuje z upravno globo v višini do 10 000 000 EUR ali, če je kršitelj podjetje, v višini do 2 % njegovega skupnega svetovnega letnega prometa v preteklem poslovnem letu, pri čemer se upošteva višji znesek.
5. Predložitev netočnih, nepopolnih ali zavajajočih informacij priglašenim organom in organom za nadzor trga v odgovor na njihovo zahtevo se kaznuje z upravno globo v višini do 5 000 000 EUR ali, če je kršitelj podjetje, v višini do 1 % njegovega skupnega svetovnega letnega prometa v preteklem poslovnem letu, pri čemer se upošteva višji znesek.
6. Pri odločanju o znesku upravne globe v vsakem posameznem primeru se upoštevajo vse zadevne okoliščine konkretnega primera, pri tem pa se ustrezno upošteva tudi naslednje:
(a) vrsta, resnost in trajanje kršitve ter njenih posledic;
(aa) ali je kršitev nenaklepna;
(b) ali so isti ali drugi organi za nadzor trga istemu gospodarskemu subjektu za podobno kršitev že naložili upravne globe;
(c) velikost, zlasti v zvezi z mikropodjetji, malimi in srednjimi podjetji, vključno z zagonskimi podjetji, in tržni delež gospodarskega subjekta, ki je storil kršitev.
7. Organi za nadzor trga, ki naložijo upravne globe, o tem obvestijo organe za nadzor trga drugih držav članic prek informacijskega in komunikacijskega sistema iz člena 34 Uredbe (EU) 2019/1020.
8. Vsaka država članica določi pravila o tem, ali in v kolikšni meri se lahko javnim organom in telesom s sedežem v zadevni državi članici naložijo upravne globe.
9. Glede na pravni sistem držav članic se lahko pravila o upravnih globah uporabljajo tako, da globe naložijo pristojna nacionalna sodišča ali drugi organi v skladu s pristojnostmi, ki so jim na nacionalni ravni dodeljene v zadevnih državah članicah. Uporaba takih pravil v navedenih državah članicah ima enakovreden učinek.
10. Glede na okoliščine posamezne zadeve se lahko upravne globe naložijo poleg katerih koli drugih popravnih ali omejevalnih ukrepov, ki jih za isto kršitev naložijo organi za nadzor trga.
Člen 53a
Dodelitev prihodkov od kazni
Države članice prihodke od kazni iz člena 53(1) dodelijo projektom, ki zvišujejo raven kibernetske varnosti v Uniji. Ti projekti imajo vsaj enega od naslednjih ciljev:
(a) povečanje števila usposobljenih strokovnjakov na področju kibernetske varnosti, zlasti žensk;
(b) krepitev zmogljivosti za mikro-, mala in srednja podjetja, da bi ta lažje dosegala skladnost s to uredbo;
(c) izboljšati ozaveščanje javnosti o kibernetskih grožnjah, zlasti v zvezi z njihovim preprečevanjem in obvladovanjem;
(d) razviti orodja za povečanje odpornosti podjetij Unije na kibernetsko omogočeno krajo intelektualne lastnine.
POGLAVJE VIII
PREHODNE IN KONČNE DOLOČBE
Člen 54
Sprememba Uredbe (EU) 2019/1020
V Prilogi I k Uredbi (EU) 2019/1020 se doda naslednja točka:
‘71. [Uredba XXX][akt o kibernetski odpornosti]“.
Člen 54a
Spremembe Direktive (EU) 2020/1828
V Prilogi I k Direktivi (EU) št. 2020/1828 Evropskega parlamenta in Sveta[39] se doda naslednja točka:
‘67. [Uredba XXX][akt o kibernetski odpornosti]“.
Člen 55
Prehodne določbe
1. Potrdila o EU-pregledu tipa in sklepi o odobritvi, izdani glede zahtev v zvezi s kibernetsko varnostjo za izdelke z digitalnimi elementi, za katere se uporablja druga harmonizacijska zakonodaja Unije, ostanejo veljavni do [42 mesecev po datumu začetka veljavnosti te uredbe], razen če potečejo pred tem datumom ali če je drugače določeno v drugi zakonodaji Unije, pri čemer v takem primeru ostanejo veljavni, kakor je določeno v navedeni zakonodaji Unije.
2. Za izdelke z digitalnimi elementi, ki so bili dani na trg pred [datum začetka uporabe te uredbe, naveden v členu 57], se zahteve iz te uredbe uporabljajo le, če se navedenim izdelkom po navedenem datumu bistveno spremeni zasnova ali predvideni namen.
3. Z odstopanjem od odstavka 2 se obveznosti iz člena 11 uporabljajo za vse izdelke z digitalnimi elementi na področju uporabe te uredbe, ki so bili dani na trg pred [datum začetka uporabe te uredbe, naveden v členu 57].
3a. Do datuma uporabe te uredbe lahko proizvajalci prostovoljno izpolnjujejo zahteve iz te uredbe. Kadar proizvajalci delujejo skladno s to uredbo v zvezi s svojimi izdelki z digitalnimi elementi, se šteje, da delujejo tudi skladno z Delegirano uredbo (EU) 2022/30.
Komisija razveljavi Delegirano uredbo (EU) 2022/30 na dan, ko se začne uporabljati ta uredba.
Člen 56
Ocena in pregled
1. Komisija v [36 mesecih po datumu začetka uporabe te uredbe] ter nato vsaka štiri leta Evropskemu parlamentu in Svetu predloži poročilo o oceni in pregledu te uredbe. Poročila se objavijo.
2. Komisija vsako leto ob predstavitvi predloga proračuna za naslednje leto predloži podrobno oceno nalog agencije ENISA v skladu s to uredbo, kot je določeno v Prilogi VIa in drugi ustrezni zakonodaji Unije, ter podrobno navede finančne in človeške vire, potrebne za izpolnitev teh nalog.
Člen 57
Začetek veljavnosti in uporaba
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Uporablja se od [36 mesecev od datuma začetka veljavnosti te uredbe]. Člen 11 pa se uporablja od [18 mesecev od datuma začetka veljavnosti te uredbe].
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
V ▌,
Za Evropski parlament Za Svet
predsednica predsednik
PRILOGA I
BISTVENE ZAHTEVE GLEDE KIBERNETSKE VARNOSTI
1. Varnostne zahteve, ki se nanašajo na lastnosti izdelkov z digitalnimi elementi(1) Izdelki z digitalnimi elementi so zasnovani, razviti in proizvedeni tako, da zagotavljajo ustrezno raven kibernetske varnosti glede na tveganja.
▌
(3) Na podlagi ocene tveganja za kibernetsko varnost iz člena 10(2) in če je ustrezno, za izdelke z digitalnimi elementi velja naslednje:
(-a) so na voljo brez znanih ranljivosti, ki jih je mogoče izkoristiti;
(a) so na voljo s konfiguracijo po načelu privzete varnosti, če se stranke v medpodjetniškem poslovanju niso dogovorile drugače, vključno z možnostjo ponastavitve izdelka v prvotno stanje, pri tem pa ohranjajo vse varnostne posodobitve;
(aa) kadar je to tehnično izvedljivo, so dostopni na trgu s funkcionalno ločitvijo med varnostnimi posodobitvami in posodobitvami funkcionalnosti;
(ab) zagotavljajo samodejne varnostne posodobitve z jasnim in preprostim mehanizmom odklonitve ter obveščanje uporabnikov o razpoložljivih posodobitvah;
(b) z ustreznimi nadzornimi mehanizmi zagotavljajo zaščito pred nepooblaščenim dostopom, med drugim tudi s sistemi avtentikacije, upravljanja identitete ali upravljanja dostopa;
(c) varujejo zaupnost shranjenih, prenesenih ali drugače obdelanih podatkov, osebnih ali drugih, na primer s šifriranjem zadevnih podatkov v mirovanju ali pri prenosu z najnovejšimi mehanizmi in z uporabo drugih tehničnih sredstev;
(d) varujejo celovitost shranjenih, prenesenih ali drugače obdelanih podatkov, osebnih ali drugih, ukazov, programov in nastavitev pred kakršnim koli poseganjem ali spreminjanjem, ki ga ne odobri uporabnik, ter poročajo o okvarah podatkov ali morebitnem nepooblaščenem dostopu;
(e) obdelujejo le tiste podatke, osebne ali druge, ki so ustrezni, relevantni in omejeni na tisto, kar je potrebno glede na predvideno uporabo izdelka (načelo najmanjšega obsega podatkov);
(f) varujejo razpoložljivost ključnih in osnovnih funkcij, tudi po incidentu, vključno z upravljanjem varnostnih kopij in odpornostjo proti napadom za zavrnitev storitve in ukrepi za zmanjšanje negativnih vplivov takih napadov;
(g) zmanjšujejo lasten negativni vpliv na razpoložljivost storitev, ki jih zagotavljajo druge naprave ali omrežja;
(h) zasnovani, razviti in izdelani so tako, da se omejijo napadne površine, vključno z zunanjimi vmesniki;
(i) zasnovani, razviti in izdelani so tako, da se zmanjša vpliv incidenta z uporabo ustreznih mehanizmov in tehnik za zmanjšanje negativnih vplivov izrabljanja;
(j) zagotavljajo informacije, ki se nanašajo na varnost, in sicer z zmogljivostmi za beleženje in/ali spremljanje zadevnih internih dejavnosti, vključno z dostopom do podatkov, storitev ali funkcij ali njihovim spreminjanjem, z mehanizmom odklonitve za uporabnika;
▌
(ka) omogočajo uporabnikom, da varno odstranijo in trajno izbrišejo svoje podatke.
2. Zahteve glede obravnavanja ranljivostiProizvajalci izdelkov z digitalnimi elementi:
(1) opredelijo in dokumentirajo ranljivosti in sestavne dele izdelka, vključno s pripravo kosovnice za programsko opremo v splošno uporabni in strojno berljivi obliki, ki vsebuje vsaj najpomembnejše odvisnosti izdelka;
(2) brez odlašanja obravnavajo in odpravijo ranljivosti v zvezi s tveganji za izdelke z digitalnimi elementi, tudi z zagotavljanjem varnostnih posodobitev, ki se po potrebi samodejno namestijo v skladu z Oddelkom I;
(3) izvajajo učinkovita in redna preverjanja in preglede varnosti izdelkov z digitalnimi elementi;
(4) ko je na voljo varnostna posodobitev, delijo in javno razkrijejo informacije o odpravljenih ranljivostih na nadzorovan način, vključno z opisom ranljivosti, informacijami, ki uporabnikom omogočajo opredeliti prizadeti izdelek z digitalnimi elementi, vplivi ranljivosti, njihovo resnostjo ter jasnimi in dostopnimi informacijami, ki uporabnikom omogočajo odpravo ranljivosti;
(5) vzpostavijo in izvršujejo politiko usklajenega razkritja ranljivosti;
(6) sprejmejo ukrepe za lajšanje izmenjave informacije o potencialnih ranljivostih svojih izdelkov z digitalnimi elementi ter sestavnih delov tretjih oseb, ki jih taki izdelki vsebujejo, tudi z zagotavljanjem kontaktnega naslova za poročanje o odkritih ranljivostih v izdelkih z digitalnimi elementi;
(7) zagotovijo mehanizme za varno razširjanje varnostnih posodobitev za izdelke z digitalnimi elementi, da se zagotovi pravočasna odprava ali zmanjšanje ranljivosti, ki bi jih bilo mogoče izrabiti;
(8) brez odlašanja in, če se stranke v medpodjetniškem poslovanju niso dogovorile drugače, brezplačno zagotovijo razširjanje varnostnih popravkov ali posodobitev, kadar so ti na voljo za odpravo zaznanih varnostnih težav, ter jim priložijo nasvete za uporabnike z ustreznimi informacijami, tudi o morebitnih ukrepih, ki jih morajo ti sprejeti;
(8a) kadar je to mogoče in ustrezno, obvestijo uporabnika o koncu obdobja podpore.
PRILOGA II
INFORMACIJE IN NAVODILA ZA UPORABNIKA
Ob izdelku z digitalnimi elementi se navedejo vsaj:
1. ime, registrirano trgovsko ime ali registrirana blagovna znamka proizvajalca, poštni in elektronski naslov ter spletno mesto, če je na voljo, na katerem je proizvajalec dosegljiv, in sicer na izdelku ali ▌na njegovi embalaži ali v spremni dokumentaciji;
2. enotna kontaktna točka, kjer je mogoče sporočiti in prejeti informacije o ranljivostih izdelka na področju kibernetske varnosti, ter politika proizvajalca o usklajenih ranljivostih in kje jo je mogoče najti;
3. pravilna opredelitev vrste, serije, različice ali serijske številke ali drugega elementa, ki omogoča identifikacijo izdelka, ter ustrezna navodila in informacije za uporabnika;
4. predvidena uporaba, vključno z varnostnim okoljem, ki ga zagotavlja proizvajalec, ter ključne funkcije in informacije o varnostnih lastnostih;
5. vse znane ali predvidljive okoliščine, povezane z uporabo izdelka z digitalnimi elementi v skladu z njegovim predvidenim namenom ali v razmerah razumno predvidljive napačne uporabe, ki lahko pripeljejo do povečanega tveganja za kibernetsko varnost;
6. informacija o tem, ali tudi, če je ustrezno, kje je pristojnim organom v skladu s pogoji za nerazkritje iz člena 52 na voljo kosovnica za programsko opremo;
7. če je ustrezno, spletni naslov, kjer je na voljo izjava EU o skladnosti;
8. vrsta tehnične varnostne podpore, ki jo ponuja proizvajalec, in obdobje podpore, v katerem lahko uporabniki pričakujejo odpravo ranljivosti in prejemanje varnostnih posodobitev;
9. podrobna navodila ali spletni naslov s takimi podrobnimi navodili in informacijami o:
(a) potrebnih ukrepih v času začetne uporabe in v celotnem življenjskem ciklu izdelka, da se zagotovi njegova varna uporaba;
(b) tem, kako lahko spremembe izdelka vplivajo na varnost podatkov;
(c) nameščanju posodobitev, ki so pomembne za varnost;
(d) varnem prenehanju uporabe izdelka, vključno z informacijami o varni odstranitvi podatkov o uporabniku.
PRILOGA III
KRITIČNI IZDELKI Z DIGITALNIMI ELEMENTI
Razred I
1. Programska oprema za sisteme za upravljanje identitete ter programska oprema za upravljanje privilegiranih dostopov
2. Samostojni in vgrajeni brskalniki
3. Upravitelji gesel
3a. Biometrični čitalniki
4. Programska oprema, ki išče, odstranjuje ali daje v karanteno zlonamerno programsko opremo
5. Izdelki z digitalnimi elementi s funkcijo navideznega zasebnega omrežja (VPN)
6. Sistemi za upravljanje omrežja
7. Orodja za upravljanje konfiguracije omrežja
8. Sistemi za spremljanje omrežnega prometa
9. Upravljanje omrežnih virov
10. Varnostni sistemi za upravljanje informacij in dogodkov (SIEM)
11. Upravljanje posodobitev/popravkov, vključno z upravitelji zagona
12. Sistemi za upravljanje konfiguracije aplikacij
13. Programska oprema za oddaljeni dostop ▌
14. Programska oprema za upravljanje mobilnih naprav
15. Fizični in navidezni omrežni vmesniki
16. Operativni sistemi, ki ne spadajo v razred II
17. Požarni zidovi, sistemi za zaznavanje in/ali preprečevanje vdorov, ki ne spadajo v razred II
19. Mikroprocesorji za splošno rabo in mikroprocesorji, ki ne spadajo v razred II;
20. Mikrokrmilniki
21. Integrirana vezja za določen namen (ASIC) in programljive matrike logičnih vrat (FPGA), namenjeni uporabi s strani bistvenih subjektov, kakor so navedeni v členu 3 Direktive (EU) 2022/2555
22. Nadzorni sistemi za industrijsko avtomatizacijo (IACS), ki ne spadajo v razred II, kakor so programljivi logični krmilniki (PLC), sistemi za porazdeljen nadzor (DCS), računalniški krmilniki obdelovalnih strojev (CNC), industrijski roboti in njihovi krmilni sistemi, premični delovni stroji ter sistemi, namenjeni nadzorovanju in krmiljenju tehnološkega procesa z računalnikom (SCADA)
23. Industrijski internet stvari, ki ne spada v razred II
23a. Sistemi za avtomatizacijo doma, vključno s strežniki za pametni dom in virtualnimi pomočniki
23b. Varnostne naprave, vključno s pametnimi ključavnicami, kamerami in alarmnimi sistemi
23c. Pametne igrače
23d. Osebni zdravstveni pripomočki in nosljivi pripomočki
Razred II
1. Operacijski sistemi za strežnike, namizne računalnike in mobilne naprave
2. Hipernadzorniki in izvajalni sistemi vsebnika, ki podpirajo virtualizirano delovanje operacijskih sistemov in podobnih okolij
3. Infrastruktura javnih ključev in izdajatelji digitalnih certifikatov
4. Požarni zidovi, sistemi za zaznavanje in/ali preprečevanje vdorov, namenjeni industrijski uporabi
▌
6. Mikroprocesorji, namenjeni vključitvi v programljive logične krmilnike in varnostne elemente
7. Usmerjevalniki, modemi, namenjeni povezovanju z internetom, in stikala ▌
8. Varnostni elementi
9. Varnostni moduli strojne opreme (HSM)
10. Varni kriptoprocesorji
11. Pametne kartice, čitalniki pametnih kartic in žetoni
12. Nadzorni sistemi za industrijsko avtomatizacijo (IACS), namenjeni uporabi s strani bistvenih subjektov, kakor so navedeni v členu 3 Direktive (EU) 2022/2555, kakor so programljivi logični krmilniki (PLC), sistemi za porazdeljen nadzor (DCS), računalniški krmilniki obdelovalnih strojev (CNC) ter sistemi, namenjeni nadzorovanju in krmiljenju tehnološkega procesa z računalnikom (SCADA)
13. Naprave v industrijskem internetu stvari, namenjene uporabi s strani bistvenih subjektov, kakor so navedeni v členu 3 Direktive (EU) 2022/2555
▌
15. Pametni števci
PRILOGA IV
IZJAVA EU O SKLADNOSTI
Izjava EU o skladnosti iz člena 20 vsebuje vse naslednje informacije:
1. ime, vrsto in vse dodatne informacije, ki omogočajo edinstveno identifikacijo izdelka z digitalnimi elementi;
2. ime in naslov proizvajalca ali njegovega pooblaščenega predstavnika;
3. izjavo, da je za izdajo izjave EU o skladnosti odgovoren izključno proizvajalec;
4. predmet izjave (identifikacija izdelka, ki omogoča sledljivost; če je ustrezno, se lahko priloži fotografija);
5. izjavo, da je predmet zgoraj navedene izjave skladen z ustrezno harmonizacijsko zakonodajo Unije;
6. sklice na morebitne uporabljene ustrezne harmonizirane standarde ali druge skupne specifikacije ali certifikacijske sheme kibernetske varnosti, v zvezi s katerimi se zatrjuje skladnost;
7. če je ustrezno, ime in številko priglašenega organa, opis opravljenega postopka ugotavljanja skladnosti in identifikacijo izdanega potrdila;
8. dodatne informacije:
Podpisano v imenu in za račun: …………………………………
(kraj in datum izdaje):
(ime, funkcija) (podpis)
PRILOGA V
VSEBINA TEHNIČNE DOKUMENTACIJE
Tehnična dokumentacija iz člena 23 vsebuje vsaj naslednje informacije, kakor velja za zadevni izdelek z digitalnimi elementi:
1. splošni opis izdelka z digitalnimi elementi, ki vključuje:
(a) njegov predvideni namen;
(b) različice programske opreme, ki vplivajo na skladnost z bistvenimi zahtevami;
(c) če je izdelek z digitalnimi elementi izdelek strojne opreme, fotografije ali ilustracije, ki prikazujejo zunanje značilnosti, oznake in notranjo razporeditev;
(d) informacije za uporabnika in navodila, kakor so navedena v Prilogi II;
2. opis zasnove, razvoja in proizvodnje izdelka ter postopkov obravnavanja ranljivosti, ki vključuje:
(a) popolne informacije o zasnovi in razvoju izdelka z digitalnimi elementi, vključno z, če je ustrezno, risbami in shemami in/ali opisom strukture sistema, iz katerega izhaja, kako sestavni deli programske opreme temeljijo drug na drugem oziroma kako se dopolnjujejo ter kako se vključujejo v celotno delovanje;
(b) popolne informacije in specifikacije postopkov obravnavanja ranljivosti, ki jih je vzpostavil proizvajalec, vključno s kosovnico za programsko opremo, usklajeno politiko razkrivanja ranljivosti, dokazilom o zagotavljanju kontaktnega naslova za poročanje o ranljivostih ter opisom tehničnih rešitev, izbranih za varno razširjanje posodobitev;
(c) popolne informacije in specifikacije postopkov proizvodnje in spremljanja izdelka z digitalnimi elementi ter preverjanja teh postopkov;
3. oceno tveganja za kibernetsko varnost, ki je upoštevana pri zasnovi, razvoju, proizvodnji, dobavi in vzdrževanju izdelka z digitalnimi elementi, kakor določa člen 10 te uredbe, vključno s tem, kako se uporabljajo bistvene zahteve iz Priloge I, Oddelek 1;
4. seznam harmoniziranih standardov, ki se uporabljajo v celoti ali delno in katerih sklici so bili objavljeni v Uradnem listu Evropske unije, skupnih specifikacij, kakor so določene v členu 19 te uredbe, ali certifikacijskih shem kibernetske varnost iz Uredbe (EU) 2019/881 v skladu s členom 18(3) ter, če navedeni harmonizirani standardi, skupne specifikacije ali certifikacijske sheme kibernetske varnosti niso bili uporabljeni, opis rešitev, sprejetih za izpolnitev bistvenih zahtev iz oddelkov 1 in 2 Priloge I, vključno s seznamom drugih ustreznih tehničnih specifikacij, ki so bile uporabljene. V primeru delne uporabe harmoniziranih standardov, skupnih specifikacij ali certifikacijskih shem kibernetske varnosti se v tehnični dokumentaciji navedejo deli, ki so bili uporabljeni;
5. poročila o preskusih, opravljenih za preverjanje skladnosti izdelka in postopkov obravnavanja ranljivosti z veljavnimi bistvenimi zahtevami, kakor so določene v oddelkih 1 in 2 Priloge I;
6. izvod izjave EU o skladnosti;
7. če je ustrezno, kosovnico za programsko opremo, kakor je opredeljena v členu 3, točka 37, na podlagi obrazložene zahteve organa za nadzor trga, če je to potrebno, da lahko navedeni organ preveri skladnost z bistvenimi zahtevami iz Priloge I.
PRILOGA VI
POSTOPKI UGOTAVLJANJA SKLADNOSTI
Postopek ugotavljanja skladnosti, ki temelji na notranjem nadzoru (na podlagi modula A)
1. Notranji nadzor je postopek ugotavljanja skladnosti, pri katerem proizvajalec izpolni obveznosti iz točk 2, 3 in 4 ter zagotovi in na podlagi izključne odgovornosti izjavi, da izdelki z digitalnimi elementi izpolnjujejo vse bistvene zahteve iz oddelka 1 Priloge I ter da proizvajalec izpolnjuje bistvene zahteve iz oddelka 2 Priloge I.
2. Proizvajalec pripravi tehnično dokumentacijo, navedeno v Prilogi IV.
3. Zasnova, razvoj, proizvodnja in obravnavanje ranljivosti izdelkov z digitalnimi elementi
Proizvajalec sprejme vse potrebne ukrepe, da postopki zasnove, razvoja, proizvodnje in obravnavanja ranljivosti ter njihovo spremljanje zagotavljajo skladnost izdelanih ali razvitih izdelkov z digitalnimi elementi in postopkov, ki jih je vzpostavil proizvajalec, z bistvenimi zahtevami iz oddelkov 1 in 2 Priloge I.
4. Oznaka skladnosti in izjava o skladnosti
4.1. Proizvajalec na vsak posamezen izdelek z digitalnimi elementi, ki izpolnjuje veljavne zahteve iz te uredbe, namesti oznako CE.
4.2. Proizvajalec za vsak izdelek z digitalnimi elementi pripravi pisno izjavo EU o skladnosti v skladu s členom 20 in jo za nacionalne organe skupaj s tehnično dokumentacijo hrani še deset let po tem, ko je bil izdelek z digitalnimi elementi dan na trg ali v obdobju podpore – kar koli od tega je daljše. V izjavi EU o skladnosti se opredeli izdelek z digitalnimi elementi, za katerega je bila pripravljena. Na zahtevo se pristojnim organom predloži izvod izjave EU o skladnosti.
5. Pooblaščeni predstavniki
Obveznosti proizvajalca iz točke 4 lahko v njegovem imenu in na njegovo odgovornost izpolni pooblaščeni predstavnik, če so navedene v pooblastilu.
EU-pregled tipa (na podlagi modula B)
1. EU-pregled tipa je del postopka ugotavljanja skladnosti, pri katerem priglašeni organ pregleda tehnično zasnovo in razvoj izdelka ter postopke obravnavanja ranljivosti, ki jih je vzpostavil proizvajalec, ter potrdi, da izdelek z digitalnimi elementi izpolnjuje bistvene zahteve iz oddelka 1 Priloge I in da proizvajalec izpolnjuje bistvene zahteve iz oddelka 2 Priloge I.
2. EU-pregled tipa se izvede z ugotavljanjem ustreznosti tehnične zasnove in razvoja izdelka s pregledom tehnične dokumentacije in dodatnih dokazil iz točke 3 ter s pregledom vzorcev enega ali več kritičnih delov izdelka (kombinacija tipa proizvodnje in tipa zasnove).
3. Proizvajalec vloži vlogo za EU-pregled tipa pri enem priglašenem organu po svoji izberi.
Vloga vsebuje:
– ime in naslov proizvajalca in, če vlogo vloži pooblaščeni predstavnik, tudi njegovo ime in naslov;
– pisno izjavo, da enaka vloga ni bila vložena pri nobenem drugem priglašenem organu;
– tehnično dokumentacijo, ki omogoča ugotavljanje skladnosti izdelka z veljavnimi bistvenimi zahtevami, kakor so določene v oddelku 1 Priloge I, in proizvajalčevih postopkov obravnavanja ranljivosti, kot je določeno v oddelku 2 Priloge I, ter vključuje ustrezno analizo in oceno tveganj. Tehnična dokumentacija opredeljuje veljavne zahteve in vključuje, če je to pomembno za ugotavljanje skladnosti, zasnovo, izdelavo in delovanje izdelka. Če je ustrezno, tehnična dokumentacija vsebuje vsaj elemente iz Priloge V;
– dodatna dokazila glede ustreznosti tehnične zasnove in razvojnih rešitev ter postopkov obravnavanja ranljivosti. V teh dodatnih dokazilih so navedeni vsi uporabljeni dokumenti, zlasti če ustrezni harmonizirani standardi in/ali tehnične specifikacije niso bili uporabljeni v celoti. Dodatna dokazila po potrebi vključujejo rezultate preskusov, ki jih je izvedel ustrezni laboratorij proizvajalca ali drug preskuševalni laboratorij v njegovem imenu in na njegovo odgovornost.
4. Priglašeni organ:
4.1. pregleda tehnično dokumentacijo in dodatna dokazila, da oceni ustreznost tehnične zasnove in razvoja izdelka glede na bistvene zahteve iz oddelka 1 Priloge I ter postopkov obravnavanja ranljivosti, ki jih je vzpostavil proizvajalec, glede na bistvene zahteve iz oddelka 2 Priloge I;
4.2. preveri, ali so bili vzorci razviti ali izdelani v skladu s tehnično dokumentacijo, ter določi elemente, ki so bili zasnovani in razviti v skladu z veljavnimi določbami ustreznih harmoniziranih standardov in/ali tehničnih specifikacij, pa tudi elemente, ki so bili zasnovani in razviti, ne da bi bile upoštevane ustrezne določbe navedenih standardov;
4.3. izvede ali naroči ustrezne preglede in preskuse, s katerimi preveri, ali je proizvajalec, če se je odločil za uporabo rešitev iz ustreznih harmoniziranih standardov in/ali tehničnih specifikacij za zahteve iz Priloge I, te pravilno upošteval;
4.4. izvede ali naroči ustrezne preglede in preskuse, s katerimi preveri, ali v primeru neuporabe rešitev iz ustreznih harmoniziranih standardov in/ali tehničnih specifikacij za zahteve iz Priloge I, rešitve, ki jih je uporabil proizvajalec, izpolnjujejo ustrezne bistvene zahteve;
4.5. se dogovori z proizvajalcem o kraju, kjer bodo opravljeni pregledi in preskusi.
5. Priglašeni organ sestavi poročilo o ocenjevanju, ki vsebuje dejavnosti, opravljene v skladu s točko 4, in njihove rezultate. Brez poseganja v obveznosti do priglasitvenih organov priglašeni organ objavi vsebino navedenega poročila v celoti ali delno le v dogovoru z proizvajalcem.
6. Če tip in postopki obravnavanja ranljivosti izpolnjujejo bistvene zahteve iz Priloge I, priglašeni organ proizvajalcu izda potrdilo o EU-pregledu tipa. Potrdilo vsebuje ime in naslov proizvajalca, ugotovitve pregleda, pogoje (če obstajajo) njegove veljavnosti in potrebne podatke za identifikacijo odobrenega tipa in postopka obravnavanja ranljivosti. Potrdilu je lahko priložena ena ali več prilog.
Potrdilo in njegove priloge vsebujejo vse potrebne informacije, da se lahko ocenijo skladnost izdelanih ali razvitih izdelkov s preskušenim tipom in postopki obravnavanja ranljivosti ter omogoči nadzor med uporabo.
Če tip in postopki obravnavanja ranljivosti ne izpolnjujejo veljavnih bistvenih zahtev iz Priloge I, priglašeni organ zavrne izdajo potrdila o EU-pregledu tipa in o tem obvesti vložnika s podrobno utemeljitvijo zavrnitve.
7. Priglašeni organ spremlja spremembe v splošno priznanem najnovejšem tehnološkem razvoju, iz katerih izhaja, da odobreni tip in postopki obravnavanja ranljivosti ne izpolnjujejo več veljavnih bistvenih zahtev iz Priloge I, ter določi, ali je zaradi takih sprememb potrebna nadaljnja preiskava. V takem primeru priglašeni organ o tem obvesti proizvajalca.
Proizvajalec obvesti priglašeni organ, ki hrani tehnično dokumentacijo o potrdilu o EU-pregledu tipa, o vseh spremembah odobrenega tipa in postopkov obravnavanja ranljivosti, ki bi lahko vplivali na skladnost z bistvenimi zahtevami iz Priloge I ali s pogoji veljavnosti potrdila. Take spremembe zahtevajo dodatno odobritev v obliki dodatka k izvirnemu potrdilu o EU-pregledu tipa.
8. Vsak priglašeni organ obvesti svoje priglasitvene organe o izdanih ali preklicanih potrdilih o EU-pregledu tipa in/ali dodatkih k takim potrdilom ter redno ali na zahtevo da na voljo priglasitvenim organom seznam zavrnjenih, začasno preklicanih ali drugače omejenih potrdil in/ali njihovih dodatkov.
Vsak priglašeni organ obvesti druge priglašene organe o zavrnjenih, umaknjenih, začasno preklicanih ali drugače omejenih potrdilih o EU-pregledu tipa in/ali dodatkih k takim potrdilom ter jih na zahtevo obvesti o izdanih potrdilih in/ali njihovih dodatkih.
Komisija, države članice in drugi priglašeni organi lahko na zahtevo dobijo izvode potrdil o EU-pregledu tipa in/ali njihovih dodatkov. Komisija in države članice lahko na zahtevo dobijo izvod tehnične dokumentacije in rezultate pregledov, ki jih je izvedel priglašeni organ. Priglašeni organ hrani izvod potrdila o EU-pregledu tipa, njegovih prilog in dodatkov ter tehnični spis, vključno z dokumentacijo, ki jo predloži proizvajalec, do izteka veljavnosti potrdila.
9. Še deset let po tem, ko je bil izdelek dan na trg, ali v obdobju podpore, proizvajalec nacionalnim organom zagotavlja izvod potrdila o EU-pregledu tipa, njegovih prilog in dodatkov, vključno s tehnično dokumentacijo.
10. Pooblaščeni predstavnik proizvajalca lahko vloži vlogo iz točke 3 ter izpolni obveznosti iz točk 7 in 9, če so navedene v pooblastilu.
Skladnost s tipom na podlagi notranje kontrole proizvodnje (na podlagi modula C)
1. Skladnost s tipom na podlagi notranje kontrole proizvodnje je del postopka ugotavljanja skladnosti, s katerim proizvajalec izpolni obveznosti iz točk 2 in 3 ter zagotovi in izjavi, da so zadevni izdelki v skladu s tipom, opisanim v potrdilu o EU-pregledu tipa, in da izpolnjujejo bistvene zahteve iz oddelka 1 Priloge I.
2. Proizvodnja
2.1. Proizvajalec sprejme vse potrebne ukrepe, da se v proizvodnji in njenem spremljanju zagotovi skladnost izdelanih izdelkov z odobrenim tipom, opisanim v potrdilu o EU-pregledu tipa, in z bistvenimi zahtevami iz oddelka 1 Priloge I.
3. Oznaka skladnosti in izjava o skladnosti
3.1. Proizvajalec namesti oznako CE na vsak posamezni izdelek, ki je skladen s tipom, opisanim v potrdilu o EU-pregledu tipa, in izpolnjuje veljavne zahteve iz zakonodajnega instrumenta.
3.2. Proizvajalec za vzorčni proizvod sestavi pisno izjavo o skladnosti in jo da na voljo nacionalnim organom 10 let po tem, ko je bil na trg dan proizvod, ali v obdobju podpore. V izjavi o skladnosti je opredeljen vzorčni izdelek, za katerega je bila pripravljena. Na zahtevo se pristojnim organom predloži izvod izjave o skladnosti.
4. Pooblaščeni predstavnik
Obveznosti proizvajalca iz točke 3 lahko v njegovem imenu in na njegovo odgovornost izpolni pooblaščeni predstavnik, če so navedene v pooblastilu.
Skladnost na podlagi popolnega zagotavljanja kakovosti (na podlagi modula H)
1. Skladnost na podlagi popolnega zagotavljanja kakovosti je postopek ugotavljanja skladnosti, pri katerem proizvajalec izpolni obveznosti iz točk 2 in 5 ter zagotovi in na podlagi izključne odgovornosti izjavi, da zadevni izdelki (ali kategorije izdelkov) izpolnjujejo bistvene zahteve iz oddelka 1 Priloge I ter da postopki obravnavanja ranljivosti, ki jih je vzpostavil proizvajalec, izpolnjujejo zahteve iz oddelka 2 Priloge I.
2. Zasnova, razvoj, proizvodnja in obravnavanje ranljivosti izdelkov z digitalnimi elementi
Proizvajalec glede zasnove, razvoja in proizvodnje zadevnih izdelkov ter obravnavanja ranljivosti uporablja odobren sistem kakovosti, kot je določen v točki 3, vzdržuje njegovo učinkovitost v celotnem življenjskem ciklu zadevnih izdelkov in se podredi nadzoru, kot je določen v točki 4.
3. Sistem kakovosti
3.1. Proizvajalec vloži vlogo za oceno svojega sistema kakovosti v zvezi z zadevnimi izdelki pri priglašenem organu, ki ga sam izbere.
Vloga vsebuje:
– ime in naslov proizvajalca in, če vlogo vloži pooblaščeni predstavnik, tudi njegovo ime in naslov;
– tehnično dokumentacijo za en model iz vsake kategorije izdelkov, ki bodo izdelani ali razviti. Če je ustrezno, tehnična dokumentacija vsebuje vsaj elemente iz Priloge V;
– dokumentacijo o sistemu kakovosti, ter
– pisno izjavo, da enaka vloga ni bila vložena pri nobenem drugem priglašenem organu.
3.2. S sistemom kakovosti se zagotovi skladnost izdelkov z bistvenimi zahtevami iz oddelka 1 Priloge I ter skladnost postopkov obravnavanja ranljivosti, ki jih je vzpostavil proizvajalec, z zahtevami iz oddelka 2 Priloge I.
Vsi elementi, zahteve in predpisi, ki jih je sprejel proizvajalec, se sistematično in urejeno pisno dokumentirajo v obliki politik, postopkov in navodil. Navedena dokumentacija o sistemu kakovosti omogoča dosledno razlago programov, načrtov, priročnikov in zapisov o kakovosti.
Zlasti vsebuje ustrezen opis:
– ciljev kakovosti in organizacijske strukture, odgovornosti in pristojnosti vodstva glede zasnove, razvoja, kakovosti izdelkov in obravnavanja ranljivosti;
– tehničnih specifikacij zasnove in razvoja, vključno s standardi, ki se bodo uporabljali, in če se ustrezni harmonizirani standardi in/ali tehnične specifikacije ne bodo uporabljali v celoti, sredstev, ki se bodo uporabljala za zagotavljanje izpolnjevanja bistvenih zahtev iz oddelka 1 Priloge I, ki se uporabljajo za izdelke;
– postopkovnih specifikacij, vključno s standardi, ki se bodo uporabljali, in če se ustrezni harmonizirani standardi in/ali tehnične specifikacije ne bodo uporabljali v celoti, sredstev, ki se bodo uporabljala za zagotavljanje izpolnjevanja bistvenih zahtev iz oddelka 2 Priloge I, ki se uporabljajo za proizvajalca;
– nadzora zasnove in razvoja ter tehnik, postopkov in sistematičnih ukrepov za preverjanje zasnove in razvoja, ki se bodo uporabljali pri zasnovi in razvoju izdelkov, ki spadajo v zadevno kategorijo izdelkov;
– ustreznih tehnik, postopkov in sistematičnih ukrepov glede proizvodnje, nadzora kakovosti in zagotavljanja kakovosti, ki se bodo uporabljali,
– pregledov in preskusov, ki se bodo izvajali pred in med proizvodnjo ter po njej, ter pogostnosti njihovega izvajanja;
– zapisov o kakovosti, kakor so poročila o pregledu in podatki o preskusih, podatki o umerjanju opreme, poročila o strokovni usposobljenosti zadevnega osebja itd.;
– načinov spremljanja doseganja zahtevane kakovosti zasnove in izdelkov ter učinkovitega delovanja sistema kakovosti.
3.3. Priglašeni organ oceni sistem kakovosti, da ugotovi, ali izpolnjuje zahteve iz točke 3.2.
Ta organ domneva, da so elementi sistema kakovosti, ki so v skladu z ustreznimi specifikacijami nacionalnega standarda, s katerim se izvaja ustrezni harmonizirani standard in/ali tehnična specifikacija, skladni z navedenimi zahtevami.
Skupina za presojo ima poleg izkušenj s sistemi vodenja kakovosti vsaj enega člana, ki ima izkušnje z ocenjevanjem na ustreznem področju izdelkov in zadevne tehnologije izdelkov ter pozna veljavne zahteve iz te uredbe. Presoja vključuje ocenjevalni obisk prostorov proizvajalca, če ti obstajajo. Skupina za presojo pregleda tehnično dokumentacijo iz točke 3.1, druga alinea, da ugotovi, ali je proizvajalec zmožen opredeliti veljavne zahteve iz te uredbe in izvesti potrebne preglede za zagotovitev skladnosti izdelka s temi zahtevami.
Proizvajalec ali njegov pooblaščeni predstavnik je obveščen o odločitvi.
Obvestilo vsebuje rezultate presoje in obrazložitev odločitve o oceni.
3.4. Proizvajalec se zavezuje izpolnjevati obveznosti, ki izhajajo iz odobrenega sistema kakovosti, ter vzdrževati sistem kakovosti tako, da ostane ustrezen in učinkovit.
3.5. Proizvajalec obvešča priglašeni organ, ki je odobril sistem kakovosti, o vseh načrtovanih spremembah sistema kakovosti.
Priglašeni organ oceni predlagane spremembe in se odloči, ali bo spremenjeni sistem kakovosti še naprej izpolnjeval zahteve iz točke 3.2 ali pa je potrebna ponovna ocena.
O svoji odločitvi obvesti izvajalca. Obvestilo vsebuje ugotovitve pregleda in utemeljitev odločitve o oceni.
4. Nadzor, za katerega je odgovoren priglašeni organ
4.1. Namen nadzora je zagotoviti, da proizvajalec ustrezno izpolnjuje obveznosti, ki izhajajo iz odobrenega sistema kakovosti.
4.2. Proizvajalec priglašenemu organu za namene ocene omogoči vstop v prostore za zasnovo, razvoj, proizvodnjo, pregled, preskušanje in skladiščenje ter mu zagotovi vse potrebne informacije, zlasti:
– dokumentacijo o sistemu kakovosti;
– zapise o kakovosti iz tistega dela sistema kakovosti, ki se nanaša na zasnovo, kakor so rezultati analiz, izračunov, preskusov itd.;
– zapise o kakovosti iz tistega dela sistema kakovosti, ki se nanaša na izdelavo, kakor so poročila o pregledu in podatki o preskusih, podatki o umerjanjih opreme, poročila o strokovni usposobljenosti zadevnega osebja itd.
4.3. Priglašeni organ redno izvaja presoje, s čimer zagotavlja, da proizvajalec vzdržuje in uporablja sistem kakovosti, ter proizvajalcu izda poročilo o presoji.
5. Oznaka skladnosti in izjava o skladnosti
5.1. Proizvajalec namesti oznako CE in na podlagi odgovornosti priglašenega organa iz točke 3.1 njegovo identifikacijsko številko na vsak posamezni izdelek, ki izpolnjuje zahteve iz oddelka 1 Priloge I k tej uredbi.
5.2. Proizvajalec za vsak vzorčni proizvod sestavi pisno izjavo o skladnosti in jo da na voljo nacionalnim organom 10 let po tem, ko je bil na trg dan proizvod, ali v obdobju podpore. V izjavi o skladnosti je opredeljen vzorčni izdelek, za katerega je bila pripravljena.
Na zahtevo se pristojnim organom predloži izvod izjave o skladnosti.
6. Še deset let po tem, ko je izdelek dan na trg, ali v obdobju podpore, v katerim se obravnavajo ranljivosti, ali v predvideni življenjski dobi izdelka – kar koli od tega je daljše – proizvajalec zagotavlja, da so nacionalnim organom na voljo:
– tehnična dokumentacija iz točke 3.1;
– dokumentacija o sistemu kakovosti iz točke 3.1;
– sprememba iz točke 3.5, kakor je bila odobrena;
– odločbe in poročila priglašenega organa iz točk 3.5, 4.3 in 4.4.
7. Vsak priglašeni organ obvesti svoje priglasitvene organe o izdanih ali preklicanih odobritvah sistema kakovosti in redno ali na zahtevo zagotavlja svojim priglasitvenim organom seznam zavrnjenih, začasno preklicanih ali drugače omejenih odobritev sistema kakovosti.
Vsak priglašeni organ obvesti druge priglašene organe o odobritvah sistema kakovosti, ki jih je zavrnil, začasno preklical ali preklical, ter jih na zahtevo obvesti o odobritvah sistema kakovosti, ki jih je izdal.
8. Pooblaščeni predstavnik
Obveznosti proizvajalca iz točk 3.1, 3.5, 5 in 6 lahko v njegovem imenu in na njegovo odgovornost izpolni pooblaščeni predstavnik, če so navedene v pooblastilu.
PRILOGA VIa
POTREBE AGENCIJE EVROPSKE UNIJE ZA KIBERNETSKO VARNOST (ENISA) PO ZMOGLJIVOSTIH
Da bi agencija ENISA izpolnjevala svoje obveznosti iz te uredbe in da ne bi ogrozili obstoječih obveznosti agencije iz druge zakonodaje Unije, se agenciji ENISA zagotovita ustrezno osebje in financiranje. Zato se za dodatne naloge agencije ENISA iz te uredbe namenijo dodatni človeški in finančni viri. Za opravljanje dodatnih nalog iz te uredbe bo agencija ENISA potrebovala devet dodatnih ekvivalentov polnega delovnega časa in ustrezne dodatne odobritve.
OBRAZLOŽITEV
Poročevalec odločno pozdravlja predlog Komisije za odpravo pomanjkljivosti na področju kibernetske varnosti izdelkov strojne in programske opreme. Leta 2021 so stroški kibernetske kriminalitete na svetovni ravni dosegli neverjetnih 5,5 bilijona EUR. Glede na to dejstvo in naraščajoč trend digitalizacije bi morala zakonodajalca zagotoviti, da bodo vzpostavljeni ustrezni ukrepi za kibernetsko varnost, s katerimi se bodo zaščitili interesi potrošnikov in industrije.
V zvezi s tem poročevalec z zadovoljstvom ugotavlja, da je Komisija predložila ambiciozen predlog, s katerim se bo zvišala splošna raven kibernetske varnosti v državah članicah in izboljšalo delovanje notranjega trga. Usklajen regulativni okvir je potreben, da lahko podjetja, ki delujejo na enotnem trgu, izkoristijo pravno jasnost, pa tudi za zagotovitev, da lahko Unija ima vodilno vlogo pri določanju norm kibernetske varnosti na svetovnem prizorišču.
V zvezi s področjem uporabe se poročevalec strinja s predlogom Komisije, da se vključijo vsi izdelki z digitalnimi elementi. S takim celovitim pristopom bi zagotovili skladnost na področju kibernetske varnosti v celotni vrednostni verigi ter izboljšali konkurenčnost in privlačnost izdelkov, izdelanih v Uniji. Vendar je treba sedanje besedilo poenostaviti ter se sklicevati na izdelke z možnostjo neposredne in posredne povezave, hkrati pa izključiti nadomestne dele, zasnovane izključno za postopek popravila izdelkov, ki so bili na trgu že pred začetkom izvajanja te uredbe. V zvezi z odprtokodno programsko opremo se poročevalec zaveda, da je treba ta pomemben vir inovacij zaščititi, zato predlaga spremembo, s katero bi zagotovili, da se od razvijalcev ne sme pričakovati skladnosti s to uredbo, če za svoje projekte ne prejmejo nobenih finančnih donosov. Odprtokodna programska oprema, dobavljena v okviru gospodarske dejavnosti, bi vseeno morala biti zajeta, da se zagotovi kibernetska varnost ekosistema Unije.
Za veliko večino izdelkov z digitalnimi elementi bo treba izvajati le postopek samoocenjevanja, za kritične izdelke v skladu s členom 6 pa se bo izvajalo ugotavljanje skladnosti, ki ga opravi tretja oseba. V zvezi s tem poročevalec meni, da bi bilo treba uredbo izboljšati z zagotovitvijo večje jasnosti glede tega, kako pogosto se lahko spreminja seznam iz Priloge III, ter z navedbo postopkov, ki jih je treba upoštevati, ko je izdelek dodan na ta seznam. Slednje je še posebej pomembno, da se podjetjem zagotovi ustrezen čas za prilagoditev. Vendar poročevalec meni, da bi se morali sistemi za avtomatizacijo doma in izdelki, ki izboljšujejo zasebno varnost, kot so kamere in pametne ključavnice, šteti za kritične izdelke iz razreda I. Celovitost tega blaga je namreč izredno pomembna za varnost in zasebnost državljanov.
V osnutku poročila je predvidena tudi večja vključenost deležnikov z ustanovitvijo strokovne skupine za kibernetsko odpornost. Ta organ bi moral v okviru svojih nalog svetovati Komisiji in imeti dejavno vlogo pri pripravi delegiranih aktov, ki se sprejmejo na podlagi te uredbe. Da bi v celoti izrazili interese vseh strani, bi strokovno skupino morali sestavljati predstavniki institucij, industrije, civilne družbe in akademskega sveta ter posamezni strokovnjaki.
Poleg omenjene teme je v osnutku poročila poudarjeno, da morajo države članice pri javnem naročanju izdelkov z digitalnimi elementi resno upoštevati kibernetsko varnost in zagotoviti, da se ranljivosti takoj odpravijo.
V zvezi z obveznostmi proizvajalcev poročevalec meni, da vključitev določenega datuma za predvideno življenjsko dobo izdelka ni primerna za horizontalno uredbo, ki naj bi zajela veliko različnih izdelkov, od programske opreme do telefonov in industrijskih strojev. Zato je po mnenju poročevalca primerneje, da proizvajalci sami določijo življenjsko dobo svojih ustreznih izdelkov, pri čemer mora biti predlagano obdobje združljivo z razumnimi pričakovanji potrošnikov. Prilagodljivo obdobje bi proizvajalcem tudi omogočilo, da izpostavijo prednosti svojih izdelkov in dolge življenjske dobe izkoristijo kot element konkurenčnosti. Zaradi ozaveščanja potrošnikov o tem konkretnem vprašaju bi morali biti proizvajalci v skladu s to uredbo tudi zavezani, da predvideno življenjsko dobo izdelka jasno navedejo na njegovi embalaži ali jo vključijo v pogodbene dogovore ter potrošnike obvestijo, ko se ta doba izteka. Poleg tega je v osnutku poročila najbolj poudarjena varnost. Zato poročevalec meni, da bi morali biti proizvajalci tudi zavezani, da samodejno posodabljajo varnostne lastnosti svojih ustreznih izdelkov, kadar je to mogoče. Če proizvajalec določi predvideno življenjsko dobo, krajšo od petih let, bi moral biti pripravljen skleniti pogodbene dogovore s podjetji, ki želijo zagotoviti storitve za podaljšanje življenjske dobe izdelka, in jim razkriti njegovo izvorno kodo. Ta možnost ne bi smela vključevati prenosa lastništva ali javnega razkritja izvorne kode.
V zvezi z obveznostmi poročanja v skladu s členom 11 želi poročevalec časovnico uskladiti z direktivo NIS 2, s čimer bi deležnikom zagotovili večjo skladnost in pravno varnost. V tem smislu predlaga, da se poroča o pomembnih incidentih (in ne o vseh incidentih), pa tudi o aktivno izrabljenih ranljivostih, če so vzpostavljeni jasni protokoli za varno ravnanje s takimi uradnimi obvestili, da se prepreči širjenje informacij o neodpravljenih ranljivostih. Poročevalec uvaja tudi mehanizem prostovoljnega poročanja za druge incidente, skorajšnje incidente in kibernetske grožnje.
Vendar je za čim večji učinek poročanja pomembno imeti subjekt „vse na enem mestu“, tudi zato, da se poenostavijo zahteve glede poročanja za proizvajalce po vsej Uniji. Po mnenju poročevalca je agencija ENISA najprimernejša institucija za to vlogo. Zato bi morala Komisija glede na povečanje nalog in pristojnosti, dodeljenih agenciji ENISA, spremeniti oceno finančnih posledic zakonodajnega predloga, ki je priložena tej uredbi, tako da bi Agenciji Evropske unije za kibernetsko varnost zagotovila dodatna delovna mesta in ustrezne dodatne odobritve za izpolnjevanje njenih dodatnih nalog iz te uredbe.
Poleg tega je po mnenju poročevalca ključno, da se podjetjem zagotovi zadostna podpora za izvajanje zahtev iz te uredbe. To zlasti velja za mikro-, mala in srednja podjetja, ki lahko imajo zaradi svojih omejenih zmogljivosti težave pri zagotavljanju skladnosti z aktom o kibernetski odpornosti. Zato poročevalec meni, da je bistveno podaljšati obdobje po začetku veljavnosti uredbe, od katerega se ta uporablja, na 40 mesecev. V tem prehodnem obdobju bi morala biti proizvajalcem omogočena prostovoljna skladnost z aktom o kibernetski odpornosti, da pridobijo domnevo o skladnosti z delegirano uredbo, sprejeto na podlagi direktive o radijski opremi, in se tej uredbi prilagodijo pred njenim uradnim izvajanjem. Poleg tega želi poročevalec poudariti, kako pomembno je, da Unija zagotovi podporo za izpopolnjevanje in preusposabljanje delavcev ter omogoči razpoložljivost strokovnjakov za kibernetsko varnost, kar je ključni element za uspešnost te uredbe.
Poročevalec v smislu splošnega pristopa za pomoč vsem deležnikom Komisijo tudi poziva, naj pripravi smernice, ki bodo vključevale več specifikacij o dejanski fazi izvajanja, s čimer bo zagotovljena večja jasnost za vse stranke, vključene v uporabo te uredbe.
Še ena zadeva, ki je po mnenju poročevalca enako pereča, je mednarodna trgovina. Zato v osnutku poročila poziva Komisijo, naj razmisli o sporazumih o vzajemnem priznavanju s podobno mislečimi tretjimi državami, ki imajo primerljivo raven tehničnega razvoja in združljiv pristop k ugotavljanju skladnosti, s katerim zagotavljajo enako raven varstva, kot je določena s to uredbo. Vendar je bistveno, da se zagotovi ustrezno spremljanje izdelkov, ki prihajajo iz tveganih držav in lahko vsebujejo stranska vrata ali druge ranljivosti: agencija ENISA bi se morala uskladiti z organi za nadzor trga in izvajati potrebne preglede pri prodajalcih, ki bi lahko imeli višji profil tveganja.
Nazadnje poročevalec meni, da bi bilo treba prihodke, ustvarjene s kaznimi, nameniti projektom, s katerimi se bo zvišala splošna raven kibernetske varnosti po vsej Uniji, in jih tako dodeliti programu Digitalna Evropa, v okviru katerega se podpirajo projekti, ki so med drugim usmerjeni v preusposabljanje in izpopolnjevanje trenutne delovne sile.
PRILOGA: SEZNAM SUBJEKTOV ALI OSEB, OD KATERIH JE POROČEVALEC PREJEL PRISPEVEK
Priprava tega seznama je povsem prostovoljna in je v izključni pristojnosti poročevalca. Poročevalec je pri pripravi poročila do njegovega sprejetja v odboru prejel prispevke od naslednjih subjektov ali oseb:
Subjekt in/ali oseba |
|
(ISC)2 |
|
ACEM |
|
Airlines4Europe |
|
Alliance for IoT and Edge Computing Innovation |
|
Amazon |
|
American Chamber of Commerce |
|
ANEC |
|
Apple |
|
APPLiA |
|
Associazione Italiana Internet Provider |
|
BDI |
|
Beuc |
|
Bitkom |
|
BritCham |
|
Broadcom |
|
BSA - The Software alliance |
|
Business Europe |
|
Card Payment Sweden |
|
CEMA |
|
Centrum für Europäische Politik |
|
CNH |
|
Confederation of Danish Industries (DI) |
|
Confindustria |
|
Cybersecurity Coalition |
|
DEKRA |
|
Deutsche Telekom |
|
Developers Alliance |
|
Digital Europe |
|
Enedis |
|
Engineering |
|
Ericsson |
|
ESMIG |
|
ETNO |
|
ETRMA |
|
European Cybersecurity Organisation |
|
European Materials Handling Federation (FEM) |
|
Eurosmart |
|
Federunacoma |
|
Free Software Foundation Europe |
|
German Insurance Association |
|
Giesecke+Devrient |
|
GitHub |
|
GSMA |
|
Hanbury Strategy |
|
Huawei |
|
IBM |
|
Independent Retail Europe |
|
Information Technology Industry Council |
|
Leaseurope |
|
Lenovo |
|
Mechanical Engineering Industry Association (VDMA) |
|
MedTechEurope |
|
Microsoft |
|
Okta |
|
Open Forum Europe |
|
Orange |
|
Orgalim |
|
Permanent Representation of Belgium |
|
Permanent Representation of Italy |
|
Permanent Representation of the Netherlands |
|
Piaggio |
|
Privacy International |
|
SAP |
|
Schneider Electric |
|
Siemens |
|
SME United |
|
Splunk |
|
Technology Industries of Finland |
|
Telefonica |
|
TIC Council |
|
Trellix |
|
Twillio |
|
Unife |
|
Vodafone Group |
|
Wikimedia |
|
Worldr |
|
Xiaomi |
|
Zoom |
|
MNENJE ODBORA ZA NOTRANJI TRG IN VARSTVO POTROŠNIKOV (30.6.2023)
za Odbor za industrijo, raziskave in energetiko
o predlogu uredbe Evropskega parlamenta in Sveta o horizontalnih zahtevah glede kibernetske varnosti za izdelke z digitalnimi elementi in spremembi Uredbe (EU) 2019/1020
(COM(2022)0454 – C9‑0308/2022 – 2022/0272(COD))
Pripravljavec mnenja (*): Morten Løkkegaard
(*) Postopek s pridruženimi odbori – člen 57 Poslovnika
KRATKA OBRAZLOŽITEV
Pripravljavec tega mnenja, ki je bil tudi pripravljavec mnenja v odboru IMCO o direktivi o varnosti omrežij in informacij, meni, da je akt o kibernetski odpornosti ključni in naravni naslednji korak za izboljšanje kibernetske varnosti Evropske unije. Glede na to, da kibernetska varnost že po naravi nikoli ne bo 100-odstotno popolna, pripravljavec mnenja trdi, da si je pomembno po najboljših močeh prizadevati, da bi v Uniji zmanjšali število šibkih členov, zato je akt o kibernetski odpornosti dobrodošel naslednji korak. Povečati moramo kibernetsko varnost izdelkov z digitalnimi elementi in drugih novih izdelkov, kot so naprave interneta stvari, postajajo samoumevni del vsakdanjega življenja evropskih potrošnikov in podjetij.
Ker je odbor IMCO pristojen za delovanje in izvajanje enotnega trga, vključno z digitalnim enotnim trgom, ter za predpise o varstvu potrošnikov, si je pripravljavec mnenja prizadeval uvesti predloge sprememb, s katerih cilj je izboljšati delovanje notranjega trga, hkrati pa zagotoviti visoko raven varstva potrošnikov v okviru področja uporabe predloga, zlasti v zvezi z zahtevami glede kibernetske varnosti za izdelke z digitalnimi elementi.
Poleg tega meni, da je treba nekatere vidike predlagane uredbe izboljšati, da se zagotovi pravna jasnost in doslednost med ustreznimi določbami predlagane uredbe in drugimi zakonodajnimi akti. To se nanaša zlasti na direktivo o varnosti omrežij in informacij, nedavno sprejeto uredbo o splošni varnosti proizvodov, uredbo o umetni inteligenci, uredbo o strojih ter številne s tem povezane delegirane in izvedbene akte. Zato je pripravljavec mnenja ponudil spremembe, s katerimi naj bi izboljšali pravno jasnost in prispevali k skladni, učinkoviti ter dosledni razlagi in uporabi vse navedene zakonodaje.
Poleg tega so mikro-, mala in srednja podjetja ključni gospodarski akterji na digitalnem trgu, zato je pripravljavec mnenja uvedel številne spremembe za poenostavitev upravnih postopkov in omejitev upravnega bremena za mala podjetja, ne da bi se znižala raven varnosti. Oblikoval je tudi predloge sprememb, ki zagotavljajo, da bodo mikropodjetja ter mala in srednja podjetja prejela posebne smernice in nasvete glede izpolnjevanja zahtev iz akta o kibernetski odpornosti.
Nazadnje je pripravil predloge sprememb, s katerimi naj zagotovili učinkovitejšo komunikacijo s pristojnimi organi (nacionalnimi organi za nadzor trga, ENISA) ter okrepiti določbe o obveznostih in pristojnostih ustreznih organov v zvezi s pritožbami, inšpekcijskimi pregledi in skupnimi dejavnostmi. Poleg tega se nekateri predlogi sprememb, ki jih uvaja pripravljavec mnenja, osredotočajo na izboljšanje zahtev glede kibernetske varnosti sestavnih delov, vgrajenih v končne izdelke z digitalnimi elementi, in določajo obveznosti gospodarskih subjektov, kot so proizvajalci in pooblaščeni zastopniki.
Pripravljavec mnenja ponovno poudarja, da je uvedba akta o kibernetski odpornosti pravočasen in naraven naslednji korak, da v Uniji strožje nastopimo proti kibernetskim grožnjam. S predlaganimi spremembami si je prizadeval najti pravo ravnovesje med zagotavljanjem višje ravni kibernetske varnosti v korist evropskih potrošnikov in sorazmernim bremenom za poslovno skupnost. Prizadeva si, da bi kibernetska varnost postala naravni parameter konkurence na notranjem trgu. Zato je skušal pripravljavec mnenja predlog ustrezno prilagoditi.
PREDLOGI SPREMEMB
Odbor za notranji trg in varstvo potrošnikov poziva Odbor za industrijo, raziskave in energetiko kot pristojni odbor, da upošteva:
Predlog spremembe 1
Predlog uredbe
Uvodna izjava 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(1) Delovanje notranjega trga je treba izboljšati z določitvijo enotnega pravnega okvira za bistvene zahteve glede kibernetske varnosti za dajanje izdelkov z digitalnimi elementi na trg Unije. Obravnavati bi bilo treba dve glavni težavi, zaradi katerih imajo uporabniki in družba dodatne stroške: nizko raven kibernetske varnosti izdelkov z digitalnimi elementi, ki se odraža v splošno razširjenih ranljivostih ter nezadostnem in nedoslednem zagotavljanju varnostnih posodobitev za njihovo odpravljanje, ter nezadostno razumevanje in nezadosten dostop uporabnikov do informacij, ki preprečujeta izbiro izdelkov z ustreznimi lastnostmi kibernetske varnosti ali njihovo varno uporabo. |
(1) Delovanje notranjega trga je treba izboljšati, hkrati pa poskrbeti za visoko raven varstva potrošnikov in kibernetske varnosti, in sicer z določitvijo enotnega pravnega okvira za bistvene zahteve glede kibernetske varnosti za dajanje izdelkov z digitalnimi elementi na trg Unije. Obravnavati bi bilo treba dve glavni težavi, zaradi katerih imajo uporabniki in družba dodatne stroške: nizko raven kibernetske varnosti izdelkov z digitalnimi elementi, ki se odraža v splošno razširjenih ranljivostih ter nezadostnem in nedoslednem zagotavljanju varnostnih posodobitev za njihovo odpravljanje, ter nezadostno razumevanje in nezadosten dostop uporabnikov do informacij, ki preprečujeta izbiro izdelkov z ustreznimi lastnostmi kibernetske varnosti ali njihovo varno uporabo. |
Predlog spremembe 2
Predlog uredbe
Uvodna izjava 7
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(7) Pod določenimi pogoji se lahko vsi izdelki z digitalnimi elementi, vgrajeni v večji elektronski informacijski sistem ali povezani z njim, uporabijo kot napadni vektor za zlonamerne akterje. Tako lahko tudi strojna in programska oprema, ki velja za manj kritično, olajša prvotno ogrožanje naprave ali omrežja in zlonamernim akterjem omogoči, da pridobijo privilegiran dostop do sistema ali se pomikajo lateralno med sistemi. Zato bi morali proizvajalci zagotoviti, da se vsi izdelki z digitalnimi elementi in možnostjo povezave načrtujejo in razvijajo v skladu z bistvenimi zahtevami iz te uredbe. To vključuje izdelke z možnostjo fizične povezave prek vmesniške strojne opreme in izdelke z možnostjo logične povezave, na primer prek omrežnih vtičnic, cevovodov, datotek, vmesnikov za aplikacijsko programje ali katere koli druge vrste programskih vmesnikov. Kibernetske grožnje se lahko širijo prek različnih izdelkov z digitalnimi elementi, dokler ne dosežejo določenega cilja, na primer s povezovanjem več izrab ranljivosti, zato bi morali proizvajalci zagotoviti tudi kibernetsko varnost izdelkov, ki so zgolj posredno povezani z drugimi napravami ali omrežji. |
(7) Pod določenimi pogoji se lahko vsi izdelki z digitalnimi elementi, vgrajeni v večji elektronski informacijski sistem ali povezani z njim, uporabijo kot napadni vektor za zlonamerne akterje. Tako lahko tudi strojna in programska oprema, ki velja za manj kritično, olajša prvotno ogrožanje naprave ali omrežja in zlonamernim akterjem omogoči, da pridobijo privilegiran dostop do sistema ali se pomikajo lateralno med sistemi. Zato bi morali proizvajalci zagotoviti, da se vsi izdelki z digitalnimi elementi, povezani z zunanjim omrežjem ali napravo, načrtujejo in razvijajo v skladu z bistvenimi zahtevami iz te uredbe. To vključuje izdelke z možnostjo fizične povezave z zunanjim omrežjem ali napravo prek vmesniške strojne opreme in izdelke z možnostjo logične povezave, na primer prek omrežnih vtičnic, cevovodov, datotek, vmesnikov za aplikacijsko programje ali katere koli druge vrste programskih vmesnikov. Kibernetske grožnje se lahko širijo prek različnih izdelkov z digitalnimi elementi, dokler ne dosežejo določenega cilja, na primer s povezovanjem več izrab ranljivosti, zato bi morali proizvajalci zagotoviti tudi kibernetsko varnost izdelkov, ki so zgolj posredno povezani z drugimi napravami ali omrežji. |
Predlog spremembe 3
Predlog uredbe
Uvodna izjava 7 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(7a) Ta uredba se ne bi smela uporabljati za notranja omrežja izdelka z digitalnimi elementi, če imajo ta omrežja namenske končne točke ter so popolnoma ločena od zunanje podatkovne povezave in zaščitena pred njo. |
Predlog spremembe 4
Predlog uredbe
Uvodna izjava 7 b (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(7b) Ta uredba se ne bi smela uporabljati za nadomestne dele, ki so namenjeni izključno za zamenjavo pokvarjenih delov izdelka z digitalnimi elementi, zato da se mu povrne funkcionalnost. |
Predlog spremembe 5
Predlog uredbe
Uvodna izjava 9
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(9) Ta uredba zagotavlja visoko raven kibernetske varnosti izdelkov z digitalnimi elementi. Z njo se ne urejajo storitve, kot je programska oprema kot storitev, razen rešitev za daljinsko obdelavo podatkov v zvezi z izdelkom z digitalnimi elementi, pri čemer daljinska obdelava podatkov pomeni vsako obdelavo podatkov na daljavo, za katero je programsko opremo zasnoval in razvil proizvajalec zadevnega izdelka ali je bila zasnovana in razvita pod njegovo odgovornostjo ter brez katere zadevni izdelek z digitalnimi elementi ne bi mogel opravljati ene od svojih funkcij. [Direktiva XXX/XXXX (NIS2)] določa zahteve glede poročanja o kibernetski varnosti in incidentih za bistvene in pomembne subjekte, kot je kritična infrastruktura, da bi se izboljšala odpornost storitev, ki jih zagotavljajo. [Direktiva XXX/XXXX (NIS2)] se uporablja za storitve računalništva v oblaku in modele storitev v oblaku, kot je programska oprema kot storitev. Na njeno področje uporabe spadajo vsi subjekti, ki zagotavljajo storitve računalništva v oblaku v Uniji in dosegajo ali presegajo prag za srednja podjetja. |
(9) Ta uredba zagotavlja visoko raven kibernetske varnosti izdelkov z digitalnimi elementi. Z njo se ne urejajo storitve, kot je programska oprema kot storitev. [Direktiva XXX/XXXX (NIS2)] določa zahteve glede poročanja o kibernetski varnosti in incidentih za bistvene in pomembne subjekte, kot je kritična infrastruktura, da bi se izboljšala odpornost storitev, ki jih zagotavljajo. [Direktiva XXX/XXXX (NIS2)] se uporablja za storitve računalništva v oblaku in modele storitev v oblaku, kot je programska oprema kot storitev. Na njeno področje uporabe spadajo vsi subjekti, ki zagotavljajo storitve računalništva v oblaku v Uniji in dosegajo ali presegajo prag za srednja podjetja. |
Predlog spremembe 6
Predlog uredbe
Uvodna izjava 10
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(10) Da se ne bi ovirale inovacije ali raziskave, se ta uredba ne bi smela uporabljati za prosto in odprtokodno programsko opremo, ki se ne razvija ali dobavlja v okviru gospodarske dejavnosti. To zlasti velja za programsko opremo, vključno z njeno izvorno kodo in spremenjenimi različicami, ki je prosto dostopna vsem, je za prosto uporabo ter jo je mogoče spremeniti in ponovno distribuirati. V zvezi s programsko opremo je lahko za gospodarsko dejavnost poleg zaračunavanja cene za izdelek značilno tudi zaračunavanje cene za storitve tehnične podpore, zagotavljanje platforme programske opreme, prek katere proizvajalec monetizira druge storitve, ali uporaba osebnih podatkov za druge namene kot izključno za izboljšanje varnosti, združljivosti ali interoperabilnosti programske opreme. |
(10) Programska oprema in podatki, ki se prosto izmenjujejo in pri katerih lahko uporabniki prosto dostopajo do njih ali njihovih spremenjenih različic, jih uporabljajo, spreminjajo in ponovno distribuirajo, lahko prispevajo k raziskavam in inovacijam na trgu. Raziskava Komisije tudi kaže, da lahko prosta in odprtokodna programska oprema prispeva med 65 in 95 milijard EUR k BDP Unije in da odpre pomembne priložnosti za rast evropskega gospodarstva. Da se ne bi ovirale inovacije ali raziskave, se ta uredba ne bi smela uporabljati za prosto in odprtokodno programsko opremo, ki se ne razvija ali dobavlja v okviru gospodarske dejavnosti. To zlasti velja za programsko opremo, vključno z njeno izvorno kodo in spremenjenimi različicami, ki je prosto dostopna vsem, je za prosto uporabo ter jo je mogoče spremeniti in ponovno distribuirati. Za gospodarsko dejavnost v smislu omogočanja dostopnosti na trgu pa je lahko značilno zaračunavanje cene za sestavne dele sicer proste in odprtokodne programske opreme, monetizacija storitev, kot je zaračunavanje tehnične podpore, plačljive posodobitve programske opreme, razen če je to namenjeno poplačilu dejanskih stroškov, zagotavljanje platforme programske opreme, prek katere proizvajalec monetizira druge storitve, ali uporaba osebnih podatkov za druge namene kot izključno za izboljšanje varnosti, združljivosti ali interoperabilnosti programske opreme. Niti skupni razvoj sestavnih delov proste in odprtokodne programske opreme niti njihova dostopnost v odprtih odložiščih podatkov ne bi smela pomeniti dajanja na trg ali v uporabo. Pri določanju komercialne ali nekomercialne narave te dejavnosti se ne bi smele upoštevati okoliščine, v katerih je bil izdelek razvit, ali način financiranja razvoja. Če je odprtokodna programska oprema integrirana v končni izdelek z digitalnimi elementi, ki se daje na trg, bi moral biti za skladnost izdelka, vključno s prostimi in odprtokodnimi sestavnimi deli, odgovoren gospodarski subjekt, ki je dal končni izdelek z digitalnimi elementi na trg. |
Predlog spremembe 7
Predlog uredbe
Uvodna izjava 11
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(11) Varen internet je nepogrešljiv za delovanje kritične infrastrukture in družbe kot celote. [Direktiva XXX/XXXX (NIS2)] je namenjena zagotovitvi visoke ravni kibernetske varnosti storitev, ki jih opravljajo bistveni in pomembni subjekti, vključno s ponudniki digitalne infrastrukture, ki podpirajo osnovne funkcije odprtega interneta ter zagotavljajo dostop do interneta in internetne storitve. Zato je pomembno, da se izdelki z digitalnimi elementi, ki jih ponudniki digitalne infrastrukture potrebujejo za zagotavljanje delovanja interneta, razvijajo varno in dosegajo uveljavljene standarde internetne varnosti. Ta uredba, ki se uporablja za vse izdelke strojne in programske opreme z možnostjo povezave, je namenjena tudi olajšanju skladnosti ponudnikov digitalne infrastrukture z zahtevami glede oskrbovalne verige na podlagi Direktive [Direktiva XXX/XXXX (NIS2)] z zagotavljanjem varnega razvoja izdelkov z digitalnimi elementi, ki jih navedeni ponudniki uporabljajo za zagotavljanje svojih storitev, in njihovega dostopa do pravočasnih varnostnih posodobitev za take izdelke. |
(11) Varen internet je nepogrešljiv za delovanje kritične infrastrukture in družbe kot celote. [Direktiva XXX/XXXX (NIS2)] je namenjena zagotovitvi visoke ravni kibernetske varnosti storitev, ki jih opravljajo bistveni in pomembni subjekti, vključno s ponudniki digitalne infrastrukture, ki podpirajo osnovne funkcije odprtega interneta ter zagotavljajo dostop do interneta in internetne storitve. Zato je pomembno, da se izdelki z digitalnimi elementi, ki jih ponudniki digitalne infrastrukture potrebujejo za zagotavljanje delovanja interneta, razvijajo varno in dosegajo uveljavljene standarde internetne varnosti. Ta uredba, ki se uporablja za vse izdelke strojne in programske opreme, povezane z zunanjim omrežjem ali napravo, je namenjena tudi olajšanju skladnosti ponudnikov digitalne infrastrukture z zahtevami glede oskrbovalne verige na podlagi Direktive [Direktiva XXX/XXXX (NIS2)] z zagotavljanjem varnega razvoja izdelkov z digitalnimi elementi, ki jih navedeni ponudniki uporabljajo za zagotavljanje svojih storitev, in njihovega dostopa do pravočasnih varnostnih posodobitev za take izdelke. |
Predlog spremembe 8
Predlog uredbe
Uvodna izjava 15
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(15) Delegirana uredba Komisije (EU) 2022/30 določa, da se bistvene zahteve iz člena 3(3), točke (d) (škoda za omrežje in zloraba omrežnih virov), (e) (osebni podatki in zasebnost) in (f) (goljufije), Direktive 2014/53/EU uporabljajo za določeno radijsko opremo. [Izvedbeni sklep Komisije XXX/2022 o zahtevi za standardizacijo evropskim organizacijam za standardizacijo] določa zahteve za razvoj posebnih standardov, s katerimi je podrobneje določeno, kako bi bilo treba obravnavati te tri bistvene zahteve. Bistvene zahteve iz te uredbe vključujejo vse elemente bistvenih zahtev iz člena 3(3), točke (d), (e) in (f), Direktive 2014/53/EU. Poleg tega so bistvene zahteve iz te uredbe usklajene s cilji zahtev za posebne standarde, vključene v navedeno zahtevo za standardizacijo. Če torej Komisija razveljavi ali spremeni Delegirano uredbo Komisije (EU) 2022/30 in se navedena delegirana uredba zato preneha uporabljati za nekatere izdelke, za katere se uporablja ta uredba, bi morale Komisija in evropske organizacije za standardizacijo pri pripravi in razvoju harmoniziranih standardov za olajšanje izvajanja te uredbe upoštevati delo za standardizacijo, opravljeno v okviru Izvedbenega sklepa Komisije C(2022) 5637 o zahtevi za standardizacijo za Delegirano uredbo (EU) 2022/30, sprejeto na podlagi direktive o radijski opremi. |
(15) Delegirana uredba Komisije (EU) 2022/30 določa, da se bistvene zahteve iz člena 3(3), točke (d) (škoda za omrežje in zloraba omrežnih virov), (e) (osebni podatki in zasebnost) in (f) (goljufije), Direktive 2014/53/EU uporabljajo za določeno radijsko opremo. [Izvedbeni sklep Komisije XXX/2022 o zahtevi za standardizacijo evropskim organizacijam za standardizacijo] določa zahteve za razvoj posebnih standardov, s katerimi je podrobneje določeno, kako bi bilo treba obravnavati te tri bistvene zahteve. Bistvene zahteve iz te uredbe vključujejo vse elemente bistvenih zahtev iz člena 3(3), točke (d), (e) in (f), Direktive 2014/53/EU. Poleg tega so bistvene zahteve iz te uredbe usklajene s cilji zahtev za posebne standarde, vključene v navedeno zahtevo za standardizacijo. Ko torej Komisija razveljavi Delegirano uredbo Komisije (EU) 2022/30 in se navedena delegirana uredba zato preneha uporabljati za nekatere izdelke, za katere se uporablja ta uredba, bi morale Komisija in evropske organizacije za standardizacijo pri pripravi in razvoju harmoniziranih standardov za olajšanje izvajanja te uredbe upoštevati delo za standardizacijo, opravljeno v okviru Izvedbenega sklepa Komisije C(2022)5637 o zahtevi za standardizacijo za Delegirano uredbo (EU) 2022/30, sprejeto na podlagi direktive o radijski opremi. |
Predlog spremembe 9
Predlog uredbe
Uvodna izjava 18 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(18a) Od posameznih ali mikro razvijalcev programske opreme, kot so opredeljeni v Priporočilu Komisije 2003/361/ES, bi se moralo zahtevati, da si po najboljših močeh prizadevajo za izpolnitev zahtev iz tega predloga v 6 mesecih od dajanja programske opreme na trg, s čimer bi se zagotovilo, da ne bodo naleteli na večje finančne ovire in da se jih ne bo odvračalo od testiranja potrditve koncepta ali gospodarske upravičenosti na trgu. Ta posebna ureditev bi morala pomagati ublažiti zastrašujoči učinek zahtevane visoke skladnosti in vstopnih stroškov na podjetnike ali usposobljene posameznike, ki razmišljajo o razvoju programske opreme v Uniji. Ne bi pa se smela uporabljati za zelo kritične proizvode z digitalnimi elementi. |
Predlog spremembe 10
Predlog uredbe
Uvodna izjava 19
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(19) Nekatere naloge iz te uredbe bi morala opravljati agencija ENISA v skladu s členom 3(2) Uredbe (EU) 2019/881. Zlasti bi morala agencija ENISA prejemati uradna obvestila izdelovalcev o aktivno izrabljenih ranljivostih v izdelkih z digitalnimi elementi in incidentih, ki vplivajo na varnost navedenih izdelkov. Ta uradna obvestila bi morala tudi posredovati zadevnim skupinam za odzivanje na incidente na področju računalniške varnosti (CSIRT) oziroma zadevnim enotnim kontaktnim točkam držav članic, imenovanim v skladu s členom [člen X] Direktive [Direktiva XXX/XXXX (NIS2)], ter o sporočeni ranljivosti obvestiti ustrezne organe za nadzor trga. Agencija ENISA bi morala na podlagi informacij, ki jih zbere, pripraviti dvoletno tehnično poročilo o novih trendih glede tveganj za kibernetsko varnost pri izdelkih z digitalnimi elementi in ga predložiti skupini za sodelovanje iz Direktive [Direktiva XXX/XXXX (NIS2)]. Poleg tega bi morala biti glede na svoje strokovno znanje in mandat sposobna podpirati postopek za izvajanje te uredbe. Zlasti bi morala biti zmožna predlagati skupne dejavnosti organov za nadzor trga na podlagi znakov ali informacij v zvezi z morebitno neskladnostjo izdelkov z digitalnimi elementi s to uredbo v več državah članicah ali opredeliti kategorije izdelkov, za katere bi bilo treba organizirati sočasne usklajene kontrolne ukrepe. Agencija ENISA bi morala biti sposobna v izjemnih okoliščinah na zahtevo Komisije opraviti ocene v zvezi s posameznimi izdelki z digitalnimi elementi, ki pomenijo povečano tveganje za kibernetsko varnost, če je potrebno takojšnje ukrepanje, da se ohrani dobro delovanje notranjega trga. |
(19) Nekatere naloge iz te uredbe bi morala opravljati agencija ENISA v skladu s členom 3(2) Uredbe (EU) 2019/881. Zlasti bi morala agencija ENISA prek mehanizma zgodnjega opozarjanja prejemati uradna obvestila izdelovalcev o aktivno izrabljenih ranljivostih v izdelkih z digitalnimi elementi in incidentih, ki pomembno vplivajo na varnost navedenih izdelkov. Ta uradna obvestila bi morala tudi posredovati zadevnim skupinam za odzivanje na incidente na področju računalniške varnosti (CSIRT) oziroma zadevnim enotnim kontaktnim točkam držav članic, imenovanim v skladu s členom [člen X] Direktive [Direktiva XXX/XXXX (NIS2)], ter o sporočeni ranljivosti, po možnosti pa tudi o morebitnih ukrepih za obvladovanje tveganj, nemudoma obvestiti ustrezne organe za nadzor trga. Kadar za sporočeno ranljivost niso na voljo popravni ali blažilni ukrepi, bi morala agencija ENISA zagotoviti, da se informacije o sporočeni ranljivosti izmenjajo v skladu s strogimi varnostnimi protokoli in na podlagi potrebe po seznanitvi. Agencija ENISA bi morala na podlagi informacij, ki jih zbere, pripraviti dvoletno tehnično poročilo o novih trendih glede tveganj za kibernetsko varnost pri izdelkih z digitalnimi elementi in ga predložiti skupini za sodelovanje iz Direktive [Direktiva XXX/XXXX (NIS2)]. Poleg tega bi morala biti glede na svoje strokovno znanje in mandat sposobna podpirati postopek za izvajanje te uredbe. Zlasti bi morala biti zmožna predlagati skupne dejavnosti organov za nadzor trga na podlagi znakov ali informacij v zvezi z morebitno neskladnostjo izdelkov z digitalnimi elementi s to uredbo v več državah članicah ali opredeliti kategorije izdelkov, za katere bi bilo treba organizirati sočasne usklajene kontrolne ukrepe. Agencija ENISA bi morala biti sposobna v izjemnih okoliščinah na zahtevo Komisije opraviti ocene v zvezi s posameznimi izdelki z digitalnimi elementi, ki pomenijo povečano tveganje za kibernetsko varnost, če je potrebno takojšnje ukrepanje, da se ohrani dobro delovanje notranjega trga. |
Predlog spremembe 11
Predlog uredbe
Uvodna izjava 20
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(20) Izdelki z digitalnimi elementi bi morali imeti oznako CE, ki označuje njihovo skladnost s to uredbo, da se omogoči njihov prosti pretok na notranjem trgu. Države članice ne bi smele neupravičeno ovirati dajanja na trg izdelkov z digitalnimi elementi, ki izpolnjujejo zahteve iz te uredbe in imajo oznako CE. |
(20) Izdelki z digitalnimi elementi bi morali imeti oznako CE, ki vidno, čitljivo in neizbrisno označuje njihovo skladnost s to uredbo, da se omogoči njihov prosti pretok na notranjem trgu. Države članice ne bi smele neupravičeno ovirati dajanja na trg izdelkov z digitalnimi elementi, ki izpolnjujejo zahteve iz te uredbe in imajo oznako CE. |
Predlog spremembe 12
Predlog uredbe
Uvodna izjava 22
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(22) Za zagotovitev, da izdelki z digitalnimi elementi, dani na trg, ne pomenijo tveganja za kibernetsko varnost za osebe in organizacije, bi bilo treba za take izdelke določiti bistvene zahteve. Ko se izdelki pozneje fizično ali digitalno spremenijo na način, ki ga izdelovalec ni predvidel in ki bi lahko pomenil, da ne izpolnjujejo več ustreznih bistvenih zahtev, bi bilo treba spremembo šteti za bistveno. Na primer, posodobitve ali popravila programske opreme se lahko štejejo za enakovredne vzdrževalnim postopkom, če izdelka, ki je že na trgu, ne spremenijo tako, da bi to vplivalo na skladnost z veljavnimi zahtevami ali da bi se lahko spremenila predvidena uporaba, za katero je bil izdelek ocenjen. Podobno kot pri fizičnih popravilih ali spremembah bi bilo treba šteti, da je izdelek z digitalnimi elementi bistveno spremenjen s spremembo programske opreme, če se s posodobitvijo programske opreme spremenijo prvotno predvidene funkcije, vrsta ali delovanje izdelka in te spremembe niso bile predvidene v začetni oceni tveganja ali če se zaradi posodobitve programske opreme spremeni narava nevarnosti ali poviša raven tveganja. |
(22) Za zagotovitev, da izdelki z digitalnimi elementi, dani na trg, ne pomenijo tveganja za kibernetsko varnost za osebe in organizacije, bi bilo treba za take izdelke določiti bistvene zahteve. Ko se izdelki pozneje fizično ali digitalno spremenijo na način, ki ga izdelovalec ni predvidel in ki bi lahko pomenil, da ne izpolnjujejo več ustreznih bistvenih zahtev, bi bilo treba spremembo šteti za bistveno. Na primer, posodobitve ali popravila programske opreme, kot je manjša prilagoditev izvorne kode, ki lahko izboljša varnost in delovanje, se lahko štejejo za enakovredne vzdrževalnim postopkom, če izdelka, ki je že na trgu, ne spremenijo tako, da bi to vplivalo na skladnost z veljavnimi zahtevami ali da bi se lahko spremenila predvidena uporaba, za katero je bil izdelek ocenjen. Podobno kot pri fizičnih popravilih ali spremembah bi bilo treba šteti, da je izdelek z digitalnimi elementi bistveno spremenjen s spremembo programske opreme, če se s posodobitvijo programske opreme spremenijo prvotno predvidene funkcije, vrsta ali delovanje izdelka in te spremembe niso bile predvidene v začetni oceni tveganja ali če se zaradi posodobitve programske opreme spremeni narava nevarnosti ali poviša raven tveganja. |
Predlog spremembe 13
Predlog uredbe
Uvodna izjava 23
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(23) V skladu s splošno uveljavljenim pojmom bistvene spremembe za izdelke, ki jih ureja harmonizacijska zakonodaja Unije, je primerno, da se za izdelek z digitalnimi elementi ob vsaki bistveni spremembi, ki bi lahko vplivala na skladnost izdelka s to uredbo, ali ob spremembi predvidenega namena navedenega izdelka preveri skladnost izdelka z digitalnimi elementi in po potrebi izvede novo ugotavljanje skladnosti. Če proizvajalec opravi ugotavljanje skladnosti, pri katerem sodeluje tretja oseba, bi bilo treba tretjo osebo obvestiti o spremembah, ki lahko pomenijo bistvene spremembe. |
(23) V skladu s splošno uveljavljenim pojmom bistvene spremembe za izdelke, ki jih ureja harmonizacijska zakonodaja Unije, je primerno, da se za izdelek z digitalnimi elementi ob vsaki bistveni spremembi, ki bi lahko vplivala na skladnost izdelka s to uredbo, ali ob spremembi predvidenega namena navedenega izdelka preveri skladnost izdelka z digitalnimi elementi in po potrebi posodobi ugotavljanje skladnosti. Če proizvajalec opravi ugotavljanje skladnosti, pri katerem sodeluje tretja oseba, bi bilo treba tretjo osebo obvestiti o spremembah, ki lahko pomenijo bistvene spremembe. Naknadno ugotavljanje skladnosti bi moralo obravnavati spremembe, zaradi katerih je potrebno novo ugotavljanje skladnosti, razen če te spremembe pomembno vplivajo na skladnost drugih delov izdelka. Kadar se izvajajo posodobitve programske opreme, proizvajalcu za izdelek z digitalnimi elementi ni treba izvesti drugega ugotavljanja skladnosti, razen če zaradi posodobitve programske opreme pride do bistvene spremembe izdelka z digitalnimi elementi. |
Predlog spremembe 14
Predlog uredbe
Uvodna izjava 24 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(24a) Proizvajalci izdelkov z digitalnimi elementi bi morali zagotoviti, da so posodobitve programske opreme na voljo na jasen in pregleden način, ter jasno razlikovati med varnostnimi posodobitvami in posodobitvami funkcionalnosti. Medtem ko so varnostne posodobitve zasnovane tako, da izdelku z digitalnimi elementi zmanjšajo raven tveganja, bi morala biti uporabniku vedno na voljo izbira, ali bo uporabil posodobitev funkcionalnosti, ki jih zagotavlja proizvajalec. Zato bi morali proizvajalci posodobitve zagotoviti ločeno, razen če je to tehnično neizvedljivo. Proizvajalci bi morali potrošnikom zagotoviti ustrezne informacije o razlogih za vsako posodobitev in njenem predvidenem vplivu na izdelek ter jasen in enostaven mehanizem odklonitve. |
Predlog spremembe 15
Predlog uredbe
Uvodna izjava 25
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(25) Izdelke z digitalnimi elementi bi bilo treba šteti za kritične, če je lahko negativni vpliv izrabljanja morebitnih ranljivosti izdelka v zvezi s kibernetsko varnostjo resen, na primer zaradi funkcij, povezanih s kibernetsko varnostjo, ali predvidene uporabe. Zlasti lahko ranljivosti izdelkov z digitalnimi elementi, ki vključujejo funkcije, povezane s kibernetsko varnostjo, kakor so varnostni elementi, povzročijo širjenje varnostnih težav po vsej oskrbovalni verigi. Poleg tega se lahko resnost vpliva kibernetskega incidenta poveča, če se upošteva predvidena uporaba izdelka, na primer v industrijskem okolju ali v okviru bistvenega subjekta iz Priloge [Priloga I] k Direktivi [Direktiva XXX/XXXX (NIS2)] ali za opravljanje kritičnih ali občutljivih funkcij, kot je obdelava osebnih podatkov. |
(25) Izdelke z digitalnimi elementi bi bilo treba šteti za kritične, če je lahko negativni vpliv izrabljanja morebitnih ranljivosti izdelka v zvezi s kibernetsko varnostjo resen, na primer zaradi funkcij, povezanih s kibernetsko varnostjo, ali predvidene uporabe. Zlasti lahko ranljivosti izdelkov z digitalnimi elementi, ki vključujejo funkcije, povezane s kibernetsko varnostjo, kakor so varnostni elementi, povzročijo širjenje varnostnih težav po vsej oskrbovalni verigi. Poleg tega se lahko resnost vpliva kibernetskega incidenta poveča, če se upošteva predvidena uporaba izdelka v kritičnih aplikacijah in občutljivih okoljih ali v okviru bistvenega subjekta iz Priloge [Priloga I] k Direktivi [Direktiva XXX/XXXX (NIS2)] ali za opravljanje kritičnih ali občutljivih funkcij, kot je obdelava osebnih podatkov. |
Predlog spremembe 16
Predlog uredbe
Uvodna izjava 26
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(26) Za kritične izdelke z digitalnimi elementi bi se morali uporabljati strožji postopki ugotavljanja skladnosti, pri čemer bi bilo treba ohraniti sorazmeren pristop. V ta namen bi bilo treba kritične izdelke z digitalnimi elementi razdeliti v dva razreda, da se izrazi raven tveganja za kibernetsko varnost, povezana s temi kategorijami izdelkov. Morebiten kibernetski incident v zvezi z izdelki iz razreda II bi lahko imel večje negativne učinke kot incident v zvezi z izdelki iz razreda I, na primer zaradi narave njihove funkcije, povezane s kibernetsko varnostjo, ali predvidene uporabe v občutljivih okoljih, zato bi se moral v zvezi s takimi izdelki izvajati strožji postopek ugotavljanja skladnosti. |
(26) Za kritične izdelke z digitalnimi elementi bi se morali uporabljati strožji postopki ugotavljanja skladnosti, pri čemer bi bilo treba ohraniti sorazmeren pristop. V ta namen bi bilo treba kritične izdelke z digitalnimi elementi razdeliti v dva razreda, da se izrazi raven tveganja za kibernetsko varnost, povezana s temi kategorijami izdelkov. Morebiten kibernetski incident v zvezi z izdelki iz razreda II bi lahko imel večje negativne učinke kot incident v zvezi z izdelki iz razreda I, na primer zaradi narave njihove funkcije, povezane s kibernetsko varnostjo, ali predvidene uporabe v občutljivih okoljih, zato bi se moral v zvezi s takimi izdelki izvajati strožji postopek ugotavljanja skladnosti. Mikro- in malim podjetjem bi moralo biti izjemoma dopuščeno, da uporabijo postopek za proizvode razreda I. |
Predlog spremembe 17
Predlog uredbe
Uvodna izjava 29
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(29) Izdelki z digitalnimi elementi, ki so opredeljeni kot umetnointeligenčni sistemi velikega tveganja v skladu s členom 6 Uredbe27 [uredba o umetni inteligenci] in spadajo na področje uporabe te uredbe, bi morali izpolnjevati bistvene zahteve iz te uredbe. Kadar navedeni umetnointeligenčni sistemi velikega tveganja izpolnjujejo bistvene zahteve iz te uredbe, bi bilo treba šteti, da izpolnjujejo zahteve glede kibernetske varnosti iz člena [člena 15] Uredbe [uredba o umetni inteligenci], kolikor so navedene zahteve zajete z izjavo EU o skladnosti, izdano na podlagi te uredbe, ali njenimi deli. Kar zadeva postopke ugotavljanja skladnosti v zvezi z bistvenimi zahtevami glede kibernetske varnosti izdelka z digitalnimi elementi, zajetega s to uredbo in opredeljenega kot umetnointeligenčni sistem velikega tveganja, bi se praviloma morale namesto zadevnih določb te uredbe uporabljati ustrezne določbe člena 43 Uredbe [uredba o umetni inteligenci]. Vendar se zaradi tega pravila ne bi smela znižati potrebna raven zanesljivosti za kritične izdelke z digitalnimi elementi, zajete s to uredbo. Zato bi se morale z odstopanjem od tega pravila za umetnointeligenčne sisteme velikega tveganja, ki spadajo na področje uporabe Uredbe [uredba o umetni inteligenci] in so opredeljeni tudi kot kritični izdelki z digitalnimi elementi v skladu s to uredbo ter za katere se uporablja postopek ugotavljanja skladnosti na podlagi notranje kontrole iz Priloge VI k Uredbi [uredba o umetni inteligenci], v zvezi z bistvenimi zahtevami iz te uredbe uporabljati določbe o ugotavljanju skladnosti iz te uredbe. V tem primeru bi se morale za vse druge vidike, zajete z Uredbo [uredba o umetni inteligenci], uporabljati zadevne določbe o ugotavljanju skladnosti na podlagi notranje kontrole, navedene v Prilogi VI k Uredbi [uredba o umetni inteligenci]. |
(29) Izdelki z digitalnimi elementi ali delno izdelani izdelki z digitalnimi elementi, ki so opredeljeni kot umetnointeligenčni sistemi velikega tveganja v skladu s členom 6 Uredbe27 [uredba o umetni inteligenci] in spadajo na področje uporabe te uredbe, bi morali izpolnjevati bistvene zahteve iz te uredbe. Kadar navedeni umetnointeligenčni sistemi velikega tveganja izpolnjujejo bistvene zahteve iz te uredbe, bi bilo treba šteti, da izpolnjujejo zahteve glede kibernetske varnosti iz člena [člena 15] Uredbe [uredba o umetni inteligenci], kolikor so navedene zahteve zajete z izjavo EU o skladnosti, izdano na podlagi te uredbe, ali njenimi deli. Kar zadeva postopke ugotavljanja skladnosti v zvezi z bistvenimi zahtevami glede kibernetske varnosti izdelka z digitalnimi elementi, zajetega s to uredbo in opredeljenega kot umetnointeligenčni sistem velikega tveganja, bi se praviloma morale namesto določb te uredbe [ki se uporabljajo] uporabljati ustrezne določbe člena 43 Uredbe [uredba o umetni inteligenci]. To pravilo bi moralo ustvariti visoko raven zanesljivosti za kritične izdelke z digitalnimi elementi, zajete s to uredbo. Za umetnointeligenčne sisteme velikega tveganja, ki spadajo na področje uporabe Uredbe [uredba o umetni inteligenci] in so opredeljeni tudi kot kritični izdelki z digitalnimi elementi v skladu s to uredbo, bi moral biti za izvedbo ugotavljanja skladnosti v skladu s to uredbo odgovoren pristojni sektorski priglašeni organ in bi moral voditi upravni postopek tako, da lahko gospodarski subjekti svojo vlogo za ugotavljanje skladnosti predložijo enemu samemu regulativnemu organu. |
__________________ |
__________________ |
27 Uredba [uredba o umetni inteligenci]. |
27 Uredba [uredba o umetni inteligenci]. |
Predlog spremembe 18
Predlog uredbe
Uvodna izjava 32
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(32) Za zagotovitev, da so izdelki z digitalnimi elementi varni, ko se dajo na trg in v celotnem življenjskem ciklu, je treba določiti bistvene zahteve za obravnavanje ranljivosti in bistvene zahteve glede kibernetske varnosti, ki se nanašajo na lastnosti izdelkov z digitalnimi elementi. Proizvajalci bi morali izpolnjevati vse bistvene zahteve v zvezi z obravnavanjem ranljivosti in zagotoviti, da se vsi njihovi izdelki zagotovijo brez znanih ranljivosti, ki jih je mogoče izrabljati, poleg tega pa bi morali ugotoviti, katere druge bistvene zahteve v zvezi z lastnostmi izdelkov so pomembne za zadevno vrsto izdelka. Zato bi morali oceniti tveganja za kibernetsko varnost, povezana z izdelkom z digitalnimi elementi, da ugotovijo zadevna tveganja in bistvene zahteve ter ustrezno uporabijo primerne harmonizirane standarde ali skupne specifikacije. |
(32) Za zagotovitev, da so izdelki z digitalnimi elementi varni, ko se dajo na trg in v celotnem življenjskem ciklu, je treba določiti bistvene zahteve za obravnavanje ranljivosti in bistvene zahteve glede kibernetske varnosti, ki se nanašajo na lastnosti izdelkov z digitalnimi elementi. Proizvajalci bi morali izpolnjevati vse bistvene zahteve v zvezi z obravnavanjem ranljivosti in zagotoviti, da se vsi njihovi izdelki zagotovijo brez znanih ranljivosti, ki jih je mogoče izrabljati, poleg tega pa bi morali ugotoviti, katere druge bistvene zahteve v zvezi z lastnostmi izdelkov so pomembne za zadevno vrsto izdelka. Zato bi morali oceniti tveganja za kibernetsko varnost, povezana z izdelkom z digitalnimi elementi, da ugotovijo zadevna tveganja in bistvene zahteve ter ustrezno uporabijo primerne harmonizirane standarde. |
Predlog spremembe 19
Predlog uredbe
Uvodna izjava 33 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(33a) Da bodo izdelki res zasnovani, razviti in izdelani v skladu z bistvenimi zahtevami iz oddelka 1 Priloge I, bi morali proizvajalci, kadar v izdelke z digitalnimi elementi, pridobljene od tretjih oseb, vključujejo sestavne dele, ravnati s potrebno skrbnostjo. Gre za sestavne dele, ki so prilagojeni in integrirani ob upoštevanju značilnosti izdelka, zlasti v primeru proste in odprtokodne programske opreme, ki ni bila dana na trg v zameno za finančno ali katero drugo monetizacijo. |
Predlog spremembe 20
Predlog uredbe
Uvodna izjava 34
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(34) Za zagotovitev, da nacionalne skupine CSIRT in enotne kontaktne točke, imenovane v skladu s členom [člen X] Direktive [Direktiva XX/XXXX (NIS2)], prejmejo informacije, potrebne za opravljanje njihovih nalog in povišanje splošne ravni kibernetske varnosti bistvenih in pomembnih subjektov, ter za zagotovitev učinkovitega delovanja organov za nadzor trga bi morali proizvajalci izdelkov z digitalnimi elementi agencijo ENISA uradno obvestiti o aktivno izrabljenih ranljivostih. Ker se večina izdelkov z digitalnimi elementi prodaja na celotnem notranjem trgu, bi bilo treba vse izrabljene ranljivosti izdelka z digitalnimi elementi šteti za grožnjo delovanju notranjega trga. Proizvajalci bi morali razmisliti tudi o razkritju odpravljenih ranljivosti v evropski zbirki podatkov o ranljivostih, vzpostavljeni na podlagi Direktive [Direktiva XX/XXXX (NIS2)], ki jo upravlja agencija ENISA, ali v kateri koli drugi javno dostopni zbirki podatkov o ranljivostih. |
(34) Za zagotovitev, da nacionalne skupine CSIRT in enotne kontaktne točke, imenovane v skladu s členom [člen X] Direktive [Direktiva XX/XXXX (NIS2)], prejmejo informacije, potrebne za opravljanje njihovih nalog in povišanje splošne ravni kibernetske varnosti bistvenih in pomembnih subjektov, ter za zagotovitev učinkovitega delovanja organov za nadzor trga bi morali proizvajalci izdelkov z digitalnimi elementi agencijo ENISA brez nepotrebnega odlašanja, v vsakem primeru pa v 48 urah po tem, ko izvedo za aktivno izrabljene ranljivosti, o tem uradno obvestiti z mehanizmom zgodnjega opozarjanja. Proizvajalci bi morali brez nepotrebnega odlašanja po tem, ko izvedo za aktivno izrabljene ranljivosti, ki imajo znaten vpliv na varnost izdelka z digitalnimi elementi agencijo ENISA uradno obvestiti tudi o dodatnih informacijah o izrabljeni ranljivosti. Vse druge ranljivosti, ki nimajo pomembnega vpliva na varnost izdelka z digitalnimi elementi, bi bilo treba po odpravi ranljivosti sporočiti agenciji ENISA. Ker se večina izdelkov z digitalnimi elementi prodaja na celotnem notranjem trgu, bi bilo treba vse izrabljene ranljivosti izdelka z digitalnimi elementi šteti za grožnjo delovanju notranjega trga. Proizvajalci bi morali razmisliti tudi o razkritju odpravljenih ranljivosti v evropski zbirki podatkov o ranljivostih, vzpostavljeni na podlagi Direktive [Direktiva XX/XXXX (NIS2)], ki jo upravlja agencija ENISA, ali v kateri koli drugi javno dostopni zbirki podatkov o ranljivostih. |
Predlog spremembe 21
Predlog uredbe
Uvodna izjava 34 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(34a) Agencija ENISA je odgovorna za objavo in vzdrževanje podatkovne zbirke znanih izrabljenih ranljivosti. Proizvajalci bi morali spremljati podatkovno zbirko in sporočiti ranljivosti, odkrite v njihovih izdelkih. |
Predlog spremembe 22
Predlog uredbe
Uvodna izjava 35
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(35) Proizvajalci bi morali agenciji ENISA sporočiti tudi vsak incident, ki vpliva na varnost izdelka z digitalnimi elementi. Ne glede na obveznosti poročanja o incidentih iz Direktive [Direktiva XX/XXXX (NIS2)], ki veljajo za bistvene in pomembne subjekte, je za agencijo ENISA, enotne kontaktne točke, ki jih države članice imenujejo v skladu s členom [člen X] Direktive [Direktiva XXX/XXXX (NIS2)], ter organe za nadzor trga ključno, da od izdelovalcev izdelkov z digitalnimi elementi prejmejo informacije, na podlagi katerih lahko ocenijo varnost teh izdelkov. Da bi se lahko uporabniki hitro odzvali na incidente, ki vplivajo na varnost njihovih izdelkov z digitalnimi elementi, bi morali proizvajalci tudi obvestiti njihove uporabnike o vseh takih incidentih in po potrebi o morebitnih popravnih ukrepih, ki jih lahko uporabniki sprejmejo za zmanjšanje vpliva incidenta, na primer z objavo ustreznih informacij na svojih spletnih mestih ali prek neposrednega stika z uporabniki, če ga lahko proizvajalec vzpostavi in tveganja to upravičujejo. |
(35) Proizvajalci bi morali z mehanizmom zgodnjega opozarjanja agenciji ENISA sporočiti tudi vsak incident, ki pomembno vpliva na varnost izdelka z digitalnimi elementi. Proizvajalec bi moral brez nepotrebnega odlašanja, vsekakor pa v 72 urah po tem, ko izve za pomemben incident, povezan z izdelkom z digitalnimi elementi, o tem uradno obvestiti agencijo ENISA o dodatnih informacijah. Ne glede na obveznosti poročanja o incidentih iz Direktive [Direktiva XX/XXXX (NIS2)], ki veljajo za bistvene in pomembne subjekte, je za agencijo ENISA, enotne kontaktne točke, ki jih države članice imenujejo v skladu s členom [člen X] Direktive [Direktiva XXX/XXXX (NIS2)], ter organe za nadzor trga ključno, da od izdelovalcev izdelkov z digitalnimi elementi prejmejo informacije, na podlagi katerih lahko ocenijo varnost teh izdelkov. Da bi se lahko uporabniki hitro odzvali na incidente, ki pomembno vplivajo na varnost njihovih izdelkov z digitalnimi elementi, bi morali proizvajalci svoje uporabnike obvestiti tudi o vseh takih incidentih, če je to ustrezno in če je verjetno, da jim bo škodoval, in po potrebi o ublažitvi tveganja in morebitnih popravnih ukrepih, ki jih lahko uporabniki sprejmejo za zmanjšanje vpliva pomembnega incidenta, na primer z objavo ustreznih informacij na svojih spletnih mestih ali prek neposrednega stika z uporabniki, če ga lahko proizvajalec vzpostavi in tveganja to upravičujejo. Brez poseganja v druge obveznosti bi morali proizvajalci, ki odkrijejo ranljivost v sestavnem delu, vgrajenem v izdelek z digitalnimi elementi, vključno s prostim in odprtokodnim sestavnim delom, prijaviti ranljivost osebi ali subjektu, ki sestavni del vzdržuje, skupaj s sprejetim popravnim ukrepom. |
Predlog spremembe 23
Predlog uredbe
Uvodna izjava 37 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(37a) V skladu s Sporazumom STO o tehničnih ovirah v trgovini morajo članice STO, če so potrebni tehnični predpisi in če obstajajo ustrezni mednarodni standardi, te standarde uporabiti kot osnovo za lastne tehnične predpise. Pomembno je preprečiti podvajanje dela med organizacijami za standardizacijo, saj so mednarodni standardi namenjeni lažjemu usklajevanju nacionalnih in regionalnih tehničnih predpisov in standardov, s čimer se zmanjšajo netarifne tehnične ovire v trgovini. Glede na to, da je kibernetska varnost svetovno vprašanje, bi si morala Unija prizadevati za čim večjo usklajenost. Za doseganje tega cilja bi morala biti zahteva za standardizacijo za to uredbo, kot je določena v členu 10 Uredbe (EU) št. 1025/2012, namenjena zmanjšanju ovir za sprejemanje standardov z objavo sklicev nanje v Uradnem listu EU v skladu s členom 10(6) Uredbe (EU) št. 1025/2012. |
Predlog spremembe 24
Predlog uredbe
Uvodna izjava 37 b (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(37b) Glede na široko področje uporabe te uredbe je velik izziv, kako pravočasno razviti harmonizirane standarde. Za čimprejšnje izboljšanje varnosti izdelkov z digitalnimi sestavnimi deli na trgu Unije bi bilo treba Komisijo za omejen čas pooblastiti, da obstoječe mednarodne standarde za kibernetsko varnost izdelkov razglasi za skladne z zahtevami te uredbe. Te standarde bi bilo treba objaviti kot standarde, ki zagotavljajo domnevo o skladnosti. |
Predlog spremembe 25
Predlog uredbe
Uvodna izjava 38
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(38) Za olajšanje ugotavljanja skladnosti z zahtevami iz te uredbe bi bilo treba oblikovati domnevo o skladnosti za izdelke z digitalnimi elementi, ki so skladni s harmoniziranimi standardi, s katerimi se bistvene zahteve iz te uredbe prenesejo na podrobne tehnične specifikacije in ki se sprejmejo v skladu z Uredbo (EU) št. 1025/2012 Evropskega parlamenta in Sveta29. Uredba (EU) št. 1025/2012 določa postopek za nasprotovanje harmoniziranim standardom, kadar navedeni standardi ne izpolnjujejo zahtev iz te uredbe v celoti. |
(38) Za olajšanje ugotavljanja skladnosti z zahtevami iz te uredbe bi bilo treba oblikovati domnevo o skladnosti za izdelke z digitalnimi elementi, ki so skladni s harmoniziranimi standardi, s katerimi se bistvene zahteve iz te uredbe prenesejo na podrobne tehnične specifikacije in ki se sprejmejo v skladu z Uredbo (EU) št. 1025/2012 Evropskega parlamenta in Sveta29. Uredba (EU) št. 1025/2012 določa postopek za nasprotovanje harmoniziranim standardom, kadar navedeni standardi ne izpolnjujejo zahtev iz te uredbe v celoti. Postopek standardizacije bi moral omogočiti uravnoteženo zastopanost interesov in učinkovito sodelovanje deležnikov civilne družbe, vključno s potrošniškimi organizacijami. |
__________________ |
__________________ |
29 Uredba (EU) št. 1025/2012 Evropskega parlamenta in Sveta z dne 25. oktobra 2012 o evropski standardizaciji, spremembi direktiv Sveta 89/686/EGS in 93/15/EGS ter direktiv 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES in 2009/105/ES Evropskega parlamenta in Sveta ter razveljavitvi Sklepa Sveta 87/95/EGS in Sklepa št. 1673/2006/ES Evropskega parlamenta in Sveta (UL L 316, 14.11.2012, str. 12). |
29 Uredba (EU) št. 1025/2012 Evropskega parlamenta in Sveta z dne 25. oktobra 2012 o evropski standardizaciji, spremembi direktiv Sveta 89/686/EGS in 93/15/EGS ter direktiv 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES in 2009/105/ES Evropskega parlamenta in Sveta ter razveljavitvi Sklepa Sveta 87/95/EGS in Sklepa št. 1673/2006/ES Evropskega parlamenta in Sveta (UL L 316, 14.11.2012, str. 12). |
Predlog spremembe 26
Predlog uredbe
Uvodna izjava 41
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(41) Kadar harmonizirani standardi niso bili sprejeti ali nezadostno obravnavajo bistvene zahteve iz te uredbe, bi morala imeti Komisija možnost, da z izvedbenimi akti sprejme skupne specifikacije. Med razlogi za to, da se namesto harmoniziranih standardov razvijejo take skupne specifikacije, bi lahko bili zavrnitev zahteve za standardizacijo s strani katere od evropskih organizacij za standardizacijo, neupravičene zamude pri določitvi ustreznih harmoniziranih standardov ali neskladnost razvitih standardov z zahtevami iz te uredbe ali zahtevo Komisije. Za olajšanje ugotavljanja skladnosti z bistvenimi zahtevami iz te uredbe bi bilo treba oblikovati domnevo o skladnosti za izdelke z digitalnimi elementi, ki so skladni s skupnimi specifikacijami, ki jih je Komisija sprejela v skladu s to uredbo za določitev podrobnih tehničnih specifikacij navedenih zahtev. |
(41) Kadar v Uradnem listu Evropske unije v skladu z Uredbo (EU) št. 1025/2012 ni objavljen sklic na harmonizirane standarde, ki bi zajemali zahteve iz Priloge I, in se takšna objava v razumnem roku tudi ne pričakuje, bi moralo biti Komisiji omogočeno, da skupne specifikacije sprejme z izvedbenimi akti. Med razlogi za to, da se namesto harmoniziranih standardov razvijejo take skupne specifikacije, bi lahko bili zavrnitev zahteve za standardizacijo s strani katere od evropskih organizacij za standardizacijo, neupravičene zamude pri določitvi ustreznih harmoniziranih standardov ali neskladnost razvitih standardov z zahtevami iz te uredbe ali zahtevo Komisije. Za olajšanje ugotavljanja skladnosti z bistvenimi zahtevami iz te uredbe bi bilo treba oblikovati domnevo o skladnosti za izdelke z digitalnimi elementi, ki so skladni s skupnimi specifikacijami, ki jih je Komisija sprejela v skladu s to uredbo za določitev podrobnih tehničnih specifikacij navedenih zahtev. |
Predlog spremembe 27
Predlog uredbe
Uvodna izjava 43
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(43) Oznaka CE, ki označuje skladnost izdelka, je vidna posledica celotnega postopka, ki obsega ugotavljanje skladnosti v širšem pomenu. Splošna načela, ki urejajo oznako CE, so določena v Uredbi (ES) št. 765/2008 Evropskega parlamenta in Sveta30. V tej uredbi bi bilo treba določiti pravila o namestitvi oznake CE na izdelke z digitalnimi elementi. Oznaka CE bi morala biti edina oznaka, ki jamči skladnost izdelkov z digitalnimi elementi z zahtevami iz te uredbe. |
(43) Oznaka CE, ki označuje skladnost izdelka, je vidna posledica celotnega postopka, ki obsega ugotavljanje skladnosti v širšem pomenu. Splošna načela, ki urejajo oznako CE, so določena v Uredbi (ES) št. 765/2008 Evropskega parlamenta in Sveta30. V tej uredbi bi bilo treba določiti pravila o namestitvi oznake CE na izdelke z digitalnimi elementi. Oznaka CE bi morala biti edina oznaka, ki jamči skladnost izdelkov z digitalnimi elementi z zahtevami iz te uredbe. Brez poseganja v določbe o označevanju, ki izhajajo iz druge veljavne zakonodaje Unije, pa delno dokončan izdelek z digitalnimi elementi ni označen z oznako CE v skladu s to uredbo. Za tak delno dokončani proizvod z digitalnimi elementi bi morali proizvajalci pripraviti izjavo EU o vgradnji. |
__________________ |
__________________ |
30 Uredba (ES) št. 765/2008 Evropskega parlamenta in Sveta z dne 9. julija 2008 o določitvi zahtev za akreditacijo in nadzor trga v zvezi s trženjem proizvodov ter razveljavitvi Uredbe (EGS) št. 339/93 (UL L 218, 13.8.2008, str. 30). |
30 Uredba (ES) št. 765/2008 Evropskega parlamenta in Sveta z dne 9. julija 2008 o določitvi zahtev za akreditacijo in nadzor trga v zvezi s trženjem proizvodov ter razveljavitvi Uredbe (EGS) št. 339/93 (UL L 218, 13.8.2008, str. 30). |
Predlog spremembe 28
Predlog uredbe
Uvodna izjava 45
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(45) Splošno pravilo je, da proizvajalec na lastno odgovornost opravi ugotavljanje skladnosti izdelkov z digitalnimi elementi v skladu s postopkom na podlagi modula A iz Sklepa št. 768/2008/ES. Proizvajalec bi moral ohraniti prožnost, da izbere strožji postopek ugotavljanja skladnosti, pri katerem sodeluje tretja oseba. Če je izdelek opredeljen kot kritični izdelek iz razreda I, je potrebno dodatno zagotovilo, da se dokaže skladnost z bistvenimi zahtevami iz te uredbe. Proizvajalec, ki želi na lastno odgovornost opraviti ugotavljanje skladnosti (modul A), bi moral uporabiti harmonizirane standarde, skupne specifikacije ali certifikacijske sheme kibernetske varnosti na podlagi Uredbe (EU) 2019/881, ki jih je Komisija opredelila v izvedbenem aktu. Če ne uporabi takih harmoniziranih standardov, skupnih specifikacij ali certifikacijskih shem kibernetske varnosti, bi moral izvesti ugotavljanje skladnosti, pri katerem sodeluje tretja oseba. Ob upoštevanju upravnega bremena za proizvajalce ter dejstva, da ima kibernetska varnost pomembno vlogo v fazi zasnove in razvoja materialnih in nematerialnih izdelkov z digitalnimi elementi, so bili postopki ugotavljanja skladnosti, ki temeljijo na modulih B + C oziroma modulu H iz Sklepa št. 768/2008/ES, izbrani kot najustreznejši za sorazmerno in učinkovito ugotavljanje skladnosti kritičnih izdelkov z digitalnimi elementi. Proizvajalec, ki zagotovi ugotavljanje skladnosti, ki ga opravi tretja oseba, lahko izbere najustreznejši postopek za svoj postopek zasnove in proizvodnje. Zaradi še večjega tveganja za kibernetsko varnost, povezanega z uporabo izdelkov, opredeljenih kot kritični izdelki iz razreda II, bi morala pri ugotavljanju skladnosti vselej sodelovati tretja oseba. |
(45) Splošno pravilo je, da bi morale zahteve za ugotavljanje skladnosti izdelkov z digitalnimi elementi temeljiti na tveganju, zato bi lahko ugotavljanje skladnosti na lastno odgovornost in v skladu s postopkom na podlagi modula A iz Sklepa št. 768/2008/ES opravil proizvajalec. Proizvajalec bi moral ohraniti prožnost, da izbere strožji postopek ugotavljanja skladnosti, pri katerem sodeluje tretja oseba. Če je izdelek opredeljen kot kritični izdelek iz razreda I, je potrebno dodatno zagotovilo, da se dokaže skladnost z bistvenimi zahtevami iz te uredbe. Proizvajalec, ki želi na lastno odgovornost opraviti ugotavljanje skladnosti (modul A), bi moral uporabiti harmonizirane standarde ali certifikacijske sheme kibernetske varnosti na podlagi Uredbe (EU) 2019/881, ki jih je Komisija opredelila v izvedbenem aktu. Če ne uporabi takih harmoniziranih standardov ali certifikacijskih shem kibernetske varnosti, bi moral izvesti ugotavljanje skladnosti, pri katerem sodeluje tretja oseba. Ob upoštevanju upravnega bremena za proizvajalce ter dejstva, da ima kibernetska varnost pomembno vlogo v fazi zasnove in razvoja materialnih in nematerialnih izdelkov z digitalnimi elementi, so bili postopki ugotavljanja skladnosti, ki temeljijo na modulih B + C oziroma modulu H iz Sklepa št. 768/2008/ES, izbrani kot najustreznejši za sorazmerno in učinkovito ugotavljanje skladnosti kritičnih izdelkov z digitalnimi elementi. Proizvajalec, ki zagotovi ugotavljanje skladnosti, ki ga opravi tretja oseba, lahko izbere najustreznejši postopek za svoj postopek zasnove in proizvodnje. Zaradi še večjega tveganja za kibernetsko varnost, povezanega z uporabo izdelkov, opredeljenih kot kritični izdelki iz razreda II, bi morala pri ugotavljanju skladnosti vselej sodelovati tretja oseba. |
Predlog spremembe 29
Predlog uredbe
Uvodna izjava 46 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(46a) Kadar so izdelki z digitalnimi elementi enakovredni, se lahko za namene nekaterih postopkov ugotavljanja skladnosti eden od teh izdelkov sprejme kot reprezentativen za družino ali kategorijo izdelkov. |
Predlog spremembe 30
Predlog uredbe
Uvodna izjava 55
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(55) V skladu z Uredbo (EU) 2019/1020 organi za nadzor trga izvajajo nadzor trga na ozemlju zadevne države članice. Ta uredba državam članicam ne bi smela preprečevati izbire pristojnih organov za izvedbo navedenih nalog. Vsaka država članica bi morala imenovati en ali več organov za nadzor trga na svojem ozemlju. Države članice lahko za opravljanje nalog organa za nadzor trga imenujejo kateri koli obstoječi ali nov organ, vključno s pristojnimi nacionalnimi organi iz člena [člen X] Direktive [Direktiva XXX/XXXX (NIS2)] ali imenovanimi nacionalnimi certifikacijskimi organi za kibernetsko varnost iz člena 58 Uredbe (EU) 2019/881. Gospodarski subjekti bi morali v celoti sodelovati z organi za nadzor trga in drugimi pristojnimi organi. Vsaka država članica bi morala Komisijo in druge države članice obvestiti o svojih organih za nadzor trga in področjih, za katera je vsak od teh organov pristojen, ter zagotoviti potrebne vire ter znanja in spretnosti za izvajanje nalog nadzora v zvezi s to uredbo. V skladu s členom 10(2) in (3) Uredbe (EU) 2019/1020 bi morala vsaka država članica imenovati enotni povezovalni organ, ki bi moral biti med drugim odgovoren za zastopanje usklajenega stališča organov za nadzor trga in pomoč pri sodelovanju med organi za nadzor trga v različnih državah članicah. |
(55) V skladu z Uredbo (EU) 2019/1020 organi za nadzor trga izvajajo nadzor trga na ozemlju zadevne države članice. Ta uredba državam članicam ne bi smela preprečevati izbire pristojnih organov za izvedbo navedenih nalog. Vsaka država članica bi morala imenovati en ali več organov za nadzor trga na svojem ozemlju. Države članice lahko za opravljanje nalog organa za nadzor trga imenujejo kateri koli obstoječi ali nov organ, vključno s pristojnimi nacionalnimi organi iz člena 8 Direktive (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS2) ali imenovanimi nacionalnimi certifikacijskimi organi za kibernetsko varnost iz člena 58 Uredbe (EU) 2019/881. Gospodarski subjekti bi morali v celoti sodelovati z organi za nadzor trga in drugimi pristojnimi organi. Vsaka država članica bi morala Komisijo in druge države članice obvestiti o svojih organih za nadzor trga in področjih, za katera je vsak od teh organov pristojen, ter zagotoviti potrebne vire ter znanja in spretnosti za izvajanje nalog nadzora v zvezi s to uredbo. V skladu s členom 10(2) in (3) Uredbe (EU) 2019/1020 bi morala vsaka država članica imenovati enotni povezovalni organ, ki bi moral biti med drugim odgovoren za zastopanje usklajenega stališča organov za nadzor trga in pomoč pri sodelovanju med organi za nadzor trga v različnih državah članicah. |
Predlog spremembe 31
Predlog uredbe
Uvodna izjava 56 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(56a) Da bodo lahko gospodarski subjekti, ki so mala in srednja ter mikropodjetja, kos novim obveznostim, ki jih nalaga ta uredba, bi jim morala Komisija dati na voljo lahko razumljive smernice in nasvete, na primer prek kanala za neposredno komunikacijo s strokovnjaki v primeru vprašanj, pri čemer se upošteva, da je treba poenostaviti in omejiti upravno breme. Pri pripravi smernic bi morala Komisija upoštevati potrebe MSP, da bi jim čim bolj zmanjšala upravno in finančno breme ter jim olajšala izpolnjevanje obveznosti iz te uredbe. Posvetovati bi se morala z ustreznimi deležniki s strokovnim znanjem na področju kibernetske varnosti. |
Predlog spremembe 32
Predlog uredbe
Uvodna izjava 58
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(58) V nekaterih primerih lahko izdelek z digitalnimi elementi, ki je skladen s to uredbo, vseeno predstavlja povečano tveganje za kibernetsko varnost ali tveganje za zdravje ali varnost oseb, tveganje za skladnost z obveznostmi na podlagi zakonodaje Unije ali nacionalne zakonodaje, namenjene varstvu temeljnih pravic, tveganje za razpoložljivost, avtentičnost, celovitost ali zaupnost storitev, ki jih z uporabo elektronskega informacijskega sistema zagotavljajo bistveni subjekti iz [Priloge I k Direktivi XXX/XXXX (NIS2)], ali tveganje za druge vidike zaščite javnega interesa. Treba je torej določiti pravila, s katerimi se zmanjšajo navedena tveganja. Zato bi morali organi za nadzor trga sprejeti ukrepe in od gospodarskega subjekta zahtevati, da zagotovi, da izdelek ne predstavlja več tveganja, ga odpokliče ali umakne, odvisno od tveganja. Ko organ za nadzor trga tako omeji ali prepove prosti pretok izdelka, bi morala država članica Komisijo in druge države članice nemudoma uradno obvestiti o začasnih ukrepih ter pri tem navesti razloge in utemeljitev svoje odločitve. Kadar organ za nadzor trga sprejme take ukrepe za izdelke, ki predstavljajo tveganje, bi se morala Komisija nemudoma posvetovati z državami članicami in zadevnim gospodarskim subjektom ali subjekti ter oceniti nacionalni ukrep. Na podlagi rezultatov te ocene bi se morala odločiti, ali je nacionalni ukrep upravičen ali ne. Komisija bi morala svojo odločitev nasloviti na vse države članice ter jo nemudoma sporočiti njim in zadevnemu gospodarskemu subjektu ali subjektom. Če se šteje, da je ukrep upravičen, lahko Komisija razmisli tudi o sprejetju predlogov za revizijo zadevne zakonodaje Unije. |
(58) V nekaterih primerih lahko izdelek z digitalnimi elementi, ki je skladen s to uredbo, vseeno predstavlja povečano tveganje za kibernetsko varnost ali tveganje za zdravje ali varnost oseb, tveganje za skladnost z obveznostmi na podlagi zakonodaje Unije ali nacionalne zakonodaje, namenjene varstvu temeljnih pravic, tveganje za razpoložljivost, avtentičnost, celovitost ali zaupnost storitev, ki jih z uporabo elektronskega informacijskega sistema zagotavljajo bistveni subjekti iz Priloge I k Direktivi (EU) 2022/2555 (NIS2), ali tveganje za druge vidike zaščite javnega interesa. Treba je torej določiti pravila, s katerimi se zmanjšajo navedena tveganja. Zato bi morali organi za nadzor trga sprejeti ukrepe in od gospodarskega subjekta zahtevati, da zagotovi, da izdelek ne predstavlja več tveganja, ga odpokliče ali umakne, odvisno od tveganja. Ko organ za nadzor trga tako omeji ali prepove prosti pretok izdelka, bi morala država članica Komisijo in druge države članice nemudoma uradno obvestiti o začasnih ukrepih ter pri tem navesti razloge in utemeljitev svoje odločitve. Kadar organ za nadzor trga sprejme take ukrepe za izdelke, ki predstavljajo tveganje, bi se morala Komisija nemudoma posvetovati z državami članicami in zadevnim gospodarskim subjektom ali subjekti ter oceniti nacionalni ukrep. Na podlagi rezultatov te ocene bi se morala odločiti, ali je nacionalni ukrep upravičen ali ne. Komisija bi morala svojo odločitev nasloviti na vse države članice ter jo nemudoma sporočiti njim in zadevnemu gospodarskemu subjektu ali subjektom. Če se šteje, da je ukrep upravičen, lahko Komisija razmisli tudi o sprejetju predlogov za revizijo zadevne zakonodaje Unije. |
Predlog spremembe 33
Predlog uredbe
Uvodna izjava 59
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(59) Komisija lahko za izdelke z digitalnimi elementi, ki predstavljajo povečano tveganje za kibernetsko varnost in v zvezi s katerimi obstaja razlog za domnevo, da niso skladni s to uredbo, ali za izdelke, ki so skladni s to uredbo, vendar predstavljajo druga pomembna tveganja, kot je tveganje za zdravje ali varnost oseb, temeljne pravice ali opravljanje storitev bistvenih subjektov iz [Priloge I k Direktivi XXX/XXXX (NIS2)], od agencije ENISA zahteva, naj opravi oceno. Na podlagi te ocene lahko Komisija z izvedbenimi akti sprejme popravne ali omejevalne ukrepe na ravni Unije, vključno z odreditvijo umika zadevnih izdelkov s trga ali njihovega odpoklica v razumnem roku, ki je sorazmeren z naravo tveganja. Komisija lahko uporabi take ukrepe samo v izjemnih okoliščinah, ki upravičujejo takojšnje ukrepanje za ohranitev dobrega delovanja notranjega trga, in samo, če organi za nadzor niso sprejeli učinkovitih ukrepov za odpravo težave. Take izjemne okoliščine so lahko izredne razmere, v katerih na primer proizvajalec zagotovi splošno dostopnost neskladnega izdelka v več državah članicah in navedeni izdelek v ključnih sektorjih uporabljajo tudi subjekti s področja uporabe [Direktive XXX/XXXX (NIS2)], pri čemer pa vključuje znane ranljivosti, ki jih izrabljajo zlonamerni akterji in za katere proizvajalec ne zagotovi razpoložljivih popravkov. Komisija lahko v takih izrednih razmerah posreduje samo med trajanjem izjemnih okoliščin in če se neskladnost s to uredbo ali pomembna tveganja ne odpravijo. |
(59) Komisija lahko za izdelke z digitalnimi elementi, ki predstavljajo povečano tveganje za kibernetsko varnost in v zvezi s katerimi obstaja razlog za domnevo, da niso skladni s to uredbo, ali za izdelke, ki so skladni s to uredbo, vendar predstavljajo druga pomembna tveganja, kot je tveganje za zdravje ali varnost oseb, temeljne pravice ali opravljanje storitev bistvenih subjektov iz Priloge I k Direktivi (EU) 2022/2555 (NIS2), od agencije ENISA zahteva, naj opravi oceno. Na podlagi te ocene lahko Komisija z izvedbenimi akti sprejme popravne ali omejevalne ukrepe na ravni Unije, vključno z odreditvijo umika zadevnih izdelkov s trga ali njihovega odpoklica v razumnem roku, ki je sorazmeren z naravo tveganja. Komisija lahko uporabi take ukrepe samo v izjemnih okoliščinah, ki upravičujejo takojšnje ukrepanje za ohranitev dobrega delovanja notranjega trga, in samo, če organi za nadzor niso sprejeli učinkovitih ukrepov za odpravo težave. Take izjemne okoliščine so lahko izredne razmere, v katerih na primer proizvajalec zagotovi splošno dostopnost neskladnega izdelka v več državah članicah in navedeni izdelek v ključnih sektorjih uporabljajo tudi subjekti s področja uporabe Direktive (EU) 2022/2555 (direktiva NIS2), pri čemer pa vključuje znane ranljivosti, ki jih izrabljajo zlonamerni akterji in za katere proizvajalec ne zagotovi razpoložljivih popravkov. Komisija lahko v takih izrednih razmerah posreduje samo med trajanjem izjemnih okoliščin in če se neskladnost s to uredbo ali pomembna tveganja ne odpravijo. |
Predlog spremembe 34
Predlog uredbe
Uvodna izjava 62
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(62) Za zagotovitev, da se lahko regulativni okvir po potrebi prilagodi, bi bilo treba na Komisijo v skladu s členom 290 Pogodbe prenesti pooblastilo za sprejemanje aktov v zvezi s posodobitvami seznama kritičnih izdelkov iz Priloge III ter določitvijo opredelitev teh kategorij izdelkov. V skladu z navedenim členom bi bilo treba na Komisijo prenesti pooblastilo za sprejemanje aktov za opredelitev izdelkov z digitalnimi elementi, zajetih z drugimi pravili Unije, s katerimi se doseže enaka raven varstva kot s to uredbo, v katerih se določi, ali bi bila potrebna omejitev ali izključitev s področja uporabe te uredbe, in po potrebi obseg navedene omejitve. Poleg tega bi bilo treba v skladu z navedenim členom na Komisijo prenesti tudi pooblastilo za sprejemanje aktov v zvezi z morebitno zahtevo po certificiranju nekaterih zelo kritičnih izdelkov z digitalnimi elementi na podlagi meril kritičnosti iz te uredbe ter za določitev minimalne vsebine izjave EU o skladnosti in dopolnitev elementov, ki jih je treba vključiti v tehnično dokumentacijo. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, vključno na ravni strokovnjakov, in da se ta posvetovanja izvedejo v skladu z načeli, določenimi v Medinstitucionalnem sporazumu z dne 13. aprila 2016 o boljši pripravi zakonodaje33. Za zagotovitev enakopravnega sodelovanja pri pripravi delegiranih aktov Evropski parlament in Svet zlasti prejmeta vse dokumente sočasno s strokovnjaki iz držav članic, njuni strokovnjaki pa se sistematično lahko udeležujejo sestankov strokovnih skupin Komisije, ki zadevajo pripravo delegiranih aktov. |
(62) Za zagotovitev, da se lahko regulativni okvir po potrebi prilagodi, bi bilo treba na Komisijo v skladu s členom 290 Pogodbe prenesti pooblastilo za sprejemanje aktov v zvezi s posodobitvami seznama kritičnih izdelkov iz Priloge III ter določitvijo opredelitev teh kategorij izdelkov. V skladu z navedenim členom bi bilo treba na Komisijo prenesti pooblastilo za sprejemanje aktov za opredelitev izdelkov z digitalnimi elementi, zajetih z drugimi pravili Unije, s katerimi se doseže enaka raven varstva kot s to uredbo, v katerih se določi, ali bi bila potrebna omejitev ali izključitev s področja uporabe te uredbe, in po potrebi obseg navedene omejitve. Poleg tega bi bilo treba v skladu z navedenim členom na Komisijo prenesti tudi pooblastilo za sprejemanje aktov v zvezi z morebitnim prostovoljnim certificiranjem nekaterih zelo kritičnih izdelkov z digitalnimi elementi na podlagi meril kritičnosti iz te uredbe ter za določitev minimalne vsebine izjave EU o skladnosti in dopolnitev elementov, ki jih je treba vključiti v tehnično dokumentacijo. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, vključno na ravni strokovnjakov, in da se ta posvetovanja izvedejo v skladu z načeli, določenimi v Medinstitucionalnem sporazumu z dne 13. aprila 2016 o boljši pripravi zakonodaje33. Za zagotovitev enakopravnega sodelovanja pri pripravi delegiranih aktov Evropski parlament in Svet zlasti prejmeta vse dokumente sočasno s strokovnjaki iz držav članic, njuni strokovnjaki pa se sistematično lahko udeležujejo sestankov strokovnih skupin Komisije, ki zadevajo pripravo delegiranih aktov. |
__________________ |
__________________ |
33 UL L 123, 12.5.2016, str. 1. |
33 UL L 123, 12.5.2016, str. 1. |
Predlog spremembe 35
Predlog uredbe
Uvodna izjava 63
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(63) Za zagotovitev enotnih pogojev izvajanja te uredbe bi bilo treba na Komisijo prenesti izvedbena pooblastila za: določitev oblike in elementov kosovnice za programsko opremo, podrobnejšo določitev vrste informacij, oblike in postopka za uradna obvestila o aktivno izrabljenih ranljivostih in incidentih, ki jih agenciji ENISA predložijo proizvajalci, določitev evropskih certifikacijskih shem kibernetske varnosti, sprejetih v skladu z Uredbo (EU) 2019/881, ki se lahko uporabljajo za dokazovanje skladnosti z bistvenimi zahtevami iz Priloge I k tej uredbi ali njihovimi deli, sprejetje skupnih specifikacij v zvezi z bistvenimi zahtevami iz Priloge I, določitev tehničnih specifikacij za piktograme ali druge oznake v zvezi z varnostjo izdelkov z digitalnimi elementi in mehanizmov za spodbujanje njihove uporabe, sprejetje odločitve o popravnih ali omejevalnih ukrepih na ravni Unije v izjemnih okoliščinah, ki upravičujejo takojšnje ukrepanje za ohranitev dobrega delovanja notranjega trga. Navedena pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta34. |
(63) Za zagotovitev enotnih pogojev izvajanja te uredbe bi bilo treba na Komisijo prenesti izvedbena pooblastila za: določitev oblike in elementov kosovnice za programsko opremo, podrobnejšo določitev vrste informacij, oblike in postopka za uradna obvestila o aktivno izrabljenih ranljivostih in incidentih, ki jih agenciji ENISA predložijo proizvajalci, na podlagi panožnih dobrih praks, določitev evropskih certifikacijskih shem kibernetske varnosti, sprejetih v skladu z Uredbo (EU) 2019/881, ki se lahko uporabljajo za dokazovanje skladnosti z bistvenimi zahtevami iz Priloge I k tej uredbi ali njihovimi deli, sprejetje skupnih specifikacij v zvezi z bistvenimi zahtevami iz Priloge I, določitev tehničnih specifikacij za piktograme ali druge oznake v zvezi z varnostjo izdelkov z digitalnimi elementi in mehanizmov za spodbujanje njihove uporabe, sprejetje odločitve o popravnih ali omejevalnih ukrepih na ravni Unije v izjemnih okoliščinah, ki upravičujejo takojšnje ukrepanje za ohranitev dobrega delovanja notranjega trga. Navedena pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta34. |
__________________ |
__________________ |
34 Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13). |
34 Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13). |
Predlog spremembe 36
Predlog uredbe
Uvodna izjava 69
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(69) Gospodarskim subjektom bi bilo treba zagotoviti dovolj časa za prilagoditev zahtevam iz te uredbe. Ta uredba bi se morala začeti uporabljati [24 mesecev] po začetku njene veljavnosti, razen obveznosti poročanja v zvezi z aktivno izkoriščenimi ranljivostmi in incidenti, ki bi se morale začeti uporabljati [12 mesecev] od začetka veljavnosti te uredbe. |
(69) Gospodarskim subjektom bi bilo treba zagotoviti dovolj časa za prilagoditev zahtevam iz te uredbe. Ta uredba bi se morala začeti uporabljati [36 mesecev] po začetku njene veljavnosti. |
Predlog spremembe 37
Predlog uredbe
Člen 1 – odstavek 1 – uvodni del
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
Ta uredba določa: |
Namen te uredbe je izboljšati delovanje notranjega trga, obenem pa zagotoviti visoko raven varstva potrošnikov. |
|
Ta uredba določa harmonizirana pravila glede: |
Predlog spremembe 38
Predlog uredbe
Člen 1 – odstavek 1 – točka a
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(a) pravila za dajanje izdelkov z digitalnimi elementi na trg za zagotovitev njihove kibernetske varnosti; |
(a) dajanja izdelkov z digitalnimi elementi na trg za zagotovitev njihove kibernetske varnosti; |
Predlog spremembe 39
Predlog uredbe
Člen 1 – odstavek 1 – točka d
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(d) pravila o nadzoru trga ter izvrševanju navedenih pravil in zahtev. |
(d) nadzora trga ter izvrševanja navedenih pravil in zahtev. |
Predlog spremembe 40
Predlog uredbe
Člen 2 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
1. Ta uredba se uporablja za izdelke z digitalnimi elementi, katerih predvidena ali razumno predvidljiva uporaba vključuje neposredno ali posredno logično ali fizično podatkovno povezavo z napravo ali omrežjem. |
1. Ta uredba se uporablja za izdelke z digitalnimi elementi, ki se dajejo na trg in katerih predvidena ali razumno predvidljiva uporaba vključuje neposredno ali posredno logično ali fizično podatkovno povezavo z zunanjo napravo ali omrežjem. |
Predlog spremembe 41
Predlog uredbe
Člen 2 – odstavek 5 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
5a. Ta uredba se ne uporablja za brezplačno in odprtokodno programsko opremo, vključno z njeno izvorno kodo in spremenjenimi različicami, razen kadar se ta programska oprema zagotovi v poslovni dejavnosti, na primer: |
|
(i) z zaračunanjem cene za izdelek; |
|
(ii) z zagotovitvijo platforme programske opreme, temelječe na drugih storitvah, ki jih proizvajalec monetizira; |
|
(iii) z uporabo osebnih podatkov, ki jih ustvari programska oprema, za druge namene kot izključno za izboljšanje varnosti, združljivosti ali interoperabilnosti programske opreme; |
|
(iv) z zaračunavanjem tehničnih podpornih storitev. |
|
Skladnost prostih in odprtokodnih sestavnih delov izdelkov zagotavlja proizvajalec izdelka, v katerega so vključeni. |
Predlog spremembe 42
Predlog uredbe
Člen 2 – odstavek 5 b (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
5b. Ta uredba se ne uporablja za notranja omrežja izdelka z digitalnimi elementi, če imajo ta omrežja namenske končne točke in so popolnoma ločena od zunanje podatkovne povezave in zaščitena pred njo. |
Predlog spremembe 43
Predlog uredbe
Člen 2 – odstavek 5 c (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
5c. Ta uredba se ne uporablja za nadomestne dele, ki so namenjeni izključno za zamenjavo pokvarjenih delov izdelka z digitalnimi elementi, da se mu povrne funkcionalnost. |
Predlog spremembe 44
Predlog uredbe
Člen 3 – odstavek 1 – točka 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(1) „izdelek z digitalnimi elementi“ pomeni vsak izdelek programske ali strojne opreme ter njegove rešitve za daljinsko obdelavo podatkov, vključno s sestavnimi deli programske ali strojne opreme, ki se ločeno dajo na trg; |
(1) „izdelek z digitalnimi elementi“ pomeni vsak izdelek programske ali strojne opreme, vključno s sestavnimi deli programske ali strojne opreme, ki se ločeno dajo na trg; |
Predlog spremembe 45
Predlog uredbe
Člen 3 – odstavek 1 – točka 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(2) „daljinska obdelava podatkov“ pomeni vsako obdelavo podatkov na daljavo, za katero je programsko opremo zasnoval in razvil proizvajalec ali je bila zasnovana in razvita pod njegovo odgovornostjo ter brez katere izdelek z digitalnimi elementi ne bi mogel opravljati ene od svojih funkcij; |
črtano |
Predlog spremembe 46
Predlog uredbe
Člen 3 – odstavek 1 – točka 6 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(6a) „odprtokodna programska oprema“ pomeni programsko opremo, distribuirano pod licenco, ki uporabnikom omogoča, da jo prosto uporabljajo, kopirajo, distribuirajo, preučujejo, spreminjajo in izboljšujejo ter jo kot sestavni del integrirajo v druge izdelke, ponujajo kot storitev ali zagotavljajo komercialno podporo zanjo; |
Predlog spremembe 47
Predlog uredbe
Člen 3 – odstavek 1 – točka 18
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(18) „proizvajalec“ pomeni vsako fizično ali pravno osebo, ki razvija ali izdeluje izdelke z digitalnimi elementi ali za katero se taki izdelki oblikujejo, razvijajo ali izdelujejo ter ki jih trži pod svojim imenom ali blagovno znamko, bodisi za plačilo bodisi brezplačno; |
(Ne zadeva slovenske različice.) |
Predlog spremembe 48
Predlog uredbe
Člen 3 – odstavek 1 – točka 19
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(19) „pooblaščeni predstavnik“ pomeni vsako fizično ali pravno osebo s sedežem v Uniji, ki jo je proizvajalec pisno pooblastil, da v njegovem imenu izvaja določene naloge; |
(19) „pooblaščeni zastopnik“ pomeni vsako fizično ali pravno osebo s sedežem v Uniji, ki jo je proizvajalec pisno pooblastil, da v njegovem imenu izvaja določene naloge, povezane z obveznostmi proizvajalca; |
Predlog spremembe 49
Predlog uredbe
Člen 6 – odstavek 6 – točka 23 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(23a) „odpoklic“ pomeni odpoklic, kot je opredeljen v členu 3, točka 22, Uredbe (EU) 2019/1020; |
Predlog spremembe 50
Predlog uredbe
Člen 3 – odstavek 1 – točka 26
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(26) „razumno predvidljiva napačna uporaba“ pomeni uporabo izdelka z digitalnimi elementi na način, ki sicer ni v skladu s predvidenim namenom, vendar je lahko posledica razumno predvidljivega človeškega vedenja ali interakcije z drugimi sistemi; |
črtano |
Predlog spremembe 51
Predlog uredbe
Člen 3 – odstavek 1 – točka 31
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(31) „bistvena sprememba“ pomeni spremembo izdelka z digitalnimi elementi po tem, ko je bil dan na trg, ki vpliva na skladnost navedenega izdelka z bistvenimi zahtevami iz oddelka 1 Priloge I ali povzroči spremembo predvidene uporabe, za katero je bil izdelek z digitalnimi elementi ocenjen; |
(31) „bistvena sprememba“ pomeni spremembo izdelka z digitalnimi elementi, razen posodobitev za varnost in vzdrževanje, po tem, ko je bil dan na trg, ki vpliva na skladnost navedenega izdelka z bistvenimi zahtevami iz oddelka 1 Priloge I ali povzroči spremembo predvidene uporabe, za katero je bil izdelek z digitalnimi elementi ocenjen; |
Predlog spremembe 52
Predlog uredbe
Člen 3 – odstavek 1 – točka 39
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(39) „aktivno izrabljena ranljivost“ pomeni ranljivost, za katero obstajajo zanesljivi dokazi, da je akter izvedel zlonamerno kodo v sistemu brez dovoljenja lastnika sistema; |
(39) „aktivno izrabljena ranljivost“ pomeni odpravljeno ranljivost, za katero obstajajo zanesljivi dokazi, da je akter izvedel zlonamerno kodo v sistemu brez dovoljenja lastnika sistema; |
Predlog spremembe 53
Predlog uredbe
Člen 3 – odstavek 1 – točka 40 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(40a) „delno dokončani izdelki z digitalnimi elementi“ pomenijo oprijemljiv predmet, ki ne more delovati samostojno in je proizveden izključno z namenom vgradnje ali sestavitve z izdelkom z digitalnimi elementi ali drugim delno dokončanim izdelkom z digitalnimi elementi in ki je lahko učinkovito ocenjen glede svoje skladnosti le ob upoštevanju tega, kako je vgrajen v predviden končni izdelek z digitalnimi elementi; |
Predlog spremembe 54
Predlog uredbe
Člen 3 – odstavek 1 – točka 40 b (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(40b) „življenjski cikel“ pomeni obdobje od trenutka, ko je izdelek, zajet v tej uredbi, dan na trg ali v obratovanje, pa do trenutka, ko se zavrže, vključno z dejanskim časom, ko se lahko uporablja, in fazami prevoza, sestavljanja, razstavljanja, onesposobitve, razreza ali drugih fizičnih ali digitalnih sprememb, ki jih predvideva proizvajalec; |
Predlog spremembe 55
Predlog uredbe
Člen 4 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
1. Države članice za zadeve, zajete v tej uredbi, ne ovirajo dostopnosti izdelkov z digitalnimi elementi, ki so skladni s to uredbo, na trgu. |
1. Države članice za zadeve, zajete v tej uredbi, ne ovirajo dostopnosti izdelkov z digitalnimi elementi ali delno dokončanimi izdelki z digitalnimi elementi, ki so skladni s to uredbo, na trgu. |
Predlog spremembe 56
Predlog uredbe
Člen 4 – odstavek 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
2. Države članice na sejmih, razstavah in predstavitvah ali podobnih dogodkih ne preprečijo predstavitve in uporabe izdelka z digitalnimi elementi, ki ni skladen s to uredbo, |
2. Države članice na sejmih, razstavah in predstavitvah ali podobnih dogodkih ne preprečijo predstavitve in uporabe izdelka z digitalnimi elementi, prototipskega izdelka z digitalnimi elementi ali delno dokončanega izdelka z digitalnimi elementi, ki ni skladen s to uredbo, če se izdelek z digitalnimi elementi uporablja izključno za predstavitve med dogodkom in če na njegovo neskladnost s to uredbo jasno kaže viden znak. |
Predlog spremembe 57
Predlog uredbe
Člen 4 – odstavek 3
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
3. Države članice ne preprečijo dostopnosti nedokončane programske opreme, ki ni skladna s to uredbo, če je programska oprema dostopna samo za omejeno obdobje, potrebno za preskušanje, ter viden znak jasno kaže, da ni skladna s to uredbo in bo dostopna na trgu samo za namene preskušanja. |
3. Države članice ne preprečijo dostopnosti nedokončanega ali prototipskega izdelka z digitalnimi elementi, ki ni skladen s to uredbo, če je dostopen v neprodukcijski različici in samo za preskušanje, ter če viden znak jasno kaže, da izdelek oziroma prototip ni skladen s to uredbo in bo dostopen na trgu samo za namene preskušanja. |
Predlog spremembe 58
Predlog uredbe
Člen 4 – odstavek 3 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
3a. Ta uredba državam članicam ne preprečuje, da za izdelke z digitalnimi elementi uvedejo dodatne ukrepe, če se bodo ti izdelki uporabljali za vojaške ali obrambne namene ali za namene državne varnosti v skladu z nacionalnim pravom in pravom Unije in so ti ukrepi potrebni in sorazmerni za doseganje teh namenov. |
Predlog spremembe 59
Predlog uredbe
Člen 5 – odstavek 1 – točka 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(1) izpolnjujejo bistvene zahteve iz oddelka 1 Priloge I, če se ustrezno namestijo, vzdržujejo, uporabljajo za predvideni namen ali pod razumno predvidljivimi pogoji in po potrebi posodabljajo, ter |
(1) izpolnjujejo bistvene zahteve iz oddelka 1 Priloge I, če se ustrezno namestijo, vzdržujejo, uporabljajo za predvideni namen ali pod razumno predvidljivimi pogoji in po potrebi poskrbijo za potrebne varnostne posodobitve, ter |
Predlog spremembe 60
Predlog uredbe
Člen 6 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
1. Izdelki z digitalnimi elementi, ki spadajo v kategorijo, navedeno v Prilogi III, se štejejo za kritične izdelke z digitalnimi elementi. Za izdelke, katerih osnovna funkcija spada v kategorijo, navedeno v Prilogi III k tej uredbi, se šteje, da spadajo v navedeno kategorijo. Kategorije kritičnih izdelkov z digitalnimi elementi so razdeljene v razred I in razred II, kot sta določena v Prilogi III, s katerima je izražena raven tveganja za kibernetsko varnost, povezana s temi izdelki. |
1. Izdelki z digitalnimi elementi, ki spadajo v kategorijo, navedeno v Prilogi III, se štejejo za kritične izdelke z digitalnimi elementi. Samo za izdelke, katerih osnovna funkcija spada v kategorijo, navedeno v Prilogi III k tej uredbi, se šteje, da spadajo v navedeno kategorijo. Kategorije kritičnih izdelkov z digitalnimi elementi so razdeljene v razred I in razred II, kot sta določena v Prilogi III, s katerima je izražena raven tveganja za kibernetsko varnost, povezana s temi izdelki. Vključitev sestavnih delov višjega razreda kritičnosti v izdelek z nižjega razreda kritičnosti ne spremeni ravni kritičnosti izdelku, v katerega je sestavni del integriran . |
Predlog spremembe 61
Predlog uredbe
Člen 6 – odstavek 2 – točka b
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(b) predvidena uporaba v občutljivih okoljih, vključno z uporabo v industrijskih okoljih ali s strani bistvenih subjektov iz Priloge [Priloga I] k Direktivi [Direktiva XXX/XXXX (NIS2)]; |
(b) predvidena uporaba v kritičnih aplikacijah v občutljivih okoljih ali s strani bistvenih subjektov iz Priloge [Priloga I] k Direktivi [Direktiva XXX/XXXX (NIS2)]; |
Predlog spremembe 62
Predlog uredbe
Člen 6 – odstavek 2 – točka c
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(c) predvidena uporaba za izvajanje kritičnih ali občutljivih funkcij, kakor je obdelava osebnih podatkov; |
(c) predvidena uporaba in obseg za izvajanje kritičnih ali občutljivih funkcij, kakor je obdelava osebnih podatkov; |
Predlog spremembe 63
Predlog uredbe
Člen 6 – odstavek 4
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
4. V zvezi s kritičnimi izdelki z digitalnimi elementi se uporabljajo postopki ugotavljanja skladnosti iz člena 24(2) in (3). |
4. V zvezi s kritičnimi izdelki z digitalnimi elementi se uporabljajo postopki ugotavljanja skladnosti iz člena 24(2) in (3). Mikropodjetja in mala podjetja lahko izjemoma uporabljajo postopek iz člena 24(2). |
Predlog spremembe 64
Predlog uredbe
Člen 6 – odstavek 5 – uvodni del
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
5. V skladu s členom 50 se na Komisijo prenese pooblastilo za sprejemanje delegiranih aktov za dopolnitev te uredbe z določitvijo kategorij zelo kritičnih izdelkov z digitalnimi elementi, za katere morajo proizvajalci pridobiti evropski certifikat kibernetske varnosti v okviru evropske certifikacijske sheme kibernetske varnosti v skladu z Uredbo (EU) 2019/881, da dokažejo skladnost z bistvenimi zahtevami iz Priloge I ali njihovimi deli. Komisija pri določanju takih kategorij zelo kritičnih izdelkov z digitalnimi elementi upošteva raven tveganja za kibernetsko varnost, povezano s kategorijo izdelkov z digitalnimi elementi, glede na eno ali več meril iz odstavka 2 in glede na presojo, ali navedeno kategorijo izdelkov: |
5. V skladu s členom 50 se na Komisijo prenese pooblastilo za sprejemanje delegiranih aktov za dopolnitev te uredbe z določitvijo kategorij zelo kritičnih izdelkov z digitalnimi elementi, za katere lahko proizvajalci pridobijo evropski certifikat kibernetske varnosti v okviru evropske certifikacijske sheme kibernetske varnosti v skladu z Uredbo (EU) 2019/881, da dokažejo skladnost z bistvenimi zahtevami iz Priloge I ali njihovimi deli. Komisija pri določanju takih kategorij zelo kritičnih izdelkov z digitalnimi elementi upošteva raven tveganja za kibernetsko varnost, povezano s kategorijo izdelkov z digitalnimi elementi, glede na eno ali več meril iz odstavka 2 in glede na presojo, ali navedeno kategorijo izdelkov: |
Predlog spremembe 65
Predlog uredbe
Člen 8 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
1. Za izdelke z digitalnimi elementi, opredeljene kot umetnointeligenčni sistemi velikega tveganja v skladu s členom [člen 6] Uredbe [uredba o umetni inteligenci], ki spadajo na področje uporabe te uredbe in izpolnjujejo bistvene zahteve iz oddelka 1 Priloge I k tej uredbi ter v zvezi s katerimi so postopki, ki jih je vzpostavil proizvajalec, skladni z bistvenimi zahtevami iz oddelka 2 Priloge I, se šteje, da so skladni z zahtevami v zvezi s kibernetsko varnostjo iz člena [člen 15] Uredbe [uredba o umetni inteligenci], brez poseganja v druge zahteve v zvezi s točnostjo in robustnostjo iz navedenega člena, če izjava EU o skladnosti, izdana v skladu s to uredbo, dokazuje doseganje ravni varstva, potrebne v skladu z navedenimi zahtevami. |
1. Za izdelke z digitalnimi elementi ali delno dokončane izdelke z digitalnimi elementi, opredeljene kot umetnointeligenčni sistemi velikega tveganja v skladu s členom [člen 6] Uredbe [uredba o umetni inteligenci], ki spadajo na področje uporabe te uredbe in izpolnjujejo bistvene zahteve iz oddelka 1 Priloge I k tej uredbi ter v zvezi s katerimi so postopki, ki jih je vzpostavil proizvajalec, skladni z bistvenimi zahtevami iz oddelka 2 Priloge I, se šteje, da so skladni z zahtevami v zvezi s kibernetsko varnostjo iz člena [člen 15] Uredbe [uredba o umetni inteligenci], brez poseganja v druge zahteve v zvezi s točnostjo in robustnostjo iz navedenega člena, če izjava EU o skladnosti, izdana v skladu s to uredbo, dokazuje doseganje ravni varstva, potrebne v skladu z navedenimi zahtevami. |
Predlog spremembe 66
Predlog uredbe
Člen 8 – odstavek 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
2. Za izdelke in zahteve glede kibernetske varnosti iz odstavka 1 se uporablja ustrezni postopek ugotavljanja skladnosti, kot se zahteva v skladu s členom [člen 43] Uredbe [uredba o umetni inteligenci]. Za namene navedenega ugotavljanja imajo priglašeni organi, ki imajo pravico nadzorovati skladnost umetnointeligenčnih sistemov velikega tveganja na podlagi Uredbe [uredba o umetni inteligenci], tudi pravico nadzorovati skladnost navedenih sistemov, ki spadajo na področje uporabe te uredbe, z zahtevami iz Priloge I k tej uredbi, če je bila skladnost teh priglašenih organov z zahtevami iz člena 29 te uredbe ocenjena v okviru postopka priglasitve na podlagi uredbe [uredba o umetni inteligenci]. |
2. Za izdelke in zahteve glede kibernetske varnosti iz odstavka 1 se uporablja ustrezni postopek ugotavljanja skladnosti, kot se zahteva v skladu z [ustreznimi določbami] Uredbe [uredba o umetni inteligenci]. Za namene navedenega ugotavljanja imajo priglašeni organi, ki imajo pravico nadzorovati skladnost umetnointeligenčnih sistemov velikega tveganja na podlagi Uredbe [uredba o umetni inteligenci], tudi pravico nadzorovati skladnost navedenih sistemov, ki spadajo na področje uporabe te uredbe, z zahtevami iz Priloge I k tej uredbi. |
Predlog spremembe 67
Predlog uredbe
Člen 8 – odstavek 3
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
3. Z odstopanjem od odstavka 2 se za kritične izdelke z digitalnimi elementi iz Priloge III k tej uredbi, za katere je treba uporabljati postopke ugotavljanja skladnosti iz člena 24(2), točki (a) in (b), ter člena 24(3), točki (a) in (b), te uredbe ter ki so opredeljeni tudi kot umetnointeligenčni sistemi velikega tveganja v skladu s členom [člen 6] Uredbe [uredba o umetni inteligenci], za katere se uporablja postopek ugotavljanja skladnosti na podlagi notranje kontrole iz Priloge [Priloga VI] k Uredbi [uredba o umetni inteligenci], v zvezi z bistvenimi zahtevami iz te uredbe uporabljajo postopki ugotavljanja skladnosti, kot se zahtevajo s to uredbo. |
črtano |
Predlog spremembe 68
Predlog uredbe
Člen 9 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
Za stroje in strojno opremo, ki spadajo na področje uporabe Uredbe [uredba o strojih in strojni opremi] in so izdelki z digitalnimi elementi v smislu te uredbe ter za katere je bila izdana izjava EU o skladnosti na podlagi te uredbe, se šteje, da so v skladu z bistvenimi zdravstvenimi in varnostnimi zahtevami iz Priloge [Priloga III, oddelka 1.1.9 in 1.2.1] k Uredbi [uredba o strojih in strojni opremi] v zvezi z zaščito pred zlorabo ter varnostjo in zanesljivostjo krmilnih sistemov, če izjava EU o skladnosti, izdana na podlagi te uredbe, dokazuje doseganje ravni varstva, potrebne v skladu z navedenimi zahtevami. |
Za stroje in strojno opremo, ki spadajo na področje uporabe Uredbe [uredba o strojih in strojni opremi] in so izdelki z digitalnimi elementi ali delno dokončani izdelki z digitalnimi elementi v smislu te uredbe ter za katere je bila izdana izjava EU o skladnosti na podlagi te uredbe, se šteje, da so v skladu z bistvenimi zdravstvenimi in varnostnimi zahtevami iz Priloge [Priloga III, oddelka 1.1.9 in 1.2.1] k Uredbi [uredba o strojih in strojni opremi] v zvezi z zaščito pred zlorabo ter varnostjo in zanesljivostjo krmilnih sistemov, če izjava EU o skladnosti, izdana na podlagi te uredbe, dokazuje doseganje ravni varstva, potrebne v skladu z navedenimi zahtevami. |
Predlog spremembe 69
Predlog uredbe
Člen 10 – odstavek -1 (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
-1. Proizvajalci programske opreme, ki izpolnjujejo pogoje za mikropodjetja, kot je opredeljeno v Priporočilu Komisije 2003/361/ES, si po najboljših močeh prizadevajo izpolniti zahteve iz te uredbe v 6 mesecih po tem, ko je programska oprema dana na trg. Ta posebna ureditev pa se ne uporablja za zelo kritične proizvode z digitalnimi elementi. |
Predlog spremembe 70
Predlog uredbe
Člen 10 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
1. Proizvajalci pri dajanju izdelka z digitalnimi elementi na trg zagotovijo, da je bil zasnovan, razvit in proizveden v skladu z bistvenimi zahtevami iz oddelka 1 Priloge I. |
(Ne zadeva slovenske različice.) |
Predlog spremembe 71
Predlog uredbe
Člen 10 – odstavek 4
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
4. Za namene izpolnjevanja obveznosti iz odstavka 1 so proizvajalci pri vgradnji sestavnih delov, pridobljenih od tretjih oseb, v izdelke z digitalnimi elementi ustrezno skrbni. Proizvajalci zagotovijo, da taki sestavni deli ne ogrozijo varnosti izdelka z digitalnimi elementi. |
4. Za namene izpolnjevanja obveznosti iz odstavka 1 so proizvajalci pri vgradnji sestavnih delov, pridobljenih od tretjih oseb, v izdelke z digitalnimi elementi ustrezno skrbni. Proizvajalci so odgovorni, da sprejmejo razumne ukrepe, da taki sestavni deli ne ogrozijo varnosti izdelka z digitalnimi elementi. |
Predlog spremembe 72
Predlog uredbe
Člen 10 – odstavek 4 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
4a. Proizvajalci sestavnih delov pri njihovi dobavi proizvajalcu končnih izdelkov zagotovijo informacije in dokumentacijo, potrebne za izpolnitev zahtev iz te uredbe. Zagotovijo se brezplačno. |
Predlog spremembe 73
Predlog uredbe
Člen 10 – odstavek 6 – pododstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
Proizvajalci pri dajanju izdelka z digitalnimi elementi na trg in v predvideni življenjski dobi izdelka ali v obdobju petih let od dajanja izdelka na trg – kar koli od tega je krajše – zagotovijo učinkovito obravnavanje ranljivosti navedenega izdelka v skladu z bistvenimi zahtevami iz oddelka 2 Priloge I. |
Proizvajalci pri dajanju izdelka z digitalnimi elementi na trg in v predvideni življenjski dobi izdelka v času dajanja izdelka na trg ali v obdobju petih let od dajanja izdelka na trg – kar od tega je dlje – zagotovijo učinkovito obravnavanje ranljivosti navedenega izdelka v skladu z bistvenimi zahtevami iz oddelka 2 Priloge I, če je to v proizvajalčevi moči. |
Predlog spremembe 74
Predlog uredbe
Člen 7 – odstavek 7 – pododstavek 3 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
Kadar se izvedejo posodobitve programske opreme, proizvajalcu ni treba izvesti drugega ugotavljanja skladnosti izdelka z digitalnimi elementi, razen če posodobitev programske opreme povzroči bistveno spremembo izdelka z digitalnimi elementi v smislu člena 3(31) te uredbe. |
Predlog spremembe 75
Predlog uredbe
Člen 10 – odstavek 9
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
9. Proizvajalci zagotovijo, da so za izdelke z digitalnimi elementi v serijski proizvodnji vzpostavljeni postopki za ohranjanje njihove skladnosti. Proizvajalec ustrezno upošteva spremembe postopka razvoja in proizvodnje ali spremembe zasnove ali lastnosti izdelka z digitalnimi elementi ter spremembe harmoniziranih standardov, evropskih certifikacijskih shem kibernetske varnosti ali skupnih specifikacij iz člena 19, na podlagi katerih se potrdi ali preverja skladnost izdelka z digitalnimi elementi. |
9. Proizvajalci zagotovijo, da so za izdelke z digitalnimi elementi v serijski proizvodnji vzpostavljeni postopki za ohranjanje njihove skladnosti. Proizvajalec ustrezno upošteva spremembe postopka razvoja in proizvodnje ali spremembe zasnove ali lastnosti izdelka z digitalnimi elementi ter spremembe harmoniziranih standardov, evropskih certifikacijskih shem kibernetske varnosti ali skupnih specifikacij iz člena 19, na podlagi katerih se potrdi ali preverja skladnost izdelka z digitalnimi elementi. Če se pojavijo nova znanja, tehnike ali standardi, ki v času načrtovanja serijskega izdelka niso bili na voljo, lahko proizvajalec razmisli o rednem vključevanju teh izboljšav v prihodnje generacije izdelkov. |
Predlog spremembe 76
Predlog uredbe
Člen 10 – odstavek 9 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
9a. Proizvajalci v jasni in razumljivi obliki javno navedejo pričakovano življenjsko dobo svojih izdelkov. |
Predlog spremembe 77
Predlog uredbe
Člen 10 – odstavek 12
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
12. Po dajanju izdelka z digitalnimi elementi na trg in v predvideni življenjski dobi izdelka ali v obdobju petih let od dajanja izdelka z digitalnimi elementi na trg – kar koli od tega je krajše – proizvajalci, ki ugotovijo ali upravičeno domnevajo, da izdelek z digitalnimi elementi ali postopki, ki jih je vzpostavil proizvajalec, ni v skladu z bistvenimi zahtevami iz Priloge I, nemudoma sprejmejo potrebne popravne ukrepe, da zagotovijo skladnost navedenega izdelka z digitalnimi elementi ali postopki, ki jih je vzpostavil proizvajalec, ali po potrebi umaknejo izdelek s trga ali ga odpokličejo. |
12. Po dajanju izdelka z digitalnimi elementi na trg in v predvideni življenjski dobi izdelka ali v obdobju petih let od dajanja izdelka z digitalnimi elementi na trg – kar od tega je daljše – proizvajalci, ki ugotovijo ali upravičeno domnevajo, da izdelek z digitalnimi elementi ali postopki, ki jih je vzpostavil proizvajalec, ni v skladu z bistvenimi zahtevami iz Priloge I, nemudoma sprejmejo potrebne popravne ukrepe, da zagotovijo skladnost navedenega izdelka z digitalnimi elementi ali postopki, ki jih je vzpostavil proizvajalec, ali po potrebi umaknejo izdelek s trga ali ga odpokličejo. |
Predlog spremembe 78
Predlog uredbe
Člen 11 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
1. Proizvajalec brez nepotrebnega odlašanja, vsekakor pa v 24 urah po seznanitvi z aktivno izrabljeno ranljivostjo v izdelku z digitalnimi elementi o njej uradno obvesti agencijo ENISA. Uradno obvestilo vključuje podrobnosti v zvezi z zadevno ranljivostjo, po potrebi pa tudi morebitne sprejete popravne ali blažilne ukrepe. Agencija ENISA uradno obvestilo po njegovem prejemu brez nepotrebnega odlašanja, ki ni utemeljeno z razlogi, povezanimi s tveganji za kibernetsko varnost, posreduje skupinam CSIRT zadevnih držav članic, imenovanim za namene usklajenega razkrivanja ranljivosti v skladu s členom [člen X] Direktive [Direktiva XXX/XXXX (NIS2)], ter o sporočeni ranljivosti obvesti organ za nadzor trga. |
1. Proizvajalec brez nepotrebnega odlašanja, vsekakor pa v 48 urah po seznanitvi z aktivno izrabljeno ranljivostjo v izdelku z digitalnimi elementi o njej prek mehanizma zgodnjega opozarjanja uradno obvesti agencijo ENISA. |
Predlog spremembe 79
Predlog uredbe
Člen 11 – odstavek 1 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
1a. Proizvajalec brez nepotrebnega odlašanja, ko izve za izrabljeno ranljivost v izdelku z digitalnimi elementi, uradno sporoči agenciji ENISA dodatne informacije o tej izrabljeni ranljivosti. |
Predlog spremembe 80
Predlog uredbe
Člen 11 – odstavek 1 b (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
1b. Vse druge ranljivosti, ki nimajo pomembnega vpliva na varnost proizvoda z digitalnimi elementi, se po odpravi priglasijo agenciji ENISA. |
Predlog spremembe 81
Predlog uredbe
Člen 11 – odstavek 1 c (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
1c. Uradno obvestilo vključuje podrobnosti v zvezi z zadevno ranljivostjo, po potrebi pa tudi morebitne sprejete popravne ali blažilne ukrepe ter priporočene ukrepe za zmanjšanje tveganja. Agencija ENISA uradno obvestilo po prejemu brez nepotrebnega odlašanja, ki ni utemeljeno z razlogi, povezanimi s tveganji za kibernetsko varnost, posreduje skupinam CSIRT zadevnih držav članic, imenovanim za namene usklajenega razkrivanja ranljivosti v skladu s členom [člen X] Direktive [Direktiva XXX/XXXX (NIS2)], ter o obstoju ranljivosti in po potrebi o morebitnih ukrepih za zmanjšanje tveganja nemudoma obvesti organ za nadzor trga. Kadar za sporočeno ranljivost niso na voljo popravni ali blažilni ukrepi, agencija ENISA zagotovi, da se informacije o sporočeni ranljivosti izmenjajo v skladu s strogimi varnostnimi protokoli in na podlagi potrebe po seznanitvi. |
Predlog spremembe 82
Predlog uredbe
Člen 11 – odstavek 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
2. Proizvajalec brez nepotrebnega odlašanja, vsekakor pa v 24 urah po seznanitvi z incidentom, ki vpliva na varnost izdelka z digitalnimi elementi, o njem uradno obvesti agencijo ENISA. Agencija ENISA uradna obvestila brez nepotrebnega odlašanja, ki ni utemeljeno z razlogi, povezanimi s tveganji za kibernetsko varnost, posreduje enotnim kontaktnim točkam zadevnih držav članic, imenovanim v skladu s členom [člen X] Direktive [Direktiva XXX/XXXX (NIS2)], ter o sporočenih incidentih obvesti organ za nadzor trga. Uradno obvestilo o incidentu vključuje informacije o resnosti in vplivu incidenta, po potrebi pa se v njem navede tudi, ali proizvajalec sumi, da je incident posledica nezakonitih ali zlonamernih dejanj, ali meni, da ima čezmejni vpliv. |
2. Proizvajalec brez nepotrebnega odlašanja, vsekakor pa v 24 urah po seznanitvi z incidentom, ki pomembno vpliva na varnost izdelka z digitalnimi elementi, prek mehanizma zgodnjega opozarjanja o njem uradno obvesti agencijo ENISA. Proizvajalec brez nepotrebnega odlašanja, vsekakor pa v 72 urah po seznanitvi s pomembnim incidentom, povezanim z izdelkom z digitalnimi elementi, agencijo ENISA uradno obvesti o dodatnih informacijah o tem pomembnem incidentu. Agencija ENISA uradna obvestila brez nepotrebnega odlašanja, ki ni utemeljeno z razlogi, povezanimi s tveganji za kibernetsko varnost, posreduje enotnim kontaktnim točkam zadevnih držav članic, imenovanim v skladu s členom [člen X] Direktive [Direktiva XXX/XXXX (NIS2)], ter o sporočenih pomembnih incidentih nemudoma obvesti organ za nadzor trga. Uradno obvestilo o incidentu vključuje informacije, ki so nujno potrebne, da se pristojni organ seznani z incidentom, in o resnosti in vplivu incidenta, če je to potrebno in sorazmerno glede na tveganje, po potrebi pa se v njem navede tudi, ali proizvajalec sumi, da je incident posledica nezakonitih ali zlonamernih dejanj, ali meni, da ima čezmejni vpliv. Zgolj dejanje uradne obvestitve pa subjektu, ki tako obveščanje izvede, ne nalaga dodatne odgovornosti. |
Predlog spremembe 83
Predlog uredbe
Člen 11 – odstavek 2 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
2a. Za gospodarske subjekte, ki so opredeljeni tudi kot bistveni subjekti ali pomembni subjekti v okviru direktive o ukrepih za visoko skupno raven kibernetske varnosti v Uniji in ki predložijo priglasitev incidentov v skladu z navedeno direktivo, bi se moralo šteti, da izpolnjujejo zahteve iz točke 2 tega člena. |
Predlog spremembe 84
Predlog uredbe
Člen 11 – odstavek 3
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
3. Agencija ENISA informacije, sporočene v skladu z odstavkoma 1 in 2, predloži evropski organizacijski mreži za povezovanje v kibernetski krizi (EU-CyCLONe), ustanovljeni s členom [člen X] Direktive [Direktiva XXX/XXXX (NIS2)], če so take informacije pomembne za usklajeno upravljanje velikih kibernetskih incidentov in kriz na operativni ravni. |
3. Agencija ENISA informacije, sporočene v skladu z odstavkoma 1 in 2, predloži evropski organizacijski mreži za povezovanje v kibernetski krizi (EU-CyCLONe), ustanovljeni s členom [člen X] Direktive [Direktiva XXX/XXXX (NIS2)], če so take informacije pomembne za usklajeno upravljanje pomembnih kibernetskih incidentov in kriz na operativni ravni. |
Predlog spremembe 85
Predlog uredbe
Člen 11 – odstavek 4
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
4. Proizvajalec po seznanitvi z incidentom brez nepotrebnega odlašanja obvesti uporabnike izdelka z digitalnimi elementi o incidentu, po potrebi pa tudi o popravnih ukrepih, ki jih lahko uporabnik sprejme za zmanjšanje vpliva incidenta. |
4. Proizvajalec po seznanitvi z incidentom brez nepotrebnega odlašanja obvesti uporabnike izdelka z digitalnimi elementi o pomembnem incidentu, če je to ustrezno in če bodo uporabniki verjetno oškodovani, po potrebi pa tudi o ukrepih za ublažitev tveganja in popravnih ukrepih, ki jih lahko uporabnik sprejme za zmanjšanje vpliva pomembnega incidenta v zvezi s podatki, ki jih incident zadeva, in v zvezi s potencialno škodo. |
Predlog spremembe 86
Predlog uredbe
Člen 11 – odstavek 4 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
4a. Obveznosti iz odstavkov 1, 2 in 4 se bodo uporabljale med življenjsko dobo izdelka. Proizvajalec bo v pričakovani življenjski dobi izdelka brezplačno zagotovil varnostne posodobitve, ki se bodo uporabljale samo za izdelke z digitalnimi elementi, za katere je proizvajalec pripravil izjavo EU o skladnosti v skladu s členom 20 te uredbe. |
Predlog spremembe 87
Predlog uredbe
Člen 11 – odstavek 5
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
5. Komisija lahko z izvedbenimi akti podrobneje določi vrsto informacij, obliko in postopek za uradna obvestila, predložena v skladu z odstavkoma 1 in 2. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 51(2). |
5. Komisija lahko po posvetovanju z deležniki in skupinami CSIRT z izvedbenimi akti podrobneje določi vrsto informacij, obliko in postopek za uradna obvestila, predložena v skladu z odstavkoma 1 in 2. Navedeni izvedbeni akti upoštevajo evropske in mednarodne standarde in se sprejmejo v skladu s postopkom pregleda iz člena 51(2). |
Predlog spremembe 88
Predlog uredbe
Člen 11 – odstavek 6
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
6. Agencija ENISA na podlagi uradnih obvestil, ki jih prejme v skladu z odstavkoma 1 in 2, pripravi dvoletno tehnično poročilo o novih trendih glede tveganj za kibernetsko varnost pri izdelkih z digitalnimi elementi ter ga predloži skupini za sodelovanje iz člena [člen X] Direktive [Direktiva XXX/XXXX (NIS2)]. Prvo tako poročilo predloži v 24 mesecih po začetku uporabe obveznosti iz odstavkov 1 in 2. |
6. Agencija ENISA na podlagi uradnih obvestil, ki jih prejme v skladu z odstavki 1 in 2, pripravi dvoletno tehnično poročilo o novih trendih glede tveganj za kibernetsko varnost pri izdelkih z digitalnimi elementi ter ga predloži skupini za sodelovanje iz člena 14 Direktive (EU) 2022/2555. Prvo tako poročilo predloži v 24 mesecih po začetku uporabe obveznosti iz odstavkov 1 in 2. |
Predlog spremembe 89
Predlog uredbe
Člen 11 – odstavek 7
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
7. Proizvajalec po ugotovitvi ranljivosti v sestavnem delu, vključno z odprtokodnim sestavnim delom, vgrajenim v izdelek z digitalnimi elementi, sporoči ranljivost osebi ali subjektu, ki vzdržuje sestavni del. |
7. Proizvajalec po ugotovitvi ranljivosti v sestavnem delu, vključno z odprtokodnim sestavnim delom, vgrajenim v izdelek z digitalnimi elementi, sporoči ranljivost in sprejet popravni ali blažilni ukrep osebi ali subjektu, ki vzdržuje sestavni del. To proizvajalca ne odvezuje obveznosti, da vzdržuje skladnost izdelka z zahtevami te uredbe, niti ne ustvarja obveznosti za razvijalce prostih in odprtokodnih sestavnih delov, ki z navedenim proizvajalcem niso v pogodbenem razmerju. |
Predlog spremembe 90
Predlog uredbe
Člen 12 – odstavek 3 – uvodni del
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
3. Pooblaščeni predstavnik izvaja naloge, določene v pooblastilu, ki ga prejme od proizvajalca. Pooblastilo pooblaščenemu predstavniku omogoča, da izvaja vsaj naslednje naloge: |
3. Pooblaščeni predstavnik izvaja naloge, določene v pooblastilu, ki ga prejme od proizvajalca. Izvod pooblastila na zahtevo predloži organom za nadzor trga. Pooblastilo pooblaščenemu predstavniku omogoča, da izvaja vsaj naslednje naloge: |
Predlog spremembe 91
Predlog uredbe
Člen 12 – odstavek 3 – točka a a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(aa) če pooblaščeni zastopnik utemeljeno domneva, da zadevni izdelek z digitalnimi elementi predstavlja tveganje za kibernetsko varnost, o tem obvesti proizvajalca; |
Predlog spremembe 92
Predlog uredbe
Člen 12 – odstavek 3 – točka b
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(b) organu za nadzor trga na podlagi njegove utemeljene zahteve zagotovi vse informacije in dokumentacijo, potrebne za dokazovanje skladnosti izdelka z digitalnimi elementi; |
(b) organu za nadzor trga na podlagi njegove utemeljene zahteve v jeziku, ki ga ta organ zlahka razume, zagotovi vse informacije in dokumentacijo, potrebne za dokazovanje varnosti in skladnosti izdelka z digitalnimi elementi; |
Predlog spremembe 93
Predlog uredbe
Člen 12 – odstavek 3 – točka c
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(c) na zahtevo organov za nadzor trga z njimi sodeluje pri vseh ukrepih, sprejetih za odpravo tveganj, ki jih predstavlja izdelek z digitalnimi elementi, v okviru pooblastila pooblaščenega predstavnika. |
(c) na zahtevo organov za nadzor trga z njimi sodeluje pri vseh ukrepih, sprejetih za učinkovito odpravo tveganj, ki jih predstavlja izdelek z digitalnimi elementi, v okviru pooblastila pooblaščenega predstavnika. |
Predlog spremembe 94
Predlog uredbe
Člen 13 – odstavek 2 – točka c a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(ca) je proizvajalec predložil vse dokumente, ki dokazujejo izpolnjevanje zahtev iz tega člena, in so ti dokumenti na voljo za vpogled za obdobje 10 let. |
Predlog spremembe 95
Predlog uredbe
Člen 13 – odstavek 3
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
3. Kadar uvoznik meni ali upravičeno domneva, da izdelek z digitalnimi elementi ali postopki, ki jih je vzpostavil proizvajalec, niso skladni z bistvenimi zahtevami iz Priloge I, izdelka ne da na trg, dokler se ne zagotovi skladnost navedenega izdelka ali postopkov, ki jih je vzpostavil proizvajalec, z bistvenimi zahtevami iz Priloge I. Kadar izdelek z digitalnimi elementi predstavlja povečano tveganje za kibernetsko varnost, uvoznik o tem obvesti proizvajalca in organe za nadzor trga. |
3. Kadar uvoznik na podlagi informacij, ki jih ima na voljo, meni ali upravičeno domneva, da izdelek z digitalnimi elementi ali postopki, ki jih je vzpostavil proizvajalec, niso skladni z bistvenimi zahtevami iz Priloge I, izdelka ne da na trg, dokler se ne zagotovi skladnost navedenega izdelka ali postopkov, ki jih je vzpostavil proizvajalec, z bistvenimi zahtevami iz Priloge I. Kadar izdelek z digitalnimi elementi predstavlja povečano tveganje za kibernetsko varnost, uvoznik o tem obvesti proizvajalca in organe za nadzor trga. |
Predlog spremembe 96
Predlog uredbe
Člen 13 – odstavek 4
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
4. Uvozniki navedejo svoje ime, registrirano trgovsko ime ali registrirano blagovno znamko, poštni naslov in e-poštni naslov, na katerem so dosegljivi, na izdelku z digitalnimi elementi, če to ni mogoče, pa na embalaži izdelka ali v dokumentu, priloženem izdelku z digitalnimi elementi. Kontaktni podatki so v jeziku, ki ga uporabniki in organi za nadzor trga zlahka razumejo. |
4. Uvozniki navedejo svoje ime, svojo registrirano trgovsko ime ali registrirano blagovno znamko, poštni naslov in e-poštni naslov, na katerem so dosegljivi, na izdelku z digitalnimi elementi, če to ni mogoče, pa na embalaži izdelka ali v dokumentu, priloženem izdelku z digitalnimi elementi. Kontaktni podatki so v jeziku, ki ga uporabniki in organi za nadzor trga zlahka razumejo. |
Predlog spremembe 97
Predlog uredbe
Člen 13 – odstavek 6 – pododstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
Uvozniki, ki ugotovijo ali upravičeno domnevajo, da izdelek z digitalnimi elementi, ki so ga dali na trg, ali postopki, ki jih je vzpostavil proizvajalec, niso skladni z bistvenimi zahtevami iz Priloge I, nemudoma sprejmejo potrebne popravne ukrepe, da zagotovijo skladnost navedenega izdelka z digitalnimi elementi ali postopkov, ki jih je vzpostavil proizvajalec, z bistvenimi zahtevami iz Priloge I ali po potrebi umaknejo izdelek s trga ali ga odpokličejo. |
Uvozniki, ki ugotovijo ali upravičeno domnevajo, da izdelek z digitalnimi elementi, ki so ga dali na trg, ali postopki, ki jih je vzpostavil proizvajalec, niso skladni z bistvenimi zahtevami iz Priloge I, nemudoma sprejmejo potrebne popravne ukrepe, da zagotovijo skladnost navedenega izdelka z digitalnimi elementi ali postopkov, ki jih je vzpostavil proizvajalec, z bistvenimi zahtevami iz Priloge I ali po potrebi umaknejo izdelek s trga ali ga odpokličejo. Na podlagi ocene tveganja se distributerje in končne uporabnike pravočasno obvesti o neskladnosti in ukrepih za zmanjšanje tveganja, ki jih lahko sprejmejo. |
Predlog spremembe 98
Predlog uredbe
Člen 14 – odstavek 2 – točka b a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(ba) so od proizvajalca ali uvoznika prejeli vse informacije in dokumentacijo, ki se zahtevajo v skladu s to uredbo. |
Predlog spremembe 99
Predlog uredbe
Člen 16 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
Fizična ali pravna oseba, ki ni proizvajalec, uvoznik ali distributer in ki bistveno spremeni izdelek z digitalnimi elementi, se šteje za proizvajalca za namene te uredbe. |
Fizična ali pravna oseba, ki ni proizvajalec, uvoznik ali distributer in ki v okviru poklicne dejavnosti bistveno spremeni izdelek z digitalnimi elementi ter omogoči njegovo dostopnost na trgu, se šteje za proizvajalca za namene te uredbe. |
Predlog spremembe 100
Predlog uredbe
Člen 18 – odstavek 1 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
1a. Komisija v skladu s členom 10(1) Uredbe (EU) št. 1025/2012 od ene ali več evropskih organizacij za standardizacijo zahteva pripravo harmoniziranih standardov za zahteve iz Priloge I. |
Predlog spremembe 101
Predlog uredbe
Člen 18 – odstavek 4 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
4a. Komisija si v skladu s členom 10(1) Uredbe (EU) št. 1025/2012 pri pripravi zahteve za standardizacijo za izdelke, ki spadajo na področje uporabe te uredbe, prizadeva za čim večjo usklajenost z obstoječimi ali prihodnjimi mednarodnimi standardi za kibernetsko varnost. V prvih treh letih po datumu začetka uporabe te uredbe je Komisija pooblaščena, da razglasi, da obstoječi mednarodni standard izpolnjuje zahteve iz te uredbe, brez kakršnih koli evropskih sprememb, če spoštovanje takšnih standardov dovolj poveča varnost izdelkov z digitalnimi elementi in če je standard kot ločeno različico objavila ena od evropskih organizacij za standardizacijo. |
Predlog spremembe 102
Predlog uredbe
Člen 19 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
Če harmonizirani standardi iz člena 18 ne obstajajo ali če Komisija meni, da ustrezni harmonizirani standardi ne izpolnjujejo zahtev iz te uredbe ali niso skladni z zahtevo Komisije za standardizacijo, ali če prihaja do neupravičenih zamud pri postopku standardizacije, ali če evropske organizacije za standardizacijo niso sprejele zahteve Komisije glede harmoniziranih standardov, se na Komisijo prenese pooblastilo, da z izvedbenimi akti sprejme skupne specifikacije glede bistvenih zahtev iz Priloge I. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 51(2). |
1. Komisija lahko sprejme izvedbene akte, s katerimi določi skupne specifikacije, ki zajemajo tehnične zahteve, s katerimi se zagotavlja način za izpolnjevanje bistvenih zdravstvenih in varnostnih zahtev iz Priloge I za proizvode, ki spadajo na področje uporabe te uredbe. Navedeni izvedbeni akti se sprejmejo le, če so izpolnjeni naslednji pogoji: |
|
(a) Komisija je v skladu s členom 10(1) Uredbe (EU) št. 1025/2012 od ene ali več evropskih organizacij za standardizacijo zahtevala pripravo harmoniziranih standardov za bistvene zahteve iz Priloge I in: |
|
(i) ta zahteva ni bila sprejeta; ali |
|
(ii) harmonizirani standardi, ki so bili predmet te zahteve, niso bili predloženi v roku, določenem v skladu s členom 10(1) Uredbe (EU) št. 1025/2012; ali |
|
(iii) harmonizirani standardi niso skladni z zahtevo; ter |
|
(b) v Uradnem listu Evropske unije v skladu z Uredbo (EU) št. 1025/2012 ni objavljen sklic na harmonizirane standarde, ki zajemajo zahteve iz Priloge I, in njegova objava se v razumnem roku tudi ne pričakuje. |
|
Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(3). |
Predlog spremembe 103
Predlog uredbe
Člen 19 – odstavek 1 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
1a. Komisija pred pripravo osnutka izvedbenega akta iz odstavka 3 obvesti odbor iz člena 22 Uredbe (EU) 1025/2012, da meni, da so pogoji iz odstavka 3 izpolnjeni. |
Predlog spremembe 104
Predlog uredbe
Člen 19 – odstavek 1 b (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
1b. Komisija pri pripravi osnutka izvedbenega akta iz odstavka 1 upošteva mnenja zadevnih organov ali strokovne skupine in se ustrezno posvetuje z vsemi zadevnimi deležniki. |
Predlog spremembe 105
Predlog uredbe
Člen 19 – odstavek 1 c (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
1c. Kadar harmoniziran standard sprejme ena od evropskih organizacij za standardizacijo in ga predlaga Komisiji zaradi objave sklica nanj v Uradnem listu Evropske unije, ga Komisija oceni v skladu z Uredbo (EU) 1025/2012. Ko se sklic na harmonizirani standard objavi v Uradnem listu Evropske unije, Komisija razveljavi izvedbene akte iz odstavka 1 ali njihove dele, ki zajemajo enake zahteve kot tiste v harmoniziranem standardu. |
Predlog spremembe 106
Predlog uredbe
Člen 19 – odstavek 1 d (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
1d. Kadar država članica meni, da skupna specifikacija ne izpolnjuje v celoti zahtev iz Priloge I, o tem s predložitvijo podrobne obrazložitve obvesti Komisijo. Komisija to podrobno obrazložitev oceni in lahko po potrebi spremeni izvedbeni akt, ki določa zadevno skupno specifikacijo. |
Predlog spremembe 107
Predlog uredbe
Člen 20 – odstavek 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
2. Izjava EU o skladnosti ima vzorčno strukturo, navedeno v Prilogi IV, in vsebuje elemente, opredeljene v ustreznih postopkih ugotavljanja skladnosti iz Priloge VI. Taka izjava se stalno posodablja. Na voljo je v jeziku ali jezikih, ki ga/jih zahteva država članica, v kateri se izdelek z digitalnimi elementi da na trg ali na voljo. |
2. Izjava EU o skladnosti ima vzorčno strukturo, navedeno v Prilogi IV, in vsebuje elemente, opredeljene v ustreznih postopkih ugotavljanja skladnosti iz Priloge VI. Taka izjava se po potrebi posodablja. Na voljo je v jeziku ali jezikih, ki ga oziroma jih zlahka razumejo organi države članice, v kateri se izdelek z digitalnimi elementi da na trg ali na voljo. |
Predlog spremembe 108
Predlog uredbe
Člen 20 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
Člen 20a |
|
Izjava EU o vgradnji za delno dokončane izdelke z digitalnimi elementi |
|
1. Proizvajalci pripravijo izjavo EU o vgradnji v skladu s členom 10(7) in navedejo, da je bilo dokazano izpolnjevanje ustreznih bistvenih zahtev iz Priloge I. |
|
2. Izjava EU o vgradnji ima vzorčno strukturo, določeno v Prilogi IVa (novo). Taka izjava se po potrebi posodablja. Na voljo je v jeziku ali jezikih, ki ga/jih zahteva država članica, v kateri se delno dokončan izdelek z digitalnimi elementi da na trg ali na voljo. |
|
3. Kadar se za delno dokončan izdelek z digitalnimi elementi uporablja več kot en akt Unije, ki zahteva izjavo EU o vgradnji, se v zvezi z vsemi takimi akti Unije pripravi enotna izjava EU o vgradnji. V navedeni izjavi se opredelijo zadevni akti Unije, vključno z navedbo objave. |
|
4. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 50, s katerimi se zaradi upoštevanja tehnološkega napredka ta uredba dopolni z dodajanjem elementov minimalni vsebini izjave EU o vgradnji, kakor je določena v Prilogi IVa (novo). |
Predlog spremembe 109
Predlog uredbe
Člen 22 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
1. Oznaka CE se vidno, čitljivo in neizbrisno namesti na izdelek z digitalnimi elementi. Kadar to zaradi narave izdelka z digitalnimi elementi ni mogoče ali upravičeno, se namesti na embalažo in na izjavo EU o skladnosti iz člena 20, priloženo izdelku z digitalnimi elementi. Pri izdelkih z digitalnimi elementi v obliki programske opreme se oznaka CE namesti na izjavo EU o skladnosti iz člena 20 ali na spletišče, povezano z izdelkom programske opreme. |
1. Oznaka CE se vidno, čitljivo in neizbrisno namesti na izdelek z digitalnimi elementi. Kadar to zaradi narave izdelka z digitalnimi elementi ni mogoče ali upravičeno, se namesti na embalažo in na izjavo EU o skladnosti iz člena 20, priloženo izdelku z digitalnimi elementi. Pri izdelkih z digitalnimi elementi v obliki programske opreme se oznaka CE namesti na izjavo EU o skladnosti iz člena 20 ali na spletišče, povezano z izdelkom programske opreme. V slednjem primeru mora biti ustrezen razdelek spletišča potrošnikom enostavno in neposredno dostopen. |
Predlog spremembe 110
Predlog uredbe
Člen 22 – odstavek 3
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
3. Oznaka CE se namesti, preden se izdelek z digitalnimi elementi da na trg. Lahko ji sledi piktogram ali katera koli druga oznaka, ki označuje posebno tveganje ali uporabo, določeno v izvedbenih aktih iz odstavka 6. |
3. Oznaka CE se namesti, preden se izdelek z digitalnimi elementi da na trg. Lahko ji sledi piktogram ali katera koli druga oznaka, ki potrošnike opozarja na posebno tveganje ali uporabo, določeno v izvedbenih aktih iz odstavka 6. |
Predlog spremembe 111
Predlog uredbe
Člen 22 – odstavek 5
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
5. Države članice nadgrajujejo obstoječe mehanizme, da zagotovijo pravilno uporabo sistema za označevanje z oznako CE, in sprejmejo ustrezne ukrepe v primeru nepravilne rabe te oznake. Če izdelek z digitalnimi elementi ureja druga zakonodaja Unije, ki prav tako določa namestitev oznake CE, taka oznaka kaže, da izdelek izpolnjuje tudi zahteve navedene druge zakonodaje. |
5. Države članice nadgrajujejo obstoječe mehanizme, da zagotovijo pravilno in harmonizirano uporabo sistema za označevanje z oznako CE, in sprejmejo ustrezne in harmonizirane ukrepe v primeru nepravilne rabe te oznake. Če izdelek z digitalnimi elementi ureja druga zakonodaja Unije, ki prav tako določa namestitev oznake CE, taka oznaka kaže, da izdelek izpolnjuje tudi zahteve navedene druge zakonodaje. |
Predlog spremembe 112
Predlog uredbe
Člen 22 – odstavek 6
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
6. Komisija lahko z izvedbenimi akti določi tehnične specifikacije glede piktogramov ali katerih koli drugih oznak, ki se nanašajo na varnost izdelkov z digitalnimi elementi, in mehanizme za spodbujanje njihove uporabe. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 51(2). |
6. Komisija lahko z delegiranimi akti določi tehnične specifikacije glede sistemov označevanja, vključno s harmoniziranimi označbami, piktogrami ali katerimi koli drugimi oznakami, ki se nanašajo na varnost izdelkov z digitalnimi elementi, in mehanizme za spodbujanje njihove uporabe med podjetji in potrošniki ter povečanje ozaveščenosti javnosti o varnosti izdelkov z digitalnimi elementi. Navedeni delegirani akti se sprejmejo v skladu s postopkom iz člena 50. |
Predlog spremembe 113
Predlog uredbe
Člen 22 – odstavek 6 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
6a. Brez poseganja v določbe o označevanju, ki izhajajo iz druge veljavne zakonodaje Unije, delno dokončan izdelek z digitalnimi elementi ni označen z oznako CE v skladu s to uredbo. |
Predlog spremembe 114
Predlog uredbe
Člen 22 – odstavek 6 b (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
6b. Komisija sprejme smernice in zagotavlja nasvete gospodarskim subjektom, zlasti tistim, ki izpolnjujejo pogoje za mala in srednja podjetja, vključno z mikropodjetji, glede izvajanja te uredbe. S smernicami in nasveti naj bi se zlasti poenostavilo in omejilo upravno in finančno breme, hkrati pa zagotovila učinkovita in dosledna uporaba te uredbe v skladu s splošnim ciljem zagotavljanja varnosti izdelkov in varstva potrošnikov. Posvetovati bi se morala z ustreznimi deležniki s strokovnim znanjem na področju kibernetske varnosti. |
Predlog spremembe 115
Predlog uredbe
Člen 23 – odstavek 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
2. Tehnična dokumentacija se pripravi, preden se izdelek z digitalnimi elementi da na trg, in se stalno posodablja, če je ustrezno, in sicer v pričakovani življenjski dobi izdelka ali v obdobju petih let po tem, ko se izdelek z digitalnimi elementi da na trg, pri čemer se upošteva krajše obdobje. |
2. Tehnična dokumentacija se pripravi, preden se izdelek z digitalnimi elementi da na trg, in se stalno posodablja, če je ustrezno, in sicer v pričakovani življenjski dobi izdelka ali v obdobju petih let po tem, ko se izdelek z digitalnimi elementi da na trg, pri čemer se upošteva daljše obdobje. |
Predlog spremembe 116
Predlog uredbe
Člen 23 – odstavek 3
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
3. Za izdelke z digitalnimi elementi iz člena 8 in člena 24(4), za katere se uporabljajo tudi drugi akti Unije, se pripravi enotna tehnična dokumentacija, ki vsebuje informacije iz Priloge V k tej uredbi in informacije, ki jih zahtevajo navedeni ustrezni akti Unije. |
3. Za izdelke z digitalnimi elementi, za katere se uporabljajo tudi drugi akti Unije, se pripravi enotna tehnična dokumentacija, ki vsebuje informacije iz Priloge V k tej uredbi in informacije, ki jih zahtevajo navedeni ustrezni akti Unije. |
Predlog spremembe 117
Predlog uredbe
Člen 23 – odstavek 5
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
5. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 50, s katerimi se zaradi upoštevanja tehnološkega napredka in razvoja dogodkov pri izvajanju te uredbe ta uredba dopolni z elementi, ki jih je treba vključiti v tehnično dokumentacijo iz Priloge V. |
5. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 50, s katerimi se zaradi upoštevanja tehnološkega napredka in razvoja dogodkov pri izvajanju te uredbe ta uredba dopolni z elementi, ki jih je treba vključiti v tehnično dokumentacijo iz Priloge V. Komisija si prizadeva čim bolj zmanjšati upravno breme, zlasti za mikro-, mala in srednja podjetja. |
Predlog spremembe 118
Predlog uredbe
Člen 24 – odstavek 1 – točka c a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(ca) evropske certifikacijske sheme kibernetske varnosti, sprejete v skladu s členom 18(4) Uredbe (EU) 2019/881. |
Predlog spremembe 119
Predlog uredbe
Člen 24 – odstavek 3 – točka b
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(b) ugotavljanje skladnosti na podlagi popolnega zagotavljanja kakovosti (na podlagi modula H) iz Priloge VI. |
(b) ugotavljanje skladnosti na podlagi popolnega zagotavljanja kakovosti (na podlagi modula H) iz Priloge VI; ali |
Predlog spremembe 120
Predlog uredbe
Člen 24 – odstavek 3 – točka b a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(ba) po potrebi evropske certifikacijske sheme kibernetske varnosti na ravni zanesljivosti „znatno“ ali „visoko“ v skladu z Uredbo (EU) 2019/881. |
Predlog spremembe 121
Predlog uredbe
Člen 24 – odstavek 4 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
4a. Za izdelke, za katere se uporablja harmonizirana zakonodaja Unije, ki temelji na novem zakonodajnem okviru, proizvajalec upošteva ustrezno ugotavljanje skladnosti, kot se zahteva v navedenih pravnih aktih. Za te izdelke se uporabljajo zahteve iz poglavja III. |
Predlog spremembe 122
Predlog uredbe
Člen 24 – odstavek 5
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
5. Priglašeni organi pri določanju pristojbin za izvajanje postopkov ugotavljanja skladnosti upoštevajo posebne interese in potrebe malih in srednjih podjetij (MSP) ter navedene pristojbine zmanjšajo sorazmerno s temi posebnimi interesi in potrebami. |
5. Priglašeni organi pri določanju pristojbin za izvajanje postopkov ugotavljanja skladnosti upoštevajo posebne interese in potrebe mikro-, malih in srednjih podjetij ter navedene pristojbine zmanjšajo sorazmerno s temi posebnimi interesi in potrebami. Komisija sprejme ukrepe, da zagotovi dostopnejše in cenovno ugodnejše postopke ter ustrezne finančne podpore v okviru obstoječih programov Unije, zlasti za zmanjšanje bremena za mikro-, mala in srednja podjetja. |
Predlog spremembe 123
Predlog uredbe
Člen 24 – odstavek 5 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
5a. Za izdelke z digitalnimi elementi, ki spadajo na področje uporabe te uredbe in ki jih dajejo na trg ali v uporabo kreditne institucije, urejene z Direktivo 2013/36/EU, se ugotavljanje skladnosti izvede kot del postopka iz členov 97 do 101 navedene direktive. |
Predlog spremembe 124
Predlog uredbe
Člen 24 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
Člen 24a |
|
Če imajo izdelki z digitalnimi elementi enakovredno strojno ali programsko opremo, je lahko en model izdelka reprezentativen za družino izdelkov za namene naslednjih postopkov ugotavljanja skladnosti: |
|
(a) postopka notranje kontrole (na podlagi modula A) iz Priloge VI, ali |
|
(b) EU-pregleda tipa (na podlagi modula B) iz Priloge VI, ki mu sledi skladnost s tipom EU na podlagi notranje kontrole proizvodnje (na podlagi modula C) iz Priloge VI. |
Predlog spremembe 125
Predlog uredbe
Člen 27 – odstavek 5
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
5. Priglasitveni organ zagotavlja zaupnost pridobljenih informacij. |
5. Priglasitveni organ zagotavlja zaupnost pridobljenih informacij, vključno s pravicami intelektualne lastnine, zaupnimi poslovnimi informacijami in poslovnimi skrivnostmi. |
Predlog spremembe 126
Predlog uredbe
Člen 27 – odstavek 6 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
6a. Priglasitveni organ zmanjša birokracijo in pristojbine, zlasti za MSP. |
Predlog spremembe 127
Predlog uredbe
Člen 29 – odstavek 7 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
7a. Države članice in Komisija sprejmejo ustrezne ukrepe za zagotovitev zadostne razpoložljivosti usposobljenih strokovnjakov, da se čim bolj zmanjšajo ozka grla pri dejavnostih organov za ugotavljanje skladnosti. |
Predlog spremembe 128
Predlog uredbe
Člen 29 – odstavek 10
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
10. Osebje organa za ugotavljanje skladnosti je zavezano k poklicni molčečnosti v zvezi z vsemi informacijami, pridobljenimi med izvajanjem nalog na podlagi Priloge VI ali katere koli določbe nacionalnega prava, na podlagi katere se ta izvaja, razen glede organov za nadzor trga države članice, v kateri izvaja svoje dejavnosti. Lastniške pravice so zaščitene. Organ za ugotavljanje skladnosti vzpostavi dokumentirane postopke, s katerimi se zagotavlja skladnost s tem odstavkom. |
10. Osebje organa za ugotavljanje skladnosti je zavezano k poklicni molčečnosti v zvezi z vsemi informacijami, pridobljenimi med izvajanjem nalog na podlagi Priloge VI ali katere koli določbe nacionalnega prava, na podlagi katere se ta izvaja, razen glede organov za nadzor trga države članice, v kateri izvaja svoje dejavnosti. Pravice intelektualne lastnine, zaupne poslovne informacije in poslovne skrivnosti so zaščitene. Organ za ugotavljanje skladnosti vzpostavi dokumentirane postopke, s katerimi se zagotavlja skladnost s tem odstavkom. |
Predlog spremembe 129
Predlog uredbe
Člen 29 – odstavek 12
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
12. Organi za ugotavljanje skladnosti delujejo v skladu z vrsto doslednih, pravičnih in razumnih pogojev, zlasti ob upoštevanju interesov MSP v zvezi s pristojbinami. |
12. Organi za ugotavljanje skladnosti delujejo v skladu z vrsto doslednih, pravičnih in razumnih pogojev v skladu s členom 37(2), zlasti ob upoštevanju interesov mikro-, malih in srednjih podjetij v zvezi s pristojbinami. |
Predlog spremembe 130
Predlog uredbe
Člen 36 – odstavek 3
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
3. Komisija zagotovi, da se vse občutljive informacije, pridobljene v okviru njenih preiskav, obravnavajo zaupno. |
3. Komisija zagotovi, da se vse informacije, vključno s pravicami intelektualne lastnine, zaupnimi poslovnimi informacijami in poslovnimi skrivnostmi, pridobljene v okviru njenih preiskav, obravnavajo zaupno. |
Predlog spremembe 131
Predlog uredbe
Člen 37 – odstavek 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
2. Ugotavljanje skladnosti se izvaja sorazmerno, tako da se prepreči nepotrebna obremenitev gospodarskih subjektov. Organi za ugotavljanje skladnosti pri izvajanju svojih dejavnosti upoštevajo velikost podjetja, sektor, v katerem deluje, njegovo strukturo, stopnjo zahtevnosti tehnologije zadevnega izdelka in masovno ali serijsko naravo proizvodnega postopka. |
2. Ugotavljanje skladnosti se izvaja sorazmerno, da ne bi prišlo do nepotrebne obremenitve gospodarskih subjektov in zasebnih uvoznikov, s posebnim poudarkom na MSP. Organi za ugotavljanje skladnosti pri izvajanju svojih dejavnosti upoštevajo velikost podjetja, sektor, v katerem deluje, njegovo strukturo, stopnjo zahtevnosti in tveganje izpostavljenosti tipa in tehnologije zadevnega izdelka in masovno ali serijsko naravo proizvodnega postopka. |
Predlog spremembe 132
Predlog uredbe
Člen 37 – odstavek 5
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
5. Če priglašeni organ med postopkom spremljanja skladnosti po izdaji potrdila o skladnosti ugotovi, da izdelek ni več skladen z zahtevami iz te uredbe, od proizvajalca zahteva, naj sprejme ustrezne popravne ukrepe, in po potrebi začasno prekliče ali prekliče potrdilo. |
5. Če priglašeni organ med postopkom spremljanja skladnosti po izdaji potrdila o skladnosti ugotovi, da izdelek ni več skladen z zahtevami iz te uredbe, od proizvajalca zahteva, naj sprejme ustrezne popravne ukrepe, in po potrebi omeji, začasno prekliče ali prekliče potrdilo. |
Predlog spremembe 133
Predlog uredbe
Člen 40 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
1. Komisija zagotovi vzpostavitev in pravilno delovanje ustreznega usklajevanja in sodelovanja med priglašenimi organi v obliki medsektorske skupine priglašenih organov. |
1. Komisija zagotovi vzpostavitev in pravilno delovanje ustreznega usklajevanja in sodelovanja med priglašenimi organi v obliki medsektorske skupine priglašenih organov, pri čemer upošteva tudi potrebo po zmanjšanju birokracije in pristojbin. |
Predlog spremembe 134
Predlog uredbe
Člen 40 – odstavek 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
2. Države članice zagotovijo, da organi, ki jih priglasijo, neposredno ali po pooblaščenih predstavnikih sodelujejo pri delu navedene skupine. |
2. Države članice zagotovijo, da organi, ki jih priglasijo, neposredno ali po pooblaščenih predstavnikih sodelujejo pri delu navedene skupine, pri čemer upošteva tudi potrebo po zmanjšanju birokracije in pristojbin. |
Predlog spremembe 135
Predlog uredbe
Člen 41 – odstavek 3
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
3. Če je ustrezno, organi za nadzor trga sodelujejo z nacionalnimi certifikacijskimi organi za kibernetsko varnost, imenovanimi na podlagi člena 58 Uredbe (EU) 2019/881, in si z njimi redno izmenjujejo informacije. Glede nadzora nad izvajanjem obveznosti poročanja v skladu s členom 11 te uredbe imenovani organi za nadzor trga sodelujejo z agencijo ENISA. |
3. Če je ustrezno, organi za nadzor trga sodelujejo z nacionalnimi certifikacijskimi organi za kibernetsko varnost, imenovanimi na podlagi člena 58 Uredbe (EU) 2019/881, in si z njimi redno izmenjujejo informacije. Glede nadzora nad izvajanjem obveznosti poročanja v skladu s členom 11 te uredbe imenovani organi za nadzor trga učinkovito sodelujejo z agencijo ENISA. Organi za nadzor trga lahko agencijo ENISA prosijo za tehnično svetovanje o zadevah, povezanih z izvajanjem in izvrševanjem te uredbe, tudi med preiskavami v skladu s členom 43, ko organi za nadzor trga agencijo ENISA lahko zaprosijo za nezavezujoče ocene skladnosti izdelkov z digitalnimi elementi. |
Predlog spremembe 136
Predlog uredbe
Člen 41 – odstavek 7
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
7. Komisija olajša izmenjavo izkušenj med imenovanimi organi za nadzor trga. |
7. Komisija olajša redno in strukturirano izmenjavo izkušenj med imenovanimi organi za nadzor trga tudi prek namenske skupine za upravno sodelovanje (ADCO), ustanovljeno v skladu z odstavkom 11 tega člena. |
Predlog spremembe 137
Predlog uredbe
Člen 41 – odstavek 8
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
8. Organi za nadzor trga lahko zagotavljajo smernice in nasvete gospodarskim subjektom glede izvajanja te uredbe, ob podpori Komisije. |
8. Komisija sprejme smernice in zagotavlja nasvete gospodarskim subjektom, zlasti tistim, ki izpolnjujejo pogoje za mala in srednja podjetja, vključno z mikropodjetji, glede izvajanja te uredbe. S smernicami in nasveti naj bi se zlasti poenostavilo in omejilo upravno in finančno breme, hkrati pa zagotovila učinkovita in dosledna uporaba v skladu s splošnim ciljem zagotavljanja varnosti izdelkov in varstva potrošnikov. |
Predlog spremembe 138
Predlog uredbe
Člen 41 – odstavek 8 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
8a. Organi za nadzor trga so opremljeni za sprejemanje pritožb potrošnikov v skladu s členom 11 Uredbe 2019/1020, tudi z vzpostavitvijo jasnih in dostopnih mehanizmov za olajšanje poročanja o ranljivostih, incidentih in kibernetskih grožnjah. |
Predlog spremembe 139
Predlog uredbe
Člen 41 – odstavek 11
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
11. V skladu s členom 30(2) Uredbe (EU) 2019/1020 se ustanovi namenska skupina za upravno sodelovanje (ADCO) za enotno uporabo te uredbe. Skupino ADCO sestavljajo predstavniki imenovanih organov za nadzor trga in, če je ustrezno, predstavniki enotnih povezovalnih organov. |
11. V skladu s členom 30(2) Uredbe (EU) 2019/1020 se ustanovi namenska skupina za upravno sodelovanje (ADCO) za enotno uporabo te uredbe, da bi olajšala strukturirano sodelovanje v zvezi z izvajanjem te uredbe in racionalizirala prakse organov za nadzor trga v Uniji. Skupina ADCO opravlja zlasti naloge iz člena 32(2) Uredbe (EU) 2019/1020, sestavljajo pa jo predstavniki imenovanih organov za nadzor trga, agencije ENISA in, če je ustrezno, predstavniki enotnih povezovalnih organov. Skupina ADCO se sestaja redno in po potrebi še na ustrezno utemeljeno zahtevo Komisije ali agencije ENISA ali države članice ter usklajuje svoje delovanje z drugimi obstoječimi dejavnostmi Unije v zvezi z nadzorom trga in varnostjo potrošnikov ter, kadar je to primerno, sodeluje in si izmenjuje informacije z drugimi mrežami, skupinami in organi Unije. ADCO lahko povabi strokovnjake in druge tretje strani, vključno s potrošniškimi organizacijami, da se udeležijo njenih sestankov. |
Predlog spremembe 140
Predlog uredbe
Člen 41 – odstavek 11 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
11a. Za izdelke z digitalnimi elementi s področja uporabe te uredbe, ki jih distribuirajo, dajo v uporabo ali uporabljajo finančne institucije, ki jih ureja ustrezna zakonodaja Unije o finančnih storitvah, je organ za nadzor trga za namene te uredbe ustrezni organ, odgovoren za finančni nadzor teh institucij v skladu z navedeno zakonodajo. |
Predlog spremembe 141
Predlog uredbe
Člen 42 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
Če je treba oceniti skladnost izdelkov z digitalnimi elementi in postopkov, ki so jih vzpostavili njihovi proizvajalci, z bistvenimi zahtevami iz Priloge I, se organom za nadzor trga na njihovo obrazloženo zahtevo omogoči dostop do podatkov, ki so potrebni za ocenjevanje zasnove, razvoja, proizvodnje in obravnavanja ranljivosti takih izdelkov, vključno z zadevno interno dokumentacijo zadevnih gospodarskih subjektov. |
Če je treba oceniti skladnost izdelkov z digitalnimi elementi in postopkov, ki so jih vzpostavili njihovi proizvajalci, z bistvenimi zahtevami iz Priloge I, se organom za nadzor trga na njihovo obrazloženo zahtevo omogoči dostop do podatkov, ki so potrebni za ocenjevanje zasnove, razvoja, proizvodnje in obravnavanja ranljivosti takih izdelkov, vključno z zadevno interno dokumentacijo zadevnih gospodarskih subjektov. Po potrebi in v skladu s členom 52(1), točka (a), se to izvede v varnem, nadzorovanem okolju, ki ga določi proizvajalec. |
Predlog spremembe 142
Predlog uredbe
Člen 43 – odstavek 1 – pododstavek 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
Če med navedenim ocenjevanjem organ za nadzor trga ugotovi, da izdelek z digitalnimi elementi ne izpolnjuje zahtev iz te uredbe, od zadevnega gospodarskega subjekta nemudoma zahteva, naj sprejme vse ustrezne popravne ukrepe za zagotovitev, da izdelek izpolnjuje navedene zahteve, ali pa naj izdelek umakne s trga oziroma ga odpokliče v razumnem roku, ki je sorazmeren z naravo tveganja. |
Če med navedenim ocenjevanjem organ za nadzor trga ugotovi, da izdelek z digitalnimi elementi ne izpolnjuje zahtev iz te uredbe ali kako drugače predstavlja grožnjo nacionalni varnosti, od zadevnega gospodarskega subjekta nemudoma zahteva, naj sprejme vse ustrezne popravne ukrepe za zagotovitev, da izdelek izpolnjuje navedene zahteve, ali pa naj izdelek umakne s trga oziroma ga odpokliče v razumnem roku, ki je sorazmeren z naravo tveganja. |
|
Preden se izvede zgoraj navedena ocena, lahko organ za nadzor trga po potrebi ob upoštevanju pomembnosti tveganja za kibernetsko varnost od zadevnega operaterja zahteva, da nemudoma začasno ustavi ali omeji razpoložljivost izdelka na trgu za obdobje zgoraj navedenega ocenjevanja. |
Predlog spremembe 143
Predlog uredbe
Člen 43 – odstavek 4 – pododstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
Če proizvajalec izdelka z digitalnimi elementi v roku iz odstavka 1, drugi pododstavek, ne sprejme zadostnih popravnih ukrepov, organ za nadzor trga sprejme vse ustrezne začasne ukrepe za prepoved ali omejitev dostopnosti izdelka na svojem nacionalnem trgu oziroma za njegov umik ali odpoklic s trga. |
Če proizvajalec izdelka z digitalnimi elementi v roku iz odstavka 1, drugi pododstavek, ne sprejme zadostnih popravnih ukrepov ali pristojen organ države članice meni, da izdelek predstavlja grožnjo nacionalni varnosti,organ za nadzor trga sprejme vse ustrezne začasne ukrepe za prepoved ali omejitev dostopnosti izdelka na svojem nacionalnem trgu oziroma za njegov umik ali odpoklic s trga. |
Predlog spremembe 144
Predlog uredbe
Člen 45 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
1. Če ima Komisija zadostne razloge za domnevo, tudi na podlagi informacij, ki jih zagotovi agencija ENISA, da izdelek z digitalnimi elementi, ki pomeni povečano tveganje za kibernetsko varnost, ni skladen z zahtevami iz te uredbe, lahko od zadevnih organov za nadzor trga zahteva, naj ocenijo skladnost in izvedejo postopke iz člena 43. |
1. Če ima Komisija zadostne razloge za domnevo, tudi na podlagi informacij, ki jih zagotovijo pristojni organi držav članic, skupine CSIRT, imenovane ali ustanovljene v skladu z Direktivo (EU) 2022/2555, ali agencija ENISA, da izdelek z digitalnimi elementi, ki pomeni povečano tveganje za kibernetsko varnost, ni skladen z zahtevami iz te uredbe, od zadevnih organov za nadzor trga zahteva, naj ocenijo skladnost in izvedejo postopke iz člena 43. |
Predlog spremembe 145
Predlog uredbe
Člen 45 – odstavek 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
2. V izjemnih okoliščinah, ki zahtevajo takojšnje ukrepanje za ohranitev dobrega delovanja notranjega trga, in če ima Komisija zadostne razloge za mnenje, da izdelek iz odstavka 1 še vedno ni skladen z zahtevami iz te uredbe, zadevni organi za nadzor trga pa niso sprejeli učinkovitih ukrepov, lahko Komisija od agencije ENISA zahteva, naj opravi oceno skladnosti. Komisija o tem obvesti zadevne organe za nadzor trga. Zadevni gospodarski subjekti sodelujejo z agencijo ENISA, kakor je potrebno. |
2. V okoliščinah, ki zahtevajo takojšnje ukrepanje za ohranitev dobrega delovanja notranjega trga, in če ima Komisija razloge za mnenje, da izdelek iz odstavka 1 še vedno ni skladen z zahtevami iz te uredbe, zadevni organi za nadzor trga pa niso sprejeli učinkovitih ukrepov, Komisija od agencije ENISA zahteva, naj opravi oceno skladnosti. Komisija o tem obvesti zadevne organe za nadzor trga. Zadevni gospodarski subjekti sodelujejo z agencijo ENISA, kakor je potrebno. |
Predlog spremembe 146
Predlog uredbe
Člen 46 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
1. Če organ za nadzor trga države članice po izvedbi ocene iz člena 43 ugotovi, da so izdelek z digitalnimi elementi in postopki, ki jih je vzpostavil proizvajalec, sicer skladni s to uredbo, vendar kljub temu pomenijo povečano tveganje za kibernetsko varnost, poleg tega pa pomenijo tudi tveganje za varnost ali zdravje oseb, tveganje za skladnost z obveznostmi na podlagi zakonodaje Unije ali nacionalne zakonodaje, namenjene varstvu temeljnih pravic, tveganje za razpoložljivost, avtentičnost, celovitost ali zaupnost storitev, ki jih z uporabo elektronskega informacijskega sistema zagotavljajo bistveni subjekti iz [Priloge I k Direktivi XXX/XXXX (NIS2)], ali tveganje za druge vidike zaščite javnega interesa, od zadevnega gospodarskega subjekta zahteva, naj sprejme vse ustrezne ukrepe za zagotovitev, da zadevni izdelek z digitalnimi elementi in postopki, ki jih je vzpostavil proizvajalec, ko so dani na trg, ne pomenijo več navedenega tveganja, oziroma naj izdelek z digitalnimi elementi umakne s trga ali ga odpokliče v razumnem roku, ki je sorazmeren z naravo tveganja. |
1. Če organ za nadzor trga države članice po izvedbi ocene iz člena 43 ugotovi, da so izdelek z digitalnimi elementi in postopki, ki jih je vzpostavil proizvajalec, sicer skladni s to uredbo, vendar kljub temu pomenijo povečano tveganje za kibernetsko varnost, poleg tega pa pomenijo tudi tveganje za varnost ali zdravje oseb, tveganje za skladnost z obveznostmi na podlagi zakonodaje Unije ali nacionalne zakonodaje, namenjene varstvu temeljnih pravic, tveganje za razpoložljivost, avtentičnost, celovitost ali zaupnost storitev, ki jih z uporabo elektronskega informacijskega sistema zagotavljajo bistveni subjekti iz Priloge I k Direktivi (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (Direktiva NIS2), ali tveganje za druge vidike zaščite javnega interesa, od zadevnega gospodarskega subjekta zahteva, naj sprejme vse ustrezne ukrepe za zagotovitev, da zadevni izdelek z digitalnimi elementi in postopki, ki jih je vzpostavil proizvajalec, ko so dani na trg, ne pomenijo več navedenega tveganja, oziroma naj izdelek z digitalnimi elementi umakne s trga ali ga odpokliče v razumnem roku, ki je sorazmeren z naravo tveganja. |
Predlog spremembe 147
Predlog uredbe
Člen 46 – odstavek 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
2. Proizvajalec ali drugi zadevni gospodarski subjekti zagotovijo izvedbo popravnih ukrepov glede zadevnih izdelkov z digitalnimi elementi, katerih dostopnost na trgu so omogočili kjer koli v Uniji, v roku, ki ga predpiše organ za nadzor trga države članice iz odstavka 1. |
2. (Ne zadeva slovenske različice). |
Predlog spremembe 148
Predlog uredbe
Člen 46 – odstavek 6
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
6. Če ima Komisija zadostne razloge za domnevo, tudi na podlagi informacij, ki jih zagotovi agencija ENISA, da izdelek z digitalnimi elementi, ki je sicer skladen s to uredbo, pomeni tveganja iz odstavka 1, lahko od zadevnega organa ali organov za nadzor trga zahteva, naj opravijo oceno skladnosti in izvedejo postopke iz člena 43 ter iz odstavkov 1, 2 in 3 tega člena. |
6. Če ima Komisija zadostne razloge za domnevo, tudi na podlagi informacij, ki jih zagotovi agencija ENISA, da izdelek z digitalnimi elementi, ki je sicer skladen s to uredbo, pomeni tveganja iz odstavka 1, od zadevnega organa ali organov za nadzor trga zahteva, naj opravijo oceno skladnosti in izvedejo postopke iz člena 43 ter iz odstavkov 1, 2 in 3 tega člena. |
Predlog spremembe 149
Predlog uredbe
Člen 46 – odstavek 7
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
7. V izjemnih okoliščinah, ki zahtevajo takojšnje ukrepanje za ohranitev dobrega delovanja notranjega trga, in če ima Komisija zadostne razloge za mnenje, da izdelek iz odstavka 6 še vedno pomeni tveganja iz odstavka 1, zadevni nacionalni organi za nadzor trga pa niso sprejeli učinkovitih ukrepov, lahko od agencije ENISA zahteva, naj opravi oceno tveganj navedenega izdelka, ter o tem obvesti zadevne organe za nadzor trga. Zadevni gospodarski subjekti sodelujejo z agencijo ENISA, kakor je potrebno. |
7. V okoliščinah, ki zahtevajo takojšnje ukrepanje za ohranitev dobrega delovanja notranjega trga, in če ima Komisija zadostne razloge za mnenje, da izdelek iz odstavka 6 še vedno pomeni tveganja iz odstavka 1, zadevni nacionalni organi za nadzor trga pa niso sprejeli učinkovitih ukrepov, od agencije ENISA zahteva, naj opravi oceno tveganj navedenega izdelka, ter o tem obvesti zadevne organe za nadzor trga. Zadevni gospodarski subjekti sodelujejo z agencijo ENISA, kakor je potrebno. |
Predlog spremembe 150
Predlog uredbe
Člen 48 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
1. Organi za nadzor trga se lahko z drugimi zadevnimi organi dogovorijo za izvajanje skupnih dejavnosti, katerih cilj je zagotoviti kibernetsko varnost in varstvo potrošnikov glede posameznih izdelkov z digitalnimi elementi, ki se dajo na trg ali katerih dostopnost se zagotovi na trgu, zlasti izdelkov, pri katerih se pogosto ugotovi, da pomenijo tveganje za kibernetsko varnost. |
1. Organi za nadzor trga redno izvajajo skupne dejavnosti z drugimi zadevnimi organi, katerih cilj je zagotoviti kibernetsko varnost in varstvo potrošnikov glede posameznih izdelkov z digitalnimi elementi, ki se dajo na trg ali katerih dostopnost se zagotovi na trgu, zlasti izdelkov, pri katerih se pogosto ugotovi, da pomenijo tveganje za kibernetsko varnost. Te dejavnosti vključujejo inšpekcijske preglede izdelkov, pridobljenih s skrivno identiteto. |
Predlog spremembe 151
Predlog uredbe
Člen 48 – odstavek 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
2. Komisija ali agencija ENISA lahko predlaga skupne dejavnosti za preverjanje skladnosti s to uredbo, ki jih izvedejo organi za nadzor trga na podlagi znakov ali informacij o morebitni neskladnosti izdelkov, ki spadajo na področje uporabe te uredbe, z zahtevami iz te uredbe v več državah članicah. |
2. Komisija ali agencija ENISA predlaga skupne dejavnosti za preverjanje skladnosti s to uredbo, ki jih izvedejo organi za nadzor trga na podlagi znakov ali informacij o morebitni neskladnosti izdelkov, ki spadajo na področje uporabe te uredbe, z zahtevami iz te uredbe v več državah članicah. |
Predlog spremembe 152
Predlog uredbe
Člen 49 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
1. Organi za nadzor trga se lahko odločijo za izvajanje sočasnih usklajenih kontrolnih ukrepov (usklajenih preiskav) posameznih izdelkov z digitalnimi elementi ali njihovih kategorij, da se preveri njihova skladnost s to uredbo ali da se odkrijejo kršitve te uredbe. |
1. Organi za nadzor trga redno izvajajo sočasne usklajene kontrolne ukrepe (usklajene preiskave) posameznih izdelkov z digitalnimi elementi ali njihovih kategorij, da se preveri njihova skladnost s to uredbo ali da se odkrijejo kršitve te uredbe. |
Predlog spremembe 153
Predlog uredbe
Člen 49 – odstavek 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
2. Če se vključeni organi za nadzor trga ne dogovorijo drugače, usklajene preiskave usklajuje Komisija. Koordinator usklajenih preiskav lahko, če je ustrezno, javno objavi zbirne rezultate. |
2. Če se vključeni organi za nadzor trga ne dogovorijo drugače, usklajene preiskave usklajuje Komisija. Koordinator usklajenih preiskav, če je ustrezno, javno objavi zbirne rezultate. |
Predlog spremembe 154
Predlog uredbe
Člen 49 – odstavek 3
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
3. Agencija ENISA lahko pri izvajanju svojih nalog, tudi na podlagi obvestil, prejetih v skladu s členom 11(1) in (2), opredeli kategorije izdelkov, glede katerih je mogoče organizirati usklajene preiskave. Predlog za usklajene preiskave se predloži potencialnemu koordinatorju iz odstavka 2 v obravnavo organom za nadzor trga. |
3. Agencija ENISA pri izvajanju svojih nalog, tudi na podlagi obvestil, prejetih v skladu s členom 11(1) in (2), opredeli kategorije izdelkov, glede katerih se organizirajo usklajene preiskave. Predlog za usklajene preiskave se predloži potencialnemu koordinatorju iz odstavka 2 v obravnavo organom za nadzor trga. |
Predlog spremembe 155
Predlog uredbe
Člen 49 – odstavek 5
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
5. Organi za nadzor trga lahko k sodelovanju pri usklajenih preiskavah povabijo uradnike Komisije in drugo spremljevalno osebje, ki ga je pooblastila Komisija. |
5. Organi za nadzor trga k sodelovanju pri usklajenih preiskavah povabijo uradnike Komisije in drugo spremljevalno osebje, ki ga je pooblastila Komisija. |
Predlog spremembe 156
Predlog uredbe
Člen 49 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
Člen 49a |
|
Zagotavljanje tehničnega svetovanja |
|
1. Komisija z izvedbenim aktom ustanovi skupino strokovnjakov za zagotavljanje tehničnega svetovanja organom za nadzor trga o zadevah, povezanih z izvajanjem in izvrševanjem te uredbe. V njem med drugim določi podrobnosti v zvezi s sestavo skupine, njenim delovanjem in plačilom njenih članov. Strokovna skupina zlasti zagotavlja nezavezujoče ocene izdelkov z digitalnimi elementi na zahtevo organa za nadzor trga, ki izvaja preiskavo v skladu s členom 43, ter seznama kritičnih izdelkov z digitalnimi elementi iz Priloge II, svetuje pa tudi v zvezi z morebitno potrebo po posodobitvi tega seznama. |
|
2. Strokovno skupino sestavljajo neodvisni strokovnjaki, ki jih Komisija na podlagi njihovega znanstvenega ali tehničnega strokovnega znanja na tem področju imenuje za triletni mandat z možnostjo ponovnega imenovanja. |
|
3. Komisija imenuje toliko strokovnjakov, kolikor jih je po njenem mnenju potrebnih za izpolnitev predvidenih potreb. |
|
4. Komisija sprejme potrebne ukrepe za upravljanje in preprečevanje kakršnih koli navzkrižij interesov. Izjave o interesih članov strokovne skupine so javno dostopne. |
|
5. Imenovani strokovnjaki svoje naloge opravljajo z najvišjo stopnjo strokovnosti, neodvisnosti, nepristranskosti in objektivnosti. |
|
6. Pri sprejemanju stališč, mnenj in poročil si strokovna skupina prizadeva doseči soglasje. Če soglasja ni mogoče doseči, se odločitve sprejmejo z navadno večino članov skupine. |
Predlog spremembe 157
Predlog uredbe
Člen 53 – odstavek 1
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
1. Države članice določijo pravila o kaznih, ki se uporabljajo za kršitve te uredbe s strani gospodarskih subjektov, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvršujejo. Kazni so učinkovite, sorazmerne in odvračilne. |
1. Države članice določijo pravila o kaznih, ki se uporabljajo za kršitve te uredbe s strani gospodarskih subjektov, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvršujejo. Kazni so učinkovite, sorazmerne in odvračilne ter upoštevajo posebnosti mikro-, malih in srednjih podjetij. |
Predlog spremembe 158
Predlog uredbe
Člen 53 – odstavek 6 – točka a a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(aa) kršitev ni naklepna; |
Predlog spremembe 159
Predlog uredbe
Člen 53 – odstavek 6 – točka b
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(b) ali so drugi organi za nadzor trga istemu gospodarskemu subjektu za podobno kršitev že naložili upravne globe; |
(b) ali so isti ali drugi organi za nadzor trga istemu gospodarskemu subjektu za podobno kršitev že naložili upravne globe; |
Predlog spremembe 160
Predlog uredbe
Člen 53 – odstavek 6 – točka c
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(c) velikost in tržni delež gospodarskega subjekta, ki je storil kršitev. |
(c) velikost in tržni delež gospodarskega subjekta, ki je storil kršitev, ob upoštevanju obsega tveganja, posledic in finančnih posebnosti mikro-, malih in srednjih podjetij; |
Predlog spremembe 161
Predlog uredbe
Člen 53 – odstavek 6 – točka c a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(ca) nadaljnje ravnanje gospodarskega subjekta na podlagi informacij ali znanja o zadevni neskladnosti, vključno s tem, ali je gospodarski subjekt, ko je izvedel za zadevno neskladnost, uporabil vse ustrezne korektivne ukrepe in razumno potrebne ukrepe, da bi preprečil ali čim bolj zmanjšal morebitne negativne posledice. |
Predlog spremembe 162
Predlog uredbe
Poglavje VII a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
UKREPI V PODPORO INOVACIJAM |
Predlog spremembe 163
Predlog uredbe
Člen 53 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
Člen 53a |
|
Regulativni peskovniki |
|
Komisija in agencija ENISA lahko vzpostavita evropski regulativni peskovnik s prostovoljnim sodelovanjem proizvajalcev izdelkov z digitalnimi elementi, katerega namen je: |
|
(a) zagotoviti nadzorovano okolje, ki omogoča razvoj, preskušanje in potrjevanje zasnove, razvoja in proizvodnje izdelkov z digitalnimi elementi, preden so dani na trg ali v uporabo v skladu s specifičnim načrtom; |
|
(b) zagotoviti praktično podporo gospodarskim subjektom, vključno s smernicami in dobrimi praksami za izpolnjevanje bistvenih zahtev iz Priloge I; |
|
(c) prispevati k regulativnemu učenju, ki temelji na dokazih. |
Predlog spremembe 164
Predlog uredbe
Člen 54 – naslov
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
Spremembe Uredbe (EU) 2019/1020 |
Spremembe Uredbe (EU) 2019/1020 in Direktive 2020/1828/ES |
Predlog spremembe 165
Predlog uredbe
Člen 54 – odstavek 1 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
1a. V Prilogi I k Direktivi 2020/1828/ES se doda naslednja točka: |
|
„[Uredba XXX][akt o kibernetski odpornosti]“. |
Predlog spremembe 166
Predlog uredbe
Člen 54 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
Člen 54a |
|
Delegirana uredba (EU) 2022/30 |
|
Ta uredba je zasnovana tako, da so vsi izdelki, za katere veljajo bistvene zahteve iz člena 3(3), točke (d), (e) in (f), Direktive 2014/53/EU, kot so opisani v Delegirani uredbi (EU) 2022/30, skladni s to uredbo. Za zagotovitev pravne varnosti bo Delegirana uredba (EU) 2022/30 razveljavljena, ko bo ta uredba začela veljati. |
Predlog spremembe 167
Predlog uredbe
Člen 57 – odstavek 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
Uporablja se od [24 mesecev od datuma začetka veljavnosti te uredbe]. Člen 11 pa se uporablja od [12 mesecev od datuma začetka veljavnosti te uredbe]. |
Uporablja se od [36 mesecev od datuma začetka veljavnosti te uredbe]. Kar zadeva izdelke s kritičnimi elementi, se poglavja II, III, V in VII ne uporabljajo prej kot [20 mesecev po datumu objave harmoniziranih standardov, razvitih v okviru standardizacije, ki se zahteva za namene te uredbe]. |
|
Komisija najpozneje šest mesecev po začetku veljavnosti te uredbe izda smernice za uporabo zahtev iz te uredbe za nematerialne izdelke. |
Predlog spremembe 168
Predlog uredbe
Priloga I – del 1 – točka 3 – uvodni del
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(3) Na podlagi ocene tveganja iz člena 10(2) in če je ustrezno, za izdelke z digitalnimi elementi velja naslednje: |
(3) Na podlagi ocene tveganja za kibernetsko varnost iz člena 10(2) in če je ustrezno, za izdelke z digitalnimi elementi velja naslednje: |
Predlog spremembe 169
Predlog uredbe
Priloga I – del 1 – točka 3 – točka -a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(-a) na trg so dani brez znanih ranljivosti, ki bi jih bilo mogoče izrabiti proti zunanji napravi ali omrežju; |
Predlog spremembe 170
Predlog uredbe
Priloga I – del 1 – točka 3 – točka a
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(a) dobavijo se s konfiguracijo po načelu privzete varnosti, vključno z možnostjo ponastavitve izdelka v prvotno stanje; |
(a) dobavijo se s konfiguracijo po načelu privzete varnosti; |
Predlog spremembe 171
Predlog uredbe
Priloga I – del 1 – točka 3 – točka c
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(c) varujejo zaupnost shranjenih, prenesenih ali drugače obdelanih podatkov, osebnih ali drugih, na primer s šifriranjem zadevnih podatkov v mirovanju ali pri prenosu z najnovejšimi mehanizmi; |
(c) varujejo zaupnost shranjenih, prenesenih ali drugače obdelanih podatkov, osebnih ali drugih, na primer s šifriranjem, tokenizacijo, kompenzacijskimi kontrolami ali drugo ustrezno zaščito zadevnih podatkov v mirovanju ali pri prenosu z najnovejšimi mehanizmi; |
Predlog spremembe 172
Predlog uredbe
Priloga I – del 1 – točka 3 – točka d
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(d) varujejo celovitost shranjenih, prenesenih ali drugače obdelanih podatkov, osebnih ali drugih, ukazov, programov in nastavitev pred kakršnim koli poseganjem ali spreminjanjem, ki ga ne odobri uporabnik, ter poročajo o okvarah podatkov; |
(d) varujejo celovitost shranjenih, prenesenih ali drugače obdelanih podatkov, osebnih ali drugih, ukazov, programov in nastavitev pred kakršnim koli poseganjem ali spreminjanjem, ki ga ne odobri uporabnik, ter poročajo o okvarah podatkov ali morebitnem nepooblaščenem dostopu; |
Predlog spremembe 173
Predlog uredbe
Priloga I – del 1 – točka 3 – točka f
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(f) varujejo razpoložljivost ključnih funkcij, vključno z odpornostjo proti napadom za zavrnitev storitve in zmanjšanjem negativnih vplivov takih napadov; |
(f) varujejo razpoložljivost ključnih in osnovnih funkcij, vključno z odpornostjo proti napadom za zavrnitev storitve in zmanjšanjem negativnih vplivov takih napadov; |
Predlog spremembe 174
Predlog uredbe
Priloga I – del 1 – točka 3 – točka i
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(i) zasnovani, razviti in izdelani so tako, da se zmanjša vpliv incidenta z uporabo ustreznih mehanizmov in tehnik za zmanjšanje negativnih vplivov izrabljanja; |
(i) zasnovani, razviti in izdelani so tako, da se zmanjša vpliv pomembnega incidenta z uporabo ustreznih mehanizmov in tehnik za zmanjšanje negativnih vplivov izrabljanja; |
Predlog spremembe 175
Predlog uredbe
Priloga I – del 1 – točka 3 – točka j
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(j) zagotavljajo informacije, ki se nanašajo na varnost, in sicer z beleženjem in/ali spremljanjem zadevnih internih dejavnosti, vključno z dostopom do podatkov, storitev ali funkcij ali njihovim spreminjanjem; |
(j) zagotavljajo informacije, ki se nanašajo na varnost, tako da na zahtevo uporabnika lokalno in na ravni naprave zagotavljajo zmogljivosti za beleženje in/ali spremljanje zadevnih internih dejavnosti, vključno z dostopom do podatkov, storitev ali funkcij ali njihovim spreminjanjem; |
Predlog spremembe 176
Predlog uredbe
Priloga I – del 1 – točka 3 – točka k
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(k) zagotavljajo, da se lahko ranljivosti odpravijo z varnostnimi posodobitvami, če je ustrezno tudi s samodejnimi posodobitvami in obveščanjem uporabnikov o razpoložljivih posodobitvah. |
(k) zagotavljajo, da se lahko ranljivosti odpravijo z varnostnimi posodobitvami, če je ustrezno tudi ločeno od posodobitev funkcionalnosti in s samodejnimi posodobitvami in obveščanjem uporabnikov o razpoložljivih posodobitvah. |
Predlog spremembe 177
Predlog uredbe
Priloga I – del 1 – točka 3 – točka k a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(ka) zasnovani, razviti in izdelani so tako, da omogočajo svojo varno ustavitev in morebitno recikliranje na koncu življenjskega cikla, tudi z omogočanjem uporabnikom, da varno in trajno odstranijo vse podatke; |
Predlog spremembe 178
Predlog uredbe
Priloga I – del 2 – odstavek 1 – točka 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(2) brez odlašanja obravnavajo in odpravijo ranljivosti v zvezi sf tveganji za izdelke z digitalnimi elementi, tudi z zagotavljanjem varnostnih posodobitev; |
(2) brez odlašanja obravnavajo in odpravijo kritične in zelo resne ranljivosti v zvezi s tveganji za izdelke z digitalnimi elementi, tudi z zagotavljanjem varnostnih posodobitev, ali dokumentirajo razloge, zakaj ranljivosti niso odpravili; |
Predlog spremembe 179
Predlog uredbe
Priloga I – del 2 – odstavek 1 – točka 4
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(4) ko je na voljo varnostna posodobitev, javno razkrijejo informacije o odpravljenih ranljivostih, vključno z opisom ranljivosti, informacijami, ki uporabnikom omogočajo opredeliti prizadeti izdelek z digitalnimi elementi, vplivi ranljivosti, njihovo resnostjo in informacijami, ki uporabnikom omogočajo odpravo ranljivosti; |
(4) ko je na voljo varnostna posodobitev, javno ali v skladu z dobro prakso v industriji razkrijejo informacije o odpravljenih znanih ranljivostih, vključno z opisom ranljivosti, informacijami, ki uporabnikom omogočajo opredeliti prizadeti izdelek z digitalnimi elementi, vplivi ranljivosti, njihovo resnostjo in jasnimi in dostopnimi informacijami, ki uporabnikom omogočajo odpravo ranljivosti; |
Predlog spremembe 180
Predlog uredbe
Priloga I – del 2 – odstavek 1 – točka 4 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(4a) Informacije v zvezi s popravki in ranljivostmi se izmenjujejo in razkrivajo na nadzorovan način, pri čemer se upoštevajo načela „zmanjševanja škode“ in poslovne skrivnosti z odgovornim razkritjem ranljivosti akterjem, ki lahko ukrepajo za ublažitev ranljivosti, poleg tega pa ne smejo biti javno dostopne, da bi preprečili tveganje nenamernega obveščanja potencialnih napadalcev; |
Predlog spremembe 181
Predlog uredbe
Priloga I – del 2 – odstavek 1 – točka 7
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(7) zagotovijo mehanizme za varno razširjanje posodobitev za izdelke z digitalnimi elementi, da se zagotovi pravočasna odprava ali zmanjšanje ranljivosti, ki bi jih bilo mogoče izrabiti; |
(7) zagotovijo mehanizme za varno razširjanje varnostnih posodobitev za izdelke z digitalnimi elementi, da se zagotovi pravočasna odprava ali zmanjšanje ranljivosti, ki bi jih bilo mogoče izrabiti; |
Predlog spremembe 182
Predlog uredbe
Priloga I – del 2 – odstavek 1 – točka 8
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(8) brez odlašanja in brezplačno zagotovijo razširjanje varnostnih popravkov ali posodobitev, kadar so ti na voljo za odpravo zaznanih varnostnih težav, ter jim priložijo nasvete za uporabnike z ustreznimi informacijami, tudi o morebitnih ukrepih, ki jih morajo ti sprejeti. |
(8) brez odlašanja in brezplačno ali po pregledni in nediskriminatorni ceni zagotovijo sredstva, s katerimi lahko uporabniki pridobijo varnostne popravke ali posodobitve, kadar jih je razumno mogoče dati na voljo za odpravo zaznanih varnostnih težav, ter jim priložijo nasvete za uporabnike z ustreznimi informacijami, tudi o morebitnih ukrepih, ki jih morajo ti sprejeti. |
Predlog spremembe 183
Predlog uredbe
Priloga II – odstavek 1 – točka 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
2. kontaktna točka, kjer je mogoče sporočiti in prejeti informacije o ranljivostih izdelka na področju kibernetske varnosti; |
2. enotna kontaktna točka, kjer je mogoče sporočiti in prejeti informacije o ranljivostih izdelka na področju kibernetske varnosti; |
Predlog spremembe 184
Predlog uredbe
Priloga II – odstavek 1 – točka 5
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
5. vse znane ali predvidljive okoliščine, povezane z uporabo izdelka z digitalnimi elementi v skladu z njegovim predvidenim namenom ali v razmerah razumno predvidljive napačne uporabe, ki lahko pripeljejo do povečanega tveganja za kibernetsko varnost; |
črtano |
Predlog spremembe 185
Predlog uredbe
Priloga II – odstavek 1 – točka 6
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
6. informacija o tem, ali tudi, če je ustrezno, kje je na voljo kosovnica za programsko opremo; |
6. informacija o tem, ali tudi, če je ustrezno, kje je pristojnim organom na voljo kosovnica za programsko opremo; |
Predlog spremembe 186
Predlog uredbe
Priloga II – odstavek 1 – točka 8
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
8. vrsta tehnične varnostne podpore, ki jo ponuja proizvajalec, in do kdaj jo bo zagotavljal, oziroma vsaj informacija o tem, do kdaj lahko uporabniki pričakujejo prejemanje varnostnih posodobitev; |
8. vrsta tehnične varnostne podpore, ki jo ponuja proizvajalec, in do kdaj jo bo zagotavljal; |
Predlog spremembe 187
Predlog uredbe
Priloga II – odstavek 1 – točka 8 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
8a. pričakovani datum pretečene življenjske dobe izdelka, ki po potrebi na embalaži izdelka jasno prikazuje, do kdaj mora proizvajalec zagotoviti učinkovito obravnavanje ranljivosti in zagotavljanje varnostnih posodobitev; |
Predlog spremembe 188
Predlog uredbe
Priloga II – odstavek 1 – točka 9 – točka a
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(a) potrebnih ukrepih v času začetne uporabe in v celotnem življenjskem ciklu izdelka, da se zagotovi njegova varna uporaba; |
črtano |
Predlog spremembe 189
Predlog uredbe
Priloga II – odstavek 1 – točka 9 – točka b
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(b) tem, kako lahko spremembe izdelka vplivajo na varnost podatkov; |
črtano |
Predlog spremembe 190
Predlog uredbe
Priloga II – odstavek 1 – točka 9 – točka c a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
(ca) pričakovani datum pretečene življenjske dobe izdelka in do kdaj mora proizvajalec zagotoviti učinkovito obravnavanje ranljivosti in zagotavljanje varnostnih posodobitev; |
Predlog spremembe 191
Predlog uredbe
Priloga II – odstavek 1 – točka 9 – točka d
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(d) varnem prenehanju uporabe izdelka, vključno z informacijami o varni odstranitvi podatkov o uporabniku. |
črtano |
Predlog spremembe 192
Predlog uredbe
Priloga III – del I – točka 3 a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
3a. Platforme za avtentikacijo, avtorizacijo in beleženje |
Predlog spremembe 193
Predlog uredbe
Priloga III – del I – točka 15
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
15. Fizični omrežni vmesniki |
15. Fizični in navidezni omrežni vmesniki |
Predlog spremembe 194
Predlog uredbe
Priloga III – del I – točka 18
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
18. Usmerjevalniki, modemi, namenjeni povezovanju z internetom, in stikala, ki ne spadajo v razred II |
črtano |
Predlog spremembe 195
Predlog uredbe
Priloga III – del I – točka 23
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
23. Industrijski internet stvari, ki ne spada v razred II |
23. Industrijski izdelki z digitalnimi elementi, ki jih je mogoče označiti kot del interneta stvari, ki ne spada v razred II |
Predlog spremembe 196
Predlog uredbe
Priloga III – del II – točka 4
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
4. Požarni zidovi, sistemi za zaznavanje in/ali preprečevanje vdorov, namenjeni industrijski uporabi |
4. Požarni zidovi, varnostni prehodi, sistemi za zaznavanje in/ali preprečevanje vdorov, namenjeni industrijski uporabi; |
Predlog spremembe 197
Predlog uredbe
Priloga III – del II – točka 7
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
7. Usmerjevalniki, modemi, namenjeni povezovanju z internetom, in stikala, namenjena industrijski uporabi |
7. Usmerjevalniki, modemi, namenjeni povezovanju z internetom, stikala in druga omrežna vozlišča, ki so potrebna za zagotavljanje storitve povezljivosti; |
Predlog spremembe 198
Predlog uredbe
Priloga IV a (novo)
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
|
PRILOGA IVa |
|
IZJAVA EU O VGRADNJI ZA DELNO DOKONČANE IZDELKE Z DIGITALNIMI ELEMENTI |
|
Izjava EU o vgradnji za delno dokončane izdelke z digitalnimi elementi iz člena 20a vsebuje vse naslednje informacije: |
|
1. ime, vrsto in vse dodatne informacije, ki omogočajo edinstveno identifikacijo delno dokončanega izdelka z digitalnimi elementi; |
|
2. Predmet izjave (identifikacija delno dokončanega izdelka, ki omogoča sledljivost; po potrebi lahko vključuje fotografijo); |
|
3. izjavo, da je delno dokončani izdelek, ki je opisan zgoraj, skladen z ustrezno harmonizacijsko zakonodajo Unije; |
|
4. Sklicevanja na vse zadevne akte Unije, vključno s sklici na njihovo objavo; |
|
5. dodatne informacije: |
|
Podpisano v imenu in za račun: ………………………………… |
|
(kraj in datum izdaje): |
|
(ime, funkcija) (podpis) |
Predlog spremembe 199
Predlog uredbe
Priloga V – odstavek 1 – točka 1 – točka a
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
(a) njegov predvideni namen; |
črtano |
Predlog spremembe 200
Predlog uredbe
Priloga V – odstavek 1 – točka 2
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
2. opis zasnove, razvoja in proizvodnje izdelka ter postopkov obravnavanja ranljivosti, ki vključuje: |
črtano |
(a) popolne informacije o zasnovi in razvoju izdelka z digitalnimi elementi, vključno z, če je ustrezno, risbami in shemami in/ali opisom strukture sistema, iz katerega izhaja, kako sestavni deli programske opreme temeljijo drug na drugem oziroma kako se dopolnjujejo ter kako se vključujejo v celotno delovanje; |
|
(b) popolne informacije in specifikacije postopkov obravnavanja ranljivosti, ki jih je vzpostavil proizvajalec, vključno s kosovnico za programsko opremo, usklajeno politiko razkrivanja ranljivosti, dokazilom o zagotavljanju kontaktnega naslova za poročanje o ranljivostih ter opisom tehničnih rešitev, izbranih za varno razširjanje posodobitev; |
|
(c) popolne informacije in specifikacije postopkov proizvodnje in spremljanja izdelka z digitalnimi elementi ter preverjanja teh postopkov; |
|
Predlog spremembe 201
Predlog uredbe
Priloga V – odstavek 1 – točka 3
|
|
Besedilo, ki ga predlaga Komisija |
Predlog spremembe |
3. oceno tveganja za kibernetsko varnost, ki je upoštevana pri zasnovi, razvoju, proizvodnji, dobavi in vzdrževanju izdelka z digitalnimi elementi, kakor določa člen 10 te uredbe; |
3. izjavo ali povzetek o tveganjih za kibernetsko varnost, proti katerim je izdelek z digitalnimi elementi zasnovan, razvit, proizveden, dobavljen in vzdrževan, kot je določeno v členu 10 te uredbe, in na podlagi utemeljene zahteve organa za nadzor trga, pod pogojem, da jo ta organ potrebuje za preverjanje skladnosti z bistvenimi zahtevami iz Priloge I, podrobno oceno tveganja za kibernetsko varnost, ki je upoštevana pri zasnovi, razvoju, proizvodnji, dobavi in vzdrževanju izdelka z digitalnimi elementi, kakor določa člen 10 te uredbe; |
PRILOGA: SEZNAM SUBJEKTOV ALI OSEB,
OD KATERIH JE PRIPRAVLJAVEC MNENJA PREJEL PRISPEVEK
Priprava tega seznama je povsem prostovoljna in je v izključni pristojnosti pripravljavca mnenja. Pripravljavec mnenja je pri pripravi osnutka mnenja prejel prispevke od naslednjih subjektov ali oseb:
Subjekt in/ali oseba |
Apple |
BDI Federation of German Industries |
BEUC |
BSA The Software Alliance |
Confederation of Danish Industries |
Digital Europe |
ETNO |
Kaspersky |
Microsoft |
Samsung |
TIC Council |
Xiaomi |
POSTOPEK V ODBORU, ZAPROŠENEM ZA MNENJE
Naslov |
Horizontalne zahteve glede kibernetske varnosti za izdelke z digitalnimi elementi in sprememba Uredbe (EU) 2019/1020 |
|||
Referenčni dokumenti |
COM(2022)0454 – C9-0308/2022 – 2022/0272(COD) |
|||
Pristojni odbor Datum razglasitve na zasedanju |
ITRE 9.11.2022 |
|
|
|
Mnenje pripravil Datum razglasitve na zasedanju |
IMCO 9.11.2022 |
|||
Pridruženi odbori - datum razglasitve na zasedanju |
20.4.2023 |
|||
Pripravljavec/-ka mnenja Datum imenovanja |
Morten Løkkegaard 16.12.2022 |
|||
Obravnava v odboru |
2.3.2023 |
25.4.2023 |
23.5.2023 |
|
Datum sprejetja |
29.6.2023 |
|
|
|
Izid končnega glasovanja |
+: –: 0: |
41 1 0 |
||
Poslanci, navzoči pri končnem glasovanju |
Alex Agius Saliba, Andrus Ansip, Pablo Arias Echeverría, Alessandra Basso, Biljana Borzan, Vlad-Marius Botoş, Anna Cavazzini, Dita Charanzová, Deirdre Clune, David Cormand, Alexandra Geese, Maria Grapini, Svenja Hahn, Krzysztof Hetman, Virginie Joron, Eugen Jurzyca, Arba Kokalari, Kateřina Konečná, Andrej Kovačev (Andrey Kovatchev), Maria-Manuel Leitão-Marques, Antonius Manders, Beata Mazurek, Leszek Miller, Anne-Sophie Pelletier, Miroslav Radačovský, René Repasi, Christel Schaldemose, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Kim Van Sparrentak, Marion Walsmann |
|||
Namestniki, navzoči pri končnem glasovanju |
Marco Campomenosi, Maria da Graça Carvalho, Geoffroy Didier, Francisco Guerreiro, Cvetelina Penkova (Tsvetelina Penkova), Catharina Rinzema, Kosma Złotowski |
|||
Namestniki (člen 209(7)), navzoči pri končnem glasovanju |
Asger Christensen, Nicolás González Casares, Grzegorz Tobiszowski |
|||
POIMENSKO GLASOVANJE PRI KONČNEM GLASOVANJU
V ODBORU, ZAPROŠENEM ZA MNENJE
41 |
+ |
ECR |
Beata Mazurek, Grzegorz Tobiszowski, Kosma Złotowski |
ID |
Alessandra Basso, Marco Campomenosi, Virginie Joron |
NI |
Miroslav Radačovský |
PPE |
Pablo Arias Echeverría, Maria da Graça Carvalho, Deirdre Clune, Geoffroy Didier, Krzysztof Hetman, Arba Kokalari, Andrej Kovačev (Andrey Kovatchev), Antonius Manders, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Marion Walsmann |
Renew |
Andrus Ansip, Vlad-Marius Botoş, Dita Charanzová, Asger Christensen, Svenja Hahn, Catharina Rinzema |
S&D |
Alex Agius Saliba, Biljana Borzan, Nicolás González Casares, Maria Grapini, Maria-Manuel Leitão-Marques, Leszek Miller, Cvetelina Penkova (Tsvetelina Penkova), René Repasi, Christel Schaldemose |
The Left |
Kateřina Konečná, Anne-Sophie Pelletier |
Verts/ALE |
Anna Cavazzini, David Cormand, Alexandra Geese, Francisco Guerreiro, Kim Van Sparrentak |
1 |
- |
ECR |
Eugen Jurzyca |
0 |
0 |
|
|
Uporabljeni znaki:
+ : za
- : proti
0 : vzdržani
POSTOPEK V PRISTOJNEM ODBORU
Naslov |
Horizontalne zahteve glede kibernetske varnosti za izdelke z digitalnimi elementi in sprememba Uredbe (EU) 2019/1020 |
|||
Referenčni dokumenti |
COM(2022)0454 – C9-0308/2022 – 2022/0272(COD) |
|||
Datum predložitve EP |
15.9.2022 |
|
|
|
Pristojni odbor Datum razglasitve na zasedanju |
ITRE 9.11.2022 |
|
|
|
Odbori, zaprošeni za mnenje Datum razglasitve na zasedanju |
IMCO 9.11.2022 |
LIBE 9.11.2022 |
|
|
Pridruženi odbori Datum razglasitve na zasedanju |
LIBE 20.4.2023 |
IMCO 20.4.2023 |
|
|
Poročevalec/-ka Datum imenovanja |
Nicola Danti 26.10.2022 |
|
|
|
Obravnava v odboru |
25.4.2023 |
|
|
|
Datum sprejetja |
19.7.2023 |
|
|
|
Izid končnega glasovanja |
+: –: 0: |
61 1 10 |
||
Poslanci, navzoči pri končnem glasovanju |
Nicola Beer, François-Xavier Bellamy, Hildegard Bentele, Vasile Blaga, Michael Bloss, Paolo Borchia, Cristian-Silviu Buşoi, Jerzy Buzek, Maria da Graça Carvalho, Ignazio Corrao, Beatrice Covassi, Nicola Danti, Marie Dauchy, Pilar del Castillo Vera, Martina Dlabajová, Christian Ehler, Valter Flego, Niels Fuglsang, Jens Geier, Nicolás González Casares, Christophe Grudler, Henrike Hahn, Robert Hajšel, Ivo Hristov, Ivars Ijabs, Romana Jerković, Seán Kelly, Zdzisław Krasnodębski, Andrius Kubilius, Thierry Mariani, Marisa Matias, Marina Mesure, Dan Nica, Niklas Nienass, Ville Niinistö, Johan Nissinen, Mauri Pekkarinen, Cvetelina Penkova (Tsvetelina Penkova), Morten Petersen, Markus Pieper, Manuela Ripa, Robert Roos, Sara Skyttedal, Maria Spiraki (Maria Spyraki), Grzegorz Tobiszowski, Patrizia Toia, Henna Virkkunen, Pernille Weiss, Carlos Zorrinho |
|||
Namestniki, navzoči pri končnem glasovanju |
Damian Boeselager, Franc Bogovič, Francesca Donato, Matthias Ecke, Ladislav Ilčić, Elena Lizzi, Dace Melbārde, Jutta Paulus, Massimiliano Salini, Jordi Solé, Susana Solís Pérez, Ivan Štefanec, Nils Torvalds, Emma Wiesner |
|||
Namestniki (člen 209(7)), navzoči pri končnem glasovanju |
Rosanna Conte, Arnaud Danjean, César Luena, Nicola Procaccini, Elżbieta Rafalska, Antonio Maria Rinaldi, Daniela Rondinelli, Nacho Sánchez Amor, Edina Tóth |
|||
Datum predložitve |
27.7.2023 |
|||
POIMENSKO GLASOVANJE PRI KONČNEM GLASOVANJU V PRISTOJNEM ODBORU
61 |
+ |
ECR |
Ladislav Ilčić, Zdzisław Krasnodębski, Nicola Procaccini, Elżbieta Rafalska, Grzegorz Tobiszowski |
NI |
Francesca Donato, Edina Tóth |
PPE |
François-Xavier Bellamy, Hildegard Bentele, Vasile Blaga, Franc Bogovič, Cristian-Silviu Buşoi, Jerzy Buzek, Maria da Graça Carvalho, Pilar del Castillo Vera, Arnaud Danjean, Christian Ehler, Seán Kelly, Andrius Kubilius, Dace Melbārde, Markus Pieper, Massimiliano Salini, Maria Spiraki (Maria Spyraki), Ivan Štefanec, Henna Virkkunen, Pernille Weiss |
Renew |
Nicola Beer, Nicola Danti, Martina Dlabajová, Valter Flego, Christophe Grudler, Ivars Ijabs, Mauri Pekkarinen, Morten Petersen, Susana Solís Pérez, Nils Torvalds, Emma Wiesner |
S&D |
Beatrice Covassi, Matthias Ecke, Niels Fuglsang, Jens Geier, Nicolás González Casares, Robert Hajšel, Ivo Hristov, Romana Jerković, César Luena, Dan Nica, Cvetelina Penkova (Tsvetelina Penkova), Daniela Rondinelli, Nacho Sánchez Amor, Patrizia Toia, Carlos Zorrinho |
Verts/ALE |
Michael Bloss, Damian Boeselager, Ignazio Corrao, Henrike Hahn, Niklas Nienass, Ville Niinistö, Jutta Paulus, Manuela Ripa, Jordi Solé |
1 |
- |
The Left |
Marina Mesure |
10 |
0 |
ECR |
Johan Nissinen, Robert Roos |
ID |
Paolo Borchia, Rosanna Conte, Marie Dauchy, Elena Lizzi, Thierry Mariani, Antonio Maria Rinaldi |
PPE |
Sara Skyttedal |
The Left |
Marisa Matias |
Uporabljeni znaki:
+ : za
- : proti
0 : vzdržani
- [1] UL C 100, 16.3.2023, str. 101.
- [*] Spremembe: krepki ležeči tisk označuje novo ali spremenjeno besedilo, simbol ▌pa tiste dele besedila, ki so bili črtani.
- [2] UL C 100, 16.3.2023, str. 101.
- [3] UL C , , str. .
- [4] Uredba (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, 7.6.2019, str. 15).
- [5] Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L 333, 27.12.2022, str. 80).
- [6] Uredba (EU) 2023/988 Evropskega parlamenta in Sveta z dne 10. maja 2023 o splošni varnosti proizvodov, spremembi Uredbe (EU) št. 1025/2012 Evropskega parlamenta in Sveta in Direktive (EU) 2020/1828 Evropskega parlamenta in Sveta ter razveljavitvi Direktive 2001/95/ES Evropskega parlamenta in Sveta in Direktive Sveta 87/357/EGS (UL L 135, 23.5.2023, str. 1).
- [7] JOIN(2020) 18 final, https://eur-lex.europa.eu/legal-content/SL/ALL/?uri=CELEX:52020JC0018.
- [8] 2021/2568(RSP), https://www.europarl.europa.eu/doceo/document/TA-9-2021-0286_SL.html.
- [9] Konferenca o prihodnosti Evrope – poročilo o končnem izidu, maj 2022, predlog 28(2). Konferenca je potekala med aprilom 2021 in majem 2022. To je bila edinstvena pobuda posvetovalne demokracije na vseevropski ravni pod vodstvom državljanov, ki je vključevala na tisoče evropskih državljanov, pa tudi politične akterje, socialne partnerje, predstavnike civilne družbe in ključne deležnike.
- [10] The impact of open source software and hardware on technological independence, competitiveness and innovation in the EU economy: final study report (Vpliv odprtokodne programske in strojne opreme na tehnološko neodvisnost, konkurenčnost in inovacije v gospodarstvu EU: končno poročilo o študiji), Evropska komisija, 6. september 2021, https://ec.europa.eu/newsroom/dae/redirection/document/79021
- [11] Uredba (EU) 2017/745 Evropskega parlamenta in Sveta z dne 5. aprila 2017 o medicinskih pripomočkih, spremembi Direktive 2001/83/ES, Uredbe (ES) št. 178/2002 in Uredbe (ES) št. 1223/2009 ter razveljavitvi direktiv Sveta 90/385/EGS in 93/42/EGS (UL L 117, 5.5.2017, str. 1).
- [12] Uredba (EU) 2017/746 Evropskega parlamenta in Sveta z dne 5. aprila 2017 o in vitro diagnostičnih medicinskih pripomočkih ter razveljavitvi Direktive 98/79/ES in Sklepa Komisije 2010/227/EU (UL L 117, 5.5.2017, str. 176).
- [13] MDCG 2019-16, ki ga je potrdila Koordinacijska skupina za medicinske pripomočke (MDCG), ustanovljena s členom 103 Uredbe (EU) 2017/745.
- [14] S postopkom certificiranja na podlagi Uredbe (EU) 2018/1139 se zagotovi raven zanesljivosti, ki je cilj te uredbe.Uredba (EU) 2019/2144 Evropskega parlamenta in Sveta z dne 27. novembra 2019 o zahtevah za homologacijo motornih vozil in njihovih priklopnikov ter sistemov, sestavnih delov in samostojnih tehničnih enot, namenjenih za taka vozila, v zvezi z njihovo splošno varnostjo in zaščito potnikov v vozilu ter izpostavljenih udeležencev v cestnem prometu in o spremembi Uredbe (EU) 2018/858 Evropskega parlamenta in Sveta ter razveljavitvi uredb (ES) št. 78/2009, (ES) št. 79/2009 in (ES) št. 661/2009 Evropskega parlamenta in Sveta in uredb Komisije (ES) št. 631/2009, (EU) št. 406/2010, (EU) št. 672/2010, (EU) št. 1003/2010, (EU) št. 1005/2010, (EU) št. 1008/2010, (EU) št. 1009/2010, (EU) št. 19/2011, (EU) št. 109/2011, (EU) št. 458/2011, (EU) št. 65/2012, (EU) št. 130/2012, (EU) št. 347/2012, (EU) št. 351/2012, (EU) št. 1230/2012 in (EU) 2015/166 (UL L 325, 16.12.2019, str. 1).
- [15] Pravilnik OZN št. 155 – Enotne določbe o homologaciji vozil glede na kibernetsko varnost in sistem za upravljanje kibernetske varnosti [2021/387].
- [16] Uredba (EU) 2018/1139 Evropskega parlamenta in Sveta z dne 4. julija 2018 o skupnih pravilih na področju civilnega letalstva in ustanovitvi Agencije Evropske unije za varnost v letalstvu ter spremembi uredb (ES) št. 2111/2005, (ES) št. 1008/2008, (EU) št. 996/2010, (EU) št. 376/2014 ter direktiv 2014/30/EU in 2014/53/EU Evropskega parlamenta in Sveta ter razveljavitvi uredb (ES) št. 552/2004 in (ES) št. 216/2008 Evropskega parlamenta in Sveta ter Uredbe Sveta (EGS) št. 3922/91 (UL L 212, 22.8.2018, str. 1).
- [17] Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti v finančnem sektorju in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, 27.12.2022, str. 1).
- [18] Uredba (EU) št. 167/2013 Evropskega parlamenta in Sveta z dne 5. februarja 2013 o odobritvi in tržnem nadzoru kmetijskih in gozdarskih vozil (UL L 60, 2.3.2013, str. 1).
- [19] Delegirana uredba Komisije (EU) 2022/30 z dne 29. oktobra 2021 o dopolnitvi Direktive 2014/53/EU Evropskega parlamenta in Sveta v zvezi z uporabo bistvenih zahtev iz člena 3(3), točke (d), (e) in (f), navedene direktive (UL L 7, 12.1.2022, str. 6).
- [20] Direktiva Sveta 85/374/EGS z dne 25. julija 1985 o približevanju zakonov in drugih predpisov držav članic v zvezi z odgovornostjo za proizvode z napako (UL L 210, 7.8.1985, str. 29).
- [21] Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).
- [22] Uredba [uredba o umetni inteligenci].
- [23] Uredba (EU) 2023/1230 Evropskega parlamenta in Sveta z dne 14. junija 2023 o strojih in razveljavitvi Direktive 2006/42/ES Evropskega parlamenta in Sveta ter Direktive Sveta 73/361/EGS (UL L 165, 29.6.2023, str. 1).
- [24] Glej skupno sporočilo Evropskemu parlamentu, Evropskemu svetu in Svetu o evropski strategiji za gospodarsko varnost (JOIN(2023)20).
- [25] Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (UL L 201, 31.7.2002, str. 37).
- [26] Uredba (EU) št. 1025/2012 Evropskega parlamenta in Sveta z dne 25. oktobra 2012 o evropski standardizaciji, spremembi direktiv Sveta 89/686/EGS in 93/15/EGS ter direktiv 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES in 2009/105/ES Evropskega parlamenta in Sveta ter razveljavitvi Sklepa Sveta 87/95/EGS in Sklepa št. 1673/2006/ES Evropskega parlamenta in Sveta (UL L 316, 14.11.2012, str. 12).
- [27] Uredba (ES) št. 765/2008 Evropskega parlamenta in Sveta z dne 9. julija 2008 o določitvi zahtev za akreditacijo in nadzor trga v zvezi s trženjem proizvodov ter razveljavitvi Uredbe (EGS) št. 339/93 (UL L 218, 13.8.2008, str. 30).
- [28] Sklep št. 768/2008/ES Evropskega parlamenta in Sveta z dne 9. julija 2008 o skupnem okviru za trženje proizvodov in razveljavitvi Sklepa Sveta 93/465/EGS (UL L 218, 13.8.2008, str. 82).
- [29] Uredba (EU) 2019/1020 Evropskega parlamenta in Sveta z dne 20. junija 2019 o nadzoru trga in skladnosti proizvodov ter spremembi Direktive 2004/42/ES in uredb (ES) št. 765/2008 in (EU) št. 305/2011 (UL L 169, 25.6.2019, str. 1).
- [30] UL L 123, 12.5.2016, str. 1.
- [31] Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).
- [32] Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39).
- [33] UL C 452, 29.11.2022, str. 23.
- [34] Priporočilo Komisije z dne 6. maja 2003 o opredelitvi mikro, malih in srednjih podjetij (notificirano pod dokumentarno številko C(2003)1422) (UL L 124, 20.5.2003, str. 36).
- [35]. Direktiva 2014/24/EU Evropskega parlamenta in Sveta z dne 26. februarja 2014 o javnem naročanju in razveljavitvi Direktive 2004/18/ES (UL L 94, 28.3.2014, str. 65).
- [36]. Direktiva 2014/25/EU Evropskega parlamenta in Sveta z dne 26. februarja 2014 o javnem naročanju naročnikov, ki opravljajo dejavnosti v vodnem, energetskem in prometnem sektorju ter sektorju poštnih storitev ter o razveljavitvi Direktive 2004/17/ES (UL L 94, 28.3.2014, str. 243).
- [37] Direktiva 2000/31/ES Evropskega parlamenta in Sveta z dne 8. junija 2000 o nekaterih pravnih vidikih storitev informacijske družbe, zlasti elektronskega poslovanja na notranjem trgu (UL L 178, 17.7.2000, str. 1).
- [38]. Direktiva (EU) 2016/943 Evropskega parlamenta in Sveta z dne 8. junija 2016 o varstvu nerazkritega strokovnega znanja in izkušenj ter poslovnih informacij (poslovnih skrivnosti) pred njihovo protipravno pridobitvijo, uporabo in razkritjem (UL L 157, 15.6.2016, str. 1).
- [39] Direktiva (EU) 2020/1828 Evropskega parlamenta in Sveta z dne 25. novembra 2020 o zastopniških tožbah za varstvo kolektivnih interesov potrošnikov in razveljavitvi Direktive 2009/22/ES (UL L 409, 4.12.2020, str. 1).